Eelotsusetaotlus, mille on esitanud Bundesverwaltungsgericht (Saksamaa) 14. aprillil 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein versus Wirtschaftsakademie Schleswig-Holstein GmbH

(kohtuasi C-210/16)

Kohtumenetluse keel: saksa

Eelotsusetaotluse esitanud kohus

Bundesverwaltungsgericht

Põhikohtuasja pooled

Vastustaja, apellatsioonkaebuse esitaja ja kassatsioonkaebuse esitaja: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Kaebaja, vastustaja apellatsioonimenetluses ja vastustaja kassatsioonimenetluses: Wirtschaftsakademie Schleswig-Holstein GmbH

Menetlusse astuja: Facebook Ireland Limited

Kolmas isik: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht (Saksamaa Liitvabariigi huvide esindaja Bundesverwaltungsgerichti juures)

Eelotsuse küsimused

Kas direktiivi 95/46/EÜ1 artikli 2 punkti d tuleb tõlgendada nii, et see reguleerib vastutust andmekaitsealaste õigusnormide rikkumise eest täielikult ja ammendavalt, või vastutab direktiivi 95/46 artikli 24 kohaste „sobivate meetmete“ ja direktiivi 95/46 artikli 28 lõike 3 teise taande kohaste „tõhusate sekkumisvolituste“ raames oma teabe haldaja valimise eest teabe andjate mitmeastmeliste suhete puhul asutus, kes ei ole direktiivi 95/46 artikli 2 punkti d tähenduses vastutav andmete töötlemise eest?

Kas liikmesriikide kohustusest vastavalt direktiivi 95/46 artikli 17 lõikele 2 sätestada juhul, kui töötlemine toimub vastutava töötaja nimel, et vastutav töötleja „peab valima volitatud töötleja, kes esitab piisavad tagatised tehniliste turvameetmete ja töötlemist reguleerivate korralduslike meetmete kohta“, tuleneb ümberpöördult, et teistsuguste kasutussuhete puhul, mis ei ole seotud andmete töötlemisega vastutava töötaja nimel direktiivi 95/46 artikli 2 punkti e tähenduses, ei kehti valiku tegemisel hoolsuskohustus ja seda ei saa ka siseriikliku õiguse alusel kehtestada?

Kas juhtudel, kus väljaspool Euroopa Liitu asuval emaettevõtjal on eri liikmesriikides õiguslikult iseseisvad allüksused (tütarettevõtjad), on vastavalt direktiivi 95/46 artiklile 4 ja artikli 28 lõikele 6 liikmesriigi (käesoleval juhul: Saksamaa) järelevalveasutusel õigus kasutada talle direktiivi 95/46 artikli 28 lõike 3 alusel antud volitusi tema territooriumil registreeritud allüksuse suhtes ka siis, kui kõnealune allüksus vastutab üksnes reklaamimüügi edendamise ja muude turundusmeetmete eest, mis on suunatud kõnealuse liikmesriigi elanikele, samal ajal kui muus liikmesriigis (käesoleval juhul: Iirimaa) registreeritud iseseisval allüksusel (tütarettevõtja) lasub vastavalt kontsernisisesele ülesannete jaotusele ainuvastutus isikuandmete kogumise ja töötlemise eest kogu Euroopa Liidu territooriumil ja seega ka kõnealuses muus liikmesriigis (käesoleval juhul: Saksamaa), kui tegelikult otsustab andmete töötlemise üle emaettevõtja?

Kas direktiivi 95/46 artikli 4 lõike 1 punkti a ja artikli 28 lõiget 3 tuleb tõlgendada nii, et juhtudel, kus vastutava töötleja allüksus paikneb teatud liikmesriigi territooriumil (käesoleval juhul: Iirimaa) ja tema teine õiguslikult iseseisev allüksus asub muu liikmesriigi territooriumil (käesoleval juhul: Saksamaa) ja viimane vastutab muu hulgas reklaampindade müügi eest ja tema tegevus on suunatud selle liikmesriigi elanikele, võib kõnealuses muus liikmesriigis (käesoleval juhul: Saksamaa) pädev järelevalveasutus võtta meetmeid ja anda korraldusi andmekaitsealaste õigusnormide rakendamiseks ka teise allüksuse (käesoleval juhul: Saksamaa) suhtes, kes vastavalt kontsernisisesele ülesannete ja vastutuse jaotusele ei vastuta andmete töötlemise eest, või võib meetmeid võtta ja korraldusi anda ainult selle liikmesriigi (käesoleval juhul: Iirimaa) järelevalveasutus, kelle territooriumil on kontsernisisese ülesannete jaotuse kohaselt vastutava asutuse asukoht?

Kas direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et juhtudel, kus liikmesriigi (käesoleval juhul: Saksamaa) järelevalveasutus esitab tema territooriumil tegutsevale isikule või asutusele nõude vastavalt direktiivi 95/46 artikli 28 lõikele 3 seetõttu, et viimane rikkus andmetöötlusesse kaasatud kolmanda isiku (käesoleval juhul: Facebook) valimisel hoolsuskohustust, kuna nimetatud kolmas isik rikub andmekaitsealaseid õigusnorme, on meetmeid rakendavale järelevalveasutusele (käesoleval juhul: Saksamaa) siduv selle liikmesriigi järelevalveasutuse andmekaitsealane hinnang, kus asub andmete töötlemise eest vastutava kolmanda isiku allüksus, (käesoleval juhul: Iirimaa), selles mõttes, et ta ei või anda sellest kõrvalekalduvat õiguslikku hinnangut, või võib meetmeid rakendav järelevalveasutus (käesoleval juhul: Saksamaa) muus liikmesriigis (käesoleval juhul: Iirimaa) registreeritud kolmanda isiku poolse andmete töötlemise õiguspärasust eelnevalt lahendamist vajava küsimusena selle kohta, kas ta võib ise meetmeid võtta, iseseisvalt kontrollida?

Kui meetmeid rakendav järelevalveasutus (käesoleval juhul: Saksamaa) võib teostada iseseisvat kontrolli: kas direktiivi 95/46 artikli 28 lõike 6 teist lauset tuleb tõlgendada nii, et kõnealune järelevalveasutus võib talle direktiivi 95/46 artikli 28 lõike 3 alusel antud tõhusaid sekkumisvolitusi tema territooriumil registreeritud isiku või asutuse suhtes kaasvastutuse tõttu andmekaitsealaste õigusnormide rikkumise eest, mille pani toime muus liikmesriigis registreeritud kolmas isik, kasutada ainult ja alles siis, kui ta on eelnevalt palunud nimetatud muu liikmesriigi (käesoleval juhul: Iirimaa) järelevalveasutuselt luba neid volitusi kasutada?

____________

1 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, (EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355)