EUROOPA KOHTU OTSUS
6. november 2003(*)
Direktiiv 95/46/EÜ – Kohaldamisala – Isikuandmete avaldamine internetis – Avaldamiskoht – Mõiste „isikuandmete edastamine kolmandatesse riikidesse” – Sõnavabadus – Liikmesriigi õigusaktidega sätestatud isikuandmete tugevama kaitse vastavus direktiivile 95/46
Kohtuasjas C‑101/01,
mille ese on Euroopa Kohtule EÜ artikli 234 alusel esitatud Göta hovrätti (Rootsi) taotlus nimetatud kohtus pooleli olevas kriminaalasjas
Bodil Lindqvist’i
süüdistuses eelotsuse tegemiseks eelkõige Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355) tõlgendamise küsimuses
EUROOPA KOHUS,
koosseisus: esimese koja esimees P. Jann presidendi ülesannetes, kodade esimehed C. W. A. Timmermans, C. Gulmann, J. N. Cunha Rodrigues ja A. Rosas, kohtunikud D. A. O. Edward (ettekandja), J.‑P. Puissochet, F. Macken ja S. von Bahr,
kohtujurist: A. Tizzano,
kohtusekretär: abikohtusekretäri H. von Holstein,
arvestades kirjalikke märkusi, mille esitasid:
– B. Lindqvist, esindaja: advokat S. Larsson,
– Rootsi valitsus, esindaja: A. Kruse,
– Madalmaade valitsus, esindaja: H. G. Sevenster,
– Ühendkuningriigi valitsus, esindaja: G. Amodeo, keda abistas barrister J. Stratford,
– Euroopa Ühenduste Komisjon, esindajad: L. Ström ja X. Lewis,
arvestades kohtuistungi ettekannet,
olles 30. aprilli 2002. aasta kohtuistungil ära kuulanud B. Lindqvisti (esindaja: S. Larsson), Rootsi valitsuse (esindajad: A. Kruse ja B. Hernqvist), Madalmaade valitsuse (esindaja: J. van Bakel), Ühendkuningriigi valitsuse (esindaja: J. Stratford), komisjoni (esindajad: L. Ström ja C. Docksey) ja EFTA järelevalveameti (esindaja: D. Sif Tynes) suulised märkused,
olles 19. septembri 2002. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Göta hovrätt esitas 23. veebruari 2001. aasta määrusega, mis saabus Euroopa Kohtusse 1. märtsil 2001, EÜ artikli 234 alusel seitse eelotsuse küsimust, mis puudutavad eelkõige Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355) tõlgendamist.
2 Küsimused on tekkinud selles kohtus pooleli olevas kriminaalasjas, milles B. Lindqvisti süüdistatakse isikuandmete kaitset käsitlevate Rootsi õigusaktide rikkumises, kuna ta avaldas oma veebilehel isikuandmed mitme isiku kohta, kes töötasid nagu temagi vabatahtlikena Rootsi protestantliku kiriku koguduse juures.
Õiguslik raamistik
Ühenduse õigusnormid
3 Nagu nähtub direktiivi 95/46 artikli 1 lõikest 1, on direktiivi eesmärk kaitsta isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.
4 Direktiivi 95/46 kohaldamisala käsitlev artikkel 3 sätestab:
„1. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.
2. Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:
– kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,
– kui seda teeb füüsiline isik isiklikel või kodustel eesmärkidel.”
5 Direktiivi 95/46 artikkel 8 „Andmete eriliikide töötlemine” näeb ette:
„1. Liikmesriigid keelavad töödelda selliseid isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise, ning tervislikku seisundit või seksuaalelu käsitlevate andmete töötlemise.
2. Lõiget 1 ei kohaldata, kui:
a) andmesubjekt on andnud nende andmete töötlemiseks oma selgesõnalise nõusoleku, välja arvatud juhul, kui liikmesriigi õigusaktides on sätestatud, et andmesubjekti nõusolek ei saa kaotada lõikes 1 osutatud keeldu,
või
b) töötlemine on vajalik seoses vastutava töötleja kohustuste ja eriõigustega tööõiguse valdkonnas, kuivõrd see on lubatud siseriikliku õigusega, milles on sätestatud piisavad tagatised,
või
c) töötlemine on vajalik selleks, et kaitsta andmesubjekti või mõne teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma,
või
d) töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusliku organi õiguspärase ja vajalike garantiidega tegevuse raames, tingimusel, et töötlemine käsitleb ainult asjaomase organi liikmeid või isikuid, kes on kõnealuse organiga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel, et andmeid ei avalikustata kolmandatele isikutele ilma andmesubjektide nõusolekuta,
või
e) töödeldakse andmeid, mille andmesubjekt on ilmselgelt avalikustanud, või kui töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.
3. Lõiget 1 ei kohaldata, kui andmete töötlemine on vajalik ennetava meditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste juhtimise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib siseriiklikus õiguses või pädevate siseriiklike ametiasutuste kehtestatud eeskirjades sätestatud ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib samaväärne saladuse hoidmise kohustus.
4. Võttes arvesse sobivaid tagatisi, võivad liikmesriigid põhjustel, mis on seotud märkimisväärse avaliku huviga, siseriikliku õiguse või järelevalveasutuse otsusega kehtestada täiendavaid erandeid lisaks lõikega 2 ettenähtud eranditele.
5. Õigusrikkumiste, süüdimõistvate kohtuotsuste ja turvameetmetega seotud andmeid võib töödelda ainult ametivõimude kontrolli all või juhul, kui siseriikliku õigusega on ette nähtud sobivad spetsiifilised tagatised, erandite kohaselt, mida liikmesriigid võivad lubada nimetatud tagatisi käsitlevate siseriiklike sätete põhjal. Süüdimõistvate kohtuotsuste täielikku registrit võib pidada siiski ainult ametivõimude kontrolli all.
Liikmesriigid võivad sätestada, et ka haldussanktsioonidega või tsiviilasjades tehtud kohtuotsustega seotud andmeid töödeldakse ametivõimude kontrolli all.
6. Komisjonile teatatakse lõike 1 eranditest, mis on tehtud lõigete 4 ja 5 kohaselt.
7. Liikmesriigid määravad kindlaks tingimused, mille kohaselt võib töödelda siseriiklikku isikukoodi või muud üldkasutatavat tunnust.”
6 Direktiivi 95/46 artikkel 9 „Isikuandmete töötlemine ja sõnavabadus” sätestab:
„Kui isikuandmeid töödeldakse ainult ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvides, sätestavad liikmesriigid erandid või kõrvalekalded käesoleva peatüki, IV peatüki ja VI peatüki sätetest ainult siis, kui see on vajalik selleks, et viia omavahel vastavusse eraelu puutumatuse õigust ja sõnavabadust reguleerivad eeskirjad.”
7 Direktiivi 95/46 artikkel 13 „Erandid ja piirangud” näeb ette, et liikmesriigid võivad vastutava andmetöötleja teatavate direktiivis sätestatud kohustuste ulatuse piiramiseks võtta vastu õigusakte, eriti andmesubjektide teavitamise osas, kui sellised piirangud on vajalikud, et kindlustada näiteks riigi julgeolek, riigikaitse, avalik kord, liikmesriigi või Euroopa Liidu olulised majanduslikud või rahanduslikud huvid, samuti kuritegude või reguleeritud kutsealade ametieetika rikkumiste uurimine ja nende eest vastutuselevõtmine.
