Lahendite osakaal Euroopa Liidu Kohtus, kus eelotsusetaotluse küsimused puudutavad eelkõige andmekaitseõiguse küsimusi, on olnud viimastel aastatel tõusuteel. Toome välja mõned märkimisväärsed otsused, mis käsitlevad eri andmekaitseaspekte.
Kas isikuandmete avaldamine suuliselt on ka isikuandmete töötlemine?
Kohtuasjas C-740/22 Endemol Shjne Finland Oy tootis ettevõte Endemol Shine Soomes tõsielusarja. Ühe sarja kandideeriva isiku kohta soovis saate korraldaja uurida tausta, mille jaoks esitas ta kohtule taotluse informatsiooni saamiseks selle isikuga seotud käimasolevate või lõpetatud kriminaalasjade kohta. Kohus keeldus teavet väljastamast, kuna saate korraldaja esitatud põhjus ei andnud Soome andmekaitseseadustest tulenevalt piisavat alust süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemiseks. Euroopa Kohus täpsustas selles asjas, et ka suulist andmete avaldamist võib teatud tingimustel käsitelda isikuandmete töötlemisena, kui suuliselt andmete küsimise eesmärgiks on kõrvale kalduda isikuandmete kaitse üldmääruse (KÜM-i) kohaldamisest ning kui küsitavad andmed kuuluvad isikuandmete kogumisse (selles juhtumis kohtu peetavasse isikuandmete registrisse). Kohus leidis, et IKÜM-ga on vastuolus ka see, kui süüteoasjades füüsilise isiku süüdimõistvaid kohtuotsuseid võib suuliselt avaldada igale isikule. Liikmesriikide kohtud peavad tasakaalustama üldsuse õigust tutvuda ametlike dokumentidega ning põhiõigust eraelu puutumatusele ja isikuandmete kaitsele. Seetõttu peab teavet taotlev isik tõendama oma konkreetset huvi andmete saamiseks.
Kohus selgitab mittevaralise kahju mõistet – millal on kahju oht reaalne ja millal hüpoteetiline?
Natsionalna agentsia za prihodite (C-340/21) ja MediaMarktSaturn (C-687/21) kaasused selgitavad, kuidas tõlgendada mittevaralise kahju mõistet. Isikuandmete kaitse üldmäärus annab igale isikule, kes on IKÜM-i rikkumise tulemusel kahju kannatanud, õigust saada andmete töötlejalt hüvitist tekitatud kahju eest. Detsembris 2023 Bulgaariast tulnud kohtuasjas C-340/21 tegi Euroopa Kohus otsuse, et ainuüksi andmesubjekti kartus, et kolmas isik võib tema isikuandmeid kuritarvitada võib kujutada endast „mittevaralist kahju“, mille eest andmesubjektil on õigus hüvitist taotleda. Selles lahendis leidis aset küberrünnak, kus Bulgaaria rahandusministeeriumi alluvuses olevale asutuse infosüsteemile saadi loata juurdepääs, mille tagajärjel lekkisid miljonite inimeste andmed internetti. 2024. aasta jaanuaris, kohtuasjas MediaMarktSaturn (C-687/21) täpsustas Euroopa Kohus sedasama mõistet veelgi. Selles lahendis on taust pisut teine. Nimelt oli klient soetanud elektroonikapoest kodumasina, mille jaoks sõlmis Mediamarktiga müügilepingu. Lepingule kirjutasid osapooled alla ja trükkisid selle välja. Leping sisaldas kliendi isikuandmeid. Järjekorras järgmine klient oli andmesubjektist järjekorras ette läinud ning sai eksimuse tõttu tema lepingudokumendid enda kätte. Kuna eksimus avastati kiiresti, sai Mediamarkti t��ötaja kodumasina ja dokumendid tagasi ning andis need andmesubjektile tagasi pool tundi pärast nende ekslikku üleandmist teisele kliendile. Teine klient ei olnud selle ajaga isikuandmetega dokumendiga tutvunud. Kohus kordas sama, mida Bulgaaria kaasuses, nimelt andmesubjekti kartus, et isikuandmeid kuritarvitatakse, on alus mittevaralise kahju hüvitamiseks, aga selline oht peab olema andmesubjekti poolt põhjendatud. Oht, et volitamata isik kuritarvitab andmeid, on hüpoteetiline, kui kolmas isik (selles asjas teine klient) ei ole isikuandmetega tutvunud. Refereeritud kohtulahendid on head näited sellest, kui erinevates olukordades ja eri raskusastmega võib andmesubjekti põhiõigustele riive tekkida.
Kas andmekaitse järelevalveasutus võib anda kustutamiskorralduse ilma andmesubjekti taotluseta?
Covid-19 pandeemia aastad on üldiselt suurendanud põhiõigusi puudutavate kohtuvaidluste arvu ning nii mõnedki nendest on seotud ka isikuandmetega. Euroopa Kohtu otsuses C-46/23 Újpesti Polgármesteri Hivatal käsitles kohus andmesubjekti õigust olla unustatud. Budapesti Újpesti linnaosavalitsus tahtis pandeemia ajal anda rahalist toetust abivajavatele elanikele, mille raames ta taotles andmeid kahelt Ungari valitsusasutuselt. Järelevalveasutuse omaalgatusliku uurimise järel selgus, et linnaosavalitsus ei olnud teavitanud andmesubjekte ega esitanud neile informatsiooni, mida vastutav töötleja on kohustatud andmesubjektidele esitama, kui ta ei saa andmeid otse nendelt isikutelt endilt, sh töödeldavate isikuandmete kategooriad, töötlemise eesmärgid ja andmesubjektide õiguste teostamise kord. Ungari järelevalveasutus andis linnaosavalitsusele korralduse isikuandmed kustutada, mille järel linnaosavalitsus esitas kaebuse kohtusse, et järelevalveasutusel puuduvad pädevused sellist korraldust anda, kui andmesubjekt ise ei ole taotlust esitanud. Euroopa Kohtu hinnangul on järelevalveasutusel siiski õigus anda korraldus, kustutada ebaseaduslikult töödeldavad isikuandmed, isegi kui andmesubjekt ei ole esitanud sellesisulist taotlust. Teistsugune tõlgendus kahjustaks andmesubjektide õiguste kaitset ja tooks kaasa selle, et mitteaktiivsed isikud jäävad kaitsest ilma, kuigi nende isikuandmeid töödeldakse ebaseaduslikult. Korralduse kustutada ebaseaduslikult töödeldavad isikuandmed võib anda sõltumata andmete päritolust, st ka juhul, kui need on saadud otse andmesubjektilt endalt.