EUROOPA KOHTU OTSUS (suurkoda)
4. juuli 2023(*)
Sisukord
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Veebipõhised suhtlusvõrgustikud – Turgu valitseva seisundi kuritarvitamine niisuguse võrgustiku operaatori poolt – Kuritarvitamine, mis seisneb võrgustiku kasutajate isikuandmete töötlemises, mis on ette nähtud võrgustiku kasutamise tüüptingimustes – Liikmesriigi konkurentsiasutuse pädevus tuvastada niisuguse töötlemise vastuolu selle määrusega – Seos isikuandmete kaitse järelevalve eest vastutavate liikmesriigi asutuste pädevusega – ELL artikli 4 lõige 3 – Lojaalse koostöö põhimõte – Määruse 2016/679 artikli 6 lõike 1 esimese lõigu punktid a–f – Isikuandmete töötlemise seaduslikkus – Artikli 9 lõiked 1 ja 2 – Isikuandmete eriliikide töötlemine – Artikli 4 punkt 11 – Mõiste „nõusolek“
Kohtuasjas C‑252/21,
mille ese on ELTL artikli 267 alusel Oberlandesgericht Düsseldorfi (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa) 24. märtsi 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 22. aprillil 2021, menetluses
Meta Platforms Inc., varem Facebook Inc.,
Meta Platforms Ireland Ltd, varem Facebook Ireland Ltd,
Facebook Deutschland GmbH
versus
Bundeskartellamt,
menetluses osales:
Verbraucherzentrale Bundesverband eV,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident L. Bay Larsen, kodade presidendid A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L. S. Rossi (ettekandja), D. Gratsias ja M. L. Arastey Sahún, kohtunikud J.‑C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi ja O. Spineanu-Matei,
kohtujurist: A. Rantos,
kohtusekretär: osakonnajuhataja D. Dittert,
arvestades kirjalikku menetlust ja 10. mai 2022. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Meta Platforms Inc., varem Facebook Inc., Meta Platforms Ireland Ltd, varem Facebook Ireland Ltd, ja Facebook Deutschland GmbH, esindajad: Rechtsanwälte M. Braun, M. Esser, L. Hesse, J. Höft ja H.‑G. Kamann,
– Bundeskartellamt, esindajad: J. Nothdurft, K. Ost, I. Sewczyk ja J. Topel,
– Verbraucherzentrale Bundesverband eV, esindaja: Rechtsanwalt S. Louven,
– Saksamaa valitsus, esindajad: J. Möller ja P.‑L. Krüger,
– Tšehhi valitsus, esindajad: M. Smolek ja J. Vláčil,
– Itaalia valitsus, esindaja: G. Palmieri, keda abistasid avvocati dello Stato E. De Bonis ja P. Gentili,
– Austria valitsus, esindajad: A. Posch, J. Schmoll ja G. Kunnert,
– Euroopa Komisjon, esindajad: F. Erlbacher, H. Kranenborg ja G. Meessen,
olles 20. septembri 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb seda, kuidas tõlgendada ELL artikli 4 lõiget 3 ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, ning parandused ELT 2016, L 314, lk 72, ja ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“) artikli 6 lõiget 1, artikli 9 lõikeid 1 ja 2, artikli 51 lõiget 1 ja artikli 56 lõiget 1.
2 Taotlus on esitatud kohtuvaidluses, milles ühelt poolt Meta Platforms Inc., varem Facebook Inc., Meta Platforms Ireland Ltd, varem Facebook Ireland Ltd, ja Facebook Deutschland GmbH ning teiselt poolt Bundeskartellamt (föderaalne konkurentsiamet, Saksamaa) vaidlevad viimase otsuse üle keelata neil äriühingutel teatavate isikuandmete töötlemine, mis on ette nähtud suhtlusvõrgustiku Facebook kasutamise tüüptingimustes (edaspidi „tüüptingimused“).
Õiguslik raamistik
Liidu õigus
Määrus (EÜ) nr 1/2003
3 Nõukogu 16. detsembri 2002. aasta määruse (EÜ) nr 1/2003 [ELTL artiklites 101 ja 102] sätestatud konkurentsieeskirjade rakendamise kohta (EÜT 2003, L 1, lk 1; ELT eriväljaanne 08/02, lk 205) artiklis 5 „Liikmesriikide konkurentsiasutuste volitused“ on ette nähtud:
„Liikmesriikide konkurentsiasutustel on [ELTL artiklite 101 ja 102] kohaldamise õigus üksikjuhtudel. Sel eesmärgil võivad nad omal algatusel või kaebuse põhjal teha järgmised otsused:
– nõuda rikkumise lõpetamist,
– kehtestada ajutisi meetmeid,
– kiita heaks kohustusi,
– kehtestada trahve, karistusmakseid või muid siseriiklikus õiguses sätestatud sanktsioone.
Kui keelamise tingimused ei ole nende valduses oleva teabe põhjal täidetud, võivad nad ka otsustada, et neil ei ole põhjust meetmeid võtta.“
Isikuandmete kaitse üldmäärus
4 Isikuandmete kaitse üldmääruse põhjendustes 1, 4, 38, 42, 43, 46, 47, 49 ja 51 on märgitud:
„(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja [ELTL] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.
[…]
(4) Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.
[…]
(38) Laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Niisugune eriline kaitse peaks eelkõige rakenduma laste isikuandmete kasutamisel turunduse eesmärgil või isiku või kasutajaprofiili loomiseks ja laste isikuandmete kogumisel otse lastele pakutavate teenuste kasutamise puhul. Vanemliku vastutuse kandja nõusolekut ei peaks olema vaja seoses lapsele otse pakutavate ennetavate või nõustamisteenustega.
[…]
(42) Kui töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõestada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. […] Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Nõusolekut ei tohiks lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.
(43) Selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras, eriti juhul kui vastutav töötleja on avaliku sektori asutus, ning seega on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult. Nõusolekut ei loeta vabatahtlikuks, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see ei ole lepingu täitmiseks vajalik.
[…]
(46) Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks. Muu füüsilise isiku eluliste huvide alusel saaks isikuandmeid põhimõtteliselt töödelda üksnes siis, kui töötlemist ei saa ilmselgelt teostada muul õiguslikul alusel. Mõnda liiki isikuandmetöötlus võib teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.
(47) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja (sealhulgas sellise vastutava töötleja, kellele võidakse isikuandmeid avaldada, või kolmanda isiku) õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga. […] Igal juhul tuleks õigustatud huvi olemasolu hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda. Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist. […] Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.
[…]
(49) Isikuandmete töötlemine sellisel määral, mis on rangelt vajalik ja proportsionaalne võrgu- ja infoturbe (s.o võrgu või infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseadusliku või pahatahtliku tegevuse eest, mis seavad ohtu salvestatud või edastatud isikuandmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ning nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate seotud teenuste turvalisuse) tagamiseks […], kujutab endast asjaomase vastutava töötleja õigustatud huvi. […]
[…]
(51) Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja ‑vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et [Euroopa L]iit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, sest need on hõlmatud biomeetriliste andmete määratlusega üksnes siis, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega. Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.“
5 Nimetatud määruse artiklis 4 on ette nähtud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
[…]
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;
[…]
11) andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;
[…]
23) „isikuandmete piiriülene töötlemine“ – kas
a) isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või
b) isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;
[…]“.
6 Nimetatud määruse artikli 5 „Isikuandmete töötlemise põhimõtted“ lõigetes 1 ja 2 on sätestatud:
„1. Isikuandmete töötlemisel tagatakse, et
a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);
b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; […]
c) isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);
[…]
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“
7 Sama määruse artikkel 6 „Isikuandmete töötlemise seaduslikkus“ on sõnastatud järgmiselt:
„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
b) isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;
c) isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;
d) isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;
e) isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.
Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.
[…]
3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:
a) liidu õigusega või
b) vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.
[…]
[…] Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga. […]“.
8 Isikuandmete kaitse üldmääruse artiklis 7 „Nõusoleku andmise tingimused“ on sätestatud:
„1. Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.
[…]
4. Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.“
9 Määruse artiklis 9 „Isikuandmete eriliikide töötlemine“ on sätestatud:
„1. Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
2. Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:
a) andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;
[…]
e) töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud;
f) töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni;
[…]“.
10 Määruse artikli 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ lõikes 1 on ette nähtud:
„Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:
[…]
c) isikuandmete töötlemise eesmärk ja õiguslik alus;
d) kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;
[…]“.
11 Isikuandmete kaitse üldmääruse VI peatükk „Sõltumatud järelevalveasutused“ sisaldab selle määruse artikleid 51–59.
12 Määruse artikli 51 „Järelevalveasutus“ lõigetes 1 ja 2 on ette nähtud:
„1. Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus […].
2. Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja [Euroopa K]omisjoniga koostööd kooskõlas VII peatükiga.“
13 Sama määruse artiklis 55 „Pädevus“ on ette nähtud:
„1. Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.
2. Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punkti c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.“
14 Isikuandmete kaitse üldmääruse artikli 56 „Juhtiva järelevalveasutuse pädevus“ lõikes 1 on sätestatud:
„Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piir[i]ülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.“
15 Selle määruse artikli 57 „Ülesanded“ lõikes 1 on ette nähtud:
„Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:
a) jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;
[…]
g) teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;
[…]“.
16 Määruse artikli 58 lõikes 1 on loetletud järelevalveasutuse uurimisvolitused ja selle lõikes 5 on täpsustatud, et „[l]iikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus[t] või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine“.
17 Isikuandmete kaitse üldmääruse VII peatüki „Koostöö ja järjepidevus“ 1. jagu „Koostöö“ sisaldab selle määruse artikleid 60–62. Artikli 60 „Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö“ lõikes 1 on ette nähtud:
„Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.“
18 Määruse artikli 61 „Vastastikune abi“ lõikes 1 on sätestatud:
„Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.“
19 Määruse artikli 62 „Järelevalveasutuste ühisoperatsioonid“ lõigetes 1 ja 2 on ette nähtud:
„1. Järelevalveasutused viivad asjakohasel juhul läbi ühisoperatsioone, sealhulgas ühiseid uurimisi ja ühiseid täitmise tagamise meetmeid, milles osalevad teiste liikmesriikide järelevalveasutuste liikmed või töötajad.
2. Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui isikuandmete töötlemise toimingud tõenäoliselt võivad oluliselt mõjutada märkimisväärset arvu andmesubjekte rohkem kui ühes liikmesriigis, on kõnealuse liikmesriigi järelevalveasutusel õigus ühisoperatsioonides osaleda. […]“.
20 Isikuandmete kaitse üldmääruse VII peatüki 2. jagu „Järjepidevus“ sisaldab määruse artikleid 63–67. Artikkel 63 „Järjepidevuse mehhanism“ on sõnastatud järgmiselt:
„Selleks et aidata käesolevat määrust kogu liidus järjepidevalt kohaldada, teevad järelevalveasutused koostööd üksteisega ja asjakohasel juhul komisjoniga käesolevas jaos sätestatud järjepidevuse mehhanismi kaudu.“
21 Määruse artikli 64 lõike 2 kohaselt:
„Pädev järelevalveasutus, [Euroopa A]ndmekaitsenõukogu eesistuja või komisjon võib taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks [Euroopa A]ndmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 või ühisoperatsioonide kohustust vastavalt artiklile 62.“
22 Määruse artikli 65 „Vaidluste lahendamine andmekaitsenõukogu poolt“ lõikes 1 on ette nähtud:
„Selleks et tagada käesoleva määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab [Euroopa A]ndmekaitsenõukogu vastu siduva otsuse järgmistel juhtudel:
a) kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta ning kui juhtiv järelevalveasutus ei ole vastuväidet järginud või on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;
b) kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus, […]
[…]“.
Saksa õigus
23 Konkurentsipiirangute vastase seaduse (Gesetz gegen Wettbewerbsbeschränkungen) (26. juunil 2013 avaldatud redaktsioonis; BGBl. 2013 I, lk 1750, 3245), viimati muudetud 16. juuli 2021. aasta seaduse (BGBl. 2021 I, lk 2959) §‑ga 2 (edaspidi „GWB“), § 19 lõikes 1 on sätestatud:
„Turgu valitseva seisundi kuritarvitamine ühe või enama ettevõtja poolt on keelatud.“
24 GWB § 32 lõike 1 kohaselt:
„Konkurentsiasutus võib kohustada ettevõtjaid või ettevõtjate ühendusi lõpetama käesolevas osas sisalduva õigusnormi või Euroopa Liidu toimimise lepingu artiklite 101 või 102 rikkumise.“
25 GWB § 50f lõikes 1 on ette nähtud:
„Konkurentsiasutused, reguleerivad asutused, föderaalne andmekaitse ja teabevabaduse inspektor, piirkondlikud andmekaitseinspektorid ja pädevad asutused Euroopa Liidu tarbijakaitseõiguse rakendamise seaduse [(EU-Verbraucherschutzdurchführungsgesetz)] § 2 tähenduses võivad olenemata valitud menetlusest vahetada omavahel teavet, sh isikuandmeid ning kaubandus‑ ja ärisaladusi, kui see on vajalik nende vastavate ülesannete täitmiseks, ning seda teavet oma menetlustes kasutada. […]“.
