EUROOPA KOHTU OTSUS (suurkoda)
16. jaanuar 2024(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – ELTL artikkel 16 – Määrus (EL) 2016/679 – Artikli 2 lõike 2 punkt a – Kohaldamisala – Erandid – Tegevus, mis jääb väljapoole Euroopa Liidu õiguse kohaldamisala – ELL artikli 4 lõige 2 – Riigi julgeolekut puudutav tegevus – Liikmesriigi parlamendi moodustatud uurimiskomisjon – Määruse (EL) 2016/679 artikli 23 lõike 1 punktid a ja h, artiklid 51 ja 55 – Andmekaitse järelevalveasutuse pädevus – Artikkel 77 – Õigus esitada järelevalveasutusele kaebus – Vahetu õigusmõju
Kohtuasjas C‑33/22,
mille ese on ELTL artikli 267 alusel Verwaltungsgerichtshofi (Austria kõrgeim halduskohus) 14. detsembri 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 14. jaanuaril 2022, menetluses
Österreichische Datenschutzbehörde
versus
WK,
menetluses osales:
Präsident des Nationalrates,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident L. Bay Larsen, kodade presidendid K. Jürimäe, C. Lycourgos, E. Regan ja N. Piçarra, kohtunikud M. Ilešič, P. G. Xuereb, L. S. Rossi (ettekandja), I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele ja J. Passer,
kohtujurist: M. Szpunar,
kohtusekretär: osakonna juhataja D. Dittert,
arvestades kirjalikku menetlust ja 6. märtsi 2023. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Österreichische Datenschutzbehörde, esindajad: A. Jelinek ja M. Schmidl,
– WK, esindaja: Rechtsanwalt M. Sommer,
– Präsident des Nationalrates, esindajad: C. Neugebauer ja R. Posnik,
– Austria valitsus, esindajad: A. Posch, J. Schmoll, S. Dörnhöfer ja C. Leeb,
– Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,
– Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,
olles 11. mai 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb ELTL artikli 16 lõike 2 esimese lause ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 lõike 2 punkti a, artikli 51 lõike 1, artikli 55 lõike 1 ja artikli 77 lõike 1 tõlgendamist.
2 Taotlus on esitatud Österreichische Datenschutzbehörde (Austria andmekaitseasutus; edaspidi „Datenschutzbehörde“) ja WK vahelises kohtuvaidluses, mille ese WK õiguse isikuandmete kaitsele väidetava rikkumise tõttu tema poolt esitatud kaebuse läbi vaatamata jätmine.
Õiguslik raamistik
Liidu õigus
3 Isikuandmete kaitse üldmääruse põhjendused 16, 20 ja 117 on sõnastatud järgmiselt:
„(16) Käesolevas määruses ei käsitleta põhiõiguste ja ‑vabaduste kaitse küsimusi ega andmete vaba liikumist, mis on seotud väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega, ega isikuandmete töötlemist liikmesriikide poolt liidu ühise välis- ja julgeolekupoliitikaga seonduva tegevuse läbiviimisel.
[…]
(20) Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja -menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt. Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsuse tegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni. Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.
[…]
(117) Liikmesriikides selliste järelevalveasutuste loomine, kes on volitatud täiesti sõltumatult oma ülesandeid täitma ja volitusi kasutama, on oluline tegur füüsiliste isikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriikidel peaks olema võimalik [luua] rohkem kui ühe järelevalveasutuse oma põhiseaduse, organisatsioonilise ja haldusstruktuuri kohaselt.“
4 Isikuandmete kaitse üldmääruse artiklis 2 „Sisuline kohaldamisala“ on sätestatud:
„1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
2. Käesolevat määrust ei kohaldata, kui
a) isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;
b) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;
[…]
d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.
3. Liidu institutsioonide, organite ja asutuste poolt isikuandmete töötlemise suhtes kohaldatakse [Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta] määrust (EÜ) nr 45/2001 [üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT 2001, L 8, lk 1; ELT eriväljaanne 13/26, lk 102)]. Määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemisele kohaldatavaid liidu õigusakte tuleb kooskõlas artikliga 98 kohandada vastavalt käesoleva määruse põhimõtetele ja normidele.
[…]“.
5 Isikuandmete kaitse üldmääruse artikkel 4 „Mõisted“ on sõnastatud järgmiselt:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
[…]
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;
[…]“.
6 Isikuandmete kaitse üldmääruse artikli 23 „Piirangud“ lõikes 1 on sätestatud:
„Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja ‑vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada
a) riigi julgeolek;
b) riigikaitse;
c) avalik julgeolek;
d) süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;
e) liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;
f) kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;
[…]
h) jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a–e ja g osutatud juhtudel;
i) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;
[…]“.
7 Isikuandmete kaitse üldmääruse artikli 51 „Järelevalveasutus“ lõikes 1 on sätestatud:
„Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).“
8 Isikuandmete kaitse üldmääruse artikli 54 „Järelevalveasutuse asutamise eeskirjad“ lõikes 1 on sätestatud:
„Liikmesriik sätestab õigusega:
a) järelevalveasutuse asutamise;
[…]“.
