Esialgne tõlge
KOHTUJURISTI ETTEPANEK
MACIEJ SZPUNAR
esitatud 11. juulil 2024(1)
Kohtuasi C‑394/23
Association Mousse
versus
Commission nationale de l’informatique et des libertés (CNIL),
SNCF Connect
(eelotsusetaotlus, mille on esitanud Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu))
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 6 lõige 1 – Töötlemise seaduslikkuse põhimõte – Artikli 5 lõike 1 punkt c – Võimalikult väheste andmete kogumise põhimõte – Sooandmed – Veoteenuse ostmine veebisaidil – Artikkel 21 – Õigus esitada vastuväiteid
I. Sissejuhatus
1. Määruse (EL) 2016/679(2) (edaspidi „isikuandmete kaitse üldmäärus“) eesmärk on tagada füüsiliste isikute kõrgetasemeline kaitse isikuandmete töötlemisel. Selleks on selles määruses nõutud, et vastutavad töötlejad peavad isikuandmete töötlemisel järgima teatud hulka põhimõtteid, sealhulgas nn võimalikult väheste andmete kogumise põhimõtet ja töötlemise seaduslikkuse põhimõtet.
2. Need kaks põhimõtet on kesksel kohal käesolevas kohtuasjas, mis käsitleb ühe ühingu ja riikliku järelevalveasutuse vahelist kohtuvaidlust, mis puudutab asjaolu, et veoettevõtja töötleb oma klientide sooandmeid kindla eesmärgiga kasutada neid oma kaubandusalases suhtluses, ning mis annab seega Euroopa Kohtule võimaluse täpsustada nende põhimõtete ulatust.
II. Õiguslik raamistik
A. Liidu õigus
3. Isikuandmete kaitse üldmääruse põhjendustes 4, 10, 39, 40, 44, 47, 69 ja 75 on sätestatud:
„(4) Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja [Euroopa Liidu põhiõiguste hartas (edaspidi „harta“)] tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.
[…]
(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja ‑vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]
[…]
(39) […] Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. […] Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. […]
(40) Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase andmesubjekti nõusolekul või muul õiguslikul alusel, mis on sätestatud õigusaktis, kas käesolevas määruses või käesolevas määruses osutatud muus liidu või liikmesriigi õigusaktis, sealhulgas siis, kui […] tuleb täita lepingut, mille osaline andmesubjekt on, või selleks, et võtta andmesubjekti taotlusel enne lepingu sõlmimist meetmeid.
[…]
(44) Töötlemine tuleks lugeda seaduslikuks juhul, kui see on vajalik seoses lepinguga või on tehtud lepingu sõlmimise kavatsusega.
[…]
(47) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja (sealhulgas sellise vastutava töötleja, kellele võidakse isikuandmeid avaldada, või kolmanda isiku) õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga. Selline õigustatud huvi võib olemas olla näiteks siis, kui andmesubjekti ja vastutava töötleja vahel on asjakohane ja sobiv suhe, näiteks kui andmesubjekt on vastutava töötleja klient […]. Igal juhul tuleks õigustatud huvi olemasolu hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda. […] Pettuste vältimiseks rangelt vajalik isikuandmete töötlemine on samuti asjaomase vastutava töötleja õigustatud huvi. Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.
[…]
(69) Kui isikuandmeid võidakse seaduslikult töödelda sellepärast, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või seoses vastutava töötleja või kolmanda isiku õigustatud huviga, peaks andmesubjektil olema ikkagi õigus tema konkreetse olukorraga seotud isikuandmete töötlemine vaidlustada. Vastutav töötleja peaks tõendama, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.
[…]
(75) Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist […]“.
4. Vastavalt isikuandmete kaitse üldmääruse artikli 2 lõikele 1 kohaldatakse seda määrust isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
5. Isikuandmete kaitse üldmääruse artiklis 4 „Mõisted“ on sätestatud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta; […]
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine […]
[…]
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]
[…]
11) andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;
[…]“.
6. Isikuandmete kaitse üldmääruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:
„1. Isikuandmete töötlemisel tagatakse, et
a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);
[…]
c) isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);
d) isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);
[…]“.
7. Isikuandmete kaitse üldmääruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõikes 1 on sätestatud:
„Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
b) isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;
c) isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;
d) isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;
e) isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.
[…]“.
8. Isikuandmete kaitse üldmääruse artiklis 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ on ette nähtud:
„1. Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:
[…]
d) kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;
[…]“.
9. Isikuandmete kaitse üldmääruse artikli 21 „Õigus esitada vastuväiteid“ lõikes 1 on sätestatud:
„Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.“
10. Isikuandmete kaitse üldmääruse artikli 25 „Lõimitud andmekaitse ja vaikimisi andmekaitse“ lõikes 2 on ette nähtud:
„Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. […]“.
B. Prantsuse õigus
11. 6. jaanuari 1978. aasta infotehnoloogia, failide ja vabaduste seaduse nr 78‑17 (loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés)(3) artiklis 8 on sätestatud:
„Commission nationale de l’informatique et des libertés (riiklik andmetöötluse ja vabaduste komisjon) [(CNIL)] on sõltumatu haldusasutus.
See komisjon on riiklik järelevalveasutus [isikuandmete kaitse üldmääruse] tähenduses ja selle kohaldamise puhul. Komisjon täidab järgmisi ülesandeid:
[…]
2. Ta tagab, et isikuandmete töötlemine toimuks kooskõlas käesoleva seaduse sätetega ning teiste isikuandmete kaitset käsitlevate sätetega, mis on ette nähtud õigus- ja haldusaktides, Euroopa Liidu õigusega ja Prantsusmaa rahvusvaheliste kohustustega.
Selleks teeb komisjon järgmist:
[…]
d) käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse esitatud vaideid, petitsioone ja kaebusi, kontrollib ja uurib asjakohasel määral vaide sisu ning teavitab selle esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega. […]“.
