EUROOPA KOHTU OTSUS (teine koda)
29. juuli 2019(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46/EÜ – Artikli 2 punkt d – Mõiste „vastutav töötleja“ – Veebisaidi haldaja, kes on oma veebisaidile lisanud sotsiaalmooduli, mis võimaldab saidi külastaja isikuandmeid edastada mooduli pakkujale – Artikli 7 punkt f – Andmetöötluse õiguspärasus – Veebisaidi haldaja või sotsiaalmooduli pakkuja huvi arvessevõtmine – Artikli 2 punkt h ja artikli 7 punkt a – Andmesubjekti nõusolek – Artikkel 10 – Andmesubjekti teavitamine – Riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel kohtusse pöörduda
Kohtuasjas C‑40/17,
mille ese on ELTL artikli 267 alusel Oberlandesgericht Düsseldorfi (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa) 19. jaanuari 2017. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 26. jaanuaril 2017, menetluses
Fashion ID GmbH & Co. KG
versus
Verbraucherzentrale NRW eV,
menetluses osalesid:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
EUROOPA KOHUS (teine koda),
koosseisus: Euroopa Kohtu president K. Lenaerts teise koja presidendi ülesannetes, kohtunikud A. Prechal, C. Toader, A. Rosas (ettekandja) ja M. Ilešič,
kohtujurist: M. Bobek,
kohtusekretär: osakonnajuhataja D. Dittert,
arvestades kirjalikku menetlust ja 6. septembri 2018. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Fashion ID GmbH & Co. KG, esindajad: Rechtsanwalt C.‑M. Althaus ja Rechtsanwalt J. Nebel,
– Verbraucherzentrale NRW eV, esindajad: Rechtsanwalt K. Kruse, Rechtsanwalt C. Rempe ja Rechtsanwalt S. Meyer,
– Facebook Ireland Ltd, esindajad: Rechtsanwalt H.‑G. Kamann, Rechtsanwalt C. Schwedler ja Rechtsanwalt M. Braun ning avvocatessa I. Perego,
– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, esindaja: U. Merger,
– Saksamaa valitsus, esindajad: T. Henze ja J. Möller, hiljem J. Möller,
– Belgia valitsus, esindajad: P. Cottin ja L. Van den Broeck,
– Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato P. Gentili,
– Austria valitsus, esindajad: C. Pesendorfer, hiljem G. Hesse ja G. Kunnert,
– Poola valitsus, esindaja: B. Majczyna,
– Euroopa Komisjon, esindajad: H. Krämer ja H. Kranenborg,
olles 19. detsembri 2018. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikleid 2, 7, 10 ja 22–24.
2 Taotlus on esitatud Fashion ID GmbH & Co. KG ja Verbraucherzentrale NRW eV vahelises kohtuvaidluses, mis puudutab seda, et Fashion ID lisas oma veebisaidile Facebook Ireland Ltd sotsiaalmooduli.
Õiguslik raamistik
Liidu õigus
3 Direktiiv 95/46 tunnistati kehtetuks ja asendati alates 25. maist 2018 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (ELT 2016, L 119, lk 1). Põhikohtuasja asjaolude asetleidmise kuupäeva arvestades on see direktiiv põhikohtuasjas siiski kohaldatav.
4 Direktiivi 95/46 põhjenduses 10 on märgitud:
„[I]sikuandmete töötlemist käsitlevate õigusaktide eesmärk on kaitsta [4. novembril 1950 Roomas alla kirjutatud] Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 ja [liidu] õiguse üldistes põhimõtetes tunnustatud põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele; nimetatud põhjusel ei tohi kõnealuste õigusaktide ühtlustamise tagajärjel nendega pakutav kaitse väheneda, vaid vastupidi – [liidus] tagatava kaitstuse tase peab olema kõrgem“.
5 Direktiivi 95/46 artiklis 1 on ette nähtud:
„1. Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.
2. Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.“
6 Direktiivi artiklis 2 on sätestatud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
a) isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal;
b) isikuandmete töötlemine (edaspidi „töötlemine“) – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;
[…]
d) vastutav töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja vahendid on kindlaks määratud siseriiklike või [liidu] õigusnormidega, võib vastutava töötleja või tema ametissemääramise sätestada siseriiklikus või [liidu] õiguses;
[…]
f) kolmas isik – kõik füüsilised või juriidilised isikud, riigiasutused, esindused või muud organid, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;
g) vastuvõtja – füüsiline või juriidiline isik, riigiasutus, esindus või mõni muu organ, kellele andmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte; vastuvõtjateks ei peeta siiski ametiasutusi, kes võivad andmeid saada seoses konkreetse järelepärimisega;
h) andmesubjekti nõusolek – iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid.“
7 Direktiivi artiklis 7 on ette nähtud:
„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:
a) andmesubjekt on selleks andnud oma ühemõttelise nõusoleku või
[…]
f) töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid.“
8 Direktiivi artikkel 10 „Teave, mis tuleb esitada juhul, kui andmeid kogutakse andmesubjektilt“ on sõnastatud järgmiselt:
„Liikmesriigid näevad ette, et vastutav töötleja või tema esindaja peab andmesubjektile, kellelt tema enda kohta andmeid kogutakse, esitama vähemalt järgmise teabe, kui ta seda juba ei tea:
a) vastutava töötleja ja tema võimaliku esindaja andmed;
b) andmete töötlemise eesmärk;
c) täiendav teave, näiteks:
– andmete vastuvõtjad või vastuvõtjate kategooriad,
– kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed,
– isiku enda kohta käivate andmetega tutvumise ja nende parandamise õiguse olemasolu,
kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete kogumise konkreetseid asjaolusid.“
9 Direktiivi 95/46 artikkel 22 on sõnastatud järgmiselt:
„Liikmesriigid sätestavad kõigi isikute õiguse kasutada õiguskaitsevahendeid, kui on rikutud õigusi, mis neile on antud kõigi asjaomase töötlemise suhtes kohaldatavate siseriiklike õigusaktidega, ilma et see piiraks ühegi võimaliku sätestatava haldusliku kaitsevahendi kohaldamist, muu hulgas artiklis 28 osutatud järelevalveasutuse kaudu enne küsimuse suunamist kohtutele.“
10 Direktiivi artiklis 23 on sätestatud:
„1. Liikmesriigid sätestavad, et kõigil isikutel, kes on kandnud kahju ebaseadusliku töötlemise või käesoleva direktiivi rakendamiseks võetud siseriiklike sätetega vastuolus oleva teo tagajärjel, on õigus saada vastutavalt töötlejalt kompensatsiooni kantud kahju eest.
2. Vastutava töötleja võib kõnealusest vastutusest tervikuna või osaliselt vabastada, kui ta tõestab, et tema ei ole kahju põhjustanud sündmuse eest vastutav.“
11 Direktiivi artiklis 24 on ette nähtud:
„Liikmesriigid võtavad sobivaid meetmeid, et tagada käesoleva direktiivi sätete täielik rakendamine, ja sätestavad eelkõige sanktsioonid, mida kohaldatakse käesoleva direktiivi kohaselt vastuvõetud sätete rikkumise puhul.“
12 Direktiivi artiklis 28 on sätestatud:
„1. Iga liikmesriik näeb ette ühe või mitu riigiasutust, et teostada järelevalvet tema territooriumil käesoleva direktiivi kohaselt vastuvõetud sätete kohaldamise üle.
