Language of document : ECLI:EU:C:2023:369

EUROOPA KOHTU OTSUS (esimene koda)

4. mai 2023(*)

Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Andmesubjekti õigus tutvuda teda puudutavate töödeldavate andmetega – Artikli 15 lõige 3 – Andmete koopia esitamine – Mõiste „koopia“ – Mõiste „teave“

Kohtuasjas C‑487/21,

mille ese on ELTL artikli 267 alusel Bundesverwaltungsgerichti (Austria föderaalne halduskohus) 9. augusti 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 9. augustil 2021, menetluses

F.F.

versus

Österreichische Datenschutzbehörde,

menetluses osales:

CRIF GmbH,

EUROOPA KOHUS (esimene koda),

koosseisus: koja president A. Arabadjiev, kohtunikud P. G. Xuereb, T. von Danwitz, A. Kumin ja I. Ziemele (ettekandja),

kohtujurist: G. Pitruzzella,

kohtusekretär: A. Calot Escobar,

arvestades kirjalikku menetlust,

arvestades seisukohti, mille esitasid:

–        F.F., esindaja: M. Schrems,

–        Österreichische Datenschutzbehörde, esindajad: A. Jelinek ja M. Schmidl,

–        CRIF GmbH, esindajad: Rechtsanwälte L. Feiler ja M. Raschhofer,

–        Austria valitsus, esindajad: G. Kunnert, A. Posch ja J. Schmoll,

–        Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,

–        Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato M. Russo,

–        Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,

olles 15. detsembri 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1        Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artiklit 15.

2        Taotlus on esitatud F.F-i ja Österreichische Datenschutzbehörde (Austria andmekaitseasutus) (edaspidi „DSB“) vahelises kohtuvaidluses seoses DSB keeldumisega kohustada CRIF GmbH‑d edastama F.F‑ile koopia dokumentidest ja andmebaaside väljavõtetest, mis sisaldavad muu hulgas teda puudutavaid töödeldavaid isikuandmeid.

 Õiguslik raamistik

3        Isikuandmete kaitse üldmääruse põhjendused 10, 11, 26, 58, 60 ja 63 on sõnastatud järgmiselt:

„(10)      Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

(11)      Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi […]

[…]

(26)      Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes […] Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. […]

[…]

(58)      Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud […]

[…]

(60)      Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. […]

[…]

(63)      Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. […] Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate. Võimaluse korral peaks vastutav töötleja saama anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega. See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. […]“.

4        Määruse artiklis 4 on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)      „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)      „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum[…];

[…]“.

5        Nimetatud määruse artiklis 12 „Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord“ on ette nähtud:

„1.      Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

[…]

3.      Vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe artiklite 15–22 kohase taotluse alusel võetud meetmete kohta. […] Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

[…]“.

6        Isikuandmete kaitse üldmääruse artikkel 15 „Andmesubjekti õigus tutvuda andmetega“ on sõnastatud järgmiselt:

„1.      Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)      töötlemise eesmärk;

b)      asjaomaste isikuandmete liigid;

c)      vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)      kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)      teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)      teave õiguse kohta esitada kaebus järelevalveasutusele;

g)      kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)      teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

2.      Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 46 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.

3.      Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt taotleb lisakoopiaid, võib vastutav töötleja küsida mõistlikku tasu halduskulude katmiseks. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4.      Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.“

7        Määruse artiklis 16 „Õigus andmete parandamisele“ on ette nähtud:

„Andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse andmete töötlemise eesmärke, on andmesubjektil õigus nõuda mittetäielike isikuandmete täiendamist, sealhulgas täiendava õiendi esitamise teel.“

8        Määruse artikli 17 „Õigus andmete kustutamisele („õigus olla unustatud“)“ lõikes 1 on sätestatud:

„Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta[…]

[…]“.

 Põhikohtuasi ja eelotsuse küsimused

9        CRIF on ärikonsultatsioonide firma, kes annab oma klientide nõudmisel teavet kolmandate isikute maksevõime kohta. Sellisel eesmärgil töötles firma põhikohtuasja kaebaja isikuandmeid.

10      Kaebaja esitas 20. detsembril 2018 isikuandmete kaitse üldmääruse artikli 15 alusel CRIFile taotluse tutvuda teda puudutavate isikuandmetega. Lisaks palus ta esitada koopia dokumentidest, nimelt e‑kirjad ja andmebaaside väljavõtted, mis sisaldavad muu hulgas tema andmeid „standardses tehnilises vormis“.