9 Isikuandmete kaitse üldmääruse artikkel 55 „Pädevus“ on sõnastatud järgmiselt:
„1. Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.
2. Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punktide c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.
3. Järelevalveasutused ei ole pädevad korraldama järelevalvet isikuandmete töötlemise toimingute üle, mida kohtud teevad oma õigust mõistvat funktsiooni täites.“
10 Isikuandmete kaitse üldmääruse artiklis 77 „Õigus esitada järelevalveasutusele kaebus“ on ette nähtud:
„1. Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.
2. Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.“
Austria õigus
11 2. jaanuari 1930. aasta põhiseaduse (Bundes-Verfassungsgesetz) (BGBl. 1/1930) põhikohtuasja asjaoludele kohaldatavas redaktsioonis (edaspidi „B-VG“) on §‑s 53 ette nähtud:
„(1) Nationalrat [(Austria parlamendi alamkoda)] võib otsustada moodustada uurimiskomisjone. Uurimiskomisjon moodustatakse ka Nationalrati veerandi liikmete taotlusel.
(2) Uurimine puudutab tegevust, mis on toimunud föderaaltasandi täidesaatva võimu vastutusalas. Siia alla kuulub föderaalorganite tegevus, mille kaudu kasutab Bund – olenemata oma osalemise ulatusest – osalemis- ja järelevalveõigusi. Kohtupraktika uuesti läbivaatamine on välistatud.
(3) Bundi, liidumaade, kohalike omavalitsuste üksuste ja nende liitude kõik organid ning muud sõltumatud organid peavad nõudmisel esitama uurimiskomisjonile oma toimikud ja dokumendid, kui need kuuluvad uurimise eseme hulka, ning on kohustatud vastama uurimiskomisjoni päringutele, mille eesmärk on koguda tõendeid seoses uurimise esemega. See kohustus ei laiene niisuguste toimikute ja dokumentide esitamisele, mille avalikustamine võib kahjustada allikaid § 52a lõike 2 tähenduses.
(4) Lõikes 3 ette nähtud kohustus puudub, kui selle täitmisel kahjustataks föderaalvalitsuse või osa selle liikmete õiguspärast tahte kujunemist või selle vahetut ettevalmistamist.
[…]“.
12 B-VG näeb ette seadusandliku, täidesaatva ja kohtuvõimu lahususe. Võimude lahususe põhimõtte riive õiguslik alus võib olla ainult konstitutsiooniline.
13 17. augusti 1999. aasta andmekaitseseaduse (Datenschutzgesetz) (BGBl. I, 165/1999) põhikohtuasja asjaoludele kohaldatava redaktsiooni (edaspidi „DSG“) § 1 lõikes 1 on sätestatud:
„Igaühel on õigus, eriti arvestades tema era- ja perekonnaelu puutumatust, teda puudutavate isikuandmete salajas hoidmisele, kui tal on selleks kaitsmist vääriv huvi. Selline huvi puudub juhul, kui puudub õigus andmete konfidentsiaalsusele seetõttu, et andmed on üldiselt kättesaadavad või isik ei ole nende alusel tuvastatav.“
14 DSG § 18 lõikes 1 on ette nähtud:
„Datenschutzbehörde asutatakse isikuandmete kaitse üldmääruse artikli 51 alusel liikmesriigi järelevalveasutusena.“
15 DSG § 24 lõige 1 on sõnastatud järgmiselt:
„Igal andmesubjektil on õigus esitada Datenschutzbehördele kaebus, kui ta leiab, et teda puudutavate isikuandmete töötlemisel on rikutud [isikuandmete kaitse üldmäärust] või § 1 või § 2 esimest põhiosa.“
16 DSG §‑s 35 on sätestatud:
„1) Datenschutzbehörde ülesanne on tagada andmekaitse kooskõlas isikuandmete kaitse üldmääruse ja käesoleva föderaalseadusega.
2) Datenschutzbehörde teostab oma pädevust ka B-VG §-s 19 nimetatud täidesaatva võimu kõrgemate organite suhtes ja kõrgemate organite suhtes vastavalt B‑VG § 30 lõigetele 3–6, §‑le 125, § 134 lõikele 8 ning § 148h lõigetele 1 ja 2, kui tegemist on nende pädevusalasse kuuluvate haldusküsimustega.“
Põhikohtuasi ja eelotsuse küsimused
17 20. aprilli 2018. aasta otsusega moodustas parlamendi alamkoda B-VG § 53 alusel uurimiskomisjoni, mis pidi välja selgitama, kas Bundesamt für Verfassungsschutz und Terrorismusbekämpfungile (sisejulgeoleku ja terrorismivastase võitluse föderaalamet, Austria; edaspidi „BVT“), mille ülesandeid hakkas alates 1. detsembrist 2021 täitma Direktion Staatsschutz und Nachrichtendienst (riigi julgeoleku- ja teabeteenistuse direktoraat, Austria), avaldatakse poliitilist mõju.
18 Uurimiskomisjon (edaspidi „BVT uurimiskomisjon“) küsitles WKd 19. septembril 2018 tunnistajana ärakuulamisel, millel oli lubatud osaleda meedia esindajatel. Hoolimata sellest, et WK oli esitanud taotluse küsitluse protokoll anonüümseks muuta, avaldati see koos WK täieliku ees‑ ja perekonnanimega Parlament Österreichi (Austria parlament) veebisaidil.
