| Dokumendiregister | Sotsiaalministeerium |
| Viit | 1.4-1.4/4263-1 |
| Registreeritud | 01.12.2023 |
| Sünkroonitud | 06.05.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.4 EL otsustusprotsess ja rahvusvaheline koostöö |
| Sari | 1.4-1.4 Euroopa Liidu Kohtu eelotsused |
| Toimik | 1.4-1.4/2023 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Välisministeerium |
| Saabumis/saatmisviis | Välisministeerium |
| Vastutaja | Raili Sillart (Sotsiaalministeerium, Kantsleri vastutusvaldkond, Innovatsiooni vastutusvaldkond, Arendusosakond) |
| Originaal | Ava uues aknas |
Vastuvõtmise kuupäev : 01/12/2023
Kokkuvõte C-638/23 - 1
Kohtuasi C-638/23
Eelotsusetaotluse kokkuvõte vastavalt Euroopa Kohtu kodukorra artikli 98
lõikele 1
Saabumise kuupäev:
24. oktoober 2023
Eelotsusetaotluse esitanud kohus:
Verwaltungsgerichtshof (Austria kõrgeim halduskohus)
Eelotsusetaotluse kuupäev:
23. august 2023
Kassaator:
Amt der Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo)
Põhikohtuasja ese
Kassatsioonkaebus Bundesverwaltungsgerichti (föderaalne halduskohus) otsuse
peale, mis puudutab isikuandmete kaitset
Eelotsusetaotluse ese ja õiguslik alus
Määruse (EL) 2016/679 tõlgendamine, ELTL artikkel 267
Eelotsuse küsimus
Kas Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse
(EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste
andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta
(isikuandmete kaitse üldmäärus) artiklit 4 punkti 7 tuleb tõlgendada nii, et see ei
luba kohaldada sellist riigisisest õigusnormi (nagu käesoleval juhul Tirooli
andmetöötlusseaduse (Tiroler Datenverarbeitungsgesetz) § 2 lõige 1), mis näeb
küll ette konkreetse vastutava töötleja isikuandmete kaitse üldmääruse artikli 4
punkti 7 teise poole tähenduses,
– kuid see on pelgalt büroo (nagu käesoleval juhul Amt der Tiroler
Landesregierung (Tirooli liidumaa valitsuse büroo), mis – olgugi et seadusjärgselt
ET
EELOTSUSETAOTLUSE KOKKUVÕTE – KOHTUASI C-638/23
2
asutatud – ei ole füüsiline ega juriidiline isik ja käesoleval juhul ei ole ka asutus,
vaid tegutseb üksnes asutuse abiaparaadina ning ei oma ise täielikku ega osalist
õigusvõimet;
– mille määramisel ei viidata isikuandmete konkreetsele töötlemisele, mistõttu ei
ole liikmesriigi õiguses sätestatud ka isikuandmete konkreetse töötlemise
eesmärke ja vahendeid;
– konkreetsel juhul ei ole see büroo üksi ega koos teistega teinud otsust asjaomase
isikuandmete töötlemise eesmärkide ja vahendite kohta?
Viidatud liidu õigusnormid
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba
liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete
kaitse üldmäärus), artikli 4 punkt 7, artikkel 5, artikkel 9, artikkel 26
Viidatud riigisisesed õigusnormid
Austria seadus liidumaade, v.a Viin, valitsuste büroode loomise ja juhtimise
põhimõtete kohta (Bundesverfassungsgesetz betreffend Grundsätze für die
Einrichtung und Geschäftsführung der Ämter der Landesregierungen außer Wien
(Ämter-der-Landesregierungen-Bundesverfassungsgesetz – BVG ÄmterLReg),
§-d 1–3
Isikuandmete kaitse seadus (Datenschutzgesetz, edaspidi „DSG“) § 1 lõige 1
Terviseandmete elektroonilise töötlemise seadus (Gesundheitstelematikgesetz
2012, edaspidi „GTelG 2012“),§ 24f lõige 4, §-d 18, § 24d lõike 2 punkt 3
Tirooli liidumaa 1989. aasta määrus (Tiroler Landesordnung 1989, LGBl.
