CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:270

EUROOPA KOHTU OTSUS (esimene koda)

30. märts 2023(*)

Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artikli 88 lõiked 1 ja 2 – Andmete töötlemine töösuhete kontekstis – Piirkondlik haridussüsteem – COVID-19 pandeemia tõttu videokonverentsi teel toimuv õpe – Korraldamine ilma õpetajate sõnaselge nõusolekuta

Kohtuasjas C‑34/21,

mille ese on ELTL artikli 267 alusel Verwaltungsgericht Wiesbadeni (Wiesbadeni halduskohus, Saksamaa) 20. detsembri 2020. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 20. jaanuaril 2021, menetluses

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

versus

Minister des Hessischen Kultusministeriums,

EUROOPA KOHUS (esimene koda),

koosseisus: koja president A. Arabadjiev, Euroopa Kohtu president K. Lenaerts ja Euroopa Kohtu asepresident L. Bay Larsen esimese koja kohtunike ülesannetes ning kohtunikud A. Kumin ja I. Ziemele (ettekandja),

kohtujurist: M. Campos Sánchez-Bordona,

kohtusekretär: ametnik S. Beer,

arvestades kirjalikku menetlust ja 30. juuni 2022. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

– Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, esindaja: Rechtsanwalt J. Kolter,

– Minister des Hessischen Kultusministeriums, esindaja: C. Meinert,

– Saksamaa valitsus, esindajad: J. Möller ja D. Klebs,

– Austria valitsus, esindajad: G. Kunnert ja J. Schmoll,

– Rumeenia valitsus, esindajad: E. Gane ja A. Wellman,

– Euroopa Komisjon, esindajad: F. Erlbacher, H. Kranenborg ja D. Nardi,

olles 22. septembri 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1 Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandus ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“) artikli 88 lõikeid 1 ja 2.

2 Taotlus on esitatud Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministeriumi (Hesseni liidumaa haridusministeeriumi juures asuv õpetajate esindusorgan, Saksamaa) ja Minister des Hessischen Kultusministeriumsi (Hesseni liidumaa haridusminister) vahelises vaidluses, mis puudutab Hesseni liidumaa (Saksamaa) koolides sisse seatud süsteemi seaduslikkust, kus koolitundidest tehakse videokonverentsi teel otseülekanded, ilma et ette oleks nähtud asjaomaste õpetajate poolt eelneva nõusoleku andmine.

Õiguslik raamistik

Liidu õigus

Direktiiv 95/46/EÜ

3 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) tunnistati isikuandmete kaitse üldmäärusega kehtetuks alates 25. maist 2018. Selle direktiivi artikkel 3 „Reguleerimisala“ oli sõnastatud järgmiselt:

„1. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.

2. Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:

– kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks [EL] lepingu [enne Lissaboni lepingut kehtinud redaktsiooni] V j[a] VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,

[…]“.

Isikuandmete kaitse üldmäärus

4 Isikuandmete kaitse üldmääruse põhjendustes 8–10, 13, 16, 45 ja 155 on märgitud:

„(8) Kui käesolevas määruses on ette nähtud eeskirjade täpsustamine või piiramine liikmesriigi õigusega, võivad liikmesriigid sidususe seisukohast vajalikul määral ja liikmesriigi õiguse sätete arusaadavaks muutmiseks isikutele, kelle suhtes neid kohaldatakse, integreerida määruse elemente oma õigusesse.

(9) Direktiivi [95/46] eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud [Euroopa L]iidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele. Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erinevustest direktiivi [95/46] rakendamisel ja kohaldamisel.

(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. Seoses isikuandmete töötlemisega juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks peaks liikmesriikidel olema lubatud säilitada või kehtestada õigusnormid käesoleva määruse eeskirjade kohaldamise täpsustamiseks. Koostoimes andmekaitset käsitlevate üldiste ja horisontaalsete õigusaktidega, millega rakendatakse direktiivi [95/46], on liikmesriikidel mitmeid sektoripõhiseid õigusakte valdkondades, mis vajavad spetsiifilisemaid sätte[i]d. Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide töötlemise eeskirjade täpsustamiseks. Sellega seoses ei välista käesolev määrus sellist liikmesriigi õigust, millega määratletakse konkreetsete töötlemisjuhtude asjaolud, sealhulgas määratakse täpsemalt kindlaks tingimused, mille alusel isikuandmete töötlemine on seaduslik.

[…]

(13) Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate[…] jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste[le] isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel. […]

[…]

(16) Käesolevas määruses ei käsitleta põhiõiguste ja ‑vabaduste kaitse küsimusi ega andmete vaba liikumist, mis on seotud väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega, ega isikuandmete töötlemist liikmesriikide poolt liidu ühise välis- ja julgeolekupoliitikaga seonduva tegevuse läbiviimisel.

[…]

(45) Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis. Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti. Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks. Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis. Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks. […]

[…]

(155) Liikmesriigi õiguses või kollektiivlepingutes (sealhulgas ettevõttesisesed lepingud) võib ette näha erieeskirjad, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige tingimused, mille kohaselt võib töösuhete kontekstis isikuandmeid töödelda töötaja nõusolekul, seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega.“

5 Isikuandmete kaitse üldmääruse artikkel 1 „Reguleerimisese ja eesmärgid“ sätestab:

„1. Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

2. Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

3. Isikuandmete vaba liikumist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.“

6 Määruse artikli 2 „Sisuline kohaldamisala“ lõiked 1 ja 2 näevad ette:

„1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2. Käesolevat määrust ei kohaldata, kui

a) isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

c) isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus;

d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.“

7 Määruse artiklis 4 „Mõisted“ on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]“.

8 Isikuandmete kaitse üldmääruse artikkel 5 „Isikuandmete töötlemise põhimõtted“ näeb ette:

„1. Isikuandmete töötlemisel tagatakse, et:

a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c) isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d) isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f) isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“).

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

9 Määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõigetes 1–3 on sätestatud:

„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b) isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c) isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

[…]

e) isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

2. Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.

