Esialgne tõlge
KOHTUJURISTI ETTEPANEK
JEAN RICHARD DE LA TOUR
esitatud 25. jaanuaril 2024(1)
Kohtuasi C‑757/22
Meta Platforms Ireland Limited
versus
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(eelotsusetaotlus, mille on esitanud Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus))
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 12 lõike 1 esimene lause – Selge teave – Artikli 13 lõike 1 punktid c ja e – Vastutava töötleja kohustus anda teavet – Artikli 80 lõige 2 – Andmesubjektide esindamine tarbijate huve kaitsva ühenduse poolt – Esindushagi, mis esitatakse volituseta ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – Hagi, mille aluseks on vastutava töötleja teabe andmise kohustuse rikkumine – Mõiste „andmesubjekti õiguste rikkumine „isikuandmete töötlemise tulemusel““
I. Kohtuasja taust, põhikohtuasja asjaolud ja uus eelotsuse küsimus
1. Käesolevas kohtuasjas on Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) taas kord esitanud eelotsuse küsimuse, mis puudutab Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)(2) artikli 80 lõike 2 tõlgendamist.
2. Selle sätte kohaselt võivad liikmesriigid ette näha, et igal asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.
3. Eelotsusetaotlus on esitatud Iirimaal asuva Meta Platforms Ireland Limitedi (endise ärinimega Facebook Ireland Limited) ja Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderaalne liit, edaspidi „tarbijakaitseorganisatsioonide liit“) vahelises vaidluses, mis puudutab Meta Platforms Irelandi väidetavat isikuandmete kaitset reguleerivate Saksa õigusaktide rikkumist, mis on samal ajal käsitatav ka ebaausa kaubandustava kasutamise, tarbijakaitseseaduse rikkumise ning tühiste tüüptingimuste kasutamise keelu rikkumisena.
4. Tegemist on sama vaidlusega, millest võrsus kohtuasi, kus tehti 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland(3), mille asjaolud saab kokku võtta järgmiselt(4).
5. Meta Platforms Ireland, kes haldab liidus veebipõhise sotsiaalvõrgustiku Facebook teenuste pakkumist, on selle sotsiaalvõrgustiku kasutajate isikuandmete töötlemise eest vastutav töötleja liidus. Saksamaal asuv Facebook Germany GmbH tegeleb aadressil www.facebook.de reklaamipinna müümisega. Veebiplatvormil Facebook on veebiaadressil www.facebook.de koht nimega „App-Zentrum“ (rakenduste keskus), kus Meta Platforms Ireland teeb kasutajatele muu hulgas kättesaadavaks kolmandate isikute pakutavad tasuta mängud. Mõne sellise mängu vaatamisel rakenduste keskuses kuvatakse kasutajale märge, et kõnealuse rakenduse kasutamine võimaldab mänge pakkuval äriühingul saada teatud hulga isikuandmeid ja avaldada kasutaja nimel teatavat teavet, nagu tema punktisumma ning muu teave. Kasutamise tulemusel nõustub kasutaja rakenduse kasutamise tüüptingimustega ja selle andmekaitsepõhimõtetega. Lisaks on ühe mängu puhul märgitud, et rakendusel lubatakse avaldada kõnealuse kasutaja nimel tema staatust, fotosid ja muud teavet.
6. Tarbijakaitseorganisatsioonide liit, kellel on vastavalt 26. novembri 2001. aasta tarbijakaitsealaste või muude õigusnormide rikkumise lõpetamiseks või rikkumisest hoidumiseks hagi esitamise seaduse (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen) (Unterlassungsklagengesetz – UKlaG)(5) §‑le 4 hagi esitamise õigus, leiab, et märked, mis rakenduste keskuses asjaomaste mängude juures esitatakse, on ebaausad kauplemistavad eelkõige seetõttu, et rikutakse seadusest tulenevat nõuet saada kasutajalt andmekaitset reguleerivates sätetes ette nähtud kehtiv nõusolek. Lisaks leiab ta, et märge, et rakendusel on lubatud avaldada kasutaja nimel teatavat isiklikku teavet, on kasutajat ebamõistlikult kahjustav tüüptingimus.
