UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)
22 päivänä marraskuuta 2012 (*)
Sähköinen viestintä – Direktiivi 2002/58/EY – 6 artiklan 2 ja 5 kohta – Henkilötietojen käsittely – Laskutusta ja maksujen perimistä varten tarvittavat liikennetiedot – Kolmannen yhtiön suorittama saatavien perintä – Yleisten viestintäverkkojen ja sähköisten viestintäpalvelujen tarjoajien vastuulla toimivat henkilöt
Asiassa C‑119/12,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Bundesgerichtshof (Saksa) on esittänyt 16.2.2012 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 6.3.2012, saadakseen ennakkoratkaisun asiassa
Josef Probst
vastaan
mr.nexnet GmbH,
UNIONIN TUOMIOISTUIN (kolmas jaosto),
toimien kokoonpanossa: tuomarit K. Lenaerts (esittelevä tuomari), joka hoitaa kolmannen jaoston puheenjohtajan tehtäviä, E. Juhász, G. Arestis, T. von Danwitz ja D. Šváby,
julkisasiamies: P. Cruz Villalón,
kirjaaja: A. Calot Escobar,
ottaen huomioon kirjallisessa käsittelyssä esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– mr.nexnet GmbH, edustajanaan Rechtsanwalt P. Wassermann,
– Euroopan komissio, asiamiehinään F. Wilman ja F. Bulst,
päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, s. 37) 6 artiklan 2 ja 5 kohdan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat mr.nexnet GmbH (jäljempänä nexnet), joka on Verizon Deutschland GmbH:n (jäljempänä Verizon) tarjoamiin internet-yhteyspalveluihin perustuvien saatavien luovutuksensaaja, ja Josef Probst, joka on mainittujen palvelujen vastaanottaja.
Asiaa koskevat oikeussäännöt
Direktiivi 95/46/EY
3 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL L 281, s. 31) 16 artiklassa säädetään seuraavaa:
”Kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, mukaan lukien käsittelijä itse, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, paitsi lain nojalla.”
4 Direktiivin 95/46 17 artiklassa säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta, erityisesti jos käsittely muodostuu tietojen siirtämisestä verkossa, sekä kaikelta muulta laittomalta käsittelyltä.
Ottaen huomioon kehityksen taso ja toimenpiteiden kustannukset on taattava asianmukainen turvallisuuden taso suhteessa käsittelyn riskeihin ja suojattavien tietojen luonteeseen.
2. Jäsenvaltioiden on säädettävä, että jos käsittely suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet käsittelyyn liittyvistä teknisistä ja organisatorisista turvatoimista, ja huolehdittava siitä, että nämä toimet toteutetaan.
3. Kun käsittely suoritetaan rekisterinpitäjän lukuun, käsittelyä on säänneltävä sopimuksella tai oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti säädetään siitä, että
– käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti,
– käsittelijä on lisäksi velvollinen noudattamaan 1 kohdassa tarkoitettuja velvoitteita sellaisina kuin ne on määritelty sen jäsenvaltion lainsäädännössä, jonne käsittelijä on sijoittautunut.
4. Todisteiden säilyttämiseksi tietojen suojaamiseen ja 1 kohdassa tarkoitettuja toimenpiteitä koskeviin vaatimuksiin liittyvien sopimusten tai oikeudellisten asiakirjojen osien on oltava kirjallisina tai muussa vastaavassa muodossa.”
Direktiivi 2002/58/EY
5 Direktiivin 2002/58 1 artiklan 1 ja 2 kohdassa säädetään seuraavaa:
”1. Tällä direktiivillä yhdenmukaistetaan jäsenvaltioiden säännökset, joita tarvitaan samantasoisen perusoikeuksien ja -vapauksien, erityisesti yksityisyyttä koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla sekä tällaisten tietojen ja sähköisten viestintälaitteiden ja -palvelujen vapaan liikkuvuuden varmistamiseksi [Euroopan unionissa].
2. Tämän direktiivin säännöksillä täsmennetään ja täydennetään [direktiiviä 95/46] edellä 1 kohdassa mainittuja tarkoituksia varten. – –”
6 Kyseisen direktiivin 2 artiklan toisen kohdan b alakohdan mukaan ”liikennetiedoilla” tarkoitetaan ”tietoja, joita käsitellään sähköisessä viestintäverkossa välitettävää viestintää tai sen laskutusta varten”.