Põhikohtuasi ja eelotsuse küsimused
26 Meta Platforms Ireland haldab liidus veebipõhise suhtlusvõrgustiku Facebook pakkumist ja edendab eelkõige aadressil www.facebook.com teenuseid, mis on erakasutajatele tasuta. Teised Meta kontserni ettevõtjad pakuvad liidus muid veebipõhiseid teenuseid, sealhulgas teenuseid Instagram, WhatsApp, Oculus ja – kuni 13. märtsini 2020 – Masquerade.
27 Veebipõhise suhtlusvõrgustiku Facebook majandusmudel põhineb rahastamisel internetireklaami kaudu, mida kohandatakse suhtlusvõrgustiku üksikkasutajatele muu hulgas nende tarbimiskäitumise, huvide, ostujõu ja isikliku olukorra põhjal. Sellise reklaami teevad tehniliselt võimalikuks võrgustiku kasutajate üksikasjalike profiilide automatiseeritud koostamine ja Meta kontserni tasandil pakutavad veebipõhised teenused. Selleks kogutakse lisaks andmetele, mida need kasutajad ise esitavad asjaomaste veebipõhiste teenuste kasutajaks registreerumisel, ka muid nimetatud kasutajate ja nende seadmete kohta käivaid andmeid nii selles suhtlusvõrgustikus kui ka väljaspool seda ja Meta kontserni pakutavaid veebipõhiseid teenuseid ning need seotakse kasutajate erinevate kasutajakontodega. Koos võetuna võimaldavad need andmed teha üksikasjalikke järeldusi kõnealuste kasutajate eelistuste ja huvide kohta.
28 Nende andmete töötlemisel tugineb Meta Platforms Ireland kasutuslepingule, mille suhtlusvõrgustiku Facebook kasutajad sõlmivad, klõpsates nupul „registreeri“, ja mille abil nad nõustuvad selle äriühingu koostatud tüüptingimustega. Suhtlusvõrgustiku Facebook kasutamiseks on vaja nende tingimustega nõustuda. Isikuandmete töötlemise osas viitavad tüüptingimused selle äriühingu kehtestatud andmete ja küpsiste kasutamise poliitikale. Viimase kohaselt kogub Meta Platforms Ireland kasutajate ja seadmete kohta andmeid, mis puudutavad kasutajate tegevust suhtlusvõrgustikus ja sellest väljaspool, ning seob need andmed asjasse puutuvate kasutajate Facebooki kontodega. Viimati nimetatud andmed, mis puudutavad tegevust väljaspool suhtlusvõrgustikku (edaspidi ka „off Facebooki andmed“), on esiteks andmed Facebookiga programmiliideste – „Facebook Business Tools“ – kaudu seotud kolmandate isikute veebisaitide ja rakenduste külastamise kohta ning teiseks andmed, mis on seotud teiste Meta kontserni kuuluvate veebipõhiste teenuste kasutamisega, sealhulgas teenustega Instagram, WhatsApp, Oculus ja – kuni 13. märtsini 2020 – Masquerade.
29 Föderaalne konkurentsiamet algatas Meta Platformsi, Meta Platforms Irelandi ja Facebook Deutschlandi vastu menetluse, mille tulemusel keelas ta neil 6. veebruari 2019. aasta otsusega GWB § 19 lõike 1 ja § 32 alusel sisuliselt seada tüüptingimustes Saksamaal elavate erakasutajate jaoks suhtlusvõrgustiku Facebook kasutamise tingimuseks nende kohta käivate off Facebooki andmete töötlemise ja töödelda neid andmeid sel ajal kehtinud tüüptingimuste alusel ilma kasutajate nõusolekuta. Lisaks kohustas ta neid tüüptingimusi kohandama nii, et neist nähtuks selgelt, et neid andmeid ei koguta, ei seota Facebooki kasutajakontodega ega kasutata ilma asjasse puutuva kasutaja nõusolekuta, ning selgitas, et selline nõusolek ei ole kehtiv, kui see on suhtlusvõrgustiku kasutamise tingimus.
30 Föderaalne konkurentsiamet põhjendas oma otsust asjaoluga, et asjasse puutuvate kasutajate andmete töötlemine, nagu see on ette nähtud tüüptingimustes ja nagu seda rakendab Meta Platforms Ireland, kujutab endast selle äriühingu turgu valitseva seisundi kuritarvitamist Saksamaa erakasutajatele mõeldud veebipõhiste suhtlusvõrgustike turul GWB § 19 lõike 1 tähenduses. Täpsemalt on föderaalse konkurentsiameti sõnul need tüüptingimused kui turgu valitsevast seisundist tulenevad tingimused ebaõiglased, kuna off Facebooki andmete töötlemine, mis nendes on ette nähtud, ei ole kooskõlas isikuandmete kaitse üldmääruse aluseks olevate väärtustega ning eelkõige ei ole see põhjendatav selle määruse artikli 6 lõike 1 ja artikli 9 lõike 2 seisukohast.
31 Meta Platforms, Meta Platforms Ireland ja Facebook Deutschland esitasid 11. veebruaril 2019 föderaalse konkurentsiameti otsuse peale kaebuse Oberlandesgericht Düsseldorfile (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa).
32 Meta Platforms Ireland kehtestas 31. juulil 2019 uued tüüptingimused, milles oli sõnaselgelt märgitud, et selle asemel, et maksta Facebooki toodete kasutamise eest, kinnitab kasutaja reklaamteadetega nõustumist.
33 Lisaks pakub Meta Platforms alates 28. jaanuarist 2020 kogu maailmas teenust „Off-Facebook-Activity“, mis võimaldab suhtlusvõrgustiku Facebook kasutajatel saada kokkuvõtte neid puudutavast teabest, mille Meta kontserni äriühingud on omandanud seoses nende kasutajate tegevusega muudel veebilehtedel ja muudes rakendustes, ning soovi korral need andmed oma Facebook.com-i kontost nii minevikku kui ka tulevikku puudutavas osas lahti siduda.
34 Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis) kahtleb esiteks selles, kas liikmesriigi konkurentsiasutused võivad oma pädevuse teostamise raames kontrollida isikuandmete töötlemise vastavust isikuandmete kaitse üldmääruses sätestatud nõuetele; teiseks selles, kas veebipõhise suhtlusvõrgustiku operaator võib töödelda andmesubjekti delikaatseid isikuandmeid selle määruse artikli 9 lõigete 1 ja 2 tähenduses; kolmandaks selles, kas asjasse puutuva kasutaja isikuandmete töötlemine sellise operaatori poolt on kõnealuse määruse artikli 6 lõike 1 kohaselt seaduslik, ning neljandaks selles, kas nõusolek, mis on antud selliseks töötlemiseks ettevõtjale, kes on liikmesriigi suhtlusvõrgustike turul valitsevas seisundis, on kehtiv, võttes arvesse kõnealuse määruse artikli 6 lõike 1 esimese lõigu punkti a ja artikli 9 lõike 2 punkti a.
35 Selles kontekstis otsustas Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis), kes leidis, et põhikohtuasja lahendus sõltub nendele küsimustele antavast vastusest, menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. a) Kas isikuandmete kaitse üldmääruse artikliga 51 jj on kooskõlas see, kui selline liikmesriigi konkurentsiasutus nagu föderaalne konkurentsiamet, kes ei ole järelevalveasutus isikuandmete kaitse üldmääruse artikli 51 jj tähenduses ja kelle liikmesriigis asub väljaspool Euroopa Liitu asuva ettevõtja filiaal, kes toetab reklaami, kommunikatsiooni ja suhtekorralduse vallas selle ettevõtja peamist tegevuskohta, mis asub teises liikmesriigis ja on ainuvastutav isikuandmete töötlemise eest kogu Euroopa Liidu territooriumil, tuvastab konkurentsiõiguse kuritarvituste üle tehtava järelevalve käigus, et peamise tegevuskoha andmetöötluse lepingutingimused ja nende rakendamine rikuvad isikuandmete kaitse üldmääruse sätteid, ning teeb ettekirjutuse sellise rikkumise lõpetamiseks?
b) Kui jah, siis kas ELL artikli 4 lõikega 3 on kooskõlas see, kui samal ajal alustab peamise tegevuskoha liikmesriigis juhtiv järelevalveasutus isikuandmete kaitse üldmääruse artikli 56 lõike 1 tähenduses nende andmetöötluse lepingutingimuste suhtes uurimismenetlust?
Kui vastus esimesele küsimusele on jaatav:
2. a) Kas siis, kui internetikasutaja kas lihtsalt külastab veebisaite või kasutab rakendusi, millel on seos isikuandmete kaitse üldmääruse artikli 9 lõike 1 kriteeriumidega, näiteks flirdirakendusi, homoseksuaalsete partnerite kohtingulehti, poliitiliste parteide veebilehti, tervisega seotud veebilehti, või sisestab sinna ka andmeid, näiteks end registreerides või tellimust tehes, ning teine ettevõtja, näiteks [Meta Platforms Ireland], kogub nendesse veebisaitidesse või rakendustesse integreeritud liideste, näiteks Facebook Business Toolsi kaudu või internetikasutaja arvutisse või mobiilsesse lõppseadmesse paigaldatud küpsiste või sarnaste salvestustehnoloogiate kaudu andmeid veebilehtede ja rakenduste külastuste kohta kasutaja poolt ja seal sisestatud kasutajaandmete kohta, seob need kasutaja Facebook.com-i konto andmetega ja kasutab neid, on kogumise ja/või sidumise ja/või kasutamise puhul tegemist delikaatsete isikuandmete töötlemisega viidatud sätte tähenduses?
b) Kui jah, siis kas selliste veebilehtede külastamine ja rakenduste kasutamine ja/või seal andmete sisestamine ja/või nendesse veebisaitidesse või rakendustesse integreeritud sellise operaatori nagu [Meta Platforms Ireland] valikunuppude (sellised sotsiaalmeedia pluginad nagu „meeldib“, „jaga“ või „login Facebook“ või „account kit“) aktiveerimine kujutab endast külastamise kui sellise ja/või kasutaja poolt andmete sisestamise teel andmete ilmselget avalikustamist isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tähenduses?
3. Kas selline ettevõtja nagu [Meta Platforms Ireland], kes haldab reklaamist rahastatavat veebipõhist suhtlusvõrgustikku ning pakub oma teenuse tingimustes sisu ja reklaami isikupärastamist, võrgustiku turvalisust, toote parendamist ja kõikide kontserni toodete ühtset ja sujuvat kasutamist, võib tugineda põhjendusele, et see on vajalik lepingu täitmiseks vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile b, või õigustatud huvi tõttu vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f, kui ta kogub neil eesmärkidel andmeid teistest kontserni pakutavatest teenustest ja kolmandate isikute veebisaitidelt ja rakendustest nendega seotud liideste, näiteks Facebook Business Toolsi kaudu, või internetikasutaja arvutisse või mobiilsesse lõppseadmesse paigaldatud küpsiste või sarnaste salvestustehnoloogiate kaudu, seob need kasutaja Facebook.com-i kontoga ja kasutab neid?
4. Kas sellisel juhul võivad ka
– asjaolu, et kasutaja on alaealine, sisu ja reklaami isikupärastamise, toote parendamise, võrgustiku turvalisuse ja kasutajaga mitteturundusliku suhtluse tarbeks,
– mõõtmiste, analüüside ja muude äriteenuste pakkumine reklaamiklientidele, arendajatele ja muudele partneritele, et nad saaksid oma teenuseid hinnata ja parendada,
– kasutajaga turundusalase suhtluse pakkumine, et ettevõtja saaks oma tooteid parendada ja otseturundust teha,
– ühiskonna hüvanguks uuringute ja uuenduste läbiviimine, et edendada tehnika taset ja teaduslikku arusaamist olulistest sotsiaalsetest teemadest ning positiivselt mõjutada ühiskonda ja maailma,
– süütegude uurimiseks ja karistuste täideviimiseks pädevate asutuste teavitamine ning vastamine õiguslikele päringutele eesmärgiga süütegusid, kasutustingimuste ja ‑poliitika rikkumist ja muid kahjulikke käitumisviise ära hoida, avastada ja nende eest vastutusele võtta,
olla õigustatud huviks isikuandmete kaitse üldmääruse artikli 6 lõike 1 [punkti f] tähenduses, kui ettevõtja kogub neil eesmärkidel andmeid teistest kontserni pakutavatest teenustest ja kolmandate isikute veebisaitidelt ja rakendustest nendesse integreeritud liideste, näiteks Facebook Business Toolsi kaudu, või internetikasutaja arvutisse või mobiilsesse lõppseadmesse paigaldatud küpsiste või sarnaste salvestustehnoloogiate kaudu, seob kasutaja Facebook.com-i kontoga ja kasutab neid?