III. Põhikohtuasja asjaolud, menetlus Euroopa Kohtus ja eelotsuse küsimused
12. SNCF Connect on äriühing, kes turustab raudteeveo sõidudokumente, nagu rongipileteid, abonemente ja sooduskaarte oma veebisaidi ja rakenduste kaudu. Selle äriühingu kliendid on kõnealuste sõidudokumentide ostmisel kohustatud andma teada oma sooandmed, märkides ära lahtri „härra“ või „proua“.
13. Põhikohtuasja kaebaja ühendus Mousse (edaspidi „Mousse“) leidis, et klientide sooandmete kogumise ja salvestamise tingimused sõidudokumentide ostmisel ei vastanud isikuandmete kaitse üldmääruse nõuetele, ning esitas CNIL‑ile vaide äriühingu SNCF Connect vastu. Selle vaide põhjendamiseks väitis Mousse, et asjaomaste andmete kogumine ei vastanud selle määruse artikli 5 lõike 1 punktiga a kehtestatud seaduslikkuse põhimõttele, kuna see ei põhinenud ühelgi selle määruse artikli 6 lõikes 1 ette nähtud alustest. Peale selle rikub selline kogumine kaebaja sõnul võimalikult väheste andmete kogumise põhimõtet ja õigsuse põhimõtet, mis on sätestatud vastavalt kõnealuse määruse artikli 5 lõike 1 punktides c ja d, ning läbipaistvuse ja teavitamise kohustusi, mis tulenevad eelkõige selle määruse artiklist 13. Neil asjaoludel väitis Mousse, et SNCF Connect ei tohiks kõnealuseid andmeid koguda või peaks vähemalt pakkuma oma klintidele lisavõimalusi, nagu märkeid „neutraalne“ või „muu“.
14. 23. märtsi 2021. aasta otsusega lõpetas CNIL talle esitatud vaide menetlemise, leides, et SNCF Connectile ette heidetud asjaolud ei rikkunud viidatud isikuandmete kaitse üldmääruse sätteid. CNIL tuvastas, et andmete töötlemine oli seaduslik selle määruse artikli 6 lõike 1 punkti b alusel, põhjendusel, et see oli vajalik veoteenuste osutamise lepingu täitmiseks. Peale selle märkis CNIL, et kõnealune töötlemine vastab võimalikult väheste andmete kogumise põhimõttele, kuna klientide poole pöördumine kõnetussõna „härra“ või „proua“ kasutades vastab tsiviil-, kaubandus- ja haldusalases suhtluses käibel olevatele tavadele.
15. 21. mail 2021 esitas Mousse Conseil d’État’le (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) kaebuse, milles ta palub tühistada CNIL‑i 23. märtsi 2021. aasta otsus. Oma kaebuses väidab Mousse eelkõige, et kohustus valida veebisaidil ostmise käigus lahtri „härra“ või „proua“ vahel ei vasta seaduslikkuse põhimõttele ega võimalikult väheste andmete kogumise põhimõttele, mis on sätestatud vastavalt isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktides a ja c, sest see märge ei ole vajalik ei lepingu täitmiseks ega SNCF Connecti õigustatud huvide jaoks. Asjaolu, et kõnealust märget on tavaks kasutada kaubanduslikus kirjavahetuses, ei ole piisav selleks, et nende andmete kogumine muutuks vajalikuks. Viimasena väidab ta, et selline kohustus rikub õigust reisida ilma oma soo kohta andmeid esitamata, õigust eraelu austamisele ning vabadust määratleda vabalt oma sooväljendust. Eelkõige sellise riigi kodanike puhul, mille perekonnaseisuamet lubab „neutraalset sugu“, ei vasta see märge tegelikule olukorrale ning võib seega olla vastuolus õigsuse põhimõttega, mis on kehtestatud selle määruse artikli 5 lõike 1 punktis d, rikkudes sealjuures nende liikumisvabadust, mis on tagatud liidu õigusega.
16. CNIL palub jätta kaebus rahuldamata ja väidab, et sooandmete töötlemist võib samuti pidada „vajalikuks“ SNCF Connecti õigustatud huvi jaoks isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses ning andmesubjektid võivad – lähtudes oma konkreetsest olukorrast – kasutada neile selle määruse artikliga 21 tagatud õigust esitada vastuväiteid.
17. Eelotsusetaotluse esitanud kohtul tekib esiteks küsimus, kas selleks, et hinnata, kas andmete kogumine on asjakohane, oluline ja piiratud sellega, mis on vajalik, ning nende töötlemise vajalikkust, võib arvesse võtta tsiviil-, kaubandus- ja haldusalases suhtluses üldiselt käibel olevaid tavasid, mistõttu klientide sugu puudutavate andmete kogumist, mis piirdub märgetega „härra“ ja „proua“, võib lugeda „seaduslikuks“ ja võimalikult väheste andmete kogumise põhimõttega „kooskõlas olevaks“. Teiseks esitab see kohus küsimuse, kas selleks, et hinnata klientide sugu puudutavate andmete kohustusliku kogumise ja sellele järgneva töötlemise vajalikkust, samas kui teatud kliendid leiavad, et nad ei kuulu kummagi valiku alla, tuleb võtta arvesse, et need kliendid võivad pärast seda, kui nad on pakutud teenuse saamiseks esitanud vastutavale töötlejale kõnealused andmed, kasutada õigust esitada oma konkreetsest olukorrast lähtudes isikuandmete kaitse üldmääruse artikli 21 tähenduses vastuväiteid nende andmete kasutamisele.
18. Neil asjaoludel otsustas Conseil d’État (kõrgeima halduskohtuna tegutsev riiginõukogu) kohtuliku arutamise peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused.
„1. Kas selleks, et hinnata isikuandmete kogumise asjakohasust, olulisust ja piiratust sellega, mis on vajalik, [isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti c] tähenduses, ning nende töötlemise vajalikkust [isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktide b ja f] tähenduses, võib arvesse võtta tsiviil-, kaubandus- ja haldusalases suhtluses üldiselt käibel olevaid tavasid, mistõttu klientide sugu puudutavate andmete kogumist, mis piirdub märgetega „härra“ ja „proua“, võib lugeda vajalikuks, ilma et seda takistaks võimalikult väheste andmete kogumise põhimõte?