11      Vastuseks sellele taotlusele edastas CRIF põhikohtuasja kaebajale kokkuvõtlikus vormis loetelu töödeldavatest isikuandmetest.

12      Kuna põhikohtuasja kaebaja leidis, et CRIF oleks pidanud talle edastama koopia kõigist tema isikuandmeid sisaldavatest dokumentidest, nagu e‑kirjad ja andmebaaside väljavõtted, esitas ta DSB‑le kaebuse.

13      DSB jättis 11. septembri 2019. aasta otsusega kaebuse rahuldamata, leides, et CRIF ei ole rikkunud põhikohtuasja kaebaja õigust tutvuda isikuandmetega.

14      Eelotsusetaotluse esitanud kohtul, kellele põhikohtuasja kaebaja esitas selle otsuse peale kaebuse, on tekkinud küsimus, milline on isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause ulatus. Eelkõige soovib ta teada, kas selles sättes ette nähtud kohustus esitada isikuandmete „koopia“ on täidetud, kui vastutav töötleja edastab isikuandmed kokkuvõtliku tabeli kujul, või hõlmab see kohustus ka väljavõtete edastamist dokumentidest või isegi tervetest dokumentidest ning väljavõtteid andmebaasidest, kus need andmed taasesitatakse.

15      Täpsemalt küsib eelotsusetaotluse esitanud kohus, kas isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimeses lauses on üksnes määratletud vorm, milles tuleb selle määruse artikli 15 lõikes 1 osutatud teabega tutvumise õigus tagada, või annab esimesena nimetatud säte andmesubjektile sõltumatu õiguse tutvuda tema isikuandmete töötlemise konteksti puudutava teabega, saades koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid.

16      Eelotsusetaotluse esitanud kohtul on lisaks tekkinud küsimus, kas isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandas lauses sisalduv mõiste „teave“ hõlmab ka selle määruse artikli 15 lõike 1 punktides a–h nimetatud teavet või isegi täiendavat teavet, nagu andmetega seotud metaandmed, või hõlmab see üksnes nimetatud määruse artikli 15 lõike 3 esimeses lauses nimetatud „töödeldavaid isikuandmeid“.

17      Nendel asjaoludel otsustas Bundesverwaltungsgericht (Austria föderaalne halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas mõistet „koopia“ [isikuandmete kaitse üldmääruse] artikli 15 lõikes 3 tuleb tõlgendada nii, et sellega on mõeldud teatud (elektrooniliste) andmete fotokoopiat, faksiimilet või elektroonilist koopiat, või kuuluvad selle mõiste alla, kui lähtuda selle määratlusest saksa, prantsuse ja inglise keele sõnaraamatutes, ka „Abschrift“, „double“ („duplikaat“) või „transcript“?

2.      Kas isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimest lauset, mis sätestab, et „vastutav töötleja esitab töödeldavate isikuandmete koopia“, tuleb tõlgendada nii, et sellega nähakse ette andmesubjekti üldine õigus nõuda, et talle väljastataks koopia ka kõikidest dokumentidest, mis sisaldavad töödeldavaid isikuandmeid, või andmebaasis isikuandmete töötlemise korral koopia andmebaasi väljavõttest, või antakse andmesubjektile sellega üksnes õigus saada täpne taasesitus isikuandmetest, millega on isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus tutvuda?

3.      Kas juhul, kui teisele küsimusele tuleb vastata nii, et andmesubjektil on üksnes õigus saada täpne taasesitus isikuandmetest, millega on isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus tutvuda, tuleb [selle määruse] artikli 15 lõike 3 esimest lauset tõlgendada nii, et tingituna töödeldavate andmete liigist (näiteks selline teave nagu isikuandmete kaitse üldmääruse põhjenduses 63 nimetatud diagnoos, arstliku läbivaatuse tulemus ja raviarstide hinnangud või ka eksamiga seotud dokumendid, mida käsitleti Euroopa Kohtu 20. detsembri 2017. aasta otsuses Nowak (C‑434/16, EU:C:2017:994)) ning isikuandmete kaitse üldmääruse artikli 12 lõikes 1 ette nähtud läbipaistvuse põhimõttest võib konkreetsel juhul olla siiski vajalik esitada andmesubjektile ka tekstilõigud või terved dokumendid?