Kõnealused asutused tegutsevad neile usaldatud ülesannete täitmisel täiesti sõltumatult.
[…]
3. Igal sellisel ametiasutusel on eelkõige:
[…]
– volitused osaleda kohtumenetlustes, kui käesoleva direktiivi kohaselt vastuvõetud siseriiklikke sätteid on rikutud, või juhtida kõnealustele rikkumistele õigusasutuste tähelepanu.
[…]
4. Iga järelevalveasutus vaatab läbi kõigi isikute või kõnealuseid isikuid esindava ühenduse esitatud avaldused nende õiguste ja vabaduste kaitse kohta seoses isikuandmete töötlemisega. Andmesubjektile teatatakse avalduse tagajärgedest.
[…]“.
13 Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11)) (edaspidi „direktiiv 2002/58“), artikli 5 lõikes 3 on ette nähtud:
„Liikmesriigid tagavad, et elektrooniliste sidevõrkude kasutamine teabe salvestamiseks või juurdepääsuks abonendi või kasutaja lõppseadmesse salvestatud teabele on lubatud ainult tingimusel, et asjaomasele abonendile või kasutajale esitatakse direktiivi [95/46] kohaselt selge ja arusaadav teave muu hulgas andmete töötlemise eesmärgi kohta ning talle antakse võimalus keelduda vastutava andmetöötleja teostatavast töötlemisest. See ei takista tehnilist salvestamist või juurdepääsu, mille ainus eesmärk on teostada või toetada side edastamist elektroonilises sidevõrgus või mis on hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on selgesõnaliselt taotlenud.“
14 Euroopa Parlamendi ja nõukogu 23. aprilli 2009. aasta direktiivi 2009/22/EÜ tarbijate huve kaitsvate ettekirjutuste kohta (ELT 2009, L 110, lk 30) (muudetud Euroopa Parlamendi ja nõukogu 21. mai 2013. aasta määrusega (EL) nr 524/2013 (ELT 2013, L 165, lk 1) (edaspidi „direktiiv 2009/22“)) artikli 1 lõikes 1 on sätestatud:
„Käesoleva direktiivi eesmärk on ühtlustada liikmesriikide õigus- ja haldusnormid, mis on seotud artiklis 2 nimetatud ettekirjutust taotlevate hagidega, mille eesmärk on kaitsta tarbijate ühishuve I lisas loetletud direktiivide alusel, et tagada siseturu tõrgeteta toimimine.“
15 Selle direktiivi artiklis 2 on ette nähtud:
„1. Liikmesriigid määravad kohtud või haldusasutused, kes on pädevad otsustama artiklis 3 määratletud pädevate üksuste algatatud menetlustes, mille eesmärgiks on:
a) igasuguse rikkumise võimalikult kiire lõpetamine või ärakeelamine, vajaduse korral lihtmenetlusega;
[…]“.
16 Direktiivi artiklis 7 on sätestatud:
„Käesolev direktiiv ei takista liikmesriikidel vastu võtmast või säilitamast sätteid, mis annavad pädevatele üksustele ja teistele asjaomastele isikutele ulatuslikumad hagemisõigused siseriiklikul tasandil.“
17 Määruse 2016/679 artikkel 80 on sõnastatud järgmiselt:
„1. Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.
2. Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.“
Saksa õigus
18 Kõlvatu konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb) põhikohtuasjas kohaldatava redaktsiooni (edaspidi „UWG“) § 3 lõikes 1 on sätestatud:
„Ebaausad kauplemistavad on õigusvastased.“
19 UWG § 3a on sõnastatud järgmiselt:
„Isik, kes rikub õigusnormi, mis turuosaliste huvides reguleerib tegutsemist turul, tegutseb ebaausalt, kui see rikkumine võib oluliselt kahjustada tarbijate, teiste turuosaliste või konkurentide huve.“
20 UWG §‑s 8 on sätestatud:
„(1) Isiku suhtes, kes kasutab keelatud kauplemisvõtet § 3 või § 7 tähenduses, võib esitada nõude selle tegevuse viivitamata lõpetamiseks ja tegevuse kordumise ohu korral sellest tegevusest hoidumiseks. Õigus nõuda tegevusest hoidumist tekib niipea, kui esineb § 3 või § 7 rikkumise oht.
[…]
(3) Lõikes 1 osutatud nõudeid võivad esitada:
[…]
3. pädevad üksused, kes tõendavad, et nad on kantud pädevate üksuste nimekirja vastavalt seaduse, mis käsitleb tegevusest hoidumise hagisid (Unterlassungsklagengesetz), §‑le 4 või Euroopa Komisjoni nimekirja vastavalt direktiivi [2009/22] artikli 4 lõikele 3;
[…]“.
21 Seaduse, mis käsitleb tegevusest hoidumise hagisid, §‑s 2 on ette nähtud:
„(1) Isiku suhtes, kes rikub tarbijate kaitseks kehtestatud õigusnorme (tarbijakaitsenormid) muul viisil kui tüüptingimuste kohaldamise või soovitamise kaudu, võib tarbijakaitse huvides esitada nõude tegevusest hoidumiseks ja tegevuse viivitamata lõpetamiseks. […]
(2) Tarbijakaitsenormid käesoleva sätte tähenduses on eelkõige:
[…]
11. õigusnormid, mis reguleerivad
a) ettevõtja poolt tarbija isikuandmete kogumise või
b) ettevõtja poolt tarbija kohta kogutud isikuandmete töötlemise või kasutamise,
lubatavust, kui andmeid kogutakse, töödeldakse või kasutatakse reklaami, turu- või arvamusuuringute, taustakontrolli, isiku- või kasutajaprofiilide loomise, aadresside või muude andmete müügiks pakkumise eesmärgil või võrreldaval ärilisel eesmärgil.“
22 Elektroonilise side seaduse (Telemediengesetz; edaspidi „TMG“) § 12 lõige 1 on sõnastatud järgmiselt:
„Teenuseosutaja võib elektroonilise side teenuste pakkumisel isikuandmeid koguda ja kasutada üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilist sidet käsitleva muu õigusnormiga või kasutaja on selleks nõusoleku andnud.“
23 TMG § 13 lõikes 1 on sätestatud:
„Teenuseosutaja peab kasutamise alguses kasutajat üldiselt arusaadavas vormis teavitama tema isikuandmete kogumise ja kasutamise viisist, ulatusest ja eesmärkidest ning tema andmete töötlemisest riikides väljaspool direktiivi [95/46] kohaldamisala, kui seda ei ole juba eelnevalt tehtud. Automatiseeritud toimingu korral, mis võimaldab kasutajat hiljem identifitseerida ja valmistab ette isikuandmete kogumise või kasutamise, tuleb kasutajat teavitada toimingu alguses. Teavituse sisu peab olema kasutajale igal ajal kättesaadav.“
24 TMG § 15 lõikes 1 on sätestatud:
„Teenuseosutaja võib kasutaja isikuandmeid koguda ja kasutada üksnes niivõrd, kuivõrd see on vajalik elektroonilise side kasutamise võimaldamiseks ja arve esitamiseks (kasutusandmed). Kasutusandmed on eelkõige:
1. tunnused kasutaja tuvastamiseks,
2. andmed iga kasutuse alguse ja lõpu ning kestuse kohta ja
3. andmed elektroonilise side kohta, mida kasutaja on kasutanud.“
Põhikohtuasi ja eelotsuse küsimused
25 Internetis moerõivaid müüv ettevõtja Fashion ID lisas oma veebisaidile sotsiaalvõrgustiku Facebook sotsiaalmooduli „meeldib“ (edaspidi „Facebooki „meeldib“-nupp“).