2. Kas selleks, et hinnata klientide sugu puudutavate andmete kohustusliku kogumise ja töötlemise vajalikkust, samas kui teatud kliendid leiavad, et nad ei kuulu kummagi valiku alla ning et neid puudutavas osas ei ole nende andmete kogumine oluline, tuleb võtta arvesse, et need kliendid võivad pärast seda, kui nad on pakutud teenuse saamiseks esitanud vastutavale töötlejale kõnealused andmed, kasutada isikuandmete kaitse üldmääruse artikli 21 alusel õigust esitada vastuväiteid nende andmete kasutamisele ja säilitamisele, tuginedes oma konkreetsele olukorrale?“
19. Mousse, SNCF Connect, Prantsuse valitsus ning Euroopa Komisjon esitasid kirjalikud seisukohad. Samad pooled osalesid 29. aprillil 2024 toimunud kohtuistungil.
IV. Analüüs
A. Esimene eelotsuse küsimus
20. Oma esimese eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti c ja artikli 6 lõike 1 punkte b ja f tuleb tõlgendada nii, et peab leidma, et veoettevõtja klientide sugu puudutavate isikuandmete töötlemine on vajalik lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks või vajalik vastutava töötleja või kolmanda isiku õigustatud huvi jaoks, kui selle töötlemise eesmärk on võimaldada personaliseeritud kaubandusalast suhtlust, tagades kaubandusalases suhtluses üldiselt käibel olevate tavade järgimise.
21. Pean selle kohta tegema kohe kaks sissejuhatavat märkust.
22. Esiteks olgu märgitud, et pooled on ühel meelel ning ei ole mingit kahtlust selles, et veoettevõtja klientide sugu puudutavad andmed on isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses isikuandmed, ning lisaks sellele peab asjaolu, et SNCF Connect neid kogub ja dokumenteerib, lugema töötlemiseks selle määruse artikli 4 punkti 2 tähenduses, milles tulenevalt peab neid analüüsima kõnealuse määruse sätete alusel.
23. Teiseks, SNCF Connect ja Prantsuse valitsus väidavad, et kui vastus esimesele eelotsuse küsimusele oleks eitav, oleks selle tulemuseks see, et isikuandmete kaitse üldmäärust kohaldataks kontekstis, mis jääb selle alt välja, kuna seda määrust vastu võttes ei olnud seadusandjal kavatsust reguleerida suhtluses käibel olevaid tavasid ega soo küsimust. Ehkki ma olen sarnaselt kohtujurist Bobekiga täiesti nõus sellega, et eraelu kaitsmist reguleerivaid õigusnorme võidakse vahel kasutada „üpris üllatavates olukordades“,(4) arvan siiski, et käesolev olukord nende hulka ei kuulu. Asjaolu, et kõne all on isiku identiteeti puudutavad andmed ning selle taustal peegelduvad riigisisestes õiguskordades toimuvad arutelud soo binaarsuse küsimuse üle, ei saa varjutada asjaolu, et käesolevas asjas on küsimuse all ikkagi asjaolu, et veoettevõtja töötleb automaatselt klientide isikuandmeid, ning see mitte ainult kuulub objektiivselt võttes isikuandmete kaitse üldmääruse kohaldamisalasse, vaid ka kujutab endast kindlalt andmete töötlemise toimingut, mille reguleerimine oli liidu seadusandja eesmärk.(5)
24. Seega alustan esimese eelotsuse küsimuse analüüsi üldistest märkustest, mis puudutavad andmete töötlemise seaduslikkuse tingimust, mida vastutavad töötlejad peavad isikuandmete kaitse üldmääruse kohaselt täitma, ning seejärel teen kindlaks, kas esitatud põhimõtetest lähtudes peab seda tingimust lugema täidetuks veoettevõtja klientide sooandmete töötlemise puhul, mille eesmärk on suhelda klientidega kaubandusalases suhtluses üldiselt käibel olevaid tavasid järgides.
1. Isikuandmete töötlemise seaduslikkus
25. Isikuandmete kaitse üldmääruse artiklis 5 on sätestatud teatud hulk isikuandmete töötlemise põhimõtteid. Eelkõige on selles sättes ette nähtud, et nende andmete töötlemisel tagatakse, et „töötlemine on seaduslik“(6) ja „isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt“.(7) Teisisõnu peab andmete töötlemisel järgima eelkõige seaduslikkuse ja võimalikult väheste andmete kogumise põhimõtteid.
26. Isikuandmete kaitse üldmääruse artiklis 6 on andmete töötlemise seaduslikkuse põhimõtet täpsustatud. Kuivõrd selle määruse artikli 6 lõige 1 võimaldab piirata õigust isikuandmete kaitsele,(8) vastab see säte harta artikli 52 lõikes 1 sätestatud tingimustele: kõnealune piiramine on seadusega ette nähtud ning arvestab selle õiguse olemust. Peale selle on see piirang vajalik ning vastab liidu poolt tunnustatud üldist huvi pakkuvale eesmärgile või vajadusele kaitsta teiste isikute õigusi ja vabadusi.(9)
27. Niisiis nägi seadusandja ette kuus põhjust, mille puhul andmete töötlemine on seaduslik, tuues välja üldist huvi pakkuvad eesmärgid ning kaitsmist vajavad õigused ja vabadused, mis võivad põhjendada seda, et õigust isikuandmete kaitsele piiratakse. Isikuandmete kaitse üldmääruse artikli 6 lõige 1 näeb seega ette „ammendava ja piiratud loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks“.(10)
28. Isikuandmete kaitse üldmääruse artikli 6 lõige 1 ei kehtesta ranget hierarhiat(11) nende põhjuste vahel, mille alusel võib andmete töötlemist pidada seaduslikuks. Seega täpsustas Euroopa Kohus oma praktikas nende põhjuste vahelised suhted.