nr 61/1988, redaktsioonis, mis on avaldatud LGBl. nr 71/2019, artiklid 56 ja 58)
Tirooli liidumaa valitsuse büroo töökord (Geschäftsordnung des Amtes der Tiroler
Landesregierung) § 4 lõige 1, § 10, § 18
Tirooli liidumaa isikuandmete töötlemise seadus (Tiroler
Datenverarbeitungsgesetz, edaspidi TDVG“), § 1, § 2 lõike 1 punkt a ja lõige 3
Asjaolude ja menetluse lühikirjeldus
1 Puudutatud isik esitas 21. detsembril 2021 andmekaitseasutusele
(Datenschutzbehörde) Tirooli liidumaa valitsuse büroo kui vastustaja vastu
isikuandmete kaitset puudutava vaide, märkides, et seoses talle adresseeritud
kirjaga, milles talle anti teada, et konkreetselt nimetatud kohas on tema jaoks
AMT DER TIROLER LANDESREGIERUNG
3
broneeritud ajad COVID-vaktsineerimiseks, ja kutsuti teda üles seda pakkumist
kasutama, on rikutud isikuandmete kaitse seaduse (DSG) § 1 lõikega 1 tagatud
õigust konfidentsiaalsusele. Sellega seoses on puudutatud isikul kahtlus, et kiri
põhineb tema terviseandmete loata edastamisel ja töötlemisel.
2 Amt der Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo) teatas
31. jaanuari 2022. aasta seisukohas andmekaitseasutusele muu hulgas, et ta oli
kõnealuse kirja saatmisega seoses andmekaitsenormide tähenduses vastutav
töötleja ja et isikuandmete kaitse üldmääruse artikli 26 kohast kaasvastutavat
töötlejat ei ole.
3 Andmekaitseasutus rahuldas vaide – käesolevas asjas olulises osas – 22. augusti
2022. aasta otsusega ja tuvastas, et Amt der Tiroler Landesregierung (Tirooli
liidumaa valitsuse büroo) oli rikkunud puudutatud isiku õigust
konfidentsiaalsusele. Amt der Tiroler Landesregierungil (Tirooli liidumaa
valitsuse büroo) ei ole GTelG 2012 § 24f lõike 4 kohast erivolitust ligipääsuks
kesksele vaktsineerimisregistrile, mistõttu oli järgnenud isikuandmete töötlemine
ebaseaduslik.
4 Bundesverwaltungsgericht (föderaalne halduskohus) jättis Amt der Tiroler
Landesregierungi (Tirooli liidumaa valitsuse büroo) esitatud kaebuse
põhjendamatuse tõttu rahuldamata, otsus kaevati edasi.
5 Bundesverwaltungsgericht (föderaalne halduskohus) tuvastas sisuliselt, et Amt der
Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo) oli koostanud
kõnealuse isikuandmete töötlemise toimingu eesmärgi ja vahendite
kindlaksmääramiseks „ettepaneku“, mille oli Landeshauptmann – lühikese
korraldusega – seejärel „heaks kiitnud“. Tirooli liidumaa kodanikele saadetava
kirja kontseptsiooni, eelkõige ettepaneku saata „vaktsineerimise
meeldetuletuskiri“ kõigile vähemalt 18-aastastele (COVID-19 vastu veel
vaktsineerimata) Tirooli liidumaa elanikele, oli välja töötanud ning kirja oli
koostanud Amt der Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo).
