EUROOPA KOHTU OTSUS (suurkoda)
30. jaanuar 2024(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse seoses isikuandmete töötlemisega kuritegude vastu võitlemise eesmärgil – Direktiiv (EL) 2016/680 – Artikli 4 lõike 1 punktid c ja e – Võimalikult väheste andmete kogumine – Säilitamise piirang – Artikkel 5 – Asjakohased tähtajad kustutamiseks või säilitamise vajaduse korrapäraseks läbivaatamiseks – Artikkel 10 – Biomeetriliste ja geneetiliste andmete töötlemine – Range vajalikkus – Artikli 16 lõiked 2 ja 3 – Õigus isikuandmete kustutamisele – Isikuandmete töötlemise piiramine – Euroopa Liidu põhiõiguste harta artikli 52 lõige 1 – Jõustunud kohtuotsusega süüdi mõistetud füüsiline isik, kelle karistus on hiljem kustunud – Andmete säilitamistähtaeg kuni andmesubjekti surmani – Õiguse isikuandmete kustutamisele või töötlemise piiramisele puudumine – Proportsionaalsus
Kohtuasjas C‑118/22,
mille ese on ELTL artikli 267 alusel Varhoven administrativen sadi (Bulgaaria kõrgeim halduskohus) 10. jaanuari 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 17. veebruaril 2022, menetluses
NG
versus
Direktor na Glavna direktsia „Natsionalna politsia“ pri Ministerstvo na vatreshnite raboti – Sofia,
menetluses osales:
Varhovna administrativna prokuratura,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident L. Bay Larsen, kodade presidendid A. Arabadjiev, A. Prechal, K. Jürimäe, N. Piçarra ja O. Spineanu-Matei, kohtunikud M. Ilešič, J.‑C. Bonichot, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl ja D. Gratsias (ettekandja),
kohtujurist: P. Pikamäe,
kohtusekretär: ametnik R. Stefanova-Kamisheva,
arvestades kirjalikku menetlust ja 7. veebruari 2023. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– NG, esindaja: advokat P. Kuyumdzhiev,
– Bulgaaria valitsus, esindajad: M. Georgieva, T. Mitova ja E. Petranova,
– Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,
– Iirimaa, esindajad: M. Browne, A. Joyce ja M. Tierney, keda abistas D. Fennelly, BL,
– Hispaania valitsus, esindajad: A. Ballesteros Panizo ja J. Rodríguez de la Rúa Puig,
– Madalmaade valitsus, esindaja: A. Hanje,
– Poola valitsus, esindajad: B. Majczyna, D. Łukowiak ja J. Sawicka,
– Euroopa Komisjon, esindajad: A. Bouchagiar, C. Georgieva, H. Kranenborg ja F. Wilman,
olles 15. juuni 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus puudutab küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), artiklit 5 koostoimes selle direktiivi artikli 13 lõike 2 punktiga b ja lõikega 3.
2 Taotlus on esitatud NG ja Direktor na Glavna direktsia „Natsionalna politsia“ pri Ministerstvo na vatreshnite raboti – Sofia (siseministeeriumi haldusalas asuva riikliku politsei peadirektsiooni direktor, Bulgaaria; edaspidi „DGPN“) vahelises kohtuvaidluses selle üle, et DGPN jättis rahuldamata taotluse, mille NG esitas tema kohta käiva kande kustutamiseks riiklikust registrist, millesse Bulgaaria politseiasutused kannavad isikud, keda süüdistatakse tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel (edaspidi „politseiregister“), ning mis põhines NG karistuse kustumisel pärast seda, kui ta oli olnud kriminaalkorras lõplikult süüdi mõistetud.
Õiguslik raamistik
Liidu õigus
3 Direktiivi 2016/680 põhjendustes 11, 14, 26, 27, 37, 47 ja 104 on märgitud:
„(11) […] on asjakohane reguleerida [kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö] valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. […]
[…]
(14) Kuna käesolevat direktiivi ei tohiks kohaldada isikuandmete töötlemisele sellise tegevuse käigus, mis jääb liidu õiguse kohaldamisalast väljapoole, ei tohiks käesoleva direktiivi kohaldamisalasse kuuluva tegevusena käsitada riikliku julgeolekuga seotud tegevust […].
[…]
(26) […] tuleks tagada, et isikuandmeid ei koguta ülemääraselt ja neid ei säilitata kauem, kui nende töötlemise eesmärgil on vaja. Isikuandmeid tuleks töödelda üksnes juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. […]
(27) Süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada.
[…]
(37) Isikuandmeid, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed, väärivad erikaitset, sest nende töötlemise kontekst võib tekitada suurt ohtu põhiõigustele ja ‑vabadustele. […]
[…]
(47) […] Füüsilisel isikul peaks samuti olema õigus isikuandmete töötlemise piiramisele, […] kui isikuandmeid tuleb säilitada tõendamise eesmärgil. Eelkõige tuleks isikuandmete kustutamise asemel nende töötlemist piirata, kui konkreetsel juhul on põhjendatult alust arvata, et andmete kustutamine võib kahjustada andmesubjekti õigustatud huve. Piiratud isikuandmeid tuleks sellisel juhul töödelda üksnes sel eesmärgil, mis takistas nende kustutamist. […]
[…]
(104) Käesolevas direktiivis peetakse kinni ELi toimimise lepingus sätestatud ja [Euroopa Liidu põhiõiguste hartas (edaspidi „harta“)] tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nimetatud õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvate eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks.“
4 Direktiivi artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 1 on sätestatud:
„Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.“
5 Direktiivi artikli 2 „Kohaldamisala“ lõigetes 1 ja 3 on ette nähtud:
„1. Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt artikli 1 lõikes 1 sätestatud eesmärkidel.
[…]
3. Käesolevat direktiivi ei kohaldata, kui
a) isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse;
[…]“.
6 Direktiivi artiklis 3 „Mõisted“ on sätestatud:
„Käesolevas direktiivis kasutatakse järgmisi mõisteid:
[…]
2. „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav […] toiming või toimingute kogum, nagu […] säilitamine[…];
[…]“.
7 Direktiivi 2016/680 artikli 4 „Isikuandmete töötlemise põhimõtted“ lõikes 1 on sätestatud:
„Liikmesriigid näevad ette järgmist:
[…]
c) isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes;
[…]
e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;
[…]“.
