| Dokumendiregister | Sotsiaalministeerium |
| Viit | 1.4-1.4/570-1 |
| Registreeritud | 28.02.2025 |
| Sünkroonitud | 03.03.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.4 EL otsustusprotsess ja rahvusvaheline koostöö |
| Sari | 1.4-1.4 Euroopa Liidu Kohtu eelotsused |
| Toimik | 1.4-1.4/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Välisministeerium |
| Saabumis/saatmisviis | Välisministeerium |
| Vastutaja | Raili Sillart (Sotsiaalministeerium, Kantsleri vastutusvaldkond, Innovatsiooni vastutusvaldkond, Arendusosakond) |
| Originaal | Ava uues aknas |
Vastuvõtmise kuupäev : 28/02/2025
EUROOPA LIIDU KOHUS
Kantselei
27/02/25
Telefon : (352) 43031 Kirjad saata aadressile:
Faks : (352) 433766 Euroopa Liidu Kohus
E-mail : [email protected] Kantselei
Internetiaadress : http://www.curia.europa.eu L - 2925 LUXEMBOURG
Välisministeerium
Islandi väljak 1
15049 Tallinn
EESTI/ESTONIA
1323638.6 DE
Eelotsusetaotlus C-638/23
Amt der Tiroler Landesregierung
(eelotsusetaotluse esitanud kohus: Verwaltungsgerichtshof - Austria)
Kohtuotsuse kättetoimetamine
Euroopa Kohtu kohtusekretär edastab Teile käesoleva kirjaga kohtuotsuse tõestatud ärakirja.
Teised keeleversioonid, mis on juba kättesaadaval, on üleval Euroopa Kohtu veebisaidil, aadressil
http://www.curia.europa.eu.
Kodukorra artikli 96 lõikes 3 ette nähtud tingimustel avaldab Euroopa Kohus oma veebisaidil ka
protokolli Euroopa Liidu Kohtu põhikirja kohta artiklis 23 nimetatud huvitatud isikute esitatud
kirjalikud seisukohad või märkused.
Daniel Dittert
Üksuse juhataja
Esialgne tõlge
EUROOPA KOHTU OTSUS (kaheksas koda)
27. veebruar 2025(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 4 punkt 7 – Mõiste „vastutav töötleja“ – Vastutava töötleja otse määramine riigisisese õigusega
– Piirkondliku valitsuse heaks tegutsev abistav haldusüksus – Juriidilise isiku staatuse puudumine – Iseseisva õigusvõime puudumine – Töötlemise eesmärkide ja vahendite kindlaksmääramine
Kohtuasjas C‑638/23,
mille ese on ELTL artikli 267 alusel Verwaltungsgerichtshofi (Austria kõrgeim halduskohus) 23. augusti 2023. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 24. oktoobril 2023, menetluses
Amt der Tiroler Landesregierung
versus
Datenschutzbehörde,
menetluses osalesid:
Bundesministerin für Justiz,
CW,
EUROOPA KOHUS (kaheksas koda),
koosseisus: üheksanda koja president N. Jääskinen kaheksanda koja presidendi ülesannetes, kohtunikud M. Gavalec (ettekandja) ja N. Piçarra,
kohtujurist: M. Campos Sánchez‑Bordona,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
– Datenschutzbehörde, esindajad: M. Schmidl ja E. Wagner,
– Bundesministerin für Justiz, esindaja: E. Riedl,
– Austria valitsus, esindajad: A. Posch, J. Schmoll ja C. Gabauer,
– Euroopa Komisjon, esindajad: A. Bouchagiar ja M. Heller,
arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,
on teinud järgmise
kohtuotsuse
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 1/10
1 Eelotsusetaotluses palutakse tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 4 punkti 7.
2 Taotlus on esitatud Amt der Tiroler Landesregierungi (Tirooli liidumaa valitsuse büroo, Austria) (edaspidi „büroo“) ja Datenschutzbehörde (andmekaitseasutus, Austria) vahelises vaidluses selle üle, et büroo töötles väidetavalt ebaseaduslikult füüsilise isiku isikuandmeid.
