Esialgne tõlge

EUROOPA KOHTU OTSUS (viies koda)

14. märts 2024(*)

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 58 lõike 2 punktid d ja g – Liikmesriigi järelevalveasutuse volitused – Artikli 17 lõige 1 – Õigus andmete kustutamisele („õigus olla unustatud“) – Ebaseaduslikult töödeldud isikuandmete kustutamine – Liikmesriigi järelevalveasutuse volitus anda vastutavale töötlejale või volitatud töötlejale korraldus kustutada andmed ilma andmesubjekti eelneva taotluseta

Kohtuasjas C‑46/23,

mille ese on ELTL artikli 267 alusel Fővárosi Törvényszéki (Pealinna Budapesti kohus, Ungari) 8. detsembri 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 31. jaanuaril 2023, menetluses

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

versus

Nemzeti Adatvédelmi és Információszabadság Hatóság,

EUROOPA KOHUS (viies koda),

koosseisus: koja president E. Regan, kohtunikud Z. Csehi, M. Ilešič (ettekandja), I. Jarukaitis ja D. Gratsias,

kohtujurist: L. Medina,

kohtusekretär: A. Calot Escobar,

arvestades kirjalikku menetlust,

arvestades seisukohti, mille esitasid:

–        Nemzeti Adatvédelmi és Információszabadság Hatóság, esindaja ügyvéd G. J. Dudás,

–        Ungari valitsus, esindajad: Zs. Biró-Tóth ja M. Z. Fehér,

–        Hispaania valitsus, esindaja: A. Ballesteros Panizo,

–        Austria valitsus, esindajad A. Posch, J. Schmoll ja C. Gabauer,

–        Poola valitsus, esindaja: B. Majczyna,

–        Portugali valitsus, esindajad P. Barros da Costa, J. Ramos ja C. Vieira Guerra,

–        Euroopa Komisjon, esindajad A. Bouchagiar, C. Kovács ja H. Kranenborg,

arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,

on teinud järgmise

otsuse

1        Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, parandus ELT 2016, L 314, lk 72 ja ELT 2018, L 127, lk 3) artikli 58 lõike 2 punkte c, d ja g.

2        Taotlus on esitatud vaidluses, mille pooled on Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Újpesti linnavalitsus – Budapesti pealinna neljas linnaosa, Ungari) (edaspidi „Újpesti linnavalitsus“) ning Nemzeti Adatvédelmi és Információszabadság Hatósági (riiklik andmekaitse- ja teabevabadusamet, Ungari) (edaspidi „Ungari järelevalveasutus“) seoses otsusega, millega viimane nõudis, et Újpesti linnavalitsus kustutaks ebaseaduslikult töödeldud isikuandmed.

 Õiguslik raamistik

3        Isikuandmete kaitse üldmääruse põhjendused 1, 10 ja 129 on sõnastatud järgmiselt:

„(1)      Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta […] artikli 8 lõikes 1 ja [ELTL] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

[…]

(10)      Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

[…]

(129)      Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning ilma et see piiraks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja volitused osaleda kohtumenetlustes. […]“.

4        Isikuandmete kaitse üldmääruse I peatükk „Üldsätted“ sisaldab artikleid 1–4.

5        Isikuandmete kaitse üldmääruse artiklis 1 „Reguleerimisese ja eesmärgid“ on ette nähtud:

„1.      Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

2.      Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

[…]“.

6        Isikuandmete kaitse üldmääruse artikli 4 „Mõisted“ punktides 2, 7 ja 21 on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

2)      „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

7)      „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

[…]

21)      „järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

[…]“.

7        Isikuandmete kaitse üldmääruse II peatükk „Põhimõtted“ sisaldab muu hulgas artiklit 5 „Isikuandmete töötlemise põhimõtted“, milles on ette nähtud:

„1.      Isikuandmete töötlemisel tagatakse, et

a)      töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)      isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; […] („eesmärgi piirang“);

c)      isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

[…]

2.      Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

8        Isikuandmete kaitse üldmääruse III peatükis „Andmesubjekti õigused“ sisalduvas artikli 17 „Õigus andmete kustutamisele („õigus olla unustatud“)“ lõikes 1 on ette nähtud:

„Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

a)      isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)      andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)      andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;

d)      isikuandmeid on töödeldud ebaseaduslikult;

[…]“.