8 Direktiivi 95/46 artikkel 25, mis kuulub IV peatükki „Isikuandmete edastamine kolmandatesse riikidesse”, on sõnastatud järgmiselt:
„1. Liikmesriigid sätestavad, et töödeldavate või pärast edastamist töötlemiseks kavandatud isikuandmete edastamine kolmandatesse riikidesse võib toimuda ainult juhul, kui kõnealune kolmas riik tagab andmekaitse piisava taseme, kui käesoleva direktiivi muude sätete kohaselt vastuvõetud siseriiklikest sätetest ei tulene teisiti.
2. Andmekaitse taset kolmandates riikides hinnatakse, pidades silmas kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid; tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, päritoluriigile ja lõppsihtriigile, kõnealuses kolmandas riigis kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kõnealuses riigis järgitavatele ametieeskirjadele ja turvameetmetele.
3. Liikmesriigid ja komisjon teatavad üksteisele juhtudest, mille puhul nad leiavad, et kolmas riik ei taga kaitse piisavat taset lõike 2 tähenduses.
4. Kui komisjon artikli 31 lõikes 2 ettenähtud korras leiab, et kolmas riik ei taga kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, võtavad liikmesriigid vajalikke meetmeid tagamaks, et sama liiki andmeid kõnealusesse kolmandasse riiki ei edastata.
5. Sobival ajal alustab komisjon läbirääkimisi, et parandada olukorda, mis tekkis lõike 4 kohaselt tehtud avastuse tõttu.
6. Komisjon võib leida artikli 31 lõikes 2 sätestatud korras, et kolmas riik tagab kaitse piisava taseme käesoleva artikli lõike 2 tähenduses oma siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega, mis tulenevad eelkõige lõikes 5 osutatud läbirääkimistest, et kaitsta eraelu puutumatust ja üksikisikute põhivabadusi ja -õigusi.
Liikmesriigid võtavad komisjoni otsuse järgimiseks vajalikke meetmeid.”
9 Direktiivi 95/46 vastuvõtmise ajal nõukogu protokolli kantud avalduses (nõukogu dokument nr 4649/95, 2. veebruar 1995) teatas Rootsi Kuningriik direktiivi artikli 9 kohta järgmist:
„Rootsi Kuningriik leiab, et kirjandusliku või kunstilise eneseväljenduse mõiste tähendab pigem väljendusvahendeid kui edastatava sõnumi sisu või laadi.”
10 Roomas 4. novembril 1950 allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „EIÕK”) artikkel 8 näeb ette õiguse era‑ ja perekonnaelu austamisele ning artikkel 10 sisaldab sõnavabadust käsitlevaid sätteid.
Siseriiklikud õigusnormid
11 Direktiivi 95/46 võttis Rootsi õigusesse üle Personuppgiftslag, SFS 1998, nr 204 (Rootsi seadus isikuandmete kohta, edaspidi „andmekaitseseadus”).
Põhikohtuasi ja eelotsuse küsimused
12 B. Lindqvist täitis Alseda (Rootsi) koguduse juures lisaks palgalise koristajana töötamisele ka leeriõpetaja ülesandeid. Ta osales arvutikursusel, kus ta pidi muu hulgas tegema interneti kodulehe. B. Lindqvist tegi oma kodus ja oma personaalarvutiga 1998. aasta lõpus veebilehed, et leeriks valmistuvad koguduse liikmed saaksid hõlpsalt teavet, mida neil võib tarvis minna. Tema palvel sisestas Rootsi kiriku veebisaidi haldaja lingi nende veebilehtede ja nimetatud saidi vahele.
13 Mainitud veebilehtedel leidus teavet B. Lindqvisti ja tema koguduse 18 töökaaslase kohta, kaasa arvatud nende täielikud nimed või mõnikord ainult eesnimi. Lisaks oli B. Lindqvist humoristlikus võtmes kirjeldanud oma töökaaslaste tööülesandeid ja harrastusi. Mitmel juhul leidsid märkimist nende perekonnaseis, telefoninumber ja muud andmed. Lisaks oli ta ära näidanud, et üks tema töökaaslastest on vigastanud jalga ja töötab seetõttu haiguspuhkusel olles osalise tööajaga.
14 B. Lindqvist ei teavitanud oma töökaaslasi nende veebilehtede olemasolust ega küsinud nende nõusolekut, samuti ei teatanud ta neist Datainspektionile (elektroonilisel teel edastatavate andmete kaitse üle järelevalvet teostav ametiasutus). Ta kõrvaldas kõnealused veebilehed niipea, kui sai teada, et mõnel tema töökaaslasel on midagi nende vastu.
15 Riiklik süüdistaja alustas menetlust B. Lindqvisti vastutusele võtmiseks ja esitas talle süüdistuse andmekaitseseaduse rikkumises, kuna ta:
– tegeles isikuandmete automatiseeritud töötlemisega sellest eelnevalt Datainspektionile kirjalikult teatamata (andmekaitseseaduse § 36);
– töötles ilma andmesubjekti loata tundlikke isikuandmeid, st andmeid, mis puudutavad jalavigastust ja haiguspuhkusel olles osalise tööajaga töötamist (andmekaitseseaduse § 13);
– edastas ilma loata töödeldud isikuandmeid kolmandatesse riikidesse (andmekaitseseaduse § 33).
16 B. Lindqvist tunnistas faktilisi asjaolusid, kuid eitas rikkumise toimepanemist. Eksjö tingsrätt (Rootsi) määras talle karistuseks rahatrahvi ja B. Lindqvist kaebas otsuse edasi eelotsusetaotluse esitanud kohtusse.
17 Rahatrahvi suurus oli 4000 Rootsi krooni, võttes aluseks B. Lindqvisti majandusliku olukorra põhjal arvutatud summa 100 krooni korrutatuna rikkumise raskusastmele vastava kordajaga 40. Ühtlasi mõisteti B. Lindqvistilt välja 300 krooni Rootsi kuriteoohvrite abistamise fondi kasuks.
18 Göta hovrätt, kellel tekkisid kahtlused asjas kohaldatava ühenduse õiguse, täpsemalt direktiivi 95/46 tõlgendamise suhtes, otsustas menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas isiku mainimine – tema nime või nime ja telefoninumbri esitamine – interneti kodulehel on direktiivi [95/46] kohaldamisalasse kuuluv toiming? Kas asjaolu, et isetehtud interneti kodulehel esitletakse teatud hulka isikuid ning tehakse avaldusi ja avaldatakse arvamust nende isikute töötingimuste ja vaba aja harrastuste kohta, tähendab „isikuandmete täielikult või osaliselt automatiseeritud töötlemist”?
2. Kas juhul, kui vastus eelmisele küsimusele on eitav, võib interneti kodulehel umbes 15 isiku jaoks erilehtede loomist koos eesnime järgi otsingut võimaldavate linkidega veebilehtede vahel pidada „isikuandmete automatiseerimata töötlemiseks, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda” artikli 3 lõike 1 tähenduses?