Õiguslik raamistik
Liidu õigus
3 Isikuandmete kaitse üldmääruse põhjendused 1, 7, 10, 45 ja 74 on sõnastatud järgmiselt:
„(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta […] artikli 8 lõikes 1 ja [ELTL] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.
[…]
(7) […] Füüsiliste[l] isikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus‑ ja tegelikku kindlust füüsiliste isikute, ettevõtjate ja avaliku sektori asutuste seisukohast.
[…]
(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja ‑vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]
[…]
(45) Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis. Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti. Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks. Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis. Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks. See, kas avaliku huvi või avaliku võimu teostamisega seotud ülesannet täitev vastutav töötleja peaks olema avaliku sektori asutus või muu avalik‑õiguslik või eraõiguslik füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata liidu õiguses või kui see on avalikust huvist lähtuvalt põhjendatud, sealhulgas tervishoiuga seotud eesmärkidel, nagu rahvatervis ja sotsiaalkaitse ning tervishoiuteenuste juhtimine, siis liikmesriigi õiguses.
[…]
(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 2/10
tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.“
4 Isikuandmete kaitse üldmääruse artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 2 on sätestatud:
„Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja ‑vabadusi, eriti nende õigust isikuandmete kaitsele.“
5 Isikuandmete kaitse üldmääruse artikkel 4 „Mõisted“ on sõnastatud järgmiselt:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
[…]
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
[…]
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;
[…]“.
6 Isikuandmete kaitse üldmääruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on sätestatud:
„1. Isikuandmete töötlemisel tagatakse, et
a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);
b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus‑ või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);
c) isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);
d) isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);
e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus‑ või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);
f) isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 3/10
kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“
7 Isikuandmete kaitse üldmääruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõigetes 1 ja 3 on ette nähtud:
„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
[…]
c) isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;
[…]
e) isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
[…]
3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:
a) liidu õigusega või
b) vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.
Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja ‑menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. […]“.
Austria õigus
Tirooli liidumaa 1989. aasta määrus
8 21. septembri 1988. aasta Tirooli liidumaa põhiseadust käsitleva seaduse (Tirooli liidumaa määrus 1989) (Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989)) põhikohtuasjas kohaldatava redaktsiooni (edaspidi „Tirooli liidumaa 1989. aasta määrus“) artikli 56 „Landeshauptmann“ (liidumaa valitsusjuht, Austria; edaspidi „valitsusjuht“) lõikes 1 on ette nähtud:
„Tirooli liidumaad esindab [valitsusjuht].“
9 Tirooli liidumaa 1989. aasta määruse artikli 58 „[Büroo]“ lõikes 1 on sätestatud:
„[Valitsusjuhi], liidumaa valitsuse ja selle liikmete asjaajamine toimub [büroo] kaudu. [Valitsusjuht] on [büroo] juhataja.“
TDVG
10 Tirooli liidumaa isikuandmete kaitse seaduse (Tiroler Datenverarbeitungsgesetz, edaspidi „TDVG“) §‑s 2 on ette nähtud:
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 4/10
„1. Vastutavaks töötlejaks [isikuandmete kaitse üldmääruse] artikli 4 punkti 7 tähenduses on:
a) [büroo];
[…]
3. Kui andmeid töötleb või andmete töötlemise tellib Tirooli liidumaa, peetakse alati vastutavaks töötlejaks [bürood], kui
a) puudub kaasvastutus lõike 1 punkti b või c tähenduses ning
b) töötlemist ei ole üle antud § 5 tähenduses.“
Põhikohtuasi ja eelotsuse küsimus
11 Valitsusjuhi ja Tirooli liidumaa valitsuse heaks abistava haldusorganina tegutsev büroo saatis COVID‑19 pandeemia vastu võitlemise meetmete raames kõigile täisealistele Tirooli liidumaa elanikele, kes olid veel selle viiruse vastu vaktsineerimata, „vaktsineerimise meeldetuletuskirja“. Büroo tegi kirja adressaatide kindlakstegemise ülesandeks kahele eraettevõtjale, kes ristkasutasid vaktsineerimise keskregistris ja patsiendiregistris olevaid andmeid, kus oli märgitud adressaatide elukoha aadress.
