Language of document : ECLI:EU:C:2023:874

EUROOPA KOHTU OTSUS (viies koda)

16. november 2023(*)

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv (EL) 2016/680 – Artikkel 17 – Andmesubjekti õiguste teostamine järelevalveasutuse kaudu – Andmete töötlemise seaduslikkuse kontrollimine – Artikli 17 lõige 3 – Minimaalne andmesubjekti teavitamise kohustus – Ulatus – Kehtivus – Artikkel 53 – Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu – Mõiste „õiguslikult siduv otsus“ – Euroopa Liidu põhiõiguste harta – Artikli 8 lõige 3 – Sõltumatu asutuse teostatav kontroll – Artikkel 47 – Õigus tõhusale kohtulikule kaitsele

Kohtuasjas C‑333/22,

mille ese on ELTL artikli 267 alusel cour d’appel de Bruxelles’i (Brüsseli apellatsioonikohus, Belgia) 9. mai 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 20. mail 2022, menetluses

Ligue des droits humains ASBL,

BA

versus

Organe de contrôle de l’information policière,

EUROOPA KOHUS (viies koda),

koosseisus: koja president E. Regan ning kohtunikud Z. Csehi, M. Ilešič, I. Jarukaitis ja D. Gratsias (ettekandja),

kohtujurist: L. Medina,

kohtusekretär: ametnik M. Siekierzyńska,

arvestades kirjalikku menetlust ja 29. märtsi 2023. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–        Ligue des droits humains ASBL ja BA, esindaja: avocate C. Forget,

–        Organe de contrôle de l’information policière (OCIP), esindajad: advocaten J. Bosquet ja J.-F. De Bock,

–        Belgia valitsus, esindajad: P. Cottin, J.-C. Halleux, C. Pochet ja A. Van Baelen, keda abistasid avocats N. Cariat, C. Fischer, B. Lombaert ja J. Simba,

–        Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,

–        Prantsuse valitsus, esindaja: J. Illouz,

–        Euroopa Parlament, esindajad: S. Alonso de León, O. Hrstková Šolcová, P. López-Carceller ja M. Thibault,

–        Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg, A.-C. Simon ja F. Wilman,

olles 15. juuni 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1        Eelotsusetaotlus käsitleb esiteks Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 lõike 3 ja artikli 47 tõlgendamist ning teiseks Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), artikli 17 kehtivust, arvestades harta eespool viidatud sätteid.

2        Taotlus on esitatud ühelt poolt Ligue des droits humains ASBLi ja BA ning teiselt poolt Organe de contrôle de l’information policière’ (politseiteabe järelevalveasutus, Belgia; edaspidi „OCIP“) vahelises kohtuvaidluses, mis puudutab selle asutuse kaudu BA õiguste teostamist seoses teda puudutavate isikuandmetega, mida töötles Belgia politsei ja mille alusel jättis Autorité nationale de sécurité (riiklik julgeolekuasutus, Belgia) selle isiku esitatud julgeolekukontrolli taotluse rahuldamata.

 Õiguslik raamistik

 Liidu õigus

3        Direktiivi 2016/680 põhjendustes 7, 10, 43, 46, 48, 75, 82, 85 ja 86 on märgitud:

„(7)      Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides on eriti oluline tagada füüsiliste isikute isikuandmete järjekindel kõrgetasemeline kaitse ja hõlbustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks peaks kõikides liikmesriikides olema ühesugune füüsiliste isikute õiguste ja vabaduste kaitse tase isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Tõhusaks isikuandmete kaitseks kogu [Euroopa L]iidus tuleb tugevdada andmesubjektide õigusi ning isikuandmeid töötlevate isikute kohustusi, aga ka volitusi isikuandmete kaitse normide järgimise järelevalveks ja tagamiseks liikmesriikides.

[…]

(10)      Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus [ELTL] artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades.

[…]

(43)      Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks füüsilisel isikul olema õigus tutvuda andmetega, mis on tema kohta kogutud, ning seda õigust lihtsalt ja mõistlike ajavahemike järel teostada. […]

[…]

(46)      Andmesubjekti õiguste piiramine peaks olema kooskõlas harta ning [Roomas 4. novembril 1950 allkirjastatud] Euroopa inimõiguste [ja põhivabaduste kaitse] konventsiooniga, nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust.

[…]

(48)      Kui vastutav töötleja jätab andmesubjekti ilma tema õigusest saada teavet, isikuandmetega tutvuda või neid parandada, kustutada või piirata nende töötlemist, peaks andmesubjektil olema õigus taotleda riigi järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. […]

[…]

(75)      Liikmesriikides täiesti sõltumatult oma tööülesandeid täita saavate järelevalveasutuste loomine on oluline, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Järelevalveasutused peaksid valvama käesoleva direktiivi kohaldamise järele ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. […]

[…]

(82)      Selleks et tagada kogu liidus mõjus, usaldusväärne ja sidus käesoleva direktiivi järgimise järelevalve ja selle tagamine kooskõlas ELi toimimise lepinguga, nagu seda tõlgendab Euroopa Kohus, peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja tegelikud volitused, sealhulgas uurimis-, parandus- ja nõuandevolitused, mis on nendele antud ülesannete täitmiseks vajalikud. […]

[…]

(85)      Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva direktiivi kohaselt vastu võetud sätete kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. […]

(86)      Igal füüsilisel või juriidilisel isikul peaks olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on kõnealuse isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Kõnealune õigus ei hõlma siiski järelevalveasutuste muid, õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi õigusega. Kõnealustel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.“

4        Direktiivi artikli 1 „Reguleerimisese ja eesmärgid“ lõigetes 1 ja 2 on sätestatud:

„1.      Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.