9        Isikuandmete kaitse üldmääruse VI peatükk „Sõltumatud järelevalveasutused“ sisaldab artikleid 51–59.

10      Isikuandmete kaitse üldmääruse artikli 51 „Järelevalveasutus“ lõigetes 1 ja 2 on ette nähtud:

„1.      Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus […]

2.      Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja [Euroopa K]omisjoniga koostööd kooskõlas VII peatükiga.“

11      Isikuandmete kaitse üldmääruse artikli 57 „Ülesanded“ lõige 1 on sõnastatud järgmiselt:

„1.      Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a)      jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

[…]

h)      toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

[…]“.

12      Isikuandmete kaitse üldmääruse artikli 58 „Volitused“ lõikes 2 on ette nähtud:

„Järelevalveasutusel on järgmised parandusvolitused:

[…]

c)      anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)      anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

[…]

g)      anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

[…]

i)      määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

[…]“.

 Põhikohtuasi ja eelotsuse küsimused

13      2020. aasta veebruaris otsustas Újpesti linnavalitsus anda rahalist abi elanikele, kes kuulusid COVID‑19 pandeemia tõttu haavatavaks muutunud inimeste kategooriasse ja kes vastasid teatavatele abikõlblikkuse tingimustele.

14      Sel eesmärgil pöördus ta Magyar Államkincstári (Ungari riigikassa) ja Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Budapesti pealinna valitsusasutuse IV linnaosa büroo, Ungari) (edaspidi „valitsusasutus“) poole eesmärgiga saada isikuandmeid, mis olid vajalikud abikõlblikkuse tingimuste kontrolliks. Need andmed hõlmasid füüsiliste isikute põhilisi isikuandmeid ja sotsiaalkindlustusnumbreid. Ungari riigikassa ja valitsusasutus edastasid küsitud andmed.

15      Rahalise abi maksmiseks võttis Újpesti linnavalitsus vastu munitsipaalmääruse nr 16/2020 (IV. 30.) programmi Újpest+ Megbecsülés kasutuselevõtu kohta (az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet), mida muudeti ja täiendati munitsipaalmäärusega nr 30/2020. (VII. 15.) (30/2020. (VII. 15.) önkormányzati rendelet). Nendes määrustes on sätestatud abikõlblikkuse kriteeriumid. Újpesti linnavalitsus koondas saadud andmed oma abiprogrammi rakendamiseks loodud andmebaasi ning lõi igale andmekogumile tunnuse ja konkreetse vöötkoodi.

16      Ungari järelevalveasutus algatas 2. septembril 2020 teate alusel ex officio uurimise seoses isikuandmete töötlemisega, millel põhines eespool nimetatud abiprogramm. Kõnealune asutus tuvastas oma 22. aprilli 2021. aasta otsuses, et Újpesti linnavalitsus oli rikkunud isikuandmete kaitse üldmääruse artiklite 5 ja 14 sätteid ning artikli 12 lõiget 1. Eelkõige leidis ta, et Újpesti linnavalitsus ei olnud teavitanud andmesubjekte ühe kuu jooksul programmi raames töödeldavate isikuandmete kategooriatest, kõnealuse töötlemise eesmärkidest ega andmesubjektide sellekohaste õiguste teostamise korrast.

17      Ungari järelevalveasutus andis Újpesti linnavalitsusele vastavalt isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktile d korralduse kustutada nende andmesubjektide isikuandmed, kellel oli valitsusasutuse ja Ungari riigikassa esitatud teabe põhjal õigus toetust saada, kuid kes ei olnud toetust taotlenud. Ta leidis, et nii Ungari riigikassa kui ka valitsusasutus olid rikkunud nende isikute isikuandmete töötlemist käsitlevaid sätteid. Seega määras järelevalveasutus nii Újpesti linnavalitsusele kui Ungari riigikassale trahvi andmekaitsenormide rikkumise eest.