3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

a) liidu õigusega või

b) vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.“

10 Isikuandmete kaitse üldmääruse IX peatüki „Isikuandmete töötlemise eriolukordi käsitlevad sätted“ artikkel 88 „Isikuandmete töötlemine töösuhete kontekstis“ näeb ette:

„1. Liikmesriigid võivad õigusaktide või kollektiivlepingutega ette näha täpsemad eeskirjad, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis, eelkõige seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega, tööandja või kliendi vara kaitsega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ning töösuhte lõppemisega.

2. Need eeskirjad sisaldavad sobivaid ja konkreetseid meetmeid, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal.

3. Liikmesriik teavitab [Euroopa K]omisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist neid õigusnorme mõjutavatest muudatustest.“

Saksa õigus

11 30. juuni 2017. aasta föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz; BGBl. 2017 I, lk 2097) § 26 lõige 1 sätestab:

„Töötajate isikuandmete töötlemine töösuhte eesmärgil on lubatud, kui see on vajalik otsuse tegemiseks töösuhte tekkimise kohta või pärast töösuhte tekkimist selle täitmiseks või lõpetamiseks või töötajate huvide esindamiseks seadusest või töösuhete kollektiivse reguleerimise instrumendist, ettevõtte- või asutusesisesest kokkuleppest (kollektiivleping) tulenevate õiguste teostamiseks või kohustuste täitmiseks. […]“.

12 Hesseni liidumaa 3. mai 2018. aasta andmekaitse ja teabevabaduse seaduse (Hessisches Datenschutz- und Informationsfreiheitsgesetz, edaspidi „HDSIG“) § 23 sätestab:

„(1) Töötajate isikuandmete töötlemine töösuhte eesmärgil on lubatud, kui see on vajalik otsuse tegemiseks töösuhte tekkimise kohta või pärast töösuhte tekkimist selle täitmiseks, lõpetamiseks või kokkuleppel lõpetamiseks, samuti tööalaste planeerimis-, korralduslike, sotsiaal- ja personalimeetmete võtmiseks. […]

(2) Kui töötajate isikuandmeid töödeldakse nõusoleku alusel, tuleb selleks, et hinnata, kas nõusolek on antud vabatahtlikult, arvesse võtta eelkõige töötaja sõltuvust töösuhtes ja nõusoleku andmise asjaolusid. Nõusoleku vabatahtlikkusega võib eelkõige tegemist olla siis, kui töötaja saab õigusliku või majandusliku eelise või kui tööandjal ja töötajal on sarnased huvid. Nõusolek peab olema antud kirjalikult, välja arvatud juhul, kui eriliste asjaolude tõttu on sobiv muu vorm. Tööandja on kohustatud töötajat kirjalikult teavitama isikuandmete töötlemise eesmärgist ja tema [isikuandmete kaitse üldmääruse] artikli 7 lõikest 3 tulenevast õigusest võtta nõusolek tagasi.

(3) Erandina [isikuandmete kaitse üldmääruse] artikli 9 lõikest 1 on isikuandmete eriliikide töötlemine [isikuandmete kaitse üldmääruse] artikli 9 lõike 1 tähenduses lubatud töösuhte eesmärgil, kui see on vajalik tööõigusest ning sotsiaalkindlustus‑ ja sotsiaalkaitseõigusest tulenevate õiguste teostamiseks või juriidiliste kohustuste täitmiseks, ega ole põhjust arvata, et andmesubjekti kaitset vääriv huvi töötlemise välistamiseks on kaalukam. Lõige 2 kehtib ka isikuandmete eriliikide töötlemiseks nõusoleku andmise kohta. Seejuures peab nõusolek sõnaselgelt viitama nendele andmetele. […]

(4) Töötajate isikuandmete töötlemine, sealhulgas isikuandmete eriliikide töötlemine, on töösuhte eesmärgil kollektiivlepingute alusel lubatud. Seejuures peavad pooled järgima [isikuandmete kaitse üldmääruse] artikli 88 lõiget 2.

(5) Vastutav töötleja peab võtma asjakohased meetmed, et tagada eelkõige [isikuandmete kaitse üldmääruse] artiklis 5 sätestatud isikuandmete töötlemise põhimõtete järgimine.

[…]

(7) Lõikeid 1–6 kohaldatakse ka töötajate isikuandmete, sealhulgas isikuandmete eriliikide töötlemise suhtes, ilma et need isikuandmed kuuluksid andmete kogumisse või tuleks need andmete kogumisse kanda. Hesseni liidumaa avaliku teenistuse seaduse [(Hessisches Beamtengesetz (HBG), 21. juuni 2018; edaspidi „HBG“)] personali toimikuid puudutavaid sätteid kohaldatakse mutatis mutandis avaliku sektori töötajate suhtes, kui kollektiivlepingutes ei ole sätestatud teisiti.

(8) Käesoleva seaduse mõistes on töötajad:

1. töötajad, sealhulgas renditöötajad, suhtes kasutajaettevõtjaga;

[…]

7. ametnikud, kelle suhtes kehtib [HBG], liidumaa kohtunikud ning asendusteenistust läbivad isikud.

[…]“.

13 HBG § 86 lõige 4 sätestab:

„Tööandja võib koguda ametisse kandideerijate, ametnike ja endiste ametnike kohta isikuandmeid ainult niivõrd, kuivõrd see on vajalik teenistussuhte alustamiseks, täitmiseks, lõpetamiseks või kokkuleppel lõpetamiseks, samuti korralduslike, personali- ja sotsiaalmeetmete võtmiseks, eelkõige ka personali planeerimise ja rakendamise eesmärgil, või kui õigusnorm või teenistujate ühinguga sõlmitud kollektiivleping seda lubab […]“.

Põhikohtuasi ja eelotsuse küsimused

14 Nagu nähtub Euroopa Kohtule esitatud toimikust, kehtestas Hesseni liidumaa haridusminister kahe 2020. aastal vastu võetud õigusaktiga koolide õppetöö õigusliku ja korraldusliku raamistiku COVID-19 pandeemia ajal. Selle raamistikuga anti eelkõige neile õpilastele, kes ei saa klassis kohal olla, võimalus osaleda tundides otseülekandega videokonverentsi teel. Seoses isikuandmete kaitsega sätestati õpilaste õiguste kaitsmiseks, et videokonverentsil osalemine on lubatud ainult õpilaste endi või alaealiste korral nende vanemate nõusolekul. Seevastu ei olnud ette nähtud asjasse puutuvate õpetajate nõusolekut nende osalemiseks videokonverentsil.