Kui vastus emmale-kummale eelnevatest küsimustest on jaatav, esitab Hovrätt lisaks järgmised küsimused:
3. Kas asjaolu, et sedalaadi andmed töökaaslaste kohta on sisestatud isiklikule kodulehele, kuhu pääsevad siiski kõik, kes teavad veebilehe aadressi, võib pidada asuvaks väljaspool direktiivi [95/46] kohaldamisala mõne artikli 3 lõikes 2 sätestatud erandi alusel?
4. Kas kodulehel esitatud andmed, et nimeliselt mainitud töökaaslane vigastas jalga ja töötab haiguspuhkusel olles osalise tööajaga, on tervislikku seisundit käsitlevad isikuandmed, mida artikli 8 lõike 1 kohaselt on keelatud töödelda?
5. Direktiivi [95/46] alusel tuleb isikuandmete edastamine kolmandatesse riikidesse teatud juhtudel keelata. Kas siis, kui isik sisestab arvuti abil Rootsis isikuandmed kodulehele, mis on salvestatud Rootsis asuvas serveris – nii, et isikuandmed muutuvad kättesaadavaks kolmandate riikide kodanikele –, on tegu isikuandmete edastamisega kolmandatesse riikidesse direktiivi [95/46] tähenduses? Kas vastus jääb samaks, kui olemasoleva teabe kohaselt ei ole ükski kolmanda riigi kodanik andmetega tegelikult tutvunud või kui asjaomane server asub puhtfüüsiliselt kolmandas riigis?
6. Kas direktiivi [95/46] sätteid võib sellisel juhul nagu põhikohtuasjas pidada sellist piirangut kehtestavaks, mis on vastuolus sõnavabaduse üldpõhimõtete või muude Euroopa Liidus kohaldatavate õiguste ja vabadustega, mida käsitleb eelkõige Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikkel 10?
Hovrätt esitab lõpuks veel järgmise küsimuse:
7. Kas liikmesriik võib eelnevates küsimustes käsitletud valdkondades kaitsta isikuandmeid tugevamalt või laiemas kohaldamisalas kui see, mis tuleneb direktiivist [95/46], isegi siis, kui ei esine ühtki artiklis 13 loetletud huvi?”
Esimene küsimus
19 Esimese küsimusega palub eelotsusetaotluse esitanud kohus selgitust, kas toiming, mis seisneb veebilehel erinevatele isikutele osutamises ja nende individualiseerimises kas nime või muude vahendite, näiteks telefoninumbri või nende töötingimusi ja vaba aja harrastusi puudutava teabe alusel, on „isikuandmete täielikult või osaliselt automatiseeritud töötlemine” direktiivi 95/46 artikli 3 lõike 1 tähenduses.
Euroopa Kohtule esitatud märkused
20 B. Lindqvisti sõnul ei ole mõistlik võtta seisukohta, et isiku nime või isikuandmete lihtne mainimine veebilehel leiduvas tekstis on andmete automatiseeritud töötlemine. Seevastu selliste andmete mainimine veebilehe „meta tags” väljal märksõnades, mis teeb võimalikuks indekseerimise ja veebilehe leidmise otsingumootori abil, võib olla selline töötlemine.
21 Rootsi valitsus väidab, et direktiivi 95/46 artikli 3 lõikes 1 sätestatud mõiste „isikuandmete täielikult või osaliselt automatiseeritud töötlemine” hõlmab igasugust elektroonilisel kujul, st kahendvormingus töötlemist. Seega niipea, kui isikuandmeid töödeldakse arvuti abil, olgu see näiteks tekstitöötlusprogrammi kasutades või siis andmete sisestamiseks veebilehele, on need töötlemise objektiks direktiivi 95/46 tähenduses.
22 Madalmaade valitsus leiab, et kuna isikuandmed sisestatakse veebilehele arvuti ja serveri abil, mis on automatiseerimise oluline tunnus, siis tuleb asuda seisukohale, et need andmed on automatiseeritud töötlemise objektiks.
23 Komisjon väidab, et direktiiv 95/46 laieneb igasugusele direktiivi artiklis 3 osutatud isikuandmete töötlemisele, olenemata kasutatud tehnilistest vahenditest. Isikuandmete avaldamine internetis on seega täielikult või osaliselt automatiseeritud töötlemine, tingimusel et ei ole tehnilisi piiranguid, mis võimaldaksid töötlemist ainult käsitsi tehtava toiminguga. Veebileht kuulub seega juba oma olemuselt direktiivi 95/46 kohaldamisalasse.
Euroopa Kohtu vastus
24 Direktiivi 95/46 artikli 2 punktis a sisalduva määratluse kohaselt on artikli 3 lõikes 1 kasutatud mõistega „isikuandmed” hõlmatud „igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta”. Selle mõiste alla kuulub kindlasti isiku nimi koos tema telefoninumbrite või teabega tema töötingimuste või vaba aja harrastuste kohta.
25 Direktiivi 95/46 artikli 2 punktis b sisalduva määratluse kohaselt on artikli 3 lõikes 1 kasutatud mõistega isikuandmete „töötlemine” hõlmatud „iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte”. Esimesena nimetatud sättes on nende toimingute kohta toodud mitu näidet, muu hulgas andmete üleandmine, levitamine või muul moel avaldamine. Siit järeldub, et toimingut, mis seisneb isikuandmete panemises veebilehele, tuleb pidada selliseks töötlemiseks.
26 Jääb veel määratleda, kas see töötlemine on „täielikult või osaliselt automatiseeritud”. Seoses sellega tuleb märkida, et teabe panemine veebilehele eeldab praegu rakendatavaid tehnilisi ja infotehnoloogiavahendeid arvestades lehe serverisse laadimise toimingut, samuti toiminguid, mis on vajalikud, et teha see leht kättesaadavaks internetiühendust kasutavatele isikutele. Need toimingud sooritatakse vähemalt osaliselt automatiseeritult.
27 Seega tuleb esimesele küsimusele vastata, et toiming, mis seisneb veebilehel erinevatele isikutele osutamises ja nende individualiseerimises kas nime või muude vahendite, näiteks telefoninumbri või nende töötingimusi ja vaba aja harrastusi puudutava teabe alusel, on „isikuandmete täielikult või osaliselt automatiseeritud töötlemine” direktiivi 95/46 artikli 3 lõike 1 tähenduses.
Teine küsimus
28 Kuna esimene küsimus sai jaatava vastuse, ei ole vaja vastata teisele küsimusele, mis on esitatud ainult juhuks, kui esimesele küsimusele vastatakse eitavalt.
Kolmas küsimus
29 Kolmanda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt selgitust, kas selline isikuandmete töötlemine, millele on viidatud esimeses küsimuses, kuulub mõne direktiivi 95/46 artikli 3 lõikes 2 sätestatud erandi alla.
Euroopa Kohtule esitatud märkused
30 B. Lindqvist väidab, et eraisik, kes teeb sõnavabadust kasutades mittetulundusliku tegevuse või oma vaba aja veetmise käigus veebilehti, ei arenda majandustegevust ega kuulu seega ühenduse õiguse kohaldamisalasse. Kui Euroopa Kohus peaks otsustama teisiti, siis tekiks küsimus, kas direktiiv 95/46 on kehtiv, kuna selle vastuvõtmisel on ühenduse seadusandja ületanud talle EÜ asutamislepingu artikliga 100a (muudetuna EÜ artikkel 95) antud volituste piire. Õigusaktide ühtlustamine, mille eesmärk on siseturu rajamine ja toimimine, ei saa ju anda õiguslikku alust ühenduse meetmetele, mis reguleerivad eraisikute õigust kasutada sõnavabadust internetis.