7. Neil asjaoludel esitas tarbijakaitseorganisatsioonide liit Landgericht Berlinile (Berliini esimese astme kohus, Saksamaa) Meta Platforms Irelandi vastu rikkumisest hoidumiseks kohustamise hagi 3. juuli 2004. aasta ebaausa konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb)(6) § 3a, rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 esimese lause punkti 11 ning tsiviilseadustiku (Bürgerliches Gesetzbuch) alusel. Kõnealune hagi esitati sõltumata andmesubjekti andmete kaitsmise õiguse konkreetsest rikkumisest ja ilma andmesubjekti volituseta.
8. Landgericht Berlin (Berliini esimese astme kohus) rahuldas tarbijakaitseorganisatsioonide liidu hagi Meta Platforms Irelandi vastu. Meta Platforms Irelandi poolt Kammergericht Berlinile (Berliini liidumaa kõrgeim üldkohus, Saksamaa) esitatud apellatsioonkaebus jäeti rahuldamata. Meta Platforms Ireland esitas eelotsusetaotluse esitanud kohtule kassatsioonkaebuse apellatsioonikohtu otsuse peale, millega tema apellatsioonkaebus rahuldamata jäeti.
9. Eelotsusetaotluse esitanud kohus leidis kassatsioonkaebuse läbivaatamisel, et tarbijakaitseorganisatsioonide liidu hagi oli põhjendatud, kuna Meta Platforms Ireland oli rikkunud ebaausa konkurentsi vastase seaduse § 3a ja rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 esimese lause punkti 11 ning kasutanud tühist tüüptingimust rikkumisest hoidumiseks hagi esitamise seaduse § 1 tähenduses.
10. Küll aga tekkis eelotsusetaotluse esitanud kohtul kahtlus, kas tarbijakaitseorganisatsioonide liidu hagi on vastuvõetav. Eelkõige tekkis tal küsimus, kas tarbijakaitseorganisatsioonide liidu õigus hagi esitada võib tuleneda isikuandmete kaitse üldmääruse artikli 80 lõikest 2. Seetõttu pöördus ta selle sätte tõlgenduse saamiseks eelotsuse küsimusega Euroopa Kohtu poole.
11. Vastuseks sellele küsimusele otsustas Euroopa Kohus kohtuotsuses Meta Platforms Ireland, et isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsval ühendusel – kellel puudub selleks antud volitus ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on rikutud ebaausate kaubandustavade kasutamise keeldu, tarbijakaitseseadust või tühiste tüüptingimuste kasutamise keeldu, kui asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel(7).
12. Euroopa Kohus täpsustas seega isikuandmete kaitse üldmääruse artikli 80 lõikes 2 sätestatud isikuandmete kaitset väidetavalt rikkunud isiku vastu esindushagi esitamise süsteemi esemelist kohaldamisala.
13. Eelkõige leidis Euroopa Kohus, et sellise esindushagi esitamisel ei saa nõuda, et isikuandmete kaitse üldmääruse artikli 80 lõikes 1 mainitud tingimustele vastav üksus tuvastaks enne konkreetse andmesubjekti, keda väidetav selle määruse sätetega vastuolus olev töötlemine konkreetselt puudutab(8). Seega võib sellise esindushagi esitamiseks olla piisav ka see, kui on kindlaks määratud isikute kategooria või isikute rühm, keda niisugune andmete töötlemine puudutab(9).
