Kohtuasi C‑33/22
Österreichische Datenschutzbehörde
versus
WK
(eelotsusetaotlus, mille on esitanud Verwaltungsgerichtshof (Austria kõrgeim halduskohus))
Euroopa Kohtu (suurkoda) 16. jaanuari 2024. aasta otsus
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – ELTL artikkel 16 – Määrus (EL) 2016/679 – Artikli 2 lõike 2 punkt a – Kohaldamisala – Erandid – Tegevus, mis jääb väljapoole Euroopa Liidu õiguse kohaldamisala – ELL artikli 4 lõige 2 – Riigi julgeolekut puudutav tegevus – Liikmesriigi parlamendi moodustatud uurimiskomisjon – Määruse (EL) 2016/679 artikli 23 lõike 1 punktid a ja h, artiklid 51 ja 55 – Andmekaitse järelevalveasutuse pädevus – Artikkel 77 – Õigus esitada järelevalveasutusele kaebus – Vahetu õigusmõju
1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Kohaldamisala – Erandid – Isikuandmete töötlemine tegevuse käigus, mida ei reguleeri liidu õigus – Niisuguse uurimiskomisjoni tegevus, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel – Väljaarvamine – Määruse kohaldamine
(ELTL artikli 16 lõike 2 esimene lause; Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 16 ja artikli 2 lõike 2 punkt a)
(vt punktid 37–43 ja resolutsiooni punkt 1)
2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Kohaldamisala – Erandid – Isikuandmete töötlemine tegevuse käigus, mida ei reguleeri liidu õigus – Riigi julgeolekut puudutav tegevus või tegevus, mille võib liigitada samasse kategooriasse – Mõiste – Niisuguse uurimiskomisjoni tegevus, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel – Uurimine, mille ese on riigi kaitsepolitseiametile poliitilise mõju avaldamise kahtlus – Väljaarvamine
(ELL artikli 4 lõige 2, Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 16, artikli 2 lõige 1 ja lõike 2 punkt a ning artikkel 23)
(vt punktid 46, 50–57 ning resolutsiooni punkt 2)
3. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Liikmesriigi järelevalveasutused – Liikmesriigi õigus luua ainult üks järelevalveasutus – Määrusega järelevalveasutusele antud pädevus – Pädevuse piiramine riigisiseste konstitutsiooniliste õigusnormide alusel – Lubamatus – Liidu õiguse esimus ja vahetu õigusmõju
(Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 117, artikli 51 lõige 1, artikli 55 lõiked 1 ja 3 ning artikli 77 lõige 1)
(vt punktid 62–72 ning resolutsiooni punkt 3)
Kokkuvõte
Euroopa Kohtu suurkoda, kellele esitas eelotsusetaotluse Verwaltungsgerichtshof (Austria kõrgeim halduskohus), otsustas, et parlamendi uurimiskomisjoni tegevus ei jää isikuandmete kaitse üldmääruse(1) kohaldamisalast välja.
Selleks et uurida, kas Bundesamt für Verfassungsschutz und Terrorismusbekämpfungile (sisejulgeoleku ja terrorismivastase võitluse föderaalamet, Austria)(2) avaldatakse poliitilist mõju, moodustas Nationalrat (Austria parlamendi alamkoda) uurimiskomisjoni (edaspidi „BVT uurimiskomisjon“). See komisjon kuulas WK tunnistajana ära. Hoolimata viimase taotlusest muuta anonüümseks küsitluse protokoll, millel oli märgitud tema täielik ees- ja perekonnanimi, avaldati see Parlament Österreichi (Austria parlament) veebisaidil. Väites, et tema isiku selline avalikustamine on vastuolus isikuandmete kaitse üldmääruse ja Austria õigusnormidega(3), esitas WK kaebuse Österreichische Datenschutzbehördele (Austria andmekaitseamet; edaspidi „Datenschutzbehörde“). Datenschutzbehörde tuvastas oma 18. septembri 2019. aasta otsuses, et tal puudub pädevus kaebust lahendada, selgitades, et võimude lahususe põhimõte välistab selle, et tema kui täidesaatva võimu organ saaks kontrollida BVT uurimiskomisjoni, mis on osa seadusandlikust võimust.