29. Esiteks meenutas Euroopa Kohus, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a kohaselt „on isikuandmete töötlemine seaduslik, kui ja kuivõrd andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil“. Euroopa Kohus lisas, et „[k]ui sellist nõusolekut ei ole antud […], on selline töötlemine siiski põhjendatud, kui see vastab mõnele selle määruse artikli 6 lõike 1 […] punktides b–f nimetatud vajadusele“.(12) Peale selle leidis Euroopa Kohus, et „[kõnealuseid] põhjendusi [tuleb] osas, milles need võimaldavad ilma andmesubjekti nõusolekuta toimuva isikuandmete töötlemise seaduslikuks muuta, tõlgendada kitsalt“.(13) Määruse artikli 6 lõikes 1 ette nähtud isikuandmete töötlemise põhjused on seega samaväärsed ning ühtegi neis ei tohi pidada teisejärguliseks.
30. Teiseks täpsustas Euroopa Kohus isikuandmete kaitse üldmääruse artikli 6 lõikes 1 ette nähtud põhjenduste mittekumulatiivset laadi. Ta märkis nimelt, et „juhul, kui on võimalik tuvastada, et isikuandmete töötlemine on vajalik mõne isikuandmete kaitse üldmääruse artikli 6 lõike 1 […] punktides b–f ette nähtud põhjenduse seisukohast, [ei ole] vaja kindlaks teha, kas see töötlemine kuulub ka mõne teise sellise põhjenduse alla“.(14) Teisisõnu, nagu ma juba olen märkinud,(15) on andmete töötlemine seaduslik juhul, kui see on põhjendatud ainult ühe põhjenduse alusel, kusjuures mõnda põhjust ei või pidada mõne teise suhtes teisejärguliseks.
31. Isikuandmete kaitse üldmääruse artikli 6 lõikes 1 kirjeldatud seaduslikkuse põhimõtet ei saa aga analüüsida teistest eraldiseisvana. Nimelt on Euroopa Kohus järjekindlalt leidnud, et seda tingimust „tuleb analüüsida koostoimes [kõnealuse määruse] artikli 5 lõike 1 punktis c sätestatud „võimalikult väheste andmete kogumise“ põhimõttega“.(16) Euroopa Kohtu praktika kohaselt ning nagu ma olen juba rõhutanud,(17) kajastab see põhimõte proportsionaalsuse põhimõtet,(18) mis nõuab, nagu Prantsuse valitsus oma kirjalikes seisukohtades väidab, et võetavad meetmed oleksid taotletava eesmärgi saavutamiseks sobivad ega läheks kaugemale sellest, mis on eesmärgi saavutamiseks vajalik.(19)
32. Teisisõnu eeldab võimalikult väheste andmete kogumine kontrollimist, kas töödeldud andmed on nende töötlemisega taotletava eesmärgi saavutamiseks sobivad – isikuandmete kaitse üldmääruse artikli 6 lõikes 1 sätestatud põhjuste alusel – ning kas andmeid töödeldakse üksnes juhul, kui töötlemise eesmärki ei saa mõistlikult saavutada muude vahendite abil. Nõnda töödeldud andmete ulatus, nii hulga kui ka sisu mõttes, ei ole laiem sellest, mis on selle eesmärgi saavutamiseks vajalik.(20)
33. Teen selle kohta lisamärkuse. Nimelt on Euroopa Kohus tõlgendanud võimalikult väheste andmete kogumise põhimõtet koostoimes töötlemise seaduslikkuse põhimõttega üksnes olukordade puhul, kus asjaomane töötlemine põhines ühel isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktides b–f sätestatud põhjustest. Teisisõnu ei ole Euroopa Kohus selgelt täpsustanud, kas võimalikult väheste andmete kogumise põhimõtet peaks samuti kohaldama juhul, kui asjaomane isik on oma isikuandmete töötlemisega nõustunud. Tõepoolest võiks lugeda põhjendatuks arusaama, et kui isik on andnud vastava nõusoleku, võib vastutav töötleja kõiki andmeid töödelda, ilma et see oleks vastuolus võimalikult väheste andmete kogumise põhimõttega.
34. Selline tõlgendus ei ole minu arvates aga kooskõlas ei isikuandmete kaitse üldmääruse eesmärgiga tagada füüsiliste isikute kõrgetasemeline kaitse nende isikuandmete töötlemise puhul, ega ka asjaomaste sätete sõnastusega.
35. Nimelt toon esile, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis a on ette nähtud, et töötlemine on seaduslik tingimusel, et andmesubjekt on „andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil“.(21) Rõhutan selle kohta, et nõusolek on määratletud kui „vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus“.(22) Teisisõnu ei saa olla tegemist üldise nõusolekuga kõikide andmete töötlemiseks. Peale selle tuleb andmesubjektile anda teada eesmärk, mille jaoks ta andmete töötlemisega nõustub. Selle määruse artikli 5 lõike 1 punkt c omakorda näeb ette, et töödeldud andmed on „asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt“.(23) Neil asjaoludel on võimalikult väheste andmete kogumise põhimõte minu arvates kohaldatav isegi juhul, kui neid andmeid töödeldakse asjaomase isiku nõusolekul, ning sellest tulenevalt peab kontrollima, et asjaomased andmed piirduvad tõepoolest nendega, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks.
36. Neid kaalutlusi arvestades tulebki analüüsida SNCF Connecti klientide sooandmete töötlemist isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktide b ja f alusel, sest täpsustan, et eelotsusetaotluse esitanud kohus viitab ainuüksi nendele kahele töötlemise eesmärgile.
2. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt b: töötlemise vajalikkus andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele
37. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt b näeb ette, et isikuandmete töötlemine on seaduslik, kui see on „vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele“.