31 Rootsi valitsus väidab, et direktiivi 95/46 siseriiklikusse õigusesse ülevõtmise ajal oli Rootsi seadusandja seisukohal, et niisugust isikuandmete töötlemist füüsilise isiku poolt, mis seisneb nende andmete edastamises määratlemata hulgale adressaatidele näiteks interneti vahendusel, ei saa pidada toiminguteks, mida „teeb füüsiline isik isiklikel või kodustel eesmärkidel” direktiivi 95/46 artikli 3 lõike 2 teise taande tähenduses. Rootsi valitsus ei välista aga, et selle lõike esimeses taandes sätestatud erand käsitleb juhtumeid, kui füüsiline isik avaldab veebilehel isikuandmeid ainuüksi oma sõnavabaduse teostamise käigus ja ilma, et sel oleks mingit seost kutse- või äritegevusega.
32 Madalmaade valitsuse sõnul ei kuulu selline andmete automatiseeritud töötlemine, nagu on arutusel põhikohtuasjas, ühegi direktiivi 95/46 artikli 3 lõikes 2 sätestatud erandi alla. Selle lõike teises taandes ette nähtud erandi kohta märgib ta täpsemalt, et veebilehe tegija esitab sinna sisestatud andmed tutvumiseks üldjuhul määratlemata isikute ringile.
33 Komisjon väidab, et sellist veebilehte, nagu on arutusel põhikohtuasjas, ei saa direktiivi 95/46 artikli 3 lõike 2 alusel pidada selle direktiivi kohaldamisalast väljapoole jäävaks, vaid tegu on kirjandus- või kunstiloominguga nimetatud direktiivi artikli 9 tähenduses, kui võtta arvesse põhikohtuasjas arutusel oleva veebilehe eesmärgid.
34 Ta leiab, et direktiivi 95/46 artikli 3 lõike 2 esimest taanet võib tõlgendada kahel erineval viisil. Üks võimalus on piirata selle sätte ulatust nii, et see laieneb ainult näidetena loetletud valdkondadele, nimelt tegevusele, mis kuulub sisuliselt teise ja kolmandasse sambasse, nagu neid on kombeks nimetada. Teine tõlgendus välistaks direktiivi 95/46 kohaldamisalast iga tegevuse, millele ei laiene ühenduse õigus.
35 Komisjon väidab, et ühenduse õigus ei ole piiratud nii, et see laieneks ainult nelja põhivabadusega seonduvale majandustegevusele. Ta järeldab, viidates direktiivi 95/46 õiguslikule alusele ja eesmärgile, EL artiklile 6, 7. detsembril 2000 Nice’is välja kuulutatud Euroopa Liidu põhiõiguste hartale (EÜT C 364, lk 1) ja Euroopa Nõukogu 28. jaanuari 1981. aasta konventsioonile isiku kaitse kohta isikuandmete automatiseeritud töötlemisel, et see direktiiv reguleerib isikuandmete vaba liikumist mitte üksnes majandustegevuse käigus, vaid ka seoses ühiskondliku tegevusega siseturu integreerimise ja toimimise raames.
36 Ta lisab, et kui jätta direktiivi 95/46 kohaldamisalast üldreeglina välja kõik veebilehed, mis ei sisalda ühtki kaubanduslikku või teenuse osutamise elementi, võib tekkida keerukaid piiritlemisprobleeme. Suur hulk veebilehti, mis sisaldavad isikuandmeid ja on mõeldud teatud isikute märgistamiseks kindlatel eesmärkidel, võiks siis jääda selle direktiivi kohaldamisalast välja.
Euroopa Kohtu vastus
37 Direktiivi 95/46 artikli 3 lõikes 2 on ette nähtud kaks erandit direktiivi kohaldamisala suhtes.
38 Esimene neist puudutab isikuandmete töötlemist, kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellist töötlemist, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas.
39 Kuna B. Lindqvisti põhikohtuasjas arutusel olev tegevus ei ole sisuliselt majandustegevus, vaid on vabatahtlik ja usuline, tuleb kontrollida, kas tegu on isikuandmete töötlemisega, mis „toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust” direktiivi 95/46 artikli 3 lõike 2 esimese taande tähenduses.
40 Euroopa Kohus on asutamislepingu artikli 100a alusel vastu võetud direktiivi 95/46 osas juba võtnud seisukoha, et sellele õiguslikule alusele tuginemine ei eelda seda, et kõigil sel alusel vastu võetud õigusaktis käsitletavatel olukordadel peaks olema tegelik seos vaba liikumisega liikmesriikide vahel (vt 20. mai 2003. aasta otsus liidetud kohtuasjades C‑465/00, C‑138/01 ja C‑139/01: Österreichischer Rundfunk jt, EKL 2003, lk I‑4989, punkt 41 ja seal viidatud kohtupraktika).
41 Teistsuguse tõlgenduse korral tekib oht, et nimetatud direktiivi kohaldamisala piirid muutuvad väga ebakindlaks ja juhuslikuks, mis oleks vastuolus direktiivi põhieesmärgiga: ühtlustada liikmesriikide õigus- ja haldusnormid, et kõrvaldada siseturu toimimise takistused, mis tulenevad erinevustest siseriiklike õigusaktide vahel (eespool viidatud kohtuotsus Österreichischer Rundfunk jt, punkt 42).
42 Neil asjaoludel ei ole kohane tõlgendada väljendit „tegevuse käigus, mis jääb väljapoole ühenduse õigust” nii, et selle ulatuse määramiseks on igal üksikjuhul vaja kontrollida, kas asjaomane tegevus mõjutab otseselt vaba liikumist liikmesriikide vahel.
43 Direktiivi 95/46 artikli 3 lõike 2 esimese taande näitlikus loetelus mainitud tegevus (nimelt Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, samuti töötlemine, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku ja riigi toimingutega kriminaalõiguse valdkonnas) on igal juhul riigi või riigiasutuste endi tegevus, mis ei kuulu eraisikute tegevusvaldkonda.
44 Seega tuleb nentida, et direktiivi 95/46 artikli 3 lõike 2 esimese taande näitlikus loetelus mainitud tegevus peab määratlema selles taandes sätestatud erandi ulatuse, mistõttu see erand on kohaldatav ainult tegevusele, mida on seal sõnaselgelt mainitud või mida võib lugeda samaliigiliseks (eiusdem generis).
45 Sellist vabatahtlikku või usulist tegevust, millega tegeles B. Lindqvist, ei saa võrdsustada direktiivi 95/46 artikli 3 lõike 2 esimeses taandes mainitud tegevusega ja seega ei ole tema tegevus selle erandiga hõlmatud.
46 Teise erandi osas, mis on ette nähtud direktiivi 95/46 artikli 3 lõike 2 teises taandes, mainib direktiivi seda erandit käsitlev põhjendus 12 füüsilise isiku poolt andmete üksnes isiklikel või kodustel eesmärkidel töötlemise näitena kirjavahetust ja aadresside loetelu.
