Kohtuasi C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
versus
Valstybinė duomenų apsaugos inspekcija
(eelotsusetaotlus, mille on esitanud Vilniaus apygardos administracinis teismas)
Euroopa Kohtu (suurkoda) 5. detsembri 2023. aasta otsus
Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artikli 4 punktid 2 ja 7 – Mõisted „töötlemine“ ja „vastutav töötleja“ – Mobiilirakenduse arendamine – Artikkel 26 – Kaasvastutus töötlemise eest – Artikkel 83 – Trahvide määramine – Tingimused – Nõue, et rikkumine peab olema toime pandud tahtlikult või hooletusest – Vastutava töötleja vastutus volitatud töötleja poolse isikuandmete töötlemise eest
1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Mõiste „vastutav töötleja“ – Üksus, kes on teinud ettevõtjale ülesandeks mobiilirakenduse arendamise, ilma et ta oleks teinud isikuandmete töötlemise toiminguid, andnud sõnaselget nõusolekut nende tegemiseks või rakenduse üldsusele kättesaadavaks tegemiseks ega rakendust omandanud – Hõlmamine – Tingimus – Tegelik osalemine töötlemise eesmärkide ja vahendite kindlaksmääramises – Erand
(Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 74 ning artikli 4 punkt 7)
(vt punktid 30–38 ja resolutsiooni punkt 1)
2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Kaasvastutus töötlemise eest – Tingimus – Töötlemise eesmärkide ja vahendite ühine kindlaksmääramine – Nõue, et kaasvastutavatel töötlejatel oleks kokkulepe töötlemise eesmärkide ja vahendite kindlaksmääramise või nende kaasvastutuse tingimuste kohta – Puudumine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 79, artikli 4 punkt 7 ja artikli 26 lõige 1)
(vt punktid 41–46 ning resolutsiooni punkt 2)
3. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Mõiste „isikuandmete töötlemine“ – Isikuandmete kasutamine mobiilirakenduse infotehnoloogiliseks katsetamiseks – Hõlmamine – Tingimus – Isikuandmeid puudutav töötlemine – Anonüümsete või fiktiivsete andmete töötlemine – Väljaarvamine – Isikuandmed, mis on pseudonümiseeritud ja mida saab täiendava teabe abil seostada füüsilise isikuga – Hõlmamine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 26 ning artikli 4 punktid 1, 2 ja 5)
(vt punktid 50–59 ja resolutsiooni punkt 3)
4. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Trahvide määramine – Tingimused – Liikmesriikide kaalutlusruumi puudumine vastutavale töötlejale trahvi määramise sisuliste tingimuste ettenägemiseks – Nõue, et vastutav töötleja on rikkumise toime pannud tahtlikult või hooletusest
(ELTL artikkel 288; Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendused 10, 129 ja 148 ning artiklid 58, 83 ja 84)
(vt punktid 64–82 ja 86 ning resolutsiooni punkt 4)
5. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Trahvide määramine – Võimalus määrata vastutavale töötlejale selline trahv volitatud töötleja poolse isikuandmete töötlemise eest – Erandid
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 4 punkt 8, artikli 28 lõige 10 ja artikkel 83)
(vt punktid 83–86 ja resolutsiooni punkt 4)
Kokkuvõte
COVID-19 pandeemia paremaks ohjamiseks otsustasid Leedu ametiasutused 2020. aastal korraldada mobiilirakenduse omandamise. See pidi kaasa aitama epidemioloogilisele seirele, võimaldades registreerida ja jälgida COVID-19 põhjustava viirusega kokku puutunud isikute andmeid.
Selleks võttis Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (tervishoiuministeeriumi haldusalas olev terviseamet, Leedu; edaspidi „terviseamet“), kellele see omandamine ülesandeks oli tehtud, ühendust äriühinguga UAB „IT sprendimai sėkmei“ (edaspidi „äriühing ITSS“), paludes tal luua selline mobiilirakendus. Seejärel edastasid terviseameti töötajad sellele äriühingule e‑kirjadega küsimused, mis rakenduses olema pidid.