Puudutatud isiku elukoha sidumine vaktsineerimiskohaga põhines Amt der Tiroler
Landesregierungi (Tirooli liidumaa valitsuse büroo) ettepanekul ning Amt der
Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo) tagas selleks ka
tehnilise rakenduse. Amt der Tiroler Landesregierung (Tirooli liidumaa valitsuse
büroo) on korduvalt, näiteks oma andmekaitsedeklaratsioonis deklareerinud end
isikuandmete töötlemise eest vastutavaks töötlejaks. 19. novembril 2021 andis
Tirooli liidumaa, keda esindab Amt der Tiroler Landesregierung (Tirooli liidumaa
valitsuse büroo), äriühingule E GmbH tellimuse tuvastada „vaktsineerimise
meeldetuletuskirjade“ adressaadid. E GmbH edastas selle tellimuse äriühingule
I GmbH. Tellimuse täitmiseks võttis I GmbH esmalt patsiendiregistrist
(patsientide nimekiri – GTelG 2012 § 18) välja kõik üle 18-aastased isikud, kes
olid ennast registreerinud Tiroolis asuval aadressil. Seejärel filtreeris I GmbH
välja need isikud, kelle kohta oli kesksesse vaktsineerimisregistrisse tehtud märge
Euroopa Liidus heaks kiidetud COVID-19-vaktsiiniga vaktsineerimise kohta.
Ülejäänud isikute nimed ja aadressid edastas I GmbH 25. novembril 2021 Amt der
EELOTSUSETAOTLUSE KOKKUVÕTE – KOHTUASI C-638/23
4
Tiroler Landesregierungile (Tirooli liidumaa valitsuse büroo). Puudutatud isik ei
osalenud oma isikuandmete töötlemisel ega olnud andnud oma nõusolekut.
6 Õiguslikult tuleneb juba Tirooli isikuandmete töötlemise seaduse (TDVG) § 2
lõike 1 punktist a ja lõikest 3, et Amt der Tiroler Landesregierung (Tirooli
liidumaa valitsuse büroo) tuleb kvalifitseerida menetluse esemeks oleva
isikuandmete töötlemisega seoses vastutavaks töötlejaks. Amt der Tiroler
Landesregierungi (Tirooli liidumaa valitsuse büroo) tellimusel tehtud päringud
patsientide registrist ja kesksest vaktsineerimisregistrist ning nende andmete
koondamine on andmekaitsenormide tähenduses omistatav Amt der Tiroler
Landesregierungile (Tirooli liidumaa valitsuse büroo). Amt der Tiroler
Landesregierung (Tirooli liidumaa valitsuse büroo) ei suutnud GTelG 2012 § 18
alusel põhjendada, et ligipääs patsientide registrile on seaduslik isikuandmete
kaitse üldmääruse artikli 5 lõike 1 punkti a tähenduses. Seoses ligipääsuga
kesksele vaktsineerimisregistrile on puudutatud isiku vaktsineerimisstaatus
isikuandmete eriliik isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses,
kuna vaktsineerimisstaatus võib anda teavet asjaomase isiku tervisliku seisundi
kohta. Vaktsineerimisstaatuse töötlemine oleks lubatud ainult juhul, kui
isikuandmete kaitse üldmääruse artikli 9 lõikes 1 sätestatud töötlemise keelust
saaks kohaldada erandit, kuna esinevad lõikes 2 märgitud asjaolud. Selliseid
asjaolusid ei esine. Amt der Tiroler Landesregierungil (Tirooli liidumaa valitsuse
büroo) ei ole GTelG 2012 § 24d lõike 2 punkti 3 kohaselt õigust pääseda
vaktsineerimise keskregistrile ligi „vaktsineerimise meeldetuletuskirja“ saatmise
eesmärgil. Kuna aadressiandmete väljaselgitamine patsiendiregistrile ja kesksele
vaktsineerimisregistrile ligipääsu kaudu on ebaseaduslik, on ebaseaduslik ka
nende andmete edasine kasutamine „vaktsineerimise meeldetuletuskirjade“
adresseerimiseks ja saatmiseks.
7 Selle otsuse peale esitas Amt der Tiroler Landesregierung (Tirooli liidumaa
valitsuse büroo) kassatsioonikorras erikaebuse. Andmekaitseasutus esitas
Verwaltungsgerichtshofi (Austria kõrgeim halduskohus) algatatud menetluses
kassatsioonkaebusele vastuse, milles ta palub jätta kassatsioonkaebus läbi
vaatamata, teise võimalusena rahuldamata.
Eelotsusetaotluse põhjenduste lühikokkuvõte
8 Seoses kõnealuse isikuandmete töötlemisega tuleb selgeks teha, kas Amt der
Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo) on isikuandmete kaitse
üldmääruse artikli 4 punkti 7 tähenduses vastutava töötleja staatuses.