2.      Kooskõlas käesoleva direktiiviga liikmesriigid:

a)      kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning

b)      tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega.“

5        Direktiivi III peatükk „Andmesubjekti õigused“ sisaldab muu hulgas direktiivi artikleid 13–17. Artikli 13 „Andmesubjektile kättesaadavaks tehtud või antud teave“ lõikes 1 on sätestatud liikmesriikide kohustus näha ette, et vastutav töötleja teeb andmesubjektile kättesaadavaks teatava minimaalse teabe, nagu vastutava töötleja nimi ja kontaktandmed. Lisaks on selle artikli lõikes 2 loetletud täiendav teave, mida liikmesriigid peavad seadusega kohustama vastutavat töötlejat andma andmesubjektile selleks, et andmesubjektil oleks võimalik oma õigusi teostada. Selle artikli lõigetes 3 ja 4 on sätestatud:

„3.      Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile lõike 2 kohaselt esitatava teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne:

a)      ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)      süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)      avaliku julgeoleku kaitseks;

d)      riigi julgeoleku kaitseks;

e)      teiste isikute õiguste ja vabaduste kaitseks.

4.      Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida vähemalt üks lõike 3 punktidest.“

6        Direktiivi artikkel 14 „Andmesubjekti õigus tutvuda isikuandmetega“ on sõnastatud järgmiselt:

„Kui artiklis 15 ei ole sätestatud teisiti, näevad liikmesriigid ette andmesubjekti õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse või mitte, ning nende töötlemise korral tutvuda isikuandmete[ga] […]“.

7        Direktiivi 2016/680 artiklis 15 „Isikuandmetega tutvumise õiguse piiramine“ on sätestatud:

„1.      Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjekti isikuandmetega tutvumise õiguse täielik või osaline piiramine sellises ulatuses ja seni, kuni selline piiramine on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede

a)      ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)      süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)      avaliku julgeoleku kaitseks;

d)      riigi julgeoleku kaitseks;

e)      teiste isikute õiguste ja vabaduste kaitseks.

2.      Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida lõike 1 punktid a–e.

3.      Lõigetes 1 ja 2 osutatud juhtudel näevad liikmesriigid ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult isikuandmetega tutvumisest keeldumisest või isikuandmetega tutvumise piiramisest ja keeldumise või piiramise põhjustest. Sellist teavet ei pea andma, kui selle andmine kahjustaks mõnda lõike 1 kohast eesmärki. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.

4.      Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib otsuse faktilised ja õiguslikud alused. Nimetatud teave tehakse kättesaadavaks järelevalveasutustele.“

8        Direktiivi artiklis 16 „Isikuandmete parandamise või kustutamise ja isikuandmete töötlemise piiramise õigus“ on sätestatud:

„1.      Liikmesriigid näevad ette, et andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse isikuandmete töötlemise eesmärki, näevad liikmesriigid ette, et andmesubjektil on õigus nõuda mittetäielike isikuandmete täiendamist […].

2.      Liikmesriigid nõuavad, et vastutav töötleja kustutaks isikuandmed põhjendamatu viivituseta ja näevad ette andmesubjekti õiguse sellele, et vastutav töötleja kustutaks põhjendamata viivituseta tema isikuandmed, kui isikuandmete töötlemine rikub artikli 4, 8 või 10 kohaselt vastu võetud sätteid või kui isikuandmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks.

3.      Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui:

a)      andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või

b)      isikuandmeid tuleb säilitada tõendamise eesmärgil.

[…]

4.      Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti kirjalikult keeldumisest isikuandmeid parandada või kustutada või nende töötlemist piirata ning keeldumise põhjustest. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta vastu seadusandlikke meetmeid, millega nähakse ette sellise teabe esitamise kohustuse täielik või osaline piiramine sellises ulatuses, mil selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede:

a)      ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)      süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)      avaliku julgeoleku kaitseks;

d)      riigi julgeoleku kaitseks;

e)      teiste isikute õiguste ja vabaduste kaitseks.

Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.

[…]“.

9        Direktiivi artiklis 17 „Andmesubjekti õiguste teostamine ja kontroll järelevalveasutuse poolt“ on ette nähtud:

„1.      Artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel võtavad liikmesriigid vastu meetmeid, millega nähakse ette, et andmesubjekti õigusi võib teostada ka pädeva järelevalveasutuse kaudu.

2.      Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti võimalusest teostada vastavalt lõikele 1 oma õigusi järelevalveasutuse kaudu.

3.      Kui teostatakse lõikes 1 osutatud õigust, teavitab järelevalveasutus andmesubjekti vähemalt sellest, et kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud. Järelevalveasutus teavitab andmesubjekti ühtlasi õigusest kasutada õiguskaitsevahendit.“

10      Direktiivi artikli 42 „Sõltumatus“ lõikes 1 on sätestatud:

„Liikmesriigid näevad ette, et nende järelevalveasutused tegutsevad käesoleva direktiivi kohaselt oma ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.“

11      Direktiivi 2016/680 artikli 46 „Ülesanded“ lõikes 1 on sätestatud:

„Liikmesriigid näevad ette, et järelevalveasutusel on liikmesriigi territooriumil järgmised ülesanded:

a)      valvata käesoleva direktiivi kohaselt vastu võetud sätete ja direktiivi rakendusmeetmete kohaldamise järele ning nende tagada kohaldamist;

[…]

f)      käsitleda andmesubjekti […] esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest […]

g)      kontrollida isikuandmete töötlemise seaduslikkust vastavalt artiklile 17 ning teavitada andmesubjekti mõistliku aja jooksul artikli 17 lõike 3 kohase kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest;

[…]“.

12      Direktiivi artiklis 47 „Volitused“ on sätestatud:

„1.      Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad uurimisvolitused. Kõnealused volitused hõlmavad vähemalt õigust saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele töödeldavatele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks.

2.      Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad parandusvolitused, näiteks järgmised:

a)      hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat direktiivi;

b)      anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud tähtaja jooksul vastavusse käesoleva direktiiviga, eelkõige nõudes isikuandmete parandamist, kustutamist või isikuandmete töötlemise piiramist vastavalt artiklile 16;

c)      kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld.

[…]

4.      Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

[…]“.