8 Direktiivi artikkel 5 „Säilitamise ja läbivaatamise tähtajad“ on sõnastatud järgmiselt:
„Liikmesriigid näevad ette asjakohaste tähtaegade kehtestamise isikuandmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Nimetatud tähtaegade järgimise tagamiseks kehtestatakse menetluslikud meetmed.“
9 Direktiivi artikkel 10 „Isikuandmete eriliikide töötlemine“ on sõnastatud järgmiselt:
„[G]eneetiliste andmete [ja] füüsilise isiku kordumatuks tuvastamiseks kasutatavate biomeetriliste andmete […] töötlemine on lubatud üksnes siis, kui see on rangelt vajalik [ja kui] sellele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid […]“.
10 Sama direktiivi artikli 13 „Andmesubjektile kättesaadavaks tehtud või antud teave“ lõikes 2 on sätestatud, et liikmesriigid näevad oma õiguses seadusega ette, et peale lõikes 1 osutatud teabe annab vastutav töötleja selleks, et andmesubjektil oleks võimalik oma õigusi teostada, talle konkreetsetel juhtudel täiendava teabe, mis on loetletud samas lõikes 2. Selle täiendava teabe hulgas on viidatud lõike 2 punktis b muu hulgas nimetatud isikuandmete säilitamise tähtaega või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriume. Lisaks on direktiivi 2016/680 artikli 13 lõikes 3 sätestatud alused, mille korral võivad liikmesriigid lükata edasi või piirata andmesubjektile selle artikli lõike 2 kohase teabe andmist või jätta talle see teave esitamata.
11 Direktiivi 2016/680 artiklis 14 „Andmesubjekti õigus tutvuda isikuandmetega“ on sätestatud:
„Kui artiklis 15 ei ole sätestatud teisiti, näevad liikmesriigid ette andmesubjekti õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse või mitte, ning nende töötlemise korral tutvuda isikuandmete ja järgmise teabega:
[…]
d) kui võimalik, siis kavandatav isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;
[…]“.
12 Direktiivi artikli 16 „Isikuandmete parandamise või kustutamise ja isikuandmete töötlemise piiramise õigus“ lõigetes 2 ja 3 on sätestatud:
„2. Liikmesriigid nõuavad, et vastutav töötleja kustutaks isikuandmed põhjendamatu viivituseta ja näevad ette andmesubjekti õiguse sellele, et vastutav töötleja kustutaks põhjendamata viivituseta tema isikuandmed, kui isikuandmete töötlemine rikub artikli 4, 8 või 10 kohaselt vastu võetud sätteid või kui isikuandmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks.
3. Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui:
a) andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või
b) isikuandmeid tuleb säilitada tõendamise eesmärgil.
[…]“.
13 Direktiivi artikli 20 „Lõimitud andmekaitse ja vaikimisi andmekaitse“ kohaselt näevad liikmesriigid ette, et vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise iga konkreetse eesmärgi saavutamiseks, et täita kõnealuse direktiivi nõudeid ja kaitsta andmesubjektide õigusi.
14 Direktiivi 2016/680 artikli 29 „Isikuandmete töötlemise turvalisus“ lõikes 1 on sätestatud:
„Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele arvesse võttes ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, eelkõige seoses artiklis 10 osutatud isikuandmete eriliikide töötlemisega.“
Bulgaaria õigus
Karistusseadustik
15 Karistusseadustiku (Nakazatelen kodeks, DV nr 26, 2.4.1968) (põhikohtuasjas kohaldatavas redaktsioonis) artikli 82 lõige 1 sätestab:
„Mõistetud karistust ei pöörata täitmisele, kui on möödunud:
1. kakskümmend aastat, kui ettenähtud karistus on eluaegne vangistus ilma ennetähtaegse vabanemise võimaluseta või eluaegne vangistus;
2. viisteist aastat, kui ettenähtud karistus on üle kümneaastane vangistus;
3. kümme aastat, kui ettenähtud karistus on kolme- kuni kümneaastane vangistus;
4. viis aastat, kui ettenähtud karistus on lühem kui kolmeaastane vangistus, ja
5. kaks aastat kõikidel muudel juhtudel.“
16 Karistusseadustiku artikli 85 lõikes 1 on ette nähtud:
„Kui seaduse või määrusega ei ole ette nähtud teisiti, kustutab karistuse kustumine süüdimõistmise ja tühistab edaspidised tagajärjed, mis seaduse kohaselt kaasnevad süüdimõistmisega.“
17 Karistusseadustiku artikkel 88a on sõnastatud järgmiselt:
„Kui karistuse kandmisest on möödunud artikli 82 lõikes 1 osutatud aeg ja süüdimõistetud isik ei ole toime pannud uut tahtlikku kuritegu, mille menetlemine toimub riikliku süüdistuse alusel ning mille eest karistatakse vangistusega, kustutatakse süüdimõistmine ja selle tagajärjed, olenemata mis tahes muu seaduse või määruse sätetest.“
Siseministeeriumi seadus
18 Siseministeeriumi seaduse (Zakon za Ministerstvo na vatreshnite raboti, DV nr 53, 27.6.2014) põhikohtuasjas kohaldatavas redaktsioonis (edaspidi „siseministeeriumi seadus“) on artiklis 26 sätestatud:
„(1) Kui siseministeeriumi haldusalas olevad ametiasutused töötlevad isikuandmeid seoses riigi julgeoleku kaitse, kuritegevuse vastase võitluse, avaliku korra säilitamise ja kriminaalmenetluste läbiviimisega:
[…]
3. võivad nad töödelda kõiki vajalikke isikuandmete kategooriaid;
[…]
(2) Lõikes 1 nimetatud andmete säilitamise või nende säilitamise vajaduse korrapärase läbivaatamise tähtajad määrab kindlaks siseminister. Kõnealuseid andmeid ka kustutatakse kohtu otsuse või isikuandmete kaitse komisjoni otsuse alusel.“
19 Siseministeeriumi seaduse artiklis 27 on sätestatud:
„Andmeid, mis on saadud isikute kandmisel politseiregistrisse artikli 68 alusel, kasutatakse ainult riigi julgeoleku kaitsmiseks, võitluses kuritegevuse vastu ja avaliku korra säilitamiseks.“
20 Seaduse artikkel 68 on sõnastatud järgmiselt:
„(1) Politseiasutused kannavad politseiregistrisse isikud, keda süüdistatakse tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel. Uurimisasutused on kohustatud võtma meetmed, mis on vajalikud, et politseiasutused saaksid teha registrikande.