7 Direktiivin 2002/58 5 artiklan 1 kohdassa täsmennetään seuraavaa:
”Jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. – –”
8 Saman direktiivin 6 artiklassa säädetään seuraavaa:
”1. Tilaajia ja käyttäjiä koskevat liikennetiedot, jotka yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa, on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, sanotun kuitenkaan rajoittamatta tämän artiklan 2, 3 ja 5 kohdan – – soveltamista.
2. Tilaajalaskutusta ja yhteenliittämismaksuja varten tarvittavia liikennetietoja voidaan käsitellä. Tällainen käsittely on sallittua ainoastaan sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä.
– –
5. Liikennetietojen käsittely 1, 2, 3 ja 4 kohdan mukaisesti on rajoitettava yleisten viestintäverkkojen ja yleisesti saatavilla olevien palvelujen tarjoajien vastuulla toimiviin henkilöihin, jotka käsittelevät laskutusta tai liikenteenhallintaa, asiakastiedusteluja, petosten paljastamista, sähköisten viestintäpalvelujen markkinoimista tai lisäarvopalvelujen tarjoamista, ja sitä voidaan suorittaa ainoastaan kyseisten toimien vaatimassa laajuudessa.
– –”
Saksan oikeus
9 Televiestintälain, joka on annettu 22.6.2004 (Telekommunikationsgesetz; BGBl. 2004 I, s. 1190; jäljempänä TKG), 97 §:n 1 momentin kolmannessa ja neljännessä virkkeessä säädetään seuraavaa:
”Palvelujen tarjoajan korvauksen määrittäminen ja laskuttaminen
– – Jos palvelujen tarjoaja on tehnyt kolmannen kanssa sopimuksen korvauksen perimisestä, se voi välittää tälle [liikenne]tiedot, jos tietojen välittäminen on tarpeen korvauksen perimiseksi ja yksityiskohtaisen laskun laatimiseksi. Kolmas on velvoitettava sopimuksella noudattamaan viestintäsalaisuutta 88 §:n mukaisesti ja tietosuojaa 93, 95, 96, 97, 99 ja 100 §:n mukaisesti.
– – ”
10 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan TKG:n 97 §:n 1 momentin kolmannessa virkkeessä säädetty tietojen välittämistä koskeva oikeus ei päde pelkästään saatavien perintää koskeviin sopimuksiin silloin, kun saatavat ovat edelleen niiden alkuperäisen omistajan omaisuutta, vaan se pätee myös muihin luovutussopimuksiin ja etenkin sopimuksiin, jotka koskevat saatavien ostamista ja joissa määrätään, että luovutettu oikeus kuuluu lopullisesti luovutuksensaajalle niin oikeudellisesti kuin taloudellisestikin.
Pääasia ja ennakkoratkaisukysymys
11 Probst omistaa Deutsche Telekom AG:n puhelinliittymän, jonka kautta hänen tietokoneensa on yhdistetty internetiin. Hän käytti 28.6.–6.9.2009 Verizonin tarjoamaa numeroa saadakseen kertaluonteisen yhteyden internetiin. Deutsche Telekom AG laskutti tästä vaaditun korvauksen aluksi Probstilta ”muille palvelujen tarjoajille maksettavina määrinä”. Koska Probst ei suorittanut maksuja, nexnet, jolle kyseinen saatava oli luovutettu Verizonin ja nexnetin laillisten edeltäjien välillä tehdyn factoring-sopimuksen perusteella, vaati häntä maksamaan laskutetut määrät eri kuluilla lisättynä. Nexnet ottaa factoring-sopimuksen perusteella riskin siitä, ettei saatavia saada perityksi ajallaan (ns. del credere -vastuu).
12 Nexnetin ja Verizonin oikeudelliset edeltäjät ovat lisäksi tehneet ”tietosuojaa ja luottamuksellisuutta koskevan sopimuksen”, jossa määrätään seuraavaa:
”I Tietosuoja
– –
(5) Sopimuspuolet sitoutuvat käsittelemään ja käyttämään suojattuja tietoja vain yhteistyönsä rajoissa ja yksinomaan sopimuksen tarkoituksen mukaisesti ja kulloinkin määritellyllä tavalla.