4.      Kas mõistet „teave“, mis tuleb isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmanda lause kohaselt esitada andmesubjektile siis, kui see esitab taotluse elektrooniliselt, „üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti“, tuleb tõlgendada nii, et sellega on mõeldud ainult artikli 15 lõike 3 esimeses lauses nimetatud „töödeldavaid isikuandmeid“?

a)      Kui vastus neljandale küsimusele on eitav, siis kas mõistet „teave“, mis tuleb isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmanda lause kohaselt esitada andmesubjektile siis, kui see esitab taotluse elektrooniliselt, „üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti“, tuleb tõlgendada nii, et sellega on hõlmatud ka määruse artikli 15 lõike 1 punktides a–h nimetatud teave?

b)      Kui vastus neljanda küsimuse punktile a on eitav, siis kas mõistet „teave“, mis tuleb isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmanda lause kohaselt esitada andmesubjektile siis, kui see esitab taotluse elektrooniliselt, „üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti“, tuleb tõlgendada nii, et sellega on lisaks „töödeldavatele isikuandmetele“ ja määruse artikli 15 lõike 1 punktides a–h nimetatud teabele mõeldud näiteks juurdekuuluvaid metaandmeid?“

 Eelotsuse küsimuste analüüs

 Esimene kuni kolmas eelotsuse küsimus

18      Esimese kuni kolmanda küsimusega, mida tuleb analüüsida koos, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimest lauset koostoimes selle määruse artikli 12 lõikes 1 ette nähtud läbipaistvuse põhimõttega tuleb tõlgendada nii, et õigus saada töödeldavate isikuandmete koopia tähendab seda, et andmesubjektile ei anta mitte ainult nende andmete koopiat, vaid ka koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või ka väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid. Eelotsusetaotluse esitanud kohtul on tekkinud eelkõige küsimus selle õiguse ulatuse kohta.

19      Kõigepealt tuleb meenutada, et Euroopa Kohtu väljakujunenud praktika kohaselt tuleb liidu õiguse sätte tõlgendamisel arvesse võtta mitte üksnes selle sõnastust tavakeeles, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osaks säte on (vt selle kohta 2. detsembri 2021. aasta kohtuotsus Vodafone Kabel Deutschland, C‑484/20, EU:C:2021:975, punkt 19 ja seal viidatud kohtupraktika, ning 7. septembri 2022. aasta kohtuotsus Staatssecretaris van Justitie en Veiligheid (ELTL artikli 20 alusel riigis elamise õiguse olemus), C‑624/20, EU:C:2022:639, punkt 28).

20      Isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause sõnastuse kohta on selles sättes ette nähtud, et vastutav töötleja „esitab töödeldavate isikuandmete koopia“.

21      Kuigi isikuandmete kaitse üldmäärus ei sisalda selliselt kasutatud mõiste „koopia“ määratlust, tuleb arvesse võtta selle mõiste tavatähendust, mis tähistab – nagu märkis kohtujurist oma ettepaneku punktis 30 – originaali täpset taasesitust või üleskirjutust, mistõttu ei vasta töödeldavate andmete ainult üldine kirjeldus või viide isikuandmete liikidele sellele määratlusele. Lisaks nähtub selle määruse artikli 15 lõike 3 esimese lause sõnastusest, et teabe edastamise kohustus puudutab töödeldavaid isikuandmeid.

22      Isikuandmete kaitse üldmääruse artikli 4 punktis 1 on mõiste „isikuandmed“ määratletud kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta“, ja täpsustatud, et „tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.

23      Väljendi „igasugune teave“ kasutamine selles sättes sisalduva mõiste „isikuandmed“ määratlemisel peegeldab liidu seadusandja eesmärki anda sellele mõistele lai tähendus, mis hõlmab potentsiaalselt igasugust, nii objektiivset kui ka subjektiivset teavet arvamuste või hinnangute vormis, tingimusel et need „puudutavad“ kõnealust isikut (vt analoogia alusel 20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 34).

24      Sellega seoses on otsustatud, et teave puudutab tuvastatud või tuvastatavat füüsilist isikut, kui see on oma sisu, eesmärgi või toime tõttu seotud tuvastatava isikuga (vt selle kohta 20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 35).