(2) Politseiregistrisse kandmine on lõikes 1 nimetatud isikute isikuandmete niisuguse töötlemise liik, mis toimub käesoleva seaduse raames.
(3) Politseiregistrisse kandmiseks peavad politseiasutused:
1. koguma isikuandmeid Bulgaaria isikut tõendavate dokumentide seaduse artiklis 18 nimetatud isikute kohta;
2. võtma isikutelt sõrmejäljed ja neid isikuid pildistama;
3. võtma proovid isikute DNA-profiili koostamiseks.
[…]
(6) Kanne kustutatakse politseiregistrist isikuandmete vastutava töötleja või tema poolt volitatud ametnike kirjaliku korralduse alusel automaatselt või registrisse kantud isiku põhjendatud kirjaliku taotluse alusel, kui:
1. registrisse kandmine on toimunud seadust rikkudes;
2. kriminaalmenetlus lõpetatakse, v.a [kriminaalmenetluse seadustiku (Nakazatelno-protsesualen kodeks)] artikli 24 lõikes 3 nimetatud juhtudel;
3. isik mõistetakse kriminaalmenetluses õigeks;
4. isik vabastatakse kriminaalvastutusest ja talle määratakse haldussanktsioon;
5. isik sureb, millisel juhul võivad taotluse esitada tema pärijad.
[…]“.
Põhikohtuasi ja eelotsuse küsimus
21 NG kohta tehti siseministeeriumi seaduse artikli 68 alusel politseiregistrisse kanne uurimismenetluses, mis käsitles valetunnistuse andmist – see on karistusseadustiku artikli 290 lõikes 1 sätestatud kuritegu. Selle uurimismenetluse tulemusena esitati NG‑le süüdistus ja 28. juuni 2016. aasta kohtuotsusega, mis jäeti apellatsiooniastmes 2. detsembri 2016. aasta kohtuotsusega muutmata, tunnistati ta süüdi ja talle mõisteti üheaastane vangistus, millest ta katseajaga tingimisi vabastati. Pärast selle karistuse kandmist NG karistus kustus 14. märtsil 2020 karistusseadustiku artikli 82 lõike 1 ja artikli 88a koostoimes kohaldamise alusel.
22 NG esitas 15. juulil 2020 karistuse kustumise alusel siseministeeriumi territoriaalselt pädevale asutusele taotluse kustutada teda puudutav kanne politseiregistrist.
23 DGPN jättis selle taotluse 2. septembri 2020. aasta otsusega rahuldamata, leides, et kriminaalkorras lõplikult süüdimõistmine ei ole ka karistuse kustumise korral üks kande politseiregistrist kustutamise alustest, mis on ammendavalt loetletud siseministeeriumi seaduse artikli 68 lõikes 6.
24 Administrativen sad Sofia grad (Sofia halduskohus, Bulgaaria) jättis NG poolt selle DGPNi otsuse peale esitatud kaebuse 2. veebruari 2021. aasta otsusega rahuldamata põhjendustel, mis on sisuliselt samad kui need, millele tugines DGPN.
25 NG esitas kassatsioonkaebuse eelotsusetaotluse esitanud kohtule, Varhoven administrativen sadile (Bulgaaria kõrgeim halduskohus). Kassatsioonkaebuse peamine väide on, et on rikutud direktiivi 2016/680 artiklitest 5, 13 ja 14 tulenevat põhimõtet, mille kohaselt ei tohi isikuandmete säilitamises seisnev töötlemine olla piiramatu kestusega. NG väidab aga sisuliselt, et faktiliselt on see nii, kui andmesubjekt ei saa seetõttu, et karistuse kustumine ei ole alus kande kustutamiseks politseiregistrist, pärast oma karistuse kandmist ja karistuse kustumist kunagi saavutada nende isikuandmete kustutamist, mis on kogutud seoses kuriteoga, milles ta lõplikult süüdi mõisteti.
26 Sellega seoses märgib eelotsusetaotluse esitanud kohus esiteks, et politseiregistrisse kandmine on isikuandmete töötlemine, mis toimub direktiivi 2016/680 artikli 1 lõikes 1 sätestatud eesmärkidel ja kuulub seega selle direktiivi kohaldamisalasse.
27 Teiseks märgib ta, et karistuse kustumine ei kuulu politseiregistrist kande kustutamise aluste hulka, mis on ammendavalt loetletud siseministeeriumi seaduse artikli 68 lõikes 6, ning sellisel juhul ei ole kohaldatav ükski teine neist alustest, mistõttu on andmesubjektil niisuguses olukorras võimatu saavutada tema kohta tehtud kande kustutamist.
28 Kolmandaks märgib eelotsusetaotluse esitanud kohus, et direktiivi 2016/680 põhjenduses 26 on viidatud tagatistele, et isikuandmeid ei kogutaks ülemääraselt ja neid ei säilitataks kauem, kui on vaja nende töötlemise eesmärgil, ning selles on märgitud, et vastutav töötleja peab kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Lisaks järeldab ta selle direktiivi põhjendusest 34, et töötlemine direktiivi artikli 1 lõikes 1 sätestatud eesmärkidel peaks hõlmama selliste andmete töötlemise piiramist ning nende kustutamist või hävitamist. Tema sõnul kajastuvad need põhimõtted nimetatud direktiivi artiklis 5 ning artikli 13 lõigetes 2 ja 3.
29 Seejuures on eelotsusetaotluse esitanud kohtul kahtlusi seoses küsimusega, kas eelmises punktis nimetatud eesmärkidega on vastuolus riigisisesed õigusnormid, mis annavad pädevatele asutustele „praktiliselt piiramatu õiguse“ töödelda isikuandmeid direktiivi 2016/680 artikli 1 lõikes 1 sätestatud eesmärkidel ja võtavad andmesubjektilt õiguse nõuda enda isikuandmete töötlemise piiramist või tema kohta käivate andmete kustutamist.