5. Kas sellisel juhul võib andmete kogumine teistest kontserni pakutavatest teenustest ja kolmandate isikute veebisaitidelt ja rakendustest nendega seotud liideste, näiteks Facebook Business Toolsi kaudu, või internetikasutaja arvutisse või mobiilsesse lõppseadmesse paigaldatud küpsiste või sarnaste salvestustehnoloogiate kaudu kasutaja Facebook.com-i kontoga sidumine ja kasutamine või juba mujal õiguspäraselt kogutud ja seotud andmete kasutamine olla üksikjuhtumil põhjendatud ka vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktidele c, d ja e, näiteks et vastata õiguspärasele taotlusele esitada teatud andmeid (punkt c), võidelda kahjuliku tegevusega ja suurendada turvalisust (punkt d), ühiskonna hüvanguks uuringute läbiviimiseks ning turvalisuse, usaldusväärsuse ja ohutuse suurendamiseks (punkt e)?
6. Kas sellisele turgu valitsevas seisundis olevale ettevõtjale nagu [Meta Platforms Ireland] saab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a ja artikli 9 lõike 2 punkti a kohaselt anda kehtiva ja vabatahtliku nõusoleku isikuandmete kaitse üldmääruse artikli 4 punkti 11 tähenduses?
Kui vastus esimesele küsimusele on eitav:
7. a) Kas selline liikmesriigi konkurentsiamet nagu föderaalne konkurentsiamet, kes ei ole järelevalveasutus isikuandmete kaitse üldmääruse artikli 51 jj tähenduses ja kes kontrollib turgu valitsevas seisundis oleva ettevõtja poolset konkurentsiõiguse kuritarvituste keelu rikkumist, mis ei seisne selles, et tema andmetöötlustingimused ja nende rakendamine rikuksid isikuandmete kaitse üldmääruse sätteid, võib näiteks huvide kaalumise raames teha järeldusi selle kohta, kas selle ettevõtja andmetöötlustingimused ja nende rakendamine vastavad isikuandmete kaitse üldmäärusele?
b) Kui jah, siis kas see kehtib ELL artikli 4 lõiget 3 arvestades ka siis, kui samal ajal algatab selle ettevõtja andmetöötlustingimuste suhtes uurimismenetluse isikuandmete kaitse üldmääruse artikli 56 lõike 1 kohaselt pädev juhtiv järelevalveasutus?
Kui vastus seitsmendale küsimusele on jaatav, palutakse vastata kolmandale kuni viiendale küsimusele seoses kontserni enda Instagrami teenuse kasutamisest saadud andmetega.“
Eelotsuse küsimuste analüüs
Esimene ja seitsmes küsimus
36 Esimese ja seitsmenda küsimusega, mida tuleb käsitleda koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 51 jj tuleb tõlgendada nii, et kui liikmesriigi konkurentsiasutus analüüsib, kas ettevõtja kuritarvitab turgu valitsevat seisundit ELTL artikli 102 tähenduses, võib ta oma analüüsi raames tuvastada, et selle ettevõtja koostatud tüüptingimused, mis puudutavad isikuandmete töötlemist, ja nende tingimuste rakendamine ei ole isikuandmete kaitse üldmäärusega kooskõlas, ning kui vastus on jaatav, siis kas ELL artikli 4 lõiget 3 tuleb tõlgendada nii, et konkurentsiasutuse selline täiendavalt tehtud järeldus on võimalik ka juhul, kui pädev juhtiv järelevalveasutus viib samal ajal nende tingimuste suhtes läbi uurimismenetlust isikuandmete kaitse üldmääruse artikli 56 lõike 1 alusel.
37 Sellele küsimusele vastamiseks tuleb kõigepealt märkida, et isikuandmete kaitse üldmääruse artikli 55 lõige 1 näeb ette, et põhimõtteliselt on igal järelevalveasutusel pädevus täita oma liikmesriigi territooriumil ülesandeid ja kasutada volitusi, mis on talle antud kooskõlas selle määrusega (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punkt 47 ning seal viidatud kohtupraktika).
38 Kõnealuste järelevalveasutuste ülesannete hulka kuulub isikuandmete kaitse üldmääruse kohaldamise jälgimine ja määruse kohaldamise tagamine, nagu on ette nähtud selle määruse artikli 51 lõikes 1 ja artikli 57 lõike 1 punktis a, eesmärgiga kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada selliste andmete vaba liikumist liidus. Lisaks teevad järelevalveasutused nimetatud määruse artikli 51 lõike 2 ja artikli 57 lõike 1 punkti g kohaselt omavahel koostööd, sealhulgas vastastikku teavet jagades ja abi osutades, et tagada määruse ja selle täitmise tagamiseks võetud meetmete ühetaoline kohaldamine.
39 Nende ülesannete täitmiseks on kõnealustele järelevalveasutustele isikuandmete kaitse üldmääruse artikli 58 lõikega 1 antud uurimisvolitused, lõikega 2 parandusvolitused ja lõikega 5 õigus juhtida õigusasutuste tähelepanu selle määruse rikkumistele ning vajaduse korral osaleda kohtumenetluses, et tagada määruse sätete täitmine.
40 Ilma et see piiraks isikuandmete kaitse üldmääruse artikli 55 lõikes 1 sätestatud pädevuse reegli kohaldamist, näeb selle määruse artikli 56 lõige 1 piiriülese töötlemise jaoks artikli 4 punkti 23 tähenduses ette ühtse kontaktpunkti mehhanismi, mis põhineb pädevuse jaotusel juhtiva järelevalveasutuse ja teiste asjasse puutuvate järelevalveasutuste vahel ning kõigi nende asutuste vahelisel koostööl vastavalt määruse artiklis 60 ette nähtud koostöömenetlusele.
41 Lisaks kohustab isikuandmete kaitse üldmääruse artikli 61 lõige 1 järelevalveasutusi andma üksteisele asjakohast teavet ja osutama vastastikust abi, et seda määrust rakendataks ja kohaldataks kogu liidus järjepidevalt. Osutatud määruse artiklis 63 on täpsustatud, et just sel eesmärgil ongi ette nähtud määruse artiklites 64 ja 65 sätestatud järjepidevuse mehhanism (15. juuni 2021. aasta kohtuotsus Facebook Ireland jt, C‑645/19, EU:C:2021:483, punkt 52 ning seal viidatud kohtupraktika).
42 Samas tuleb märkida, et isikuandmete kaitse üldmääruses sätestatud koostööreeglid ei ole suunatud liikmesriikide konkurentsiasutustele, vaid reguleerivad koostööd asjasse puutuvate liikmesriikide järelevalveasutuste ja juhtiva järelevalveasutuse vahel ning vajaduse korral nende asutuste koostööd Euroopa Andmekaitsenõukogu ja komisjoniga.
43 Ei isikuandmete kaitse üldmääruses ega üheski teises liidu õigusaktis ei ole nimelt ette nähtud erinorme liikmesriigi konkurentsiasutuse koostöö kohta asjasse puutuvate liikmesriikide järelevalveasutuste või juhtiva järelevalveasutusega. Lisaks ei keela ükski selle määruse säte liikmesriigi konkurentsiasutustel oma ülesannete täitmisel tuvastada, et turgu valitsevas seisundis ettevõtja tehtav andmetöötlus, mis võib endast kujutada selle seisundi kuritarvitamist, ei ole selle määrusega kooskõlas.
44 Siinkohal tuleb esiteks täpsustada, et järelevalveasutused ja liikmesriikide konkurentsiasutused täidavad erinevaid ülesandeid ning tegutsevad neile omaste eesmärkide saavutamiseks ja ülesannete täitmiseks.
45 Ühelt poolt, nagu on märgitud käesoleva kohtuotsuse punktis 38, on järelevalveasutuse peamine ülesanne isikuandmete kaitse üldmääruse artikli 51 lõigete 1 ja 2 ning artikli 57 lõike 1 punktide a ja g kohaselt jälgida selle määruse kohaldamist ja tagada selle kohaldamine, andes samal ajal panuse määruse ühetaolise kohaldamise tagamiseks liidus, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada selliste andmete vaba liikumist liidus. Nagu on meenutatud käesoleva kohtuotsuse punktis 39, on järelevalveasutusel selleks erinevad volitused, mis on talle antud isikuandmete kaitse üldmääruse artikliga 58.
46 Teiselt poolt on liikmesriikide konkurentsiasutustel määruse nr 1/2003 artikli 5 kohaselt pädevus võtta muu hulgas vastu otsuseid, milles tuvastatakse, et ettevõtja on kuritarvitanud turgu valitsevat seisundit ELTL artikli 102 tähenduses, mille eesmärk on kehtestada kord, mis tagab, et konkurentsi siseturul ei moonutata, arvestades ka sellise kuritarvitamise tagajärgi tarbijatele sellel turul.
47 Nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 23, peab konkurentsiasutus sellise otsuse vastuvõtmisel juhtumi kõigi konkreetsete asjaolude põhjal hindama, kas turgu valitsevas seisundis ettevõtja tegevus takistab turul eksisteeriva konkurentsi säilimist või selle konkurentsi arengut vahenditega, mis erinevad nendest vahenditest, mida kasutatakse kaupade või teenuste tavapärases konkurentsis (vt selle kohta 25. märtsi 2021. aasta kohtuotsus Deutsche Telekom vs. komisjon, C‑152/19 P, EU:C:2021:238, punktid 41 ja 42). Sellega seoses võib niisuguse tegevuse kooskõla või vastuolu isikuandmete kaitse üldmääruse sätetega olenevalt olukorrast kujutada endast olulist näitajat juhtumi asjaolude hulgas, mis võimaldavad kindlaks teha, kas tegevus kujutab endast selliste vahendite kasutamist, mida kasutatakse tavapärases konkurentsis, ning hinnata teatava praktika tagajärgi turule või tarbijatele.
48 Sellest järeldub, et kui liikmesriigi konkurentsiasutus analüüsib, kas ettevõtja kuritarvitab turgu valitsevat seisundit konkreetsel turul, võib tal osutuda vajalikuks analüüsida ka selle ettevõtja tegevuse vastavust muudele kui konkurentsiõiguse normidele, näiteks isikuandmete kaitse üldmääruses ette nähtud isikuandmete kaitse normidele.
49 Võttes aga arvesse, et eesmärgid, mida taotlevad ühelt poolt konkurentsi valdkonna normid, eelkõige ELTL artikkel 102, ja teiselt poolt isikuandmete kaitse üldmääruse alusel isikuandmete kaitse valdkonnas ette nähtud normid, on erinevad, tuleb tõdeda, et kui liikmesriigi konkurentsiasutus tuvastab turgu valitseva seisundi kuritarvitamise tuvastamise raames isikuandmete kaitse üldmääruse rikkumise, ei asu ta järelevalveasutuste asemele. Täpsemalt ei jälgi selline liikmesriigi konkurentsiasutus kõnealuse määruse kohaldamist ega taga selle kohaldamist selle artikli 51 lõikes 1 osutatud eesmärgil, nimelt füüsiliste isikute põhiõiguste ja -vabaduste kaitsmiseks seoses nende isikuandmete töötlemisega ning isikuandmete vaba liikumise hõlbustamiseks liidus. Lisaks tuleb märkida, et kui selline asutus piirdub tuvastamisega, et andmetöötlus ei ole isikuandmete kaitse üldmäärusega kooskõlas, üksnes selleks, et tuvastada turgu valitseva seisundi kuritarvitamine ja määrata meetmed selle kuritarvitamise lõpetamiseks konkurentsiõigusest tuleneval õiguslikul alusel, ei täida ta ühtegi selle määruse artiklis 57 nimetatud ülesannet ega kasuta järelevalveasutusele nimetatud määruse artikliga 58 antud volitusi.
50 Lisaks on oluline tõdeda, et juurdepääs isikuandmetele ja nende kasutamine on digitaalmajanduses äärmiselt tähtis. Seda tähtsust illustreerib põhikohtuasjas ärimudel, mida kasutab suhtlusvõrgustik Facebook ja mis näeb ette – nagu on meenutatud käesoleva kohtuotsuse punktis 27 – rahastamise isikupärastatud reklaamsõnumite turustamise abil, lähtudes Meta Platforms Irelandi kogutud isikuandmete põhjal koostatud kasutajaprofiilidest.