14. Samuti leidis Euroopa Kohus, et isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel esindushagi esitamise tingimuseks ei ole ka see, et on konkreetselt rikutud isikuandmete kaitset käsitlevatest õigusnormidest isikule tulenevaid õigusi(10). Euroopa Kohtu hinnangul on esindushagi esitamise eelduseks üksnes see, et asjaomane üksus „leiab“, et määruse kohaseid andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud, ning seega väidab ta, et isikuandmeid on töödeldud viisil, mis on vastuolus selle määruse sätetega(11). Sellest järeldub, et selleks, et tunnustada niisuguse üksuse õigust esitada hagi isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel, piisab, kui väita, et asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel, ilma et oleks vaja tõendada andmesubjekti õiguste rikkumisega talle konkreetses olukorras tekitatud tegelikku kahju(12).
15. Kuigi eelotsusetaotluse esitanud kohus juba sai Euroopa Kohtult juhised selleks, et kindlaks teha, kas tarbijakaitseorganisatsioonide liidu esitatud rikkumisest hoidumiseks kohustamise hagi on isikuandmete kaitse üldmääruse artikli 80 lõikes 2 sätestatud tingimusi silmas pidades vastuvõetav, leiab ta, et selle sätte tõlgendamise osas on veel üks kahtlus. Nimelt rõhutab see kohus, et tarbijakaitseorganisatsioonide liidu õigus hagi esitada sõltub sellest, kas see üksus on – nimetatud sätte tähenduses – väitnud oma hagis, et kõnealusest määrusest tulenevaid andmesubjekti õigusi on rikutud „isikuandmete töötlemise tulemusel“.
16. Eelotsusetaotluse esitanud kohtu hinnangul ei ole ilmne, et see isikuandmete kaitse üldmääruse artikli 80 lõike 2 esemelise kohaldamisalaga seotud nõue on käesoleva asja asjaoludel täidetud.
17. See kohus märgib nimelt, et oma hagi põhjendamisel tugineb tarbijakaitseorganisatsioonide liit isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimese lause ning artikli 13 lõike 1 punktide c ja e koosmõjust tuleneva teavitamiskohutuse rikkumisele osas, mis puudutab isikuandmete töötlemise eesmärki ja isikuandmete vastuvõtjat. Selle kohtu hinnangul tuleb kindlaks teha, kas saab asuda seisukohale, et tarbijakaitseorganisatsioonide liit tugineb õiguste rikkumisele „isikuandmete töötlemise tulemusel“ nimetatud määruse artikli 80 lõike 2 tähenduses.
18. Konkreetsemalt leiab eelotsusetaotluse esitanud kohus esiteks, et pole kindel, kas käesoleval juhul kuulub isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimesest lausest ning artikli 13 lõike 1 punktidest c ja e tuleneva teavitamiskohustuse rikkumine selle määruse artikli 4 punktis 2 määratletud mõiste „isikuandmete töötlemine“ alla ning kas see mõiste hõlmab ka isikuandmete kogumise alustamisele eelnevaid olukordi(13).
19. Teiseks leiab see kohus, et selgelt ei ole sätestatud, kas sellisel juhul nagu põhikohtuasjas on teavitamiskohustuse rikkumine toimunud isikuandmete töötlemise „tulemusel“ isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses. Seejuures rõhutab kõnealune kohus, et sõnast „tulemusel“ võiks tekkida arusaam, et selleks, et esindushagi oleks vastuvõetav, peab sellise hagi esitanud üksus tuginema andmesubjektile sellest määrusest tulenevate õiguste rikkumisele, mille on põhjustanud mingisugune isikuandmete töötlemise toiming selle määruse artikli 4 punkti 2 tähenduses ning mis on seega sellise toiminguga võrreldes hilisem(14).