18      Eelotsusetaotluse esitanud kohtule, Ungari Fővárosi Törvényszékile (Pealinna Budapesti kohus, Ungari), esitatud vaidlusaluse halduskaebusega vaidlustab Újpesti linnavalitsus Ungari järelevalveasutuse otsuse, väites, et viimasel ei ole pädevust anda korraldust kustutada isikuandmed isikuandmete kaitse üldmääruse artikli 58 lõike 2 punkti d alusel, kui andmesubjekt ei ole esitanud taotlust selle määruse artikli 17 tähenduses. Sellega seoses tugineb ta Kúria (Ungari kõrgeim kohus) Kfv.II.37.001/2021/6. kohtuotsusele, milles viimane leidis, et Ungari järelevalveasutusel ei ole sellist pädevust, kinnitades sellega eelotsusetaotluse esitanud kohtu otsust. Põhikohtuasja kaebaja väitel on nimetatud määruse artiklis 17 sätestatud õigus andmete kustutamisele mõeldud üksnes andmesubjekti õigusena.

19      Pärast Ungari järelevalveasutuse esitatud põhiseaduslikkuse järelevalve kaebust tühistas Alkotmánybíróság (Ungari konstitutsioonikohus) eespool nimetatud Kúria (kõrgeim kohus) otsuse, otsustades, et kõnealusel asutusel on õigus anda ex officio korraldus kustutada ebaseaduslikult töödeldud isikuandmed, sh kui andmesubjekt ei ole seda taotlenud. Alkotmánybíróság (konstitutsioonikohus) tugines selles osas Euroopa Andmekaitsenõukogu arvamusele nr 39/2021, mille kohaselt on isikuandmete kaitse üldmääruse artiklis 17 sätestatud kaks erinevat kustutamise juhtumit, millest üks on kustutamine andmesubjekti taotlusel ja teine seisneb vastutava töötleja sõltumatus kohustuses, mistõttu isikuandmete kaitse üldmääruse artikli 58 lõike 2 punkti g tuleks pidada õiguspäraseks õiguslikuks aluseks ebaseaduslikult töödeldud isikuandmete ex officio kustutamiseks.

20      Pärast eelmises punktis viidatud Alkotmánybírósági (konstitutsioonikohus) otsust on eelotsusetaotluse esitanud kohtul jätkuvalt kahtlusi seoses isikuandmete kaitse üldmääruse artikli 17 ja artikli 58 lõike 2 tõlgendamisega. Kõnealune kohus leiab, et õigus isikuandmete kustutamisele on isikuandmete kaitse üldmääruse artikli 17 lõikes 1 määratletud kui andmesubjekti õigus ja see säte ei hõlma kahte erinevat kustutamise juhtumit.

21      Konstitutsioonikohus lisab, et andmesubjektil võib olla huvi tema kohta käivate isikuandmete töötlemise vastu ka siis, kui järelevalveasutus annab vastutavale töötlejale korralduse andmed ebaseadusliku töötlemise tõttu kustutada. Sellisel juhul teostab järelevalveasutus andmesubjekti õigust tema tahte vastaselt.

22      Seetõttu tuleb lahendada küsimus, kas liikmesriigi järelevalveasutus võib anda vastutavale töötlejale või volitatud töötlejale korralduse kustutada ebaseaduslikult töödeldud isikuandmed sõltumata sellest, kas andmesubjekt teostab oma õigust, ning kui vastus on jaatav, siis millisel õiguslikul alusel seda teha, arvestades eelkõige, et isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktis c lähtutakse sõnaselgelt andmesubjekti taotlusest seoses tema õiguste kasutamisega ning selle määruse artikli 58 lõike 2 punktis d on üldsõnaliselt sätestatud, et töötlemise toimingud tuleb viia vastavusse isikuandmete kaitse üldmääruse sätetega, samas kui isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktis g viidatakse otse sama määruse artiklile 17, mille kohaldamine nõuab samuti andmesubjekti sõnaselget taotlust kustutada isikuandmed.

23      Kui järelevalveasutusel on õigus anda vastutavale töötlejale või volitatud töötlejale korraldus kustutada ebaseaduslikult töödeldud isikuandmed ka ilma andmesubjekti taotluseta, küsib käesolev kohus samuti, kas taotletud kustutamise ajal saab teha vahet olenevalt sellest, kas isikuandmed on saadud andmesubjektilt, võttes arvesse isikuandmete kaitse üldmääruse artikli 13 lõike 2 punktis b osutatud vastutava töötleja töötlemiskohustust, või muult isikult kui andmesubjektilt seoses isikuandmete kaitse üldmääruse artikli 14 lõike 2 punktis d osutatud vastutava töötleja töötlemiskohustusega.