51 Nagu rõhutas eelkõige komisjon, on juurdepääs isikuandmetele ja võimalus neid andmeid töödelda muutunud digitaalmajanduse ettevõtjate vahelise konkurentsi oluliseks näitajaks. Seetõttu eiraks isikuandmete kaitse normide väljajätmine õiguslikust raamistikust, mida konkurentsiasutused peavad turgu valitseva seisundi kuritarvitamise analüüsimisel arvesse võtma, selle majandusliku arengu tegelikkust ja võiks kahjustada konkurentsiõiguse tõhusust liidus.
52 Siiski tuleb teiseks märkida, et juhul kui liikmesriigi konkurentsiasutus peab vajalikuks võtta turgu valitseva seisundi kuritarvitamist käsitleva otsuse raames seisukoht selle kohta, kas isikuandmete töötlemine kõnealuse ettevõtja poolt on isikuandmete kaitse üldmäärusega kooskõlas või mitte, peavad see asutus ja asjasse puutuv järelevalveasutus või olenevalt asjaoludest pädev juhtiv järelevalveasutus selle määruse tähenduses tegema omavahel koostööd, et tagada selle määruse ühetaoline kohaldamine.
53 Nimelt, kuigi isikuandmete kaitse üldmääruses ega üheski teises liidu õigusaktis ei ole ette nähtud sellekohaseid erinorme, nagu on tõdetud käesoleva kohtuotsuse punktides 42 ja 43, ei muuda see tõsiasja – nagu sisuliselt märkis ka kohtujurist oma ettepaneku punktis 28 –, et isikuandmete kaitse üldmääruse kohaldamisel on ELL artikli 4 lõikega 3 tagatud lojaalse koostöö põhimõte siduv kõigile asjasse puutuvatele liikmesriikide ametiasutustele. Vastavalt väljakujunenud kohtupraktikale peavad liikmesriigid, sealhulgas nende haldusasutused, selle põhimõtte kohaselt aluslepingutest tulenevate ülesannete täitmisel üksteist austama ja abistama, võtma kõik sobivad meetmed, et tagada eelkõige liidu institutsioonide õigusaktidest tulenevate kohustuste täitmine, ning hoiduma kõigist meetmetest, mis võiksid ohustada liidu eesmärkide saavutamist (vt selle kohta 7. novembri 2013. aasta kohtuotsus UPC Nederland, C‑518/11, EU:C:2013:709, punkt 59, ning 1. augusti 2022. aasta kohtuotsus Sea Watch, C‑14/21 ja C‑15/21, EU:C:2022:604, punkt 156).
54 Seega, kui liikmesriigi konkurentsiasutused peavad oma pädevuse teostamisel kontrollima ettevõtja tegevuse vastavust isikuandmete kaitse üldmääruse sätetele, peavad nad seda põhimõtet arvestades asjaomaste liikmesriikide järelevalveasutuste või juhtiva järelevalveasutusega konsulteerima ja lojaalset koostööd tegema, kusjuures kõik need asutused on selles kontekstis kohustatud järgima oma volitusi ja pädevust, et isikuandmete kaitse üldmäärusest tulenevaid kohustusi ja selle määruse eesmärke järgitaks ning nende soovitav toime säiliks.
55 See, kui konkurentsiasutus analüüsib ettevõtja tegevust isikuandmete kaitse üldmääruse normide alusel, võib nimelt kaasa tuua ohu, et konkurentsiasutus ja järelevalveasutused tõlgendavad seda määrust erinevalt.
56 Sellest järeldub, et kui liikmesriigi konkurentsiasutus, kes analüüsib, kas ettevõtja kuritarvitab turgu valitsevat seisundit ELTL artikli 102 tähenduses, leiab, et on vaja hinnata selle ettevõtja tegevuse kooskõla isikuandmete kaitse üldmääruse sätetega, peab see asutus kontrollima, kas liikmesriigi pädev järelevalveasutus või juhtiv järelevalveasutus või Euroopa Kohus on selle või samalaadse tegevuse kohta juba otsuse teinud. Kui see on nii, ei või liikmesriigi konkurentsiasutus sellest kõrvale kalduda, kuid tal on vabadus teha sellest oma järeldused konkurentsiõiguse kohaldamise seisukohalt.
57 Kui tal on kahtlusi liikmesriigi pädeva järelevalveasutuse või juhtiva järelevalveasutuse hinnangu sisu suhtes olukorras, kus analüüsitav tegevus või samalaadne tegevus on samal ajal nende asutuste uurimise all või kus need asutused ei ole uurimist läbi viinud, ja kui ta leiab, et ettevõtja tegevus ei ole isikuandmete kaitse üldmääruse sätetega kooskõlas, peab liikmesriigi konkurentsiasutus nende asutustega konsulteerima ja esitama neile taotluse koostöö tegemiseks, et kõrvaldada oma kahtlused või teha kindlaks, kas on asjakohane oodata ära järelevalveasutuse otsuse vastuvõtmine enne oma hinnangu andmist.
58 Kui liikmesriigi konkurentsiasutus esitab järelevalveasutusele taotluse, peab viimane omalt poolt sellisele teabe- või koostöötaotlusele mõistliku aja jooksul vastama, edastades konkurentsiasutusele kõik tema valduses olevad andmed, mis võivad võimaldada tal kõrvaldada konkurentsiasutuse kahtlused järelevalveasutuse hinnangu sisu osas, või kui see on asjakohane, siis teavitades liikmesriigi konkurentsiasutust sellest, kas ta kavatseb algatada koostöömenetluse teiste asjasse puutuvate järelevalveasutuste või juhtiva järelevalveasutusega vastavalt isikuandmete kaitse üldmääruse artiklile 60 jj, et jõuda otsusele selle kohta, kas vaadeldav tegevus on kõnealuse määrusega kooskõlas või mitte.
59 Kui taotluse saanud järelevalveasutus ei esita vastuväiteid või ei vasta mõistliku aja jooksul, võib liikmesriigi konkurentsiasutus oma uurimist jätkata. Sama kehtib ka juhul, kui liikmesriigi pädev järelevalveasutus ja juhtiv järelevalveasutus ei ole vastu sellele, et sellist uurimist jätkatakse ilma nende poolt tehtavat otsust ära ootamata.
60 Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et 2018. aasta oktoobris ja novembris ehk enne 6. veebruari 2019. aasta otsuse tegemist võttis föderaalne konkurentsiamet ühendust Bundesbeauftragte für den Datenschutz und die Informationsfreiheitiga (BfDI) (andmekaitse ja teabevabaduse föderaalvolinik, Saksamaa), Hamburgische Beauftragte für Datenschutz und Informationsfreiheitiga (Hamburgi andmekaitse ja teabevabaduse volinik, Saksamaa), kes on Facebook Deutschlandi suhtes pädev, ning Data Protection Commissioniga (DPC) (andmekaitsekomisjon, Iirimaa), et teavitada neid ametiasutusi oma menetlusest. Lisaks ilmneb, et föderaalne konkurentsiamet sai kinnituse, et kõnealused asutused ei uurinud sel ajal põhikohtuasjas käsitletavate asjaoludega sarnaseid asjaolusid, ning need asutused ei esitanud vastuväiteid tema menetlusele. Viimaks viitas föderaalne konkurentsiamet oma 6. veebruari 2019. aasta otsuse punktides 555 ja 556 sõnaselgelt sellele koostööle.
61 Neil asjaoludel ja kui eelotsusetaotluse esitanud kohtu läbiviidava kontrolli tulemusel ei ilmne vastupidist, näib föderaalne konkurentsiamet olevat täitnud oma kohustuse teha lojaalset koostööd nii asjaomaste riigisiseste järelevalveasutuste kui ka juhtiva järelevalveasutusega.
62 Eeltoodut arvestades tuleb esimesele ja seitsmendale küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 51 jj ning ELL artikli 4 lõiget 3 tuleb tõlgendada nii, et kui liikmesriigi konkurentsiasutus analüüsib, kas ettevõtja kuritarvitab turgu valitsevat seisundit ELTL artikli 102 tähenduses, võib ta tingimusel, et ta on järginud järelevalveasutustega lojaalse koostöö kohustust, oma analüüsi raames tuvastada, et selle ettevõtja koostatud tüüptingimused, mis puudutavad isikuandmete töötlemist, ja nende tingimuste rakendamine ei ole selle määrusega kooskõlas, kui selline järeldus on vajalik niisuguse kuritarvituse tuvastamiseks.
63 Seda lojaalse koostöö kohustust silmas pidades ei või liikmesriigi konkurentsiasutus kõrvale kalduda liikmesriigi pädeva järelevalveasutuse või pädeva juhtiva järelevalveasutuse otsusest nende või sarnaste tüüptingimuste kohta. Kui konkurentsiasutusel on kahtlusi sellise otsuse sisu suhtes olukorras, kus kõnealused või sarnased tingimused on samal ajal nende järelevalveasutuste uurimise all või kus need asutused ei ole uurimist läbi viinud või otsust teinud, ja kui ta leiab, et vaadeldavad tingimused ei ole isikuandmete kaitse üldmäärusega kooskõlas, peab ta nende järelevalveasutustega konsulteerima ja esitama neile taotluse koostöö tegemiseks, et kõrvaldada oma kahtlused või teha kindlaks, kas on asjakohane oodata ära järelevalveasutuse otsuse vastuvõtmine enne oma hinnangu andmist. Kui järelevalveasutus ei esita vastuväiteid või ei vasta mõistliku aja jooksul, võib liikmesriigi konkurentsiasutus oma uurimist jätkata.
Teine küsimus
64 Teise küsimuse punktiga a palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 9 lõiget 1 tuleb tõlgendada nii, et juhul, kui veebipõhise suhtlusvõrgustiku kasutaja külastab veebisaite või kasutab rakendusi, millel on seos ühe või mitme selles sättes nimetatud andmeliigiga, ja – kui see on asjakohane – sisestab seal registreerudes või internetis tellimusi tehes andmeid, tuleb selle veebipõhise suhtlusvõrgustiku operaatori poolt isikuandmete töötlemist, mis seisneb nii nende veebisaitide külastamisest ja rakenduste kasutamisest tulenevate andmete kui ka kasutaja sisestatud andmete kogumises integreeritud liideste, küpsiste või muude sarnaste salvestustehnoloogiate abil, kõigi nende andmete sidumises kasutaja suhtlusvõrgustiku kontoga ja nende andmete kasutamises kõnealuse operaatori poolt, käsitada nimetatud sätte tähenduses „isikuandmete eriliikide töötlemisena“, mis on põhimõtteliselt keelatud, kui sama artikli 9 lõikes 2 sätestatud eranditest ei tulene teisiti.
65 Jaatava vastuse korral palub eelotsusetaotluse esitanud kohus teise küsimuse punktiga b sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tuleb tõlgendada nii, et juhul, kui veebipõhise suhtlusvõrgustiku kasutaja külastab isikuandmete kaitse üldmääruse artikli 9 lõikes 1 nimetatud andmeliikidega seotud veebisaite või rakendusi, sisestab neil saitidel või neis rakendustes andmeid või aktiveerib neisse integreeritud valikunuppe, näiteks nuppe „meeldib“ või „jaga“, või nuppe, mis võimaldavad kasutajal end nendel veebisaitidel või rakendustes identifitseerida, kasutades oma veebipõhise suhtlusvõrgustiku kasutajakontoga seotud sisselogimisandmeid, telefoninumbrit või e‑posti aadressi, loetakse, et ta on nimetatud sätetest esimese tähenduses ilmselgelt avalikustanud andmed, mida selle veebipõhise suhtlusvõrgustiku operaator seejuures küpsiste või samalaadsete salvestustehnoloogiate abil kogub.
Teise küsimuse punkt a
66 Isikuandmete kaitse üldmääruse põhjenduses 51 on märgitud, et isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib neid õigusi ja vabadusi olulisel määral ohustada. Selles põhjenduses on täpsustatud, et selliseid isikuandmeid ei tohiks töödelda, välja arvatud kõnealuses määruses sätestatud konkreetsetel juhtudel.
67 Selles kontekstis on isikuandmete kaitse üldmääruse artikli 9 lõikes 1 sätestatud seal nimetatud isikuandmete eriliikide töötlemise keelu põhimõte. See hõlmab andmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated või usulised veendumused, samuti terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
68 Isikuandmete kaitse üldmääruse artikli 9 lõike 1 kohaldamisel tuleb juhul, kui isikuandmeid töötleb veebipõhise suhtlusvõrgustiku operaator, kontrollida, kas nendest andmetest võib ilmsiks tulla teave, mis kuulub mõnda selles sättes nimetatud andmeliikidest, olenemata sellest, kas teave puudutab selle võrgustiku kasutajat või mõnda muud füüsilist isikut. Jaatava vastuse korral on selline isikuandmete töötlemine seega keelatud, kui isikuandmete kaitse üldmääruse artikli 9 lõikes 2 ette nähtud eranditest ei tulene teisiti.