38. Euroopa Kohus on kohtuotsuses Meta Platforms jt täpsustanud selle sätte ulatust. See kohus leidis, et „[s]elleks et isikuandmete töötlemist saaks pidada lepingu täitmiseks vajalikuks selle sätte tähenduses, peab see olema objektiivselt vältimatu sellise eesmärgi saavutamiseks, mis on andmesubjekti kasuks tehtava lepingulise soorituse lahutamatu osa. Vastutav töötleja peab seega suutma tõendada, mil moel ei oleks lepingu põhieesmärki võimalik saavutada ilma kõnealuse töötlemiseta“.(24)
39. Pooled on üksmeelel selles, et määratleda lepingu põhieesmärgina sõidudokumendi pakkumine ja lõpuks klientide raudteevedu. Seega on oluline kontrollida esiteks, kas kliendi sooandmeid töödeldakse sellise eesmärgi saavutamiseks, mis on veoteenuse lahutamatu osa, ning teiseks, kas see töötlemine on selle eesmärgi saavutamiseks jaoks objektiivselt vältimatu.
a) Töötlemise eesmärgi tuvastamine
40. SNCF Connect ja Prantsuse valitsus väidavad, et veolepingu täitmine eeldab kliendiga suhtlemist nii broneerimise ajal kui ka asjaomase reisi vältel ja pärast reisi, ning sellest tulenevalt peab teadma selle kliendi sugu, et suhelda temaga personaliseeritult ja kaubandusalases suhtluses üldiselt käibel olevaid tavasid järgides.
41. SNCF Connect lisab, et veolepingu täitmiseks on oluline teada andmesubjekti sugu, et kohandada teenust erijuhtumitega, nagu piiratud liikumisvõimega isikute abistamine või pääs öörongides ainult naistele ette nähtud vagunitesse. Selle kohta märgin, et niisugune eesmärk ei ole rangelt võttes esimese eelotsuse küsimuse ese, nii nagu selle on sõnastanud eelotsusetaotluse esitanud kohus, kes viitab sõnaselgelt kaubandusalases suhtluses üldiselt käibel olevate tavade järgimisele. Ent kuivõrd eelotsusetaotluse esitanud kohus esitab Euroopa Kohtule üldisema küsimuse sooandmete kogumise kohta, arvestades võimalikult väheste andmete kogumise põhimõtet ja töötlemise seaduslikkuse põhimõtet, analüüsin siiski ka seda argumenti.
42. Kliendiga suhtlemise eesmärgi kohta olen arvamusel, et seda peaks lugema veolepingu lahutamatuks osaks. Nimelt eeldab see leping sõidudokumendi andmist ning seega tuleb kliendiga ühendust võtta, et see dokument talle üle anda. Kliendiga suhtlemise vajadus võib minu arvates pealegi jätkuda veo teostamise vältel, eelkõige selleks, et talle teatada tema reisi mõjutavatest vahejuhtumitest, ning pärast reisi, iseäranis juhul, kui suheldakse klienditeenindusega selle reisi teemal.
43. Selle kohta tuleb täpsustada, et Prantsuse valitsuse esitatud argument, et töötlemise eesmärk ei ole mitte ainult kliendiga suhtlemine, vaid veelgi täpsemalt kliendiga suhtlemine kaubandusalases suhtluses käibel olevaid tavasid järgides, tuleb tagasi lükata. Esiteks ei ole selliselt määratletud eesmärk minu arvates veoteenuse osutamise lahutamatu osa: mitte miski ei viita sellele, et seda teenust ei saa osutada kaubandusalases suhtluses üldiselt käibel olevaid tavasid järgimata. Teiseks tuleneb see argument ringtõestusest. Nõnda määratletud andmete töötlemise eesmärk – suhtlemine kaubandusalases suhtluses üldiselt käibel olevaid tavasid järgides – läheb segiselle eesmärgi saavutamiseks kasutatud vahenditega – kaubandusalases suhtluses üldiselt käibel olevate tavade järgimine.
44. Mis puudutab veoteenuse kohandamist niisuguste erijuhtumitega, nagu SNCF Connect nimetas, siis on minu arvates samuti raske vastu vaielda sellele, et see on teenuse lahutamatu osa, kuna selle eesmärk on just selle teenuse osutamise tagamine.
45. Ehkki kõnealuse töötlemise eesmärgid on minu arvates tõepoolest osa veoteenuse osutamisest ning neid võib lubada isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt b alusel, peab isikuandmete töötlemine veel olema vältimatu viidatud eesmärgi saavutamiseks, nii et lepingu põhieesmärki ei oleks võimalik saavutada ilma selle töötlemiseta, ning sama eesmärgi saavutamiseks puuduvad muud teostatavad ja vähem sekkuvad lahendused.
46. Olen aga seisukohal, et sooandmete töötlemine läheb kaugemale sellest, mis on vajalik lepingu nõuetekohase täitmise võimaldamiseks.
b) Töötlemise vajalikkus tuvastatud eesmärkide saavutamiseks
47. Esiteks, mis puudutab suhtlemise eesmärki, siis veolepingu nõuetekohane täitmine ei saa sõltuda sugu väljendava sõna kasutamisest veoettevõtja suhtlemisel oma klientidega, isegi kui vastutav töötleja soovib suhelda oma klientidega personaliseeritult. Nimelt saab veoettevõtja vabalt oma klientidega personaliseeritult suhelda ilma nende sugu väljendavat sõna kasutamata.
48. Pealegi, kui SNCF Connect rõhutas kohtuistungil vajadust säilitada kaubamärgi mainet, kasutades kaubandusalases suhtluses üldiselt käibel olevaid väljendeid, siis seda tulemust on sama hästi võimalik saavutada, kasutades klientide suhtes muud viisakusväljendid, mis ei sõltu sooandmetest.
49. See vastab seda enam tõele sellepärast, et – nagu väidab Mousse ja kui eelotsusetaotluse esitanud kohtu kontrollist ei tulene teisiti – SNCF Connect ei järgi praktikas süstemaatiliselt neid kaubandusalases suhtluses üldiselt käibel olevaid tavasid, mis eeldaksid klientide sooandmete teadmist, vaid kasutab üldisemaid väljendeid nagu „Aitäh, head reisi!“ või „Tere“. Asjaolu, et SNCF Connect ei kasuta suhtlemisel süstemaatiliselt klientide sooandmeid, näitab minu arvates selgelt mitte üksnes seda, et asjaomase lepingu täitmiseks ei ole nende andmete töötlemine vajalik, vaid arvestades võimalikult väheste andmete kogumise põhimõtet ka seda, et töötlemine hõlmab suuremat kogust andmeid, kui see vajalik on.