24      Neil asjaoludel otsustas Fővárosi Törvényszék (Pealinna Budapesti kohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas [isikuandmete kaitse üldmääruse] artikli 58 lõiget 2, eelkõige selle punkte c, d ja g tuleb tõlgendada nii, et liikmesriigi järelevalveasutus võib oma parandusvolitusi rakendades anda vastutavale töötlejale või volitatud töötlejale korralduse kustutada ebaseaduslikult töödeldud isikuandmed isegi ilma isikuandmete kaitse üldmääruse artikli 17 lõike 1 kohase andmesubjekti selgesõnalise taotluseta?

2.      Juhul, kui vastus esimesele eelotsuse küsimusele on selline, et järelevalveasutus võib anda vastutavale töötlejale või volitatud töötlejale korralduse kustutada ebaseaduslikult töödeldud andmed ka ilma andmesubjekti taotluseta, siis kas see sõltub sellest, kas isikuandmed on saadud andmesubjektilt või mitte?“

 Eelotsuse küsimuste analüüs

 Esimene küsimus

25      Esimese küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktec , d ja g tuleb tõlgendada nii, et oma kõnealustes sätetes sätestatud parandusvolitusi rakendades on liikmesriigi järelevalveasutusel õigus anda korraldus vastutavale töötlejale või volitatud töötlejale kustutada ebaseaduslikult töödeldud isikuandmed, isegi kui andmesubjekt ei ole esitanud ühtki taotlust, et kasutada oma õigusi selle määruse artikli 17 lõike 1 alusel.

26      See küsimus tekib seoses vaidlusega, mis puudutab Ungari järelevalveasutuse sellise otsuse õiguspärasust, millega ta kohustas Újpesti linnavalitsust vastavalt isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktile d kustutama isikuandmeid, mida oli ebaseaduslikult töödeldud käesoleva kohtuotsuse punktides 13–15 kirjeldatud abiprogrammi raames.

27      Vastavalt isikuandmete kaitse üldmääruse artikli 17 lõikele 1 on andmesubjektil õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, ja vastutav töötleja on muu hulgas punkti d kohaselt kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui neid andmeid „on töödeldud ebaseaduslikult“.

28      Isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktis d on sätestatud, et järelevalveasutus võib anda korralduse, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega. Lisaks on selle määruse artikli 58 lõike 2 punktis g ette nähtud, et järelevalveasutusel on õigus anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata selle määruse artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest neid vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud.

29      Selles kontekstis on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas liikmesriigi järelevalveasutusel on oma selliseid parandusvolitusi rakendades – nagu on sätestatud isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktides c, d ja g – ex officio, st ilma andmesubjekti eelneva taotluseta, õigus anda korraldus vastutavale töötlejale või volitatud töötlejale kustutada ebaseaduslikult töödeldud isikuandmed.

30      Väljakujunenud kohtupraktika kohaselt tuleb liidu õigusnormi tõlgendamisel arvesse võtta nii selle sõnastust kui ka konteksti ja selle õigusaktiga taotletavaid eesmärke, mille osa säte on (13. juuli 2023. aasta kohtuotsus G GmbH, C‑134/22, EU:C:2023:567, punkt 25 ja seal viidatud kohtupraktika).

31      Esialgu on oluline märkida, et käesoleva kohtuotsuse punktides 27 ja 28 viidatud liidu õiguse asjakohaseid sätteid tuleb lugeda koostoimes isikuandmete kaitse üldmääruse artikli 5 lõikega 1, milles on sätestatud isikuandmete töötlemise põhimõtted ja mis sisaldab eelkõige punktis a põhimõtet, et isikuandmeid tuleb töödelda seaduslikult, õiglaselt ja andmesubjektile läbipaistvalt.

32      Isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohaselt vastutab vastutav töötleja selles sättes ette nähtud „vastutuse“ põhimõtte kohaselt artikli 5 lõike 1 järgimise eest ja ta peab suutma tõendada kõigi selles lõikes 1 sätestatud põhimõtete järgimist, mistõttu see tõendamiskoormis lasub seega temal (4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland (kohtu elektrooniline postkast), C‑60/22, EU:C:2023:373, punkt 53 ja seal viidatud kohtupraktika).