Ajavahemikul 2020. aasta aprillist maini tehti äriühingu ITSS loodud mobiilirakendus üldsusele kättesaadavaks. Seda kasutas 3802 isikut, kes sisestasid enda kohta erinevaid andmeid, mida neilt rakenduse kaudu küsiti. Rahastuse puudumise tõttu ei sõlminud terviseamet siiski äriühinguga ITSS riigihankelepingut loodud mobiilirakenduse ametlikuks omandamiseks ja lõpetas sellega seotud menetluse.
Vahepeal oli liikmesriigi järelevalveasutus algatanud uurimise selle rakenduse kasutamisest tuleneva isikuandmete töötlemise kohta. Selle asutuse otsusega, mis tehti uurimise järel, määrati trahv nii terviseametile kui ka äriühingule ITSS, keda peeti kaasvastutavaks töötlejaks.
Terviseamet vaidlustas selle otsuse Vilniaus apygardos administracinis teismases (Vilniuse regionaalne halduskohus, Leedu). Kuna nimetatud kohtul oli kahtlusi seoses isikuandmete kaitse üldmääruse(1) mitme sätte tõlgendamisega, esitas ta Euroopa Kohtule eelotsusetaotluse.
Euroopa Kohtu suurkoda täpsustas oma otsuses mõisteid „vastutav töötleja“, „kaasvastutavad töötlejad“ ja „töötlemine“(2) ning võttis seisukoha võimaluse kohta määrata vastutavale töötlejale trahv(3) juhul, kui isikuandmete kaitse üldmääruse sätete rikkumist, mille eest sanktsiooni saab määrata, ei ole toime pandud tahtlikult või hooletusest.
Euroopa Kohtu hinnang
Esimesena märkis Euroopa Kohus, et üksust, kes on teinud ettevõtjale ülesandeks arendada mobiilirakendust ja kes on selles kontekstis osalenud selle rakenduse abil toimuva isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel, võib pidada vastutavaks töötlejaks(4). Seda seisukohta ei sea kahtluse alla asjaolu, et see üksus ise ei ole teinud niisuguste andmete töötlemise toiminguid, ei ole andnud sõnaselget nõusolekut konkreetsete töötlemistoimingute tegemiseks või kõnealuse mobiilirakenduse üldsusele kättesaadavaks tegemiseks ega ole seda mobiilirakendust omandanud, välja arvatud juhul, kui see üksus oli enne nimetatud kättesaadavaks tegemist sõnaselgelt selle kättesaadavaks tegemise ja sellest tulenenud isikuandmete töötlemise vastu.
Teisena märkis Euroopa Kohus, et kahe üksuse liigitamine kaasvastutavateks töötlejateks ei eelda nende üksuste vahelist kokkulepet isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramise kohta ega kokkulepet, milles on kindlaks määratud töötlemise kaasvastutuse tingimused. On tõsi, et isikuandmete kaitse üldmääruse kohaselt(5) peavad kaasvastutavad töötlejad läbipaistval viisil omavahelise kokkuleppega kindlaks määrama iga kaasvastutava töötleja vastutusvaldkonna, et tagada selle määruse nõuete täitmine. Sellise kokkuleppe olemasolu ei ole siiski eeltingimus selleks, et kahte või enamat üksust saaks kvalifitseerida kaasvastutavateks töötlejateks, vaid kohustus, mille isikuandmete kaitse üldmäärus paneb kaasvastutavatele töötlejatele, kui nad on nõnda kvalifitseeritud, et tagada neile selle määrusega pandud nõuete täitmine. Seega tuleneb see kvalifikatsioon ainuüksi asjaolust, et isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel on osalenud mitu üksust.
Mis puudutab töötlemise eesmärkide ja vahendite ühist kindlaksmääramist asjaomaste üksuste poolt, siis täpsustas Euroopa Kohus, et nende osalemine selles kindlaksmääramises võib toimuda eri vormides ja tuleneda nii nende üksuste ühisest otsusest kui ka nende kokkulangevatest otsustest. Viimasel juhul peavad need otsused aga üksteist täiendama nii, et igal otsusel oleks konkreetne mõju töötlemise eesmärkide ja vahendite kindlaksmääramisele.
Kolmandana märkis Euroopa Kohus, et isikuandmete kasutamine mobiilirakenduse infotehnoloogiliseks katsetamiseks on töötlemine(6). See ei ole nii aga juhul, kui andmed on muudetud anonüümseks selliselt, et isik, kelle kohta need andmed käivad, ei ole või ei ole enam tuvastatav, või kui tegemist on fiktiivsete andmetega, mis ei ole seotud olemasoleva füüsilise isikuga.