(6) Kun suojatut tiedot eivät ole enää tarpeen tämän tarkoituksen täyttämiseksi, kaikki tässä yhteydessä esitetyt suojatut tiedot on poistettava välittömästi ja lopullisesti tai palautettava. – –
(7) Sopimuspuolet ovat oikeutettuja valvomaan, että toinen osapuoli noudattaa sopimuksessa määriteltyjä tietosuojaa ja tietoturvaa koskevia sääntöjä. – –
II Luottamuksellisuus
– –
(2) Sopimuspuolten on käsiteltävä ja käytettävä luottamuksellisia asiakirjoja ja tietoja pelkästään niiden välillä tehdyn sopimuksen täytäntöön panemiseksi. Luottamuksellisesti välitetyt asiakirjat ja tiedot saadaan antaa ainoastaan sellaisten työntekijöiden käyttöön, jotka tarvitsevat niitä sopimuksen täytäntöön panemiseksi. Sopimuspuolet velvoittavat tällaiset työntekijänsä noudattamaan luottamuksellisuutta tämän sopimuksen mukaisesti.
(3) Kaikki tässä yhteydessä esitetyt luottamukselliset tiedot on sopimuspuolen pyynnöstä tai viimeistään sopimuspuolten välisen yhteistyön päättyessä poistettava lopullisesti tai palautettava toiselle sopimuspuolelle. – –
– –”
13 Probstin mukaan factoring-sopimus on pätemätön, koska se on ristiriidassa muun muassa TKG:n 97 §:n 1 momentin kanssa. Amtsgericht hylkäsi nexnetin maksuvaatimuksen, kun taas muutoksenhakutuomioistuin hyväksyi sen olennaisilta osin. Bundesgerichtshofin käsiteltäväksi on saatettu Revision-valitus.
14 Ennakkoratkaisua pyytänyt tuomioistuin on sitä mieltä, että direktiivin 2002/58 6 artiklan 2 ja 5 kohdalla on merkitystä TKG:n 97 §:n 1 momentin tulkinnan kannalta. Se korostaa yhtäältä, että ”laskutus”, joka muodostaa yhden niistä tarkoituksista, joihin liikennetietoja voidaan kyseisen direktiivin 6 artiklan 2 ja 5 kohdan mukaan käsitellä, ei välttämättä kata laskutetun maksun perimistä. Sen mukaan tietosuojan kannalta ei kuitenkaan ole olemassa mitään objektiivista syytä käsitellä eri tavoin laskutusta ja saatavien perintää. Toisaalta mainitun direktiivin 6 artiklan 5 kohdan mukaan liikennetietoja voivat käsitellä ainoastaan henkilöt, jotka toimivat yleisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien (jäljempänä palvelujen tarjoajat) ”vastuulla”. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan kyseisen käsitteen perusteella ei voida todeta, onko palvelujen tarjoajalla oltava konkreettinen mahdollisuus määrittää tietojen käyttö myös yksittäistapauksessa koko tietojenkäsittelyprosessin ajan vai riittääkö, että viestintäsalaisuuden ja tietosuojan noudattamista koskevista yleisistä säännöistä on määrätty tarkasteltavassa tapauksessa sovittujen sääntöjen mukaisesti ja että tiedot on mahdollista saada poistetuksi tai takaisin pelkästä pyynnöstä.
15 Tässä tilanteessa Bundesgerichtshof päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:
”Sallitaanko direktiivin 2002/58 6 artiklan 2 ja 5 kohdassa se, että palvelujen tarjoaja välittää liikennetietoja televiestintäpalveluista aiheutuneiden maksusaatavien luovutuksensaajalle, kun siirrettyjen saatavien perintää koskevaan luovutukseen sovelletaan kulloinkin voimassa olevien lainsäännösten mukaista viestintäsalaisuutta ja tietosuojaa koskevan yleisen velvoitteen lisäksi seuraavia sopimusehtoja:
– palvelujen tarjoaja ja luovutuksensaaja sitoutuvat käsittelemään ja käyttämään suojattuja tietoja vain yhteistyönsä rajoissa ja yksinomaan sopimuksen tarkoituksen mukaisesti ja kulloinkin määritellyllä tavalla
– kun suojatut tiedot eivät ole enää tarpeen tämän tarkoituksen täyttämiseksi, kaikki tässä yhteydessä esitetyt suojatut tiedot on poistettava lopullisesti tai palautettava
– sopimuspuolet ovat oikeutettuja valvomaan, että toinen osapuoli noudattaa sopimuksessa määriteltyjä tietosuojaa ja tietoturvaa koskevia sääntöjä
– luovutetut luottamukselliset asiakirjat ja tiedot saa antaa ainoastaan sellaisten työntekijöiden käyttöön, jotka niitä tarvitsevat sopimuksen täytäntöön panemiseksi
– sopimuspuolet velvoittavat tällaiset työntekijänsä noudattamaan luottamuksellisuutta sopimuksen mukaisesti
– kaikki tässä yhteydessä esitetyt luottamukselliset tiedot on sopimuspuolen pyynnöstä tai viimeistään sopimuspuolten välisen yhteistyön päättyessä poistettava lopullisesti tai palautettava toiselle sopimuspuolelle?”