15 Hesseni liidumaa haridusministeeriumi juures asuv õpetajate esindusorgan esitas Verwaltungsgericht Wiesbadenile (Wiesbadeni halduskohus, Saksamaa) kaebuse, milles heitis ette, et videokonverentsi teel õppetundide otseülekanneteks ei olnud vaja asjasse puutuvate õpetajate nõusolekut.

16 Hesseni liidumaa haridusminister väitis omalt poolt, et isikuandmete töötlemine, mida kujutab endast õppetundide otseülekanne videokonverentsi teel, kuulub HDSIG § 23 lõike 1 esimese lause kohaldamisalasse, mistõttu võib seda korraldada ilma asjasse puutuva õpetaja nõusolekuta.

17 Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) märgib sellega seoses, et Hesseni liidumaa seadusandja tahte kohaselt kuuluvad HDSIG § 23 ja HBG § 86 kategooriasse „täpsemad eeskirjad“, mille liikmesriigid võivad isikuandmete kaitse üldmääruse artikli 88 lõike 1 kohaselt ette näha, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis. See kohus kahtleb siiski, kas HDSIG § 23 lõike 1 esimene lause ja HBG § 86 lõige 4 on kooskõlas isikuandmete kaitse üldmääruse artikli 88 lõikes 2 sätestatud nõuetega.

18 Esiteks tuginevad HDSIG § 23 lõike 1 esimene lause ja HBG § 86 lõige 4 töötajate andmete töötlemise õigusliku alusena „vajalikkusele“. Kuid ühelt poolt ei kujuta „vajalikkuse“ põhimõtte lisamine seadusesse endast eeskirja, mis täpsustab isikuandmete kaitse üldmääruse artikli 88 lõikes 2 sisalduvaid nõudeid, kuna töösuhte kontekstis vajalikku andmete töötlemist reguleerib juba isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkt b.

19 Teiselt poolt on HDSIG § 23 lõike 1 esimene lause lisaks tegelikule lepingulisele suhtele kohaldatav töötajate andmete igasuguse töötlemise suhtes. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktist f tuleneb aga, et isikuandmete töötlemisel, mis läheb kaugemale sellest, mis on töölepingu raames vältimatult vajalik, tuleb kaaluda andmesubjekti, käesoleval juhul töötajate ja ametnike põhiõigusi ja ‑vabadusi vastutava töötleja, käesoleval juhul tööandja õigustatud huviga. Kuna HDSIG § 23 lõike 1 esimene lause sellist kaalumist ette ei näe, ei saa seda sätet pärast isikuandmete kaitse üldmääruse jõustumist pidada valdkonnaspetsiifiliseks normiks.

20 Teiseks leiab Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus), et HDSIG § 23 lõikes 5 sisalduv pelk viide, mille kohaselt peab vastutav töötleja eelkõige järgima isikuandmete kaitse üldmääruse artiklis 5 sätestatud põhimõtteid, ei vasta sama määruse artikli 88 lõike 2 nõuetele. Nimelt nõuab viimati nimetatud säte, et sellega silmas peetud sobivad ja konkreetsed õigusnormid võetaks vastu, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal, ning et tegemist ei oleks lihtsalt õigusnormiga, mida riigisisese õigusnormi kohaldaja peab täiendavalt järgima. Normi kohaldaja ei ole isikuandmete kaitse üldmääruse artikli 88 lõike 2 adressaat.

21 Neil asjaoludel otsustas Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1. Kas [isikuandmete kaitse üldmääruse] artikli 88 lõiget 1 tuleb tõlgendada nii, et teatud õigusnorm peab selleks, et seda saaks käsitada täpsema eeskirjana, mille eesmärk on tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis isikuandmete kaitse üldmääruse artikli 88 lõike 1 tähenduses, vastama sellistele eeskirjadele isikuandmete kaitse üldmääruse artikli 88 lõikes 2 sätestatud nõuetele?

2. Kas riigisisest õigusnormi, mis ilmselgelt ei vasta isikuandmete kaitse üldmääruse artikli 88 lõikes 2 sätestatud nõuetele, saab sellest hoolimata jätkuvalt kohaldada?“

22 Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) teatas Euroopa Kohtule kirjaga, mis saabus Euroopa Kohtu kantseleisse 30. novembril 2021, et Hesseni liidumaa halduskohtute territoriaalset pädevust reguleerivate riigisiseste õigusaktide 1. detsembril 2021 jõustuvate muudatuste tõttu antakse põhikohtuasi üle Verwaltungsgericht Frankfurt am Mainile (Frankfurdi halduskohus, Saksamaa). Viimati nimetatud kohus kinnitas Euroopa Kohtu kantseleisse 21. veebruaril 2022 saabunud kirjaga seda üleandmist ja andis Euroopa Kohtule teada põhikohtuasjale määratud uue kohtuasja numbri.

Eelotsusetaotluse vastuvõetavus

23 Saksamaa valitsus väitis oma kirjalikes seisukohtades, et eelotsusetaotlus on vastuvõetamatu, kuna eelotsuse küsimused ei ole põhikohtuasja lahendamiseks asjakohased. Nimelt ei ole Euroopa Kohtu vastus eelotsusetaotluse esitanud kohtule tarvilik juhul, kui andmete töötlemine oleks lubatud õpetaja nõusolekul. Eelotsusetaotluse esitanud kohus aga ei selgita, miks ta ei võta sellist võimalust arvesse.

24 Kui Saksamaa valitsusele esitati Euroopa Kohtu istungil selle kohta küsimus, möönis ta siiski, et eelotsuse küsimused on asjakohased, kui õpetaja nõusolekut ei ole võimalik saada.