69 Nagu sisuliselt märkis kohtujurist oma ettepaneku punktides 40 ja 41, ei sõltu isikuandmete kaitse üldmääruse artikli 9 lõikes 1 ette nähtud põhimõtteline keeld sellest, kas töötlemise käigus ilmsiks tulnud teave on õige või mitte ja kas vastutav töötleja tegutseb eesmärgiga saada teavet, mis kuulub ühte selles sättes nimetatud eriliikidest.
70 Selle sätte eesmärk on nimelt keelata niisugune töötlemine, sõltumata töötlemise väidetavast eesmärgist, võttes arvesse, et isikuandmete kaitse üldmääruse artikli 9 lõikes 1 nimetatud liikidesse kuuluvate isikuandmete mis tahes töötlemine kujutab endast märkimisväärset ohtu andmesubjektide põhiõigustele ja -vabadustele.
71 Käesoleval juhul seisneb põhikohtuasjas kõne all olev töötlemine, mida teeb Meta Platforms Ireland, kõigepealt suhtlusvõrgustiku Facebook kasutajate isikuandmete kogumises, kui nad külastavad veebisaite või kasutavad rakendusi – sealhulgas neid, mis võivad ilmsiks tuua ühte või mitmesse isikuandmete kaitse üldmääruse artikli 9 lõikes 1 nimetatud liiki kuuluva teabe – ja olenevalt olukorrast sisestavad sinna teavet end registreerides või veebis tellimusi tehes, seejärel nende andmete sidumises samade kasutajate suhtlusvõrgustiku kontoga ning lõpuks nende andmete kasutamises.
72 Sellega seoses tuleb eelotsusetaotluse esitanud kohtul kindlaks teha, kas sel viisil kogutud andmed üksi või seotuna vastavate kasutajate Facebooki kontodega võimaldavad tõepoolest niisuguse teabe ilmsiks tuua, olenemata sellest, kas see teave puudutab selle võrgustiku kasutajat või mõnda muud füüsilist isikut. Võttes siiski arvesse selle kohtu küsimusi, tuleb täpsustada, et näib – kui nimetatud kohtu läbiviidavast kontrollist ei tulene teisiti –, et kõnealuste veebisaitide või rakenduste külastamisega seotud andmete töötlemine võib teatud juhtudel sellise teabe ilmsiks tuua, ilma et oleks vaja, et kasutajad sisestaksid sinna teavet end registreerides või veebis tellimusi tehes.
73 Eeltoodut arvestades tuleb teise küsimuse punktile a vastata, et isikuandmete kaitse üldmääruse artikli 9 lõiget 1 tuleb tõlgendada nii, et juhul, kui veebipõhise suhtlusvõrgustiku kasutaja külastab veebisaite või kasutab rakendusi, millel on seos ühe või mitme selles sättes nimetatud andmeliigiga, ja – kui see on asjakohane – sisestab seal registreerudes või internetis tellimusi tehes andmeid, tuleb selle veebipõhise suhtlusvõrgustiku operaatori poolt isikuandmete töötlemist, mis seisneb nii nende veebisaitide külastamisest ja rakenduste kasutamisest tulenevate andmete kui ka kasutaja sisestatud andmete kogumises integreeritud liideste, küpsiste või muude sarnaste salvestustehnoloogiate abil, kõigi nende andmete sidumises kasutaja suhtlusvõrgustiku kontoga ja nende andmete kasutamises kõnealuse operaatori poolt, käsitada nimetatud sätte tähenduses „isikuandmete eriliikide töötlemisena“, mis on põhimõtteliselt keelatud, kui sama artikli 9 lõikes 2 sätestatud eranditest ei tulene teisiti, juhul kui selle andmetöötluse tõttu võib ilmsiks tulla ühte neist andmeliikidest kuuluv teave, olenemata sellest, kas see teave puudutab selle võrgustiku kasutajat või mõnda muud füüsilist isikut.
Teise küsimuse punkt b
74 Mis puudutab teise küsimuse punkti b, nagu see on ümber sõnastatud käesoleva kohtuotsuse punktis 65 ja mis käsitleb isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktis e ette nähtud erandit, siis tuleb meenutada, et selle sätte kohaselt ei kohaldata artikli 9 lõikes 1 sätestatud isikuandmete eriliikide töötlemise põhimõttelist keeldu juhul, kui töödeldakse isikuandmeid, mille „andmesubjekt on ilmselgelt avalikustanud“.
75 Kõigepealt tuleb märkida, et esiteks kohaldatakse seda erandit üksnes „andmesubjekti poolt“ ilmselgelt avalikustatud andmete suhtes. Järelikult ei ole see kohaldatav andmete suhtes, mis puudutavad muid isikuid kui see, kes andmed avalikustas.
76 Teiseks, kuna isikuandmete kaitse üldmääruse artikli 9 lõige 2 näeb ette erandi isikuandmete eriliikide töötlemise keelu põhimõttest, tuleb seda sätet tõlgendada kitsalt (vt selle kohta 17. septembri 2014. aasta kohtuotsus Baltic Agro, C‑3/13, EU:C:2014:2227, punkt 24 ja seal viidatud kohtupraktika, ning 6. juuni 2019. aasta kohtuotsus Weil, C‑361/18, EU:C:2019:473, punkt 43 ja seal viidatud kohtupraktika).
77 Sellest järeldub, et isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktis e ette nähtud erandi kohaldamiseks tuleb kontrollida, kas andmesubjekt soovis sõnaselgelt ja selge nõusolekut väljendava tegevusega teha kõnealused isikuandmed üldsusele kättesaadavaks.
78 Mis puudutab sellega seoses esiteks selliste veebisaitide külastamist või rakenduste kasutamist, millel on seos isikuandmete kaitse üldmääruse artikli 9 lõikes 1 osutatud ühe või mitme andmeliigiga, siis on oluline märkida, et asjasse puutuv kasutaja ei kavatse seeläbi sugugi avalikustada asjaolu, et ta on neid veebisaite külastanud või rakendusi kasutanud, ega selle külastuse või kasutamise andmeid, mida on võimalik tema isikuga seostada. Äärmisel juhul võib ta eeldada, et saidi või rakenduse haldajal on juurdepääs nendele andmetele ja et viimane jagab neid vajaduse korral ja kasutaja sõnaselgel nõusolekul teatavate kolmandate isikutega, mitte üldsusega.
79 Seega ei saa ainuüksi kasutaja poolt selliste veebisaitide külastamisest või rakenduste kasutamisest järeldada, et see kasutaja on need isikuandmed ilmselgelt avalikustanud isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tähenduses.
80 Mis teiseks puudutab tegevust, mis seisneb andmete sisestamises nimetatud veebisaitidel või rakendustes ning neisse integreeritud selliste valikunuppude aktiveerimises nagu nupud „meeldib“ või „jaga“ või nupud, mis võimaldavad kasutajal end veebisaidil või rakenduses identifitseerida, kasutades oma Facebooki kasutajakontoga seotud sisselogimisandmeid, telefoninumbrit või e‑posti aadressi, siis tuleb märkida, et see tegevus hõlmab kasutaja ja kõnealuse veebisaidi või rakenduse ning olenevalt olukorrast veebipõhise suhtlusvõrgustiku saidi vahelist suhtlust, kusjuures selle suhtluse avalikkuse vorm võib varieeruda, kuna kasutaja saab selle individuaalselt seadistada.
81 Neil asjaoludel tuleb eelotsusetaotluse esitanud kohtul kontrollida, kas asjasse puutuvatel kasutajatel on võimalik teadliku seadistamise abil otsustada teha kõnealustel veebisaitidel või rakendustes sisestatud andmed ja nendesse integreeritud valikunuppude aktiveerimisest tulenevad andmed kättesaadavaks üldsusele või, vastupidi, rohkem või vähem piiratud arvule valitud isikutele.
82 Kui asjasse puutuvatel kasutajatel on tõepoolest selline valik, saab neid juhul, kui nad vabatahtlikult sisestavad andmeid veebisaidil või rakenduses või aktiveerivad nendesse integreeritud valikunuppe, käsitada nii, et nad isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tähenduses ilmselgelt avalikustavad enda kohta käivaid andmeid üksnes juhul, kui nad on teadliku individuaalse seadistamise abil selgelt väljendanud oma valikut, et need andmed tehakse kättesaadavaks piiramatule arvule isikutele – seda peab kontrollima eelotsusetaotluse esitanud kohus.
83 Seevastu juhul, kui sellist individuaalset seadistamist ei pakuta, tuleb käesoleva kohtuotsuse punktis 77 märgitut arvestades asuda seisukohale, et kui kasutajad sisestavad vabatahtlikult andmeid veebisaidil või rakenduses või aktiveerivad sinna integreeritud valikunuppe, peavad nad selleks, et neid andmeid saaks pidada ilmselgelt avalikustatuks, olema enne sisestamist või aktiveerimist selle saidi või rakenduse poolt jagatud selge teabe põhjal andnud sõnaselge nõusoleku, et iga isik, kellel on juurdepääs nimetatud saidile või rakendusele, saab neid andmeid vaadata.
84 Eeltoodut arvestades tuleb teise küsimuse punktile b vastata, et isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tuleb tõlgendada nii, et juhul, kui veebipõhise suhtlusvõrgustiku kasutaja külastab veebisaite või kasutab rakendusi, millel on seos isikuandmete kaitse üldmääruse artikli 9 lõikes 1 osutatud ühe või mitme andmeliigiga, ei ole ta ilmselgelt avalikustanud nimetatud sätetest esimese tähenduses selle külastusega seotud andmeid, mida selle veebipõhise suhtlusvõrgustiku operaator kogub küpsiste või samalaadsete salvestustehnoloogiate abil.
85 Kui selline kasutaja sisestab neil saitidel või neis rakendustes andmeid või aktiveerib neisse integreeritud valikunuppe, näiteks nuppe „meeldib“ või „jaga“, või nuppe, mis võimaldavad kasutajal end nendel veebisaitidel või rakendustes identifitseerida, kasutades oma veebipõhise suhtlusvõrgustiku kasutajakontoga seotud sisselogimisandmeid, telefoninumbrit või e‑posti aadressi, võib asuda seisukohale, et ta ilmselgelt avalikustab viidatud artikli 9 lõike 2 punkti e tähenduses andmeid, mis on sel viisil sisestatud või tulenevad nende nuppude aktiveerimisest, üksnes juhul, kui ta on enne sõnaselgelt väljendanud oma valikut – kui see on asjakohane, siis teadliku individuaalse seadistuse abil – teha enda kohta käivad andmed avalikult kättesaadavaks piiramatule arvule isikutele.
Kolmas kuni viies küsimus
86 Kolmanda ja neljanda küsimusega, mida tuleb analüüsida koos, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas ja millistel tingimustel tuleb isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkte b ja f tõlgendada nii, et isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, võib pidada vajalikuks andmesubjekti osalusel sõlmitud lepingu täitmiseks punkti b tähenduses või vastutava töötleja või kolmanda isiku õigustatud huvides punkti f tähenduses. Eelotsusetaotluse esitanud kohus soovib seejuures muu hulgas teada, kas teatud huvid, mida ta sõnaselgelt nimetab, kujutavad endast „õigustatud huvi“ viimati nimetatud sätte tähenduses.
87 Viienda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkte c–e tuleb tõlgendada nii, et sellist isikuandmete töötlemist võib pidada vajalikuks vastutava töötleja seadusjärgse kohustuse täitmiseks punkti c tähenduses, andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks punkti d tähenduses või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks punkti e tähenduses, kui selline töötlemine toimub selleks, et vastata õiguspärasele taotlusele esitada teatud andmeid, selleks et võidelda kahjuliku tegevusega ja suurendada turvalisust, või ühiskonna hüvanguks uuringute läbiviimiseks ning turvalisuse, usaldusväärsuse ja ohutuse suurendamiseks.
Sissejuhatavad märkused
88 Kõigepealt tuleb esiteks tähele panna, et kolmas kuni viies küsimus on esitatud seetõttu, et föderaalse konkurentsiameti 6. veebruari 2019. aasta otsuses tuvastatu kohaselt ei saa asuda seisukohale, et suhtlusvõrgustiku Facebook kasutajad andsid põhikohtuasjas kõne all olevate andmete töötlemiseks oma nõusoleku isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti a ja artikli 9 lõike 2 punkti a tähenduses. Seega leiab eelotsusetaotluse esitanud kohus selles kontekstis – esitades kuuenda küsimuse Euroopa Kohtule sellel eeldusel –, et ta peab kontrollima, kas see töötlemine vastab mõnele teisele selle määruse artikli 6 lõike 1 esimese lõigu punktides b–f nimetatud seaduslikkuse tingimusele.
