KOHTUJURISTI ETTEPANEK
PRIIT PIKAMÄE
esitatud 15. juunil 2023(1)
Kohtuasi C‑118/22
NG
Haldusmenetlus
järgmise isiku suhtes:
Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia,
menetluses osales:
Varhovna administrativna prokuratura
(eelotsusetaotlus, mille on esitanud Varhoven administrativen sad (Bulgaaria kõrgeim halduskohus))
Eelotsusetaotlus – Füüsiliste isikute kaitse seoses isikuandmete töötlemisega – Direktiiv (EL) 2016/680 – Artiklid 4, 5, 8, 10 ja 16 – Tahtliku süüteo eest süüdi mõistetud füüsilise isiku andmete säilitamine kuni tema surmani – Jõustunud kohtuotsusega süüdi mõistetud ja hiljem rehabiliteeritud füüsiline isik – Kustutamistaotluse rahuldamata jätmine – Euroopa Liidu põhiõiguste harta artiklites 7 ja 8 sätestatud põhiõiguste riive vajalikkus ja proportsionaalsus
1. Kas selle üle, et isikuandmete politseiregistrites säilitamine „lukustab“ sinna kantud isiku – olenevalt asjaoludest kogu eluajaks – sellise ühiskonnaheidiku staatusesse, kes on ohtlik terve eluaja, tuleb muret tunda? Või on tarvis vastupidi rõõmustada politsei mälu üle, kui võib täheldada, et uurijad lahendasid kannatanu perekonna suureks kergenduseks ära vanad lahendamata juhtumid, mida tänapäeval tuntakse enam nimetuse „cold cases“ all?
2. Käesolev kohtuasi asetub just selle antagonistliku küsimuse konteksti, mis viitab sellele, et kokku tuleb sobitada kuritegevusvastase võitlusega seotud avalik huvi ning isiku huvi oma isikuandmete kaitse ja eraelu austamise vastu. See kohtuasi annab Euroopa Kohtule võimaluse võtta seisukoht, milline on ajaline mõõde nende andmete töötlemisel repressiiveesmärkidel, lähtudes määruse (EL) 2016/680(2) asjasse puutuvatest sätetest.
I. Õiguslik raamistik
A. Liidu õigus
3. Käesolevas kohtuasjas on asjakohased direktiivi 2016/680 artiklid 4, 5, 8, 10 ja 16 ning Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 52 lõige 1.
B. Bulgaaria õigus
4. Siseministeeriumi seaduse (zakon za Ministerstvo na vatreshnite raboti, edaspidi „ZMVR“) artikli 26 lõigetes 1 ja 2 on sätestatud:
„(1) Kui siseministeeriumi haldusalas olevad ametiasutused töötlevad isikuandmeid seoses riigi julgeoleku kaitse tegevuse, kuritegevusvastase võitluse, avaliku korra säilitamise ja kriminaalmenetluste läbiviimisega:
[…]
3) võivad nad töödelda kõiki vajalikke isikuandmete kategooriaid;
[…]
(2) Lõikes 1 nimetatud andmete säilitamise või nende talletamise vajaduse korrapärase läbivaatamise tähtajad määrab kindlaks siseminister. Neid andmeid ka kustutatakse kohtudokumendi või isikuandmete kaitse komisjoni otsuse alusel.“
5. ZMVR artiklis 27 on nähtud ette:
„Andmeid, mis on saadud isikute kandmisel politseiregistrisse artikli 68 alusel, kasutatakse ainult riigi julgeoleku kaitsmiseks, võitluses kuritegevusega ja avaliku korra säilitamiseks.“
6. ZMVR artiklis 68 on sätestatud:
„(1) Politseiasutused kannavad politseiregistrisse isikud, kes võetakse kriminaalvastutusele tahtliku süüteo eest, milles algatatakse kriminaalmenetlus prokuröri algatusel. Uurimisasutused on kohustatud võtma meetmed, mis on vajalikud, et politseiasutused saaksid kanda isikud registrisse.
(2) Politseiregistrisse kandmine on lõikes 1 nimetatud isikute isikuandmete niisuguse töötlemise liik, mis toimub käesoleva seaduse raames.
(3) Politseiregistrisse kandmiseks peavad politseiasutused:
1) koguma isikuandmeid Bulgaaria isikut tõendavate dokumentide seaduse artiklis 18 nimetatud isikute kohta;
2) võtma isikutelt sõrmejäljed ja pildistama neid;
3) võtma proovid isikute DNA‑profiili koostamiseks.
[…]
(6) Kanne kustutatakse politseiregistrist isikuandmete vastutava töötleja või selleks volitatud ametnike kirjaliku korralduse alusel, automaatselt või registrisse kantud isiku põhjendatud kirjaliku taotluse alusel, kui
1) registrisse kandmine on toimunud seadust rikkudes;
2) kriminaalmenetlus lõpetatakse, v.a [kriminaalmenetluse seadustiku (Nakazatelno-protsesualen kodeks)] artikli 24 lõikes 3 nimetatud juhtudel;
3) isik mõisteti kriminaalmenetluses õigeks;
4) isik vabastati kriminaalvastutusest ja talle määrati haldussanktsioon;
5) isik suri, millisel juhul võivad taotluse esitada tema pärijad.
(7) Politseiregistrisse kandmise ja kande sellest kustutamise kord määratakse kindlaks ministrite nõukogu määrusega.“
II. Vaidluse aluseks olevad asjaolud, põhikohtuasi ja eelotsuse küsimus
7. NG kanti politseiregistrisse uurimismenetluse raames, mida oli alustatud valetunnistuse tõttu – kriminaalkorras karistatav tegu karistusseadustiku (Nakazatelen kodeks) artikli 290 lõike 1 järgi. Selle menetluse tulemusena esitati talle 2. juulil 2015 süüdistus ja 28. juuni 2016. aasta kohtuotsusega, mis jäeti apellatsiooniastmes 2. detsembri 2016. aasta kohtuotsusega muutmata, tunnistati ta süüdi ja talle mõisteti ühe aasta pikkune vangistus tingimisi katseajaga. 14. märtsiks 2018 oli karistus kantud.
8. NG esitas 15. juulil 2020 Ministerstvo na vatreshnite raboti (Bulgaaria siseministeerium) territoriaalselt pädevale asutusele selle kande kustutamise taotluse koos oma karistusregistri väljavõttega, mis tõendas, et teda ei ole varem kriminaalkorras karistatud.
9. Pädev haldusasutus jättis selle taotluse 2. septembri 2020. aasta otsusega rahuldamata põhjendusel, et süüdimõistmine jõustunud kohtuotsusega ei ole üks kande politseiregistrist kustutamise alustest, mis on ammendavalt loetletud ZMVR artikli 68 lõikes 6, sh rehabiliteerimise korral karistusseadustiku artikli 85 tähenduses. NG esitas 8. oktoobril 2020 selle otsuse peale Administrativen sad Sofia gradile (Sofia halduskohus, Bulgaaria) kaebuse. Nimetatud kohus jättis selle kaebuse 2. veebruari 2021. aasta otsusega rahuldamata.
10. NG esitas Administrativen sad Sofia gradi (Sofia halduskohus) kohtuotsuse peale Varhoven administrativen sadile (Bulgaaria kõrgeim halduskohus) kassatsioonkaebuse. Kassatsioonkaebuse peamine väide on see, et on rikutud direktiivi 2016/680 artiklitest 5, 13 ja 14 tulenevat põhimõtet, mille kohaselt ei tohi isikuandmete töötlemine nende talletamisega olla piiramatu kestusega. Kui puudub aga politseiregistrist kustutamise alus, ei saa süüdimõistetu taotleda pärast enda rehabiliteerimist tema nende andmete kustutamist, mis koguti seoses kriminaalkorras karistatava teoga, mille eest ta karistust kandis, mistõttu ongi nende talletamise kestus piiramatu.
11. Kaheldes, kas riigisisesed õigusnormid, mis kõnesolevat politseiregistrit reguleerivad, on kooskõlas liidu õigusega, otsustas eelotsusetaotluse esitanud kohus menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:
„Kas tõlgendusega, mis on antud [direktiivi 2016/680] artiklile 5 koostoimes artikli 13 lõike 2 punktiga b ja lõikega 3 on kooskõlas riigisisesed seadusandlikud meetmed, mis annavad pädevatele asutustele peaaegu piiramatu õiguse töödelda isikuandmeid süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ja/või võtavad andmesubjektilt õiguse nõuda enda isikuandmete töötlemise piiramist, nende kustutamist või hävitamist?“
III. Menetlus Euroopa Kohtus
12. Bulgaaria, Tšehhi, Iirimaa, Hispaania ja Poola valitsus ning Euroopa Komisjon esitasid kirjalikke seisukohti. Kohtuistungil, mis toimus 7. veebruaril 2023, kuulati ka ära põhikohtuasja kassaatori ning Bulgaaria, Iirimaa, Hispaania, Madalmaade ja Poola valitsuse ning komisjoni suulised seisukohad.
IV. Õiguslik analüüs
A. Direktiivi 2016/680 kohaldatavus
13. Eelotsusetaotlusest ilmneb, et selle esitanud kohus peab ilmselgelt enesestmõistetavaks, et vaidlusalused riigisisesed õigusnormid kuuluvad direktiivi 2016/680 esemelisse kohaldamisalasse – seisukoht, mille kohta tuleb minu arvates teha mõned märkused.
14. Kui tõlgendada direktiivi 2016/680 artikli 1 lõiget 1 koosmõjus artikli 2 lõikega 1, siis kohaldatakse seda direktiivi isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks. Direktiivi 2016/680 artikli 2 lõike 3 punktiga a on selle kohaldamisalast välja arvatud isikuandmete töötlemine „sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse“. Direktiivi põhjendustes 12 ja 14 on täpsustatud kohaldamisalast väljajäämise erandi sisu, juhtides tähelepanu, et see hõlmab eelkõige riikliku julgeolekuga seotud tegevust, erinevalt avaliku korra säilitamist puudutavast tegevusest, mis on politseile või muule õiguskaitseasutusele antud ülesanne, et vajaduse korral kaitsta avalikku julgeolekut ja seadusega kaitstavaid ühiskonna põhihuve selliste ohtude eest ja hoida ära selliste ohtude teke, mis võivad viia süüteo toimepanemiseni.