25 Sellega seoses tuleb märkida, et väljakujunenud kohtupraktika kohaselt eeldatakse, et liidu õiguse tõlgendamise küsimused, mille liikmesriigi kohus on esitanud õiguslikus ja faktilises raamistikus, mille ta on määratlenud omal vastutusel ja mille paikapidavust Euroopa Kohus ei pea kontrollima, on asjakohased. Euroopa Kohus võib keelduda liikmesriigi kohtu esitatud eelotsusetaotlusele vastamast vaid siis, kui on ilmne, et taotletav liidu õiguse tõlgendus ei ole mingil viisil seotud põhikohtuasja tegelike asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi ja õiguslikke asjaolusid, et anda tarvilik vastus talle esitatud küsimustele (1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 48 ja seal viidatud kohtupraktika).

26 Käesoleval juhul nähtub eelotsusetaotlusest, et põhikohtuasja poolte vahel on vaidlus küsimuses, kas õppetunni otseülekandeks videokonverentsi teel on lisaks vanemate nõusolekule oma laste kohta või täisealiste õpilaste nõusolekule vajalik ka asjaomaste õpetajate nõusolek või kuulub õpetajate isikuandmete töötlemine hoopis HDSIG § 23 lõike 1 esimese lause ja HBG § 86 lõike 4 kohaldamisalasse.

27 Samuti tuleb nentida, et Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) märkis oma eelotsusetaotluses ühelt poolt, et liikmesriigi seadusandja leidis, et HDSIG § 23 ja HBG § 86 on täpsemad eeskirjad isikuandmete kaitse üldmääruse artikli 88 tähenduses, ning teiselt poolt, et põhikohtuasja lahendus sõltub sellest, kas HDSIG § 23 lõike 1 esimene lause ja HBG § 86 lõige 4 vastavad isikuandmete kaitse üldmääruse artikli 88 nõuetele, mistõttu need võivad kujutada endast täpsemaid eeskirju, mis on kohaldatavad õpetajate isikuandmete töötlemise suhtes, kui tegemist on õppetundide otseülekandega videokonverentsi teel, nagu see on põhikohtuasjas.

28 Eelotsusetaotluses esitatud teavet arvestades ei lükka Saksamaa valitsuse esitatud argumendid ümber eeldust, et esitatud küsimused on asjakohased.

29 Neil asjaoludel ei saa asuda seisukohale, et taotletud liidu õigusnormide tõlgendamine ei ole ilmselgelt mingil viisil seotud põhikohtuasja faktiliste asjaolude või esemega või et probleem on hüpoteetiline, kuna eelotsusetaotluse esitanud kohus võib seda tõlgendust põhikohtuasja lahendamisel arvesse võtta. Lõpuks on Euroopa Kohtule teada talle esitatud küsimustele tarviliku vastuse andmiseks vajalikud faktilised ja õiguslikud asjaolud.

30 Järelikult on eelotsusetaotlus vastuvõetav.

Eelotsuse küsimuste analüüs

Sissejuhatavad märkused

31 Eelotsuse küsimused puudutavad isikuandmete kaitse üldmääruse artikli 88 lõigete 1 ja 2 tõlgendamist kohtuvaidluses, mis puudutab õpetajate isikuandmete töötlemist seoses nende antavate avalike haridusasutuste õppetundide otseülekannetega videokonverentsi teel.

32 Esimesena tuleb kindlaks teha, kas selline töötlemine kuulub isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse, arvestades asjaolu, et selle määruse artikli 2 lõike 2 punkti a kohaselt ei kohaldata seda määrust, kui isikuandmeid töödeldakse „muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus“, ning et ELTL artikli 165 lõike 1 järgi vastutavad liikmesriigid õpetuse sisu ja nende haridussüsteemide korralduse eest.

33 Sellega seoses tuleneb Euroopa Kohtu praktikast, et isikuandmete kaitse üldmääruse esemelise kohaldamisala määratlus, nagu see on sätestatud selle määruse artikli 2 lõikes 1, on väga lai ning et artikli 2 lõikes 2 ette nähtud erandeid sellest kohaldamisalast tuleb tõlgendada kitsalt (vt selle kohta 9. juuli 2020. aasta kohtuotsus Land Hessen, C‑272/19, EU:C:2020:535, punkt 68, ning 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punktid 61 ja 62).

34 Peale selle tuleb isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tõlgendada koostoimes artikli 2 lõike 2 punktiga b ja põhjendusega 16, milles on märgitud, et määrust ei kohaldata isikuandmete töötlemisele, mis on seotud „väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega“, ning „liidu ühise välis‑ ja julgeolekupoliitikaga seonduva tegevuse[ga]“ (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 63).

35 Seega ei saa isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkte a ja b – mis osaliselt kujutavad endast jätku direktiivi 95/46 artikli 3 lõike 2 esimesele taandele – tõlgendada nii, et nende ulatus on laiem kui erand, mis tuleneb direktiivi 95/46 artikli 3 lõike 2 esimesest taandest, mis juba välistas selle direktiivi kohaldamisalast muu hulgas isikuandmete töötlemise, mis toimub „tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks [EL] lepingu [enne Lissaboni lepingut kehtinud redaktsiooni] V j[a] VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku […] valdkonna[ga]“ (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 64).

36 Käesoleval juhul ei ole vaidlust selles, et õppetöö korraldamisega seotud tegevust Hesseni liidumaal ei saa liigitada tegevuste hulka, mille eesmärk on kaitsta riigi julgeolekut, mida on peetud silmas isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis a.

37 Järelikult kuulub isikuandmete kaitse üldmääruse kohaldamisalasse õpetajate isikuandmete töötlemine, kui nad annavad avalike haridusasutuste õppetunde videokonverentsi teel otseülekande raames, nagu on kõne all põhikohtuasjas.

38 Teisena nähtub eelotsusetaotlusest, et õpetajad, kelle isikuandmete töötlemine on põhikohtuasja ese, on töötajate või ametnikena Hesseni liidumaa avalikus teenistuses.

39 Seega tuleb kindlaks teha, kas isikuandmete selline töötlemine kuulub isikuandmete kaitse üldmääruse artikli 88 kohaldamisalasse, mis käsitleb „töötajate isikuandmete töötlemis[t] töösuhete kontekstis“.