20. Neil asjaoludel otsustas Bundesgerichtshof (liitvabariigi kõrgeim üldkohus) uuesti menetluse peatada ning esitada Euroopa Kohtule järgmise eelotsuse küsimuse:
„Kas juhul, kui tarbijate huve kaitsev ühendus tugineb oma hagis asjaolule, et andmesubjekti õigusi on rikutud seetõttu, et täitmata on isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimeses lauses koostoimes artikli 13 lõike 1 punktidega c ja e sätestatud kohustus esitada teave isikuandmete töötlemise eesmärgi ja isikuandmete vastuvõtja kohta, siis esitab ta väite, et [andmesubjekti] õigusi on rikutud „isikuandmete töötlemise tulemusel“ isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses?“
21. Kirjalikud seisukohad esitasid Meta Platforms Ireland, tarbijakaitseorganisatsioonide liit, Saksamaa ja Portugali valitsus ning Euroopa Komisjon.
22. Kohtuistung toimus 23. novembril 2023 ning sellest võtsid osa Meta Platforms Ireland, Saksamaa valitsus ja komisjon.
II. Analüüs
23. Nagu ma eespool märkisin, kahtleb eelotsusetaotluse esitanud kohus, kas käesoleva asja asjaoludel vastab tarbijakaitseorganisatsioonide liidu esitatud esindushagi isikuandmete kaitse üldmääruse artikli 80 lõikes 2 sätestatud tingimusele, mille kohaselt leiab sellise hagi esitajaks olev üksus, et selles määruses sätestatud andmesubjekti õigusi on rikutud „isikuandmete töötlemise tulemusel“.
24. Mõistmaks paremini, millises kontekstis see kohus Euroopa Kohtul nimetatud sätte esemelist kohaldamisala täiendavalt selgitada palub, tuleb tähele panna, et oma hagis väidab tarbijakaitseorganisatsioonide liit, et Meta Platforms Ireland on rikkunud kohustust anda teavet isikuandmete töötlemise eesmärgi ning isikuandmete töötlemiseks antud kasutaja nõusoleku ulatuse kohta. Konkreetsemalt on vaidluse esemeks mängude esitlemine rakenduste keskuses, mis asub Meta Platforms Irelandi veebiplatvormil, ning märge, mille kohaselt on igal rakendusel lubatud kasutaja nimel avaldada teatavaid kasutaja isikuandmeid. Tarbijakaitseorganisatsioonide liit esitas selle hagi sõltumata andmesubjekti konkreetsete õiguste rikkumisest ja ilma ühegi andmesubjekti volituseta, mis on kõnealuse sättega kooskõlas, nagu Euroopa Kohus kohtuotsuses Meta Platforms Ireland(15) möönis.
25. Lahkarvamused küsimuses, kuidas teha kindlaks, kas tarbijakaitseorganisatsioonide liidul on isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel õigus hagi esitada, puudutavad seekord aga eelotsusetaotluse esitanud kohtu tõdemust, et selle üksuse esitatud esindushagi ei puuduta küsimust, kas Meta Platforms Ireland rikub kasutajate isikuandmete kaitsega seotud õigusi hetkel, kui viimane vajutab rakenduste keskuses nupule „Mängi kohe“ või „Mängi mängu“ ja käivitab sellega võimaliku enda isikuandmete töötlemise. Pealegi ei ole vaidlust selles, et tarbijakaitseorganisatsioonide liidu hagi esemeks ei ole ka küsimus, kas kasutaja isikuandmete kaitsega seotud õigusi rikuvad sellised tema isikuandmetega seotud automatiseeritud toimingud, mis leiavad aset pärast sellisele nupule vajutamist.
26. Kokkuvõttes taandub vaidlus küsimusele, kas selleks, et sellisel ühendusel oleks isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel õigus hagi esitada, piisab sellest, et ta tugineb teavitamiskohustuse rikkumisele, esitamata iseenesest etteheiteid andmete töötlemisele, mis kaasneb nupule „Mängi kohe“ või „Mängi mängu“ vajutamises seisneva toiminguga, olgugi et selle sätte kohaselt on nõutav andmesubjekti õiguste rikkumine „töötlemise tulemusel“.
