07.12.2020 (kätte toimetatud 28.12.2020) tegi Oberlandesgericht Wien (OLG) oma otsuse apellatsioonimenetluses. Schrems vs. Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Kinnitades tsiviilasjade piirkonnakohtu (Landesgericht für Zivilrechtssachen) otsust, leidis ta, et sotsiaalmeediaplatvorm oli kohustatud andma hagejale täieliku juurdepääsu tema kohta hoitavatele andmetele, nõudes seega ettevõttelt 500 euro suuruse hüvitise maksmist (GDPR artikkel 82).

Siiski jõudis ta ka järeldusele, et andmetöötluse toiming ei nõua platvormilt ELi andmekaitseõiguse (isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt a) kohaselt kasutajate ühemõttelist, eraldi nõusolekut, vaid selline andmete kasutamise õigus on Facebookile olemuslikult antud tema lepingutingimuste alusel.

Otsus keskendub mitmele õiguslikule kaebusele ja annab alust kolmele erinevale küsimusele, mis on allpool välja toodud.

Osapoolte rollide jaotamine andmekaitseseaduse alusel

Hageja

• Hageja sõnul peetakse platvormi kasutajat vastutavaks osapooleks või "vastutavaks töötlejaks" (isikuandmete kaitse üldmääruse artikli 4 lõige 7) seoses enda poolt tema isiklikel eesmärkidel kasutatavate andmerakendustega;
• Kostja tegutseb lepingu alusel "volitatud töötlejana", mis takistab tal teostada mis tahes andmetöötlust ilma hageja juhisteta või vastupidiselt tema juhistele;
• GDPR artikli 28 lõike 3 nõuetele vastavat lepingut ei ole sõlmitud, kuigi hagejal on õigus sellisele lepingule.

Kostja

• Kostja on hageja suhtes ainuvastutajaks, kellel puudub huvi hagiavalduse esitamiseks.

OLG (lk 21-23)

• Ainuüksi sotsiaalvõrgustiku platvormi kasutamine ei tee kasutajat iseenesest kaasvastutavaks selle võrgustiku poolt teostatava isikuandmete töötlemise eest;
• Erinevust tuleb teha fännilehtede puhul, mille puhul kõnealuse lehe operaator aitab kaasa külastajate isikuandmete töötlemisele, mistõttu on ta vastutav töötleja (Euroopa Kohtu otsus C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, eelkõige punkt 2.2.1). 35, 36 ja 41).
• Facebooki kasutaja on seega ainult kaasvastutav osapool kolmandate isikute isikuandmete suhtes (GDPR artikli 4 lõige 7) ja ainult andmesubjekt seoses oma enda isikuandmetega.

Tõhus nõusolek isikuandmete töötlemisele

Hageja

• Nõusolek sotsiaalmeediaplatvormi kasutustingimustega ja nendega seotud andmekasutuse suunistega ei anna tegelikku nõusolekut isikuandmete kaitse üldmääruse artikli 6 lõike 1 ja artikli 7 tähenduses;
• Vastupidiselt GDPRi sätetele, mis jõustusid 25.05.2018, ei näinud varasemate andmekaitsealaste õigusaktide alusel reguleeritud tsiviilõiguslike lepingute puhul ette selgesõnalisi "nõusoleku" nõudeid;
• Integreerides eelneva nõusoleku ettevõtte tingimustesse enne GDPRi jõustumist, sunniti kasutajad kogemata sõlmima uue lepingu, mis võimaldas platvormil kõrvale hiilida praeguste GDPRi sätete kohastest rangematest andmekaitsestandarditest;
• Seega ei olnud hageja andnud tegelikku nõusolekut GDPRi tähenduses andmete töötlemiseks kostja poolt.

Kostja

• Platvormi poolt teostatud andmetöötlus oli kooskõlas isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b sätetega, kuna see oli lepingu täitmise vajalik osa.