Esiteks ei mõjuta see, kas isikuandmeid kasutatakse infotehnoloogiliseks katsetamiseks või muul eesmärgil, nimelt kõnealuse toimingu kvalifitseerimist „isikuandmete töötlemiseks“. Teiseks on „isikuandmete töötlemine“ isikuandmete kaitse üldmääruse tähenduses ainult töötlemine, mis puudutab isikuandmeid. Fiktiivsed või anonüümsed andmed ei ole aga isikuandmed.
Neljandaks ja viimaseks tõdes Euroopa Kohus, et isikuandmete kaitse üldmääruse artikli 83 alusel saab vastutavale töötlejale trahvi määrata üksnes juhul, kui on tõendatud, et ta on selles määruses sisalduvaid norme rikkunud(7) tahtlikult või hooletusest.
Sellega seoses täpsustas Euroopa Kohus, et liidu seadusandja ei ole jätnud liikmesriikidele kaalutlusruumi sisuliste tingimuste osas, mida järelevalveasutus peab järgima, kui ta otsustab määrata vastutavale töötlejale selle sätte alusel trahvi. Asjaolu, et isikuandmete kaitse üldmäärus annab liikmesriikidele võimaluse kehtestada erandeid seoses nende territooriumil asuvate avaliku sektori asutuste ja organitega(8) ning nõudeid seoses menetlusega, mida järelevalveasutused peavad järgima trahvi määramisel(9), ei tähenda mingil juhul seda, et liikmesriikidel oleks õigus kehtestada sama moodi ka sisulisi tingimusi.
Nende tingimuste kohta märkis Euroopa Kohus, et isikuandmete kaitse üldmääruses loetletud asjaolude hulgas, mida arvestades määrab järelevalveasutus vastutavale töötlejale trahvi, on see, „kas rikkumine pandi toime tahtlikult või hooletusest“(10). Seevastu ei viita ükski selles sättes loetletud asjaolu mis tahes võimalusele, et vastutava töötleja vastutus võib tekkida ilma tema süülise käitumiseta. Seega võib üksnes isikuandmete kaitse üldmääruse sätete rikkumine, mille vastutav töötleja on toime pannud tahtlikult või hooletusest, talle kaasa tuua trahvi määramise selle määruse artikli 83 alusel.
Euroopa Kohus lisas, et seda tõlgendust kinnitavad isikuandmete kaitse üldmääruse üldine ülesehitus ja eesmärk. Sellega seoses täpsustas ta, et isikuandmete kaitse üldmääruses ette nähtud sanktsioonide süsteemi olemasolu, mis võimaldab määrata trahvi juhul, kui juhtumi konkreetsed asjaolud seda õigustavad, ajendab vastutavaid töötlejaid ja volitatud töötlejaid seda määrust järgima ning trahvid aitavad oma heidutava mõjuga kaasa andmesubjektide paremale kaitsele. Liidu seadusandja ei ole siiski pidanud vajalikuks näha ette trahvide määramist ka süü puudumise korral. Arvestades asjaolu, et isikuandmete kaitse üldmääruse eesmärk on saavutada ühtaegu samaväärne ja ühtlane kaitsetase ning et selleks tuleb seda määrust kohaldada kogu liidus järjekindlalt, oleks selle eesmärgiga vastuolus, kui liikmesriikidel oleks lubatud ette näha niisugune trahvi määramise kord.
Lisaks järeldas Euroopa Kohus, et sellise trahvi võib määrata vastutavale töötlejale seoses isikuandmete töötlemise toimingutega, mida volitatud töötleja on teinud tema nimel, välja arvatud juhul, kui volitatud töötleja on neid toiminguid teinud tema enda huvides või kui volitatud töötleja on neid andmeid töödelnud viisil, mis on vastuolus vastutava töötleja poolt kindlaks määratud töötlemise raamistiku või korraga, või viisil, mille puhul ei saa mõistlikult leida, et vastutav töötleja on selleks nõusoleku andnud. Niisugusel juhul tuleb volitatud töötlejat pidada sellise töötlemise eest vastutavaks.