30 Neil asjaoludel otsustas Varhoven administrativen sad (kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:
„Kas tõlgendusega, mis on antud [direktiivi 2016/680] artiklile 5 koostoimes selle direktiivi artikli 13 lõike 2 punktiga b ja [lõikega 3], on vastuolus liikmesriigi seadusandlikud meetmed, mis annavad pädevatele asutustele peaaegu piiramatu õiguse töödelda isikuandmeid kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ja/või võtavad andmesubjektilt õiguse nõuda enda isikuandmete töötlemise piiramist, nende kustutamist või hävitamist?“
Eelotsuse küsimuse analüüs
31 Väljakujunenud kohtupraktika kohaselt on ELTL artiklis 267 sätestatud liikmesriigi kohtute ja Euroopa Kohtu vahelises koostöömenetluses Euroopa Kohtu ülesanne anda liikmesriigi kohtule tarvilik vastus, mis võimaldaks viimasel tema menetluses olev kohtuasi lahendada. Seda arvestades peab Euroopa Kohus talle esitatud küsimused vajaduse korral ümber sõnastama. Ka võib Euroopa Kohus arvesse võtta neid liidu õigusnorme, millele liikmesriigi kohus ei ole oma küsimustes viidanud (15. juuli 2021. aasta kohtuotsus Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 31 ja seal viidatud kohtupraktika).
32 Käesoleval juhul on eelotsusetaotluse esitanud kohtu küsimus tingitud asjaolust, et – nagu nähtub eelotsusetaotlusest ja teabest, mille Bulgaaria valitsus esitas Euroopa Kohtu istungil – ükski politseiregistris sisalduvate isikuandmete kustutamise alus, mis on ammendavalt loetletud siseministeeriumi seaduses, ei ole kohaldatav põhikohtuasjas kõne all olevas olukorras, kus isik on lõplikult süüdi mõistetud, ja seda isegi pärast tema karistuse kustumist, mistõttu neid andmeid säilitatakse selles registris ja neid võivad töödelda ametiasutused, kellel on võimalik nendega tutvuda ilma muude ajaliste piiranguteta kui isiku surm.
33 Kõigepealt tuleb märkida, et selle kohta nähtub eelotsusetaotlusest ja eelkõige käesoleva kohtuotsuse punktis 27 kokkuvõtlikult esitatud kaalutlustest ning eelotsuse küsimuse enda sõnastusest, et eelotsusetaotluse esitanud kohus soovib eeskätt teada saada, kas põhikohtuasjas kõne all olevad riigisisesed õigusnormid on kooskõlas proportsionaalsuse põhimõttega. Nagu on rõhutatud direktiivi 2016/680 põhjenduses 104, tuleb piiranguid, mis selle direktiiviga on seatud harta artikliga 8 tagatud õigusele isikuandmete kaitsele ning õigusele era- ja perekonnaelu austamisele ning tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele, mis on kaitstud vastavalt harta artiklitega 7 ja 47, tõlgendada aga kooskõlas harta artikli 52 lõike 1 nõuetega, mis hõlmavad ka selle põhimõtte järgimist.
34 Järgmiseks olgu märgitud, et eelotsusetaotluse esitanud kohus viitab oma küsimuse sõnastuses õigustatult direktiivi artiklile 5, mis käsitleb asjakohaseid tähtaegu isikuandmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Kuna nimetatud artikkel 5 on tihedalt seotud nii sama direktiivi artikli 4 lõike 1 punktidega c ja e kui ka artikli 16 lõigetega 2 ja 3, tuleb eelotsuse küsimust mõista nii, et see puudutab ka neid kahte sätet.
35 Ühtlasi, kuivõrd põhikohtuasjas kõne all olevad riigisisesed õigusnormid näevad muu hulgas ette biomeetriliste ja geneetiliste andmete säilitamise, mille puhul on tegemist isikuandmete eriliikidega, mille töötlemine on eraldi reguleeritud direktiivi 2016/680 artiklis 10, siis tuleb asuda seisukohale, et esitatud küsimus puudutab ka selle sätte tõlgendamist.
36 Viimasena tuleb märkida, et direktiivi 2016/680 artikli 13 tõlgendamise asjakohasus nähtub eelotsusetaotlusest selgelt üksnes selle artikli lõike 2 punkti b puhul. On tõsi, et – nagu märgib eelotsusetaotluse esitanud kohus – selle artikli lõige 3 kajastab ka põhimõtteid, mida on nimetatud eelkõige selle direktiivi põhjenduses 26. Euroopa Kohtule esitatud toimikust ei nähtu siiski, et põhikohtuasjas oleks kõne all ka seadusandlik meede, millega nähakse ette andmesubjektile esitatava teabe hilisem või piiratud esitamine nimetatud lõike 3 tähenduses.
37 Eeltoodut arvestades tuleb asuda seisukohale, et eelotsusetaotluse esitanud kohus palub oma küsimusega sisuliselt selgitada, kas direktiivi 2016/680 artikli 4 lõike 1 punkte c ja e koostoimes selle direktiivi artiklitega 5 ja 10, artikli 13 lõike 2 punktiga b ning artikli 16 lõigetega 2 ja 3 tuleb harta artikleid 7 ja 8 arvestades tõlgendada nii, et nendega on vastuolus liikmesriigi õigusnormid, mis näevad ette isikuandmete, sealhulgas biomeetriliste ja geneetiliste andmete säilitamise politseiasutuste poolt kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil isikute puhul, kes on kriminaalkorras lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, ja seda kuni isiku surmani, sealhulgas tema karistuse kustumise korral, ilma et tunnustataks tema õigust nende andmete kustutamisele või olenevalt olukorrast nende töötlemise piiramisele.
38 Kõigepealt tuleb märkida, et esitatud küsimus puudutab isikuandmete töötlemist, mis vastab eesmärkidele, mis direktiivi 2016/680 artikli 1 lõike 1 kohaselt kuuluvad selle direktiivi kohaldamisalasse. Eelotsusetaotluses osundatud siseministeeriumi seaduse artiklist 27 nähtub siiski, et politseiregistris säilitatavaid andmeid võib töödelda ka riigi julgeoleku kaitsmiseks, mille suhtes see direktiiv ei ole kohaldatav vastavalt selle artikli 2 lõike 3 punktile a koostoimes sama direktiivi põhjendusega 14. Seega peab eelotsusetaotluse esitanud kohus veenduma, et põhikohtuasja kaebaja andmete säilitamine ei vasta riigi julgeoleku kaitsega seotud eesmärkidele, arvestades et artikli 2 lõike 3 punktis a on sätestatud erand liidu õiguse kohaldamisest, mida tuleb tõlgendada kitsalt (vt analoogia alusel 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 62 ja seal viidatud kohtupraktika).