12 Üks adressaatidest, CW, esitas 21. detsembril 2021 andmekaitseasutusele seoses tema isikuandmete ebaseadusliku töötlemisega büroo vastu kaebuse. Büroo väitis nimetatud andmekaitseasutuse menetluses, et ta on „vastutav töötleja“ ja et CW‑le saadetud kirja algatajaks on tema.
13 Andmekaitseasutus tuvastas 22. augusti 2022. aasta otsuses, et büroo on rikkunud CW õigust oma isikuandmete kaitsele, kuna büroo oli CW‑le „vaktsineerimise meeldetuletuskirja“ saatmiseks tutvunud tema andmetega vaktsineerimisregistris, kuigi bürool ei olnud õigust pääseda ligi sellele registrile ega patsiendiregistrile. CW isikuandmete töötlemine oli seega ebaseaduslik.
14 Büroo esitas selle otsuse peale kaebuse Bundesverwaltungsgerichtile (Austria föderaalne halduskohus). See kohus leidis, et kohaldatava riigisisese õiguse alusel on büroo vastutav töötleja, kuid tal ei olnud õigust tutvuda vaktsineerimisregistriga sellise meeldetuletuskirja saatmiseks, nagu saadeti CW‑le. Kuna Bundesverwaltungsgericht (Austria föderaalne halduskohus) jättis büroo kaebuse rahuldamata, esitas viimane selle kohtuotsuse peale kassatsioonkaebuse Verwaltungsgerichtshofile (Austria kõrgeim halduskohus), kes on eelotsusetaotluse esitanud kohus.
15 Nimetatud kohus leiab, et tema menetluses oleva kohtuasja lahendamiseks tuleb kindlaks teha, kas büroo on selle kohtuasja kontekstis „vastutav töötleja“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses.
16 Sellega seoses rõhutab eelotsusetaotluse esitanud kohus asjaolu, et büroo üksnes tegi valitsusjuhile „vaktsineerimise meeldetuletuskirja“ saatmise ettepaneku, mille viimane Tirooli liidumaa 1989. aasta määruse artikli 58 kohaselt büroo juhatajana ja artikli 56 lõike 1 kohaselt Tirooli liidumaa esindajana heaks kiitis. Büroo piirdus seega vaid sellega, et teavitas valitsusjuhti esiteks kavandatava isikuandmete töötlemise eesmärgist, milleks oli vaktsineerituse taseme tõstmine, ja teiseks vahenditest, mida isikuandmete töötlemise alusel rakendatakse, nimelt et vaktsineerimise keskregistri ja patsiendiregistri andmeid kasutades saadetakse selline „vaktsineerimise meeldetuletuskiri“.
17 Eelotsusetaotluse esitanud kohus leiab, et valitsusjuhi heakskiitu arvestades otsustas ainult tema isikuandmete töötlemise eesmärgi ja vahendite üle, mistõttu ei saa büroo olla „vastutav töötleja“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 esimese lause tähenduses.
18 Eelotsusetaotluse esitanud kohtul on siiski tekkinud küsimus, kas büroo määramine vastutavaks töötlejaks riigisisese õigusnormiga, nimelt TDVG § 2 lõike 1 punktiga a oli õiguspärane.