Pärast seda, kui Bundesverwaltungsgericht (föderaalne halduskohus, Austria) oli rahuldanud WK kaebuse ja tühistanud Datenschutzbehörde otsuse, esitas viimane föderaalse halduskohtu otsuse peale kassatsioonkaebuse kõrgeimale halduskohtule.
Selles kontekstis küsis eelotsusetaotluse esitanud kohus Euroopa Kohtult, kas liikmesriigi parlamendi moodustatud uurimiskomisjoni tegevus kuulub isikuandmete kaitse üldmääruse kohaldamisalasse ja kas see määrus on kohaldatav juhul, kui see tegevus puudutab riigi julgeoleku kaitset. Lisaks palus ta Euroopa Kohtul võtta seisukoht küsimuses, kas isikuandmete kaitse üldmäärus annab sellisele liikmesriigi järelevalveasutusele nagu Datenschutzbehörde pädevuse lahendada kaebusi, mis on seotud isikuandmete töötlemisega uurimiskomisjoni poolt tema tegevuse käigus.
Euroopa Kohtu hinnang
Esiteks tuletas Euroopa Kohus meelde, et isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a – milles on sätestatud, et seda määrust ei kohaldata, kui isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus – ainus eesmärk on välistada selle määruse kohaldamisalast töötlemine, mida riigiasutused teevad tegevuse raames, mille eesmärk on säilitada riigi julgeolek, või tegevuse raames, mis kuulub samasse kategooriasse. Nii ei jää teatud tegevus isikuandmete kaitse üldmääruse kohaldamisalast automaatselt välja ainuüksi seetõttu, et tegemist on riigi või riigiasutuse enda tegevusega(4).
Seda tõlgendust, mis tuleneb sellest, et ei tehta vahet asjaomase töötleja isiku alusel, kinnitab isikuandmete kaitse üldmääruse artikli 4 punkt 7.(5)
Euroopa Kohus täpsustas, et BVT uurimiskomisjoni parlamentaarne laad ei tähenda, et tema tegevus jääb isikuandmete kaitse üldmääruse kohaldamisalast välja. Nimelt viitab selle määruse artikli 2 lõike 2 punktis a ette nähtud erand üksnes seda liiki tegevusele, mis oma olemuselt ei kuulu liidu õiguse kohaldamisalasse, mitte aga teatud liiki isikutele. Järelikult ei saa ainuüksi asjaolu alusel, et isikuandmeid töötleb uurimiskomisjon, mille on moodustanud liikmesriigi parlament täidesaatva võimu kontrollimise pädevuse teostamisel, tuvastada, et isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.
Teiseks märkis Euroopa Kohus, et kuigi liikmesriikide pädevusse kuulub nende endi oluliste julgeolekuhuvide määratlemine ja oma huvide tagamiseks asjakohaste meetmete kehtestamine(6), ei saa üksnes asjaolu, et liikmesriigi meede on võetud riigi julgeoleku kaitsmise eesmärgil, tingida seda, et liidu õigus ei ole kohaldatav, ega vabastada liikmesriike nõudest seda õigust järgida. Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a ette nähtud erand viitab aga üksnes sellist liiki tegevusele, mis oma olemuselt ei kuulu liidu õiguse kohaldamisalasse. Sellega seoses ei piisa asjaolust, et vastutav töötleja on avaliku sektori asutus, kelle põhitegevus on tagada riigi julgeolek, iseenesest selleks, et isikuandmete töötlemine tema poolt tema muu tegevuse käigus jääks välja isikuandmete kaitse üldmääruse kohaldamisalast.
Käesoleval juhul ei näi BVT uurimiskomisjoni teostatav poliitiline kontroll olevat iseenesest käsitatav tegevusena, mille eesmärk on riigi julgeoleku säilitamine, või tegevusena, mis oleks liigitatav samasse kategooriasse. Seega, kui eelotsusetaotluse esitanud kohtu kontrollist ei tulene teisiti, ei jää see tegevus isikuandmete kaitse üldmääruse kohaldamisalast välja.