47 Seega tuleb seda erandit tõlgendada nii, et see puudutab ainult tegevust, mis mahub isiku era- või perekonnaelu raamidesse, nagu see ilmselgelt ei ole siis, kui isikuandmete töötlemine seisneb nende internetis avaldamises, nii et andmed on tehtud kättesaadavaks määratlemata isikute ringile.
48 Seega tuleb kolmandale küsimusele vastata, et isikuandmete selline töötlemine, mida on mainitud vastuses esimesele küsimusele, ei kuulu ühegi direktiivi 95/46 artikli 3 lõikes 2 sätestatud erandi alla.
Neljas küsimus
49 Neljanda küsimusega soovib eelotsusetaotluse esitanud kohus selgitust, kas osutamine asjaolule, et isik vigastas oma jalga ja töötab haiguspuhkusel olles osalise tööajaga, sisaldab tervislikku seisundit käsitlevaid isikuandmeid direktiivi 95/46 artikli 8 lõike 1 tähenduses.
50 Direktiivi eesmärki silmas pidades tuleb väljendit „tervislikku seisundit käsitlevad andmed” tõlgendada laialt, et see hõlmaks isiku tervist puudutava teabe kõiki aspekte, nii füüsilisi kui ka psüühilisi.
51 Seega tuleb neljandale küsimusele vastata, et osutamine asjaolule, et isik vigastas oma jalga ja töötab haiguspuhkusel olles osalise tööajaga, sisaldab tervislikku seisundit käsitlevaid isikuandmeid direktiivi 95/46 artikli 8 lõike 1 tähenduses.
Viies küsimus
52 Viienda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt selgitust, kas „isikuandmete edastamine kolmandatesse riikidesse” direktiivi 95/46 artikli 25 tähenduses on toimunud, kui liikmesriigis asuv isik sisestab isikuandmed veebilehele, mis on salvestatud sellise füüsilise või juriidilise isiku serveris, kes majutab selle veebilehega tutvumist võimaldavat veebisaiti (edaspidi „veebimajutusteenuste pakkuja”) ja kes asub samas riigis või teises liikmesriigis, nii et need andmed muutuvad kättesaadavaks igaühele, kes kasutab internetti, kaasa arvatud kolmandates riikides asuvad isikud. Lisaks küsib eelotsusetaotluse esitanud kohus, kas vastus sellele küsimusele jääb samaks, kui ilmneb, et tegelikult ei ole ükski kolmanda riigi kodanik nende andmetega tutvunud, või kui server, kuhu veebileht on salvestatud, asub puhtfüüsilises mõttes kolmandas riigis.
Euroopa Kohtule esitatud märkused
53 Komisjon ja Rootsi valitsus leiavad, et arvuti abil isikuandmete sisestamine veebilehele, nii et need muutuvad kättesaadavaks kolmandate riikide kodanikele, on andmete edastamine kolmandatesse riikidesse direktiivi 95/46 tähenduses. Vastus jääb samaks, kui ükski kolmanda riigi kodanik nende andmetega tegelikult ei tutvu või kui server, kuhu andmed on salvestatud, asub puht füüsilises mõttes kolmandas riigis.
54 Madalmaade valitsus tuletab meelde, et direktiivis 95/46 ei ole määratletud mõistet „edastamine”. Ta leiab esiteks, et seda mõistet tuleb käsitada nii, et see hõlmab toimingu, millega tahtlikult püütakse edastada isikuandmeid liikmesriigi territooriumilt kolmandasse riiki, ja teiseks, et ei tohi teha vahet selle järgi, millises erinevas vormis andmed kolmandatele isikutele kättesaadavaks tehakse. Ta järeldab sellest, et arvuti abil isikuandmete sisestamist veebilehele ei saa pidada isikuandmete edastamiseks kolmandatesse riikidesse direktiivi 95/46 artikli 25 tähenduses.
55 Ühendkuningriigi valitsus väidab, et direktiivi 95/46 artiklis 25 on osutatud andmete edastamisele kolmandatesse riikidesse, mitte sellele, kas need on kolmandates riikides olijatele kättesaadavad. Mõiste „edastamine” tähendab andmete üleandmist konkreetses kohas asuva isiku poolt teises kohas asuvale kolmandale isikule. Ainult sellise edastamise korral paneb direktiivi 95/46 artikkel 25 liikmesriikidele kohustuse jälgida, et isikuandmed oleksid kolmandas riigis vajalikul tasemel kaitstud.
Euroopa Kohtu vastus
56 Direktiivi 95/46 artiklis 25 ega üheski muus sättes, ka mitte artiklis 2 ei ole määratletud mõistet „edastamine kolmandatesse riikidesse”.
57 Selleks et määratleda, kas isikuandmete sisestamine veebilehele on ainuüksi põhjusel, et see teeb andmed kättesaadavaks kolmandas riigis asuvatele isikutele, nende andmete „edastamine” kolmandatesse riikidesse direktiivi 95/46 artikli 25 tähenduses, on vaja arvestada esiteks tehtud toimingute tehnilist laadi ja teiseks kõnealuse direktiivi IV peatüki – mille osaks on artikkel 25 – eesmärki ja ülesehitust.
58 Internetis leiduva teabega saab tutvuda määratlemata hulk isikuid, kes elavad eri kohtades, ja seda enam-vähem igal ajal. Interneti kasutamiseks tarvitatavad tehnilised vahendid on suhteliselt lihtsad ja üha odavamad ning eelkõige sellest asjaolust tulenevalt asub see teave kõikjal.
59 Kasutades internetti 1990. aastatel sellistele eraisikutele nagu B. Lindqvist kättesaadavaks muutunud viisil, edastab koostaja andmed, millest koosneb internetis avaldamiseks mõeldud veebileht, oma veebimajutusteenuste pakkujale. Teenustepakkuja haldab andmetöötluse infrastruktuuri, mis on vajalik andmete salvestamise ja veebisaiti majutava serveri netiühenduse kindlustamiseks. See võimaldab neid andmeid hiljem edastada igale internetiühendust kasutavale isikule, kes avaldab soovi neid saada. Arvutid, millest see andmetöötluse infrastruktuur koosneb, võivad asuda ja sageli asuvadki ühes või mitmes riigis peale veebimajutusteenuste pakkuja asukohariigi, ilma et tema kliendid seda teaksid või võiksid mõistlikul viisil sellest teada saada.
60 Kohtutoimikust nähtub, et selleks, et saada teavet veebilehtedelt, millele B. Lindqvist oli sisestanud andmed oma töökaaslaste kohta, pidi internetikasutaja mitte ainult kasutama internetiühendust, vaid ka tegema isiklikult nende lehtedega tutvumiseks vajalikke toiminguid. Teisisõnu, B. Lindqvisti veebilehtedel ei olnud tehnilisi vahendeid, mis oleks võimaldanud andmete automatiseeritud saatmist isikutele, kes ei olnud teadlikult otsinud võimalust neile veebilehtedele pääseda.
61 Sellest tulenevalt ei edastatud sellistel asjaoludel nagu põhikohtuasjas isikuandmeid, mis saabusid kolmandas riigis asuva kasutaja arvutisse isikult, kes oli need veebisaidile sisestanud, nende kahe isiku vahel otse, vaid läbi veebimajutusteenuste pakkuja andmetöötluse infrastruktuuri, kuhu veebileht oli salvestatud.