27. Seetõttu keskendub eelotsusetaotluse esitanud kohtu küsimus kahele elemendile ehk esiteks mõiste „töötlemine“ ulatusele ning teiseks kõnealuses sättes sisalduva lauseosa „töötlemise tulemusel“ tähendusele.
28. Niisiis küsib see kohus, kas isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimesest lausest ning artikli 13 lõike 1 punktidest c ja e tulenev kohustus teavitada andmesubjekti täpselt, selgelt, mõistetavalt ning lihtsasti kättesaadavas vormis selget ja lihtsat keelt kasutades isikuandmete töötlemise eesmärgist ja isikuandmete vastuvõtjast, kuulub selle määruse artikli 4 punktis 2 määratletud mõiste „isikuandmete töötlemine“ alla.
29. Nimetatud määruse artikli 4 punktis 2 on mõiste „isikuandmete töötlemine“ määratletud järgmiselt: „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“.
30. Selle sätte sõnastusest ja eelkõige väljendi „toiming“ kasutamisest ilmneb, et liidu seadusandja soovis mõistet „isikuandmete töötlemine“ sisustada laialt. Seda tõlgendust toetab ka see, et kõnealuses sättes mainitud toimingute loetelu on mitteammendav, mida väljendab selle ees olev sõna „nagu“(16). Euroopa Kohtu hinnangul on see kooskõlas eesmärgiga tagada füüsiliste isikute põhiõiguse kaitse tõhusus isikuandmete töötlemisel, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 1, millest tuleb selle määruse kohaldamisel juhinduda(17).
31. Toetamaks teesi, et isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimesest lausest ning artikli 13 lõike 1 punktidest c ja e tulenev teavitamiskohustus võiks kuuluda selle määruse artikli 4 punktis 2 määratletud „isikuandmete töötlemise“ mõiste alla, viitab eelotsusetaotluse esitanud kohus sellele, mida Euroopa Kohus leidis 24. veebruari 2022. aasta kohtuotsuses Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil)(18).
32. Kohtuasjas, milles see kohtuotsus tehti, palus Valsts ieņēmumu dienests (Läti maksuamet), et asjasse puutuv ettevõtja teeks maksuhalduri talitustele uuesti kättesaadavaks ettevõtja veebiportaalis avaldatud kuulutuste esemeks olevate sõidukite kerenumbrid ja müüjate telefoninumbrid ning annaks talle teavet selles portaalis avaldatud kuulutuste kohta.
33. Selles kontekstis leidis Euroopa Kohus, et niisugune nõue, millega liikmesriigi maksuhaldur nõuab ettevõtjalt selliste isikuandmete edastamist ja kättesaadavaks tegemist, mida viimane peab talle selles liikmesriigis kehtivate eeskirjade kohaselt esitama ja kättesaadavaks tegema, käivitab nende andmete „kogumise“ protsessi isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses(19). Tõmmates paralleeli põhikohtuasjas vaidluse all oleva olukorraga, järeldab eelotsusetaotluse esitanud kohus eeltoodust, et selles sättes määratletud mõiste „isikuandmete töötlemine“ hõlmab ka toiminguid, mis üksnes „käivitavad“ isikuandmete kogumise, ja seega toiminguid, mis tehakse enne neid toiminguid, mille liidu seadusandja on sõnaselgelt isikuandmete töötlemise näidetena ära nimetanud.
34. Leian siiski, et see olukord erineb selgelt olukorrast, mille kohta tehti 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete kogumine maksustamise eesmärgil)(20). Nimelt ei ole antud juhul asi isikuandmete töötlemise käivitamist võimaldava toimingu seostamises isikuandmete töötlemise protsessiga, vaid pigem isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimesest lausest ning artikli 13 lõike 1 punktidest c ja e tuleneva teavitamiskohustuse ja kõnealuse isikuandmete töötlemise vahelise seose tuvastamises.