19 2. aprillil 2019 esitas WK Datenschutzbehördele kaebuse, milles ta väitis, et tema tahte vastaselt küsitluse protokolli avaldamine nii, et sellel on esitatud tema isik, on vastuolus isikuandmete kaitse üldmääruse sätete ja DSG §‑ga 1. Oma kaebuse põhjenduses selgitas WK, et ta töötas tänavakuritegevusvastase võitlusega tegeleva politsei operatiivrühma salaagendina.
20 Datenschutzbehörde jättis 18. septembri 2019. aasta otsusega selle kaebuse rahuldamata. Ta leidis, et kuigi isikuandmete kaitse üldmäärus ei sea põhimõtteliselt takistusi sellele, et järelevalveasutused teostavad järelevalvet seadusandlike organite üle, välistab võimude lahususe põhimõte siiski seadusandliku võimu allumise täidesaatva võimu kontrollile. Seda arvestades ja kuna BVT uurimiskomisjon on osa seadusandlikust võimust, ei ole Datenschutzbehördel, kes on täidesaatva võimu organ, õigust kontrollida selle komisjoni tegevust ning tal puudub seega pädevus WK kaebust lahendada.
21 Bundesverwaltungsgericht (föderaalne halduskohus, Austria) rahuldas 23. novembri 2020. aasta otsusega WK kaebuse ja tühistas Datenschutzbehörde otsuse. Ta leidis sisuliselt, et isikuandmete kaitse üldmäärus on kohaldatav seadusandja ja seega BVT uurimiskomisjoni toimingutele. Isikuandmete kaitse üldmääruse esemeline kohaldamisala, nagu see on määratletud selle määruse artikli 2 lõikes 1, on nimelt esitatud ammendavalt ja see hõlmab igasugust andmetöötlust, sõltumata üksusest, kes andmeid töötleb ja funktsioonist, mis tal riigi süsteemis on. Lisaks ei saa isikuandmete kaitse üldmääruse artikli 2 lõikest 2 tuletada ka erandit, et seda määrust ei kohaldata riigi teatavate funktsioonide suhtes, nagu seadusandlik funktsioon, kuna selle sätte punktis a ette nähtud erandit tuleb tõlgendada kitsalt. Bundesverwaltungsgericht (föderaalne halduskohus) leidis seega, et Datenschutzbehörde oli määruse artikli 77 alusel pädev WK kaebust lahendama.
22 Datenschutzbehörde esitas Bundesverwaltungsgerichti (föderaalne halduskohus) kohtuotsuse peale kassatsioonkaebuse Verwaltungsgerichtshofile (Austria kõrgeim halduskohus), kes on käesolevas kohtuasjas eelotsusetaotluse esitanud kohus ja kellel on tekkinud esiteks küsimus, kas toimingud, mida teeb liikmesriigi parlamendi moodustatud uurimiskomisjon, ei kuulu olenemata uurimise esemest isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a alusel ja ELTL artikli 16 lõike 2 esimese lause alusel selle määruse reguleerimisalasse põhjusel, et sellise komisjoni töö on oma olemuselt tegevus, mis ei kuulu liidu õiguse kohaldamisalasse.
23 Selles kontekstis märgib eelotsusetaotluse esitanud kohus kõigepealt, et vastavalt Euroopa Kohtu selle valdkonna kohtupraktikale, mis tuleneb eelkõige 9. juuli 2020. aasta kohtuotsusest Land Hessen (C‑272/19, EU:C:2020:535), ei saa isikuandmete kaitse üldmääruse kohaldamiseks nõuda, et asjaomane isikuandmete töötlemine toimuks konkreetselt eesmärkidel, mis tulenevad liidu õigusest, et see oleks piiriülene või et see mõjutaks konkreetselt ja otseselt liikmesriikidevahelist vaba liikumist. Vastupidi, selle määruse kohaldamine on välistatud ainult siis, kui vähemalt üks selle määruse artikli 2 lõike 2 punktides a–d sätestatud erandi kohaldamise tingimustest on täidetud.
24 Selle kohta meenutab eelotsusetaotluse esitanud kohus, et Euroopa Kohtu praktika kohaselt tuleb isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a koostoimes põhjendusega 16 käsitada nii, et selle ainus eesmärk on välistada selle määruse kohaldamisalast isikuandmete töötlemine, mida riigiasutused teevad tegevuse raames, mille eesmärk on säilitada riigi julgeolek, või tegevuse raames, mille võib liigitada samasse kategooriasse. Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a viidatud tegevus, mille eesmärk on kaitsta riigi julgeolekut, hõlmab eeskätt tegevust, mille sisuks on kaitsta riigi põhifunktsioone ja ühiskonna põhihuve (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punktid 62–67 ja seal viidatud kohtupraktika).