40 Sellega seoses tuleb märkida, et isikuandmete kaitse üldmääruses ei ole mõisteid „töötajad“ ja „töösuhted“ määratletud ning selles ei viidata ka nende määratlemiseks liikmesriikide õigusele. Sellise viite puudumise korral väärib meenutamist, et nii liidu õiguse ühetaolise kohaldamise kui ka võrdsuse põhimõtte nõuetest tuleneb, et sellise liidu õigusnormi sõnastust, mis ei viita sõnaselgelt liikmesriikide õigusele õigusnormi tähenduse ja ulatuse kindlaksmääramiseks, tuleb tavaliselt kogu liidus tõlgendada autonoomselt ja ühetaoliselt (2. juuni 2022. aasta kohtuotsus HK/Danmark ja HK/Privat, C‑587/20, EU:C:2022:419, punkt 25 ning seal viidatud kohtupraktika).

41 Lisaks, kuna isikuandmete kaitse üldmäärus ei määratle mõisteid „töötajad“ ja „töösuhted“, siis tuleb neid mõisteid tõlgendada vastavalt nende harilikule tähendusele tavakeeles, võttes arvesse nende kasutamise konteksti ning eesmärke, mida taotletakse õigusaktiga, mille osaks need on (2. juuni 2022. aasta kohtuotsus HK/Danmark ja HK/Privat, C‑587/20, EU:C:2022:419, punkt 26 ning seal viidatud kohtupraktika).

42 Mõiste „töötaja“ tähistab aga harilikus tähenduses isikut, kes teeb oma tööd alluvussuhtes tööandjaga ja seega tema kontrolli all (18. märtsi 2021. aasta kohtuotsus Kuoni Travel, C‑578/19, EU:C:2021:213, punkt 42).

43 Ühtlasi on „töösuhte“ peamine tunnus see, et isik teeb teatud ajavahemiku jooksul teisele isikule tema juhtimise all tööd, mille eest saab ta tasu (15. juuli 2021. aasta kohtuotsus Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punkt 49).

44 Kuna selline tunnus on omane töötajatele ja töösuhetele nii avalikus kui ka erasektoris, siis tuleb järeldada, et mõisted „töötaja“ ja „töösuhted“ nende harilikus tähenduses ei välista isikuid, kes töötavad avalikus sektoris.

45 Isikuandmete kaitse üldmääruse artikli 88 lõike 1 ulatust ei saa nimelt kindlaks määrata töötaja ja tööandja vahelise õigussuhte laadi alusel. Seega ei ole oluline, kas andmesubjekt töötab töötajana või ametnikuna või kas tema töösuhet reguleerib avalik õigus või eraõigus, kuna need õiguslikud kvalifikatsioonid erinevad vastavalt riigisisestele õigusaktidele ega saa seega kujutada endast asjakohast kriteeriumi selle sätte ühetaoliseks ja autonoomseks tõlgendamiseks (vt analoogia alusel 12. veebruari 1974. aasta kohtuotsus Sotgiu, 152/73, EU:C:1974:13, punkt 5, ja 3. juuni 1986. aasta kohtuotsus komisjon vs. Prantsusmaa, 307/84, EU:C:1986:222, punkt 11).

46 Mis puudutab konkreetselt isikuid, kellel on ilma töölepinguta töösuhe, nagu ametnikud, siis on tõsi, et isikuandmete kaitse üldmääruse artikli 88 lõikes 1 on viidatud „töölepingu […] täitmise[le]“. Siiski tuleb esiteks märkida, et see viide on esitatud isikuandmete kaitse üldmääruse artikli 88 lõikes 1 loetletud muude eesmärkide seas, milleks isikuandmeid töösuhete kontekstis töödeldakse ja mille jaoks võivad liikmesriigid vastu võtta täpsemad eeskirjad, ning see loetelu ei ole igal juhul ammendav, millest annab tunnistust selles sättes kasutatud määrsõna „eelkõige“.

47 Teiseks kinnitab töötaja ja tema tööandjaks oleva ametiasutuse vahelise õigussuhte kvalifitseerimise ebaolulisust asjaolu, et töö juhtimine, kavandamine ja korraldamine, võrdsus ja mitmekesisus töökohal, töötervishoid ja tööohutus, tööandja või kliendi vara kaitse, tööhõivega seotud õiguste ja hüvitiste isiklik või kollektiivne kasutamine ning töösuhte lõpetamine, mis on samuti loetletud isikuandmete kaitse üldmääruse artikli 88 lõikes 1, on seotud töötamisega nii erasektoris kui ka avalikus sektoris.

48 Järelikult ei saa isikuandmete kaitse üldmääruse artikli 88 lõikes 1 sisalduvast viitest „töölepingu täitmisele“ järeldada, et avalikus sektoris töötamine, mis ei põhine töölepingul, on selle sätte kohaldamisalast välja jäetud.

49 Sama järeldus tuleb teha ka seoses asjaoluga, et isikuandmete kaitse üldmääruse artikli 88 lõikes 2 on nende kolme elemendi hulgas, „eelkõige seoses“ millega peavad liikmesriigid selliste „täpsemate eeskirjade“ vastuvõtmisel arvestama, isikuandmete edastamine „kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt“. Kaks ülejäänud elementi, st töötlemise läbipaistvus ja järelevalvesüsteemid töökohal, on nimelt asjakohased nii erasektoris kui ka avalikus sektoris töötamisel, olenemata sellest, millist laadi õigussuhe on töötaja ja tööandja vahel.

50 Isikuandmete kaitse üldmääruse artikli 88 sõnastusest tulenevat tõlgendust kinnitavad selle artikli kontekst ja selle õigusakti eesmärk, mille osa see artikkel on.

51 Isikuandmete kaitse üldmääruse artikli 1 lõikest 1 koostoimes eelkõige põhjendustega 9, 10 ja 13 tuleneb, et selle määruse eesmärk on tagada isikuandmete kaitset käsitlevate riigisiseste õigusaktide põhimõtteliselt täielik ühtlustamine. Kõnealuse määruse sätted annavad liikmesriikidele siiski võimaluse näha ette täiendavaid, rangemaid või erandeid ettenägevaid riigisiseseid eeskirju ja jätavad liikmesriikidele kaalutlusruumi nende sätete rakendamisel („kaitseklauslid“) (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 57).