Ennakkoratkaisukysymyksen tarkastelu
16 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kysymyksellään lähinnä sitä, onko, ja millä edellytyksin, direktiivin 2002/58 6 artiklan 2 ja 5 kohdan mukaan sallittua, että palvelujen tarjoaja välittää liikennetiedot saataviensa luovutuksensaajalle ja että jälkimmäinen käsittelee mainittuja tietoja.
17 Direktiivin 2002/58 6 artiklan 2 kohdan mukaan on yhtäältä niin, että tilaajalaskutusta varten tarvittavia liikennetietoja voidaan käsitellä. Kuten nexnet ja Euroopan komissio korostavat, tuossa mainitun direktiivin säännöksessä sallitaan liikennetietojen käsittely laskutusta ja tämän lisäksi myös maksujen perimistä varten. Kun mainitussa säännöksessä sallitaan liikennetietojen käsittely ”sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä”, se ei koske yksinomaan tietojen käsittelyä laskutuksen yhteydessä vaan myös käsittelyä, joka on tarpeen maksujen perimiseksi.
18 Direktiivin 2002/58 6 artiklan 5 kohdan mukaan toisaalta kyseisen direktiivin 6 artiklan 2 kohdassa sallittu liikennetietojen käsittely ”on rajoitettava – – palvelujen tarjoajien vastuulla toimiviin henkilöihin, jotka käsittelevät laskutusta”, ja ”sitä voidaan suorittaa ainoastaan kyseis[en] toim[en] vaatimassa laajuudessa”.
19 Noita direktiivin 2002/58 säännöksiä yhdessä tulkittaessa ilmenee, että palvelujen tarjoajalla on oikeus välittää liikennetiedot saataviensa luovutuksensaajalle maksujen perimistä varten ja että jälkimmäisellä on mahdollisuus käsitellä mainittuja tietoja sillä edellytyksellä, että ensinnäkin se toimii palvelujen tarjoajan ”vastuulla” kyseisiä tietoja käsiteltäessä ja toiseksi se käsittelee ainoastaan liikennetietoja, jotka ovat tarpeen mainittujen saatavien perimiseksi.
20 On todettava, ettei direktiivistä 2002/58 eikä sen tulkinnan kannalta merkityksellisistä asiakirjoista, kuten valmisteluasiakirjoista, saada selvennystä sanan ”vastuulla” täsmälliseen ulottuvuuteen. Tämän sanan merkitys on unionin tuomioistuimen oikeuskäytännön mukaan näin ollen määriteltävä sen tavanomaisen merkityksen mukaan, joka sillä on yleiskielessä, ottamalla samalla huomioon se asiayhteys, jossa sitä käytetään, ja sen lainsäädännön tavoitteet, johon se kuuluu (ks. vastaavasti asia C‑336/03, easyCar, tuomio 10.3.2005, Kok., s. I‑1947, 20 ja 21 kohta ja asia C‑49/11, Content Services, tuomio 5.7.2012, 32 kohta).
21 Kyseisellä sanalla yleiskielessä olevasta tavanomaisesta merkityksestä on todettava, että joku henkilö toimii jonkun toisen henkilön vastuulla silloin, kun ensin mainittu henkilö toimii jälkimmäisen henkilön ohjeiden mukaisesti ja tämän valvonnassa.
22 Siitä asiayhteydestä, johon direktiivin 2002/58 6 artikla kuuluu, on huomautettava kyseisen direktiivin 5 artiklan 1 kohdassa säädettävän, että jäsenvaltioiden on varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus.