15. Tõlgendades määruse (EL) 2016/679(3) artikli 2 lõike 2 punkti a, milles on nähtud ette selle määruse kohaldamise erand, mis on sõnastatud samamoodi nagu direktiivi 2016/680 artikli 2 lõike 3 punkt a, on Euroopa Kohus otsustanud, et seda esimest sätet koostoimes sama määruse põhjendusega 16 tuleb käsitada nii, et selle ainus eesmärk on jätta selle määruse kohaldamisalast välja isikuandmete töötlemine, mida riigiasutused teevad tegevuse käigus, mille eesmärk on säilitada riigi julgeolek, või tegevuse käigus, mis võidakse liigitada samasse kategooriasse, mistõttu ainuüksi asjaolust, et tegevus on omane riigile või avaliku sektori asutusele, ei piisa selleks, et see erand oleks sellisele tegevusele automaatselt kohaldatav. Ta täpsustas, et tegevus, mille eesmärk on kaitsta riigi julgeolekut, hõlmab konkreetselt tegevust, mille sisu on kaitsta riigi põhifunktsioone ja ühiskonna põhihuvisid.(4)
16. Käesoleval juhul registreerib ja säilitab politsei andmeid ZMVR artikli 68 alusel koosmõjus selle seaduse artikliga 27 riigi julgeoleku kaitsmiseks, võitluseks kuritegevusega ja avaliku korra säilitamiseks. Seega on selge, et kõnesolev politseiregister on ühtne hübriidandmebaas, sest sellesse on koondatud teave, mida võib töödelda nii, et see töötlemine vastab konkreetsetele eesmärkidele, nende hulgas riigi julgeoleku kaitsmise eesmärk, mis ei kuulu direktiivi 2016/680 esemelisse kohaldamisalasse. Nendel asjaoludel ei saa sellises failis olevate andmete säilitamise õiguspärasust analüüsida selles direktiivis sätestatud nõuetest lähtudes, kui neid andmeid kasutatakse ainult direktiivi artikli 1 lõikes 1 nimetatud eesmärkidel – mida peab kontrollima eelotsusetaotluse esitanud kohus.(5) Sellisel kujul, nagu kohtuasja materjalid on Euroopa Kohtule esitatud, ei ole ilmne, et NG nende andmete säilitamist politseifailis, mille kustutamist ta taotleb, võiks pidada töötlemiseks, mis jääb väljapoole direktiivi 2016/680 esemelist kohaldamisala.
17. Selles etapis tuleb rõhutada, et põhikohtuasjas käsitletavate riigisiseste õigusnormide kohta on juba tehtud Euroopa Kohtu otsus küsimuse tulemusena, mille esitas Bulgaaria kohus, kes pidi hindama maksupettuse tõttu uurimise all oleva isiku keeldumist tema andmete kogumisest. Euroopa Kohus võttis selles seisukoha muu hulgas andmete kogumise õiguspärasuse kohta, lähtudes direktiivi 2016/680 artiklis 10 sätestatud nõuetest, ning otsustas, et seda artiklit koostoimes direktiivi artikli 4 lõike 1 punktidega a–c ning artikli 8 lõigetega 1 ja 2 tuleb tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, milles on ette nähtud biomeetriliste ja geneetiliste andmete süstemaatiline kogumine nende registreerimise eesmärgil iga isiku puhul, kellele on esitatud kahtlustus sellise tahtliku kuriteo toimepanemises, mille suhtes alustab prokurör kriminaalmenetlust omal algatusel, ilma et pädevale asutusele oleks ette nähtud kohustust kontrollida ja tõendada, kas esiteks on andmete kogumine rangelt vajalik konkreetsete taotletavate eesmärkide saavutamiseks ja kas teiseks ei saa neid eesmärke saavutada meetmetega, mis riivaksid andmesubjektide õigusi ja vabadusi vähem.(6) Käesolevas kohtuasjas peab Euroopa Kohus analüüsima, kas õiguspärane on üks teistsugune riive, nimelt niisuguse teabe säilitamine, mis puudutab kriminaalkorras süüdi mõistetud füüsilisi isikuid, kes on kõnesolevas politseiregistris identifitseeritud ees‑ ja perekonnanimega – riive, mis kujutab endast olukorda, kus isikuandmeid töötleb pädev ametiasutus, st Bulgaaria siseministeerium, kriminaalkorras karistatavate tegude tõkestamiseks ja avastamiseks ning nende uurimiseks direktiivi 2016/680 artikli 3 lõigete 1 ja 2 ning lõike 7 punkti a tähenduses.
B. Eelotsuse küsimuse ümbersõnastamine
18. Kõigepealt tuleb meenutada, et ELTL artiklis 267 sätestatud liikmesriigi kohtute ja Euroopa Kohtu vahelises koostöömenetluses on Euroopa Kohtu ülesanne anda liikmesriigi kohtule tarvilik vastus, mis võimaldaks viimasel poolelioleva kohtuasja lahendada. Seda arvestades peab Euroopa Kohus talle esitatud küsimused vajaduse korral ümber sõnastama. Nimelt on Euroopa Kohtu ülesanne tõlgendada kõiki liidu õiguse sätteid, mida liikmesriigi kohtud vajavad oma menetluses olevate kohtuasjade lahendamiseks, isegi kui viimased ei ole neid sätteid Euroopa Kohtule esitatud küsimustes otseselt maininud.(7)
19. Põhikohtuasja faktilised asjaolud puudutavad isikuandmete kande politseiregistrist kustutamise taotlust, mille on esitanud füüsiline isik, kes kandis oma karistuse pärast valetunnistuse eest süüdimõistmist ära ja rehabiliteeriti 14. märtsil 2020, s.o ligi viis aastat pärast eespool mainitud kande tegemist. See taotlus jäeti rahuldamata pädeva haldusasutuse otsusega, mis jäeti esimeses kohtuastmes muutmata Administrativen sad Sofia gradi (Sofia halduskohus) otsusega, mille peale on esitatud kassatsioonkaebus eelotsusetaotluse esitanud kohtule, kes kahtleb, kas riigisisesed õigusnormid on kooskõlas direktiiviga 2016/680 osas, mis puudutab andmete politseiregistris säilitamise küsimust. Põhikohtuasi käsitleb seega ilmselgelt direktiivi 2016/680 artikli 16 lõikes 2 ette nähtud õigust isikuandmete kustutamisele põhjendamatu viivituseta, kui töötlemine kujutab endast selle direktiivi artikli 4, 8 või 10 alusel vastu võetud õigusnormide rikkumist või kui need andmed tuleb kustutada, et järgida seadusest tulenevat kohustust, mis vastutava töötleja suhtes kehtib.
20. Direktiivi 2016/680 artikli 4 lõike 1 punktides c ja e on sätestatud, et liikmesriigid näevad ette, et isikuandmed on vastavalt võimalikult väheste andmete kogumise ja andmete säilitamise piiramise põhimõttele piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes ning säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse.(8) Direktiivi artikkel 8 käsitleb töötlemise seaduslikkust, mis sõltub sellest, kas töötlemine on vajalik pädeva asutuse poolt artikli 1 lõikes 1 sätestatud eesmärkide kohase ülesande täitmiseks ning põhineb liidu või liikmesriigi õigusel, kusjuures viimases täpsustatakse vähemalt isikuandmete töötlemise üldised eesmärgid, töödeldavad isikuandmed ja nende töötlemise konkreetsed eesmärgid. Mis puudutab viimaks direktiivi 2016/680 artiklit 10, siis selles on sätestatud niisuguste isikuandmete eriliikide töötlemise regulatsioon nagu biomeetrilised või geneetilised andmed, mida kasutakse politseiregistris füüsilise isiku üheselt tuvastamiseks.
21. Tuleb tõdeda, et eelotsuse küsimuses ei ole viidatud eelmises punktis nimetatud õigusnormidele, ehkki need puutuvad ilmselgelt asjasse selle vastuse andmisel, mille Euroopa Kohus peab käsitletaval juhul andma. Eelotsusetaotluse esitanud kohus on palunud tõlgendada direktiivi 2016/680 artiklit 5 ning artikli 13 lõike 2 punkti b ja lõiget 3, mis ei kuulu selle direktiivi artikli 16 lõikes 2 sõnaselgelt viidatud sätete hulka, mille rikkumine riigisiseste õigusnormidega õigustab seda, et kohaldatakse õigust kustutamisele, mis andmesubjektil on. Seda õigust tunnustatakse siiski ka juhul, kui andmed tuleb kustutada, et järgida seadusest tulenevat kohustust, mis vastutaval töötlejal on – mis võib vastata selle direktiivi artiklis 5 ja artikli 13 lõike 2 punktis b kirjeldatud olukordadele, mis on vastavalt järgmised: andmete säilitamise või nende säilitamise vajaduse korrapärase läbivaatamise maksimaalsete tähtaegade kehtestamine(9) ning peale artikli 13 lõikes 1 nimetatud teabe täiendava teabe andmine andmesubjektile vastutava töötleja poolt erijuhtudel selleks, et andmesubjektil oleks võimalik oma õigusi teostada. Seevastu artikli 13 lõige 3 käsitleb liikmesriikide võimalust võtta teatavatel tingimustel seadusandlikke meetmeid, millega nähakse ette andmesubjektile lõike 2 kohaselt esitatava teabe hilisem või piiratud esitamine või esitamata jätmine, mis ei saa kuuluda vastutavale töötlejale kehtestatud seadusest tuleneva kohustuse hulka.
22. Igal juhul ei ilmne eelotsusetaotlusest, et põhikohtuasjas oleks tekkinud NGd tema õigustest teavitamise küsimus, sest andmesubjekt sai ilmselgelt neid kasutada, nagu näitab vaie, mille ta esitas haldusasutustele, ja kaebus kohtule nende andmete säilitamise kohta. Näib seega, et Euroopa Kohtule esitatud küsimuses ei paluta tõlgendada direktiivi 2016/680 artikli 13 lõike 2 punkti b ja lõiget 3. Seega käsitleb põhikohtuasi konkreetselt direktiivi 2016/680 artikli 16 lõiget 2 ning artikleid 4, 5, 8 ja 10.