52 Isikuandmete kaitse üldmääruse artikkel 88, mis kuulub selle määruse IX peatükki „Isikuandmete töötlemise eriolukordi käsitlevad sätted“, kujutab endast sellist kaitseklauslit, kuna see annab liikmesriikidele võimaluse võtta vastu „täpsemad eeskirjad“, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis.

53 Isikuandmete töötlemise erisused töösuhete kontekstis ja järelikult ka isikuandmete kaitse üldmääruse artikli 88 lõikega 1 liikmesriikidele antud võimalus on selgitatavad eelkõige sellega, et töötaja ja tööandja vahel on alluvussuhe, mitte aga nendevahelise õigussuhte laadiga.

54 Peale selle on vastavalt isikuandmete kaitse üldmääruse artikli 1 lõikele 2 koostoimes selle põhjendusega 10 määruse eesmärk tagada füüsiliste isikute põhiõiguste ja ‑vabaduste kõrgetasemeline kaitse isikuandmete töötlemisel, seda õigust on samuti tunnustatud Euroopa Liidu põhiõiguste harta artiklis 8 ning see on tihedalt seotud õigusega eraelu puutumatusele, mis on sätestatud harta artiklis 7 (vt selle kohta 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 61).

55 Selle eesmärgiga on aga kooskõlas isikuandmete kaitse üldmääruse artikli 88 lõike 1 lai tõlgendus, mille kohaselt võivad „täpsemad eeskirjad“, mille liikmesriigid võivad ette näha, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis, puudutada kõiki töötajaid, sõltumata töötaja ja tööandja vahelise õigussuhte laadist.

56 Neil asjaoludel kuulub isikuandmete kaitse üldmääruse artikli 88 esemelisse ja isikulisse kohaldamisalasse õpetajate isikuandmete töötlemine, kui nad annavad avalike haridusasutuste õppetunde videokonverentsi teel otseülekande raames, nagu on kõne all põhikohtuasjas.

Esimene küsimus

57 Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artiklit 88 tuleb tõlgendada nii, et selleks, et õigusnormi saaks kvalifitseerida täpsemaks eeskirjaks selle artikli lõike 1 tähenduses, peab see õigusnorm vastama nimetatud artikli lõikes 2 sätestatud tingimustele.

58 Nagu on märgitud käesoleva kohtuotsuse punktis 52, on liikmesriikidel selliste eeskirjade vastuvõtmise võimalus, mitte kohustus, ja need eeskirjad võib ette näha seadusega või kollektiivlepingutega.

59 Peale selle peavad liikmesriigid juhul, kui nad kasutavad neile isikuandmete kaitse üldmääruse kaitseklausliga antud võimalust, kasutama oma kaalutlusruumi selle määruse sätetes ette nähtud tingimustel ja piirides ning peavad seega võtma õigusnorme vastu viisil, mis ei kahjusta selle määruse sisu ega eesmärke (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 60).

60 Selleks et määrata kindlaks tingimused ja piirid, millele peavad vastama isikuandmete kaitse üldmääruse artikli 88 lõigetes 1 ja 2 nimetatud eeskirjad, ning sellest tulenevalt hinnata liikmesriikidele nende sätetega jäetud kaalutlusruumi, tuleb meenutada, et väljakujunenud kohtupraktika kohaselt ei tule liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa õigusnorm on (15. märtsi 2022. aasta kohtuotsus Autorité des marchés financiers, C‑302/20, EU:C:2022:190, punkt 63).

61 Mis puudutab isikuandmete kaitse üldmääruse artikli 88 lõike 1 sõnastust, siis tuleneb kõigepealt sõnastuse „täpsemad“ kasutamisest, et selles sättes silmas peetud eeskirjadel peab olema reguleeritavale valdkonnale omane normatiivne sisu, mis erineb selle määruse üldnormidest.

62 Järgmiseks, nagu on märgitud käesoleva kohtuotsuse punktis 52, on selle sätte alusel vastu võetud eeskirjade eesmärk kaitsta töötajate õigusi ja vabadusi seoses nende isikuandmete töötlemisega töösuhete kontekstis.

63 Lõpuks tuleneb erinevatest eesmärkidest, milleks isikuandmeid võidakse töödelda, nagu on sätestatud isikuandmete kaitse üldmääruse artikli 88 lõikes 1, et selles artiklis nimetatud „täpsemad eeskirjad“ võivad olla seotud väga paljude töötlustoimingutega, mis leiavad aset töösuhtega seoses, mistõttu need hõlmavad kõiki eesmärke, milleks isikuandmeid võib töösuhte kontekstis töödelda. Lisaks, kuna need eesmärgid ei ole loetletud ammendavalt, nagu on märgitud käesoleva kohtuotsuse punktis 46, on liikmesriikidel kaalutlusruum seoses töötlemistoimingutega, mille suhtes kehtivad need täpsemad eeskirjad.

64 Isikuandmete kaitse üldmääruse artikli 88 lõikes 2 on ette nähtud, et lõike 1 alusel kehtestatud eeskirjad sisaldavad sobivaid ja konkreetseid meetmeid, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal.

65 Seega tuleneb isikuandmete kaitse üldmääruse artikli 88 sõnastusest, et selle artikli lõige 2 piiritleb nende liikmesriikide kaalutlusruumi, kes plaanivad võtta nimetatud artikli lõike 1 alusel vastu „täpsemad eeskirjad“. Järelikult ei või need eeskirjad esiteks piirduda kõnealuse määruse sätete kordamisega, vaid peavad olema suunatud töötajate õiguste ja vabaduste kaitsmisele seoses nende isikuandmete töötlemisega töösuhete kontekstis ning sisaldama sobivaid ja konkreetseid meetmeid, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi.

66 Teiseks peab see toimuma eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal.

67 Mis puudutab isikuandmete kaitse üldmääruse artikli 88 konteksti, siis tuleb esimesena nentida, et seda sätet tuleb tõlgendada koostoimes selle määruse põhjendusega 8, milles on märgitud, et kui selles määruses on ette nähtud eeskirjade täpsustamine või piiramine liikmesriigi õigusega, võivad liikmesriigid sidususe seisukohast vajalikul määral ja liikmesriigi õiguse sätete arusaadavaks muutmiseks isikutele, kelle suhtes neid kohaldatakse, integreerida kõnealuse määruse elemente oma õigusesse.