89 Selle kohta tuleb märkida, et kolmandas kuni viiendas küsimuses nimetatud andmete kogumine, sidumine ja kasutamine võivad hõlmata nii delikaatseid andmeid isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses kui ka mittedelikaatseid andmeid. Tuleb aga täpsustada, et juhul, kui selliseid toiminguid tehakse andmekogumiga, mis sisaldab nii delikaatseid kui ka mittedelikaatseid andmeid, ja kui neid eelkõige kogutakse plokina, ilma et andmeid oleks nende kogumise ajal võimalik üksteisest lahutada, tuleb selle andmekogumi töötlemist pidada isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses keelatuks, kui see sisaldab vähemalt ühte delikaatset teavet ja ükski selle määruse artikli 9 lõikes 2 sätestatud eranditest ei ole kohaldatav.
90 Teiseks tuleb kolmandale kuni viiendale küsimusele vastamiseks meenutada, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimene lõik näeb ette ammendava ja piiratud loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks. Selleks et isikuandmete töötlemist saaks pidada seaduslikuks, peab töötlemine seega kuuluma mõne selles sättes ette nähtud juhtumi alla (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 99 ja seal viidatud kohtupraktika).
91 Selle määruse artikli 6 lõike 1 esimese lõigu punkti a kohaselt on isikuandmete töötlemine seaduslik, kui ja kuivõrd andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil.
92 Kui sellist nõusolekut ei ole antud või kui nõusolekut ei ole antud vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt isikuandmete kaitse üldmääruse artikli 4 punkti 11 tähenduses, on selline töötlemine siiski põhjendatud, kui see vastab mõnele selle määruse artikli 6 lõike 1 esimese lõigu punktides b–f nimetatud vajadusele.
93 Selles kontekstis tuleb viimati nimetatud sättes ette nähtud põhjendusi osas, milles need võimaldavad ilma andmesubjekti nõusolekuta toimuva isikuandmete töötlemise seaduslikuks muuta, tõlgendada kitsalt (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 73 ja seal viidatud kohtupraktika).
94 Lisaks, nagu Euroopa Kohus on otsustanud, ei ole juhul, kui on võimalik tuvastada, et isikuandmete töötlemine on vajalik mõne isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktides b–f ette nähtud põhjenduse seisukohast, vaja kindlaks teha, kas see töötlemine kuulub ka mõne teise sellise põhjenduse alla (vt selle kohta 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 71).
95 Viimaseks tuleb täpsustada, et isikuandmete kaitse üldmääruse artikli 5 kohaselt lasub vastutaval töötlejal kohustus tõendada, et selliseid andmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid töödeldakse seaduslikult, õiglaselt ja andmesubjektile läbipaistvalt. Lisaks sellele on vastavalt kõnealuse määruse artikli 13 lõike 1 punktile c vastutava töötleja kohustus juhul, kui isikuandmeid kogutakse andmesubjektilt, viimast teavitada nende andmete töötlemise eesmärgist ja sellise töötlemise õiguslikust alusest.
96 Kuigi eelotsusetaotluse esitanud kohtu ülesanne on kindlaks teha, kas põhikohtuasjas kõne all oleva töötlemise erinevad elemendid on põhjendatud ühe või teise isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktides b–f nimetatud vajadusega, võib Euroopa Kohus talle siiski anda tarvilikke juhiseid, mis võimaldaksid tal tema menetluses oleva kohtuasja lahendada.
Kolmas ja neljas küsimus
97 Mis esimesena puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti b, siis selles on ette nähtud, et isikuandmete töötlemine on seaduslik, kui see on „vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele“.
98 Selleks et isikuandmete töötlemist saaks pidada lepingu täitmiseks vajalikuks selle sätte tähenduses, peab see olema objektiivselt vältimatu sellise eesmärgi saavutamiseks, mis on andmesubjekti kasuks tehtava lepingulise soorituse lahutamatu osa. Vastutav töötleja peab seega suutma tõendada, mil moel ei oleks lepingu põhieesmärki võimalik saavutada ilma kõnealuse töötlemiseta.
99 Asjaolul, et sellist töötlemist on lepingus mainitud või et see on lepingu täitmisel üksnes kasulik, ei ole selles osas iseenesest tähtsust. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis b ette nähtud põhjenduse kohaldamisel on nimelt määrav see, et isikuandmete töötlemine vastutava töötleja poolt on väga oluline vastutava töötleja ja andmesubjekti vahel sõlmitud lepingu nõuetekohaseks täitmiseks, ning seega see, et puuduvad muud teostatavad ja vähem sekkuvad lahendused.
100 Nagu kohtujurist märkis oma ettepaneku punktis 54, tuleb juhul, kui leping koosneb mitmest teenusest või sama teenuse mitmest eraldiseisvast elemendist, mida saab osutada üksteisest sõltumatult, isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti b kohaldatavust hinnata iga teenuse kontekstis eraldi.
101 Käesoleval juhul viitab eelotsusetaotluse esitanud kohus selle sätte kohaldamisalasse kuuluda võivate põhjenduste kontekstis Meta Platforms Irelandi ja tema kasutajate vahel sõlmitud lepingu nõuetekohase täitmise tagamiseks mõeldud elementidena sisu isikupärastamisele ning Meta kontserni enda teenuste ühtsele ja sujuvale kasutamisele.
102 Esiteks tuleb sisu isikupärastamisel põhineva põhjenduse kohta märkida, et kuigi selline isikupärastamine on kasutajale kasulik, kuna eelkõige võimaldab see tal vaadata sisu, mis suures osas vastab tema huvidele, ei muuda see siiski tõsiasja – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et sisu isikupärastamine ei näi olevat kasutajale veebipõhise suhtlusvõrgustiku teenuste pakkumiseks vajalik. Neid teenuseid võib talle vajaduse korral osutada samaväärse alternatiivina, mis ei hõlma sellist isikupärastamist, mistõttu isikupärastamine ei ole objektiivselt vältimatu, et saavutada eesmärk, mis on nende teenuste lahutamatu osa.
103 Teiseks tuleb Meta kontserni enda teenuste ühtsel ja sujuval kasutamisel põhineva põhjenduse kohta mainida, et Euroopa Kohtu käsutuses olevast toimikust nähtub, et isik ei ole suhtlusvõrgustikus Facebook kasutajakonto loomiseks kohustatud tellima erinevaid Meta kontserni pakutavaid teenuseid. Selle kontserni pakutavaid erinevaid tooteid ja teenuseid saab nimelt kasutada üksteisest sõltumatult ning iga toote või teenuse kasutamise aluseks on eraldi kasutuslepingu sõlmimine.
104 Seega ei tundu, et Meta kontserni pakutavast muust kui veebipõhise suhtlusvõrgustiku teenusest saadavate isikuandmete töötlemine oleks vajalik, et viimati nimetatud teenust oleks võimalik osutada – seda tuleb kontrollida eelotsusetaotluse esitanud kohtul.
105 Mis teisena puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f, siis selle kohaselt on isikuandmete töötlemine seaduslik siis, kui see on „vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps“.
106 Nagu Euroopa Kohus on juba otsustanud, on selles sättes ette nähtud kolm kumulatiivset tingimust, mis peavad olema täidetud, et selles nimetatud isikuandmete töötlemine oleks seaduslik: esiteks peab vastutaval töötlejal või kolmandal isikul olema õigustatud huvi, teiseks peab isikuandmete töötlemine olema selle õigustatud huvi elluviimiseks vajalik ja kolmandaks ei tohi andmekaitse subjekti huvid või põhiõigused ja ‑vabadused vastutava töötleja või kolmanda isiku õigustatud huvi üles kaaluda (17. juuni 2021. aasta kohtuotsus M.I.C.M., C‑597/19, EU:C:2021:492, punkt 106 ja seal viidatud kohtupraktika).
107 Mis esiteks puudutab õigustatud huvi teenimise tingimust, siis tuleb täpsustada, et isikuandmete kaitse üldmääruse artikli 13 lõike 1 punkti d kohaselt peab vastutav töötleja hetkel, mil andmesubjektilt kogutakse temaga seotud isikuandmeid, talle teatavaks tegema, milliseid õigustatud huve taotletakse, kui töötlemine põhineb selle määruse artikli 6 lõike 1 esimese lõigu punktil f.
108 Mis teiseks puudutab tingimust, et isikuandmete töötlemine peab olema vajalik taotletava õigustatud huvi tõttu, siis kohustab see eelotsusetaotluse esitanud kohut kontrollima, kas andmetöötlusega taotletavat õigustatud huvi ei ole mõistlikult võimalik sama tõhusalt saavutada muude vahenditega, mis riivavad vähem andmesubjektide põhiõigusi ja -vabadusi, eelkõige harta artiklitega 7 ja 8 tagatud õigust eraelu puutumatusele ja isikuandmete kaitsele (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 110 ja seal viidatud kohtupraktika).
109 Selles kontekstis tuleb samuti meenutada, et töötlemise vajalikkuse tingimust tuleb analüüsida koostoimes isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis c sätestatud „võimalikult väheste andmete kogumise“ põhimõttega, mille kohaselt peavad isikuandmed olema „asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt“ (vt selle kohta 11. detsembri 2019. aasta kohtuotsus Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punkt 48).
110 Mis kolmandaks puudutab tingimust, et andmesubjekti huvid või põhiõigused ja ‑vabadused ei tohi üles kaaluda vastutava töötleja või kolmanda isiku õigustatud huvi, siis on Euroopa Kohus juba otsustanud, et see eeldab esinevate vastanduvate õiguste ja huvide kaalumist, mis sõltub põhimõtteliselt konkreetse juhtumi konkreetsetest asjaoludest, ja järelikult on see kaalumine eelotsusetaotluse esitanud kohtu ülesanne, kel tuleb seejuures neid konkreetseid asjaolusid arvesse võtta (17. juuni 2021. aasta kohtuotsus M.I.C.M., C‑597/19, EU:C:2021:492, punkt 111 ja seal viidatud kohtupraktika).
111 Sellega seoses nähtub juba isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f sõnastusest, et sellise kaalumise käigus tuleb erilist tähelepanu pöörata olukorrale, kus andmesubjekt on laps. Nimelt väärivad lapsed selle määruse põhjenduse 38 kohaselt erilist kaitset seoses nende kohta käivate isikuandmete töötlemisega, kuna nad ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Seega tuleb sellist erilist kaitset kohaldada eelkõige laste isikuandmete töötlemisele, mis toimub turunduse, isiku- või kasutajaprofiili loomise või ka otseselt lastele suunatud teenuste pakkumise eesmärgil.
112 Lisaks, nagu nähtub isikuandmete kaitse üldmääruse põhjendusest 47, võivad andmesubjekti huvid ja põhiõigused kaaluda üles vastutava töötleja huvid eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada sellist töötlemist.
113 Käesoleval juhul viitab eelotsusetaotluse esitanud kohus isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohaldamisalasse kuuluda võivate põhjenduste hulgas reklaami isikupärastamisele, võrgu turvalisusele, toote parendamisele, süütegude uurimiseks ja karistuste täideviimiseks pädevate asutuste teavitamisele, asjaolule, et kasutaja on alaealine, ühiskonna hüvanguks uuringute ja uuenduste läbiviimisele ning reklaamijate ja muude äripartnerite jaoks kasutajatele kommertsteadaannete edastamise teenuste pakkumisele ning nende tegevuse hindamist võimaldavate analüüsivahendite pakkumisele.
114 Selle kohta tuleb kõigepealt märkida, et eelotsusetaotlus ei sisalda selgitusi, mis võimaldaksid mõista, kuidas ühiskonna hüvanguks läbiviidavad uuringud ja uuendused või asjaolu, et kasutaja on alaealine, saaksid isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f tähenduses õigustatud huvidena põhjendada kõnealuste andmete kogumist ja kasutamist. Järelikult ei saa Euroopa Kohus selles osas seisukohta võtta.
115 Mis esiteks puudutab reklaami isikupärastamist, siis tuleb märkida, et selle määruse põhjenduse 47 kohaselt võib isikuandmete töötlemist otseturunduse eesmärgil lugeda toimunuks vastutava töötleja õigustatud huvi järgimise kaalutlustel.