19 Nimelt ei ole büroo juriidiline isik ega asutus, kes vastutab isikuandmete töötlemise eest, mille tulemusel saadeti CW‑le „vaktsineerimise meeldetuletuskiri“. Büroo osales selles töötlemises üksnes
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 5/10
kui avaliku sektori asutuse heaks tegutsev abistav haldusorgan. Tal ei ole juriidilise isiku staatust ega iseseisvat õigusvõimet. Seega tuleb kindlaks teha, kas bürood võib neil asjaoludel pidada isikuandmete kaitse üldmääruse artikli 4 punkti 7 esimese lause tähenduses „ametiks või muuks organiks“, kelle võib vastavalt isikuandmete kaitse üldmääruse artikli 4 punkti 7 teisele lausele määrata riigisisese õiguse alusel vastutavaks töötlejaks.
20 Lisaks tuletab eelotsusetaotluse esitanud kohus meelde, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise lause kohaselt võib vastutava töötleja otse määrata üksnes juhul, kui asjaomase isikuandmete töötlemise eesmärgid ja vahendid on kindlaks määratud riigisiseses õiguses. Kuigi TDVG § 2 lõike 1 punktis a on büroo määratud vastutavaks töötlejaks, ei ole siiski konkreetselt märgitud, millist liiki isikuandmete töötlemist võib büroo teha, millised peaksid olema sellise töötlemise eesmärgid ning milliseid vahendeid võib büroo selleks kasutada.
21 Eelotsusetaotluse esitanud kohus lisab, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktidest c ja e tuleneb, et isikuandmete töötlemine on seaduslik, kui see on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks või kui see on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Nendest seaduslikkuse tingimustest ja isikuandmete kaitse üldmääruse artikli 4 punktiga 7 taotletavast eesmärgist tagada andmesubjektide tõhus ja ulatuslik kaitse tuleneb, et liikmesriikidel on õigus määrata vastutavaks töötlejaks üksnes selline isik või üksus, kes on võimeline kindlaks määrama isikuandmete töötlemise eesmärgid ja vahendid või vähemalt osalema selles kindlaksmääramises.
22 Neil asjaoludel otsustas Verwaltungsgerichtshof (kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:
„Kas [isikuandmete kaitse üldmääruse] artikli 4 punkti 7 tuleb tõlgendada nii, et sellega on vastuolus selline riigisisene õigusnorm (nagu käesoleval juhul [TDVG] § 2 lõige 1), mis näeb küll ette konkreetse vastutava töötleja isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise poole tähenduses, kuid
– see on pelgalt amet (nagu käesoleval juhul [büroo]), mis – olgugi et seadusega asutatud – ei ole füüsiline ega juriidiline isik ega ole käesoleval juhul ka ametiasutus, vaid tegutseb üksnes ametiasutuse abiaparaadina ning ei oma ise täielikku ega osalist õigusvõimet;
– mille määramisel ei viidata isikuandmete konkreetsele töötlemisele, mistõttu ei ole liikmesriigi õiguses sätestatud ka isikuandmete konkreetse töötlemise eesmärke ja vahendeid;
– konkreetsel juhul ei ole see büroo üksi ega koos teistega teinud otsust asjaomase isikuandmete töötlemise eesmärkide ja vahendite kohta?“
Eelotsuse küsimuse analüüs
23 Eelotsusetaotluse esitanud kohus palub oma küsimusega sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et sellega on vastuolus riigisisene õigusnorm, mis määrab vastutavaks töötlejaks abistava haldusüksuse, kellel ei ole juriidilise isiku staatust ega iseseisvat õigusvõimet, ilma et oleks konkreetselt täpsustatud isikuandmete töötlemise toiminguid, mille eest see üksus vastutab, ega nende toimingute eesmärki. Samuti soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et üksus, kes on riigisisese õigusega määratud vastutavaks töötlejaks selle sätte kohaselt, peab tegelikult otsustama isikuandmete töötlemise eesmärkide ja vahendite üle, et tal oleks vastutava töötlejana kohustus vastata taotlustele, mis andmesubjektid talle isikuandmete kaitse üldmäärusest tulenevate õiguste alusel esitavad.