25      Mis puudutab füüsilise isiku „tuvastatavust“, siis on isikuandmete kaitse üldmääruse põhjenduses 26 täpsustatud, et arvesse tuleb võtta „kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine“.

26      Seega, nagu kohtujurist oma ettepaneku punktides 36–39 sisuliselt märkis, ei hõlma mõiste „isikuandmed“ lai määratlus mitte ainult vastutava töötleja kogutud ja säilitatud andmeid, vaid hõlmab ka kogu isikuandmete töötlemisel saadud teavet, mis puudutab tuvastatud või tuvastatavat isikut, nagu tema maksevõime või tema maksevalmiduse hindamine.

27      Selles kontekstis tuleb veel lisada, et liidu seadusandja soovis anda isikuandmete kaitse üldmääruse artikli 4 punktis 2 määratletud mõistele „töötlemine“ laia ulatuse, kasutades mitteammendavat toimingute loetelu (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 35).

28      Seega nähtub isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause grammatilisest analüüsist, et see säte annab andmesubjektile õiguse saada täpne taasesitus oma isikuandmetest, mida mõistetakse laias tähenduses ja mille suhtes tehakse toiminguid, mille vastutav töötleja peab kvalifitseerima töötlemiseks.

29      Samas tuleb tõdeda, et selle sätte sõnastus üksi ei võimalda vastata kolmele esimesele küsimusele, kuna see ei sisalda ühtegi viidet võimalikule õigusele saada mitte ainult töödeldavate isikuandmete koopia, vaid ka koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid.

30      Mis puudutab isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause konteksti, siis tuleb märkida, et selle määruse artikli 15 „Andmesubjekti õigus tutvuda andmetega“ lõikes 1 on määratletud andmesubjekti õiguse tutvuda andmetega ese ja kohaldamisala ning selles on sätestatud andmesubjekti õigus sellele, et vastutav töötleja teeks talle kättesaadavaks tema isikuandmed ja selle lõike punktides a–h osutatud teabe.

31      Isikuandmete kaitse üldmääruse artikli 15 lõikes 3 on täpsustatud vastutava töötleja kohustuse täitmise kord, kusjuures eelkõige selle esimeses lauses on täpsustatud, millises vormis peab vastutav töötleja „töödeldavad isikuandmed“ esitama – nimelt „koopiana“. Lisaks on selle lõike kolmandas lauses sätestatud, et teave esitatakse üldkasutatavate elektrooniliste vahendite kaudu, kui taotlus on esitatud elektrooniliselt, välja arvatud juhul, kui andmesubjekt taotleb teisiti.

32      Järelikult ei saa isikuandmete kaitse üldmääruse artiklit 15 tõlgendada nii, nagu oleks selle lõike 3 esimeses lauses ette nähtud muu õigus kui selle artikli lõikes 1. Nagu Euroopa Komisjon oma kirjalikes seisukohtades märkis, ei puuduta mõiste „koopia“ dokumenti kui sellist, vaid isikuandmeid, mida see sisaldab ja mida tuleb täiendada. Koopia peab seega sisaldama kõiki töödeldavaid isikuandmeid.

33      Isikuandmete kaitse üldmääruse artikliga 15 taotletavate eesmärkide kohta tuleb märkida, et selle määruse eesmärk on – nagu on täpsustatud selle põhjenduses 11 – tugevdada ja täpsustada andmesubjektide õigusi. Selle määruse artiklis 15 on sellega seoses ette nähtud õigus saada koopia erinevalt Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 12 punkti a teisest taandest, milles nõutakse üksnes „arusaadaval kujul teavet töödeldavate andmete […] kohta“. Isikuandmete kaitse üldmääruse põhjenduses 63 on omakorda täpsustatud, et „[s]elleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada“.

34      Seega peab isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigus andmetega tutvuda võimaldama andmesubjektil veenduda, et teda puudutavad isikuandmed on õiged ja neid töödeldakse seaduslikult (vt selle kohta 12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 37 ja seal viidatud kohtupraktika).

35      Täpsemalt on andmetega tutvumise õigust vaja selleks, et võimaldada andmesubjektil vajaduse korral kasutada oma õigust andmete parandamisele, õigust andmete kustutamisele („õigus olla unustatud“) ja õigust töötlemise piiramisele, mille talle annavad vastavalt isikuandmete kaitse üldmääruse artiklid 16, 17 ja 18, talle isikuandmete kaitse üldmääruse artikliga 21 antud õigust esitada vastuväiteid tema kohta käivate isikuandmete töötlemisele ja selle määruse artiklites 79 ja 82 ette nähtud kaebuse esitamise õigust, kui ta on kandnud kahju (12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 38 ja seal viidatud kohtupraktika).