23. Lisaks, nagu on märgitud selle põhjenduses 104, peetakse direktiivis 2016/680 kinni Euroopa Liidu toimimise lepingus sätestatud ja hartas tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele. Selle direktiivi põhjenduse 46 järgi peaks andmesubjekti õiguste piiramine olema kooskõlas harta ning Roomas 4. novembril 1950 allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga (edaspidi „EIÕK), nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus (edaspidi „EIK“) oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust. On vaja meenutada, et harta artiklitega 7 ja 8 tagatud põhiõigused eraelu austamisele ja isikuandmete kaitsele ei ole absoluutsed eelisõigused, vaid neid tuleb arvesse võtta vastavalt nende ülesandele ühiskonnas ning neid tuleb kaaluda teiste põhiõigustega. Seega võib piiranguid seada tingimusel, et vastavalt harta artikli 52 lõikele 1 on need ette nähtud seadusega ning need arvestavad põhiõiguste olemust ja on kooskõlas proportsionaalsuse põhimõttega. Viimati nimetatud põhimõtte kohaselt võib piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi. Piirangud peavad piirduma rangelt vajalikuga ning riivet sisaldavas õigusaktis peavad olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist.(10)
24. Selles olukorras tuleb asuda seisukohale, et eelotsusetaotluse esitanud kohus küsib sisuliselt, kas direktiivi 2016/680 artikleid 4, 5, 8 ja 10 ning artikli 16 lõiget 2 tuleb koostoimes harta artikli 52 lõikega 1 ja sellest lähtudes tõlgendada nii, et nendega on vastuolus riigisisesed õigusaktid, milles on nähtud ette isikuandmete säilitamine politseiregistris, mis hõlmab andmesubjekti biomeetrilisi ja geneetilisi andmeid, kuni tema surmani ega võimalda tal saavutada nende andmete kustutamist seejärel, kui ta pärast kriminaalkorras süüdimõistmist rehabiliteeriti.(11)
C. Isikuandmete säilitamine repressiiveesmärkidel
25. Enne politseiregistrit käsitlevate riigisiseste õigusnormide liidu õigusele vastavuse analüüsimist tundub mulle vajalik analüüsida andmete repressiiveesmärkidel säilitamise probleeme, lähtudes direktiivi 2016/680 teatavatest sätetest ning Euroopa Kohtu ja EIK praktikast.
26. Esimesena tuleb märkida, et direktiivi 2016/680 eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala lõplikule väljakujundamisele liidus, luues samas tugeva ja ühtse isikuandmete kaitse raamistiku, et tagada seoses isikuandmete töötlemisega füüsiliste isikute kaitset kätkeva põhiõiguse austamine, mida on tunnustatud harta artikli 8 lõikes 1 ja ELTL artikli 16 lõikes 1, kusjuures see õigus on tihedalt seotud harta artiklis 7 tunnustatud õigusega eraelu austamisele.(12) Selleks on direktiivi 2016/680 II ja III peatükis sätestatud vastavalt isikuandmete töötlemise põhimõtted ja andmesubjekti õigused, mida töötlemisel tuleb järgida. Muu hulgas peab igasugune isikuandmete töötlemine olema kooskõlas selle direktiivi artiklites 4 ja 8 sätestatud põhimõtetega andmete töötlemise ja nende töötlemise seaduslikkuse kohta. Et selles viimases õigusnormis sätestatud nõuded väljendavad harta artikli 52 lõikest 1 tulenevaid ettekirjutusi, tuleb neid tõlgendada harta nimetatud sätet arvestades.(13)
27. Eelotsusetaotluse esitanud kohtule vastamisel tuleb seega arvesse võtta direktiivi 2016/680 artikli 4 lõike 1 punktis c sätestatud „võimalikult väheste andmete kogumise“ põhimõtet, mis väljendab proportsionaalsuse põhimõtet.(14) Nii on see ka direktiivi artikli 4 lõike 1 punktis e sätestatud säilitamise piiramise põhimõttega, mis eeldab, et hinnatakse töötlemise proportsionaalsust selle eesmärgiga aja möödumise seisukohast. Selle põhimõttega on vastuolus andmete säilitamine pikema aja jooksul kui vajalik, see tähendab pikema aja jooksul, kui on vajalik nende eesmärkide täitmiseks, mille jaoks neid andmeid säilitati.(15) Sellest tuleneb, et isegi alguses seaduslik andmete töötlemine võib aja möödudes minna määrusega 2016/680 vastuollu, kui neid andmeid ei ole enam vaja eesmärgil, milleks neid koguti või töödeldi, ning et need andmed tuleb nimetatud eesmärkide saavutamisel kustutada.(16)
28. Andmete säilitamise ajalisi probleeme käsitletakse ka direktiivi 2016/680 artiklis 5 täiendavalt, täpsustusena selle artiklis 4 sätestatud nõuetele.(17) Nagu on mainitud selle direktiivi põhjenduses 26, siis selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Tuleb märkida, et direktiivi 2016/680 artikliga 5 on esiteks jäetud liikmesriikide hooleks hinnata, milline kestus on sobiv, ja see kehtestada, ning teiseks on peetud vajalikuks andmete säilitamise vajaduse korrapärast läbivaatamist kui alternatiivi juba ette maksimaalse säilitamisperioodi kehtestamisele. Mulle tundub, et teine tähelepanek on käesolevas kohtuasjas kindlasti oluline, sest väljendab seda, et liidu seadusandja on nõustunud, et repressiiveesmärkidel võib andmeid säilitada piiramatu aja jooksul.(18) Selle tuvastamine peab olema seotud direktiivi 2016/680 artikli 16 lõike 3 sõnastusega, milles on andmete kustutamise alternatiivina ette nähtud võimalus nende töötlemist piirata, muu hulgas selle direktiivi punktis b nimetatud juhul, kui isikuandmeid tuleb säilitada „tõendamise eesmärgil“ – mis näitab, et ei eksisteeri absoluutset õigust kustutamisele.(19)
29. Andmete säilitamise seaduslikkuse küsimus hõlmab tingimata nende laadi küsimust, kusjuures käsitletaval juhul on tegemist muu hulgas selle isiku sõrmejälgede, fotode ja DNA‑prooviga, keda kahtlustatakse süüteos või kes on selle eest kriminaalkorras süüdi mõistetud, kusjuures selle andmeliigi korral kuulub töötlemine direktiivi 2016/680 artikli 10 kohaldamisalasse. Tuleb rõhutada, et kuigi selle sättega kehtestatud õiguslik regulatsioon ei sisalda – erinevalt isikuandmete kaitse üldmääruse artiklis 9 ette nähtud regulatsioonist – põhimõttelist keeldu niisuguseid andmeid töödelda, on see töötlemine lubatud „üksnes siis, kui see on rangelt vajalik“, tingimusel et sellele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid ning kui see on lubatud liidu või liikmesriigi õigusega.
30. Kohtupraktika kohaselt on direktiivi 2016/680 artikli 10 eesmärk tagada tugevam kaitse sellise töötlemise eest, mis asjaomaste andmete erilise tundlikkuse ja nende töötlemise konteksti tõttu võib nähtuvalt direktiivi põhjendusest 37 kaasa tuua suure ohu põhiõigustele ja ‑vabadustele, nagu õigus eraelu austamisele ja õigus isikuandmete kaitsele, mis on tagatud harta artiklitega 7 ja 8. Nagu ilmneb direktiivi 2016/680 artikli 10 sõnastusest endast, tuleb nõuet, mille kohaselt selliste andmete töötlemine on lubatud „üksnes siis, kui see on rangelt vajalik“, tõlgendada nii, et sellega on määratud kindlaks tundlike andmete töötlemise seaduslikkuse tugevdatud tingimused võrreldes nendega, mis tulenevad direktiivi artikli 4 lõike 1 punktidest b ja c ning artikli 8 lõikest 1, milles on viidatud üksnes üldiselt direktiivi kohaldamisalasse kuuluvate andmete töötlemise „vajalikkusele“. Esiteks rõhutab määrsõna „üksnes“ kasutamine väljendi „kui see on rangelt vajalik“ ees, et isikuandmete eriliikide töötlemist direktiivi 2016/680 artikli 10 tähenduses saab pidada vajalikuks vaid piiratud arvul juhtudel. Teiseks tähendab selliste andmete töötlemise „range“ vajalikkus, et seda vajalikkust tuleb hinnata eriti rangelt.(20)
31. Teisena märgin, et kuigi Euroopa Kohus on juba mitu korda võtnud seisukoha küsimuses, kas andmete säilitamine repressiiveesmärkidel on seaduslik, on ta seda teinud normatiivsetes ja faktilistes kontekstides, mis erinevad väga käesoleva kohtuasja kontekstist. Nii on Euroopa Kohus otsustanud,(21) et direktiivist 2002/58/EÜ(22) tulenev liidu õigus, millest ilmneb, et elektroonilise side vahendite kasutajatel on õigus põhimõtteliselt oodata, et nende side ja vastavad andmed jäävad nende nõusoleku puudumise korral anonüümseks ja et neid ei registreerita, on vastuolus liiklus‑ ja lokalisatsiooniandmete üldise ja diferentseerimata ennetava säilitamisega kuritegevusega võitlemise eesmärgil, ükskõik missugune on kuriteo raskusaste, sest säilitamine on teatavatel tingimustel vastuvõetav ainult riigi julgeolekut ähvardava tõsise tegeliku ja vahetu või ettenähtava ohu olemasolu korral. Ta lisas, et seevastu ei ole liidu õigusega vastuolus meetmed, milles on tõsise kuritegevusega võitlemise eesmärgil ette nähtud kasutajate tsiviilidentiteeti puudutavate andmete üldine ja diferentseerimata säilitamine ning nende IP‑aadresside säilitamine ajaperioodi vältel, mis on piiratud rangelt vajalikuga, andmete sihtotstarbeline säilitamine, mis on objektiivsete ja mittediskrimineerivate asjaolude põhjal piiritletud olenevalt andmesubjektide kategooriatest või geograafilise kriteeriumi põhjal ajaperioodi vältel, mis on piiratud rangelt vajalikuga, kuid on pikendatav, ning teenuste osutajate käsutuses olevate vastavate andmete kiire säilitamine piiratud aja vältel, kusjuures kõik need meetmed peavad tagama selgete ja täpsete reeglitega selle, et asjaomaste andmete säilitamine sõltub vastavate materiaal‑ ja menetlusõiguslike tingimuste järgimisest ning et andmesubjektidel on tegelikud tagatised kuritarvituse ohtude vastu.