24 Kõigepealt tuleb märkida, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 kohaselt hõlmab mõiste „vastutav töötleja“ füüsilisi või juriidilisi isikuid, avaliku sektori asutusi, ameteid või muid organeid, kes üksi või koos teistega määravad kindlaks töötlemise eesmärgid ja vahendid. Selles sättes on samuti ette nähtud, et kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liikmesriigi õigusega, võib vastutava töötleja määrata või sellise määramise konkreetsed kriteeriumid sätestada liikmesriigi õiguses.
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 6/10
25 Euroopa Kohtu praktikast tuleneb, et nimetatud sätte eesmärk on tagada mõiste „vastutav töötleja“ laia määratluse kaudu andmesubjektide tõhus ja täielik kaitse (vt selle kohta 5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 29, ja 5. detsembri 2023. aasta kohtuotsus Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 40).
26 Isikuandmete kaitse üldmääruse eesmärk, mis tuleneb selle määruse artiklist 1 ning põhjendustest 1 ja 10, on eelkõige tagada füüsiliste isikute põhiõiguste ja ‑vabaduste ning eeskätt nende õiguse eraelu puutumatusele kõrgetasemeline kaitse, kui töödeldakse neid puudutavaid isikuandmeid, mida kaitsevad harta artikli 8 lõige 1 ja ELTL artikli 16 lõige 1 (7. märtsi 2024. aasta kohtuotsus IAB Europe, C‑604/22, EU:C:2024:214, punkt 53 ja seal viidatud kohtupraktika).
27 Võttes arvesse isikuandmete kaitse üldmääruse artikli 4 punkti 7 sõnastust, tõlgendatuna lähtuvalt selle eesmärgist, tuleb selleks, et teha kindlaks, kas isik või üksus tuleb kvalifitseerida „vastutavaks töötlejaks“ selle sätte tähenduses, analüüsida, kas see isik või üksus määrab üksi või koos teistega kindlaks töötlemise eesmärgid ja vahendid või on need kindlaks määratud riigisisese õigusega. Kui need on kindlaks määratud riigisisese õigusega, tuleb kontrollida, kas see õigus määrab vastutava töötleja või näeb ette konkreetsed kriteeriumid, mida kohaldatakse vastutava töötleja määramise suhtes (11. jaanuari 2024. aasta kohtuotsus État belge (ametliku väljaande töödeldavad andmed), C‑231/22, EU:C:2024:7, punkt 29).
28 Arvestades mõiste „vastutav töötleja“ laia määratlust isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, võib töötlemise eesmärkide ja vahendite kindlaksmääramine ning olenevalt olukorrast vastutava töötleja määramine riigisisese õigusega olla nii sõnaselge kui ka kaudne. Viimasel juhul on siiski nõutav, et kindlaksmääramine tuleneks piisavalt kindlalt asjaomasele isikule või üksusele antud rollist, ülesannetest ja volitustest (11. jaanuari 2024. aasta kohtuotsus État belge (ametliku väljaande töödeldavad andmed), C‑231/22, EU:C:2024:7, punkt 30).
29 Esitatud küsimust tuleb analüüsida nendest sissejuhatavatest kaalutlustest lähtudes. Selleks tuleb esiteks kindlaks teha, mil määral on liikmesriigi seadusandjal õigus määrata avaliku sektori asutuste heaks tegutsev abistav haldusüksus vastutavaks töötlejaks isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise lause tähenduses, kui sellel üksusel ei ole juriidilise isiku staatust ega iseseisvat õigusvõimet.
30 Sellega seoses tuleb ühelt poolt märkida, et Euroopa Kohus on varem otsustanud, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 selgest sõnastusest nähtub, et vastutav töötleja võib olla mitte ainult füüsiline või juriidiline isik, vaid ka avaliku sektori asutus, amet või organ, kes ei ole riigisisese õiguse kohaselt tingimata juriidiline isik (vt selle kohta 11. jaanuari 2024. aasta kohtuotsus État belge (ametliku väljaande töödeldavad andmed), C‑231/22, EU:C:2024:7, punkt 36).