35. Seejuures leian, et nii lai kui selle ulatus ka ei ole, ei saa isikuandmete kaitse üldmääruse artikli 4 punktis 2 määratletud „isikuandmete töötlemise“ mõiste sellist teavitamiskohustust hõlmata. See kohustus ei puuduta ühtki isikuandmetega seotud otsest või kaudset tegevust. Kõnealuse kohustuse näol on pigem tegemist nende andmete töötlemise õiguspärasuse tingimusega.
36. Tuleb rõhutada, et selle määruse artiklis 12 on sätestatud vastutava töötleja üldised kohustused, mis puudutavad selget teavet ja teavitamist, ning andmesubjekti õiguste teostamise kord.
37. Eelkõige on nimetatud määruse artikli 12 lõike 1 esimeses lauses sätestatud, et „[v]astutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral“.
38. Isikuandmete kaitse üldmääruse artikli 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ lõike 1 punktides c ja e on sätestatud:
„Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:
[…]
c) isikuandmete töötlemise eesmärk ja õiguslik alus;
[…]
e) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta […]“.
39. Tuleb tähele panna, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimene lõik näeb ette ammendava ja piiratud loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks. Selleks, et isikuandmete töötlemist saaks pidada seaduslikuks, peab töötlemine seega kuuluma mõne selles sättes ette nähtud juhtumi alla(21).
40. Selle määruse artikli 6 lõike 1 esimese lõigu punkti a kohaselt on isikuandmete töötlemine seaduslik, kui ja kuivõrd andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil(22).
41. Kui sellist nõusolekut ei ole antud või kui nõusolekut ei ole antud vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt isikuandmete kaitse üldmääruse artikli 4 punkti 11 tähenduses ning isikuandmete töötlemine ei vasta mõnele selle määruse artikli 6 lõike 1 esimese lõigu punktides b–f nimetatud vajadusele, on isikuandmete töötlemine õigusvastane(23).
42. Mis puudutab isikuandmete kaitse üldmääruse artikli 4 punktist 11 tulenevat nõuet, et nõusolek peab olema „teadlik“, siis vastavalt selle määruse artiklile 13, tõlgendatuna määruse põhjendusest 42 lähtudes, tähendab see, et vastutav töötleja peab andmesubjektile arusaadaval ja lihtsasti kättesaadaval kujul, selges ja lihtsas keeles teatavaks tegema kogu teabe andmete töötlemisega seotud asjaolude kohta, et sellele isikule oleks teada töödeldavate isikuandmete liik, kes on vastutav töötleja, töötlemise kestus ja töötlemise laad ning selle eesmärgid. Selline teave peab võimaldama kasutajal hõlpsasti kindlaks määrata tema nõusoleku tagajärjed ja tagama, et nõusolek on antud kõiki asjaolusid teades(24).
43. Täheldan aga, et – nagu eelotsusetaotluse esitanud kohus märgib(25) –tarbijakaitseorganisatsioonide liit vaidlustab märgete esitamise rakenduste keskuse nupu „Mängi kohe“ juures, kuna selle näol on tegemist ebaausa kauplemistavaga eelkõige seetõttu, et rikutakse seadusest tulenevat nõuet saada kasutajalt isikuandmete kaitset reguleerivates sätetes ette nähtud kehtiv nõusolek.
44. Teisisõnu tingis tarbijakaitseorganisatsioonide liidu hagi esitamise see, et kuna rakenduste keskuses on teave esitatud puudulikult – millele see liit osutab –, võib isik vajutada nupule „Mängi kohe“ ilma, et ta oleks saanud vajaliku teabe, mis võimaldaks tal lihtsalt kindlaks teha, millised tagajärjed kaasnevad nõusolekuga, mille ta sellele nupule vajutamisega oma isikuandmete töötlemiseks anda võib, ning ilma et oleks tagatud, et see nõusolek on antud kõiki asjaolusid teades.