13      Direktiivi artikli 52 „Õigus esitada järelevalveasutusele kaebus“ lõikes 1 on sätestatud:

„Ilma et see piiraks teiste halduslike kaitsevahendite või õiguskaitsevahendite kohaldamist, näevad liikmesriigid ette, et andmesubjektil on õigus esitada kaebus ühele järelevalveasutusele, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesoleva direktiivi kohaselt vastu võetud sätteid.“

14      Direktiivi artikli 53 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ lõikes 1 on ette nähtud:

„Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, näevad liikmesriigid ette, et füüsilisel ja juriidilisel isikul on õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.“

15      Direktiivi 2016/680 artikkel 54 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ on sõnastatud järgmiselt:

„Ilma et see piiraks kättesaadavate halduslike kaitsevahendite või kohtuväliste heastamisvahendite kasutamist, sealhulgas artikli 52 kohast õigust esitada kaebus järelevalveasutusele, näevad liikmesriigid ette, et andmesubjektil, kes leiab, et käesoleva direktiivi sätteid rikkuva isikuandmete töötlemise tulemusena on rikutud kõnealustest sätetest talle tulenevaid õigusi, on õigus kasutada tõhusat õiguskaitsevahendit.“

 Belgia õigus

16      Direktiiv 2016/680 võeti üle 30. juuli 2018. aasta seaduse füüsiliste isikute kaitse kohta isikuandmete töötlemisel (loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel; Moniteur belge, 5.9.2018, lk 68616) (edaspidi „LPD“) 2. jaotisega. Direktiivi artiklites 13–16 sätestatud õigused on ette nähtud selle seaduse 2. jaotise III peatükis, täpsemalt artiklites 37–39.

17      LPD artiklis 42 on sätestatud:

„Taotlus käesolevas peatükis osutatud õiguste teostamiseks politseiteenistuste […] või föderaalse ja kohaliku politsei peainspektsiooni suhtes esitatakse artiklis 71 osutatud järelevalveasutusele.

Artikli 37 lõikes 2, artikli 38 lõikes 2 [ja] artikli 39 lõikes 4 […] osutatud juhtudel teavitab artiklis 71 osutatud järelevalveasutus andmesubjekti üksnes sellest, et vajalikud kontrollitoimingud on tehtud.

Olenemata lõikest 2 võib artiklis 71 osutatud järelevalveasutus avaldada asjaomasele isikule teatavat taustateavet.

Kuningas määrab pärast artiklis 71 osutatud järelevalveasutuse arvamuse ärakuulamist kindlaks taustateabe kategooria, mida kõnealune asutus võib asjaomasele isikule avaldada.“

18      Cour d’appel de Bruxelles’i (Brüsseli apellatsioonikohus, Belgia) sõnul ei ole LPD artikli 42 neljanda lõigu rakendamiseks vastu võetud ühtegi kuninglikku dekreeti.

19      LPD artikli 71 lõikes 1 on sätestatud:

„Käesolevaga luuakse esindajatekoja juurde sõltumatu politseiteabe järelevalveasutus, mis nimetatakse politseiteabe järelevalveasutuseks.

[…]

Selle […] ülesanne on:

1°      teha järelevalvet käesoleva jaotise kohaldamise üle […];

2°      kontrollida 5. augusti 1992. aasta politseiseaduse artiklites 44/1–44/11/13 osutatud teabe ja isikuandmete töötlemist, sealhulgas sama seaduse artiklis 44/2 nimetatud andmebaasides olevate andmete ja isikuandmete töötlemist;

3°      mis tahes muu ülesanne, mis on korraldatud teiste seadustega või nende alusel.“

20      LPD 5. jaotise I peatüki pealkiri on „Rikkumise lõpetamise nõue“. Selles peatükis paiknev artikkel 209 on sõnastatud järgmiselt:

„Ilma et see takistaks muude kohtulike, halduslike või kohtuväliste õiguskaitsevahendite kasutamist, tuvastab esimese astme kohtu esimees esialgse õiguskaitse menetluses, et isikuandmete töötlemisel on rikutud füüsiliste isikute kaitset käsitlevaid õigusnorme, ja annab korralduse töötlemise lõpetamiseks.

Esimese astme kohtu esimees vaatab esialgse õiguskaitse menetluses läbi kõik taotlused, mis on seotud seadusest tuleneva või selle alusel antud õigusega saada isikuandmeid, ning kõik taotlused, mis käsitlevad selliste isikuandmete parandamist, kustutamist või kasutamise keelamist, mis on ebatäpsed või töötlemise eesmärki silmas pidades ebatäielikud või ebaolulised või mille salvestamine, edastamine või säilitamine on keelatud või mille töötlemise suhtes on andmesubjekt esitanud vastuväite või mida on säilitatud lubatud tähtajast kauem.“

21      LPD artikli 240 lõikes 4 on sätestatud:

„[OCIP]

[…]

4°      käsitleb esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega. […]“.

 Põhikohtuasi ja eelotsuse küsimused

22      BA, kes oli sel ajal osaajatöötaja mittetulundusühingus, taotles 2016. aastal julgeolekukontrolli Autorité nationale de sécurité’lt (riigi julgeolekuamet, Belgia), et ta saaks osaleda Brüsselis (Belgia) kümnendate Euroopa arengupäevade ürituse rajatiste kokkupanekul ja demonteerimisel.

23      Julgeolekuamet keeldus 22. juuni 2016. aasta kirjaga andmast BA‑le julgeolekutunnistust põhjendusel, et ameti käsutuses olevatest isikuandmetest nähtub, et asjaomane isik oli osalenud ajavahemikul 2007–2016 kümnel demonstratsioonil ning need andmed ei võimalda kohaldatavate õigusnormide alusel BA‑le julgeolekutunnistuse väljastamist, eelkõige riigi julgeoleku ja põhiseadusliku demokraatliku korra tagamise huvides. Seda otsust ei vaidlustatud.