31 Seega ei saa välistada, et üksuse võib kvalifitseerida „vastutavaks töötlejaks“ selle sätte tähenduses, isegi kui tal ei ole juriidilise isiku staatust.
32 Mis puudutab teiselt poolt küsimust, kas üksuse kvalifitseerimine „vastutavaks töötlejaks“ eeldab selle üksuse iseseisvat õigusvõimet või piisab sellest, et üksusel on isikuandmete kaitse valdkonnas teatav otsustus‑ ja tegutsemispädevus, siis tuleb meenutada, et isikuandmete kaitse üldmääruse põhjendusest 74 nähtub, et liidu seadusandja soovis, et vastutava töötleja vastutus oleks samasugune, olenemata sellest, kas isikuandmeid töötleb vastutav töötleja ise või teeb seda kolmas isik, kuid vastutava töötleja nimel. Liidu seadusandja soovis samuti tagada, et vastutav töötleja oleks kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning oleks võimeline tõendama isikuandmete töötlemise toimingute kooskõla kõnealuse määrusega, sealhulgas meetmete tõhusust, mis peavad arvestama töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.
33 Sellega seoses on isikuandmete kaitse üldmääruse artikli 5 lõikes 2 sätestatud vastutuse põhimõte, mille kohaselt vastutav töötleja vastutab artikli 5 lõikes 1 sätestatud isikuandmete töötlemise põhimõtete järgimise eest, ning selles on ette nähtud, et vastutav töötleja peab olema võimeline tõendama, et neid põhimõtteid on järgitud.
34 Võttes arvesse õiguslikke kohustusi, mis isikuandmete kaitse üldmääruse artikli 4 punktis 7 nimetatud vastutavale töötlejale on seega kehtestatud, peab vastutav töötleja olema talle kohaldatavates
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 7/10
liikmesriigi õigusnormides ette nähtud üksikasjalike eeskirjade kohaselt võimeline neid kohustusi nii faktiliselt kui ka õiguslikult täitma, ilma et seejuures oleks tähtsust asjaolul, kas sellel üksusel on juriidilise isiku staatust ja iseseisvat õigusvõimet.
35 Käesoleval juhul on eelotsusetaotluse esitanud kohtu ülesanne kontrollida, kas bürool on Austria õiguse kohaselt õigus täita ülesandeid ja kohustusi, mis on isikuandmete kaitse üldmäärusega kehtestatud vastutavale töötlejale, arvestades eelkõige asjaolu – mida ei ole põhikohtuasja arutanud riigisisestes kohtutes vaidlustatud –, et büroo võib esitada andmekaitseasutuse otsuse peale kaebuse, samamoodi nagu võib andmekaitseasutusele esitada kaebuse büroo vastu. Eelotsusetaotluse esitanud kohus võib arvesse võtta ka asjaolu, et büroo tegi kahele eraettevõtjale ülesandeks töödelda vaktsineerimise keskregistris ja Tirooli liidumaa elanike patsiendiregistris olevaid isikuandmeid.
36 Teiseks soovib eelotsusetaotluse esitanud kohus teada, kas liikmesriigi seadusandja võib isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise lause kohaselt määrata üksuse vastutavaks töötlejaks, ilma et oleks konkreetselt täpsustatud isikuandmete töötlemist, mida sellel üksusel võib olla tarvis teha, või isikuandmete töötlemise eesmärki või vahendeid, mida ta võib selleks kasutada.
37 Nagu on meenutatud käesoleva kohtuotsuse punktis 28, kui riigisiseses õiguses määratakse üksus vastutavaks töötlejaks, võib töötlemise eesmärkide ja vahendite kindlaksmääramine riigisisese õigusega olla kaudne, tingimusel et see kindlaksmääramine tuleneb piisavalt kindlalt sellele üksusele antud rollist, ülesandest ja volitustest. See tingimus on täidetud, kui need eesmärgid ja vahendid tulenevad sisuliselt selle üksuse tegevust reguleerivatest riigisisestest õigusnormidest.