OLG (lk 23-24)

• GDPR lubab erinevaid aluseid isikuandmete töötlemiseks, muu hulgas juhul, kui see on vajalik sellise lepingu täitmiseks, milles andmesubjekt on lepinguosaline (GDPR artikli 6 lõike 1 punkt b);
• Vajalikkus määratakse kindlaks iga üksikjuhtumi puhul eraldi, võttes nõuetekohaselt arvesse lepingu eesmärki ja lepingu sisust tulenevaid kohustusi;
• Facebooki ärimudeli ja selle lepingulise eesmärgi keskmes on:
  • Kasutaja jaoks: juurdepääsu saamine personaliseeritud sideplatvormile;
  • Platvormi jaoks: juurdepääsu võimaldamine ilma lisakuludeta;
• Seega võib platvormi haldav ettevõte kasutada muid rahastamisallikaid, nt konkreetsele kasutajale kohandatud reklaami;
• Kasutajate isikuandmete töötlemine on platvormi ja kasutaja vahelise lepingu oluline tugisammas, kuna see on alus, mis võimaldab reklaami kohandamist vastavalt kasutaja huvidele;
• Andmetöötluse vajalikkuse komponent seisneb selles, et sellise teabe kasutamine kujundab ühelt poolt kasutajate individuaalset kogemust, kuid on samas ka finantskanal, mille kaudu platvorm saab oma kasumit.

Teabe esitamise taotlus

Hageja

• Teabenõue oli esitatud, kuid sellele ei olnud veel vastatud vastavalt isikuandmete kaitse üldmääruse artiklile 15;
• (Isiku)andmete kasutamist ja töötlemist käsitleva teabe üksnes osaline kättesaadavaks tegemine ei vasta kostja õiguslikele kohustustele;
• Andmete töötlemisega seotud ebakindlus põhjustas emotsionaalset stressi, mis annab hagejale õiguse saada mittevaralist kahju 500 eurot.

Kostja

• Kostja ei olnud oma kohustust rikkunud;
• Hageja ei olnud esitanud ühtegi lõplikku väidet kahjunõude kohta.

OLG (24-29)

• Facebook ei võimaldanud oma kasutajatele juurdepääsu andmetele nende juurdepääsuvahendites, mis annab hagejale GDPR artikli 15 lõikes 1 sätestatud nõudeõiguse;
• Hagejal on õigus saada teavet, mis puudutab:
  • Facebooki poolt töödeldavad isikuandmed ja nende eesmärk (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt a);
  • kellele asjaomaseid isikuandmeid avaldatakse, s.t vastuvõtjate (kategooriad) (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt b);
  • Andmete päritolu, kui neid ei ole kogutud hagejalt (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt g);
• 500 euro suurune summa kajastab hageja kantud ebamugavuste väikest ulatust ja osutub põhjendatuks.

Kommentaar

Kooskõlas kaebuse esitaja väidetega on Euroopa Andmekaitseagentuur varem sõnaselgelt keelanud isikuandmete eriliikide töötlemise, välja arvatud juhul, kui selleks on antud selgesõnaline nõusolek või kui selline töötlemine on vajalik märkimisväärse avaliku huvi tõttu (isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt g). Kuigi andmete edastamisel võiks endiselt kasutada andmete kasutamist käsitlevaid lepingutingimusi, ei ole need piisavad, et asendada sellise nõusoleku andmise vajadust.²

Kuigi OLG on andnud õiguse esitada kaebus Austria ülemkohtule, on oodata, et tõstatatud õigusküsimused jõuavad õigeaegselt taas Euroopa Liidu Kohtusse.

Joonealused märkused

1 kohtuotsus on saadaval saksa keeles: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Euroopa Andmekaitsenõukogu. Saadaval aadressil: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [vaadatud 05.02.2021].

Käesoleva artikli sisu on mõeldud üldiseks juhiseks. Teie konkreetsete asjaolude kohta tuleks küsida erialast nõu.