45. Neil asjaoludel olen arvamusel, et oma hagis on tarbijakaitseorganisatsioonide liit kooskõlas isikuandmete kaitse üldmääruse artikli 80 lõikega 2 tuginenud sellele, et „[selle] määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud“.
46. Esiteks paiknevad nii isikuandmete kaitse üldmääruse artikkel 12 kui ka artikkel 13 selle määruse III peatükis „Andmesubjekti õigused“. Võttes arvesse nende artiklite kohaselt vastutaval töötlejal lasuvat teavitamiskohustust, on sellest andmesubjektidele tulenevad õigused üheks osaks neist õigustest, mille kaitsmine on nimetatud määruse artikli 80 lõikes 2 sätestatud esindushagi eesmärk.
47. Teiseks võib väidetav rikkumine, mis puudutab andmesubjekti õigust saada piisavalt teavet kõigi isikuandmete töötlemisega seotud asjaolude ning eelkõige isikuandmete töötlemise eesmärgi ja nende andmete vastuvõtja kohta, takistada isikuandmete kaitse üldmääruse artikli 4 punktis 11 osutatud „teadliku“ nõusoleku andmist, mis võib muuta isikuandmete töötlemise õigusvastaseks.
48. Seega piisab selle määruse artikli 80 lõike 2 alusel esindushagi esitamiseks sellest, et üksus tugineb vastutaval töötlejal lasuva teavitamiskohustuse rikkumisele, täpsustades asjasse puutuva isikuandmete töötlemise, milleks käesoleval juhul on isikuandmete töötlemine, mis leiab aset, kui isik vajutab nupule „Mängi kohe“. Tegemist peab olema sellise isikuandmete töötlemisega, mis võib kahjustada tuvastatud või tuvastatavatele isikutele nimetatud määrusest tulenevaid õigusi(26), mis tähendab, et see isikuandmete töötlemine peab toimuma ega tohi olla seega puhtalt hüpoteetiline.
49. Lisaks sellele on minu arvates ebaoluline, et see üksus tugineb kohustuse rikkumisele, mis eelnes isikuandmete töötlemisele. Nii on see teavitamiskohustuse puhul, mis tuleb isikuandmete kaitse üldmääruse artikli 13 lõike 1 kohaselt täita hiljemalt andmete kogumise ajal.
50. Selle määruse artikli 80 lõikes 2 sisalduv lauseosa „isikuandmete töötlemise tulemusel“ ei tähenda niisiis kuidagi, et õigus, mille rikkumise tuvastamine on selles artiklis sätestatud hagi eesmärk, peaks tingimata puudutama mõnda kõnealuse määruse artikli 4 punktis 2 nimetatud „isikuandmete töötlemisena“ käsitatavale toimingule järgnevat etappi. Teisisõnu ei tohi sellest lauseosast välja lugeda mis tahes sellist ajalise järgnevusega seotud nõuet, millest tuleneks, et isikuandmete kaitse üldmääruses sätestatud andmesubjekti õiguste rikkumine peab toimuma isikuandmete töötlemisele järgnevas faasis.
51. Oluline on pigem see, et kõnealuste õiguste järgimisel oleks seos asjasse puutuva isikuandmete töötlemisega. Nii on see juhul, kui nende õiguste rikkumise tagajärjel muutub isikuandmete töötlemine õigusvastaseks. Teavitamiskohustuse rikkumisest tuleneb isikuandmete töötlemise õigusvastasus. Need kaks on lahutamatult seotud.
52. Sellest järeldub, et nõudest, et üksus võib isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel esindushagi esitada, kui ta leiab, et selles määruses sätestatud andmesubjekti õigusi on „isikuandmete töötlemise tulemusel“ rikutud, ei tulene minu arvates, et see üksus peab tuginema selliste õiguste rikkumisele, mis tuleneb mõnest selle määruse artikli 4 punktis 2 nimetatud isikuandmete töötlemise toimingust ja mis on seega sellise toiminguga võrreldes hilisem. Piisab, kui see üksus näitab ära, et isikuandmete töötlemise ja isikuandmete kaitse üldmäärusega kaitstavate õiguste rikkumise vahel on seos.