39 Esimesena tuleb meenutada, et harta artiklitega 7 ja 8 tagatud põhiõigused eraelu puutumatusele ja isikuandmete kaitsele ei ole absoluutsed eelisõigused, vaid neid tuleb arvesse võtta vastavalt nende ülesandele ühiskonnas ja kaaluda teiste põhiõigustega. Vastavalt harta artikli 52 lõikele 1 tohib nende põhiõiguste teostamisele piiranguid seada tingimusel, et need on ette nähtud seadusega, arvestavad kõnealuste põhiõiguste olemust ja on kooskõlas proportsionaalsuse põhimõttega. Viimati nimetatud põhimõtte kohaselt võib piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi. Piirangud peavad piirduma rangelt vajalikuga ning riivet sisaldavas õigusaktis peavad olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 105 ja seal viidatud kohtupraktika).
40 Nagu on sisuliselt rõhutatud direktiivi 2016/680 põhjenduses 26, ei ole need nõuded täidetud, kui taotletavat üldist huvi pakkuvat eesmärki on mõistlikult võimalik sama tõhusalt ellu viia muude vahenditega, mis riivavad andmesubjektide põhiõigusi vähem (vt analoogia alusel 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 110 ja seal viidatud kohtupraktika).
41 Teisena olgu märgitud, et liikmesriigid peavad selle direktiivi artikli 4 lõike 1 punkti c kohaselt kõigepealt ette nägema, et isikuandmed oleks piisavad ja asjakohased ega oleks liiased seoses nende töötlemise eesmärkidega. See säte nõuab seega, et liikmesriigid järgiksid „võimalikult väheste andmete kogumise“ põhimõtet, milles väljendub proportsionaalsuse põhimõte (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 98 ja seal viidatud kohtupraktika).
42 Sellest järeldub eelkõige, et isikuandmete kogumine kriminaalmenetluses ja nende andmete säilitamine politseiasutuste poolt direktiivi artikli 1 lõikes 1 nimetatud eesmärkidel peavad vastama nendele nõuetele sama moodi nagu iga selle direktiivi kohaldamisalasse kuuluv töötlemine. Selline säilitamine kujutab endast ühtlasi eraelu puutumatuse ja isikuandmete kaitse põhiõiguste riivet olenemata sellest, kas säilitatav teave on tundlik või mitte, kas puudutatud isikud on selle riive tõttu pidanud taluma mingeid ebamugavusi või mitte või kas säilitatavaid andmeid hiljem kasutatakse või mitte (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 44 ning seal viidatud kohtupraktika).
43 Lisaks, mis puudutab täpsemalt nende andmete säilitamise kestuse proportsionaalsust, siis peavad liikmesriigid direktiivi 2016/680 artikli 4 lõike 1 punkti e kohaselt ette nägema, et neid andmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse.
44 Sellega seoses paneb nimetatud direktiivi artikkel 5 liikmesriikidele kohustuse näha ette asjakohased tähtajad isikuandmete kustutamiseks või selliste andmete säilitamise vajaduse korrapäraseks läbivaatamiseks ning menetluslikud meetmed, mis tagavad nende tähtaegade järgimise.
45 Nagu on märgitud direktiivi 2016/680 põhjenduses 26, on selle sätte eesmärk tagada direktiivi artikli 4 lõike 1 punkti e nõuete kohaselt, et isikuandmeid ei säilitataks kauem kui vaja. On tõsi, et see säte jätab liikmesriikidele õiguse kehtestada asjakohased säilitamistähtajad ja otsustada, kas need tähtajad puudutavad nimetatud andmete kustutamist või nende säilitamise vajaduse korrapärast läbivaatamist, tingimusel et nende tähtaegade järgimine on tagatud asjakohaste menetluslike meetmetega. Siiski nõuab nende tähtaegade „asjakohasus“ igal juhul, et need tähtajad võimaldaksid vastavalt selle direktiivi artikli 4 lõike 1 punktidele c ja e, harta artikli 52 lõiget 1 arvestades, kõnealused andmed vajaduse korral kustutada, kui nende säilitamine ei ole enam töötlemise eesmärkide seisukohast vajalik.
46 Just selleks, et andmesubjektidel oleks võimalik seda „asjakohasust“ kontrollida ja vajaduse korral nõuda andmete kustutamist, on direktiivi 2016/680 artikli 13 lõike 2 punktis b ja artikli 14 punktis d ette nähtud, et üldjuhul, kui see on võimalik, saab andmesubjekte teavitada isikuandmete säilitamise tähtajast või, kui see ei ole võimalik, siis selle tähtaja määramise kriteeriumidest.
47 Järgmiseks tuleb märkida, et direktiivi 2016/680 artikkel 10 on erisäte, mis reguleerib isikuandmete eriliikide, sealhulgas biomeetriliste ja geneetiliste andmete töötlemist. Selle sätte eesmärk on tagada andmesubjektile tugevam kaitse, kuna – nagu on märgitud selle direktiivi põhjenduses 37 – niisugused andmed võivad nende erilise tundlikkuse ja nende töötlemise konteksti tõttu kaasa tuua suure ohu põhiõigustele ja ‑vabadustele, nagu õigus eraelu puutumatusele ja õigus isikuandmete kaitsele, mis on tagatud harta artiklitega 7 ja 8 (26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punkt 116 ning seal viidatud kohtupraktika).
48 Täpsemalt on kõnealuses artiklis 10 sätestatud nõue, et tundlike andmete töötlemine on lubatud „üksnes siis, kui see on rangelt vajalik“, mis kujutab endast rangemat töötlemise seaduslikkuse tingimust ning eeldab muu hulgas eriti ranget kontrolli selle üle, et järgitakse „võimalikult väheste andmete kogumise“ põhimõtet, nagu see tuleneb direktiivi 2016/680 artikli 4 lõike 1 punktist c, mille puhul see nõue kujutab endast nimetatud põhimõtte konkreetset kohaldamisviisi nende tundlike andmete suhtes (vt selle kohta 26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punktid 117, 122 ja 125).
49 Viimaseks, direktiivi 2016/680 artikli 16 lõikes 2 on sätestatud õigus isikuandmete kustutamisele juhul, kui töötlemine rikub selle direktiivi artiklite 4, 8 või 10 kohaselt vastu võetud sätteid või kui need andmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks.