68 Teisena on oluline meenutada, et isikuandmete kaitse üldmääruse II peatükis on ette nähtud isikuandmete töötlemise põhimõtted ja III peatükis andmesubjekti õigused, mida tuleb igasugusel isikuandmete töötlemisel järgida (24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 50).

69 Iseäranis tuleb isikuandmete igasugusel töötlemisel ühelt poolt järgida andmete töötlemise põhimõtteid, mis on sätestatud isikuandmete kaitse üldmääruse artiklis 5, ning teiselt poolt peab töötlemine vastama ühele nimetatud määruse artiklis 6 loetletud andmetöötluse seaduslikkuse põhimõtetest (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 96 ja seal viidatud kohtupraktika).

70 Mis puudutab andmete töötlemise seaduslikkuse põhimõtteid, siis on isikuandmete kaitse üldmääruse artiklis 6 sätestatud ammendav ja piiratud loetelu juhtumitest, millal isikuandmete töötlemist saab lugeda seaduslikuks. Selleks et isikuandmete töötlemist saaks pidada seaduslikuks, peab töötlemine seega kuuluma selles artiklis 6 ette nähtud ühe olukorra alla (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 99 ja seal viidatud kohtupraktika).

71 Seega, kuigi liikmesriigid võivad neile isikuandmete kaitse üldmääruse kaitseklausliga antud võimaluse kasutamisel integreerida selle määruse elemente oma õigusesse niivõrd, kuivõrd see on vajalik selleks, et tagada sidusus ja muuta riigisisesed sätted arusaadavaks isikutele, kelle suhtes neid kohaldatakse, ei või isikuandmete kaitse üldmääruse artikli 88 lõike 1 alusel vastu võetud „täpsemad eeskirjad“ piirduda üksnes isikuandmete töötlemise seaduslikkuse tingimuste ja selle töötlemise põhimõtete – mis on vastavalt sätestatud selle määruse artiklis 6 ja 5 – kordamisega või neile tingimustele ja põhimõtetele viitamisega.

72 Tõlgendus, mille kohaselt on liikmesriikide kaalutlusruum isikuandmete kaitse üldmääruse artikli 88 lõike 1 alusel eeskirjade vastuvõtmisel piiratud selle artikli lõikega 2, on kooskõlas selle määruse eesmärgiga, mida on meenutatud käesoleva kohtuotsuse punktis 51 ja milleks on tagada isikuandmete kaitset käsitlevate riigisiseste õigusaktide põhimõtteliselt täielik ühtlustamine.

73 Nagu kohtujurist oma ettepaneku punktides 56, 70 ja 73 sisuliselt märkis, võib liikmesriikide võimalusega võtta isikuandmete kaitse üldmääruse artikli 88 lõike 1 alusel vastu „täpsemad eeskirjad“ kaasneda ühtlustamise puudumine nende eeskirjade kohaldamisalas. Selle määruse artikli 88 lõikega 2 kehtestatud tingimused peegeldavad määrusega aktsepteeritud diferentseerimise piire selles mõttes, et ühtlustamise puudumist saab lubada vaid juhul, kui allesjäänud erinevustega kaasnevad konkreetsed ja sobivad tagatised, mille eesmärk on kaitsta töötajate õigusi ja vabadusi seoses nende isikuandmete töötlemisega töösuhete kontekstis.

74 Järelikult selleks, et õigusnormi saaks kvalifitseerida „täpsemaks eeskirjaks“ isikuandmete kaitse üldmääruse artikli 88 lõike 1 tähenduses, peab see vastama selle artikli lõikes 2 sätestatud tingimustele. Lisaks sellele, et neil täpsematel eeskirjadel peab olema reguleeritavale valdkonnale omane normatiivne sisu, mis erineb selle määruse üldnormidest, peavad need eeskirjad olema suunatud töötajate õiguste ja vabaduste kaitsmisele seoses nende isikuandmete töötlemisega töösuhete kontekstis ning sisaldama sobivaid ja konkreetseid meetmeid, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi. See peab toimuma eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal.

75 Kõike eeltoodut arvesse võttes tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 88 tuleb tõlgendada nii, et liikmesriigi õigusnorm ei saa olla „täpsem eeskiri“ selle artikli lõike 1 tähenduses, kui see ei vasta nimetatud artikli lõikes 2 sätestatud tingimustele.

Teine küsimus

76 Teise küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, millised tagajärjed on sellel, kui tuvastatakse, et riigisisesed sätted, mis on kehtestatud selleks, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis, ei ole kooskõlas isikuandmete kaitse üldmääruse artikli 88 lõigetes 1 ja 2 sätestatud tingimuste ja piiridega.

77 Sellega seoses väärib meenutamist, et ELTL artikli 288 teise lõigu kohaselt on määrused tervikuna siduvad ja vahetult kohaldatavad kõikides liikmesriikides, mistõttu ei vaja nende sätted üldjuhul mingeid liikmesriikide rakendusmeetmeid (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punkt 109).

78 Kuid nagu on meenutatud käesoleva kohtuotsuse punktis 51, annavad isikuandmete kaitse üldmääruses ette nähtud kaitseklauslid liikmesriikidele võimaluse näha ette täiendavaid, rangemaid või erandeid ettenägevaid riigisiseseid eeskirju ja jätavad liikmesriikidele kaalutlusruumi asjaomaste sätete rakendamisel.

79 Nagu on märgitud käesoleva kohtuotsuse punktis 59, peavad liikmesriigid juhul, kui nad kasutavad neile isikuandmete kaitse üldmääruse kaitseklausliga antud võimalust, kasutama oma kaalutlusruumi selle määruse sätetes ette nähtud tingimustel ja piirides ning peavad seega võtma õigusnorme vastu viisil, mis ei kahjusta selle määruse sisu ega eesmärke.

80 Eelotsusetaotluse esitanud kohtul, kes on ainsana pädev tõlgendama riigisisest õigust, tuleb hinnata, kas põhikohtuasjas kõne all olevad sätted vastavad isikuandmete kaitse üldmääruse artiklis 88 ette nähtud tingimustele ja piiridele, mis on kokkuvõtlikult esitatud käesoleva kohtuotsuse punktis 74.