53. Käesoleval juhul ei ole seega oluline, et tarbijakaitseorganisatsioonide liidu väitel on teavitamiskohustust rikutud sõltumata sellest, kas andmesubjekt vajutab rakenduste keskuses nupule „Mängi kohe“ või mitte, sest kuivõrd selle kohustuse täitmisest võib sõltuda see, kas sellele nupule vajutamisega kaasnev isikuandmete töötlemine on õiguspärane, on sellel kohustusel vaieldamatult seos isikuandmete töötlemisega.
54. See tõlgendus on kooskõlas isikuandmete kaitse üldmääruse artikli 80 lõikes 2 sätestatud esindushagi ennetava funktsiooniga(27) ning – kuivõrd see aitab tugevdada andmesubjektide õigusi(28) – ka selle määruse eesmärgiga, mis tuleneb määruse põhjendusest 10 ning milleks on tagada liidus isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste kõrgetasemeline kaitse(29).
55. Lisan, et minu arvates oleks ebaloogiline tõlgendada nimetatud määruse artikli 80 lõike 2 esemelist kohaldamisala kitsendavalt, samas kui isikuandmete kaitse üldmääruse artikli 79 lõikes 1 on sarnast sõnastust kasutades sätestatud iga andmesubjekti õigus kasutada tõhusat õiguskaitsevahendit ning pole mingisugust põhjust selliste õiguskaitsevahendite esemelisest kohaldamisalast välja jätta õigusi, mis tulenevad teavitamiskohustusest, mis on sätestatud määruse artikli 12 lõike 1 esimeses lauses koosmõjus nimetatud määruse artikli 13 lõike 1 punktidega c ja e.
56. Seetõttu leian, et isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et tingimus, mille kohaselt peab pädev üksus selleks, et ta saaks nimetatud sätte alusel esindushagi esitada, väitma, et tema arvates on selles määruses sätestatud andmesubjekti õigusi isikuandmete töötlemise tulemusel rikutud, eeldab seda, et selle üksuse väitel toimub isikuandmete töötlemine ning et nende õiguste rikkumise ja isikuandmete töötlemise vahel on seos. See tingimus on täidetud, kui hagi aluseks on isikuandmete töötlemisega seostatult see, et vastutav töötleja rikub nimetatud määruse artikli 12 lõike 1 esimese lause ning sama määruse artikli 13 lõike 1 punktide c ja e koosmõjust tulenevat teavitamiskohustust, kuna selline rikkumine võib muuta isikuandmete töötlemise õigusvastaseks.
III. Ettepanek
57. Kõiki eeltoodud kaalutlusi arvesse võttes teen ettepaneku vastata Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) eelotsuse küsimusele järgmiselt:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 80 lõiget 2
tuleb tõlgendada nii, et
tingimus, mille kohaselt peab pädev üksus selleks, et ta saaks nimetatud sätte alusel esindushagi esitada, väitma, et tema arvates on selles määruses sätestatud andmesubjekti õigusi isikuandmete töötlemise tulemusel rikutud, eeldab seda, et selle üksuse väitel toimub isikuandmete töötlemine ning et nende õiguste rikkumise ja isikuandmete töötlemise vahel on seos. See tingimus on täidetud, kui hagi aluseks on isikuandmete töötlemisega seostatult see, et vastutav töötleja rikub nimetatud määruse artikli 12 lõike 1 esimese lause ning sama määruse artikli 13 lõike 1 punktide c ja e koosmõjust tulenevat teavitamiskohustust, kuna selline rikkumine võib muuta isikuandmete töötlemise õigusvastaseks.