32. Euroopa Kohus on kasutanud ka kriteeriumi, milleks on rangelt vajaliku piiride järgimine isikuandmete töötlemisel nende andmete edastamise, säilitamise ja kasutamise kontekstis, mida sisaldavad lennuvedajate loodud ELi‑väliste lendude reisijate toimikud (edaspidi „broneeringuinfo“), terroriaktide ja raskete kuritegude ennetamiseks ja avastamiseks.(23) Euroopa Kohtul on olnud võimalus rõhutada, et kuna broneeringuinfot võib ELi-Kanada broneeringuinfo lepingu järgi säilitada kuni viis aastat, võimaldab see leping saada teavet reisijate eraelu kohta eriti pika perioodi jooksul ning et lennureisijate puhul, kellega seoses ei tuvastatud terrorismi või raske rahvusvahelise kuritegevuse ohtu nende saabumisel Kanadasse ja kuni nende lahkumiseni sellest kolmandast riigist, ei tundu olevat siis, kui nad on juba lahkunud, kas või kaudsetki seost nende broneeringuinfo ja selle lepingu eesmärgi vahel, mis õigustaks nende andmete säilitamist. Ta järeldas seega, et kõikide lennureisijate broneeringuinfo pidev talletamine pärast nende Kanadast lahkumist võimaliku nende andmetega tutvumise eesmärgil, sõltumata igasugusest seosest terrorismi ja raskete rahvusvaheliste kuritegude vastase võitlusega, ei ole õigustatud.(24)
33. Euroopa Kohus võttis ühe eelotsusetaotluse raames seisukoha küsimuses, kas direktiiv (EL) 2016/681(25) on kehtiv ja kuidas tuleks tõlgendada seda direktiivi, mis kohustab lennuettevõtjaid edastama iga kolmanda riigi ja Euroopa Liidu vahelise ELi‑välise lennu reisija andmed asjaomase lennu siht‑ või lähteliikmesriigi broneeringuinfo üksusele terrorismi ja raskete kuritegude vastu võitlemise eesmärgil. Nii edastatud broneeringuinfot hindab eelnevalt broneeringuinfo üksus kuue kuu jooksul ning seejärel säilitatakse seda viie aasta jooksul, et liikmesriikide pädevad asutused saaksid seda hinnata tagantjärele – mis võib viia analüüsideni, mida tehakse märkimisväärse või lausa määramata aja jooksul isikute puhul, kes reisivad lennukiga rohkem kui üks kord viie aasta jooksul. Euroopa Kohus leidis, et see direktiiv toob kaasa harta artiklitega 7 ja 8 tagatud õiguste ilmselgelt raske riive, eelkõige osas, milles selle eesmärk on kehtestada pideva, sihitamata ja süstemaatilise jälgimise kord, mis hõlmab kõikide lennutransporditeenuseid kasutavate isikute isikuandmete automatiseeritud hindamist, kuid samal ajal on seda võimalik tõlgendada kooskõlas harta artiklitega 7, 8 ja 21 ning artikli 52 lõikega 1. Euroopa Kohus täpsustas, et pärast esialgse kuuekuulise säilitamisaja möödumist ei ole broneeringuinfo säilitamine piiratud rangelt vajalikuga lennureisijate puhul, kelle kohta ei ole ei broneeringuinfo eelhindamine ega esialgse kuuekuulise säilitamisperioodi jooksul läbiviidud kontrollid ega muud asjaolud näidanud, et esineb objektiivseid asjaolusid, mis võimaldavad tuvastada terroriaktide või raskete kuritegude ohu, mis on vähemalt kaudselt objektiivselt seotud nende reisijate tehtud lennureisidega. Ta leidis aga, et selle direktiiviga kehtestatud süsteemis ei tundu kõikide lennureisijate broneeringuinfo talletamine esialgse kuuekuulise perioodi jooksul põhimõtteliselt ületavat rangelt vajalikku.
34. Vastukaaluks eespool meenutatud kohtupraktikale tuleb rõhutada esiteks, et vastupidi sellele, mis on andmetöötluse alal kindlaks määratud direktiivis 2002/58,(26) ei kujuta andmesubjekti nõusolek endast selle isikuandmete töötlemise õiguslikku alust, millega pädevad asutused tegelevad direktiivi 2016/680 artikli 1 lõikes 1 nimetatud eesmärkidel. Nagu on täpsustatud selle direktiivi põhjenduses 35, annab pädevatele asutustele institutsiooniliselt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eesmärgil seadusega antud ülesande täitmine neile õiguse nõuda või kohustada, et füüsilised isikud vastaksid esitatud taotlustele. Teiseks ei ole käesolevas kohtuasjas küsimuse all niisuguse elektroonilise side või lennuveo sektoris tekkiva „tohutu andmekoguse“(27) säilitamine ja automatiseeritud analüüs, mida talletavad eraettevõtjad ja mis edastatakse uurimisasutustele, vaid ühtne politseiregister, mis on eranditult ametiasutuse kontrolli all ja rangelt konfidentsiaalne ning mis sisaldab nende isikute andmeid, kelle puhul on mõjuvaid põhjuseid arvata, et nad on pannud toime süüteo, keda kahtlustatakse kriminaalasjas või kes on kriminaalasjas süüdi mõistetud.
35. Eespool viidatud kohtupraktika normatiivse ja faktilise konteksti eripära takistab minu arvates selles valitud lahendusi puhtalt ja lihtsalt üle võtta, et vastata siin käsitletavale eelotsuse küsimusele, sest on vaja konkreetselt eristada andmete säilitamise eesmärke (riigi julgeoleku kaitse, võitlus raskete kuritegude või muude süütegudega) ning seost, mis peab valitsema nende eesmärkide olulisuse ja põhiõiguste niisuguste riivete raskusastme vahel, mida võib õigustada.(28) Teiste sõnadega ei saa käsitletaval juhul lähtuda seisukohast, et kuritegevusvastase võitluse eesmärgiga üldiselt saab põhjendada üksnes selliseid põhiõiguste riiveid, mis ei ole rasked,(29) vastasel korral vähendatakse märkimisväärselt direktiivi 2016/680 ning niisuguste riigisiseste uurimis‑ ja avaliku julgeoleku tagamise vahendite nagu kõnesolev politseiregister soovitavat toimet, mille suhtes kohaldatakse seda sätet, mille eesmärk väljendab just vajadust töödelda andmeid politseitööga seotud eesmärkidel proportsionaalselt. Tuleb märkida, et nagu ilmneb direktiivi 2016/680 põhjendustest 10 ja 11, soovis liidu seadusandja kehtestada õigusnormid, milles on arvesse võetud selle direktiiviga hõlmatud valdkonna eripära. Põhjenduses 12 on selle kohta märgitud, et politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele.(30)
36. Kolmandana tuleb märkida, et harta artikkel 7, mis käsitleb õigust era- ja perekonnaelu austamisele, sisaldab õigusi, mis vastavad EIÕK artikli 8 lõikega 1 tagatud õigustele, ning et isikuandmete kaitse mängib väga olulist rolli EIÕK artiklis 8 tunnustatud õiguse era- ja perekonnaelu austamisele kasutamisel. Seega tuleb vastavalt harta artikli 52 lõikele 3 anda kõnealusele artiklile 7 sama tähendus ja ulatus, nagu on antud EIÕK artikli 8 lõikele 1, nagu seda on tõlgendatud EIK praktikas.(31)
37. EIK arvab, et isikuandmete kaitse etendab põhirolli selle õiguse kasutamisel, milleks on EIÕK artiklis 8 ette nähtud õigus eraelu austamisele, ning et ainuüksi see, kui isiku eraelu puudutavaid andmeid talletatakse, kujutab endast riivet artikli 8 tähenduses ja sellel, kas talletatud teavet kasutatakse hiljem või mitte, on vähe tähtsust. Selle kohtu arvates tuleb riigisisese õigusega muu hulgas tagada, et need andmed on asjakohased ega ole ülemäärased võrreldes nende registreerimise eesmärkidega ning et neid säilitatakse vormis, mis võimaldab andmesubjektid kindlaks teha ajavahemiku jooksul, mis ei ületa nende registreerimise eesmärkideks vajalikku ajavahemikku. Riigisisene õigus peab sisaldama ka tagatisi, mille abil on võimalik kaitsta registreeritud isikuandmeid tõhusalt sobimatu ja kuritarvitusliku kasutamise eest, pakkudes samas konkreetset võimalust esitada talletatud andmete kustutamise taotlus. EIK on pidanud siiski vajalikuks täpsustada, et ta on täiesti teadlik, et oma elanikkonna kaitsmiseks, mida nad tegema peavad, on riigisisesed ametiasutused sunnitud looma registreid, mis aitavad tõhusalt kaasa teatavate süütegude, eelkõige kõige raskemate vastu võitlemisele ja nende tõkestamisele. Niisuguseid vahendeid ei tohi siiski kasutada, lähtudes liialdavast loogikast, et sellesse kogutakse võimalikult palju andmeid ning neid säilitatakse võimalikult kaua.(32) Selles viimases küsimuses leiab EIK, et see, kui süüdimõistetute isikuandmete säilitamise maksimaalne aeg puudub, ei ole tingimata EIÕK artikliga 8 vastuolus, kuid et niisugusel juhul peavad seda enam olemas olema ja toimima teatavad menetluslikud tagatised.(33)
D. Harta artiklitega 7 ja 8 tagatud põhiõiguste riive
38. Nagu ilmneb ZMVR artiklist 68 ja seisukohtadest, mille Bulgaaria valitsus kohtuistungil esitas, hõlmavad riigisisestes õigusnormides silmas peetud andmed muu hulgas andmesubjekti isikuandmeid, taunitavaid tegusid, milles teda kahtlustatakse või mille eest ta kriminaalkorras süüdi mõisteti, tema sõrmejälgi, fotosid ja DNA‑proove tema DNA‑profiili koostamiseks. Et need andmed sisaldavad seega teavet tuvastatud füüsiliste isikute kohta, kahjustavad eri töötlemisviisid, mida nende puhul võidakse kasutada, harta artikliga 7 tagatud õigust eraelu austamisele. Lisaks kuuluvad nende andmete töötlemise viisid, mis on ette nähtud riigisisestes õigusnormides, ka harta artikli 8 kohaldamisalasse, kuna tegemist on isikuandmete töötlemisega selle artikli tähenduses, mistõttu peab see tingimata vastama kõnealuses artiklis ette nähtud andmekaitsenõuetele.(34)
39. Nagu ka EIK, kelle arvates kujutab ainuüksi isiku eraelu puudutavate andmete talletamine endast riivet EIÕK artikli 8 tähenduses,(35) leiab Euroopa Kohus, et andmete säilitamine kujutab endast iseenesest harta artiklitega 7 ja 8 tagatud põhiõiguste eraelu austamisele ja isikuandmete kaitsele riivet, ilma et oleks oluline, kas asjaomased eraelulised andmed on tundlikud või mitte või kas andmesubjektid on selle riive tõttu pidanud taluma mingeid ebamugavusi või mitte või kas säilitatud andmeid hiljem kasutatakse või mitte.(36)
40. Mis puudutab säilitamises seisneva riive tõsidust, siis see on ilmne teatavate andmete, eelkõige politseiregistris olevate biomeetriliste ja geneetiliste andmete laadi arvestades, kusjuures Euroopa Kohus on kvalifitseerinud märkimisväärseks ohud andmesubjektide õigustele ja vabadustele, mis on seotud tundlike andmete töötlemisega, eelkõige pädevate asutuste ülesannete kontekstis direktiivi 2016/680 artikli 1 lõikes 1 sätestatud eesmärkidel.(37) Selles küsimuses on direktiivi põhjenduses 23 täpsustatud, et arvestades geneetiliste andmete keerukust ja tundlikkust, on suur oht, et vastutav töötleja väär- ja taaskasutab andmeid erinevatel eesmärkidel. Direktiivi põhjenduses 51 on nenditud, et ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda andmete töötlemisest, mille tulemusel võib tekkida füüsiline, varaline või mittevaraline kahju, muu hulgas kui töödeldakse geneetilisi või biomeetrilisi andmeid, et isik kordumatult tuvastada, või kui töödeldakse andmeid süüdimõistvate kohtuotsuste ja süütegude kohta.