24      BA esindaja taotles 4. veebruaril 2020 OCIP‑lt, et too tuvastaks kõnealuse isikuandmete töötlemise vastutavad töötlejad ja kohustaks neid võimaldama tema kliendil tutvuda kogu teda puudutava teabega, et ta saaks kasutada oma õigusi ette nähtud tähtaja jooksul.

25      OCIP kinnitas 6. veebruari 2020. aasta e-kirjas, et on selle taotluse kätte saanud. Ta märkis, et BA‑l on ainult kaudne õigus teabega tutvuda, kuid kinnitas, et ta kontrollib, kas BA isikuandmete võimalik töötlemine riiklikus keskandmebaasis (Banque de données nationale générale), st andmebaasis, mida kasutavad kõik liikmesriigi politseiteenistused, on seaduslik. Lisaks täpsustas ta, et tal on õigus anda politseile korraldus isikuandmete kustutamiseks või muutmiseks, kui see on vajalik, ning kontrolli lõpus teatab ta BA‑le, et vajalikud kontrollitoimingud on tehtud.

26      OCIP teatas 22. juuni 2020. aasta e-kirjas BA esindajale:

„[…]

Teatan teile vastavalt LPD artiklile 42, et [OCIP] on teinud vajalikud kontrollitoimingud.

See tähendab, et Teie kliendi isikuandmeid on kontrollitud politsei andmebaasides, et tagada võimaliku isikuandmete töötlemise seaduslikkus.

Vajaduse korral on isikuandmeid muudetud või need on kustutatud.

Nagu ma Teile [2.] juuni e-kirjas selgitasin, ei võimalda LPD artikkel 42 [OCIP‑l] edastada rohkem teavet.“

27      Ligue des droits humains ja BA esitasid LPD artikli 209 teise lõigu alusel 2. septembril 2020 tribunal de première instance francophone de Bruxelles’ile (Brüsseli prantsuskeelne esimese astme kohus, Belgia) esialgse õiguskaitse taotluse.

28      Esiteks palusid põhikohtuasja kaebajad sellel kohtul tunnistada nende esialgse õiguskaitse taotlus vastuvõetavaks ja teise võimalusena küsida Euroopa Kohtult sisuliselt, kas direktiivi 2016/680 artikli 47 lõikega 4 – koostoimes selle direktiivi põhjendustega 85 ja 86 ning harta artikli 8 lõikega 3 ja artikliga 47 – on vastuolus LPD artiklid 42 ja 71, sest nendes ei ole ette nähtud ühtegi õiguskaitsevahendit OCIP otsuste vastu.

29      Teiseks taotlesid nad sisuliselt võimalust tutvuda kõigi BA isikuandmetega OCIP vahendusel ning palusid, et OCIPd kohustataks teatama nende andmete vastutavad töötlejad ja kõik isikud, kes võisid selliseid andmeid saada.

30      Juhul kui asja menetlev kohus leiab, et LPD artikli 42 lõige 2 võimaldab süstemaatiliselt piirata võimalust tutvuda politseiteenistuste töödeldud isikuandmetega, palusid nad teise võimalusena esitada Euroopa Kohtule sisuliselt küsimuse, kas direktiivi 2016/680 artikleid 14, 15 ja 17 koostoimes harta artiklitega 8 ja 47 ning artikli 52 lõikega 1 tuleb tõlgendada nii, et nendega on vastuolus riigisisesed õigusnormid, mis lubavad teha isikuandmetega tutvumise õigusest üldise ja süstemaatilise erandi, kuivõrd esiteks saab seda õigust kasutada ainult järelevalveasutuse kaudu ning teiseks võib järelevalveasutus piirduda andmesubjekti teavitamisega kõigi vajalike kontrollitoimingute tegemisest, teavitamata teda töödeldud isikuandmetest ja nende saajatest ning sõltumata taotletavast eesmärgist.

31      Tribunal de première instance francophone de Bruxelles (Brüsseli prantsuskeelne esimese astme kohus) leidis 17. mai 2021. aasta määrusega, et ta ei ole pädev kaebajate esialgse õiguskaitse taotlust lahendama.

32      Põhikohtuasja kaebajad esitasid 15. juunil 2021 selle kohtumääruse peale kaebuse cour d’appel de Bruxelles’ile (Brüsseli apellatsioonikohus). Sisuliselt kordasid nad esimeses kohtuastmes esitatud nõudeid.

33      Selles kontekstis märgib eelotsusetaotluse esitanud kohus sisuliselt eelkõige, et juhul, kui isikul ei ole õigust direktiivis 2016/680 ette nähtud õigusi isiklikult kasutada, ei saa LPD artiklis 209 jj ette nähtud rikkumise lõpetamise nõuet esitada. Esiteks võib sellise nõude esitada vastutava töötleja vastu, mitte järelevalveasutuse enda vastu. Teiseks ei saa kõnealune isik, käesoleval juhul BA, seda esitada ka vastutava töötleja vastu, sest tema õiguste teostamine on usaldatud järelevalveasutusele. Kolmandaks ei võimalda OCIP poolt BA‑le esitatud väga napp teave BA‑l ega kohtul kindlaks teha, kas järelevalveasutus on selle isiku õigusi õigesti teostanud. Ta lisab, et kuigi LPD näeb ette, et rikkumise lõpetamise nõue ei takista muude kohtulike, halduslike või kohtuväliste õiguskaitsevahendite kasutamist, on kõigil teistel õiguskaitsevahenditel, mida BA võiks kasutada, samad takistused.

34      Neil asjaoludel otsustas cour d’appel de Bruxelles (Brüsseli apellatsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas harta artikkel 47 ja artikli 8 lõige 3 nõuavad, et sellise sõltumatu järelevalveasutuse vastu nagu [OCIP] on võimalik kasutada õiguskaitsevahendeid, kui see asutus teostab andmesubjekti õigusi vastutava töötleja suhtes?