23 Direktiivin 2002/58 6 artiklan 2 ja 5 kohdassa on poikkeus sen 5 artiklan 1 kohdassa säädettyyn viestinnän luottamuksellisuuteen, koska siinä sallitaan liikennetietojen käsittely palvelujen laskuttamiseen liittyvien tarpeiden takia (ks. vastaavasti asia C‑275/06, Promusicae, tuomio 29.1.2008, Kok., s. I‑271, 48 kohta). Koska tämä mainitun direktiivin säännös on poikkeus, sitä ja näin ollen myös sanaa ”vastuulla” on siis tulkittava suppeasti (ks. asia C‑16/10, The Number (UK) ja Conduit Enterprises, tuomio 17.2.2011, Kok., s. I‑691, 31 kohta). Tällainen tulkinta edellyttää, että palvelujen tarjoajalla on tosiasiallinen valvontavalta, jonka nojalla se voi tarkastaa, noudattaako saatavien luovutuksensaaja sille liikennetietojen käsittelyn osalta asetettuja ehtoja.
24 Tuo tulkinta saa tukea yleisellä tasolla direktiivin 2002/58 tavoitteesta ja erityisemmin sen 6 artiklan 5 kohdan tavoitteesta. Kuten direktiivin 2002/58 1 artiklan 1 ja 2 kohdasta ilmenee, kyseisellä direktiivillä täsmennetään ja täydennetään sähköisen viestinnän alalla direktiiviä 95/46 muun muassa sitä varten, että jäsenvaltiot varmistavat samantasoisen perusoikeuksien ja -vapauksien, erityisesti yksityisyyttä koskevan oikeuden, suojan henkilötietojen käsittelyssä sähköisen viestinnän alalla.
25 Direktiivin 2002/58 6 artiklan 5 kohtaa on siis tulkittava direktiivin 95/46 samankaltaisten säännösten valossa. Jälkimmäisen direktiivin 16 ja 17 artiklasta, joissa täsmennetään se valvonnan taso, joka rekisterinpitäjän on varmistettava nimeämänsä käsittelijän osalta, ilmenee, että käsittelijä toimii pelkästään rekisterinpitäjän ohjeiden mukaisesti ja että rekisterinpitäjä huolehtii siitä, että toimet, joista on sovittu henkilötietojen suojaamiseksi kaikelta laittomalta käsittelyltä, toteutetaan.
26 Erityisesti direktiivin 2002/58 6 artiklan 5 kohdalla olevasta tavoitteesta on todettava, että vaikka kyseisessä säännöksessä sallitaan se, että tietyt kolmannet henkilöt käsittelevät liikennetietoja palvelujen tarjoajalle muun muassa jälkimmäisen saatavien perimiseksi – minkä ansiosta tämä voi siis keskittyä sähköisten viestintäpalvelujen tarjoamiseen – mainitulla säännöksellä pyritään varmistamaan, että tällainen ulkoistaminen ei vaikuta käyttäjän hyväksi vahvistetun henkilötietojen suojan tasoon, koska siinä säädetään, että liikennetietojen käsittely on rajoitettava palvelujen tarjoajan ”vastuulla” toimiviin henkilöihin.
27 Edellä esitetystä ilmenee, että riippumatta siitä, miten saatavien luovuttamisesta maksujen perimiseksi tehty sopimus luonnehditaan, televiestintäpalveluista maksettaviin korvauksiin perustuvan saatavan luovutuksensaaja toimii mainittujen palvelujen tarjoajan ”vastuulla” direktiivin 2002/58 6 artiklan 5 kohdassa tarkoitetulla tavalla silloin, kun luovutuksensaaja toimii pelkästään palvelujen tarjoajan ohjeiden mukaisesti ja tämän valvonnassa käsiteltäessä tällaisen toiminnan edellyttämiä liikennetietoja. Palvelujen tarjoajan, joka luovuttaa saatavansa, ja saatavien luovutuksensaajan välillä tehdyssä sopimuksessa on erityisesti oltava määräykset, joilla voidaan taata se, että luovutuksensaaja käsittelee liikennetietoja laillisesti, ja palvelujen tarjoajan on voitava kyseisen sopimuksen nojalla varmistautua milloin hyvänsä siitä, että luovutuksensaaja noudattaa mainittuja määräyksiä.