26 Eelotsusetaotlusest nähtub, et üks internetile omastest tunnustest on see, et veebisaidi külastaja veebilehitsejal võimaldatakse esitada erinevatest allikatest pärit sisu. Nii näiteks võivad fotod, videod, uudised ja käesolevas asjas kõne all olev Facebooki „meeldib“-nupp olla veebilehega seotud ja sellel lehel esineda. Kui veebisaidi haldaja soovib välist sisu lisada, paigutab ta sellele saidile lingi, mis suunab välise sisu juurde. Kui selle saidi külastaja veebilehitseja avab lingi, pöördub ta välise sisu poole ja lisab selle soovitud kohta veebisaidi paigutuses. Selleks edastab veebilehitseja välise sisu pakkuja serverile külastaja arvuti IP‑aadressi ja veebilehitseja tehnilised andmed, selleks et server saaks kindlaks määrata, millises formaadis sisu sellele aadressile saadetakse. Veebilehitseja edastab lisaks teavet soovitud sisu kohta. Veebisaidi haldaja, kes pakub välist sisu, lisades selle saidile, ei saa kindlaks määrata, milliseid andmeid veebilehitseja edastab ega ka seda, mida välise sisu pakkuja nende andmetega teeb, eelkõige kas ta otsustab neid talletada ja kasutada.
27 Mis puudutab täpsemalt Facebooki „meeldib“-nuppu, siis näib eelotsusetaotlusest ilmnevat, et kui külastaja külastab Fashion ID veebisaiti, edastatakse selle külastaja isikuandmed seetõttu, et sait sisaldab kõnealust nuppu, Facebook Irelandile. Teabe edastamine toimub ilma, et külastaja oleks sellest teadlik, ja sõltumata asjaolust, kas ta on sotsiaalvõrgustiku Facebook liige või kas ta on Facebooki „meeldib“-nupule klõpsanud.
28 Tarbijate huve kaitsev mittetulundusühing Verbraucherzentrale NRW heidab Fashion ID‑le ette, et ta edastas oma veebisaidi külastajate isikuandmed Facebook Irelandile esiteks ilma nende nõusolekuta ja teiseks rikkudes teavitamiskohustusi, mis on ette nähtud isikuandmete kaitset reguleerivates sätetes.
29 Verbraucherzentrale NRW esitas Landgericht Düsseldorfile (Düsseldorfi esimese astme kohus, Saksamaa) Fashion ID vastu hagi, et viimane selle tegevuse lõpetaks.
30 Landgericht Düsseldorf (Düsseldorfi esimese astme kohus) rahuldas 9. märtsi 2016. aasta otsusega Verbraucherzentrale NRW nõuded osaliselt, olles kõigepealt tuvastanud, et viimasel on UWG § 8 lõike 3 punkti 3 alusel õigus hagi esitada.
31 Fashion ID esitas selle otsuse peale apellatsioonkaebuse Oberlandesgericht Düsseldorfile (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa), st eelotsusetaotluse esitanud kohtule. Facebook Ireland astus apellatsioonimenetlusse Fashion ID toetuseks. Verbraucherzentrale NRW esitas omakorda vastuapellatsiooni, milles palus Fashion ID vastu esitatud nõuded rahuldada suuremas ulatuses kui esimese astme kohtu otsuses.
32 Eelotsusetaotluse esitanud kohtus väidab Fashion ID, et Landgericht Düsseldorfi (Düsseldorfi esimese astme kohus) otsus ei ole direktiiviga 95/46 kooskõlas.
33 Esiteks väidab Fashion ID, et direktiivi artiklites 22–24 on kaebeõigus ette nähtud üksnes isikutele, keda isikuandmete töötlemine puudutab, ja pädevatele järelevalveasutustele. Järelikult ei ole Verbraucherzentrale NRW esitatud hagi vastuvõetav, kuna sellel ühingul ei ole direktiivi 95/46 kohaselt õigust hagi esitada.
34 Teiseks on Fashion ID seisukohal, et Landgericht Düsseldorf (Düsseldorfi esimese astme kohus) leidis ekslikult, et ta on direktiivi 95/46 artikli 2 punkti d tähenduses vastutav töötleja, kuna tal ei ole mingit mõju andmete üle, mida külastaja veebilehitseja tema veebisaidilt edastab, ega selle üle, kas ja kuidas Facebook Ireland neid kasutama hakkab.
35 Eelotsusetaotluse esitanud kohtul on kõigepealt kahtlusi küsimuses, kas direktiivi 95/46 kohaselt on mittetulundusühingutel lubatud hagi esitada nende isikute huvide kaitseks, kellele on kahju tekitatud. Ta on seisukohal, et direktiivi artikkel 24 ei takista ühingutel kohtusse pöörduda, kuna selle artikli kohaselt võtavad liikmesriigid „sobivaid meetmeid“, et tagada direktiivi täielik rakendamine. Seega leiab eelotsusetaotluse esitanud kohus, et riigisisesed õigusnormid, mis võimaldavad ühingutel tarbijate huvides hagi esitada, võivad endast kujutada sellist sobivat meedet.
36 Eelotsusetaotluse esitanud kohus märgib sellega seoses, et määruse 2016/679 – millega tunnistati kehtetuks ja asendati direktiiv 95/46 – artikli 80 lõige 2 lubab sõnaselgelt sellisel ühingul kohtusse pöörduda, mis viitab sellele, et viimati nimetatud direktiiv ei välistanud hagi esitamist.
37 Nimetatud kohus kahtleb ka, kas sellist veebisaidi haldajat nagu Fashion ID, kes lisab saidile sotsiaalmooduli, mis võimaldab isikuandmeid koguda, võib pidada direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks töötlejaks, kuigi tal ei ole mingit mõju nende andmete töötlemisele, mis on mooduli pakkujale edastatud. Eelotsusetaotluse esitanud kohus viitab sellega seoses kohtuasjale, milles tehti 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), mis käsitles sarnast küsimust.
38 Teise võimalusena, kui Fashion IDd ei saa pidada vastutavaks töötlejaks, tekib eelotsusetaotluse esitanud kohtul küsimus, kas see direktiiv reguleerib nimetatud mõistet ammendavalt, mistõttu sellega on vastuolus riigisisesed õigusnormid, milles on ette nähtud kolmanda isiku tsiviilvastutus andmekaitseõiguste rikkumise eest. Eelotsusetaotluse esitanud kohus kinnitab nimelt, et riigisisese õiguse alusel on võimalik pidada Fashion IDd vastutavaks kui „korrarikkujat“ (Störer).
39 Kui Fashion ID‑d tuleks pidada vastutavaks töötlejaks või kui ta vähemalt „korrarikkujana“ vastutaks andmekaitse võimalike rikkumiste eest Facebook Irelandi poolt, siis tekib eelotsusetaotluse esitanud kohtul küsimus, kas põhikohtuasjas kõne all olev isikuandmete töötlemine on õiguspärane ja kas direktiivi 95/46 artiklist 10 tulenev kohustus teavitada andmesubjekti lasub Fashion ID‑l või Facebook Irelandil.