50 Viidatud artikli 16 lõikest 2 tuleneb, et õigust andmete kustutamisele võib kasutada eelkõige juhul, kui kõnealuste isikuandmete säilitamine ei ole nende töötlemise eesmärkide seisukohast vajalik või ei ole enam vajalik ja see rikub liikmesriigi õigusnorme, millega rakendatakse selle direktiivi artikli 4 lõike 1 punkte c ja e ning olenevalt asjaoludest artiklit 10, või kui kustutamine on nõutav selleks, et pidada kinni tähtajast, mis on liikmesriigi õiguses sel otstarbel sama direktiivi artikli 5 alusel ette nähtud.
51 Direktiivi 2016/680 artikli 16 lõike 3 kohaselt tuleb riigisiseses õiguses siiski ette näha, et vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui andmesubjekt vaidlustab selle sätte punkti a alusel isikuandmete õigsuse ning andmete õigsust või ebaõigsust ei ole võimalik kindlaks teha või kui isikuandmeid tuleb vastavalt punktile b säilitada tõendamise eesmärgil.
52 Eeltoodust tuleneb, et direktiivi 2016/680 sätetega, mida on analüüsitud käesoleva kohtuotsuse punktides 41–51, on kehtestatud üldine raamistik, mis võimaldab muu hulgas tagada, et isikuandmete säilitamine, täpsemalt säilitamise kestus, on piiratud sellega, mis on vajalik nende andmete säilitamise eesmärgi seisukohast, kuid jätab samas liikmesriikide hooleks määrata seda raamistikku järgides kindlaks konkreetsed olukorrad, kus andmesubjekti põhiõiguste kaitse nõuab nende andmete kustutamist, ja aja, mil kustutamine peab toimuma. Seevastu, nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 28, ei nõua need sätted, et liikmesriigid määraksid kindlaks isikuandmete säilitamise ranged ajalised piirid, mille ületamise korral tuleks andmed automaatselt kustutada.
53 Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et siseministeeriumi seaduse artikli 68 alusel politseiregistris sisalduvaid isikuandmeid säilitatakse üksnes käimasoleva uurimise tarbeks, täpsemalt selleks, et neid võrrelda muude andmetega, mis on kogutud muid süütegusid puudutavate uurimiste käigus.
54 Sellega seoses tuleb esimesena rõhutada, et politseiregistris andmete säilitamine isikute puhul, kes on kriminaalkorras lõplikult süüdi mõistetud, võib osutuda vajalikuks käesoleva kohtuotsuse eelmises punktis nimetatud otstarvetel isegi pärast seda, kui süüdimõistmine on karistusregistrist kustutatud ja sellest tulenevalt kaovad tagajärjed, mille riigisisesed õigusnormid süüdimõistmisele omistavad. Need isikud võivad nimelt olla seotud muude kuritegudega kui need, milles nad süüdi mõisteti, või vastupidi, nad võidakse nende asutuste säilitatavate andmete võrdlemisel muude süütegudega seotud menetluste käigus kogutud andmetega süüdistusest vabastada.
55 Seega võib selline säilitamine aidata kaasa direktiivi 2016/680 põhjenduses 27 nimetatud üldist huvi pakkuvale eesmärgile, mille kohaselt peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada kuritegevusest paremini aru ja seostada erinevaid avastatud süütegusid omavahel (vt selle kohta 26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punkt 98).
56 Teisena, Euroopa Kohtu käsutuses olevast toimikust nähtub, et politseiregistris säilitatakse andmesubjekti puudutavaid andmeid, mida on nimetatud isikut tõendavaid dokumente käsitlevates Bulgaaria õigusnormides, tema sõrmejälgi, fotot ja DNA-profiili koostamiseks võetud proovi, millele – nagu Bulgaaria valitsus kohtuistungil kinnitas – lisanduvad andmed andmesubjekti toimepandud kuritegude ja tema nendes süüdimõistmiste kohta. Need erinevad andmekategooriad võivad aga osutuda vältimatult vajalikuks, et kontrollida, kas andmesubjekt on seotud muude kuritegudega kui need, milles ta lõplikult süüdi mõisteti. Järelikult võib neid üldjuhul pidada nende töötlemise eesmärgi seisukohast piisavaks ja asjakohaseks direktiivi 2016/680 artikli 4 lõike 1 punkti c tähenduses.
57 Kolmandana tuleks sellise säilitamise proportsionaalsuse hindamisel selle eesmärkide seisukohast arvesse võtta ka riigisiseses õiguses ette nähtud asjakohaseid tehnilisi ja korralduslikke meetmeid, mille eesmärk on tagada säilitatavate andmete konfidentsiaalsus ja turvalisus sellise isikuandmete töötlemise korral, mis on vastuolus direktiivi 2016/680 artiklitega 20 ja 29, eelkõige selle direktiivi artikli 20 lõikes 2 osutatud meetmeid, mis tagavad, et töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise iga konkreetse eesmärgi saavutamiseks.
58 Neljandana tuleb põhikohtuasjas vaidluse all olevate isikuandmete säilitamise kestuse kohta märkida, et käesoleval juhul nähtub eelotsusetaotlusest, et ainult juhul, kui andmesubjekt on lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, säilitatakse neid andmeid kuni selle isiku surmani, kuna riigisisesed õigusnormid näevad ette, et muudel juhtudel kustutatakse kanded, mis on sellise kuriteo asjas kriminaalmenetlusele allutatud isikute kohta tehtud.
59 Sellega seoses tuleb siiski tõdeda, et mõiste „tahtlik kuritegu, mille menetlemine toimub riikliku süüdistuse alusel“ on väga üldine ja seda võib kohaldada suurele hulgale süütegudele, sõltumata nende laadist ja raskusest (vt selle kohta 26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punkt 129).