50. Samamoodi märgin, et SNCF Connect möönis kohtuistungil esitatud küsimusele vastates, et juhul kui tahtlikult esitatakse muud sooandmed kui andmesubjekti tegelikud sooandmed, ei see mõjuta tegelikult veoteenuse osutamist. Neil asjaoludel tuleb nentida, et lepingu põhieesmärki saab endiselt täita juhul, kui kõnealuseid andmeid ei töödelda.
51. Teiseks, veoteenuse kohandamise eesmärgi kohta olen taaskord arvamusel, et sooandmete töötlemine läheb kaugemale sellest, mis on selle saavutamiseks vajalik. Ühelt poolt ei ole asjakohased isikuandmed niisuguse kohandamise võimaldamiseks minu arvates mitte sõnu „härra“ ja „proua“ sisaldavad andmed, mis Prantsuse valitsuse arvamuse kohaselt ei kujuta endast isikute perekonnaseisu tunnust, vaid andmed klientide soo kohta, nii nagu see on esitatud isikute perekonnaseisuandmetes. Teiselt poolt võiks sama eesmärki saavutada nende andmete kogumise ja töötlemisega mitte kõikide sõidudokumentide tellimuste puhul, vaid üksnes erijuhtudel, mille puhul seda vaja on, nagu sõidudokumendi tellimisel reisimiseks öörongis ainult naistele määratud vagunis või paludes abistada piiratud liikumisvõimega isikut.
52. Neil asjaoludel olen seisukohal, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b ja artikli 5 lõike 1 punkti c tuleb tõlgendada nii, et sooandmete süstemaatilist töötlemist ei saa lugeda vajalikuks andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele, kui selle töötlemise eesmärk on võimaldada personaliseeritud kaubandusalast suhtlemist, tagades kaubandusalases suhtluses üldiselt käibel olevate tavade järgimise, või tagada veoteenuse kohandamine andmesubjekti soo järgi.
3. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt f: töötlemise vajalikkus vastutava töötleja või kolmanda isiku õigustatud huvi korral
53. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt f näeb ette, et isikuandmete töötlemine on seaduslik juhul, kui see on „vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps“.
54. Euroopa Kohtu väljakujunenud praktika kohaselt tuleneb sellest sättest, et selleks, et selles nimetatud isikuandmete töötlemine oleks seaduslik, peab olema täidetud kolm kumulatiivset tingimust. Esiteks peab vastutaval töötlejal või kolmandal isikul olema õigustatud huvi. Teiseks on isikuandmete töötlemine vajalik õigustatud huvi elluviimiseks. Kolmandaks ei tohi andmekaitse subjekti huvid või põhiõigused ja ‑vabadused kaaluda üles vastutava töötleja või kolmanda isiku õigustatud huvi.(25)
55. Esimese tingimuse kohta, mis puudutab õigustatud huvi teenimise tingimust, rõhutas Euroopa Kohus kohtuotsuses Meta Platforms jt, et „isikuandmete kaitse üldmääruse artikli 13 lõike 1 punkti d kohaselt peab vastutav töötleja hetkel, mil andmesubjektilt kogutakse temaga seotud isikuandmeid, talle teatavaks tegema, milliseid õigustatud huve taotletakse, kui töötlemine põhineb selle määruse artikli 6 lõike 1 […] punktil f“.(26) Seega leidis Euroopa Kohus samas kohtuotsuses, et viimasena nimetatud sätet tuleb tõlgendada nii, et isikuandmete töötlemist „saab pidada vajalikuks vastutava töötleja või kolmanda isiku taotletavate õigustatud huvide järgimiseks selle sätte tähenduses üksnes tingimusel, et see operaator on andnud kasutajatele, kellelt andmed koguti, teada, et andmeid töödeldakse õigustatud huvi elluviimiseks“.(27)
56. Teisisõnu muudab isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktis d ette nähtud teavitamiskohustuse täitmata jätmine asjaomase isikuandmete töötlemise ebaseaduslikuks.
57. Nagu aga väitis komisjon ning juhul, kui eelotsusetaotluse esitanud kohtu kontrollist ei tulene teisiti, paistab mulle, et SNCF Connect ei täitnud seda kohustust.
58. Nagu komisjon rõhutab, märgib SNCF Connect oma veebisaidil kättesaadavas „konfidentsiaalsushartas“ sooandmete töötlemise õiguslikuks aluseks „õigustatud huvi“. Teen selle kohta kaks märkust. Esiteks, ainuüksi õigustatud huvi mainimisega, ilma et täpsustataks, milline see õigustatud huvi täpselt on, ei ole täidetud isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktis d ette nähtud teavitamiskohustus, mille kohaselt peab vastutav töötleja esitama teabe õigustatud huvi kohta. Teiseks ja igal juhul ei ole selle määruse artikli 13 lõike 1 punktiga d kooskõlas see, kui õigustatud huvi mainitakse üldiselt „konfidentsiaalsushartas“, mis on küll kättesaadav vastutava töötleja veebisaidil, kuid mida klient peab tahtlikult otsima. Nimelt on kõnealuses sättes nõutud, et andmesubjektile peab esitama teabe õigustatud huvide kohta isikuandmete kogumise ajal, mis eeldab minu arvates, et niisuguse teabe peab esitama otse kliendile siis, kui klient esitab enda kohta asjaomased andmed.
59. Peale selle, kui SNCF Connectile esitati kohtuistungil küsimus teavitamiskohustuse kohta, ei olnud ta suuteline kinnitama, et teave töötlemisega taotletava õigustatud huvi kohta esitati tegelikult tema klientidele sooandmete kogumise ajal.