116 Samas on seejuures veel nõutav, et töötlemine oleks selle huvi elluviimiseks vajalik ja et seda ei kaaluks üles andmesubjekti huvid või põhiõigused ja ‑vabadused. Asjas esinevate vastandlike õiguste ja huvide, st ühelt poolt vastutava töötleja ning teiselt poolt andmesubjekti õiguste ja huvide kaalumisel tuleb eelkõige arvesse võtta – nagu on märgitud ka käesoleva kohtuotsuse punktis 112 – andmesubjekti mõistlikke ootusi ja töötlemise ulatust ning selle mõju puudutatud isikule.
117 Siinkohal on oluline märkida, et vaatamata sellele, et niisuguse veebipõhise suhtlusvõrgustiku nagu Facebook teenused on tasuta, ei peaks selle võrgustiku kasutaja mõistlikult eeldama, et selle suhtlusvõrgustiku operaator töötleb ilma tema nõusolekuta tema isikuandmeid reklaami isikupärastamise eesmärgil. Neil asjaoludel tuleb asuda seisukohale, et kasutaja huvid ja põhiõigused kaaluvad üles operaatori huvi selle reklaami isikupärastamise vastu, millega ta rahastab oma tegevust, mistõttu ei saa töötlemine, mida ta sel otstarbel teeb, kuuluda isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohaldamisalasse.
118 Lisaks on põhikohtuasjas kõne all olev töötlemine eriti ulatuslik, kuna see puudutab potentsiaalselt piiramatut hulka andmeid ja sellel on oluline mõju kasutajale, kelle tegevus veebis on suures osas, kui mitte peaaegu täielikult Meta Platforms Irelandi jälgimise all, mis võib kasutajal tekitada tunde, et tema eraelu jälgitakse pidevalt.
119 Mis teiseks puudutab eesmärki tagada võrgustiku turvalisus, siis nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 49, kujutab see endast Meta Platforms Irelandi õigustatud huvi, mis võib põhjendada põhikohtuasjas kõne all olevat isikuandmete töötlemist.
120 Seoses niisuguse töötlemise vajalikkusega selle õigustatud huvi elluviimiseks peab eelotsusetaotluse esitanud kohus siiski kontrollima, kas ja millises ulatuses on väljaspool suhtlusvõrgustikku Facebook asuvatest allikatest kogutud isikuandmete töötlemine tegelikult vajalik, et tagada, et selle võrgustiku siseturvalisus ei oleks ohus.
121 Selles kontekstis, nagu on märgitud käesoleva kohtuotsuse punktides 108 ja 109, peab ta ühtlasi kontrollima ühelt poolt seda, kas andmetöötlusega taotletavat õigustatud huvi ei ole mõistlikult võimalik sama tõhusalt saavutada muude vahenditega, mis riivavad vähem andmesubjektide põhiõigusi ja -vabadusi, eelkõige harta artiklitega 7 ja 8 tagatud õigust eraelu puutumatusele ja isikuandmete kaitsele, ning teiselt poolt seda, kas on järgitud isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis c sätestatud „võimalikult väheste andmete kogumise“ põhimõtet.
122 Kolmandaks, mis puudutab toote parendamise eesmärki, siis ei saa a priori välistada, et vastutava töötleja huvi oma toote või teenuse parendamise vastu, et muuta see tõhusamaks ja seega atraktiivsemaks, võib endast kujutada õigustatud huvi, mis võimaldab põhjendada isikuandmete töötlemist, ning et selline töötlemine võib olla vajalik selle huvi järgimiseks.
123 Kui eelotsusetaotluse esitanud kohtu sellekohasest lõplikust hinnangust ei tulene teisiti, näib siiski kaheldav, kas põhikohtuasjas kõne all oleva andmetöötluse puhul võib eesmärk parendada toodet – võttes arvesse selle töötlemise ulatust ja olulist mõju kasutajale, nagu ka asjaolu, et kasutaja ei peaks mõistlikult eeldama, et Meta Platforms Ireland neid andmeid töötleb – kaaluda üles sellise kasutaja huvid ja põhiõigused, seda enam juhul, kui kasutaja on laps.
124 Mis neljandaks puudutab eelotsusetaotluse esitanud kohtu viidatud eesmärki teavitada asutusi, kes on pädevad uurima süütegusid ja viima täide karistusi eesmärgiga süütegusid ära hoida, avastada ja nende eest vastutusele võtta, siis tuleb tõdeda, et see eesmärk ei saa üldjuhul endast kujutada vastutava töötleja õigustatud huvi isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f tähenduses. Nimelt ei saa selline eraettevõtja nagu Meta Platforms Ireland tugineda sellisele õigustatud huvile, mis ei ole seotud tema majandus- ja äritegevusega. Seevastu võib nimetatud eesmärk õigustada sellise operaatori poolset töötlemist, kui töötlemine on objektiivselt vajalik operaatorile pandud seadusjärgse kohustuse täitmiseks.
125 Kõike eeltoodut arvestades tuleb kolmandale ja neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti b tuleb tõlgendada nii, et isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, võib pidada vajalikuks andmesubjekti osalusel sõlmitud lepingu täitmiseks selle sätte tähenduses üksnes tingimusel, et see töötlemine on objektiivselt vältimatu sellise eesmärgi saavutamiseks, mis on nende kasutajate kasuks tehtava lepingulise soorituse lahutamatu osa, mistõttu ei ole lepingu põhieesmärki võimalik saavutada ilma selle töötlemiseta.
126 Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f tuleb tõlgendada nii, et sellist töötlemist saab pidada vajalikuks vastutava töötleja või kolmanda isiku taotletavate õigustatud huvide järgimiseks selle sätte tähenduses üksnes tingimusel, et see operaator on andnud kasutajatele, kellelt andmed koguti, teada, et andmeid töödeldakse õigustatud huvi elluviimiseks, ning tingimusel, et töötlemine toimub selle õigustatud huvi elluviimiseks rangelt vajaliku piires ja vastanduvate huvide kaalumisel kõiki asjakohaseid asjaolusid arvesse võttes on selgunud, et nende kasutajate huvid või põhiõigused ja -vabadused ei kaalu üles seda vastutava töötleja või kolmanda isiku õigustatud huvi.
Viies küsimus
127 Kuivõrd see küsimus puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkte c ja e, siis tuleb esiteks meenutada, et selle punkti c kohaselt on isikuandmete töötlemine seaduslik, kui töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks. Lisaks on viidatud punkti e kohaselt seaduslik ka töötlemine, mis on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.
128 Isikuandmete kaitse üldmääruse artikli 6 lõikes 3 on nende mõlema seadusliku töötlemise juhtumi kohta muu hulgas täpsustatud, et töötlemine peab põhinema liidu õigusel või vastutava töötleja suhtes kohaldataval liikmesriigi õigusel ning et see õiguslik alus peab vastama avalikku huvi teenivale eesmärgile ja olema proportsionaalne taotletava õiguspärase eesmärgiga.
129 Käesoleval juhul soovib eelotsusetaotluse esitanud kohus teada, kas sellist isikuandmete töötlemist, nagu on kõne all põhikohtuasjas, võib pidada põhjendatuks isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c alusel, kui selle töötlemise eesmärk on „vastata õiguspärasele taotlusele esitada teatud andmeid“, ning selle määruse artikli 6 lõike 1 esimese lõigu punkti e alusel, kui selle töötlemise eesmärk on „ühiskonna hüvanguks uuringute läbiviimine“ ning sellega soovitakse „suurendada turvalisust, usaldusväärsust ja ohutust“.
130 Siiski tuleb tõdeda, et see kohus ei ole esitanud Euroopa Kohtule asjaolusid, mis võimaldaksid viimasel selles küsimuses konkreetse seisukohta võtta.
131 Seega on eelotsusetaotluse esitanud kohtu ülesanne kontrollida käesoleva kohtuotsuse punktis 128 nimetatud tingimusi arvestades, kas sellist töötlemist võib pidada nimetatud eesmärkidega põhjendatuks.
132 Täpsemalt peab see kohus käesoleva kohtuotsuse punktis 124 märgitut arvestades isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c kohaldamisel kindlaks tegema, kas Meta Platforms Irelandil on seadusjärgne kohustus koguda ja säilitada isikuandmeid ennetavalt, et ta saaks vastata liikmesriigi asutuse mis tahes taotlusele saada teatavaid tema kasutajatega seotud andmeid.
133 Samuti peab eelotsusetaotluse esitanud kohus isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti e alusel hindama, kas Meta Platforms Irelandile on pandud avalikes huvides olev või avaliku võimu teostamise ülesanne, eelkõige selleks, et viia ühiskonna hüvanguks läbi uuringuid ning suurendada turvalisust, usaldusväärsust ja ohutust, kusjuures olgu täpsustatud, et arvestades tema tegevuse peamiselt majanduslikku ja ärilist laadi ja iseloomu, on vähetõenäoline, et sellele eraettevõtjale on pandud niisugune ülesanne.
134 Lisaks peab eelotsusetaotluse esitanud kohus kontrollima – kui see on asjakohane –, kas Meta Platforms Irelandi andmetöötluse ulatust ja selle olulist mõju suhtlusvõrgustiku Facebook kasutajatele arvesse võttes jääb see töötlemine rangelt vajaliku piiresse.
135 Mis teiseks puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti d, siis selles sättes on ette nähtud, et isikuandmete töötlemine on seaduslik, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks.
136 Nagu nähtub selle määruse põhjendusest 46, käsitleb see säte konkreetset olukorda, kus isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku elu seisukohast oluliste huvide kaitsmiseks. Näitena on selles põhjenduses toodud humanitaareesmärgid, sealhulgas epideemia ja selle leviku jälgimine, ning samuti humanitaarhädaolukorrad, eriti loodusõnnetused ja inimtegevusest tingitud õnnetused.
137 Nendest näidetest ja isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti d kitsast tõlgendusest ilmneb, et veebipõhise suhtlusvõrgustiku operaatori osutatavate teenuste laadi arvestades ei saa selline operaator, kelle tegevus on peamiselt majanduslik ja äriline, tugineda oma kasutajate või mõne muu isiku eluga seotud olulise huvi kaitsele, et põhjendada absoluutselt ning puhtalt abstraktselt ja ennetavalt sellise andmetöötluse seaduslikkust, nagu on kõne all põhikohtuasjas.
138 Eeltoodut arvestades tuleb viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti c tuleb tõlgendada nii, et isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, võib pidada selle sätte kohaselt põhjendatuks, kui see on tegelikult vajalik vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses ette nähtud seadusjärgse kohustuse täitmiseks, kui see õiguslik alus vastab avalikku huvi teenivale eesmärgile ja on taotletava õiguspärase eesmärgiga proportsionaalne ning kui töötlemine toimub rangelt vajaliku piires.
139 Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkte d ja e tuleb tõlgendada nii, et sellist isikuandmete töötlemist ei saa üldjuhul ja tingimusel, et eelotsusetaotluse esitanud kohtu kontroll seda kinnitab, pidada vajalikuks andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks punkti d tähenduses või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks punkti e tähenduses.
Kuues küsimus
140 Kuuenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti a ja artikli 9 lõike 2 punkti a tuleb tõlgendada nii, et veebipõhise suhtlusvõrgustiku kasutaja poolt sellise võrgu operaatorile antud nõusolekut saab pidada vastavaks selle määruse artikli 4 punktis 11 ette nähtud kehtivuse tingimustele, eelkõige tingimusele, mille kohaselt peab nõusolek olema antud vabatahtlikult, kui see operaator on turgu valitsevas seisundis veebipõhiste suhtlusvõrgustike turul.
141 Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkt a ja artikli 9 lõike 2 punkt a nõuavad andmesubjekti nõusolekut tema isikuandmete ühel või mitmel konkreetsel eesmärgil töötlemiseks ning artikli 9 lõikes 1 osutatud andmete eriliikide töötlemiseks.
142 Isikuandmete kaitse üldmääruse artikli 4 punkti 11 kohaselt on nõusolek määratletud kui „vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega“.
143 Eelotsusetaotluse esitanud kohtu küsimusi arvestades tuleb esiteks meenutada, et isikuandmete kaitse üldmääruse põhjenduse 42 kohaselt ei saa nõusolekut pidada vabatahtlikult antuks, kui andmesubjektil pole tõelist valikuvabadust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.
144 Teiseks on selle määruse põhjenduses 43 märgitud, et nõusoleku vabatahtliku andmise tagamiseks ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras. Selles põhjenduses on samuti täpsustatud, et nõusolekut ei loeta vabatahtlikuks, kui erinevatele isikuandmete töötlemise toimingutele ei ole võimalik anda eraldi nõusolekut, ehkki see on konkreetsel juhul asjakohane.
145 Kolmandaks on isikuandmete kaitse üldmääruse artikli 7 lõikes 4 sätestatud, et selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.