38 Liikmesriigi seadusandja poolt üksuse otsene määramine vastutavaks töötlejaks aitab saavutada isikuandmete kaitse üldmäärusega taotletavat õiguskindluse eesmärki, nagu nähtub selle määruse põhjendusest 7, võimaldades füüsilistel isikutel, kelle isikuandmeid töödeldakse, hõlpsasti kindlaks teha üksuse, kes vastutab neile selle määrusega antud õiguste järgimise tagamise eest.
39 Selline määramine on siiski kehtiv ainult tingimusel, et riigisisestes õigusnormides on määratud kindlaks ulatus, milles toimub isikuandmete töötlemine, mille eest on üksus määratud vastutavaks, ilma et seadusandja oleks pidanud ammendavalt loetlema kõik töötlemistoimingud, mille eest see üksus on määratud vastutatavaks. Nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 45, „võib [piisata] õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks“.
40 Sellest järeldub, et riigisisesed õigusnormid, mis määravad üksuse vastutavaks töötlejaks, ilma et oleks sõnaselgelt loetletud kõiki konkreetseid isikuandmete töötlemise toiminguid, mille eest ta vastutab, või nende töötlemistoimingute eesmärki, on isikuandmete kaitse üldmääruse artikli 4 punktiga 7 kooskõlas, kui nendes õigusnormides on sõnaselgelt või vähemalt kaudselt kindlaks määratud ulatus, milles toimub isikuandmete töötlemine, mille eest see üksus on määratud vastutavaks.
41 Käesoleval juhul peab eelotsusetaotluse esitanud kohus ühelt poolt kontrollima, kas büroopoolne isikuandmete töötlemine põhikohtuasjas kõne all olevate „vaktsineerimise meeldetuletuskirjade“ ettevalmistamiseks ja saatmiseks on kooskõlas eesmärkidega, millele peavad vastama isikuandmete töötlemise toimingud, mille eest on büroo määratud vastutavaks – nagu need eesmärgid ilmnevad vähemalt kaudselt kõigist tema tegevust reguleerivatest riigisisestest õigusnormidest, ning teiselt poolt kontrollima vahendeid, mida büroo võib selleks rakendada. Ainuüksi see, et riigisisestes õigusnormides ei ole olenevalt asjaoludest konkreetselt täpsustatud töötlemistoiminguid, mida bürool on lubatud teha, ei välista sellise üksuse nagu büroo kvalifitseerimist vastutavaks töötlejaks isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses.
42 Kolmandaks soovib eelotsusetaotluse esitanud kohus teada, kas üksus, mis on määratud isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise lause kohaselt riigisiseste õigusnormidega vastutavaks töötlejaks, peab samuti ise või koos teiste pädevate asutustega otsustama isikuandmete töötlemise – mille eest ta on määratud vastutavaks – eesmärkide ja vahendite üle, et tal oleks vastutava töötlejana kohustus vastata taotlustele, mis andmesubjektid talle isikuandmete kaitse üldmäärusest tulenevate õiguste alusel esitavad.
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 8/10
43 Sellega seoses piisab, kui märkida, et selleks, et teha kindlaks, kas üksus on vastutav töötleja isikuandmete kaitse üldmääruse artikli 4 punkti 7 esimese lause tähenduses, tuleb hinnata, kas see üksus tõepoolest mõjutas enda huvides isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramist (vt selle kohta 5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punktid 30 ja 31).
44 Seevastu selleks, et teha kindlaks, kas üksus on vastutav töötleja isikuandmete kaitse üldmääruse artikli 4 punkti 7 teise lause tähenduses, siis nagu nähtub selle sätte selgest sõnastusest, ei ole vajalik, et üksus mõjutaks isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramist.
45 Selline üksus, mis on riigisisese õigusega määratud vastutavaks töötlejaks, ei pea seega ise otsustama isikuandmete töötlemise eesmärkide ja vahendite üle, et tal oleks kohustus vastutava töötlejana vastata taotlustele, mis andmesubjektid talle isikuandmete kaitse üldmäärusest tulenevate õiguste alusel esitavad.