60. Seega ei ole täidetud esimene isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tingimus, mis puudutab õigustatud huvi olemasolu, võttes tõlgendamisel arvesse selle määruse artikli 13 lõike 1 punktis d ette nähtud kohustust esitada teave selle huvi kohta. Seega ei saa sooandmete töötlemist niisuguses olukorras lugeda selle sätte tähenduses seaduslikuks ning puudub vajadus analüüsida, kas teised kaks selle määruse artikli 6 lõike 1 punktis f ette nähtud tingimust on täidetud.
a) Kokkuvõte isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tõlgendamise kohta
61. Eeltoodust tuleneb, et minu arvates tuleb isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f ja artikli 5 lõike 1 punkti c tõlgendada nii, et veoettevõtja klientide sooandmete töötlemist ei saa lugeda vajalikuks vastutava töötleja või kolmanda isiku taotletavate õigustatud huvide jaoks selle sätte tähenduses, kui see ettevõtja ei andnud kasutajatele, kellelt andmeid koguti, teada seda õigustatud huvi, mida nende andmete töötlemine teenib.
b) Lisamärkused
62. Ammendavuse huvides ja juhuks, kui Euroopa Kohus jõuab järeldusele, et teave asjaomase õigustatud huvi kohta esitati vastavalt isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktile d, jätkan siiski nende tingimuste analüüsi, mis peavad olema täidetud selleks, et isikuandmete töötlemist saaks lugeda selle määruse artikli 6 lõike 1 punkti f alusel seaduslikuks.
63. Mis puudutab esiteks õigustatud huvi olemasolu tingimust, siis SNCF Connect ja Prantsuse valitsus väidavad, et õigustatud huvi seisneb kliendiga suhtlemises.
64. Olgu märgitud, et Euroopa Kohus on „õigustatud huvi“ mõiste kohta leidnud, et „olukorras, kus isikuandmete kaitse üldmääruses ei ole seda mõistet määratletud, […] tuleb tõdeda, […] et suurt hulka huve võib põhimõtteliselt pidada õiguspärasteks“.(28)
65. Selle kohta tuletan meelde, et SNCF Connect on ettevõtja, kes pakub veebis raudteeveo sõidudokumentide müügi teenust. Nagu ma eespool juba mainisin,(29) eeldab see teenus kliendiga ühenduse võtmist, vähemalt selleks, et talle sõidudokument üle anda. Seega leian, et kliendiga suhtlemise eesmärk võib selle ettevõtja jaoks kujutada endast õigustatud huvi isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses, mistõttu esimene tingimus, nimelt õigustatud huvi olemasolu, peaks minu arvates olema täidetud.
66. Teiseks, mis puudutab tingimust, et isikuandmete töötlemine peab olema õigustatud huvi elluviimiseks vajalik, siis paistab, et see tingimus ei ole täidetud. Nagu ma tõendasin isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b analüüsi raames, läheb sooandmete töötlemine kaugemale sellest, mis on vajalik kliendiga suhtlemise eesmärgi saavutamiseks, kuna see suhtlemine saab toimuda ilma kõnealuseid andmeid kasutamata.(30)
67. Kolmandaks ja viimaseks, mis puudutab tingimust, et andmekaitse subjekti huvid või põhiõigused ja ‑vabadused ei tohi üles kaaluda vastutava töötleja või kolmanda isiku õigustatud huvi, siis rõhutan, et Euroopa Kohus on leidnud, et „see eeldab esinevate vastanduvate õiguste ja huvide kaalumist, mis sõltub põhimõtteliselt konkreetse juhtumi konkreetsetest asjaoludest, ja järelikult on see kaalumine eelotsusetaotluse esitanud kohtu ülesanne, kel tuleb seejuures neid konkreetseid asjaolusid arvesse võtta“.(31) Esitan siiski mõned märkused, et anda Euroopa Kohtule suuniseid kõnealuse hinnangu läbiviimiseks.
68. Nimelt on Euroopa Kohus leidnud, et „[a]sjas esinevate vastandlike õiguste ja huvide, st ühelt poolt vastutava töötleja ning teiselt poolt andmesubjekti õiguste ja huvide kaalumisel tuleb eelkõige arvesse võtta […] andmesubjekti mõistlikke ootusi ja töötlemise ulatust ning selle mõju puudutatud isikule“.(32)
69. Peale selle nähtub isikuandmete kaitse üldmääruse põhjendusest 47, et „õigustatud huvi olemasolu [tuleks] hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda“.
70. Selles suhtes ei näe ma, mil määral oleks veoettevõtja klient võinud mõistlikkuse piires eeldada, et see ettevõtja töötleb tema sooandmeid sõidudokumendi ostu teenuse osutamise kontekstis suhtlemise eesmärgil.
71. Igal juhul ei usu ma, et ainuüksi mõistlike eelduste olemasolust piisaks selleks, et teha kindlaks, et vastutava töötleja õigustatud huvi kaalub üles andmesubjekti huvid või põhiõigused ja ‑vabadused. Ehkki see asjaolu on kõnealuse kaalumise raames kindlasti asjakohane, ei saa selle tulemusena seevastu süstemaatiliselt otsustada, et vastutava töötleja õigustatud huvi on kaalukam, eriti juhul, kui asjaomaste isikuandmete töötlemine võib kahjustada mõnd andmesubjekti põhiõigust või ‑vabadust, mis on tagatud hartaga.
72. Nagu aga Mousse väidab, on minu arvates käesolevas asjas tegemist sellise olukorraga. Nimelt väidab see ühendus, et sooandmete töötlemise tõttu on olemas soolise diskrimineerimise oht, eriti transsooliste inimeste puhul või nende isikute puhul, kellel on sellise riigi kodakondsus, kus tunnustatakse neutraalset sugu.
73. Neil asjaoludel ja tingimusel, et eelotsusetaotluse esitanud kohtu kontrollist ei tulene teisiti, olen arvamusel, et kliendiga suhtlemises seisnev õigustatud huvi ei saa kaaluda üles andmesubjekti huve või põhiõigusi ja ‑vabadusi.
B. Teine eelotsuse küsimus
74. Teise eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tuleb tõlgendada nii, et selleks, et hinnata isikuandmete töötlemise vajalikkust selle sätte tähenduses, tuleb arvesse võtta asjaolu, et andmesubjektil võib olla selle määruse artikli 21 lõike 1 alusel õigus esitada vastuväiteid.
75. Isikuandmete kaitse üldmääruse artikli 21 lõige 1 näeb ette, et andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.