36      Samuti tuleb tõdeda, et isikuandmete kaitse üldmääruse põhjenduses 60 on märgitud, et õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest ning vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti.

37      Lisaks peab vastavalt läbipaistvuse põhimõttele, mida mainib eelotsusetaotluse esitanud kohus, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 58 ja mis on sõnaselgelt sätestatud selle määruse artikli 12 lõikes 1, kogu andmesubjektile edastatav teave olema kokkuvõtlik, kergesti kättesaadav ja arusaadav ning esitatud selges ja lihtsas sõnastuses.

38      Nagu kohtujurist oma ettepaneku punktides 54 ja 55 märkis, tuleneb sellest sättest, et vastutav töötleja on kohustatud rakendama asjakohaseid meetmeid, et andmesubjektile edastada muu hulgas isikuandmete kaitse üldmääruse artiklis 15 viidatud teave kokkuvõtlikul, läbipaistval, loetaval ja kergesti arusaadaval kujul, selges ja lihtsas sõnastuses, ning teave tuleb esitada kirjalikult või muul viisil, sealhulgas vajaduse korral elektrooniliselt, välja arvatud juhul, kui andmesubjekt taotleb selle suulist esitamist. Selle sätte eesmärk, mis väljendab läbipaistvuse põhimõtet, on tagada, et andmesubjekt mõistaks täielikult talle saadetud teabe sisu.

39      Sellest tuleneb, et töödeldavate isikuandmete koopial, mille vastutav töötleja peab isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause kohaselt esitama, peavad olema kõik tunnused, mis võimaldavad andmesubjektil tõhusalt teostada oma õigusi, mis tulenevad sellest määrusest, ning selles tuleb järelikult need andmed täielikult ja täpselt taasesitada.

40      See tõlgendus vastab selle määruse eesmärgile, milleks – nagu nähtub määruse põhjendusest 10 – on eelkõige tagada liidus füüsiliste isikute kõrgetasemeline kaitse ning tagada selleks kogu liidus füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ning ühtne kohaldamine isikuandmete töötlemisel (vt selle kohta 9. veebruari 2023. aasta kohtuotsus X‑FAB Dresden, C‑453/21, EU:C:2023:79, punkt 25 ja seal viidatud kohtupraktika).

41      Nimelt selleks, et tagada, et selliselt esitatud teavet on lihtne mõista, nagu nõuab isikuandmete kaitse üldmääruse artikli 12 lõige 1 koostoimes selle määruse põhjendusega 58, võib dokumentide väljavõtete või isegi tervete dokumentide või ka selliste andmebaaside väljavõtete esitamine, mis sisaldavad muu hulgas töödeldavaid isikuandmeid, osutuda hädavajalikuks – nagu märkis kohtujurist oma ettepaneku punktides 57 ja 58 –, kui töödeldavate andmete arusaadavuse tagamiseks on vajalik teada nende konteksti.

42      Eelkõige juhul, kui isikuandmed luuakse muudest andmetest või kui need andmed pärinevad vabadelt andmeväljadelt, st kui puudub teave andmesubjekti kohta, on selliste andmete töötlemise kontekst hädavajalik selleks, et tagada andmesubjektile läbipaistvus andmetega tutvumisel ja nende andmete arusaadav esitusviis.

43      Lisaks ei tohiks isikuandmete kaitse üldmääruse artikli 15 lõikes 3 osutatud koopia saamise õigus selle artikli lõike 4 kohaselt koostoimes selle määruse põhjendusega 63 kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladust ja intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust.

44      Seega, nagu rõhutas kohtujurist oma ettepaneku punktis 61, juhul kui on vastuolu ühelt poolt isikuandmetega täieliku tutvumise õiguse teostamise ja teiselt poolt teiste isikute õiguste või vabaduste vahel, tuleb kõnealuste õiguste ja vabaduste vahel leida tasakaal. Võimaluse korral on vaja valida isikuandmete edastamise viisid, mis ei riku teiste isikute õigusi ega vabadusi, pidades meeles, nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 63, et „sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine“.