25 Seejärel rõhutas eelotsusetaotluse esitanud kohus, et kohtuasjas, milles tehti 9. juuli 2020. aasta kohtuotsus Land Hessen (C‑272/19, EU:C:2020:535), kõne all olnud parlamendikomisjoni, st Land Hesseni (Hesseni liidumaa, Saksamaa) parlamendi petitsioonikomisjoni ja BVT uurimiskomisjoni vahel esinevad mõningad erinevused. Eelkõige ei aita viimase töö mitte ainult kaudselt kaasa parlamendi tegevusele, vaid on selle tegevuse keskmes kontrolliülesande tõttu, mille B-VG on andnud parlamendi alamkoja loodud uurimiskomisjonidele.
26 Lõpuks viitab eelotsusetaotluse esitanud kohus seadusandliku, täidesaatva ja kohtuvõimu lahususe põhimõttele, mis on nii iga liikmesriigi kui ka liidu õigusele omane põhimõte. On tõsi, et isikuandmete kaitse üldmääruse artikli 55 lõige 3 piirdub sellega, et välistab järelevalveasutuste pädevuse kontrollida isikuandmete töötlemist kohtute poolt õigusemõistmise käigus ega nimeta andmete töötlemist parlamendi põhitegevuse raames. See mainimata jätmine on siiski seletatav asjaoluga, et liidu seadusandja on viimati nimetatud tegevuse määruse kohaldamisalast välja jätnud juba määruse artikli 2 lõike 2 punkti a alusel.
27 Teiseks rõhutab eelotsusetaotluse esitanud kohus, et BVT uurimiskomisjon uurib riigi julgeolekut puudutavat tegevust, mis isikuandmete kaitse üldmääruse põhjendust 16 arvestades ei kuulu liidu õiguse kohaldamisalasse, jäädes seega vastavalt isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktile a selle määruse esemelisest kohaldamisalast välja.
28 Seega, kui oletada, et uurimiskomisjoni parlamentaarse kontrolli tegevus kuulub põhimõtteliselt liidu õiguse kohaldamisalasse ELTL artikli 16 lõike 2 tähenduses, tuleb ka kontrollida, kas tema tegevus kuulub vähemalt isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a ette nähtud erandi alla, võttes arvesse asjaolu, et uurimise ese on täidesaatva võimu tegevus, mis – nagu käesoleval juhul – ei kuulu liidu õiguse kohaldamisalasse.
29 Kolmandaks soovib eelotsusetaotluse esitanud kohus teada, kas võttes eelkõige arvesse põhiseadusest tulenevat võimude lahususe põhimõtet Austrias, on Datenschutzbehörde – kes on ainus liikmesriigi järelevalveasutus isikuandmete kaitse üldmääruse artikli 51 tähenduses – ainuüksi selle määruse alusel pädev lahendama sellist kaebust, nagu on esitanud WK, kui riigisiseses õiguses puudub igasugune konstitutsiooniline alus, mis võimaldaks sellist pädevust kindlaks teha.
30 Neil asjaoludel otsustas Verwaltungsgerichtshof (kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas toimingud, mida teeb uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel, kuuluvad olenemata uurimise esemest liidu õiguse reguleerimisalasse ELTL artikli 16 lõike 2 esimese lause tähenduses, millest tulenevalt on [isikuandmete kaitse üldmäärus] kohaldatav isikuandmete töötlemisele liikmesriigi parlamendi uurimiskomisjonis?
Juhul kui vastus esimesele küsimusele on jaatav:
2. Kas toimingud, mida teeb uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel ja kelle uurimise ese on riigi kaitsepolitseiameti tegevus, seega riigi julgeolekut puudutav tegevus isikuandmete kaitse üldmääruse põhjenduse 16 tähenduses, kuuluvad isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a sätestatud erandi alla?
Juhul kui vastus teisele küsimusele on eitav:
3. Kas juhul – nagu käesolevas asjas –, kui liikmesriik on moodustanud ainult ühe järelevalveasutuse vastavalt isikuandmete kaitse üldmääruse artikli 51 lõikele 1, tuleneb järelevalveasutuse pädevus vaadata läbi kaebusi isikuandmete kaitse üldmääruse artikli 77 lõike 1 tähenduses koostoimes artikli 55 lõikega 1 juba vahetult [isikuandmete kaitse üldmäärusest]?“
Eelotsuse küsimuste analüüs
Esimene küsimus
31 Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas ELTL artikli 16 lõike 2 esimest lauset ja isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tuleb tõlgendada nii, et tegevus jääb väljapoole liidu õiguse kohaldamisala ega kuulu seega selle määruse kohaldamisalasse ainuüksi sel põhjusel, et seda viib läbi uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel.
32 ELTL artikli 16 – mis on isikuandmete kaitse üldmääruse õiguslik alus – lõikes 2 on ette nähtud, et Euroopa Parlament ja Euroopa Liidu Nõukogu kehtestavad eeskirjad muu hulgas füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega liikmesriikides liidu õiguse reguleerimisalasse kuuluva tegevuse puhul.
33 Kooskõlas viidatud sättega määratleb isikuandmete kaitse üldmääruse artikli 2 lõige 1 määruse esemelise kohaldamisala väga laiana (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 61). Nimelt näeb see ette, et määrust „kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda“.