62 Seoses nende asjaoludega on vaja uurida, kas ühenduse seadusandja soovis direktiivi 95/46 IV peatüki kohaldamisel mõistega „edastamine kolmandatesse riikidesse” direktiivi artikli 25 tähenduses hõlmata selliseid toiminguid, nagu tegi B. Lindqvist. Olgu toonitatud, et eelotsusetaotluse esitanud kohtu viies küsimus puudutab ainult neid toiminguid, välistades veebimajutusteenuste pakkujate tehtud toimingud.
63 Direktiivi 95/46 IV peatükk, kuhu kuulub artikkel 25, kehtestab erieeskirjadega erikorra, mille eesmärk on tagada liikmesriikidepoolne kontroll isikuandmete edastamisel kolmandatesse riikidesse. See peatükk näeb ette isikuandmete töötlemise seaduslikkust käsitleva direktiivi II peatükiga kehtestatud üldist korda täiendava korra.
64 IV peatüki eesmärk on määratletud direktiivi 95/46 põhjendustes 56–60, kus on nimelt märgitud, et kui ühenduses direktiiviga tagatud üksikisikute kaitse ei takista isikuandmete edastamist kolmandatesse riikidesse, kus on tagatud nende kaitse piisav tase, tuleb kaitse taset hinnata kõiki edastamistoimingu või edastamistoimingute kogumi asjaolusid silmas pidades. Kui kaitse tase kolmandas riigis ei ole piisav, tuleb keelata isikuandmete edastamine sellesse kolmandasse riiki.
65 Direktiivi 95/46 artikliga 25 on pandud liikmesriikidele ja komisjonile rida kohustusi isikuandmete kolmandasse riiki edastamise kontrollimiseks, arvestades sellistele andmetele igas riigis tagatud kaitsetaset.
66 Direktiivi 95/46 artikli 25 lõikes 4 on sätestatud täpsemalt, et kui komisjon leiab, et kolmas riik ei taga kaitse piisavat taset, võtavad liikmesriigid vajalikke meetmeid tagamaks, et isikuandmeid kõnealusesse kolmandasse riiki ei edastata.
67 Direktiivi 95/46 IV peatükk ei sisalda ühtki interneti kasutamist käsitlevat sätet. Nii ei ole seal täpsustatud kriteeriume, mis võimaldaksid kindlaks teha, kas veebimajutusteenuste pakkujate vahendusel tehtud toimingute korral tuleb aluseks võtta pakkuja registrijärgne asukoht või tegevuskoht või hoopis koht, kus asuvad pakkuja andmetöötluse infrastruktuuri kuuluvad arvutid.
68 Arvestades esiteks interneti arengutaset direktiivi 95/46 väljatöötamise ajal ja teiseks seda, et IV peatükis puuduvad interneti kasutamisele kohaldatavad sätted, ei saa eeldada, et ühenduse seadusandja soovis mõistega „andmete edastamine kolmandatesse riikidesse” tulevikus hõlmata andmete sisestamist veebilehele isiku poolt, kes on sellises olukorras nagu B. Lindqvist, isegi kui andmed muutuvad seeläbi kättesaadavaks kolmandates riikides isikutele, kellel on nendega tutvumiseks vajalikud tehnilised vahendid.
69 Kui tõlgendada direktiivi 95/46 artiklit 25 nii, et „andmete edastamine kolmandatesse riikidesse” on toimunud iga kord, kui isikuandmed on sisestatud veebilehele, oleks selle edastamise puhul paratamatult tegu edastamisega kõikidesse kolmandatesse riikidesse, kus on interneti kasutamiseks vajalikud tehnilised vahendid. Direktiivi IV peatükis ette nähtud erikord muutuks seega internetitoimingute osas paratamatult üldiseks korraks. Niipea, kui komisjon direktiivi 95/46 artikli 25 lõike 4 alusel sedastab, et üksainus kolmas riik ei taga kaitse piisavat taset, oleksid liikmesriigid kohustatud tõkestama kõigi isikuandmete internetti paneku.
70 Neil asjaoludel tuleb järeldada, et direktiivi 95/46 artiklit 25 tuleb tõlgendada nii, et sellised toimingud, nagu tegi B. Lindqvist, ei tähenda iseenesest „andmete edastamist kolmandatesse riikidesse”. Seega ei ole vaja uurida, kas mõni kolmandas riigis asuv isik on asjaomase veebilehega tutvunud või kas teenusepakkuja server asub füüsiliselt kolmandas riigis.
71 Seega tuleb viiendale küsimusele vastata, et „andmete edastamist kolmandatesse riikidesse” direktiivi 95/46 artikli 25 tähenduses ei ole toimunud, kui liikmesriigis asuv isik sisestab isikuandmed veebilehele, mis on salvestatud samas riigis või teises liikmesriigis asuva veebimajutusteenuste pakkuja serveris, nii et need andmed muutuvad kättesaadavaks igaühele, kes kasutab internetti, kaasa arvatud kolmandates riikides asuvad isikud.
Kuues küsimus
72 Kuuenda küsimusega soovib eelotsusetaotluse esitanud kohus selgitust, kas tuleb asuda seisukohale, et tulenevalt direktiivi 95/46 sätetest on sellisel juhul nagu põhikohtuasjas kehtestatud piirang, mis on vastuolus sõnavabaduse üldpõhimõtte või muude Euroopa Liidus kohaldatavate õiguste ja vabadustega, mida käsitleb eelkõige EIÕK artikkel 10.
Euroopa Kohtule esitatud märkused
73 Tuginedes eelkõige 6. märtsi 2001. aasta otsusele kohtuasjas C‑274/99 P: Connolly vs. komisjon (EKL 2001, lk I‑1611), väidab B. Lindqvist, et direktiiv 95/46 ja andmekaitseseadus on selles osas, milles need näevad ette eelneva nõusoleku ja järelevalveasutusele eelneva teatamise tingimused ning tundlike isikuandmete töötlemise keelu, vastuolus ühenduse õiguses tunnustatud üldise sõnavabaduse põhimõttega. Ta selgitab lähemalt, et määratlus „isikuandmete täielikult või osaliselt automatiseeritud töötlemine” ei vasta ettearvatavuse ja täpsuse nõuetele.
74 Lisaks ei ole tema sõnul lihtsalt füüsilise isiku nimeline mainimine, tema telefoninumbrite ja töötingimuste ning tervisliku seisundi ja harrastuste kohta teabe esitamine selline asjaolu, mis rikuks oluliselt õigust era‑ ja perekonnaelu austamisele, kuna see teave on avalik, üldiselt teada või harilik. B. Lindqvist leiab, et direktiiviga 95/46 kehtestatud nõuded on igal juhul ebaproportsionaalsed taotletava eesmärgi suhtes, milleks on teiste isikute maine ning eraelu kaitse.
75 Rootsi valitsus märgib, et direktiiv 95/46 võimaldab tasakaalustada asjassepuutuvaid huve ja kaitsta seega nii sõnavabadust kui ka era‑ ja perekonnaelu. Ta lisab, et ainult liikmesriigi kohus saab iga üksikjuhtumi asjaolusid arvestades hinnata, kas teiste isikute õiguste kaitset tagavate normide kohaldamisest tingitud sõnavabaduse teostamise piirang on proportsionaalne.