41. Andmete politseiregistris säilitamise kestus on ka tegur, millest riive raskusastme tuvastamine sõltub, sest see säilitamine on võimalik kriminaalkorras süüdimõistetu kogu elu jooksul. Lõpuks tuleneb ZMVR artikli 26 lõikest 6, et isikuandmeid võib edastada pädevatele asutustele ja liidu liikmesriikide adressaatidele, liidu organitele ja asutustele, kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Selle kohta tuleb meenutada, et direktiivi 2016/680 eesmärk on süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil hõlbustada pädevate asutuste vahelist isikuandmete vaba liikumist liidus, nagu ka selliste isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides.(38) Meenutagem, et õigus isikuandmete kaitsele eeldab muu hulgas, et liidu õiguses ette nähtud põhivabaduste ja -õiguste järjepidev kõrgetasemeline kaitse tagataks isikuandmete edastamisel liidust kolmandasse riiki.(39)
42. Kõikide eelnevate kaalutluste põhjal tuleb asuda seisukohale, et põhikohtuasjas käsitletavad riigisisesed õigusnormid kätkevad endas harta artiklitega 7 ja 8 tagatud õiguste teatava raskusega riivet, eelkõige osas, milles nende eesmärk on luua vahend kriminaalkorras süüdi mõistetud isikute niisuguste tundlike andmete pidevaks säilitamiseks, mis võivad ületada asjaomase riigi piirid.
E. Riive õigustatus
43. Nagu märgitud, ei ole harta artiklites 7 ja 8 ette nähtud põhiõigused absoluutsed eelisõigused ning harta artikli 52 lõikest 1 ilmneb, et see võimaldab nende õiguste kasutamist piirata, tingimusel et piirangud on ette nähtud seaduses, arvestavad nimetatud õiguste olemust ning on proportsionaalsuse põhimõtte kohaselt vajalikud ja teenivad tegelikult liidu poolt tunnustatud üldisele huvile vastavaid eesmärke või vajadust kaitsta teiste isikute õigusi ja vabadusi.(40) Direktiivi 2016/680 põhjenduse 26 kohaselt võivad õiguskaitseasutused viia läbi toiminguid süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, kui need on õigusaktis ette nähtud ning kujutavad endast demokraatlikus ühiskonnas vajalikku ja proportsionaalset meedet ning nende puhul arvestatakse nõuetekohaselt asjaomase füüsilise isiku õigustatud huve.
44. Proportsionaalsuse põhimõtte järgimise kohta tuleb meenutada, et eraelu austamise põhiõiguse kaitsmiseks on Euroopa Kohtu väljakujunenud kohtupraktika järgi nõutav, et isikuandmete kaitse erandid ja piirangud piirduksid sellega, mis on tingimata vajalik, sest kui on võimalik valida mitme taotletavate õiguspäraste eesmärkide saavutamiseks sobiva meetme vahel, tuleb rakendada kõige vähem koormavat meedet. Lisaks ei saa üldist huvi pakkuvat eesmärki taotledes jätta arvesse võtmata, et see peab olema kooskõlas põhiõigustega, mida meede puudutab, ning selleks tuleb saavutada tasakaal üldist huvi pakkuva eesmärgi ja asjasse puutuvate õiguste vahel, tagamaks, et tekitatud ebamugavused ei oleks seatud eesmärke arvestades ülemäära suured. Hinnates seda, kas harta artiklitega 7 ja 8 tagatud õiguste piiramise põhjendamine on võimalik, tuleb seega kaaluda piiranguga kaasneva riive raskust ja kontrollida, et piiranguga taotletava üldist huvi pakkuva eesmärgi olulisus oleks selle raskusastmega vastavuses.(41)
1. Seaduslikkuse põhimõtte järgimine
45. Nõue, mille kohaselt peab põhiõiguste kasutamise igasugune piirang olema sätestatud seaduses, tähendab, et selles õiguslikus aluses, mis võimaldab nendesse õigustesse sekkuda, peab olema endas kindlaks määratud, kui ulatuslikult tohib asjaomase õiguse kasutamist piirata. Selles küsimuses on Euroopa Kohus otsustanud ka, et õigusaktis, mis sisaldab meedet, mis niisugust riivet lubab, peavad olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, mistõttu on isikutel, kelle isikuandmed edastati, piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise ohu eest tõhusalt kaitsta. Järelikult peab igasuguse direktiivi 2016/680 kohaldamisalasse kuuluva isikuandmete töötlemise õiguslik alus – nagu liidu seadusandja on pealegi selle direktiivi põhjenduses 33 rõhutanud – olema selge ja täpne ning selle kohaldamine õigussubjektidele ettenähtav. Konkreetselt peavad nad saama kindlaks teha asjaolud ja tingimused, mille esinemise korral võib neile selle direktiiviga antud õiguste ulatust piirata.(42)
46. Kõnesolevate riigisiseste õigusnormide analüüs, mis on eelotsusetaotluses esitatud ja mida täiendavad Bulgaaria valitsuse seisukohad, võimaldab minu arvates asuda seisukohale, et seaduse kvaliteedi „nõue“ on täidetud, sest tuleb meenutada, et see ei välista, et sellist piirangut sisaldav regulatsioon võib olla sõnastatud piisavalt lahtiselt, et see sobiks erinevatel juhtumitel ja muutuvate asjaolude korral.(43)
47. Seega on nii, et andmete kandmine politseiregistrisse ja nende seal säilitamine teenib ZMVR artiklis 27 ammendavalt loetletud eesmärke, milleks on riigi julgeoleku kaitse, võitlus kuritegevusega ja avaliku korra säilitamine, kusjuures selle töötlemise eesmärk on hõlbustada viidatud seaduse artiklis 8 üksikasjalikult kirjeldatud operatiivset uurimistegevust.(44) Töötlemise ulatus osas, mis puudutab vastavate süütegude laadi, asjasse puutuvaid andmeid, nende kogumise tingimusi, teabefonde, milles neid töödeldakse, ja säilitamise kestust, on piisavalt täpselt kindlaks määratud ZMVR artiklis 68 ning politseiregistrisse kandmise ja sealt kustutamise korda käsitleva määruse (Naredba za reda za izvarshvane i snemane na politseyska registratsia, edaspidi „NRISPR“) artiklis 28. Riigisisestes õigusnormides on sõnaselgelt ja direktiivi 2016/680 põhjendusega 26 kooskõlas ette nähtud menetlused isikuandmete terviklikkuse ja konfidentsiaalsuse ning nende andmesubjektilt saadud teabe põhjal hävitamise tagamiseks, nagu on nähtud ette isikuandmete kaitse seaduse (zakon za zashtita na lichnite danni) artiklites 54 ja 55, eelkõige mis puudutab tema õigusi paluda vastutavalt töötlejalt võimalust andmetega tutvuda, neid parandada või need kustutada. Kustutamise põhjuseid, menetlust ja selle tagajärgi on täpsustatud ZMVR artiklis 68 ning NRISPR artiklis 18 jj. Need sätted on sõnastatud piisavalt täpselt ja selgelt, et seaduse adressaadid saaksid oma käitumist reguleerida, ning vastavad seega EIK praktikast tulenevalt ennustatavuse nõudele.(45)
2. Harta artiklitega 7 ja 8 tagatud põhiõiguste olemuse arvestamine
48. Mis puudutab harta artiklis 7 sätestatud põhiõiguse eraelu austamisele olemust, siis politseiregistris oleva teabe laad on piiratud selle eraelu ühe konkreetse aspektiga, mis on seotud andmesubjekti kriminaalse minevikuga – mis ei võimalda teha järeldusi tema eraelu kohta üldiselt, näiteks tema igapäevaste harjumuste, alaliste või ajutiste viibimiskohtade, igapäevaste või muude liikumiste, tegevusalade, ühiskondlike suhete ja ringkondade kohta, kellega ta lävib, ega seega koostada tema profiili. Mis puudutab harta artiklis 8 ette nähtud õiguse isikuandmete kaitsele olemust, siis eelnevad arutluskäigud näitavad, et kõnesolevate riigisiseste õigusnormidega on piiratud andmete töötlemise eesmärke ning sätestatud säilitatavate andmete ammendav loetelu ja õigusnormid, mille eesmärk on tagada nendega tutvumine, nende parandamine või kustutamine. Niisugustel asjaoludel ei kahjusta riive, mida kätkeb endas nendes õigusnormides ette nähtud andmete säilitamine, eespool viidatud artiklites sätestatud põhiõiguste olemust.(46)
3. Üldise huvi eesmärk ja kõnesolev andmete töötlemine sellest eesmärgist lähtudes
49. Nagu on käesolevas ettepanekus tuvastatud, kasutatakse andmeid, mis on saadud isikute kandmisel politseiregistrisse ZMVR artikli 68 alusel, riigi julgeoleku kaitsmiseks, võitluseks kuritegevusega ja avaliku korra säilitamiseks. Bulgaaria valitsus on märkinud, et andmeid kogutakse ja töödeldakse kriminaalmenetluseks, mille raames viiakse andmesubjekti suhtes läbi uurimist, ning kõrvutamiseks teiste andmetega, mis on kogutud teisi süütegusid käsitlevates uurimistes. See viimane eesmärk puudutab ka kõrvutamist teistes liikmesriikides kogutud andmetega.(47)
50. See töötlemine kuulub Bulgaaria valitsuse sõnul ZMVR artiklis 8 kirjeldatud operatiivsesse uurimistegevusse, mille eesmärke on kirjeldatud järgmiselt: kriminaalkorras karistatavate tegude ning riigi julgeolekut ähvardavate ohtude ja avaliku korra rikkumiste ennetamine ja avastamine; kriminaalvastutusest kõrvale hoidvate või karistuse kandmisest kõrvale hoidnud isikute otsimine kriminaalmenetlustes ning kadunud isikute otsimine; nende esemete otsimine, mida kriminaalkorras karistatud tegu puudutas või mida kasutati niisuguse teo toimepanemiseks või mis võivad olla tõendid; esemeliste tõendite ettevalmistamine või säilitamine ja nende esitamine pädevatele kohtutele.