2.      Kas direktiivi 2016/680 artikkel 17 on kooskõlas harta artikliga 47 ja artikli 8 lõikega 3 Euroopa Kohtu tõlgenduses, kuivõrd see kohustab järelevalveasutust – kes teostab andmesubjekti õigusi vastutava töötleja suhtes – üksnes teavitama andmesubjekti sellest, et „kõik vajalikud kontrollid või läbivaatamine järelevalveasutuse poolt on aset leidnud“, ja „õigusest kasutada õiguskaitsevahendit“, kuigi selline teave ei võimalda hiljem kontrollida järelevalveasutuse tegevust ja hinnangut seoses andmesubjekti andmete ja vastutava töötleja kohustustega?“

 Eelotsuse küsimuste analüüs

 Esimene küsimus

35      Sissejuhatavalt olgu märgitud, et eelotsusetaotlusest nähtuvalt puudutavad eelotsusetaotluse esitanud kohtu küsimused seda, kas liikmesriikidel on direktiivi 2016/680 artikli 53 lõike 1 alusel koostoimes harta artikliga 47 kohustus näha ette õigus tõhusale õiguskaitsevahendile liikmesriigi pädeva järelevalveasutuse vastu, kui rakendatakse riigisisest õigusnormi, millega võetakse üle selle direktiivi artikkel 17, mille kohaselt võib direktiivi artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel teostada andmesubjekti õigusi sellise järelevalveasutuse kaudu.

36      Olgu lisatud, et vastus sellele küsimusele sõltub järelevalveasutuse ülesannete ja volituste laadist ja ulatusest andmesubjekti õiguste teostamisel, mis on ette nähtud direktiivi 2016/680 artiklis 17. Neid ülesandeid ja volitusi on täpsustatud direktiivi artikli 46 lõike 1 punktis g ning artikli 47 lõigetes 1 ja 2 ning neid tuleb analüüsida lähtuvalt harta artikli 8 lõikest 3, mis nõuab, et artikli 8 lõigetes 1 ja 2 ette nähtud isikuandmete kaitset käsitlevate sätete täitmist kontrolliks sõltumatu asutus.

37      Seega tuleb esimest küsimust mõista nii, et eelotsusetaotluse esitanud kohus palub sisuliselt selgitada, kas direktiivi 2016/680 artiklit 17 koostoimes direktiivi artikli 46 lõike 1 punktiga g, artikli 47 lõigetega 1 ja 2 ja artikli 53 lõikega 1 ning harta artikli 8 lõikega 3 ja artikliga 47 tuleb tõlgendada nii, et kui nimetatud artikli 17 alusel on isiku õigusi teostatud pädeva järelevalveasutuse kaudu, peab isikul olema võimalik kasutada tõhusat õiguskaitsevahendit selle asutuse vastu.

38      Kõigepealt olgu meenutatud, et direktiivi 2016/680 artikli 53 lõike 1 kohaselt peavad liikmesriigid ette nägema, et füüsilisel või juriidilisel isikul on õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

39      Seetõttu tuleb kindlaks teha, kas järelevalveasutus teeb sellise otsuse juhul, kui direktiivi artikli 17 kohaselt teostatakse direktiivis sätestatud andmesubjektide õigusi selle järelevalveasutuse kaudu.

40      Siinkohal tuleb märkida, et direktiivi 2016/680 artikli 17 lõikes 1 on sätestatud, et „artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel“ on liikmesriigid kohustatud võtma meetmeid, millega nähakse ette, et „andmesubjekti õigusi võib teostada ka pädeva järelevalveasutuse kaudu“.

41      Nagu näitab rõhumäärsõna „ka“ kasutamine ja nagu kohtujurist oma ettepaneku punktides 41 ja 42 sisuliselt märkis, kujutab selles sättes ette nähtud andmesubjekti õiguste kaudne teostamine pädeva järelevalveasutuse kaudu endast andmesubjektile antud täiendavat tagatist, et tema isikuandmeid töödeldakse seaduslikult, kui liikmesriigi õigusnormid piiravad võimalust teostada vahetult vastutava töötleja suhtes direktiivi 2016/680 artikli 13 lõikes 2 ette nähtud õigust saada täiendavat teavet, artiklis 14 sätestatud õigust isikuandmetega tutvuda või õigust nõuda direktiivi artikli 16 lõigete 1–3 kohaselt isikuandmete parandamist, kustutamist või nende töötlemise piiramist.

42      Arvestades direktiivi kohaldamisalasse kuuluvate andmete töötlemise eesmärkide konkreetset laadi, mida on rõhutatud eelkõige direktiivi põhjenduses 10, lubavad direktiivi 2016/680 artikli 13 lõige 3 ja artikli 15 lõige 1 liikmesriigi seadusandjal „füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades“ piirata ühelt poolt teabe saamise õiguse ja teiselt poolt andmetega tutvumise õiguse vahetut teostamist „sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede“ „ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks“, „süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks“, „avaliku julgeoleku kaitseks“, „riigi julgeoleku kaitseks“ või „teiste isikute õiguste ja vabaduste kaitseks“. Lisaks on sama direktiivi artikli 15 lõikes 3 ette nähtud, et vastutav töötleja võib jätta andmesubjekti teavitamata isikuandmetega tutvumisest keeldumisest või isikuandmetega tutvumise piiramisest ja keeldumise või piiramise põhjustest, kui sellise teabe andmine võib kahjustada mõnda eespool nimetatud avaliku huvi eesmärki.

43      Samuti lubab direktiivi artikli 16 lõige 4 liikmesriigi seadusandjal „asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades“ piirata vastutava töötleja kohustust „teavitada andmesubjekti kirjalikult keeldumisest isikuandmeid parandada või kustutada või nende töötlemist piirata ning keeldumise põhjustest“ samadel avaliku huvi eesmärkidel ning „sellises ulatuses, mil selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede“.

44      Seega, nagu nähtub direktiivi põhjendusest 48, tuleb käesoleva kohtuotsuse punktis 41 nimetatud õiguste kaudset teostamist pädeva järelevalveasutuse kaudu pidada vajalikuks nende õiguste kaitseks, sest nimetatud õiguste vahetu teostamine vastutava töötleja suhtes on keeruline või isegi võimatu.