40 Seega, esiteks on eelotsusetaotluse esitanud kohtul küsimus, kas arvestades andmetöötluse õiguspärasuse tingimusi, mis on ette nähtud direktiivi 95/46 artikli 7 punktis f, tuleb sellises olukorras, nagu on kõne all põhikohtuasjas, võtta arvesse veebisaidi haldaja või sotsiaalmooduli pakkuja õigustatud huvi.
41 Teiseks küsib nimetatud kohus, millisel isikul lasub põhikohtuasjas kõne all olevas olukorras kohustus saada nõusolek isikutelt, keda isikuandmete töötlemine puudutab, ja neid isikuid teavitada. Eelotsusetaotluse esitanud kohus leiab, et küsimus, kellel lasub direktiivi 95/46 artiklis 10 ette nähtud kohustus andmesubjekte teavitada, on eriti oluline, kuna välise sisu mis tahes lisamine veebisaidile toob üldjuhul kaasa isikuandmete töötlemise, mille ulatus ja eesmärk ei ole siiski teada selle sisu lisajale ehk asjaomase veebisaidi haldajale. Viimane ei saa seetõttu oma kohustuse täitmiseks nõutavat teavet anda, mistõttu haldajale andmesubjekti teavitamise kohustuse panemine tähendaks praktikas välise sisu lisamise keeldu.
42 Neil asjaoludel otsustas Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas [direktiivi 95/46] artiklitega 22, 23 ja 24 on vastuolus selline riigisisene õigusnorm, mis lisaks andmekaitseasutuste sekkumisõigusele ja andmesubjekti õigusele hagi esitada lubab rikkumiste korral pöörduda rikkuja vastu kohtusse tarbijate huve kaitsvatel mittetulundusühingutel?
Kui esimesele küsimusele tuleb vastata eitavalt:
2. Kas sellises olukorras, mis on kõne all käesolevas kohtuasjas ja milles keegi lisab oma veebisaidile programmikoodi, mis võimaldab kasutaja veebilehitsejal pöörduda kolmanda isiku pakutava sisu poole ja edastada selleks isikuandmeid kolmandale isikule, on programmkoodi lisaja „vastutav töötleja“ [direktiivi 95/46] artikli 2 punkti d tähenduses, kuigi ta ise ei saa andmetöötluseprotsessi mõjutada?
3. Kui teisele küsimusele tuleb vastata eitavalt: kas [direktiivi 95/46] artikli 2 punkti d tuleb tõlgendada nii, et see reguleerib vastutust ammendavalt, välistades kolmanda isiku tsiviilvastutuse, kui asjaomane isik ei ole „vastutav töötleja“, kuid annab võimaluse andmete töötlemiseks, seda ise mõjutamata?
4. Millisest „õigustatud huvist“ tuleb sellises olukorras, nagu on kõne all käesolevas kohtuasjas, lähtuda [direktiivi 95/46] artikli 7 punktis f ette nähtud huvide kaalumisel? Kas lähtuda tuleb huvist kolmandate isikute pakutava sisu lisamise vastu või kolmanda isiku huvist?
5. Kellele tuleb sellises olukorras, nagu on kõne all käesolevas kohtuasjas, anda [direktiivi 95/46] artikli 7 punktis a ja artikli 2 punktis h ette nähtud nõusolek?
6. Kas [direktiivi 95/46] artikli 10 kohane andmesubjekti teavitamise kohustus lasub sellises olukorras, nagu on kõne all käesolevas kohtuasjas, ka veebisaidi haldajal, kes lisas veebisaidile kolmanda isiku pakutava sisu ja andis sellega kolmandale isikule võimaluse isikuandmete töötlemiseks?“
Eelotsuse küsimuste analüüs
Esimene küsimus
43 Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikleid 22–24 tuleb tõlgendada nii, et nendega on vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse isiku vastu, kes oletatavalt kahjustab isikuandmete kaitset.
44 Kõigepealt väärib meeldetuletamist, et direktiivi 95/46 artikli 22 kohaselt sätestavad liikmesriigid kõigi isikute õiguse pöörduda kohtusse, kui on rikutud õigusi, mis neile on tagatud asjaomase töötlemise suhtes kohaldatavate riigisiseste õigusnormidega.
45 Direktiivi 95/46 artikli 28 lõike 3 kolmandas lõigus on sätestatud, et järelevalveasutusel, kelle ülesanne on direktiivi artikli 28 lõike 1 kohaselt teostada järelevalvet asjaomase liikmesriigi territooriumil direktiivi kohaselt vastuvõetud sätete kohaldamise üle, on eelkõige volitused osaleda kohtumenetlustes, kui sama direktiivi kohaselt vastuvõetud riigisiseseid sätteid on rikutud, või juhtida kõnealustele rikkumistele õigusasutuste tähelepanu.
46 Direktiivi 95/46 artikli 28 lõikes 4 on omakorda ette nähtud, et järelevalveasutusele võib direktiivi artikli 2 punkti a tähenduses andmesubjekti esindav ühing esitada avalduse andmesubjekti õiguste ja vabaduste kaitse kohta seoses isikuandmete töötlemisega.
47 Kõnealuse direktiivi ükski säte ei pane siiski liikmesriikidele kohustust näha oma riigisiseses õiguses ette – ega anna neile selleks ka sõnaselgelt volitusi – võimalust ühingul sellist isikut kohtus esindada või omal algatusel esitada hagi oletatava isikuandmete kaitset kahjustava isiku vastu.
48 Sellest ei järeldu siiski, et direktiiviga 95/46 on vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu.
49 Nimelt ELTL artikli 288 kolmanda lõigu kohaselt on liikmesriigid kohustatud direktiivi ülevõtmisel tagama selle täieliku mõju, kuid neil on samas ulatuslik kaalutlusruum direktiivi rakendamiseks võetavate meetmete ja vahendite valiku osas. See vabadus ei mõjuta iga adressaadiks oleva liikmesriigi kohustust võtta kõik vajalikud meetmed, et tagada direktiivi täielik mõju vastavalt sellega taotletavale eesmärgile (6. oktoobri 2010. aasta kohtuotsus Base jt, C‑389/08, EU:C:2010:584, punktid 24 ja 25, ning 22. veebruari 2018. aasta kohtuotsus Porras Guisado, C‑103/16, EU:C:2018:99, punkt 57).
50 Sellega seoses väärib meeldetuletamist, et üks direktiivi 95/46 aluseks olevatest eesmärkidest on isikuandmete töötlemisel kaitsta tõhusalt ja täielikult füüsiliste isikute põhiõigusi ja ‑vabadusi, sh õigust eraelule (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 53, ning 27. septembri 2017. aasta kohtuotsus Puškár, C‑73/16, EU:C:2017:725, punkt 38). Direktiivi põhjenduses 10 on täpsustatud, et selle valdkonna õigusaktide ühtlustamise tagajärjel ei tohi nendega pakutav kaitse väheneda, vaid vastupidi – liidus tagatava kaitse tase peab olema kõrge (6. novembri 2003. aasta kohtuotsus Lindqvist, C‑101/01, EU:C:2003:596, punkt 95; 16. detsembri 2008. aasta kohtuotsus Huber, C‑524/06, EU:C:2008:724, punkt 50, ning 24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ja C‑469/10, EU:C:2011:777, punkt 28).