46 Sellega seoses on Euroopa Kohus varem otsustanud, et otsese määramise kehtivust ei mõjuta asjaolu, et vastutavaks töötlejaks määratud üksusel puudub riigisisese õiguse järgi igasugune kontroll tema töödeldavate isikuandmete üle (vt selle kohta 11. jaanuari 2024. aasta kohtuotsus État belge (ametliku väljaande töödeldavad andmed), C‑231/22, EU:C:2024:7, punktid 37 ja 38).
47 Selline tõlgendus on kooskõlas õiguskindluse eesmärgiga, mida isikuandmete kaitse üldmäärusega taotletakse. Nagu Euroopa Komisjon oma kirjalikes seisukohtades rõhutas, satuks see eesmärk ohtu, kui andmesubjektid peaksid selleks, et pidada niisugust määramist liikmesriigi seadusandja poolt õiguspäraseks, kontrollima, kas nende isikuandmete töötlemise eest vastutavaks töötlejaks määratud üksusel on õigus ise kindlaks määrata sellise töötlemise eesmärgid ja vahendid.
48 On oluline veel lisada, et asjaolu, et riigisisese õigusega vastutavaks töötlejaks määratud üksusel ei pea olema õigust ise otsustada isikuandmete töötlemise eesmärkide ja vahendite üle, et tal oleks kohustus vastutava töötlejana vastata taotlustele, mis andmesubjektid talle isikuandmete kaitse üldmäärusest tulenevate õiguste alusel esitavad, ei võta neilt isikutelt siiski võimalust esitada need taotlused teisele üksusele, keda nad peavad oma isikuandmete töötlemise eest vastutavaks või kaasvastutavaks, kuna see teine üksus mõjutas kõnealuse töötlemise eesmärkide ja vahendite kindlaksmääramist.
49 Eeltoodud kaalutlusi arvestades tuleb esitatud küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et sellega ei ole vastuolus riigisisene õigusnorm, mis määrab vastutavaks töötlejaks abistava haldusüksuse, kellel ei ole juriidilise isiku staatust ega iseseisvat õigusvõimet, ilma et oleks konkreetselt täpsustatud isikuandmete töötlemise toiminguid, mille eest üksus vastutab, või nende toimingute eesmärki, tingimusel, et ühelt poolt on selline üksus suuteline riigisiseste õigusnormide kohaselt täitma vastutava töötleja kohustusi andmesubjektide suhtes isikuandmete kaitse valdkonnas ja teiselt poolt on riigisisestes õigusnormides sõnaselgelt või vähemalt kaudselt määratud kindlaks ulatus, milles toimub isikuandmete töötlemine, mille eest see üksus vastutab.
Kohtukulud
50 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (kaheksas koda) otsustab:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 7
tuleb tõlgendada nii, et
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&ci… 9/10
sellega ei ole vastuolus riigisisene õigusnorm, mis määrab vastutavaks töötlejaks abistava haldusüksuse, kellel ei ole juriidilise isiku staatust ega iseseisvat õigusvõimet, ilma et oleks konkreetselt täpsustatud isikuandmete töötlemise toiminguid, mille eest üksus vastutab, või nende toimingute eesmärki, tingimusel, et ühelt poolt on selline üksus suuteline riigisiseste õigusnormide kohaselt täitma vastutava töötleja kohustusi andmesubjektide suhtes isikuandmete kaitse valdkonnas ja teiselt poolt on riigisisestes õigusnormides sõnaselgelt või vähemalt kaudselt määratud kindlaks ulatus, milles toimub isikuandmete töötlemine, mille eest see üksus vastutab.
Allkirjad
* Kohtumenetluse keel: saksa.
2/28/25, 11:03 AM CURIA - Documents
https://curia.europa.eu/juris/document/document_print.jsf?mode=lst&pageIndex=0&docid=295847&part=1&doclang=ET&text=&dir=&occ=first&… 10/10