76. Väljakujunenud kohtupraktika kohaselt ei tule liidu õiguse sätte tõlgendamisel arvestada mitte üksnes selle sõnastust, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa säte on.(33)
77. Isikuandmete kaitse üldmääruse artikli 21 lõike 1 sõnastuse kohta olgu märgitud, et liidu seadusandja rõhutab, et õigus esitada vastuväiteid puudutab isikuandmete töötlemist, mis toimub muu hulgas selle määruse artikli 6 lõike 1 punkti f alusel. Teisisõnu, nagu väidavad Mousse ja komisjon, eeldab õigus esitada vastuväiteid seda, et töötlemine on seaduslik, eelkõige vastutava töötleja õigustatud huvi alusel. Nimetatud õigus on seega mõeldud kasutamiseks üksnes juhul, kui on toimunud seaduslik töötlemine, eesmärgiga saavutada selle töötlemise lõpetamine.
78. Seda kinnitab minu arvates isikuandmete kaitse üldmääruse artikli 21 lõike 1 teine osa, milles on ette nähtud, et juhul, kui andmesubjekt esitab selle sätte alusel vastuväiteid, ei töötle vastutav töötleja asjaomaseid andmeid edasi.(34) Niisugune sõnastus viitab minu arvates selgelt asjaolule, et asjaomaste andmete töötlemine on selle määruse artikli 6 lõike 1 punktis f esitatud tingimuste kohaselt seaduslik, kuid et neid andmeid ei tohi pärast vastuväidete esitamist enam edasi töödelda.
79. Teisisõnu on isikuandmete kaitse üldmääruse artikli 21 lõige 1 mõeldud kohaldamiseks alles pärast töötlemise seaduslikkuse tuvastamist.
80. Seega tuleneb isikuandmete kaitse üldmääruse artikli 21 lõikest 1, et vastuväidete esitamise õiguse olemasolu ei ole mitte sugugi asjakohane selleks, et hinnata töötlemise vajalikkust selle määruse artikli 6 lõike 1 punkti f alusel, kuna kõnealuse määruse artikli 21 lõike 1 rakendamine eeldab, et sama määruse artikli 6 lõike 1 punkti f tingimused on juba täidetud.
81. Niisugust isikuandmete kaitse üldmääruse artikli 21 lõike 1 grammatilist tõlgendamist kinnitab ka selle analüüsimine kõnealuse määruse konteksti ja eesmärke arvestades.
82. Selle sätte kontekstipõhise tõlgendamise kohta märgin, et põhjused, mis võivad olla isikuandmete töötlemise aluseks, on sätestatud isikuandmete kaitse üldmääruse artiklis 6, mis käsitleb seaduslikkuse põhimõtet, selle määruse II peatükis, mis käsitleb isikuandmete töötlemise põhimõtteid. Nimetatud määruse artikkel 21 kuulub aga III peatüki alla, mis käsitleb andmesubjekti õigusi. Peale selle, nagu ma juba rõhutasin, on kõnealuse määruse artiklis 6 sätestatud põhjused väljakujunenud kohtupraktika kohaselt ammendavad.(35) Neil asjaoludel täidavad kõnealused kaks sätet kaht eri ülesannet ning ei saa asuda seisukohale, et isikuandmete kaitse üldmääruse artiklit 21 saaks võtta arvesse töötlemise seaduslikkuse kontrollimisel, mis on reguleeritud ainuüksi selle määruse artikliga 6.
83. Mis puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f ja artikli 21 teleoloogilist tõlgendamist, siis vastuväidete esitamise õiguse olemasolu arvessevõtmine andmete töötlemise seaduslikkuse hindamiseks selle määruse artikli 6 alusel tähendaks seda, et andmete töötlemine tunnistataks seaduslikuks ainuüksi sellepärast, et andmesubjekt võib hiljem selle töötlemise suhtes vastuväiteid esitada. Selle tulemusena laiendataks seega töötlemise seaduslikkuse aluseid, minnes kaugemale kui ainult selle määruse artiklis 6 ette nähtud juhtumid, ning andmesubjektide kaitse tase sõltuks nende hoolsusest seoses oma isikuandmete töötlemise suhtes vastuväidete esitamisega ja kui nad seda ei tee, võidakse töötlemine lugeda seaduslikuks. Niisugune tõlgendamine võib minu arvates seega kahjustada eesmärki tagada füüsiliste isikute kõrgetasemeline kaitse nende isikuandmete töötlemisel.
84. Seega olen arvamusel, et teisele eelotsuse küsimusele tuleb vastata nii, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tuleb tõlgendada nii, et sellega on vastuolus, kui selleks, et hinnata isikuandmete töötlemise vajalikkust selle sätte tähenduses, võetakse arvesse asjaolu, et andmesubjektil võib olla õigus esitada vastuväiteid nimetatud määruse artikli 21 lõike 1 alusel.
V. Ettepanek
85. Kõiki eeltoodud kaalutlusi arvestades teen ettepaneku vastata Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) esitatud eelotsuse küsimustele järgmiselt:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 6 lõike 1 punkti b ja artikli 5 lõike 1 punkti c
tuleb tõlgendada nii, et
sooandmete süstemaatilist töötlemist ei saa lugeda vajalikuks andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele, kui selle töötlemise eesmärk on võimaldada personaliseeritud kaubandusalast suhtlemist, tagades kaubandusalases suhtluses üldiselt käibel olevate tavade järgimise, või tagada veoteenuse kohandamine andmesubjekti soo järgi.
Määruse 2016/679 artikli 6 lõike 1 punkti f ja artikli 5 lõike 1 punkti c
tuleb tõlgendada nii, et
veoettevõtja klientide sooandmete töötlemist ei saa lugeda vajalikuks vastutava töötleja või kolmanda isiku taotletavate õigustatud huvide jaoks selle sätte tähenduses, kui see ettevõtja ei andnud kasutajatele, kellelt andmeid koguti, teada õigustatud huvi, mida nende andmete töötlemine teenib.
Määruse 2016/679 artikli 6 lõike 1 punkti f
tuleb tõlgendada nii, et
sellega on vastuolus, kui selleks, et hinnata isikuandmete töötlemise vajalikkust selle sätte tähenduses, võetakse arvesse asjaolu, et andmesubjektil võib olla õigus esitada vastuväiteid nimetatud määruse artikli 21 lõike 1 alusel.