51 See, kui liikmesriik näeb oma riigisisestes õigusnormides ette tarbijate huve kaitsva ühingu võimaluse esitada hagi oletatava isikuandmete kaitset kahjustava isiku vastu, ei saa aga kuidagi kahjustada direktiivi eesmärke, vaid aitab hoopis kaasa nende eesmärkide saavutamisele.
52 Fashion ID ja Facebook Ireland väidavad siiski, et kuna direktiiviga 95/46 ühtlustati riigisisesed andmekaitsesätted täielikult, on välistatud mis tahes selline kohtusse pöördumine, mida ei ole direktiivis sõnaselgelt ette nähtud. Direktiivi 95/46 artiklites 22, 23 ja 28 on aga ette nähtud ainult andmesubjektide ja andmekaitse järelevalveasutuste õigus kohtusse pöörduda.
53 Nende argumentidega ei saa siiski nõustuda.
54 Direktiiviga 95/46 on tõepoolest toimunud isikuandmete kaitset reguleerivate riigisiseste õigusaktide ühtlustamine, mis on põhimõtteliselt täielik (vt selle kohta 24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ja C‑469/10, EU:C:2011:777, punkt 29, ning 7. novembri 2013. aasta kohtuotsus IPI, C‑473/12, EU:C:2013:715, punkt 31).
55 Nii on Euroopa Kohus leidnud, et direktiivi artiklis 7 on ette nähtud ammendav ja piirav loetelu juhtudest, kui isikuandmete töötlemist võib pidada õiguspäraseks, ning et liikmesriigid ei või lisada sellele artiklile uusi isikuandmete töötlemist õigustavaid põhimõtteid ega kehtestada täiendavaid nõudeid, mis muudaksid selles artiklis ette nähtud kuuest kriteeriumist mõne ulatust (24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ja C‑469/10, EU:C:2011:777, punktid 30 ja 32, ning 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 57).
56 Euroopa Kohus täpsustas siiski ka, et direktiiv 95/46 sisaldab norme, mis on suhteliselt üldised, kuna direktiiv peab olema kohaldatav suure hulga väga erinevate olukordade suhtes. Neid norme iseloomustab teatav paindlikkus ning nendega on üksikasjade üle otsustamine või mitme võimaluse hulgast valiku tegemine paljudel juhtudel jäetud liikmesriikide hooleks, mistõttu on liikmesriikidel direktiivi ülevõtmisel mitmes aspektis tegutsemisruum (vt selle kohta 6. novembri 2003. aasta kohtuotsus Lindqvist, C‑101/01, EU:C:2003:596, punktid 83, 84 ja 97, ning 24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ja C‑469/10, EU:C:2011:777, punkt 35).
57 Nii on see direktiivi 95/46 artiklite 22–24 puhul, mis – nagu kohtujurist oma ettepaneku punktis 42 märkis – on sõnastatud üldiselt ja millega ei ole ammendavalt ühtlustatud riigisiseseid sätteid, mis reguleerivad õiguskaitsevahendeid, mida võib esitada oletatava isikuandmete kaitset kahjustava isiku vastu (vt analoogia alusel 26. oktoobri 2017. aasta kohtuotsus I, C‑195/16, EU:C:2017:815, punktid 57 ja 58).
58 Täpsemalt, kuigi direktiivi artikliga 22 on liikmesriikidele pandud kohustus näha ette kõigi isikute õigus kohtusse pöörduda, kui on rikutud õigusi, mis neile on antud asjaomase isikuandmete töötlemise suhtes kohaldatavate riigisiseste sätetega, ei sisalda see direktiiv siiski ühtegi sätet, mis reguleeriks konkreetselt tingimusi, mille korral võib kohtusse pöörduda (vt selle kohta 27. septembri 2017. aasta kohtuotsus Puškár, C‑73/16, EU:C:2017:725, punktid 54 ja 55).
59 Lisaks on direktiivi 95/46 artiklis 24 sätestatud, et liikmesriigid võtavad „sobivaid meetmeid“, et tagada direktiivi sätete täielik rakendamine, kuid selles ei ole niisuguseid meetmeid määratletud. See, et tarbijate huve kaitsvale ühingule on ette nähtud võimalus esitada hagi isiku vastu, kes oletatavalt kahjustab isikuandmete kaitset, võib olla kõnealuse sätte tähenduses sobiv meede, mis – nagu käesoleva kohtuotsuse punktis 51 märgitud – aitab kaasa direktiivi eesmärkide saavutamisele kooskõlas Euroopa Kohtu praktikaga (vt selle kohta 6. novembri 2003. aasta kohtuotsus Lindqvist, C‑101/01, EU:C:2003:596, punkt 97).
60 Pealegi, vastupidi Fashion ID väidetule ei kahjusta liikmesriigi poolt riigisisestes õigusnormides sellise võimaluse ettenägemine sõltumatust, mis peab järelevalveasutustel olema, kui nad täidavad direktiivi 95/46 artiklis 28 sätestatud nõuete kohaselt neile antud ülesandeid, kuna see võimalus ei kahjusta ei järelevalveasutuste otsustus- ega tegutsemisvabadust.
61 Lisaks, kuigi vastab tõele, et direktiiv 95/46 ei ole direktiivi 2009/22 I lisas loetletud õigusaktide hulgas, ilmneb viimati nimetatud direktiivi artiklist 7 siiski, et kõnealuse direktiiviga ei ole selles suhtes läbi viidud ammendavat ühtlustamist.
62 Lõpuks tuleb märkida, et asjaolu, et määruse 2016/679, millega tunnistati kehtetuks ja asendati direktiiv 95/46 ning mis on kohaldatav alates 25. maist 2018, artikli 80 lõikega 2 on sõnaselgelt lubatud liikmesriikidel võimaldada tarbijate huve kaitsvatel ühingutel pöörduda kohtusse oletatava isikuandmete kaitset kahjustava isiku vastu, ei tähenda, et liikmesriigid ei võinud neile seda õigust anda direktiivi 95/46 kehtivusajal, vaid kinnitab hoopis, et direktiivi tõlgendus, millest käesolevas kohtuotsuses lähtutakse, kajastab liidu seadusandja tahet.
63 Kõiki eespool toodud kaalutlusi silmas pidades tuleb esimesele küsimusele vastata, et direktiivi 95/46 artikleid 22–24 tuleb tõlgendada nii, et nendega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse isiku vastu, kes oletatavalt kahjustab isikuandmete kaitset.
Teine küsimus
64 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas sellist veebisaidi haldajat nagu Fashion ID, kes lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, võib pidada direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks töötlejaks, kuigi haldaja ei saa pakkujale edastatud andmete töötlemist mõjutada.
65 Sellega seoses väärib meeldetuletamist, et lähtuvalt direktiiviga 95/46 taotletavast eesmärgist tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja ‑vabaduste, sh eraelu puutumatuse kõrgetasemeline kaitse on direktiivi artikli 2 punktis d mõiste „vastutav töötleja“ määratletud laialt kui füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid (vt selle kohta 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punktid 26 ja 27).
66 Nimelt, nagu Euroopa Kohus on juba leidnud, on selle sätte eesmärk tagada mõiste „vastutav töötleja“ laia määratluse kaudu andmesubjektide tõhus ja täielik kaitse (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 34, ning 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 28).