Siiski võib parlamendi uurimiskomisjonil olla võimalik tutvuda isikuandmetega, millel peab riigi julgeolekuga seotud põhjustel olema eriline kaitse. Sellega seoses võib seadusandliku meetmega piirata isikuandmete kaitse üldmääruses sätestatud kohustuste ja õiguste ulatust, et tagada muu hulgas riigi julgeolek.(7) Nii võivad sel alusel olla põhjendatud piirangud isikuandmete kogumise, andmesubjektide teavitamise ja nende poolt andmetega tutvumise suhtes või ka ilma andmesubjektide nõusolekuta nende avaldamise suhtes muudele isikutele kui vastutav töötleja, tingimusel, et sellised piirangud austavad andmesubjektide põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede.
Euroopa Kohus märkis siiski, et talle esitatud teabest ei nähtu, et BVT uurimiskomisjon oleks väitnud, et asjaomase isiku isikuandmete avalikustamine oli vajalik riigi julgeoleku kaitsmiseks ja et seda tehti selleks ette nähtud riigisisese seadusandliku meetme alusel, kuid seda peab vajaduse korral siiski kontrollima eelotsusetaotluse esitanud kohus.
Kolmandaks ja viimaseks märkis Euroopa Kohus, et isikuandmete kaitse üldmääruse sätted, mis käsitlevad liikmesriigi järelevalveasutuste pädevust ja kaebeõigust(8), ei nõua riigisiseste rakendusmeetmete võtmist ning on piisavalt selged, täpsed ja tingimusteta, et neil oleks vahetu õigusmõju. Sellest järeldub, et kuigi isikuandmete kaitse üldmäärus jätab liikmesriikidele kaalutlusruumi loodavate järelevalveasutuste arvu suhtes(9), näeb see määrus siiski ette nende pädevuse ulatuse järelevalve teostamisel selle määruse kohaldamise üle. Seega juhul, kui liikmesriik otsustab luua vaid ühe riikliku järelevalveasutuse, on sellel asutusel tingimata kõik selles määruses ette nähtud pädevused. Vastupidine tõlgendus võtaks nendelt sätetelt soovitava toime ning võiks nõrgendada isikuandmete kaitse määruse kõikide teiste niisuguste sätete soovitavat toimet, mida mõni kaebus võib puudutada.
Mis puudutab asjaolu, et riigisisesed konstitutsionaalsed normid välistavad täidesaatva võimu kandjaks oleva järelevalveasutuse võimaluse teostada järelevalvet isikuandmete kaitse üldmääruse kohaldamise üle seadusandliku võimu organi poolt, siis rõhutas Euroopa Kohus, et isikuandmete kaitse üldmäärus piirdub just liikmesriikide põhiseadusliku ülesehitusega arvestamiseks nõudega, et liikmesriigid asutaksid vähemalt ühe järelevalveasutuse, andes neile samas võimaluse asutada mitu järelevalveasutust. Määrus annab seega igale liikmesriigile kaalutlusruumi, mis võimaldab tal asutada nii mitu järelevalveasutust, kui seda nõuavad muu hulgas tema põhiseaduslikust struktuurist tulenevad vajadused.
Lisaks ei saa asjaolu, et liikmesriik tugineb riigisisestele õigusnormidele, kahjustada liidu õiguse ühtsust ja tõhusust. Nimelt on liidu õiguse esimuse põhimõttega kaasnev mõju siduv kõigile liikmesriigi organitele, ilma et seda saaksid takistada muu hulgas riigisisesed sätted, sealhulgas konstitutsioonilised normid.(10)
Seega, kui liikmesriik on otsustanud asutada ühe järelevalveasutuse, ei saa ta tugineda riigisisestele õigusnormidele – isegi kui need on konstitutsioonilised normid –, et jätta isikuandmete kaitse üldmääruse kohaldamisalasse kuuluv isikuandmete töötlemine selle asutuse järelevalve alt välja.