51. Euroopa Kohus on täpsustanud, et avaliku julgeoleku kaitse eesmärk kujutab endast liidu üldist huvi pakkuvat eesmärki, mis võib põhjendada harta artiklites 7 ja 8 tunnustatud põhiõiguste riiveid, isegi kui need on rasked. Lisaks aitab avaliku julgeoleku kaitse kaasa ka teiste isikute õiguste ja vabaduste kaitsmisele. Sellega seoses on harta artiklis 6 ette nähtud, et igaühel on õigus mitte üksnes vabadusele, vaid ka turvalisusele, kusjuures viimati viidatud artikkel tagab õigused, mis vastavad EIÕK artikliga 5 ette nähtud õigustele.(48) Kohtuasjas, mis puudutas samasse Bulgaaria politseiregistrisse kantavate andmete kogumise arvestust, otsustas Euroopa Kohus selgelt, et niisuguse töötlemisega isikute puhul, kellele on kriminaalmenetluses esitatud kahtlustus, nende registreerimise eesmärgil taotletakse direktiivi 2016/680 artikli 1 lõikes 1 sätestatud eesmärke, täpsemalt neid, mis puudutavad süütegude tõkestamist, avastamist ja uurimist ning nende eest vastutusele võtmist, mis on liidu tunnustatud üldist huvi teenivad eesmärgid. Ta lisas, et selline andmete kogumine võib aidata kaasa direktiivi 2016/680 põhjenduses 27 nimetatud eesmärgile, mille kohaselt peavad pädevad asutused süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks konkreetsete süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada.(49) Need kaalutlused on mõistagi õiged andmete säilitamise puhul.
52. Asjaolule, et andmete politseiregistris säilitamine on töötlemine, mis võimaldab saavutada üldist huvi pakkuvad eesmärgid, milleks on kriminaalkorras karistatavate tegude avastamine ja seega tõkestamine, on minu meelest raske vastu vaielda. On ilmne, et politseiregister, mis sisaldab tsiviilidentiteeti, fotosid, biomeetrilisi ja geneetilisi andmeid ning seega isiku unikaalseid ja võltsimatuid füüsilisi tunnuseid, on julgeolekutalitustele süütegude lahendamisel ja nende toimepanijate väljaselgitamisel täiesti asjakohane abivahend uurimises. Selles mõttes vastavad kõnesolevad riigisisesed õigusnormid objektiivsetele kriteeriumidele, mis näevad ette seose säilitatavate andmete ja taotletava eesmärgi vahel.(50)
4. Kõnesoleva riive vajalikkus ja proportsionaalsus
53. Kuigi andmete säilitamine kõnesolevas politseiregistris suudab ilmselgelt tagada taotletava üldist huvi pakkuva eesmärgi saavutamise, tuleb siiski veel kontrollida, kas harta artiklitega 7 ja 8 tagatud õiguste riive, mis sellise säilitamisega kaasneb, piirdub tingimata vajalikuga selles mõttes, et eesmärki ei ole võimalik mõistlikult sama tõhusalt saavutada muude meetmetega, mis riivavad andmesubjektide põhiõigusi vähem, ning ega riive ei ole selle eesmärgi suhtes ebaproportsionaalne, mis eeldab eelkõige eesmärgi olulisuse ja riive raskuse kaalumist.(51)
54. Selle kontrolli tegemisel tuleb käsitletaval juhul arvesse võtta politseiregistri eesmärki, asjaomaste süütegude laadi ja nende isikute arvu, kes sinna võidakse kanda, ning kogutavate isikuandmete konkreetset tundlikkust ja nende säilitamise kestust, riigisiseste õigusnormidega registris päringute tegemise ja andmete säilitamise järelevalve puhuks ette nähtud õiguslikke ja/või tehnilisi tagatisi.
a) a. Registri eesmärk
55. Iirimaa valitsus väitis oma kirjalikes seisukohtades sisuliselt, et andmete säilitamine võib olla vajalik sellega seotud järelevalveks, mis teenib avalikku huvi kuritegevuse tõkestamise ja avaliku julgeoleku kaitsmisel. Seepärast peab politseiregistris oleva teabega saama tutvuda mitte ainult selleks, et otsida süütegude toimepanijaid, vaid ka halduspolitsei eesmärkidel uurimistes, mis eelnevad töölevõtmis‑ ja volitamisotsustele teatavate avalike või tundlike ametikohtade puhul, kusjuures eesmärk on kontrollida, ega asjaomaste isikute käitumine ei ole nende ametikohustuste täitmisega vastuolus.
56. Kohtuistungil kinnitas Bulgaaria valitsus seda, mida võib järeldada ZMVR artikli 27 sõnaselgest sõnastusest, st et kõnesolev politseiregister on abivahend kohtueelsetes, mitte haldusmenetlustes. See on kindlasti tähtis seoses isiku karistusregistrisse kandmise tagajärgedega, sest selle ebameeldiva asjaoluga, et ollakse registris, ei kaasne võimatust tegutseda teatavatel kutsealadel.(52) Kõnesolevasse politseiregistrisse kandmine ei ole ei karistus ega lisakaristus, selle eesmärk on selgelt piiratud kohtueelse menetlusega ja seda saavad kasutada üksnes talitused, kelle suhtes kehtib konfidentsiaalsuskohustus.
57. Sellegipoolest on tegemist ühtse registriga, mis teenib kriminaalpolitsei äärmiselt laiaulatuslikke eesmärke ning sisaldab mitmesugust teavet lihtsalt isikuandmetest kuni biomeetriliste ja geneetiliste andmeteni ja millesse on kantud isikud, kelle menetluslik staatus ei ole sama. Teistes regulatsioonides on leitud, et ühe ja sama töötlemise asemel, mis hõlmab kogu teavet, on sobivam näha ette mitu politseiregistrit, millel on konkreetsed eesmärgid ja ainult üks kasutusotstarve ning millesse on kantud ühte tüüpi andmed.
b) b. Süüteod ja andmesubjektid
58. Andmete säilitamine politseiregistris puudutab isikuid, kes on olnud uurimise all ja süüdi mõistetud tahtlike süütegude eest, mille eest nad on võetud vastutusele prokuröri algatusel selles mõttes, et viimane on esitanud süüdistuse. Bulgaaria valitsuse sõnul jäävad sellest kategooriast välja tahtmatud süüteod, teise astme kuriteod ja eraõiguslikku laadi esimese astme kuriteod ning teatavad süüteod, mille eest on mõistetud haldussanktsioon. On juba märgitud, et enamik karistusseadustikus kirjeldatud süütegudest on tahtlikud ja peaaegu kõikide suhtes alustab prokurör kriminaalmenetlust omal algatusel.(53)
59. Tuleb tõdeda, et riigisisesed õigusnormid ei loetle süütegusid ammendavalt, samuti ei ole nendes tehtud süütegude vahel vahet nende laadi põhjal, mis on omakorda seotud tegude raskusastme ja kohaldatava karistusega, ega ole valitud kriteeriumi, mis oleks seotud vangistuse kui karistuse täpse pikkusega. Ühtsesse ja laiaulatuslikku tervikusse on seega rühmitatud väga mitmesugused käitumisviisid, mis kujutavad endast süütegusid, tõsi küll, selle tingimusega, et peab esinema tahtlik õigusrikkumine, mille tõttu tuleb a priori välja jätta kerged süüteod, mille puhul piisab lihtsalt nende tegude toimepanemisest, milles isikut süüdistatakse,(54) ja süüteod, mida iseloomustab lihtsalt ettevaatamatuses või hooletuses seisnev õigusrikkumine. Kui Bulgaaria valitsusel paluti kohtuistungil täpsustada kõnesoleva süütegude kategooria sisu, piirdus ta paraku märkusega, et tegemist ei ole ainult süütegudega, mille eest mõistetakse vähemalt viieaastane vangistus.