34 Lisaks on isikuandmete kaitse üldmääruse artikli 2 lõigetes 2 ja 3 ammendavalt ette nähtud erandid normist, mis määratleb selle määruse esemelise kohaldamisala lõikes 1. Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a kohaselt ei kohaldata seda määrust, kui isikuandmeid töödeldakse „muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus“.
35 Seda arvestades on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas isikuandmete töötlemine, mis toimub niisuguse uurimiskomisjoni tegevuse raames, mille liikmesriigi parlament on moodustanud täidesaatva võimu kontrollimise pädevuse teostamisel, kuulub igal juhul ja uurimise esemest sõltumata viimati nimetatud sättes ette nähtud erandi kohaldamisalasse.
36 Sellega seoses tuleb meenutada, et isikuandmete kaitse üldmäärust kohaldatakse nii eraõiguslike isikute kui ka avaliku võimu kandjate poolse töötlemise suhtes, kui selle määruse artikli 2 lõigetest 2 ja 3 ei tulene teisiti (vt selle kohta 24. märtsi 2022. aasta kohtuotsus Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punkt 25).
37 Euroopa Kohtu praktikast tuleneb, et isikuandmete kaitse üldmääruse artikli 2 lõikes 2 ette nähtud erandit tuleb tõlgendada kitsalt (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 62 ja seal viidatud kohtupraktika). Selle kohta on Euroopa Kohtul juba olnud võimalus täpsustada, et isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a koostoimes sama määruse põhjendusega 16 tuleb käsitada nii, et selle ainus eesmärk on välistada selle määruse kohaldamisalast isikuandmete töötlemine, mida riigiasutused teevad tegevuse raames, mille eesmärk on tagada riigi julgeolek, või tegevuse raames, mis võidakse liigitada samasse kategooriasse, mistõttu ei saa seda erandit teatud tegevusele automaatselt kohaldada ainuüksi seetõttu, et tegemist on riigi või riigiasutuse enda tegevusega (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 66, ja 20. oktoobri 2022. aasta kohtuotsus Koalitsia „Demokratichna Bulgaria – Obedinenie“, C‑306/21, EU:C:2022:813, punkt 39).
38 Seda tõlgendust, mis tuleneb juba asjaolust, et isikuandmete kaitse üldmääruse artikli 2 lõikes 1 ei tehta vahet asjaomase töötleja isiku alusel, kinnitab selle määruse artikli 4 punkt 7, milles on mõiste „vastutav töötleja“ määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid“.
39 Just viimati nimetatud sätet tõlgendades on Euroopa Kohus otsustanud, et kui liikmesriigi liidumaa parlamendi petitsioonikomisjon määrab üksi või koos teistega kindlaks töötlemise eesmärgid ja vahendid, tuleb ta kvalifitseerida „vastutavaks töötlejaks“ selle sätte tähenduses, mistõttu kuulub isikuandmete töötlemine sellise komisjoni poolt selle määruse kohaldamisalasse (9. juuli 2020. aasta kohtuotsus Land Hessen, C‑272/19, EU:C:2020:535, punkt 74).
40 Asjaolu, mida rõhutas Präsident des Nationalrates (Austria parlamendi alamkoja esimees), mille kohaselt on erinevalt kohtuasjast, milles tehti 9. juuli 2020. aasta kohtuotsus Land Hessen (C‑272/19, EU:C:2020:535), kus petitsioonikomisjon aitas vaid kaudselt kaasa parlamendi tegevusele, BVT uurimiskomisjon organ, mille tegevus on otseselt ja eranditult parlamentaarset laadi, ei tähenda, et viimati nimetatud komisjoni tegevus on isikuandmete kaitse üldmääruse kohaldamisalast välistatud.
41 Nagu nimelt märkis kohtujurist sisuliselt oma ettepaneku punktis 84, viitab selle määruse artikli 2 lõike 2 punktis a ette nähtud erand isikuandmete kaitse üldmääruse kohaldamisalast üksnes sellist liiki tegevusele, mis oma olemuselt ei kuulu liidu õiguse kohaldamisalasse, mitte aga teatud liiki isikutele olenevalt sellest, kas tegemist on era- või avalik-õiguslike isikutega, ega ka juhul, kui vastutav töötleja on avaliku sektori asutus, asjaolule, et selle asutuse ülesanded ja funktsioonid kuuluvad otseselt ja eranditult avaliku võimu eesõiguste hulka, ilma et see eesõigus oleks seotud tegevusega, mis ei kuulu igal juhul liidu õiguse kohaldamisalasse.
42 Järelikult ei saa ainuüksi asjaolu alusel, et isikuandmeid töötleb uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel, tuvastada, et isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tähenduses.
43 Eeltoodut arvestades tuleb esimesele küsimusele vastata, et ELTL artikli 16 lõike 2 esimest lauset ja isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tuleb tõlgendada nii, et tegevust ei saa pidada väljapoole liidu õiguse kohaldamisala jäävaks ega seega selle määruse kohaldamisalasse mittekuuluvaks ainuüksi sel põhjusel, et seda viib läbi uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel.
Teine küsimus
44 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tuleb arvestades selle määruse põhjendust 16 tõlgendada nii, et riigi julgeolekut puudutavaks tegevuseks, mis jääb väljapoole liidu õiguse kohaldamisala selle sätte tähenduses, ei saa pidada uurimiskomisjoni tegevust, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel ja mille eesmärk on uurida riigi kaitsepolitseiameti tegevust sellele ametile poliitilise mõju avaldamise kahtluse tõttu.