28 Kansallisen tuomioistuimen asiana on tarkastaa kaikkien asiakirja-aineistoon sisältyvien seikkojen nojalla, ovatko kyseiset edellytykset täyttyneet pääasiassa. Se, että factoring-sopimukseen liittyy esitetyssä kysymyksessä kuvattuja ominaispiirteitä, puoltaa sitä, että tuo sopimus täyttää mainitut edellytykset. Tällaisen sopimuksen perusteella näet saatavien luovutuksensaaja voi käsitellä liikennetietoja ainoastaan siltä osin kuin tuo käsittely on tarpeen noiden saatavien perimiseksi, ja siinä asetetaan luovutuksensaajalle velvollisuus poistaa tai palauttaa mainitut tiedot välittömästi ja lopullisesti heti, kun niiden tunteminen ei ole enää tarpeen asianomaisten saatavien perimiseksi. Tällaisen sopimuksen mukaan palvelujen tarjoaja voi lisäksi valvoa sitä, että luovutuksensaaja, joka voi pelkästä pyynnöstä olla velvollinen poistamaan tai palauttamaan liikennetiedot, noudattaa tietoturvallisuutta ja -suojaa koskevia sääntöjä.
29 Edellä esitettyjen seikkojen perusteella kysymykseen on vastattava, että direktiivin 2002/58 6 artiklan 2 ja 5 kohtaa on tulkittava siten, että kyseisessä artiklassa sallitaan se, että palvelujen tarjoaja välittää liikennetiedot televiestintäpalvelujen tarjoamiseen perustuvien saataviensa luovutuksensaajalle kyseisten saatavien perimiseksi ja että kyseinen luovutuksensaaja käsittelee mainittuja tietoja, sillä edellytyksellä, että ensinnäkin luovutuksensaaja toimii palvelujen tarjoajan vastuulla näitä liikennetietoja käsiteltäessä ja että toiseksi luovutuksensaaja käsittelee ainoastaan liikennetietoja, jotka ovat tarpeen luovutettujen saatavien perimiseksi.
30 Riippumatta siitä, miten luovutussopimus luonnehditaan, luovutuksensaajan oletetaan toimivan palvelujen tarjoajan vastuulla direktiivin 2002/58 6 artiklan 5 kohdassa tarkoitetulla tavalla silloin, kun luovutuksensaaja toimii pelkästään palvelujen tarjoajan ohjeiden mukaisesti ja tämän valvonnassa liikennetietoja käsiteltäessä. Palvelujen tarjoajan ja luovutuksensaajan välillä tehdyssä sopimuksessa on erityisesti oltava määräykset, joilla voidaan taata se, että luovutuksensaaja käsittelee liikennetietoja laillisesti, ja joiden nojalla palvelujen tarjoaja voi milloin hyvänsä varmistautua siitä, että mainittu luovutuksensaaja noudattaa kyseisiä määräyksiä.
Oikeudenkäyntikulut
31 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:
Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, s. 37) 6 artiklan 2 ja 5 kohtaa on tulkittava siten, että kyseisessä artiklassa sallitaan se, että yleisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja välittää liikennetiedot televiestintäpalvelujen tarjoamiseen perustuvien saataviensa luovutuksensaajalle kyseisten saatavien perimiseksi ja että kyseinen luovutuksensaaja käsittelee mainittuja tietoja, sillä edellytyksellä, että ensinnäkin luovutuksensaaja toimii palvelujen tarjoajan vastuulla näitä liikennetietoja käsiteltäessä ja että toiseksi luovutuksensaaja käsittelee ainoastaan liikennetietoja, jotka ovat tarpeen luovutettujen saatavien perimiseksi.
Riippumatta siitä, miten luovutussopimus luonnehditaan, luovutuksensaajan oletetaan toimivan palvelujen tarjoajan vastuulla direktiivin 2002/58 6 artiklan 5 kohdassa tarkoitetulla tavalla silloin, kun luovutuksensaaja toimii pelkästään palvelujen tarjoajan ohjeiden mukaisesti ja tämän valvonnassa liikennetietoja käsiteltäessä. Palvelujen tarjoajan ja luovutuksensaajan välillä tehdyssä sopimuksessa on erityisesti oltava määräykset, joilla voidaan taata se, että luovutuksensaaja käsittelee liikennetietoja laillisesti, ja joiden nojalla palvelujen tarjoaja voi milloin hyvänsä varmistautua siitä, että mainittu luovutuksensaaja noudattaa kyseisiä määräyksiä.
Allekirjoitukset