60 Nagu sisuliselt märkis ka kohtujurist oma ettepaneku punktides 73 ja 74, ei esine aga kõigi isikute puhul, kes on selle mõiste alla kuuluvas kuriteos lõplikult süüdi mõistetud, ühesugune oht, et nad on seotud muude süütegudega, mis õigustaks nende kohta käivate andmete säilitamise ühetaolist kestust. Teatavatel juhtudel, võttes arvesse selliseid tegureid nagu toimepandud kuriteo laad ja raskus või korduvuse puudumine, ei õigusta süüdimõistetud isikuga kaasnev oht tingimata tema kohta käivate andmete säilitamist selleks ette nähtud riiklikus politseiregistris kuni tema surmani. Sellistel juhtudel ei ole säilitatavate andmete ja taotletava eesmärgi vahel enam vajalikku seost (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 205). Seega ei ole nende säilitamine kooskõlas võimalikult väheste andmete kogumise põhimõttega, mis on sätestatud direktiivi 2016/680 artikli 4 lõike 1 punktis c, ja ületab nende töötlemise eesmärgi seisukohast vajaliku kestuse, mis on vastuolus selle direktiivi artikli 4 lõike 1 punktiga e.
61 Selle kohta tuleb täpsustada, et vastab tõele, et – nagu sisuliselt rõhutas kohtujurist oma ettepaneku punktis 70 – sellise isiku karistuse kustumine, mis toob kaasa tema süüdimõistmise kustutamise karistusregistrist, nagu toimus põhikohtuasjas, ei muuda iseenesest tarbetuks tema andmete säilitamist politseiregistris, kuna sellel registril on teistsugused eesmärgid kui karistusregistril, kus on andmed isiku varasemate karistuste kohta. Siiski – nagu käesoleval juhul –, kui karistuse kustumise eeltingimuseks on kohaldatavate riigisiseste karistusõiguse normide kohaselt see, et teatud aja jooksul pärast karistuse kandmist ei ole toime pandud uut tahtlikku kuritegu, mille menetlemine toimub riikliku süüdistuse alusel, võib karistuse kustumine olla märk sellest, et isik kujutab endast väiksemat ohtu eesmärgi võidelda kuritegevuse vastu või säilitada avalikku korda seisukohalt, ning seega olla asjaolu, mis lühendab sellise säilitamise vajalikku kestust.
62 Viiendana tuleb märkida, et harta artikli 52 lõikega 1 tagatud proportsionaalsuse põhimõte eeldab eelkõige, et kaalutakse taotletava eesmärgi olulisust ja asjasse puutuvate põhiõiguste teostamisele seatud riive raskust (vt selle kohta 22. novembri 2022. aasta kohtuotsus Luxembourg Business Registers, C‑37/20 ja C‑601/20, EU:C:2022:912, punkt 66).
63 Käesoleval juhul, nagu on meenutatud käesoleva kohtuotsuse punktis 35, hõlmab isikuandmete säilitamine vaidlusaluses politseiregistris biomeetrilisi ja geneetilisi andmeid. Seega tuleb rõhutada, et arvestades märkimisväärseid ohte, mida tundlike andmete töötlemine endast kujutab andmesubjektide õigustele ja vabadustele, eelkõige pädevate asutuste poolt direktiivi 2016/680 artikli 1 lõikes 1 nimetatud eesmärkidel täidetavate ülesannete kontekstis, tuleb eesmärgi erilise olulisuse hindamisel lähtuda kõigist asjakohastest asjaoludest. Nende hinnatavate asjaolude hulka kuuluvad eelkõige asjaolu, et töötlemine teenib konkreetset eesmärki, mis on seotud teatud raskusastmega kuritegude või avalikku julgeolekut ähvardavate ohtude ennetamisega, selliste kuritegude eest karistamisega või niisuguste ohtude eest kaitsmisega, ning töötlemise konkreetsed asjaolud (26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punkt 127).
64 Euroopa Kohus on selles kontekstis leidnud, et liikmesriigi õigusnormid, milles on ette nähtud biomeetriliste ja geneetiliste andmete süstemaatiline kogumine iga isiku kohta, kellele on esitatud kahtlustus sellise tahtliku kuriteo toimepanemises, mille suhtes alustab prokurör kriminaalmenetlust omal algatusel, on üldjuhul vastuolus direktiivi 2016/680 artiklis 10 sätestatud ja käesoleva kohtuotsuse punktis 48 meenutatud range vajalikkuse nõudega. Sellised õigusnormid võivad nimelt kaasa tuua selle, et vahet tegemata ja üldiselt kogutakse enamiku selliste isikute biomeetrilisi ja geneetilisi andmeid, kellele on esitatud kahtlustus (vt selle kohta 26. jaanuari 2023. aasta kohtuotsus Ministerstvo na vatreshnite raboti (biomeetriliste ja geneetiliste andmete registreerimine politsei poolt), C‑205/21, EU:C:2023:49, punktid 128 ja 129).
65 Euroopa Inimõiguste Kohus on omakorda otsustanud, et asjaolu, et kuritegude toimepanemises kahtlustatavate, kuid süüdi mõistmata isikute sõrmejälgede, bioloogiliste proovide ja DNA-profiilide säilitamise pädevus, nagu oli ette nähtud selle kohtu lahendatud kohtuasjas kõne all olnud riigisisestes õigusnormides, on üldine ja vahettegematu, ei väljenda õiglast tasakaalu asjaomaste võistlevate avalike ja erahuvide vahel ning seetõttu riivab nende andmete säilitamine ebaproportsionaalselt hagejate õigust eraelu puutumatusele ega saa olla demokraatlikus ühiskonnas vajalik, mistõttu see kohus järeldas, et niisugune riive rikub 4. novembril 1950 Roomas allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklit 8 (EIK 4. detsembri 2008. aasta otsus S ja Marper vs. Ühendkuningriik, CE:ECHR:2008:1204JUD003056204, punktid 125 ja 126).
66 Selliste isikute biomeetriliste ja geneetiliste andmete säilitamine, kes juba on kriminaalkorras lõplikult süüdi mõistetud, sealhulgas niisuguste andmete säilitamine nende isikute surmani, võib mõistagi olla direktiivi 2016/680 artikli 10 tähenduses rangelt vajalik eelkõige selleks, et võimaldada kontrollida nende isikute võimalikku osalemist muudes kuritegudes ning seega kuritegude toimepanijaid kohtu alla anda ja süüdi mõista. Tuleb nimelt arvesse võtta seda liiki andmete olulisust kriminaaluurimises, sealhulgas palju aastaid pärast asjaolude asetleidmist, eriti kui nende kuritegude puhul on tegemist raskete kuritegudega (vt selle kohta EIK 13. veebruari 2020. aasta otsus Gaughran vs. Ühendkuningriik, CE:ECHR:2020:0213JUD004524515, punkt 93).