33      Kui isikuandmete töötlemine ei vasta eelkõige isikuandmete kaitse üldmääruse artiklis 5 ette nähtud põhimõtetele, on liikmesriikide järelevalveasutustel õigus sekkuda vastavalt oma ülesannetele ja volitustele, mis on sätestatud selle määruse artiklites 57 ja 58. Nende ülesannete hulka kuulub muu hulgas jälgida isikuandmete kaitse üldmääruse kohaldamist ja tagada selle määruse järgimine vastavalt artikli 57 lõike 1 punktile a (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 108).

34      Selle kohta on Euroopa Kohus juba täpsustanud, et kui järelevalveasutus leiab oma uurimise tulemusel, et andmesubjekt ei ole piisaval tasemel kaitstud, on ta liidu õiguse kohaselt kohustatud asjakohasel viisil reageerima, et tuvastatud puudus kõrvaldada, ja seda olenemata selle puuduse põhjusest või laadist. Sel otstarbel on isikuandmete kaitse määruse artikli 58 lõikes 2 loetletud erinevad parandusvolitused, mida järelevalveasutus võib rakendada. Sobiva parandusvolituse valimine on järelevalveasutuse kohustus, et nõutava hoolikusega täita oma ülesannet jälgida, et isikuandmete kaitse üldmäärust täielikult järgitaks (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punktid 111 ja 112).

35      Täpsemalt tuleb küsimuse kohta, kas asjaomane järelevalveasutus võib selliseid parandusvolitusi rakendada ex officio, kõigepealt märkida, et isikuandmete kaitse üldmääruse artikli 58 lõike 2 sõnastusest lähtudes on selles sättes eristatud parandusvolitusi, mida võib rakendada ex officio – muu hulgas artikli 58 lõike 2 punktides d ja g ette nähtud parandusvolitused –, ning parandusvolitusi, mida võib rakendada vaid pärast andmesubjekti esitatud taotlust seoses tema selle määruse kohaste õiguste kasutamisega, nagu need, mida on silmas peetud määruse artikli 58 lõike 2 punktis c.

36      Nimelt tuleneb ühelt poolt isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktist c sõnaselgelt, et selles sättes ette nähtud parandusvolitus, st „anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega“, eeldab, et andmesubjekt on kõigepealt oma õigusi kaitsnud, esitades selle kohta taotluse, ja seda taotlust ei ole rahuldatud enne nimetatud sättes ette nähtud järelevalveasutuse otsust. Teiselt poolt, erinevalt sellest sättest ei võimalda isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktide d ja g sõnastus leida, et liikmesriigi järelevalveasutuse sekkumine selles osutatud volituste rakendamiseks piirduks üksnes juhtumitega, mille puhul andmesubjekt on esitanud sellekohase taotluse, sest sõnastus ei sisalda viidet sellisele taotlusele.

37      Seejärel tuleb nende sätete kontekstis märkida, et isikuandmete kaitse üldmääruse artikli 17 lõikes 1 eristatakse rinnastava sidesõnaga „ja“ ühelt poolt andmesubjekti õigust nõuda vastutavalt töötlejalt teda puudutavate andmete kustutamist nii kiiresti kui võimalik ja teiselt poolt vastutava töötleja kohustust sellised isikuandmed nii kiiresti kui võimalik kustutada. Sellest tuleb järeldada, et see säte reguleerib kahte sõltumatut juhtumit, nimelt ühelt poolt andmete kustutamist andmesubjekti taotlusel ja teiselt poolt kustutamist, mis tuleneb vastutava töötleja sõltumatu kohustuse olemasolust, sõltumata andmesubjekti mis tahes taotlusest.

38      Nagu Euroopa Andmekaitsenõukogu oma arvamuses nr 39/2021 märkis, on selline eristamine vajalik, kuna osa artikli 17 lõikes 1 sätestatud juhtumeid hõlmab olukordi, kus andmesubjekti ei ole tingimata teavitatud sellest, et teda puudutavaid isikuandmeid töödeldakse, mistõttu ainult vastutaval töötlejal on võimalik veenduda selliste andmete olemasolus. Nii on see eelkõige juhul, kui andmeid on töödeldud ebaseaduslikult, nagu on osutatud selle artikli 17 lõike 1 punktis d.