9 Isikuandmete kaitse üldmääruse artikli 4 punktis 7 sisalduva määratluse kohaselt
on vastutav töötleja füüsiline või juriidiline isik, avaliku sektori asutus, amet või
muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise
eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks
määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema
määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses.
AMT DER TIROLER LANDESREGIERUNG
5
10 Vastavalt Euroopa Kohtu väljakujunenud praktikale on mõiste „vastutav töötleja“
määratletud laialt, et tagada andmesubjektide tõhus ja täielik kaitse. Mõiste võib
hõlmata ka mitut isikuandmete töötlemises osalevat isikut. Vastutavaks töötlejaks
võib pidada iga isikut, kes temale omasel eesmärgil mõjutab isikuandmete
töötlemist ja osaleb seetõttu töötlemise eesmärkide ja vahendite
kindlaksmääramisel. Seevastu ei saa isikut pidada vastutavaks töötlemisahela
eelnevate ega järgnevate etappide eest, mille eesmärke või vahendeid ta kindlaks
ei määra. Vastutus piirdub isikuandmete töötlemise toimingutega, mille eesmärgid
ja vahendid see isik tegelikult kindlaks määrab. Aluseks olevad õigusnormid ei
võimalda asuda seisukohale, et töötlemise eesmärkide ja vahendite
kindlaksmääramine peab toimuma kirjalike juhiste või korralduste abil.
Vastutavaks töötlejaks võib pidada igaüht, kes osaleb andmetöötluse eesmärkide
ja vahendite üle otsustamisel (vt selle kohta Verwaltungsgerichtshofi (Austria
kõrgeim halduskohus) 27. juuni 2023. aasta otsus Ro 2023/04/0013,
punktid 21-23, viidetega 29. juuli 2019. aasta kohtuotsusele Fashion ID, C-40/17,
EU:C:2019:629, punktid 66-70, 74 ja 85; 5. juuni 2018. aasta kohtuotsusele
Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punkt 31,
ja 10. juuli 2018. aasta kohtuotsusele Jehovan Todistajat, C-25/17,
EU:C:2018:551, punkt 67).
11 Bundesverwaltungsgericht (föderaalne halduskohus) jõudis järeldusele, et Amt der
Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo) koostas – seoses
andmete töötlemise eesmärgiga (vaktsineerimismäära suurendamine)
ja vahenditega (sihipärane kutse vähemalt 18-aastastele Tiroolis elavatele
COVID-19 vastu vaktsineerimata isikutele, kasutades selleks keskse
vaktsineerimisregistri ja patsiendiregistri andmeid, mille kogus äriühing E GmbH,
Tirooli liidumaa (keda esindas Amt der Tiroler Landesregierung (Tirooli liidumaa
valitsuse büroo)) tellimusel, ning sidudes asjaomaste isikute elukoha andmed
kavandatud vaktsineerimiskohaga) – üksnes „ettepaneku“, mille kiitis heaks
Landeshauptmann, kes on Tirooli liidumaa 1989. aasta määruse artikli 58 kohaselt
Amt der Tiroler Landesregierungi (Tirooli liidumaa valitsuse büroo) juhataja ja
vastavalt sama määruse artikli 56 lõikele 1 Tirooli liidumaa esindaja.
12 Sellest järeldub, et nii isikuandmete töötlemise eesmärgi kui ka vahendite üle
otsustas ainult Landeshauptmann kui Tirooli liidumaa esindaja ja mitte (ka) Amt
der Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo). Tuvastatud
asjaolud ei anna alust eeldada, et käesolevas asjas oleks Amt der Tiroler
Landesregierung (Tirooli liidumaa valitsuse büroo) üksi või koos
Landeshauptmanniga – isegi kui see puudutab ainult isikuandmete töötlemise
üksikuid etappe – otsustanud andmetöötluse eesmärkide ja vahendite üle või
vähemalt osalenud selle otsuse tegemisel temale omasel eesmärgil ning et vastutus
vähemalt ühe osa isikuandmete töötlemise eest lasub lisaks teiseks töötlejaks
olevale Landeshauptmannile ka Amt der Tiroler Landesregierungil (Tirooli
liidumaa valitsuse büroo). Verwaltungsgerichtshofi (Austria kõrgeim
halduskohus) hinnangul ei ole Amt der Tiroler Landesregierung (Tirooli liidumaa
valitsuse büroo) juba seetõttu vastutav töötleja isikuandmete kaitse üldmääruse
artikli 4 punkti 7 esimese poole tähenduses.