67 Sellegipoolest saab biomeetriliste ja geneetiliste andmete säilitamist pidada vastavaks nõudele, mille kohaselt saab säilitamine olla lubatud üksnes siis, kui see on „rangelt vajalik“ direktiivi 2016/680 artikli 10 tähenduses, ainult juhul, kui see võtab arvesse selle kuriteo laadi ja raskust, milles on isik kriminaalkorras lõplikult süüdi mõistetud, või muid asjaolusid, nagu kuriteo toimepanemise konkreetne kontekst, selle võimalik seos muude pooleliolevate menetlustega või ka süüdimõistetud isiku varasem karistatus või isiklik profiil. Seega juhul, kui liikmesriigi õigusnormid näevad ette – nagu põhikohtuasjas vaidluse all olevad normid –, et andmesubjektide biomeetrilisi ja geneetilisi andmeid, mis on kantud politseiregistrisse, säilitatakse kriminaalkorras lõplikult süüdimõistmise korral kuni andmesubjekti surma kuupäevani, on selle säilitamise kohaldamisala nende andmete töötlemise eesmärke arvestades ülemäära ulatuslik, nagu on tõdetud eespool punktides 59 ja 60.
68 Kuuendana, mis puudutab esiteks liikmesriikidele pandud kohustust näha ette asjakohaste tähtaegade kehtestamine, mis on sätestatud direktiivi 2016/680 artiklis 5, siis tuleb märkida, et käesoleva kohtuotsuse punktides 59, 60 ja 67 esitatud põhjustel ning arvestades selle direktiivi artikli 4 lõike 1 punktide c ja e ning artikli 10 nõudeid, saab tähtaega pidada sama artikli 5 tähenduses „asjakohaseks“ eelkõige osas, mis puudutab biomeetriliste ja geneetiliste andmete säilitamist iga isiku kohta, kes on kriminaalkorras lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, ainult siis, kui selle puhul võetakse arvesse asjakohaseid asjaolusid, mis muudavad niisuguse säilitamiskestuse vajalikuks, nagu need, millele on viidatud käesoleva kohtuotsuse punktis 67.
69 Järelikult, isegi kui liikmesriigi õiguses sisalduv viide andmesubjekti surmale võib endast kujutada säilitatavate andmete kustutamise „tähtaega“ nimetatud artikli 5 tähenduses, saab sellist tähtaega pidada „asjakohaseks“ üksnes erilistel asjaoludel, mis seda nõuetekohaselt õigustavad. Nii ei ole see aga ilmselgelt juhul, kui seda kohaldatakse üldiselt ja vahet tegemata iga isiku suhtes, kes on lõplikult süüdi mõistetud.
70 Nagu on märgitud käesoleva kohtuotsuse punktis 45, jätab direktiivi 2016/680 artikkel 5 tõepoolest liikmesriikide otsustada, kas kehtestada tähtajad nende andmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Samast punktist nähtub siiski ka see, et korrapäraseks läbivaatamiseks ette nähtud tähtaegade „asjakohasus“ eeldab, et need võimaldavad vastavalt selle direktiivi artikli 4 lõike 1 punktidele c ja e, tõlgendatuina harta artikli 52 lõiget 1 arvestades, viia kõnealuste andmete kustutamiseni, kui nende säilitamine ei ole enam vajalik. Käesoleva kohtuotsuse eelmises punktis meenutatud põhjustel ei ole selline nõue aga täidetud, kui – nagu käesolevas asjas – ainus olukord, mil riigisisesed õigusnormid näevad sellise kustutamise ette isiku puhul, kes on lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, on tema surma saabumine.
71 Mis teiseks puudutab selle direktiivi artikli 16 lõigetes 2 ja 3 ette nähtud tagatisi, nimelt õiguse isikuandmete kustutamisele ja õiguse isikuandmete töötlemise piiramisele tingimusi, siis nähtub käesoleva kohtuotsuse punktidest 50 ja 51, et nende sätetega on vastuolus ka liikmesriigi õigusnormid, mis ei võimalda isikul, kes on lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, oma õigusi teostada.
72 Kõiki eeltoodud kaalutlusi arvestades tuleb esitatud küsimusele vastata, et direktiivi 2016/680 artikli 4 lõike 1 punkte c ja e koostoimes selle direktiivi artiklitega 5 ja 10, artikli 13 lõike 2 punktiga b ning artikli 16 lõigetega 2 ja 3 tuleb harta artikleid 7 ja 8 arvestades tõlgendada nii, et nendega on vastuolus liikmesriigi õigusnormid, mis näevad ette isikuandmete, sealhulgas biomeetriliste ja geneetiliste andmete säilitamise politseiasutuste poolt kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil isikute puhul, kes on kriminaalkorras lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, ja seda kuni isiku surmani, sealhulgas tema karistuse kustumise korral, ilma et vastutavale töötlejale pandaks kohustust andmete säilitamise vajadus korrapäraselt läbi vaadata ega tunnustataks andmesubjekti õigust nende andmete kustutamisele, kui nende säilitamine ei ole enam vajalik nende töötlemise eesmärgi seisukohast, või olenevalt olukorrast nende töötlemise piiramisele.
Kohtukulud
73 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, artikli 4 lõike 1 punkte c ja e koostoimes selle direktiivi artiklitega 5 ja 10, artikli 13 lõike 2 punktiga b ning artikli 16 lõigetega 2 ja 3 tuleb Euroopa Liidu põhiõiguste harta artikleid 7 ja 8 arvestades
tõlgendada nii, et
nendega on vastuolus liikmesriigi õigusnormid, mis näevad ette isikuandmete, sealhulgas biomeetriliste ja geneetiliste andmete säilitamise politseiasutuste poolt kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil isikute puhul, kes on kriminaalkorras lõplikult süüdi mõistetud tahtlikus kuriteos, mille menetlemine toimub riikliku süüdistuse alusel, ja seda kuni isiku surmani, sealhulgas tema karistuse kustumise korral, ilma et vastutavale töötlejale pandaks kohustust andmete säilitamise vajadus korrapäraselt läbi vaadata ega tunnustataks andmesubjekti õigust nende andmete kustutamisele, kui nende säilitamine ei ole enam vajalik nende töötlemise eesmärgi seisukohast, või olenevalt olukorrast nende töötlemise piiramisele.
Allkirjad