45      Eeltoodud kaalutlusi arvestades tuleb esimesele kuni kolmandale eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimest lauset

tuleb tõlgendada nii, et

õigus saada vastutavalt töötlejalt töödeldavate isikuandmete koopia tähendab seda, et andmesubjektile antakse kõigi nende andmete täpne ja arusaadav taasesitus. See õigus eeldab õigust saada koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või ka väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid, kui sellise koopia esitamine on hädavajalik, et võimaldada andmesubjektil tõhusalt kasutada talle selle määrusega antud õigusi, kusjuures sellega seoses tuleb arvesse võtta teiste isikute õigusi ja vabadusi.

 Neljas eelotsuse küsimus

46      Selle küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandat lauset tuleb tõlgendada nii, et selles viidatud mõiste „teave“ puudutab üksnes isikuandmeid, mille koopia peab vastutav töötleja selle lõike esimese lause kohaselt esitama, või viitab see ka kogu selle artikli lõikes 1 nimetatud teabele või hõlmab ka muid elemente, nagu metaandmed.

47      Nagu käesoleva kohtuotsuse punktis 19 märgitud, tuleb liidu õiguse sätte tõlgendamisel arvestada mitte üksnes sätte sõnastust, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osaks säte on.

48      Kuigi isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandas lauses on üksnes märgitud, et „[k]ui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu“, täpsustamata seejuures, mida tuleb mõista mõiste „teave“ all, on selle lõike esimeses lauses sätestatud, et „[v]astutav töötleja esitab töödeldavate isikuandmete koopia“.

49      Seega tuleneb isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmanda lause kontekstist, et selles nimetatud „teave“ vastab tingimata isikuandmetele, millest peab vastutav töötleja esitama vastavalt selle lõike esimesele lausele koopia.

50      Niisugust tõlgendust kinnitavad isikuandmete kaitse üldmääruse artikli 15 lõikega 3 taotletavad eesmärgid, milleks on – nagu on meenutatud käesoleva kohtuotsuse punktis 31 – määrata kindlaks vastutava töötleja kohustuse esitada töödeldavate isikuandmete koopia täitmise kord. Järelikult ei loo see säte eraldiseisvat õigust andmesubjekti õigusest saada nendest andmetest täpne ja arusaadav taasesitus, mis võimaldaks tal tõhusalt teostada talle selle määrusega antud õigusi.

51      Tuleb aga märkida, et ükski selle määruse säte ei näe ette taotluse erinevat töötlemist vastavalt sellele, millises vormis see on esitatud, mistõttu ei saa koopia saamise õiguse ulatus varieeruda sõltuvalt taotluse esitamise vormist.

52      Lisaks tuleb ka märkida, et isikuandmete kaitse üldmääruse artikli 12 lõikes 3 on sätestatud, et juhul, kui taotlus on esitatud elektrooniliselt, esitatakse artiklis 15, sh selle artikli lõike 1 punktides a–h, osutatud teave elektrooniliselt, kui andmesubjekt ei taotle teisiti.

53      Eeltoodud kaalutlusi arvestades tuleb neljandale eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandat lauset

tuleb tõlgendada nii, et

selles viidatud mõiste „teave“ puudutab üksnes isikuandmeid, mille koopia peab vastutav töötleja selle lõike esimese lause kohaselt esitama.

 Kohtukulud

54      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:

1.      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 15 lõike 3 esimest lauset

tuleb tõlgendada nii, et

õigus saada vastutavalt töötlejalt töödeldavate isikuandmete koopia tähendab seda, et andmesubjektile antakse kõigi nende andmete täpne ja arusaadav taasesitus. See õigus eeldab õigust saada koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või ka väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid, kui sellise koopia esitamine on hädavajalik, et võimaldada andmesubjektil tõhusalt kasutada talle selle määrusega antud õigusi, kusjuures sellega seoses tuleb arvesse võtta teiste isikute õigusi ja vabadusi.

2.      Määruse 2016/679 artikli 15 lõike 3 kolmandat lauset

tuleb tõlgendada nii, et

selles viidatud mõiste „teave“ puudutab üksnes isikuandmeid, mille koopia peab vastutav töötleja selle lõike esimese lause kohaselt esitama.

Allkirjad

*      Kohtumenetluse keel: saksa.