67 Lisaks, kuna direktiivi 95/46 artikli 2 punktis d sõnaselgelt ettenähtu kohaselt on „vastutava töötleja“ all silmas peetud üksust, kes „üksi või koos teistega“ määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid, ei viita see mõiste tingimata üheleainsale üksusele ja võib hõlmata mitut töötlemises osalejat, kellest igaühe suhtes on seega kohaldatavad andmekaitse valdkonna õigusnormid (vt selle kohta 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 29, ja 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 65).
68 Euroopa Kohus asus ka seisukohale, et füüsilist või juriidilist isikut, kes temale omasel eesmärgil mõjutab isikuandmete töötlemist ja osaleb seetõttu töötlemise eesmärkide ja vahendite kindlaksmääramisel, võib pidada direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks töötlejaks (10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 68).
69 Mitme isiku kaasvastutus sama töötlemise eest ei eelda selle sätte kohaselt pealegi, et igaühel neist oleks juurdepääs asjaomastele isikuandmetele (vt selle kohta 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 38, ja 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 69).
70 Samas, kuna direktiivi 95/46 artikli 2 punkti d eesmärk on tagada mõiste „vastutav töötleja“ laia määratluse kaudu andmesubjektide tõhus ja täielik kaitse, ei tähenda kaasvastutuse olemasolu tingimata, et erinevad isikud vastutavad sama isikuandmete töötlemise eest võrdselt. Need isikud võivad olla isikuandmete töötlemisse kaasatud hoopis eri etappides ja erineval määral, mistõttu tuleb neist igaühe vastutuse taset hinnata juhtumi kõiki tähtsust omavaid asjaolusid arvesse võttes (vt selle kohta 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 66).
71 Selle kohta tuleb esiteks märkida, et direktiivi 95/46 artikli 2 punktis b on „isikuandmete töötlemine“ määratletud kui „iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine“.
72 Sellest määratlusest nähtub, et isikuandmete töötlemine võib koosneda ühest või mitmest toimingust, millest igaüks puudutab ühte nendest eri etappidest, mida isikuandmete töötlemine võib hõlmata.
73 Teiseks tuleneb mõiste „vastutav töötleja“ määratlusest, mis sisaldub direktiivi 95/46 artikli 2 punktis d ja mida on meelde tuletatud käesoleva kohtuotsuse punktis 65, et kui mitu isikut koos määravad kindlaks isikuandmete töötlemise eesmärgid ja vahendid, osalevad nad selles töötlemises vastutava töötlejana.
74 Nagu kohtujurist oma ettepaneku punktis 101 sisuliselt märkis, järeldub sellest, et füüsiline või juriidiline isik saab direktiivi 95/46 artikli 2 punkti d tähenduses koos teistega vastutada üksnes isikuandmete töötlemise toimingute eest, mille eesmärgid ja vahendid ta koos teistega kindlaks määrab. Seevastu – ja ilma et see välistaks tsiviilvastutust, mis sellega seoses võib olla riigisiseses õiguses ette nähtud – ei saa seda füüsilist või juriidilist isikut pidada nimetatud sätte tähenduses vastutavaks töötlemisahela eelnevate ega järgnevate etappide eest, mille eesmärke ega vahendeid ta kindlaks ei määra.
75 Kui eelotsusetaotluse esitanud kohtu teostatava kontrolli tulemusel ei ilmne vastupidist, nähtub käesolevas asjas Euroopa Kohtu käsutuses olevast toimikust, et Facebooki „meeldib“-nuppu oma veebisaidile lisades näib Fashion ID olevat pakkunud Facebook Irelandile võimaluse saada Fashion ID veebisaidi külastajate isikuandmeid, kusjuures selline võimalus avaneb selle saidi külastamise hetkel ja seda sõltumata asjaolust, kas külastaja on sotsiaalvõrgustiku Facebook liige või kas ta on Facebooki „meeldib“-nupule klõpsanud või kas ta on sellisest toimingust teadlik.
76 Neid andmeid arvestades tuleb tõdeda, et isikuandmete töötlemise toimingud, mille eesmärgid ja vahendid Fashion ID võib koos Facebook Irelandiga kindlaks määrata, on lähtuvalt mõiste „isikuandmete töötlemine“ määratlusest, mis sisaldub direktiivi 95/46 artikli 2 punktis b, tema veebisaidi külastajate isikuandmete kogumine ja üleandmine. Seevastu näib nende andmete põhjal esmapilgul välistatud, et Fashion ID määrab kindlaks eesmärgid ja vahendid, mis on isikuandmete töötlemise hilisematel toimingutel, mida teeb Facebook Ireland pärast andmete talle edastamist, mistõttu ei saa Fashion IDd pidada artikli 2 punkti d tähenduses nende toimingute eest vastutavaks.
77 Mis puudutab Fashion ID veebisaidi külastajate teatud isikuandmete kogumiseks ja üleandmiseks kasutatavaid vahendeid, siis nähtub käesoleva kohtuotsuse punktist 75, et Fashion ID lisas Facebooki „meeldib“-nupu, mille Facebook Ireland on veebisaitide haldajatele kättesaadavaks teinud, oma veebisaidile täiesti teadlikuna sellest, et kõnealust nuppu kasutatakse veebisaidi külastajate isikuandmete kogumiseks ja edastamiseks, olenemata sellest, kas külastajad on sotsiaalvõrgustiku Facebook liikmed või mitte.
78 Niisugust sotsiaalmoodulit oma veebisaidile lisades mõjutab Fashion ID pealegi otsustavalt veebisaidi külastajate isikuandmete kogumist ja edastamist mooduli pakkuja ehk käesoleval juhul Facebook Irelandi heaks, mida mooduli lisamata jätmise korral ei toimuks.
79 Neil asjaoludel, ja kui eelotsusetaotluse esitanud kohtu teostatava kontrolli tulemusel ei ilmne vastupidist, tuleb asuda seisukohale, et Facebook Ireland ja Fashion ID määravad Fashion ID veebisaidi külastajate isikuandmete kogumise ja üleandmise toimingute aluseks olevad vahendid kindlaks koos.
80 Mis puudutab isikuandmete töötlemise toimingute eesmärke, siis näib, et Fashion ID poolt Facebooki „meeldib“-nupu lisamine oma veebisaidile võimaldab tal optimeerida oma kauba reklaami, muutes kauba sotsiaalvõrgustikus Facebook nähtavamaks, kui tema veebisaidi külastaja klõpsab nimetatud nupule. Selleks et tal oleks võimalik kasutada niisugust kaubanduslikku eelist, mis seisneb kauba ulatuslikumas reklaamimises, näib Fashion ID vastavat nuppu oma veebisaidile lisades olevat vähemalt vaikimisi nõustunud tema veebisaidi külastajate isikuandmete kogumise ja üleandmisega, kusjuures selliseid töötlemistoiminguid tehakse nii Fashion ID kui ka Facebook Irelandi majanduslikes huvides, kuivõrd Facebook Irelandi jaoks kujutab asjaolu, et tal on võimalik need andmed saada omaenda kaubanduslike eesmärkide jaoks, endast vastutasu Fashion ID‑le pakutava eelise eest.