76 Madalmaade valitsus tuletab meelde, et nii sõnavabadus kui ka õigus era‑ ja perekonnaelu austamisele kuuluvad õiguse üldpõhimõtete hulka, mille kaitse tagab Euroopa Kohus, ja et EIÕK ei sea erinevaid põhiõigusi tähtsuse järjekorda. Ta leiab seega, et liikmesriigi kohus peab ühitama erinevad asjassepuutuvad põhiõigused, arvestades konkreetse juhtumi asjaolusid.
77 Ühendkuningriigi valitsus märgib, et tema ettepanek viiendale küsimusele vastamise kohta, mis on esitatud käesoleva kohtuotsuse punktis 55, on põhiõigustega igati kooskõlas ja võimaldab ära hoida sõnavabaduse ebaproportsionaalse riive. Ta lisab, et tõlgendust, mille tagajärjel isikuandmete avaldamine erilises vormis, nimelt veebilehel, alluks palju rangematele piirangutele kui need, mida kohaldatakse muus avaldamisvormis, näiteks paberkandjal avaldamise korral, oleks raske põhjendada.
78 Komisjon väidab samuti, et direktiiv 95/46 ei too kaasa piirangut, mis oleks vastuolus sõnavabaduse üldpõhimõtte või muude Euroopa Liidus kohaldatavate õiguste ja vabadustega, mida käsitleb eelkõige EIÕK artikkel 10.
Euroopa Kohtu vastus
79 Direktiivi 95/46 põhjendusest 7 nähtub, et siseturu rajamist ja toimimist võib oluliselt kahjustada see, et isikuandmete töötlemise suhtes kohaldatav kord on liikmesriigiti erinev. Sama direktiivi põhjenduse 3 kohaselt peab liikmesriikide õigusaktide ühtlustamise eesmärk olema mitte ainult isikuandmete vaba liikumine ühest liikmesriigist teise, vaid ka isikute põhiõiguste kaitse. On ilmselge, et need eesmärgid võivad minna vastuollu.
80 Ühest küljest toob siseturu rajamisest ja toimimisest tingitud majanduslik ja sotsiaalne integratsioon paratamatult kaasa isikuandmete voo märgatava suurenemise liikmesriikide majandusringkondade ja ühiskonnaelu eri alade kõigi esindajate vahel, olgu siis tegu ettevõtjate või liikmesriikide haldusasutustega. Teatud määral vajavad need ettevõtjad ja asutused isikuandmeid oma toimingute sooritamiseks või oma ülesannete täitmiseks sisepiirideta alal, mida siseturg endast kujutab.
81 Teisest küljest isikud, keda isikuandmete töötlemine puudutab, nõuavad põhjendatult, et need andmed oleksid tõhusalt kaitstud.
82 Nende erinevate õiguste ja huvide tasakaalustamist võimaldavad mehhanismid sisalduvad esiteks direktiivis 95/46 endas, kuna see direktiiv sätestab reeglid, mille kohaselt määratletakse, millistes olukordades ja millisel määral on isikuandmete töötlemine seaduslik ning millised tagatised peavad olema ette nähtud. Teiseks tulenevad need mehhanismid sellest, et liikmesriigid kehtestavad sätted, mis tagavad selle direktiivi ülevõtmise siseriiklikusse õigusesse, ja nende sätete kohaldamisest liikmesriikide ametiasutuste poolt.
83 Direktiivi 95/46 sätted ise on paratamatult suhteliselt üldised, kuna direktiiv peab reguleerima suurt hulka väga erinevaid olukordi. Vastupidi sellele, mida väidab B. Lindqvist, on seega põhjendatud direktiivis sisalduvate nõuete teatav paindlikkus ja see, et üksikasjade üle otsustamine või mitme võimaluse hulgast valiku tegemine on paljudel juhtudel jäetud liikmesriikide hooleks.
84 On selge, et liikmesriikidel on direktiivi 95/46 ülevõtmisel mitmes suhtes tegutsemisruumi. Ent miski ei anna alust seisukohale, et direktiivis sätestatud kord ei taga ettearvatavust või et selle sätted kui sellised on vastuolus ühenduse õiguse üldpõhimõtetega, eelkõige ühenduse õiguskorras kaitstud põhiõigustega.
85 Seega tulebki õige tasakaal osutatud õiguste ja huvide vahel leida pigem direktiivi 95/46 ülevõtmiseks vastu võetud õigusaktide üksikjuhtude kaupa riigi tasandil rakendamise käigus.
86 Sel taustal on põhiõigustel eriline tähtsus, nagu nähtub põhikohtuasjast, kus sisuliselt on vaja tasakaalustada ühelt poolt B. Lindqvisti sõnavabadus seoses leeriõpetaja tööga ja tema vabadus osaleda usulises tegevuses ning teiselt poolt nende isikute eraelu kaitse, kelle kohta B. Lindqvist pani andmed oma veebisaidile.
87 Järelikult on liikmesriigi ametiasutused ja kohtud kohustatud mitte ainult tõlgendama oma siseriiklikku õigust kooskõlas direktiiviga 95/46, vaid peavad ka jälgima, et nad ei tugineks direktiivi sellisele tõlgendusele, mis on vastuolus ühenduse õiguskorras kaitstavate põhiõiguste või muude ühenduse õiguse üldpõhimõtetega, näiteks proportsionaalsuse põhimõttega.
88 Kuigi eraelu kaitse eeldab tõhusate sanktsioonide kohaldamist isikute suhtes, kes töötlevad isikuandmeid vastuolus direktiiviga 95/46, peavad need sanktsioonid alati vastama proportsionaalsuse põhimõttele. See on nii seda enam, et direktiivi 95/46 kohaldamisala on väga lai ja isikuandmete töötlejatel on arvukalt olulisi kohustusi.
89 Tulenevalt proportsionaalsuse põhimõttest on eelotsusetaotluse esitanud kohus kohustatud võtma arvesse kõik lahendatava kohtuasja asjaolud, eelkõige direktiivi 95/46 rakendusaktide rikkumise kestuse ja selle, millist tähtsust omab huvitatud isikute jaoks avalikustatud andmete kaitse.
90 Seega tuleb kuuendale küsimusele vastata, et direktiivi 95/46 sätted ise ei sisalda piirangut, mis oleks vastuolus sõnavabaduse üldpõhimõtte või muude Euroopa Liidus kohaldatavate õiguste ja vabadustega, mida käsitleb eelkõige EIÕK artikkel 10. Direktiivi 95/46 ülevõtmiseks vastu võetud õigusaktide kohaldamise eest vastutavate liikmesriigi ametiasutuste ja kohtute ülesanne on kindlustada asjassepuutuvate õiguste ja huvide, sealhulgas ühenduse õiguskorras kaitstud põhiõiguste õiglane tasakaal.
Seitsmes küsimus
91 Seitsmenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitust, kas liikmesriik võib ette näha isikuandmete kaitse tugevamalt või laiemas kohaldamisalas kui see, mis tuleneb direktiivist 95/46.
Euroopa Kohtule esitatud märkused
92 Rootsi valitsus kinnitab, et direktiiv 95/46 ei piirdu isikuandmete kaitse miinimumnõuete kehtestamisega. Liikmesriigid on selle direktiivi ülevõtmisel kohustatud kindlustama kaitse direktiivis sätestatud tasemel ja neil ei ole õigust ette näha tugevamat või nõrgemat kaitset. Siiski tuleb arvestada, et direktiivi ülevõtmisel on liikmesriikidel kaalutlusruum, et täpsustada oma siseriiklikus õiguses isikuandmete töötlemise seaduslikkuse üldnõudeid.