146 Kuuendale küsimusele tuleb vastata nendest kaalutlustest lähtudes.
147 Sellega seoses tuleb tõdeda, et on tõsi, et asjaolu, et veebipõhise suhtlusvõrgustiku operaator on vastutava töötlejana suhtlusvõrgustike turul valitsevas seisundis, ei takista iseenesest selle suhtlusvõrgustiku kasutajaid andmast kehtivat nõusolekut oma isikuandmete töötlemiseks selle operaatori poolt isikuandmete kaitse üldmääruse artikli 4 lõike 11 tähenduses.
148 Küll aga – nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 75 – tuleb seda asjaolu arvesse võtta selle hindamisel, kas kõnealuse võrgustiku kasutaja nõusolek on kehtiv ja eelkõige vaba, kuna see võib mõjutada selle kasutaja valikuvabadust, kellel ei pruugi olla võimalik kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta, nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 42.
149 Lisaks võib selline turgu valitsev seisund panna andmesubjekti ja vastutava töötleja selgelt ebavõrdsesse olukorda isikuandmete kaitse üldmääruse põhjenduse 43 tähenduses, kuna see ebavõrdsus soodustab eelkõige selliste tingimuste kehtestamist, mis ei ole lepingu täitmiseks rangelt vajalikud – seda tuleb määruse artikli 7 lõike 4 kohaselt arvesse võtta. Selles kontekstis tuleb meenutada, et nagu on märgitud käesoleva kohtuotsuse punktides 102–104, ei ilmne – kui eelotsusetaotluse esitanud kohtu kontroll ei kinnita vastupidist –, et põhikohtuasjas kõne all olev töötlemine on rangelt vajalik Meta Platforms Irelandi ja suhtlusvõrgustiku Facebook kasutajate vahelise lepingu täitmiseks.
150 Seega peab nendel kasutajatel olema vabadus lepingu sõlmimise protsessis eraldi keelduda nõusoleku andmisest konkreetseteks andmetöötlustoiminguteks, mis ei ole lepingu täitmiseks vajalikud, ilma et nad peaksid seejuures täiesti loobuma veebipõhise suhtlusvõrgustiku operaatori pakutava teenuse kasutamisest, mis tähendab, et kasutajatele pakutakse – vajaduse korral sobiva tasu eest – samaväärset alternatiivi ilma andmetöötlustoiminguteta.
151 Lisaks, võttes arvesse kõnealuse andmetöötluse ulatust ja selle olulist mõju suhtlusvõrgustiku kasutajatele ning asjaolu, et kasutajad ei peaks mõistlikult eeldama, et võrgustiku operaator töötleb muid andmeid kui need, mis puudutavad kasutajate tegevust suhtlusvõrgustikus, tuleb asuda seisukohale, et mainitud põhjenduse 43 kohaselt on asjakohane anda eraldi nõusolek ühelt poolt viimati nimetatud andmete ja teiselt poolt off Facebooki andmete töötlemiseks. Eelotsusetaotluse esitanud kohtu ülesanne on kontrollida, kas on olemas selline võimalus, mille puudumise korral tuleb eeldada, et kasutajate nõusolekut off Facebooki andmete töötlemiseks ei ole antud vabatahtlikult.
152 Lõpuks tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 7 lõikest 1 tuleneb, et kui töötlemine põhineb nõusolekul, lasub vastutaval töötlejal kohustus tõendada, et andmesubjekt on andnud nõusoleku oma isikuandmete töötlemiseks.
153 Eelotsusetaotluse esitanud kohus peab just neid kriteeriume ja juhtumi kõiki asjaolusid üksikasjalikult analüüsides kindlaks tegema, kas suhtlusvõrgustiku Facebook kasutajad on andnud põhikohtuasjas käsitletavaks töötlemiseks kehtiva ja eelkõige vabatahtliku nõusoleku.
154 Eeltoodut arvestades tuleb kuuendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti a ja artikli 9 lõike 2 punkti a tuleb tõlgendada nii, et asjaolu, et veebipõhise suhtlusvõrgustiku operaator on turgu valitsevas seisundis veebipõhiste suhtlusvõrgustike turul, ei takista iseenesest seda, et sellise võrgustiku kasutajad saaksid anda selle määruse artikli 4 punkti 11 tähenduses kehtiva nõusoleku nende isikuandmete töötlemiseks selle operaatori poolt. See asjaolu on siiski oluline tegur selle kindlakstegemisel, kas nõusolek anti tõepoolest kehtivalt ja eelkõige vabatahtlikult – seda peab tõendama kõnealune operaator.
Kohtukulud
155 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artiklit 51 jj ning ELL artikli 4 lõiget 3
tuleb tõlgendada nii, et
kui liikmesriigi konkurentsiasutus analüüsib, kas ettevõtja kuritarvitab turgu valitsevat seisundit ELTL artikli 102 tähenduses, võib ta tingimusel, et ta on järginud järelevalveasutustega lojaalse koostöö kohustust, oma analüüsi raames tuvastada, et selle ettevõtja koostatud tüüptingimused, mis puudutavad isikuandmete töötlemist, ja nende tingimuste rakendamine ei ole selle määrusega kooskõlas, kui selline järeldus on vajalik niisuguse kuritarvituse tuvastamiseks.
Seda lojaalse koostöö kohustust silmas pidades ei või liikmesriigi konkurentsiasutus kõrvale kalduda liikmesriigi pädeva järelevalveasutuse või pädeva juhtiva järelevalveasutuse otsusest nende või sarnaste tüüptingimuste kohta. Kui konkurentsiasutusel on kahtlusi sellise otsuse sisu suhtes olukorras, kus kõnealused või sarnased tingimused on samal ajal nende järelevalveasutuste uurimise all või kus need asutused ei ole uurimist läbi viinud või otsust teinud, ja kui ta leiab, et vaadeldavad tingimused ei ole isikuandmete kaitse üldmäärusega kooskõlas, peab ta nende järelevalveasutustega konsulteerima ja esitama neile taotluse koostöö tegemiseks, et kõrvaldada oma kahtlused või teha kindlaks, kas on asjakohane oodata ära järelevalveasutuse otsuse vastuvõtmine enne oma hinnangu andmist. Kui järelevalveasutus ei esita vastuväiteid või ei vasta mõistliku aja jooksul, võib liikmesriigi konkurentsiasutus oma uurimist jätkata.
2. Määruse 2016/679 artikli 9 lõiget 1
tuleb tõlgendada nii, et
juhul, kui veebipõhise suhtlusvõrgustiku kasutaja külastab veebisaite või kasutab rakendusi, mis võivad ilmsiks tuua ühte või mitmesse selles sättes nimetatud andmeliiki kuuluva teabe, ja – kui see on asjakohane – sisestab seal registreerudes või internetis tellimusi tehes andmeid, tuleb selle veebipõhise suhtlusvõrgustiku operaatori poolt isikuandmete töötlemist, mis seisneb nii nende veebisaitide külastamisest ja rakenduste kasutamisest tulenevate andmete kui ka kasutaja sisestatud andmete kogumises integreeritud liideste, küpsiste või muude sarnaste salvestustehnoloogiate abil, kõigi nende andmete sidumises kasutaja suhtlusvõrgustiku kontoga ja nende andmete kasutamises kõnealuse operaatori poolt, käsitada nimetatud sätte tähenduses „isikuandmete eriliikide töötlemisena“, mis on põhimõtteliselt keelatud, kui sama artikli 9 lõikes 2 sätestatud eranditest ei tulene teisiti, juhul kui selle andmetöötluse tõttu võib ilmsiks tulla ühte neist andmeliikidest kuuluv teave, olenemata sellest, kas see teave puudutab selle võrgustiku kasutajat või mõnda muud füüsilist isikut.
3. Määruse 2016/679 artikli 9 lõike 2 punkti e
tuleb tõlgendada nii, et
juhul, kui veebipõhise suhtlusvõrgustiku kasutaja külastab veebisaite või kasutab rakendusi, millel on seos isikuandmete kaitse üldmääruse artikli 9 lõikes 1 osutatud ühe või mitme andmeliigiga, ei ole ta ilmselgelt avalikustanud nimetatud sätetest esimese tähenduses selle külastusega seotud andmeid, mida selle veebipõhise suhtlusvõrgustiku operaator kogub küpsiste või samalaadsete salvestustehnoloogiate abil.
Kui selline kasutaja sisestab neil saitidel või neis rakendustes andmeid või aktiveerib neisse integreeritud valikunuppe, näiteks nuppe „meeldib“ või „jaga“, või nuppe, mis võimaldavad kasutajal end nendel veebisaitidel või rakendustes identifitseerida, kasutades oma veebipõhise suhtlusvõrgustiku kasutajakontoga seotud sisselogimisandmeid, telefoninumbrit või e‑posti aadressi, võib asuda seisukohale, et ta ilmselgelt avalikustab viidatud artikli 9 lõike 2 punkti e tähenduses andmeid, mis on sel viisil sisestatud või tulenevad nende nuppude aktiveerimisest, üksnes juhul, kui ta on enne sõnaselgelt väljendanud oma valikut – kui see on asjakohane, siis teadliku individuaalse seadistuse abil – teha enda kohta käivad andmed avalikult kättesaadavaks piiramatule arvule isikutele.
4. Määruse 2016/679 artikli 6 lõike 1 esimese lõigu punkti b
tuleb tõlgendada nii, et
isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, võib pidada vajalikuks andmesubjekti osalusel sõlmitud lepingu täitmiseks selle sätte tähenduses üksnes tingimusel, et see töötlemine on objektiivselt vältimatu sellise eesmärgi saavutamiseks, mis on nende kasutajate kasuks tehtava lepingulise soorituse lahutamatu osa, mistõttu ei ole lepingu põhieesmärki võimalik saavutada ilma selle töötlemiseta.
5. Määruse 2016/679 artikli 6 lõike 1 esimese lõigu punkti f
tuleb tõlgendada nii, et
isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, saab pidada vajalikuks vastutava töötleja või kolmanda isiku taotletavate õigustatud huvide järgimiseks selle sätte tähenduses üksnes tingimusel, et see operaator on andnud kasutajatele, kellelt andmed koguti, teada, et andmeid töödeldakse õigustatud huvi elluviimiseks, ning tingimusel, et töötlemine toimub selle õigustatud huvi elluviimiseks rangelt vajaliku piires ja vastanduvate huvide kaalumisel kõiki asjakohaseid asjaolusid arvesse võttes on selgunud, et nende kasutajate huvid või põhiõigused ja -vabadused ei kaalu üles seda vastutava töötleja või kolmanda isiku õigustatud huvi.
6. Määruse 2016/679 artikli 6 lõike 1 esimese lõigu punkti c
tuleb tõlgendada nii, et
isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või muude rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, võib pidada selle sätte kohaselt põhjendatuks, kui see on tegelikult vajalik vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses ette nähtud seadusjärgse kohustuse täitmiseks, kui see õiguslik alus vastab avalikku huvi teenivale eesmärgile ja on taotletava õiguspärase eesmärgiga proportsionaalne ning kui töötlemine toimub rangelt vajaliku piires.
7. Määruse 2016/679 artikli 6 lõike 1 esimese lõigu punkte d ja e
tuleb tõlgendada nii, et
isikuandmete töötlemist, mida teeb veebipõhise suhtlusvõrgustiku operaator ja mis seisneb selles, et ta kogub võrgustiku kasutajate andmeid, mis on saadud teiste selle kontserni teenuste kaudu, kuhu see operaator kuulub, või nende kasutajate poolt kolmandate isikute veebisaitide külastamise või muude rakenduste kasutamise andmete sidumises selliste kasutajate suhtlusvõrgustiku kontoga ja nende andmete kasutamises, ei saa üldjuhul ja tingimusel, et eelotsusetaotluse esitanud kohtu kontroll seda kinnitab, pidada vajalikuks andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks punkti d tähenduses või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks punkti e tähenduses.
8. Määruse 2016/679 artikli 6 lõike 1 esimese lõigu punkti a ja artikli 9 lõike 2 punkti a
tuleb tõlgendada nii, et
asjaolu, et asjaolu, et veebipõhise suhtlusvõrgustiku operaator on turgu valitsevas seisundis veebipõhiste suhtlusvõrgustike turul, ei takista iseenesest seda, et sellise võrgustiku kasutajad saaksid anda selle määruse artikli 4 punkti 11 tähenduses kehtiva nõusoleku nende isikuandmete töötlemiseks selle operaatori poolt. See asjaolu on siiski oluline tegur selle kindlakstegemisel, kas nõusolek anti tõepoolest kehtivalt ja eelkõige vabatahtlikult – seda peab tõendama kõnealune operaator.
Allkirjad