39      Seda tõlgendust toetab isikuandmete kaitse üldmääruse artikli 5 lõige 2 koostoimes artikli 5 lõike 1 punktiga a, mille kohaselt peab vastutav töötleja veenduma, et andmete töötlemine, mida ta teeb, on seaduslik (vt selle kohta 4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland (kohtu elektrooniline postkast), C‑60/22, EU:C:2023:373, punkt 54).

40      Lõpuks toetab sellist tõlgendust ka isikuandmete kaitse üldmääruse artikli 58 lõike 2 eesmärk – nagu on sätestatud põhjenduses 129 – tagada nimelt, et isikuandmete töötlemine on kooskõlas kõnealuse määrusega ning et olukorrad, kus kõnealust määrust on rikutud, taastatakse, et viia need liidu õigusega kooskõlla riiklike järelevalveasutuste sekkumise kaudu.

41      Selle kohta tuleb täpsustada, et olgugi et sobiva ja vajaliku meetme valimine kuulub riikliku järelevalveasutuse pädevusse ja viimane peab selle valiku tegemisel arvesse võtma kõiki juhtumi asjaolusid, peab ta oma ülesannet jälgida, et isikuandmete kaitse üldmäärust täielikult järgitaks, seejuures siiski täitma nõutava hoolikusega (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 112). Kuivõrd isikuandmete kaitse üldmääruse tõhusa kohaldamise tagamiseks, on eriti oluline, et kõnealusel asutusel oleksid tõhusad volitused tegutseda tõhusalt selle määruse rikkumiste vastu ja eelkõige nende rikkumiste lõpetamiseks, sealhulgas juhtudel, kui andmesubjekte ei ole nende isikuandmete töötlemisest teavitatud, nad ei ole sellest teadlikud või nad ei ole igal juhul taotlenud nende andmete kustutamist.

42      Neil asjaoludel tuleb leida, et isikuandmete kaitse üldmääruse artikli 58 lõikes 2, sealhulgas selle sätte punktides d ja g nimetatud teatud parandusvolitusi võib liikmesriigi järelevalveasutus rakendada ex officio niivõrd, kuivõrd selle volituse kasutamine ex officio on vajalik tema ülesannete täitmiseks. Seega, kui järelevalveasutus leiab oma uurimise tulemusel, et selline töötlemine ei vasta määruse nõuetele, on ta liidu õiguse kohaldamisel kohustatud võtma sobivad meetmed tuvastatud rikkumise heastamiseks ning seda sõltumata asjaolust, kas andmesubjekt on eelnevalt esitanud taotluse kasutada oma õigusi selle määruse artikli 17 lõike 1 alusel.

43      Sellist tõlgendust toetavad ka isikuandmete kaitse üldmäärusega taotletavad eesmärgid, nagu need tulevad eelkõige selle artiklist 1 ning põhjendustest 1 ja 10, mis tuginevad kõrgetasemelise kaitse tagamisele seoses füüsiliste isikute põhiõigusega nende isikuandmete kaitsele, mis on sätestatud põhiõiguste harta artikli 8 lõikes 1 ja ELTL artikli 16 lõikes 1 (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 207, ning 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 73).

44      Käesoleva kohtuotsuse punktis 42 antud tõlgendusega vastuolus olev tõlgendus, mille kohaselt oleks sellisel järelevalveasutusel õigus tegutseda üksnes andmesubjekti vastava taotluse alusel, kahjustaks käesoleva kohtuotsuse punktides 40 ja 43 nimetatud eesmärkide saavutamist, täpsemalt olukorras, nagu on kõne all põhikohtuasjas, kus ebaseaduslikult töödeldud isikuandmete kustutamine puudutab potentsiaalselt suurt hulka isikuid, kes ei ole oma õigust andmete kustutamisele vastavalt isikuandmete kaitse üldmääruse artikli 17 lõikele 1 kasutanud.