45 Nagu meenutatud käesoleva kohtuotsuse punktis 37, tuleb isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tõlgendada kitsalt ja nii, et selle ainus eesmärk on välistada nimetatud määruse kohaldamisalast isikuandmete töötlemine, mida riigiasutused teevad tegevuse raames, mille eesmärk on säilitada riigi julgeolek, või tegevuse raames, mille võib liigitada samasse kategooriasse.
46 Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a viidatud tegevus, mille eesmärk on kaitsta riigi julgeolekut, hõlmab eeskätt tegevust, mille sisuks on kaitsta riigi põhifunktsioone ja ühiskonna põhihuve (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punktid 67, ja 20. oktoobri 2022. aasta kohtuotsus Koalitsia „Demokratichna Bulgaria – Obedinenie“, C‑306/21, EU:C:2022:813, punkt 40).
47 ELL artikli 4 lõike 2 kohaselt kuuluvad sellised tegevused liikmesriikide ainuvastutusse (vt selle kohta 15. juuli 2021. aasta kohtuotsus Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 36).
48 Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et BVT uurimiskomisjoni moodustas Nationalrat (Austria parlamendi alamkoda) selleks, et uuritaks võimalikku poliitilise mõju avaldamist BVT-le, kelle ülesanne põhikohtuasjas vaadeldaval ajavahemikul oli tagada sisejulgeolek ja võidelda terrorismiga.
49 Parlamendi alamkoja esimees ja Tšehhi valitsus on sisuliselt arvamusel, et kuna BVT ülesanded hõlmavad „riigi julgeolekut puudutavat tegevust“, siis laieneb tema tegevusele isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a ette nähtud erand. Nad leiavad, et mõiste „riigi julgeolekut puudutav tegevus“ hõlmab ka liikmesriigi parlamendi niisuguse uurimiskomisjoni tegevust, kelle ülesanne on kontrollida riigiasutusi, kes – nagu ka BVT – vastutavad riigi julgeoleku tagamise eest. Nimelt on sellise uurimiskomisjoni tehtava kontrolli eesmärk välja selgitada, kas kontrollitavad asutused tagavad riigi julgeolekut korrakohaselt.
50 Selle kohta on oluline märkida, et kuigi vastavalt ELL artikli 4 lõikele 2 kuulub liikmesriikide pädevusse nende oluliste julgeolekuhuvide määratlemine ja asjakohaste meetmete kehtestamine nende sise- ja välisjulgeoleku tagamiseks, ei saa üksnes asjaolu, et liikmesriigi meede on võetud riigi julgeoleku kaitsmise eesmärgil, tingida seda, et liidu õigus ei ole kohaldatav, ega vabastada liikmesriike nõudest seda õigust järgida (vt selle kohta 15. juuli 2021. aasta kohtuotsus Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 40 ja seal viidatud kohtupraktika).
51 Ent nagu meenutatud eespool käesoleva kohtuotsuse punktis 41, viitab isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a ette nähtud erand isikuandmete kaitse üldmääruse kohaldamisalast üksnes seda liiki tegevusele, mis oma olemuselt ei kuulu liidu õiguse kohaldamisalasse, mitte aga teatud liiki isikutele olenevalt sellest, kas tegemist on era- või avalik-õiguslike isikutega, ega ka juhul, kui vastutav töötleja on avaliku sektori asutus, asjaolule, et selle asutuse ülesanded ja funktsioonid kuuluvad otseselt ja eranditult avaliku võimu eesõiguste hulka, ilma et see eesõigus oleks seotud tegevusega, mis ei kuulu igal juhul liidu õiguse kohaldamisalasse. Sellega seoses ei ole asjaolu, et vastutav töötleja on avaliku sektori asutus, kelle põhitegevus on tagada riigi julgeolek, iseenesest piisav selleks, et isikuandmete töötlemine niisuguse asutuse poolt tema muu tegevuse käigus jääks välja isikuandmete kaitse üldmääruse kohaldamisalast.
52 Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et põhikohtuasjas kõne all oleva uurimiskomisjoni ülesanne oli BVT tegevuse poliitiline kontroll, kuna esines kahtlus, et seda asutust on poliitiliselt mõjutatud, ilma et see kontroll oleks iseenesest tegevus, mille eesmärk on riigi julgeoleku säilitamine või samasse kategooriasse liigitatav tegevus käesoleva kohtuotsuse punktis 45 viidatud kohtupraktika tähenduses. Sellest järeldub, et kui eelotsusetaotluse esitanud kohtu kontrollist ei tulene teisiti, ei jää see tegevus isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a alusel isikuandmete kaitse üldmääruse kohaldamisalast välja.
53 Samas võib niisugusel parlamendi uurimiskomisjonil, nagu on kõne all põhikohtuasjas, olla oma töö tõttu võimalus tutvuda teabega, eelkõige isikuandmetega, millel peab riigi julgeolekuga seotud põhjustel olema eriline kaitse, mis seisneb näiteks selles, et piiratakse andmesubjektidele andmete kogumise kohta esitatavat teavet või samade isikute võimalust tutvuda nende andmetega.