EELOTSUSETAOTLUSE KOKKUVÕTE – KOHTUASI C-638/23
6
13 Bundesverwaltungsgerichti (föderaalne halduskohus) hinnangul tuleneb Amt der
Tiroler Landesregierungi (Tirooli liidumaa valitsuse büroo) kvalifitseerimine
vastutavaks töötlejaks aga sellest, et ta on määratud vastutavaks töötlejaks Tirooli
isikuandmete töötlemise seaduse § 2 lõike 1 punktis a ja lõikes 3.
14 Seega tuleb välja selgitada, kas Amt der Tiroler Landesregierung (Tirooli
liidumaa valitsuse büroo) võis selle õigusnormi alusel olla kehtivalt määratud
vastutavaks töötlejaks isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise
poole alusel, olgugi et tal puudub vastutava töötleja staatus isikuandmete kaitse
üldmääruse artikli 4 punkti 7 esimese poole alusel, kuna ta ei ole teinud otsust
isikuandmete töötlemise eesmärkide ja vahendite kohta.
15 Põhimõtteliselt ei ole Amt der Tiroler Landesregierung (Tirooli liidumaa valitsuse
büroo) oma funktsioonilt organ ega oma ise juriidilise isiku staatust. Kuigi
liidumaa õigusaktid võivad anda Amt der Tiroler Landesregierungile (Tirooli
liidumaa valitsuse büroo) üksikjuhtudel ametiasutuse ülesandeid ja seega käsitada
seda asutusena, ei ole see nii osas, mis puudutab käesoleva kirja koostamist ja
saatmist puudutatud isikule.
16 Kõnealuse kirjaga ei seatud puudutatud isikule õiguslikult siduvat COVID-
vaktsineerimise kohustust, vaid talle saadeti kutse tulla COVID-vaktsineerimisele
kindlaksmääratud kohas ühel mitmest samal ajal pakutud kuupäevast. Kiri ei ole
avaliku võimu akt ega ole seotud avaliku võimu aktiga, kuna see ei valmista sellist
akti ette, ei kaasne sellise aktiga ega rakenda sellist akti.
17 Seega ei ole Amt der Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo)
ei füüsiline ega juriidiline isik ega osas, mis puudutab puudutatud isiku
isikuandmete töötlemist, asutus. Käesoleval juhul tegutses ta pelgalt erasektori
haldusliku abiaparaadina, kellel puudub täielik või osaline juriidilise isiku staatus.
18 Sellega seoses tekib küsimus, kas ka pelgalt bürood kui asutuse abiaparaati, millel
puudub oma täielik või osaline õigusvõime – nagu käesoleval juhul Amt der
Tiroler Landesregierung (Tirooli liidumaa valitsuse büroo) – saab käsitada „ameti
või muu organina“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 esimese
poole tähenduses ja kas seda saab vastavalt isikuandmete kaitse üldmääruse
artikli 4 punkti 7 teisele poolele määrata liikmesriigi õiguse alusel vastutavaks
töötlejaks.
19 Isikuandmete kaitse üldmäärus ei viita artikli 4 punktis 7 sisalduvate mõistete,
eelkõige mõistete „amet“ ja „muu organ“ tähenduse ja ulatuse osas liikmesriigi
õigusele, mistõttu tuleb neid mõisteid tõlgendada autonoomselt ja ühetaoliselt.