45      Nagu komisjon oma kirjalikes seisukohtades sisuliselt väitis, tähendaks andmesubjektide eelneva taotluse nõue isikuandmete kaitse üldmääruse artikli 17 lõike 1 tähenduses, et vastutav töötleja võiks sellise taotluse puudumisel kõnealuseid isikuandmeid säilitada ja jätkata nende ebaseaduslikku töötlemist. Selline tõlgendus kahjustaks selles määruses ette nähtud kaitse tegelikkust, kuivõrd see tooks kaasa selle, et mitteaktiivsed isikud jäävad ilma kaitsest, kuigi nende isikuandmeid on ebaseaduslikult töödeldud.

46      Eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 58 lõike 2 punkte d ja g tuleb tõlgendada nii, et oma kõnealustes sätetes sätestatud parandusvolitusi rakendades on liikmesriigi järelevalveasutusel õigus anda vastutavale töötlejale või volitatud töötlejale korraldus kustutada ebaseaduslikult töödeldud isikuandmed, isegi kui andmesubjekt ei ole esitanud ühtki taotlust, et kasutada oma õigusi selle määruse artikli 17 lõike 1 alusel.

 Teine küsimus

47      Teise küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 58 lõiget 2 tuleb tõlgendada nii, et liikmesriigi järelevalveasutuse õigus anda korraldus kustutada ebaseaduslikult töödeldud isikuandmed võib olla seotud nii andmesubjektilt kogutud kui ka muust allikast saadud andmetega.

48      Selle kohta tuleb kõigepealt märkida, et eelmises punktis mainitud sätete sõnastus ei sisalda ühtki viidet, mis laseks arvata, et järelevalveasutuse parandusvolitused, mis on seal loetletud, sõltuksid andmete päritolust ning eelkõige asjaolust, et need on kogutud andmesubjektilt.

49      Samuti ei sisalda isikuandmete kaitse üldmääruse artikli 17 lõike 1 sõnastus, mis – nagu tuleneb käesoleva kohtuotsuse punktist 37 – kehtestab vastutava töötleja iseseisva kohustuse kustutada ebaseaduslikult töödeldud isikuandmed, mingit nõuet seoses kogutud andmete päritoluga.

50      Samuti, nagu tuleneb käesoleva kohtuotsuse punktidest 41 ja 42, on vaja selleks, et tagada isikuandmete kaitse üldmääruse tõhus ja ühtne kohaldamine, et riiklikul järelevalveasutusel oleks tõhus pädevus tegutseda tõhusalt selle määruse rikkumiste vastu. Seega ei või parandusvolituste kasutamine isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktide d ja g tähenduses sõltuda andmete päritolust ning eelkõige asjaolust, et need on kogutud andmesubjektilt.

51      Järelikult tuleb sarnaselt kõigi valitsustega, kes esitasid kirjalikud seisukohad, ja komisjoniga leida, et parandusvolituste kasutamine isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktide d ja g tähenduses ei või sõltuda sellest, kas isikuandmed on saadud otse andmesubjektilt või mitte.

52      Sellist tõlgendust toetavad ka isikuandmete kaitse üldmäärusega ning eelkõige selle määruse artikli 58 lõikega 2 taotletavad eesmärgid, mida on meelde tuletatud käesoleva kohtuotsuse punktides 40 ja 43.

53      Eeltoodud kaalutlustest lähtudes tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 58 lõiget 2 tuleb tõlgendada nii, et liikmesriigi järelevalveasutuse õigus anda korraldus kustutada ebaseaduslikult töödeldud isikuandmed võib olla seotud nii andmesubjektilt kogutud kui ka muust allikast saadud andmetega.

 Kohtukulud

54      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (viies koda) otsustab:

1.      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 58 lõike 2 punkte d ja g

tuleb tõlgendada nii, et

oma kõnealustes sätetes sätestatud parandusvolitusi rakendades on liikmesriigi järelevalveasutusel õigus anda vastutavale töötlejale või volitatud töötlejale korraldus kustutada ebaseaduslikult töödeldud isikuandmed, isegi kui andmesubjekt ei ole esitanud ühtki taotlust, et kasutada oma õigusi selle määruse artikli 17 lõike 1 alusel.

2.      Määruse 2016/679 artikli 58 lõiget 2

tuleb tõlgendada nii, et

liikmesriigi järelevalveasutuse õigus anda korraldus kustutada ebaseaduslikult töödeldud isikuandmed võib olla seotud nii andmesubjektilt kogutud kui ka muust allikast saadud andmetega.

Allkirjad

*      Kohtumenetluse keel: ungari.