93 Madalmaade valitsus väidab, et kui liikmesriigid näevad teatud valdkondades ette tugevama kaitse, ei ole see direktiiviga 95/46 vastuolus. Nimetatud direktiivi artiklist 10, artikli 11 lõikest 1, artikli 14 esimese lõigu punktist a, artikli 17 lõikest 3, artikli 18 lõikest 5 ja artikli 19 lõikest 1 tuleneb, et liikmesriigid võivad ette näha laiaulatuslikuma kaitse. Peale selle võivad liikmesriigid vabalt kohaldada direktiivi 95/46 põhimõtteid ka tegevusele, mis direktiivi kohaldamisalasse ei kuulu.
94 Komisjon väidab, et direktiiv 95/46 põhineb asutamislepingu artiklil 100a ja kui liikmesriik soovib jätta kehtima või kehtestada õigusaktid, mis sätestavad erandi sellisest ühtlustavast direktiivist, on ta kohustatud sellest komisjonile teatama vastavalt EÜ artikli 95 lõikele 4 või lõikele 5. Komisjon väidab seega, et liikmesriik ei või ette näha isikuandmete kaitset ulatuslikumalt või laiemas kohaldamisalas kui see, mis tuleneb nimetatud direktiivist.
Euroopa Kohtu vastus
95 Nagu nähtub direktiivi 95/46 põhjendusest 8, on selle direktiivi eesmärk viia isikuandmete töötlemisega seotud üksikisikute õiguste ja vabaduste kaitse kõigis liikmesriikides samale tasemele. Põhjenduses 10 on lisatud, et selle valdkonna õigusaktide ühtlustamise tagajärjel ei tohi nendega pakutav kaitse väheneda, vaid vastupidi – ühenduses tagatava kaitstuse tase peab olema kõrgem.
96 Kõnealuste siseriiklike õigusaktide ühtlustamine ei piirdu minimaalse ühtlustamisega, vaid viib põhimõtteliselt täieliku ühtlustamiseni. Just seda silmas pidades püütakse direktiiviga 95/46 kindlustada isikuandmete vaba liikumine, tagades ühtlasi andmesubjektide õiguste ja huvide kõrgetasemelise kaitse.
97 On tõsi, et direktiiv 95/46 tunnustab liikmesriikide tegutsemisruumi teatud valdkondades ja lubab neil jätta kehtima või kehtestada erieeskirju eriliste olukordade jaoks, nagu nähtub paljudest direktiivi sätetest. Kuid neid võimalusi tuleb siiski kasutada direktiivis 95/46 ette nähtud viisil ja kooskõlas direktiivi eesmärgiga, mis seisneb tasakaalu säilitamises isikuandmete vaba liikumise ja eraelu puutumatuse kaitse vahel.
98 Seevastu ei ole liikmesriigil takistusi direktiivi 95/46 sätteid ülevõtvate siseriiklike õigusaktide ulatuse laiendamiseks valdkondadele, mis ei kuulu selle direktiivi kohaldamisalasse, kui see ei lähe vastuollu mõne muu ühenduse õigusnormiga.
99 Neid kaalutlusi arvestades tuleb seitsmendale küsimusele vastata, et meetmed, mida liikmesriigid võtavad isikuandmete kaitse tagamiseks, peavad olema kooskõlas nii direktiivi 95/46 sätetega kui ka eesmärgiga, mis seisneb tasakaalu säilitamises isikuandmete vaba liikumise ja eraelu puutumatuse kaitse vahel. Seevastu ei ole liikmesriigil takistusi direktiivi 95/46 sätteid ülevõtvate siseriiklike õigusaktide ulatuse laiendamiseks valdkondadele, mis ei kuulu selle direktiivi kohaldamisalasse, kui see ei lähe vastuollu mõne muu ühenduse õigusnormiga.
Kohtukulud
100 Euroopa Kohtule märkusi esitanud Rootsi, Madalmaade ja Ühendkuningriigi valitsuse ning EFTA järelevalveameti kohtukulusid ei hüvitata. Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse siseriiklik kohus.
Esitatud põhjendustest lähtudes
EUROOPA KOHUS,
vastuseks Göta hovrätti 23. veebruari 2001. aasta määrusega esitatud küsimustele, otsustab:
1. Toiming, mis seisneb veebilehel erinevatele isikutele osutamises ja nende individualiseerimises kas nime või muude vahendite, näiteks telefoninumbri või nende töötingimusi ja vaba aja harrastusi puudutava teabe alusel, on „isikuandmete täielikult või osaliselt automatiseeritud töötlemine” Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 3 lõike 1 tähenduses.
2. Isikuandmete selline töötlemine ei kuulu ühegi direktiivi 95/46 artikli 3 lõikes 2 sätestatud erandi alla.
3. Osutamine asjaolule, et isik vigastas oma jalga ja töötab haiguspuhkusel olles osalise tööajaga, sisaldab tervislikku seisundit käsitlevaid isikuandmeid direktiivi 95/46 artikli 8 lõike 1 tähenduses.
4. „Andmete edastamist kolmandatesse riikidesse” direktiivi 95/46 artikli 25 tähenduses ei ole toimunud, kui liikmesriigis asuv isik sisestab isikuandmed veebilehele, mis on salvestatud füüsilise või juriidilise isiku serveris, kes majutab selle veebilehega tutvumist võimaldavat veebisaiti ja asub samas riigis või teises liikmesriigis, nii et need andmed muutuvad kättesaadavaks igaühele, kes kasutab internetti, kaasa arvatud kolmandates riikides asuvad isikud.
5. Direktiivi 95/46 sätted ise ei sisalda piirangut, mis oleks vastuolus sõnavabaduse üldpõhimõtte või muude Euroopa Liidus kohaldatavate õiguste ja vabadustega, mida käsitleb eelkõige Roomas 4. novembril 1950 allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikkel 10. Direktiivi 95/46 ülevõtmiseks vastu võetud õigusaktide kohaldamise eest vastutavate liikmesriigi ametiasutuste ja kohtute ülesanne on kindlustada asjassepuutuvate õiguste ja huvide, sealhulgas ühenduse õiguskorras kaitstud põhiõiguste õiglane tasakaal.
6. Meetmed, mida liikmesriigid võtavad isikuandmete kaitse tagamiseks, peavad olema kooskõlas nii direktiivi 95/46 sätetega kui ka eesmärgiga, mis seisneb tasakaalu säilitamises isikuandmete vaba liikumise ja eraelu puutumatuse kaitse vahel. Seevastu ei ole liikmesriigil takistusi direktiivi 95/46 sätteid ülevõtvate siseriiklike õigusaktide ulatuse laiendamiseks valdkondadele, mis ei kuulu selle direktiivi kohaldamisalasse, kui see ei lähe vastuollu mõne muu ühenduse õigusnormiga.
Cunha Rodrigues | Rosas | Edward |
Puissochet | Macken | von Bahr |
Kuulutatud avalikul kohtuistungil 6. novembril 2003 Luxembourgis.