54 Sellega seoses on isikuandmete kaitse üldmääruse artiklis 23 sätestatud, et isikuandmete kaitse üldmääruse artiklites 5, 12–22 ja 34 sätestatud kohustuste ja õiguste ulatust võib seadusandliku meetmega piirata, et tagada muu hulgas riigi julgeolek või avaliku võimu teostamisega seotud jälgimine, eriti riigi julgeoleku puhul.
55 Seega võib riigi julgeoleku kaitse nõue õigustada seadusandliku meetmega kehtestatavaid piiranguid isikuandmete kaitse üldmäärusest tulenevatele kohustustele ja õigustele, muu hulgas isikuandmete kogumise, andmesubjektide teavitamise ja nende poolt andmetega tutvumise suhtes või ka ilma andmesubjektide nõusolekuta nende avaldamise suhtes muudele isikutele kui vastutav töötleja, tingimusel, et sellised piirangud austavad andmesubjektide põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede.
56 Käesoleval juhul ei nähtu siiski Euroopa Kohtu käsutuses olevast toimikust, et BVT uurimiskomisjon oleks väitnud, et WK isikuandmete avalikustamine, mis leidis aset seetõttu, et Austria parlamendi veebisaidil avaldati ilma WK nõusolekuta tema küsitlemise protokoll selle komisjoni poolt, oli vajalik riigi julgeoleku tagamiseks ja seda tehti selleks ette nähtud riigisisese seadusandliku meetme alusel. Seda peab vajaduse korral siiski kontrollima eelotsusetaotluse esitanud kohus.
57 Arvestades eeltoodud kaalutlusi tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tuleb arvestades selle määruse põhjendust 16 tõlgendada nii, et iseenesest ei saa riigi julgeolekut puudutavaks tegevuseks, mis jääb väljapoole liidu õiguse kohaldamisala selle sätte tähenduses, pidada uurimiskomisjoni tegevust, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel ja mille eesmärk on uurida riigi kaitsepolitseiameti tegevust sellele ametile poliitilise mõju avaldamise kahtluse tõttu.
Kolmas küsimus
58 Kolmandas küsimuses palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 77 lõiget 1 ja artikli 55 lõiget 1 tuleb tõlgendada nii, et kui liikmesriik on vastavalt selle määruse artikli 51 lõikele 1 otsustanud ette näha ainult ühe järelevalveasutuse, andmata talle siiski pädevust teostada järelevalvet selle üle, kuidas kohaldab isikuandmete kaitse üldmäärust uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel, siis annavad need sätted sellele asutusele vahetult pädevuse lahendada kaebusi, mis on seotud isikuandmete töötlemisega selle uurimiskomisjoni poolt.
59 Sellele küsimusele vastamiseks tuleb meelde tuletada, et ELTL artikli 288 teise lõigu kohaselt on määrus tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
60 Väljakujunenud kohtupraktika kohaselt on selle sätte alusel ning määruste olemuse ja ülesande tõttu liidu õiguse allikate süsteemis määruste sätetel liikmesriikide õiguskordades tavaliselt otsene õigusmõju, ilma et liikmesriikide võimudel oleks vaja võtta rakendusmeetmeid (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punkt 110 ja seal viidatud kohtupraktika).
61 Seda silmas pidades on ühest küljest isikuandmete kaitse üldmääruse artikli 77 lõikes 1 sätestatud, et igal andmesubjektil on õigus esitada järelevalveasutusele kaebus, kui ta leiab, et teda puudutavate isikuandmete töötlemine rikub seda määrust. Teisest küljest on isikuandmete kaitse üldmääruse artikli 55 lõikes 1 ette nähtud, et järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas selle määrusega antud.
62 Nende sätete sõnastusest nähtub, nagu kohtujurist oma ettepaneku punktis 132 sisuliselt märkis, et isikuandmete kaitse üldmääruse artikli 77 lõike 1 ja artikli 55 lõike 1 kohaldamiseks ei ole vaja vastu võtta riigisiseseid rakendusmeetmeid ning need on piisavalt selged, täpsed ja tingimusteta, et neil oleks vahetu õigusmõju.
63 Sellest järeldub, et kuigi isikuandmete kaitse üldmäärus annab artikli 51 lõikes 1 liikmesriikidele kaalutlusruumi loodavate järelevalveasutuste arvu suhtes, näeb see määrus ette pädevuse ulatuse, mis peab olenemata nende asutuste arvust olema neile antud järelevalve teostamiseks selle määruse kohaldamise üle.
64 Seega, nagu kohtujurist oma ettepaneku punktis 137 sisuliselt märkis, on juhul, kui liikmesriik otsustab asutada ühe järelevalveasutuse, sellel asutusel tingimata kõik pädevused, mille isikuandmete kaitse üldmäärus järelevalveasutustele annab.
65 Vastupidine tõlgendus võtaks isikuandmete kaitse üldmääruse artikli 55 lõikelt 1 ja artikli 77 lõikelt 1 soovitava toime ning võiks nõrgendada selle määruse kõikide teiste niisuguste sätete soovitavat toimet, mida mõni kaebus võib puudutada.