60. Asjaomaste isikute kohta tuleb märkida, et etteheidetav andmetöötlus on piiratud andmesubjektide vanuse põhjal, sest NRISPR artiklist 4 tuleneb, et alaealisi politseiregistrisse ei kanta – mis vähendab sellevõrra nimetatud registrisse kantavate isikute arvu. Kõnesolevas meetmes on eristatud kahte isikute kategooriat: uurimisaluseid isikuid ja kriminaalkorras süüdimõistetuid. Niisugused isikud on kohaldatavate riigisiseste menetluste raames objektiivsete ja mittediskrimineerivate asjaolude põhjal enne tuvastatud kui isikud, kes kujutavad endast ohtu avalikule julgeolekule või avaliku korra säilimisele. Liikmesriikidel on õigus võtta andmete säilitamise meetmeid selliste isikute suhtes, kes on niisuguse tuvastamise tõttu uurimise all, st isikute kategooria suhtes, kelle puhul on mõjuv põhjus arvata, et nad on pannud toime kriminaalkorras karistatava teo, või kes on süüdi mõistetud, mis väljendab seda, et nende kriminaalvastutus on kindlaks tehtud – olukorrad, mis võivad tähendada suurt korduvkuritegevuse ohtu.(55) Korduvkuritegevus laiemas, tavatähenduses, st kui süütegude kordamine, on nähtus, mida iga liikmesriik püüab mõõta ja mõista, missugused on selle määravad tegurid – delikaatne ülesanne, mis sõltub objektiivsete ja usaldusväärsete statistiliste andmete olemasolust kuritegevuse kohta. Kui need on olemas, võivad need näidata, et kriminaalne minevik on korduva süüteo oluline määrav tegur.(56)
61. Tuleb ka rõhutada, et uurimisalused isikud ja nende andmed peaksid politseiregistrist „kaduma“ siis, kui neid puudutav kriminaalmenetlus lõpeb menetluse lõpetamise või õigeksmõistva kohtuotsusega, nagu on nähtud ette ZMVR artiklis 68 – mis mõjutab mõistagi registrisse kantud isikute arvu, mida Bulgaaria valitsus ei ole edastanud.(57)
c) c. Andmete laad ja säilitamise kestus
62. Asjaomaste andmete kohta on Euroopa Kohus otsustanud, et võttes eelkõige arvesse isikute tugevamat kaitset tundlike andmete töötlemisel, peab vastutav töötleja veenduma, et seda eesmärki ei ole võimalik saavutada selliste andmete kasutamisega, mis kuuluvad muudesse kategooriatesse kui need, mis on loetletud direktiivi 2016/680 artiklis 10.(58) Nagu märgitud, on andmed, mille säilitamine on ette nähtud, ilmselgelt sellised, mis aitavad kaasa süütegude tõkestamisele, avastamisele või nende eest vastutusele võtmisele, mis on osa võitlusest kuritegevusega ja avaliku korra säilitamisest. Mulle tundub ka raske asuda seisukohale, et neid eesmärke on võimalik saavutada sama tõhusalt ainult isikuandmete või fotode abil, vastasel korral piiratakse ülemäära uurijate suutlikkust tuua süütegudesse selgust nii, et uurimises kogutud andmeid võrreldakse registrisse eelmiste uurimistega seoses kantud andmetega.(59) Unustuse hõlma on õnneks vajunud ajad, mil ülimaks tõendiks peeti ülestunnistust, sest kriminoloogiateenistuste kogutud teave on kaheldava tõendi tõendushierarhias edukalt asendanud. Niisiis võib järeldada, et kõnesolevad andmed on töötlemise eesmärke arvestades korraga asjakohased ega ole ülemäärased.
63. Tuleb ka märkida, et kuna kõnesolevates riigisisestes õigusnormides ei ole kindlaks määratud registrisse kantud teabe säilitamise täpset maksimumtähtaega, sest andmeid säilitatakse ainult selle menetluse ajal, mis lõpeb teatavate isikute puhul menetluse lõpetamise või õigeksmõistva otsusega, või kogu elu jooksul isikute puhul, kes lõpuks süüdi mõistetakse. Teabe kohaselt, mille andis kohtuistungil Bulgaaria valitsus ja mida peab kontrollima eelotsusetaotluse esitanud kohus, toimub kustutamine automaatselt asjaomase isiku surma korral, kusjuures ka pärijatel on õigus taotleda ZMVR artikli 68 lõike 6 kohaselt kande kustutamist. Kas on vaja asuda seisukohale, et niisugune olukord vastab seoses direktiivi 2016/680 artikli 5 sõnastusega sellele, et ei ole määratud kindlaks isikuandmete kustutamise sobivaid tähtaegu selles mõttes, et see mõiste „tähtaeg“ peaks kindlasti vastama aastates, kuudes või päevades väljendatud ajavahemikule? Jaatava vastuse korral eeldaks sama säte alternatiivina, et riigisisestes õigusnormides määratakse kindlaks nende andmete säilitamise vajaduse perioodilise läbivaatamise tähtajad.(60)
64. Mis puudutab uurimisaluste isikute andmeid ja võttes arvesse Bulgaaria seadusandja valikut neid mitte säilitada, kui neid puudutavates menetluses ei tehta süüdimõistvat otsust, siis selle menetluse paratamatult varieeruv kestus võimaldab vaevalt teha muid valikuid, v.a kehtestada ametlikult piirtähtaeg, et hoida ära menetluse liiga pikk kestus. Süüdimõistetute kohta arvan, et surma mainimine tähendabki juba, et on mainitud ajalist piiri, mis on seotud andmesubjekti bioloogilise elueaga ja välistab andmete säilitamise puhul igasuguse kvalifitseerimise määramata või piiramata kestuseks.(61) Säilitamise lõpp on ette kindlaks määratud, ehkki selle täpne kuupäev on definitsiooni poolest kindlaks määramata. Olgu kuidas on, juhin tähelepanu, et Bulgaaria valitsus märkis kohtuistungil, et registrikannete siseselt eksisteerib korrapärane läbivaatamine, mida käsitletaval juhul tehakse iga kolme kuu järel, mis vastab direktiivi 2016/680 artiklis 5 sätestatud nõuetele.
65. Sellegipoolest ei saa vaielda, et olenevalt vanusest, mil andmesubjekt registrisse kantakse, ja tema vanusest surma hetkel võib säilitamise kestus olla väga pikk, ületades süüteo kordamise tuvastamiseks ette nähtud maksimaalse kestuse või kriminaalmenetluse alustamise võimaluse aegumise tähtaja kõige raskema kuriteo puhul.(62) Seda säilitamistähtaega õigustab siiski töötlemise kriminaalpolitsei eesmärk, milleks on koguda kaudseid tõendeid ja tõendeid, et teha kindlaks mineviku või tulevaste süütegude toimepanijad, kusjuures tuleb märkida, et kriminaalkorras karistatavate tegudega seotud oht, olgu need teod tõsised või mitte, on üldine ja püsiv.(63) Asjaolu, et lahendamata asjadesse tuuakse selgust mõnikord liiga hilja, näitab korraga nii seda, kui suurte raskustega puutuvad kokku uurimistalitused, kui ka seda, et kogutud biomeetriliste ja geneetiliste andmete säilitamine registrites pika aja vältel on õigustatud.(64)
d) d. Õiguslike ja tehniliste tagatiste olemasolu andmete säilitamise ja nendega tutvumise võimaluse puhul
66. Politseiregistris olevate andmete säilitamises sisalduva riive proportsionaalsust ei saa analüüsida eraldi õigusnormidest, mis reguleerivad päringu tegemist selles registris ja andmete seal säilitamise õigustatuse järelevalvet. EIK arvates on nii, et kui riik võtab endale kõige ulatuslikuma õiguse säilitada andmeid piiramata aja jooksul, omandavad määrava tähtsuse teatavate tegelike tagatiste olemasolu ja toimimine. Riigisisene õigus peab sisaldama tagatisi, mis kaitsevad registreeritud isikuandmeid tõhusalt sobimatu ja kuritarvitusliku kasutamise eest ning võimaldavad need andmed kustutada, kui nende püsiv säilitamine muutub ebaproportsionaalseks, eelkõige konkreetse võimalusega esitada talletatud andmete kustutamise taotlus.(65)
1) 1. Registris päringu tegemise tingimused
67. Direktiivi 2016/680 põhjendustest 28, 56 ja 57 ning selle artiklitest 24, 25 ja 29 ilmneb, et liikmesriigid peavad võtma meetmed selleks, et isikuandmeid töödeldaks nii, et tagatakse sobiv turvalisuse ja konfidentsiaalsuse tase, eelkõige takistades loata juurdepääsu nendele andmetele ja nende töötlemise seadmetele ning nende andmete ja seadmete loata kasutamist. Need meetmed hõlmavad viisi, kuidas vastutav töötaja registreid peab, suutes anda järelevalveasutusele viimase nõudmisel teatava hulga teavet tehtud andmetöötluse kohta ning päevikuid teatavate töötlemistoimingute kohta, näiteks andmetega tutvumine ning nende ülekanded ja kustutamine. Direktiivi 2016/680 põhjenduse 60 kohaselt peab vastutav töötleja võtma meetmeid, et leevendada eelnevalt hinnatud ohte, mis asjaomase töötlemisega kaasnevad ning mis on eelkõige seotud andmete levitamise ja nendega ilma loata tutvumisega.
68. Kohtuistungil mainis Bulgaaria valitsus, et riigisiseste õigusnormidega on neid nõudeid järgitud, juhtides tähelepanu, et on olemas õigusnormide kogum, milles on nähtud eelkõige ette nende töötajate nimekirjade koostamine, kellel on õigus andmetega tutvuda, iga kasutaja peab ära näitama oma andmetega tutvumise õiguse põhjenduse, oma isiku ning tutvumise kuupäeva ja kellaaja.(66) Nimetatud tagatised nende isikute ringi osas, kellel on õigus registris päring teha, ja selle päringu korra osas hoiavad ära igasuguse registri kuritarvitusliku või pettusliku kasutamise ning seeläbi harta artiklites 7 ja 8 ette nähtud põhiõiguste liiga suure riive – mida peab kontrollima eelotsusetaotluse esitanud kohus.
2) 2. Andmete registris säilitamise järelevalve
69. On selge, et niisugune eespool kirjeldatud järelevalve, nagu on ette nähtud ZMVR artikli 68 lõikes 6, on duaalset laadi, sest pädevad asutused teevad seda omal algatusel enesekontrolli vormis ja seda tehakse andmesubjekti või tema pärijate taotlusel ning kande registrist kustutamise alused on mõlemal juhul selles sättes ammendavalt ära näidatud. Need alused ei hõlma niisuguse isiku olukorda, kes on rehabiliteeritud, mis toob kaasa asjaomase süüdimõistmise kustutamise tema karistusregistri andmetest, ning ainult ZMVR artikli 68 lõike 6 punktis 1 nimetatud alus, milleks on seadusvastane registreerimine, võib õigustada kriminaalkorras süüdimõistetud isiku kustutamise taotlust, mis on esitatud – nagu käsitletaval juhul – tema eluajal ja seega enne selle seadusega kehtestatud kestuse lõppu, milleks on tema surm.