45      Sel eesmärgil nõuab direktiivi 2016/680 artikli 46 lõike 1 punkt g, et igal liikmesriigi pädeval asutusel oleks ülesanne kontrollida isikuandmete töötlemise seaduslikkust vastavalt direktiivi artiklile 17, st pärast nimetatud sättel põhineva taotluse esitamist.

46      Lisaks tuleneb eelkõige direktiivi artikli 47 lõigetest 1 ja 2, et järelevalveasutusel ei pea riigisisese õiguse kohaselt olema mitte ainult „tõhusad uurimisvolitused“, vaid ka „tõhusad parandusvolitused“.

47      Nende sätete tõlgendamisel tuleb silmas pidada harta artikli 8 lõikes 3 sätestatud nõuet, et selle artikli lõigetes 1 ja 2 sisalduvate igaühe õigust oma isikuandmete kaitsele käsitlevate sätete täitmist „kontrollib sõltumatu asutus“, ning eelkõige selle artikli lõike 2 teises lauses sätestatud nõuet, et „igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist“. Nagu kinnitab väljakujunenud kohtupraktika, on sõltumatu järelevalveasutuse asutamise eesmärk tagada isikuandmete töötlemisel füüsiliste isikute kaitset reguleerivate sätete järgimise üle teostatava kontrolli tõhusus ja usaldusväärsus ning seda tuleb tõlgendada nimetatud eesmärki arvestades (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi ja Kanada vaheline broneeringuinfo leping), EU:C:2017:592, punkt 229 ja seal viidatud kohtupraktika).

48      Seega, kui selline järelevalveasutus tegutseb eesmärgil tagada andmesubjekti õiguste teostamine direktiivi 2016/680 artikli 17 alusel, kuulub tema ülesanne täielikult tema rolli määratluse alla liidu esmases õiguses, sest see määratlus hõlmab muu hulgas järelevalvet selle üle, kas andmesubjektil on õigus andmetega tutvuda ja neid parandada. Sellest järeldub, et kõnealuse konkreetse ülesande täitmisel, nagu ka muude ülesannete täitmisel, peab järelevalveasutusel olema võimalik kasutada talle direktiivi artikliga 47 antud volitusi, tegutsedes sõltumatult, kooskõlas hartaga ning vastavalt direktiivi põhjenduses 75 märgitule.

49      Lisaks peab pädev järelevalveasutus pärast töötlemise seaduslikkuse kontrollimist teavitama direktiivi artikli 17 lõike 3 esimese lause kohaselt andmesubjekti „vähemalt sellest, et kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud“.

50      Nagu kohtujurist oma ettepaneku punktis 65 sisuliselt märkis, tuleb kõigist nendest sätetest järeldada, et kui pädev järelevalveasutus teavitab andmesubjekti tehtud kontrolli tulemustest, teavitab ta teda otsusest, mille ta on tema suhtes teinud kontrollimenetluse lõpetamise kohta, ning see otsus mõjutab tingimata selle isiku õiguslikku olukorda. Järelikult on see otsus tema suhtes „õiguslikult siduv otsus“ direktiivi 2016/680 artikli 53 lõike 1 tähenduses, sõltumata sellest, kas ja millises ulatuses on järelevalveasutus kindlaks teinud andmesubjekti andmete töötlemise seaduslikkuse ja võtnud parandusmeetmeid.

51      Pealegi on direktiivi põhjenduses 86 märgitud, et mõistet „õiguslikult siduv otsus“ selle direktiivi tähenduses tuleb mõista kui otsust, millel on andmesubjekti suhtes õiguslikud tagajärjed, eelkõige otsust, mis on seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega.

52      Seega peab andmesubjektil olema võimalik taotleda direktiivi 2016/680 artikli 53 lõike 1 alusel kohtulikku kontrolli niisuguse otsuse põhjendatuse üle ja eelkõige selle üle, kuidas järelevalveasutus on täitnud direktiivi artiklist 17 – millele on viidatud direktiivi artikli 46 lõike 1 punktis g – tulenevat kohustust „teha kõik vajalikud kontrollid“ ja kohustust rakendada vajaduse korral oma parandusvolitusi.

53      Seda järeldust kinnitab ka direktiivi 2016/680 põhjendus 85, millest nähtub, et igal andmesubjektil peaks olema õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu, kui järelevalveasutus „ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks“.

54      Lõpuks on selline tõlgendus kooskõlas harta artikliga 47, sest väljakujunenud kohtupraktika kohaselt peab kõnealune õigus olema igaühel, kes tugineb liidu õigusega tagatud õigustele või vabadustele teda kahjustava otsuse vastu, mis võib neid õigusi või vabadusi riivata (vt selle kohta 26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punkt 87 ning seal viidatud kohtupraktika).

55      Kõiki eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et direktiivi 2016/680 artiklit 17 koostoimes direktiivi artikli 46 lõike 1 punktiga g, artikli 47 lõigetega 1 ja 2 ja artikli 53 lõikega 1 ning harta artikli 8 lõikega 3 ja artikliga 47 tuleb tõlgendada nii, et kui nimetatud artikli 17 alusel on isiku õigusi teostatud pädeva järelevalveasutuse kaudu ja kui järelevalveasutus teavitab isikut tehtud kontrolli tulemustest, peab isikul olema võimalik kasutada tõhusat õiguskaitsevahendit selle asutuse otsuse vastu kontrollimenetlus lõpetada.

 Teine küsimus

56      Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2016/680 artikli 17 lõige 3 on harta artikli 8 lõiget 3 ja artiklit 47 arvestades kehtiv, kuivõrd see kohustab järelevalveasutust üksnes teavitama andmesubjekti esiteks sellest, et järelevalveasutus on teinud kõik vajalikud kontrollid või läbivaatuse, ja teiseks selle isiku õigusest kasutada õiguskaitsevahendit, kui selline teave ei võimalda kohtulikku kontrolli järelevalveasutuse tegevuse ja tema hinnangute üle, võttes arvesse töödeldavaid andmeid ja vastutava töötleja kohustusi.