81 Neil asjaoludel, ja kui eelotsusetaotluse esitanud kohtu teostatava kontrolli tulemusel ei ilmne vastupidist, võib asuda seisukohale, et Fashion ID ja Facebook Ireland määravad põhikohtuasjas kõne all olevate isikuandmete kogumise ja üleandmise toimingute eesmärgid kindlaks koos.
82 Pealegi, nagu nähtub käesoleva kohtuotsuse punktis 69 viidatud kohtupraktikast, ei välista asjaolu, et niisugusel veebisaidi haldajal endal – nagu Fashion ID – puudub juurdepääs isikuandmetele, mis on kogutud ja edastatud sotsiaalmooduli pakkujale, kellega koos ta määrab kindlaks isikuandmete töötlemise vahendid ja eesmärgid, et teda võiks pidada vastutavaks töötlejaks direktiivi 95/46 artikli 2 punkti d tähenduses.
83 Lisaks tuleb rõhutada, et sellist veebisaiti nagu Fashion ID oma külastavad nii isikud, kes on sotsiaalvõrgustiku Facebook liikmed ja kellel on seega kõnealuses sotsiaalvõrgustikus konto, kui ka isikud, kellel sellist kontot ei ole. Viimati nimetatud juhul on sellise veebisaidi haldaja nagu Fashion ID vastutus seoses nende isikute isikuandmete töötlemisega veelgi olulisem, kuna ainuüksi Facebooki „meeldib“-nuppu sisaldava veebisaidi külastamine käivitab nende isikuandmete töötlemise Facebook Irelandi poolt (vt selle kohta 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 41).
84 Järelikult ilmneb, et Fashion IDd võib pidada koos Facebook Irelandiga direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks tema veebisaidi külastajate isikuandmete kogumise ja üleandmise toimingute eest.
85 Kõiki eespool toodud kaalutlusi silmas pidades tuleb teisele küsimusele vastata, et sellist veebisaidi haldajat nagu Fashion ID, kes lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, võib pidada direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks töötlejaks. See vastutus piirdub siiski isikuandmete töötlemise toiminguga või toimingute kogumiga, mille eesmärgid ja vahendid ta reaalselt kindlaks määrab, ehk asjaomaste andmete kogumise ja üleandmisega.
Kolmas küsimus
86 Arvestades teisele küsimusele antud vastust, ei ole kolmandale küsimusele vaja vastata.
Neljas küsimus
87 Neljanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas sellises olukorras, mis on kõne all põhikohtuasjas ja milles veebisaidi haldaja lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, tuleb direktiivi 95/46 artikli 7 punkti f kohaldamisel arvesse võtta haldaja õigustatud huvi või nimetatud pakkuja õigustatud huvi.
88 Kõigepealt tuleb märkida, et komisjoni hinnangul ei ole see küsimus põhikohtuasja lahendamiseks asjakohane, kuna direktiivi 2002/58 artikli 5 lõike 3 kohaselt nõutavat andmesubjektide nõusolekut ei ole saadud.
89 Sellega seoses tuleb tõdeda, et viimati nimetatud direktiivi artikli 5 lõikes 3 on ette nähtud, et liikmesriigid tagavad, et abonendi või kasutaja lõppseadmesse teabe salvestamine või juurdepääsu saamine juba salvestatud teabele on lubatud ainult tingimusel, et abonent või kasutaja on andnud oma nõusoleku pärast seda, kui ta on direktiivi 95/46 kohaselt saanud selge ja arusaadava teabe muu hulgas andmete töötlemise eesmärgi kohta.
90 Eelotsusetaotluse esitanud kohtu ülesanne on kontrollida, kas niisuguses olukorras nagu põhikohtuasjas saab selline sotsiaalmooduli pakkuja nagu Facebook Ireland direktiivi 2002/58 artikli 5 lõike 3 tähenduses juurdepääsu selle saidi haldaja veebisaidi külastaja lõppseadmesse salvestatud teabele, nagu väidab komisjon.
91 Neil asjaoludel, ja kuna eelotsusetaotluse esitanud kohus näib olevat seisukohal, et käesoleval juhul on Facebook Irelandile edastatud andmed direktiivi 95/46 tähenduses isikuandmed, mis pealegi ei piirdu tingimata lõppseadmesse salvestatud teabega – mida see kohus peab kinnitama –, ei võimalda komisjoni kaalutlused seada kahtluse alla, kas põhikohtuasja lahendamiseks on asjakohane neljas eelotsuse küsimus, mis puudutab põhikohtuasjas kõne all oleva andmetöötluse võimalikku õiguspärasust, nagu märkis ka kohtujurist oma ettepaneku punktis 115.
92 Seetõttu tuleb analüüsida, millist õigustatud huvi tuleb arvesse võtta direktiivi artikli 7 punkti f kohaldamisel nende andmete töötlemisele.
93 Sellega seoses tuleb kõigepealt märkida, et vastavalt direktiivi 95/46 II peatüki „Üldised eeskirjad isikuandmete töötlemise seaduslikkuse kohta“ sätetele tuleb juhul, kui direktiivi artikli 13 kohaselt lubatavatest eranditest ei tulene vastupidist, igasugusel isikuandmete töötlemisel järgida mõnda selle direktiivi artiklis 7 loetletud põhimõtetest, mis puudutavad andmetöötluse põhjendatust (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 71, ning 1. oktoobri 2015. aasta kohtuotsus Bara jt, C‑201/14, EU:C:2015:638, punkt 30).
94 Vastavalt direktiivi 95/46 artikli 7 punktile f, mille tõlgendamist eelotsusetaotluse esitanud kohus taotleb, on isikuandmete töötlemine õiguspärane, kui see on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles andmesubjekti huvid või põhiõigused ja ‑vabadused, mida kaitstakse direktiivi 95/46 artikli 1 lõike 1 kohaselt.
95 Artikli 7 punktis f on seega ette nähtud kolm kumulatiivset tingimust, mille täitmisel on isikuandmete töötlemine õiguspärane, st esiteks kui vastutaval töötlejal või andmeid saaval kolmandal isikul on õigustatud huvi, teiseks kui isikuandmete töötlemine on vajalik õigustatud huvi teostamiseks ja kolmandaks tingimusel, et selliseid huve ei kaalu üles kaitstava andmesubjekti põhiõigused ja ‑vabadused (4. mai 2017. aasta kohtuotsus Rīgas satiksme, C‑13/16, EU:C:2017:336, punkt 28).
96 Kuna arvestades teisele küsimusele antud vastust, ilmneb, et sellises olukorras, nagu on kõne all põhikohtuasjas, võib veebisaidi haldajat, kes lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, pidada koos selle pakkujaga vastutavaks tema veebisaidi külastajate isikuandmete töötlemise toimingute eest, milleks on andmete kogumine ja üleandmine, siis on vaja, et kumbki vastutav isik teeniks töötlemistoimingutega direktiivi 95/46 artikli 7 punkti f tähenduses õigustatud huvi, selleks et need toimingud oleksid tema puhul põhjendatud.
97 Eespool toodud kaalutlusi silmas pidades tuleb neljandale küsimusele vastata, et sellises olukorras, mis on kõne all põhikohtuasjas ja milles veebisaidi haldaja lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, on vaja, et haldajal ja kõnealusel pakkujal oleks mõlemal töötlemistoimingute tegemise vastu direktiivi 95/46 artikli 7 punkti f tähenduses õigustatud huvi, selleks et need toimingud oleksid selle puhul põhjendatud.