70. Kui Bulgaaria valitsuselt küsiti kohtuistungil, missugune on ZMVR artikli 68 lõike 6 ulatus, võttes arvesse seda, kuidas pädevad asutused ja kohtud seda kohaldavad, siis täpsustas ta, et see õigusnorm võimaldab muuta uurimisaluse isiku kohta tehtud kannet, mis on muutunud vääraks selle tulemusena, et kohus kvalifitseeris süüteo ümber. Ta välistas igasuguse kande registrist kustutamise võimaluse süüdimõistetu rehabiliteerimise tulemusena. Selles küsimuses meenutan, et kõnesolev register kujutab endast uurimise abivahendit, mille eesmärk on hõlbustada kriminaalpolitsei tööd, mitte otseses mõttes varasemate kriminaalsete tegude registrit nagu karistusregister. Need kaks vahendit ei teeni sama eesmärki: üks on mälu, mida saavad kasutada ainult uurijad, et lahendada pikema aja jooksul mineviku ja tulevasi süütegusid, teine on mõeldud selleks, et kohtunikud saaksid sellest oma töös juhinduda, kui peavad mõistma teatavas asjas karistuse. Seega võib tänu rehabiliteerimisele, mis tõi kaasa asjaomase süüdimõistmise kustutamise karistusregistrist, isik olla vastaval juhul sellise esmakurjategija olukorras, kes võib saada kergema karistuse või kelle karistus võidakse uuesti läbi vaadata. Seepärast on tema andmete säilitamine registris endiselt vajalik, võttes arvesse selle laiemat eesmärki, mis on seotud süütegude avastamise, lahendamise ja tõkestamisega.
71. Tuleb veel märkida, et Bulgaaria valitsuse seisukohtadest ilmneb, et ZMVR artikli 68 lõike 6 punktis 1 nimetatud alus ei hõlma andmete säilitamise vajaduse hindamist selle ajalises mõõtmes. Näib, et riigisiseste õigusnormide hulgas ei ole ühtki sätet ega eksisteeri ka haldus‑ või kohtupraktikat, mis võimaldaks pädeval asutusel kustutada kvartaalsete läbivaatamiste raames registrist kanne või andmesubjektil taotleda selle kustutamist, kui isikuandmete säilitamine ei ole registreerimisest alates kulunud aega arvestades enam vajalik. Mulle tundub, et seda on kergem hinnata eelotsusetaotluse esitanud kohtul, kes peab tegema otsuse küsimuses, kas kustutamise taotluse rahuldamata jätmise otsus on õiguspärane.
F. Vahejäreldus
72. Kas võib asuda seisukohale, et eespool kirjeldatud andmete säilitamisel kasutatavad kriteeriumid on piisavalt eesmärgipärased, proportsionaalsed ja konkreetsed ning isikuandmete töötlemisega järgitakse rangelt vajaliku või absoluutse vajaduse piire? Euroopa Kohus võib sellele küsimusele vastata eitavalt kahel järgmisel põhjusel.
73. Esiteks tuleb rõhutada, et isikuandmete säilitamise vajaduse probleemid kerkivad eriti teravalt siis, kui nende töötlemine on – nagu käsitletaval juhul – lubatud tõkestamise eesmärkidel. Tegelik kriteerium, mis õigustab andmete registreerimist ja säilitamist kõnesolevas politseiregistris, on andmesubjektide ohtlikkus, mis eeldab ohtude hindamist. Käsitletaval juhul tuleb tuvastada, et see hinnang piirdub ainult tahtliku süüteo kahtluse esinemise või niisuguse süüteo toimepanemise tuvastamisega – vähekonkreetne kriteerium, kui üldse, mis puudutab süütegude koosseisu elementi või isegi kriminaalvastutuse alust ennast. Mulle näib seega, et riigisiseses säilitamise regulatsioonis on arvesse võetud minimaalset raskusastet võrreldes süüteoga ning see hõlmab suurt hulka ühiskondliku korra rikkumisi, ilma et a priori oleks nõutav karistus, mis seisneb vangistuses – mis võimaldab asuda seisukohale, et seda kohaldatakse, olenemata süüteo laadist või raskusastmest.(67) Meenutan, et Euroopa Kohus on leidnud, et niisugused Bulgaaria õigusnormid nagu põhikohtuasjas käsitletavad, milles on ette nähtud biomeetriliste ja geneetiliste andmete süstemaatiline kogumine iga isiku puhul, kellele on esitatud kahtlustus sellise tahtliku kuriteo toimepanemises, mille suhtes alustab prokurör kriminaalmenetlust omal algatusel, on üldjuhul vastuolus direktiivi 2016/680 artiklis 10 sätestatud nõudega, sest need võivad nimelt kaasa tuua selle, et vahet tegemata ja üldiselt kogutakse enamiku selliste isikute biomeetrilisi ja geneetilisi andmeid, kellele on esitatud kahtlustus, kuna mõiste „tahtlik kuritegu, mille suhtes alustab prokurör kriminaalmenetlust omal algatusel“ on eriti üldine ja seda võib kohaldada suurele hulgale kuritegudele, sõltumata nende laadist ja raskusest.(68)
74. Kuigi statistilised uuringud võivad näidata, et kriminaalne minevik on oluline tegur süütegude korduval toimepanemisel, toovad need ka ilmsiks niisuguste objektiivsete tegurite olemasolu, mis suurendavad korduva süüteo toimepanemise riski ja on seotud eelkõige soo, vanuse ja esialgse süüteo laadiga ning asjaoluga, et korduv süütegu on tihedalt seotud selle süüteo laadiga, mis kinnipidamiseni viis.(69) Et andmete säilitamise kriteeriumiks on valitud aga kriteerium, mille kohaselt säilitatakse andmeid kuni andmesubjekti surmani ükskõik missuguse süüdimõistmise korral tahtliku süüteo eest, sh esimene,(70) on selge, et nende andmete töötlemise loogikaks on eriti lai nägemus kurjategelikust teest, ükskõik kas tegemist on süütegude laadi ja/või raskusastme või toimepanija vanusega. Võib tekkida sama küsimus, mis EIK‑l, st kas teatavas mõttes äärmusesse kallutatuna ei vii sedalaadi loogika praktikas selleni, et õigustatakse teabe talletamist kõigi elanike ja nende surnud sugulaste kohta – mis oleks kahtlemata liiast ega oleks asjakohane.(71) Märgin, et Euroopa Kohus on leidnud, et pelka asjaolu, et isikule on esitatud kahtlustus sellise tahtliku kuriteo toimepanemises, mille suhtes alustab prokurör kriminaalmenetlust omal algatusel, ei saa pidada iseenesest asjaoluks, mis võimaldab eeldada, et tema biomeetriliste ja geneetiliste andmete kogumine on sellega taotletavate eesmärkide seisukohast rangelt vajalik.(72)
75. Teiseks on näha, et andmeid säilitatakse olenemata vajadusest talletada neid kuni andmesubjekti surmani. Võttes arvesse ZMVR artikli 68 lõike 6 sõnastust ja seda, kuidas viimati viidatud sätet tõlgendatakse, on pädevatel asutustel õigus andmed kustutada ainult erandlikel asjaoludel, mis ei ole seotud selle isiku olukorra muutusega alates registrisse kandmisest. See on loogiliselt samamoodi samas õigusaktis ette nähtud kustutamise taotlusega, mille isik võib esitada ning mis ei ole piisavalt tõhus, sest ei võimalda kontrollida, kas andmete säilitamise kestus on asjaomase riive eesmärgi seisukohast proportsionaalne. Selle hinnangu andmisel tuleks arvesse võtta mitut kriteeriumi, näiteks tuvastatud faktiliste asjaolude laad ja tõsidus, sündmusest möödunud aeg, seaduses ette nähtud säilitamise kestus, mis on veel jäänud, või taotleja vanus konkreetsel juhul, ning seda kõike, arvestades tema isiklikku olukorda, st vanust, mil ta teo toime pani, tema käitumist sellest ajast alates (sotsiaalne lõimumine, kahju hüvitamine kannatanutele), tema isiksust, rehabiliteerimist, mis võib seejuures olla tervikhinnangu andmisel üks tegur. Nendel asjaoludel on registrisse kantud isiku kontroll nii piiratud, et see on sama hästi kui hüpoteetiline.(73)
76. Eespool tuvastatu tuleb asetada konteksti, kus väga pikka aega võib säilitada tundlikke andmeid ning kõnesolev register võib pakkuda selle kasutajatele nende andmete kasutamise võimalusi, muu hulgas tuvastamise, analüüsimise ja kõrvutamise võimalusi, mis kujutavad endast väga tõsist riivet. On tarvis märkida, et ZMVR artikli 68 lõike 3 kohaselt peavad politseiasutused isiku politseiregistrisse kandmiseks võtma proovid isikute „DNA profiili koostamiseks“ ja tegema neist fotod, kusjuures piltide puhul võidakse vajaduse korral kasutada näotuvastusmeetodeid.
V. Ettepanek
77. Eelnevate kaalutluste põhjal teen Euroopa Kohtule ettepaneku vastata Varhoven administrativen sadile (Bulgaaria kõrgeim halduskohus) järgmiselt:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, artikleid 4, 5, 8 ja 10 ja artikli 16 lõiget 2 tuleb koostoimes Euroopa Liidu põhiõiguste harta artikli 52 lõikega 1
tõlgendada nii, et
nendega on vastuolus riigisisesed õigusaktid, milles on nähtud ette isikuandmete säilitamine politseiregistris, mis hõlmab iga tahtliku süüteo eest kriminaalkorras süüdimõistetud isiku biomeetrilisi ja geneetilisi andmeid, ilma mingi vahetegemiseta, mis puudutab süüteo laadi või raskusastet, ning seda kuni tema surmani, ilma et seal olevate andmete säilitamist oleks võimalik kontrollida registreerimisest möödunud aega arvesse võttes ja saavutada asjakohasel juhul nende kustutamine.
Selle kontrollimine, kas andmete säilitamine on proportsionaalne töötlemise eesmärgiga, võttes arvesse süüdimõistetu olukorda, võib hõlmata isiku rehabiliteerimist.