57      Sellega seoses olgu esiteks meenutatud, et tõlgendamise üldpõhimõtte kohaselt tuleb liidu õigusakti tõlgendada võimaluste piires viisil, mis ei mõjuta selle kehtivust, ning kooskõlas kogu esmase õigusega, eelkõige harta sätetega. Seega, kui liidu teisest õigust on võimalik tõlgendada mitut moodi, tuleb eelistada tõlgendust, mille kohaselt on õigusnorm esmase õigusega kooskõlas, mitte tõlgendust, mille tagajärjel tuleks tuvastada, et see on esmase õigusega vastuolus (21. juuni 2022. aasta kohtuotsus Ligue des droits humains, C‑817/19, EU:C:2022:491, punkt 86 ja seal viidatud kohtupraktika).

58      Teiseks eeldab harta artikliga 47 tagatud õigus tõhusale õiguskaitsevahendile üldjuhul seda, et puudutatud isik saaks tutvuda tema suhtes tehtud otsuse põhjendustega, et võimaldada tal kaitsta oma õigusi parimates võimalikes tingimustes ja otsustada täielikult informeerituna, kas on otstarbekas pädevasse kohtusse pöörduda, ning täielikult võimaldada kohtul kontrollida selle otsuse seaduslikkust (vt selle kohta 4. juuni 2013. aasta kohtuotsus ZZ, C‑300/11, EU:C:2013:363, punkt 53 ja seal viidatud kohtupraktika).

59      Kuigi see õigus ei kujuta endast absoluutset õigust ja vastavalt harta artikli 52 lõikele 1 võib seda piirata tingimusel, et piirangud nähakse ette seaduses, need arvestavad asjasse puutuvate õiguste ja vabaduste olemust ning on proportsionaalsuse põhimõtet järgides vajalikud ja tõepoolest vastavad liidu poolt tunnustatud üldist huvi teenivatele eesmärkidele või vajadusele kaitsta teiste isikute õigusi ja vabadusi (26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punkt 89 ning seal viidatud kohtupraktika).

60      Antud juhul tuleb seoses käesoleva kohtuotsuse punktis 50 osutatud pädeva järelevalveasutuse otsusega märkida, et direktiivi 2016/680 artikli 17 lõige 3 kehtestab sellele järelevalveasutusele minimaalse teavitamiskohustuse, nähes ette, et ta teavitab andmesubjekti „vähemalt“ sellest, et „kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud“, ning tema „õigusest kasutada õiguskaitsevahendit“.

61      Sellest järeldub, et kuna selle sättega ei ole vastuolus see, kui järelevalveasutusel on kõnealuse sätte rakendamiseks liikmesriigi seadusandja poolt vastu võetud eeskirjade kohaselt teatud juhtudel – ilma täiendavate täpsustusteta – õigus või isegi kohustus piirduda eelmises punktis nimetatud minimaalse teabega, eelkõige juhul, kui nende eeskirjade eesmärk on vältida direktiivi artikli 13 lõikes 3, artikli 15 lõikes 1 ja artikli 16 lõikes 4 sätestatud avaliku huvi eesmärkide kahjustamist, nagu on märgitud käesoleva kohtuotsuse punktides 42 ja 43, siis võib see piirata õigust tõhusale õiguskaitsevahendile, mis on tagatud harta artikliga 47.

62      Samas tuleb esiteks tõdeda, et selline piirang on direktiivis 2016/680 sõnaselgelt ette nähtud ja vastab seega harta artikli 52 lõikes 1 sätestatud tingimusele, mille kohaselt tohib põhiõiguste teostamist piirata „ainult seadusega“.

63      Teiseks, nagu kohtujurist oma ettepaneku punktis 89 sisuliselt märgib, ei tähenda asjaolu, et direktiivi 2016/680 artikli 17 lõige 3 lubab liikmesriikidel teatud juhtudel piirduda otsuse põhjendamisel selles sättes ette nähtud minimaalsete andmetega, et kõigil juhtudel oleks võimalik andmesubjekti teavitamisel ainult nende andmetega piirduda.

64      Kõnealust sätet tuleb harta artikli 52 lõiget 1 arvestades tõlgendada nii, et muud selles osutatud kriteeriumid oleksid täidetud. See tähendab, et nimetatud säte nõuab liikmesriikidelt, et nad tagaksid, et seda sätet rakendavad riigisisesed õigusnormid järgivad esiteks andmesubjekti õiguse tõhusale õiguskaitsevahendile olemust ja teiseks põhinevad vajalikkuse ja proportsionaalsuse põhimõtteid järgides selle teabe piiramist õigustavate avaliku huvi eesmärkide ning andmesubjekti põhiõiguste ja õigustatud huvide kaalumisel, mis sarnaneb kaalumisele, mille liikmesriigi seadusandja peab läbi viima, kui ta rakendab direktiivi artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 ette nähtud piiranguid.

65      Eelkõige juhul, kui seda on vaja ühelt poolt selleks, et kaitsta andmesubjekti õigust tõhusale õiguskaitsevahendile otsuse vastu lõpetada kontrollimenetlus, ja kui teiselt poolt ei lähe see vastuollu direktiivi 2016/680 artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 nimetatud avaliku huvi eesmärkidega, siis peavad liikmesriigid ette nägema, et andmesubjekti teavitamine võib olla direktiivi artikli 17 lõikes 3 ette nähtud minimaalse teabe edastamisest ulatuslikum selleks, et tal oleks võimalik kaitsta oma õigusi ja otsustada täielikult informeerituna, kas on otstarbekas pöörduda pädevasse kohtusse.