20 Mõisteid „amet“ ja „muu organ“, mida kasutatakse nii isikuandmete kaitse
üldmääruse artikli 4 punkti 7 esimeses pooles kui ka seoses mõistetega „volitatud
töötleja“ (punkt 8), „vastuvõtja“ (punkt 9) ja „kolmas isik“ (punkt 10)
isikuandmete kaitse üldmääruse artiklis 4, ei ole isikuandmete kaitse üldmääruses
täpsemalt määratletud.
AMT DER TIROLER LANDESREGIERUNG
7
21 Vastavalt isikuandmete kaitse üldmääruse artikli 24 lõikele 1 on vastutav töötleja
andmekaitseõigusest tuleneva vastutuse kandja. Seega on ta põhimõtteliselt
kohustatud rakendama sobivaid tehnilisi ja korralduslikke meetmeid, et tagada
määrusega kooskõlas olev töötlemine, ning neid meetmeid vajaduse korral läbi
vaatama ja ajakohastama.
22 „Ameti või muu organi“ eelduseks oleva juriidilise isiku staatuse olemasolu, see
tähendab täieliku või osalise õigusvõime olemasolu vastaks eelkõige isikuandmete
kaitse üldmääruse artikli 4 punkti 7 eesmärgile tagada andmesubjekti tõhus ja
täielik kaitse (Euroopa Andmekaitsenõukogu kohaselt peab vastutaval töötlejal
olema kaasamääramisõigus isikuandmete töötlemise eesmärkide ja vahendite osas,
kuid lisaks sellele peab ta olema ka võimeline teostama tegelikku kontrolli
(vt Andmekaitsenõukogu 07/2020 suunised vastutava töötleja ja volitatud töötleja
mõistete kohta isikuandmete kaitse üldmääruses, versioon 2.0, 7.7.2021,
punkt 23). Andmesubjekti täielik kaitse on tõhus ainult siis, kui vastutaval
töötlejal on tegelikult võimalik võtta vajalikke meetmeid, hoiduda keelatud
toimingutest, täita isikuandmete kaitse üldmääruses sätestatud kohustusi ning
järgida asjakohaseid isikuandmete töötlemise põhimõtteid. See eeldab, et vastutav
töötleja on vähemalt osaliselt õigusvõimeline.
23 Mõiste sellisele määratlusele, mis eeldab juriidilise isiku olemasolu, võiks aga
vastu väita, et „amet või muu organ“ oleks juba nagunii hõlmatud isikuandmete
kaitse üldmääruse artikli 4 punkti 7 esimeses pooles sisalduva mõistega
„juriidiline isik“.
24 Kokkuvõttes ei ole Verwaltungsgerichtshofile (Austria kõrgeim halduskohus)
selge, kas „amet või muu organ“ isikuandmete kaitse üldmääruse artikli 4 punkti 7
tähenduses eeldab juriidilise isiku staatust ja kas Amt der Tiroler
Landesregierungit (Tirooli liidumaa valitsuse büroo), mis ei ole füüsiline ega
juriidiline isik ega käesoleval juhul ka asutus, saab vastavalt isikuandmete kaitse
üldmääruse artikli 4 punkti 7 teisele poolele liikmesriigi õiguse alusel kehtivalt
vastutavaks töötlejaks määrata.
25 Euroopa Andmekaitsenõukogu hinnangul on vastutava töötleja konkreetselt
seadusega identifitseerimine määrav vastutava töötleja kindlakstegemisel
(vt Andmekaitsenõukogu 07/2020 suunised vastutava töötleja ja volitatud töötleja
mõistete kohta isikuandmete kaitse üldmääruses, versioon 2.0, 7.7.2021,
punkt 23).