81 Ent nagu kohtujurist oma ettepaneku punktides 60–62 märkis, näivad sellised sätted nagu HDSIG § 23 lõige 1 ja HBG § 86 lõige 4, mis seavad töötajate isikuandmete töötlemise tingimuseks, et töötlemine on vajalik teatavatel töösuhte täitmisega seotud eesmärkidel, kordavat isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis b juba sätestatud töötlemise üldise seaduslikkuse tingimust, lisamata täpsemat eeskirja selle määruse artikli 88 lõike 1 tähenduses. Sellistel sätetel ei tundu olevat reguleeritavale valdkonnale omast normatiivset sisu, mis erineb selle määruse üldnormidest.

82 Kui eelotsusetaotluse esitanud kohus peaks tuvastama, et põhikohtuasjas kõne all olevad sätted ei vasta isikuandmete kaitse üldmääruse artiklis 88 sätestatud tingimustele ja piiridele, siis peab ta need sätted põhimõtteliselt kohaldamata jätma.

83 Vastavalt liidu õiguse esimuse põhimõttele on aluslepingute sätete ja institutsioonide vahetult kohaldatavate aktide vahekord liikmesriikide riigisisese õigusega selline, et need sätted ja aktid muudavad jõustudes automaatselt mittekohaldatavaks kõik nendega vastuolus olevad riigisiseste õigusaktide sätted (9. märtsi 1978. aasta kohtuotsus Simmenthal, 106/77, EU:C:1978:49, punkt 17; 19. juuni 1990. aasta kohtuotsus Factortame jt, C‑213/89, EU:C:1990:257, punkt 18, ning 4. veebruari 2016. aasta kohtuotsus Ince, C‑336/14, EU:C:2016:72, punkt 52).

84 Seega, kui puuduvad täpsemad eeskirjad, mis vastaksid isikuandmete kaitse üldmääruse artiklis 88 sätestatud tingimustele ja piiridele, reguleerivad isikuandmete töötlemist töösuhete kontekstis nii erasektoris kui ka avalikus sektoris vahetult selle määruse sätted.

85 Sellega seoses tuleb märkida, et isikuandmete töötlemise suhtes, nagu on kõne all põhikohtuasjas, võib kohaldada isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkte c ja e, mille kohaselt on isikuandmete töötlemine seaduslik, kui see on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

86 Isikuandmete kaitse üldmääruse artikli 6 lõikes 3 on esiteks sätestatud seoses selle määruse artikli 6 lõike 1 esimese lõigu punktides c ja e osutatud kahe seaduslikkuse juhtumiga, et töötlemine peab põhinema kas liidu õigusel või vastutava töötleja suhtes kohaldataval liikmesriigi õigusel, ja teiseks lisatud, et töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 esimese lõigu punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks (vt selle kohta 8. detsembri 2022. aasta kohtuotsus Inspektor v Inspektorata kam Visshia sadeben savet (isikuandmete töötlemise eesmärgid – kriminaalmenetlus), C‑180/21, EU:C:2022:967, punkt 95).

87 Euroopa Kohus on juba otsustanud, et isikuandmete seaduslik töötlemine vastutavate töötlejate poolt isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti e alusel ei eelda mitte ainult seda, et neid töötlejaid saab käsitada avalikes huvides oleva ülesande täitjatena, vaid ka seda, et isikuandmete töötlemine sellise ülesande täitmiseks põhineb selle määruse artikli 6 lõikes 3 ette nähtud õiguslikul alusel (vt selle kohta 20. oktoobri 2022. aasta kohtuotsus Koalitsia „Demokratichna Bulgaria – Obedinenie“, C‑306/21, EU:C:2022:813, punkt 52).

88 Kui eelotsusetaotluse esitanud kohus jõuab järeldusele, et töösuhete kontekstis isikuandmete töötlemist reguleerivad riigisisesed sätted ei vasta isikuandmete kaitse üldmääruse artikli 88 lõigetes 1 ja 2 ette nähtud tingimustele ja piiridele, peab ta järelikult veel kontrollima, kas need sätted kujutavad endast selle määruse artikli 6 lõikes 3 koostoimes põhjendusega 45 viidatud õiguslikku alust, mis vastab selles määruses ette nähtud nõuetele. Kui see on nii, siis ei või riigisiseseid õigusnorme kohaldamata jätta.

89 Eeltoodut arvestades tuleb teisele eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 88 lõikeid 1 ja 2 tuleb tõlgendada nii, et riigisisesed sätted, mis on kehtestatud selleks, et tagada töötajate õiguste ja vabaduste kaitse seoses nende isikuandmete töötlemisega töösuhete kontekstis, tuleb jätta kohaldamata, kui need sätted ei vasta artikli 88 lõigetes 1 ja 2 sätestatud tingimustele ja piiridele, välja arvatud juhul, kui kõnealused sätted kujutavad endast selle määruse artikli 6 lõikes 3 nimetatud õiguslikku alust, mis vastab määruses ette nähtud nõuetele.

Kohtukulud

90 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:

1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artiklit 88

tuleb tõlgendada nii, et

liikmesriigi õigusnorm ei saa olla „täpsem eeskiri“ selle artikli lõike 1 tähenduses, kui see ei vasta nimetatud artikli lõikes 2 sätestatud tingimustele.

2. Määruse 2016/679 artikli 88 lõikeid 1 ja 2

tuleb tõlgendada nii, et

riigisisesed sätted, mis on kehtestatud selleks, et tagada töötajate õiguste ja vabaduste kaitse seoses nende isikuandmete töötlemisega töösuhete kontekstis, tuleb jätta kohaldamata, kui need sätted ei vasta artikli 88 lõigetes 1 ja 2 sätestatud tingimustele ja piiridele, välja arvatud juhul, kui kõnealused sätted kujutavad endast selle määruse artikli 6 lõikes 3 nimetatud õiguslikku alust, mis vastab määruses ette nähtud nõuetele.

Allkirjad

* Kohtumenetluse keel: saksa.