Viies ja kuues küsimus
98 Viienda ja kuuenda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus esiteks sisuliselt selgitada, kas direktiivi 95/46 artikli 2 punkti h ja artikli 7 punkti a tuleb tõlgendada nii, et sellises olukorras, mis on kõne all põhikohtuasjas ja milles veebisaidi haldaja lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, peab nendes sätetes nimetatud nõusoleku saama haldaja või pakkuja, ja teiseks, kas direktiivi artiklit 10 tuleb tõlgendada nii, et niisuguses olukorras lasub selles sättes ette nähtud teavitamiskohustus haldajal.
99 Nagu nähtub teisele küsimusele antud vastusest, võib veebisaidi haldajat, kes lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, pidada direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks töötlejaks, kusjuures see vastutus piirdub siiski isikuandmete töötlemise toiminguga või toimingute kogumiga, mille eesmärgid ja vahendid ta reaalselt kindlaks määrab.
100 Seega ilmneb, et kohustused, mis võivad vastutaval töötlejal direktiivi 95/46 kohaselt lasuda – nagu direktiivi artikli 2 punktis h ja artikli 7 punktis a nimetatud kohustus saada andmesubjekti nõusolek ning artiklis 10 ette nähtud teavitamiskohustus –, peavad puudutama isikuandmete töötlemise toimingut või toimingute kogumit, mille eesmärgid ja vahendid ta reaalselt kindlaks määrab.
101 Kui käesoleval juhul võib veebisaidi haldajat, kes lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, pidada koos pakkujaga vastutavaks külastaja isikuandmete kogumise ja üleandmise toimingute eest, puudutavad tema kohustus saada andmesubjekti nõusolek, millele on viidatud direktiivi 95/46 artikli 2 punktis h ja artikli 7 punktis a, ning direktiivi artiklis 10 ette nähtud teavitamiskohustus ainult neid toiminguid. Seevastu ei laiene need kohustused isikuandmete töötlemise toimingutele, mis on seotud nendest toimingutest varasemate või hilisemate etappidega, mis kõnealuse isikuandmete töötlemisega võivad kaasneda.
102 Mis puudutab direktiivi 95/46 artikli 2 punktis h ja artikli 7 punktis a nimetatud nõusolekut, siis ilmneb, et see peab olema antud enne andmesubjekti andmete kogumist ja üleandmist. Neil asjaoludel on kohustatud selle nõusoleku saama veebisaidi haldaja, mitte sotsiaalmooduli pakkuja, kuna isikuandmete töötlemise protsessi käivitab just veebisaidi külastamine külastaja poolt. Nagu kohtujurist oma ettepaneku punktis 132 märkis, ei oleks see nimelt andmesubjekti õiguste tõhusa ja õigeaegse kaitsmisega kooskõlas, kui nõusolek antaks üksnes hilisema töötlemise eest kaasvastutajale, st mooduli pakkujale. Nõusolek, mis tuleb anda haldajale, puudutab siiski ainult isikuandmete töötlemise toimingut või toimingute kogumit, mille eesmärgid ja vahendid haldaja reaalselt kindlaks määrab.
103 Sama kehtib direktiivi 95/46 artiklis 10 ette nähtud teavitamiskohustuse suhtes.
104 Sellega seoses nähtub kõnealuse sätte sõnastusest, et vastutav töötleja või tema esindaja peab isikule, kelle andmeid ta kogub, andma vähemalt selles sättes nimetatud teabe. Seega ilmneb, et vastutav töötleja peab niisuguse teabe andma kohe, st andmete kogumise ajal (vt selle kohta 7. mai 2009. aasta kohtuotsus Rijkeboer, C‑553/07, EU:C:2009:293, punkt 68, ja 7. novembri 2013. aasta kohtuotsus IPI, C‑473/12, EU:C:2013:715, punkt 23).
105 Sellest järeldub, et niisuguses olukorras nagu põhikohtuasjas lasub direktiivi 95/46 artiklis 10 ette nähtud teavitamiskohustus samuti veebisaidi haldajal, kuid teave, mida ta peab andmesubjektile andma, peab siiski üksnes puudutama seda isikuandmete töötlemise toimingut või toimingute kogumit, mille eesmärgid ja vahendid haldaja reaalselt kindlaks määrab.
106 Eespool toodud kaalutlusi silmas pidades tuleb viiendale ja kuuendale küsimusele vastata, et direktiivi 95/46 artikli 2 punkti h ja artikli 7 punkti a tuleb tõlgendada nii, et sellises olukorras, mis on kõne all põhikohtuasjas ja milles veebisaidi haldaja lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, peab haldaja nendes sätetes nimetatud nõusoleku saama üksnes seoses isikuandmete töötlemise toimingu või toimingute kogumiga, mille eesmärgid ja vahendid haldaja kindlaks määrab. Lisaks tuleb direktiivi artiklit 10 tõlgendada nii, et sellises olukorras lasub kõnealuses sättes ette nähtud teavitamiskohustus samuti haldajal, kuid teave, mida ta peab andmesubjektile andma, peab siiski üksnes puudutama seda isikuandmete töötlemise toimingut või toimingute kogumit, mille eesmärgid ja vahendid ta kindlaks määrab.
Kohtukulud
107 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (teine koda) otsustab:
1. Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikleid 22–24 tuleb tõlgendada nii, et nendega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsvatel ühingutel pöörduda kohtusse isiku vastu, kes oletatavalt kahjustab isikuandmete kaitset.
2. Sellist veebisaidi haldajat nagu Fashion ID GmbH & Co. KG, kes lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, võib pidada direktiivi 95/46 artikli 2 punkti d tähenduses vastutavaks töötlejaks. See vastutus piirdub siiski isikuandmete töötlemise toiminguga või toimingute kogumiga, mille eesmärgid ja vahendid ta reaalselt kindlaks määrab, ehk asjaomaste andmete kogumise ja üleandmisega.
3. Sellises olukorras, mis on kõne all põhikohtuasjas ja milles veebisaidi haldaja lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, on vaja, et haldajal ja kõnealusel pakkujal oleks mõlemal töötlemistoimingute tegemise vastu direktiivi 95/46 artikli 7 punkti f tähenduses õigustatud huvi, selleks et need toimingud oleksid selle puhul põhjendatud.
4. Direktiivi 95/46 artikli 2 punkti h ja artikli 7 punkti a tuleb tõlgendada nii, et sellises olukorras, mis on kõne all põhikohtuasjas ja milles veebisaidi haldaja lisab oma veebisaidile sotsiaalmooduli, mis võimaldab saidi külastaja veebilehitsejal pöörduda mooduli pakkuja pakutava sisu poole ja edastada selleks pakkujale külastaja isikuandmeid, peab haldaja nendes sätetes nimetatud nõusoleku saama üksnes seoses isikuandmete töötlemise toimingu või toimingute kogumiga, mille eesmärgid ja vahendid haldaja kindlaks määrab. Lisaks tuleb direktiivi artiklit 10 tõlgendada nii, et sellises olukorras lasub kõnealuses sättes ette nähtud teavitamiskohustus samuti haldajal, kuid teave, mida ta peab andmesubjektile andma, peab siiski üksnes puudutama seda isikuandmete töötlemise toimingut või toimingute kogumit, mille eesmärgid ja vahendid ta kindlaks määrab.
Allkirjad