26 TDVG §-s 2, milles on Amt der Tiroler Landesregierung (Tirooli liidumaa
valitsuse büroo) määratud vastutavaks töötlejaks, ei viidata Tirooli liidumaa
isikuandmete konkreetsele töötlemisele, eelkõige mitte isikuandmete töötlemisele
selliste kirjade koostamiseks ja saatmiseks nagu puudutatud isikule adresseeritud
kiri. Pigem viitab TDVG § 2, milles on Amt der Tiroler Landesregierung (Tirooli
liidumaa valitsuse büroo) määratud vastutavaks töötlejaks, isikuandmete
töötlemisele üldiselt, seda täpsustamata. Kuna viide konkreetsele isikuandmete
töötlemisele puudub, ei täpsusta TDVG ka seda, millised on eesmärgid või
EELOTSUSETAOTLUSE KOKKUVÕTE – KOHTUASI C-638/23
8
vahendid seoses isikuandmete töötlemisega, mida Tirooli liidumaa teeb või tellib
üksinda või muu vastutava töötleja kui Amt der Tiroler Landesregierung (Tirooli
liidumaa valitsuse büroo) jaoks või konkreetselt nimetatud vastutavate töötlejate
jaoks.
27 On ebaselge, millises ulatuses peavad liikmesriigi õiguses olema täpsustatud
isikuandmete töötlemise eesmärgid ja vahendid isikuandmete kaitse üldmääruse
artikli 4 punkti 7 teise poole tähenduses, et vastutavat töötlejat oleks liikmesriigi
õiguse alusel võimalik määrata, ning kas sellega seoses on Amt der Tiroler
Landesregierungi (Tirooli liidumaa valitsuse büroo) määramine vastutavaks
töötlejaks TDVG §-s 2, viitamata konkreetsele isikuandmete töötlemisele ja
täpsustamata selle konkreetse isikuandmete töötlemise eesmärki ja vahendeid,
kooskõlas isikuandmete kaitse üldmääruse artikli 4 punktiga 7 ning on
järelevalveasutusele või kohtutele isikuandmete kaitse üldmääruse artikli 77
kohase kaebuse menetlemisel siduv.
28 Seaduses, millega nimetatakse isik vastutavaks töötlejaks vastavalt isikuandmete
kaitse üldmääruse artikli 4 punkti 7 teisele poolele, sisalduv viide isikuandmete
konkreetsele töötlemisele on oluline eelkõige isikuandmete kaitse üldmääruse
artikli 6 lõike 1 punktide c ja e kohaste lubatavuse tingimuste puhul. Viidatud
sätte kohaselt on isikuandmete töötlemine seaduslik, kui see on vajalik vastutava
töötleja juriidilise kohustuse täitmiseks (punkt c) või kui see on vajalik avalikes
huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu
teostamiseks (punkt e).
29 Samuti tuleb käesolevas asjas olulistest lubatavuse tingimustest, mis on sätestatud
isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktides c ja e, ning
isikuandmete kaitse üldmääruse artikli 4 punkti 7 eesmärgist tagada
andmesubjekti tõhus ja täielik kaitse, järeldada, et liikmesriigi õiguse alusel võib
vastutavaks töötlejaks nimetada ainult isikut, kes on seaduslikult volitatud ja
tegelikult võimeline (kaas)määrama kindlaks isikuandmete konkreetse töötlemise
eesmärke ja vahendeid, teostama tegelikku kontrolli ja võtma vajalikke meetmeid,
hoiduma keelatud tegevustest, täitma isikuandmete kaitse üldmääruses sätestatud
kohustusi ning järgima asjakohaseid isikuandmete töötlemise põhimõtteid.
30 Nagu eespool punktides 9–12 selgitatud, ei otsustanud Amt der Tiroler
Landesregierung (Tirooli liidumaa valitsuse büroo) – isegi kui see puudutab ainult
puudutatud isikule saadetud kirja aluseks oleva isikuandmete töötlemise üksikuid
etappe – andmete töötlemise eesmärkide ja vahendite üle ega aidanud vähemalt
temale omasel eesmärgil selle otsuse tegemisele kaasa. Sellises olukorras on
Verwaltungsgerichtshofil (Austria kõrgeim halduskohus) kahtlusi, kas Amt der
Tiroler Landesregierungit (Tirooli liidumaa valitsuse büroo) saab liikmesriigi
õiguse alusel määrata vastutavaks töötlejaks isikuandmete kaitse üldmääruse
artikli 4 punkti 7 teise poole tähenduses.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Kiri | 03.05.2024 | 3 | 1.4-1.4/1153-1 🔒 | Sissetulev kiri | som | Välisministeerium |