66      Samuti peavad seda direktiivi sätet rakendavad riigisisesed meetmed jätma pädevale järelevalveasutusele kooskõlas sõltumatusega, mis tal harta artikli 8 lõike 3 alusel on, võimaluse korral teatava kaalutlusruumi selle kindlakstegemisel, kas raamistikuga, mis on liikmesriigi õiguses kindlaks määratud vastavalt käesoleva kohtuotsuse punktis 65 osutatud nõuetele, ei ole vastuolus, kui ta vähemalt lühidalt teavitab andmesubjekti oma kontrolli tulemustest ja vajaduse korral võetud parandusmeetmetest. Nagu kohtujurist oma ettepaneku punktides 73 ja 74 sisuliselt märkis, on järelevalveasutuse ülesanne seejuures pidada vastutava töötlejaga konfidentsiaalset dialoogi ning dialoogi lõppedes otsustada, millist teavet, mis on andmesubjektile vajalik teostamaks õigust tõhusale õiguskaitsevahendile, võib järelevalveasutus andmesubjektile edastada, ilma et ta kahjustaks käesoleva kohtuotsuse punktis 65 nimetatud avaliku huvi eesmärke.

67      Pealegi juhul, kui see raamistik nõuab, et järelevalveasutuse esitatud teave piirduks direktiivi 2016/680 artikli 17 lõikes 3 ettenähtuga, on liikmesriikidel siiski ülesanne menetlusautonoomia raames rakendada vajalikke meetmeid, et tagada direktiivi artikli 53 lõike 1 kohaselt tõhus õiguskaitsevahend nii selle teabe piiramise põhjuste olemasolu ja paikapidavuse suhtes kui ka selle suhtes, kas järelevalveasutus täidab nõuetekohaselt ülesannet kontrollida töötlemise seaduslikkust. Seejuures tuleb viimati nimetatud sättes kasutatud mõistet „tõhus õiguskaitsevahend“ tõlgendada koostoimes direktiivi põhjendusega 86, milles on märgitud, et kohtutel, kelle poole pöördutakse järelevalveasutuse vastu, „peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud“.

68      Eelkõige peavad liikmesriigid tagama, et pädeval kohtul oleks võimalus ja kohustus rakendada menetlusõiguse vahendeid ja kohaldada menetlusõiguse norme, mis võimaldavad tasakaalustada ühelt poolt direktiivi 2016/680 artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 nimetatud avaliku huvi eesmärkidega – mida on liikmesriigi õiguses arvesse võetud – seotud legitiimseid kaalutlusi andmesubjektile edastatava teabe piiramiseks, ning teiselt poolt vajadust tagada õigussubjektile piisav arvestamine tema menetlusõigustega, nagu õigus olla ära kuulatud ja võistlevuse põhimõte (vt selle kohta 4. juuni 2013. aasta kohtuotsus ZZ, C‑300/11, EU:C:2013:363, punkt 57 ja seal viidatud kohtupraktika).

69      Kohtuliku kontrolli raames selle üle, kas järelevalveasutus on õigesti kohaldanud direktiivi artiklit 17, peavad liikmesriigid kehtestama eeskirjad, mis võimaldavad pädeval kohtul tutvuda nii kõigi põhjendustega kui ka nendega seotud tõenditega, millele järelevalveasutus tugines andmete töötlemise seaduslikkuse kontrollimisel, ning järeldustega, mis ta nende põhjal tegi (vt selle kohta 4. juuni 2013. aasta kohtuotsus ZZ, C‑300/11, EU:C:2013:363, punkt 59 ja seal viidatud kohtupraktika).

70      Nagu Euroopa Parlament oma seisukohtades märkis, on direktiivi 2016/680 artikli 15 lõikes 4 ette nähtud, et vastutav töötleja dokumenteerib faktilised ja õiguslikud alused, millel põhineb otsus, millega ta osaliselt või täielikult piiras andmesubjekti õigust andmetega tutvuda, ning et see teave tehakse kättesaadavaks järelevalveasutustele. Nagu see institutsioon väitis, tähendab nimetatud säte koostoimes direktiivi artiklitega 17 ja 53 ning arvestades harta artiklit 47, nagu seda on tõlgendatud käesoleva kohtuotsuse punktides 68 ja 69 viidatud kohtupraktikas, et kõnealune teave tuleb teha kättesaadavaks ka kohtule, kellele on esitatud kaebus järelevalveasutuse vastu, milles palutakse kontrollida, kas artiklit 17 on õigesti kohaldatud.

71      Seega tuleneb käesoleva kohtuotsuse punktidest 63–70, et direktiivi 2016/680 artiklis 17 ette nähtud piirang arvestab vastavalt harta artikli 52 lõikele 1 nii sisu, mis on andmesubjekti õigusel tõhusale õiguskaitsevahendile järelevalveasutuse otsuse vastu lõpetada selles sättes ette nähtud menetlus, kui ka vajalikkuse ja proportsionaalsuse põhimõtteid.

72      Kõiki eespool esitatud kaalutlusi arvestades tuleb asuda seisukohale, et teise küsimuse analüüsi käigus ei ole ilmnenud asjaolusid, mis mõjutaksid direktiivi 2016/680 artikli 17 lõike 3 kehtivust.

 Kohtukulud

73      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (viies koda) otsustab:

1.      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, artiklit 17 koostoimes direktiivi artikli 46 lõike 1 punktiga g, artikli 47 lõigetega 1 ja 2 ja artikli 53 lõikega 1 ning Euroopa Liidu põhiõiguste harta artikli 8 lõikega 3 ja artikliga 47

tuleb tõlgendada nii, et

kui nimetatud artikli 17 alusel on isiku õigusi teostatud pädeva järelevalveasutuse kaudu ja kui järelevalveasutus teavitab isikut tehtud kontrolli tulemustest, peab isikul olema võimalik kasutada tõhusat õiguskaitsevahendit selle asutuse otsuse vastu kontrollimenetlus lõpetada.

2.      Teise küsimuse analüüsi käigus ei ole ilmnenud asjaolusid, mis mõjutaksid direktiivi 2016/680 artikli 17 lõike 3 kehtivust.

Allkirjad

*      Kohtumenetluse keel: prantsuse.