66 Lisaks, kui liidu seadusandja on soovinud piirata järelevalveasutuste pädevust ametiasutuste tehtavate töötlemistoimingute üle järelevalve teostamisel, on ta seda teinud sõnaselgelt, nagu näitab isikuandmete kaitse üldmääruse artikli 55 lõige 3, mille kohaselt ei ole need asutused pädevad teostama järelevalvet töötlemistoimingute üle, mida teevad kohtud oma õigust mõistvat funktsiooni täites.
67 Datenschutzbehörde, parlamendi alamkoja esimees ja Austria valitsus märgivad, et Austria õiguse konstitutsioonilise tasandi normid keelavad täidesaatval võimul teostada mis tahes kontrolli seadusandliku võimu üle. Need sätted välistavad väidetavalt seega Datenschutzbehörde – kes on täidesaatva võimu kandja – õiguse teostada järelevalvet isikuandmete kaitse üldmääruse kohaldamise üle BVT uurimiskomisjoni poolt, mis on seadusandliku võimu organ.
68 Käesoleval juhul piirdub isikuandmete kaitse üldmääruse artikli 51 lõige 1 just liikmesriikide põhiseadusliku ülesehitusega arvestamiseks nõudega, et liikmesriigid asutaksid vähemalt ühe järelevalveasutuse, andes neile samas võimaluse asutada mitu järelevalveasutust. Lisaks täpsustab selle määruse põhjendus 117, et liikmesriikidel peaks olema võimalik luua rohkem järelevalveasutusi olenevalt nende põhiseaduslikust, organisatsioonilisest ja haldusalasest struktuurist.
69 Isikuandmete kaitse üldmääruse artikli 51 lõige 1 annab seega igale liikmesriigile kaalutlusruumi, mis võimaldab tal asutada nii mitu järelevalveasutust, kui seda nõuavad muu hulgas tema põhiseaduslikust struktuurist tulenevad vajadused.
70 Oluline on ka meenutada, et asjaolu, et liikmesriik tugineb riigisisestele õigusnormidele, ei saa kahjustada liidu õiguse ühtsust ja tõhusust. Nimelt on liidu õiguse esimuse põhimõttega kaasnev toime siduv kõigile liikmesriigi organitele, ilma et seda saaksid takistada riigisisesed sätted, sealhulgas need, mis tulenevad põhiseadusest (22. veebruari 2022. aasta kohtuotsus RS (konstitutsioonikohtu otsuste toime), C‑430/21, EU:C:2022:99, punkt 51 ja seal viidatud kohtupraktika).
71 Kui liikmesriik on oma kaalutlusruumi raames otsustanud asutada ühe järelevalveasutuse, ei saa ta tugineda riigisisestele õigusnormidele, isegi kui need on konstitutsioonilised normid, et jätta isikuandmete kaitse üldmääruse kohaldamisalasse kuuluv isikuandmete töötlemine selle asutuse järelevalve alt välja.
72 Arvestades eeltoodud kaalutlusi, tuleb kolmandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 77 lõiget 1 ja artikli 55 lõiget 1 tuleb tõlgendada nii, et kui liikmesriik on vastavalt selle määruse artikli 51 lõikele 1 otsustanud asutada ainult ühe järelevalveasutuse, andmata sellele asutusele siiski pädevust teostada järelevalvet selle üle, kuidas isikuandmete kaitse üldmäärust kohaldab uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel, siis annavad need sätted sellele asutusele vahetult pädevuse lahendada kaebusi, mis on seotud isikuandmete töötlemisega selle uurimiskomisjoni poolt.
Kohtukulud
73 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. ELTL artikli 16 lõike 2 esimest lauset ja Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 2 lõike 2 punkti a
tuleb tõlgendada nii, et
tegevust ei saa pidada väljapoole liidu õiguse kohaldamisala jäävaks ega seega selle määruse kohaldamisalasse mittekuuluvaks ainuüksi sel põhjusel, et seda viib läbi uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel.
2. Määruse 2016/679 artikli 2 lõike 2 punkti a, arvestades sama määruse põhjendust 16,
tuleb tõlgendada nii, et
iseenesest ei saa riigi julgeolekut puudutavaks tegevuseks, mis jääb väljapoole liidu õiguse kohaldamisala selle sätte tähenduses, pidada uurimiskomisjoni tegevust, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel ja mille eesmärk on uurida riigi kaitsepolitseiameti tegevust sellele ametile poliitilise mõju avaldamise kahtluse tõttu.
3. Määruse 2016/679 artikli 77 lõiget 1 ja artikli 55 lõiget 1
tuleb tõlgendada nii, et
kui liikmesriik on vastavalt selle määruse artikli 51 lõikele 1 otsustanud asutada ainult ühe järelevalveasutuse, andmata sellele asutusele siiski pädevust teostada järelevalvet selle üle, kuidas isikuandmete kaitse üldmäärust kohaldab uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel, siis annavad need sätted sellele asutusele vahetult pädevuse lahendada kaebusi, mis on seotud isikuandmete töötlemisega selle uurimiskomisjoni poolt.
Allkirjad