Language of document : ECLI:EU:C:2017:796

Väliaikainen versio

JULKISASIAMIEHEN RATKAISUEHDOTUS

YVES BOT

24 päivänä lokakuuta 2017(1)

Asia C-210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

vastaan

Wirtschaftsakademie Schleswig-Holstein GmbH,

muina osapuolina

Facebook Ireland Ltd ja

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

(Bundesverwaltungsgerichtin (liittovaltion hallintotuomioistuin, Saksa) esittämä ennakkoratkaisupyyntö)

Ennakkoratkaisupyyntö – Direktiivi 95/46/EY – Direktiivin 2, 4 ja 28 artikla – Yksilöiden suojelu henkilötietojen käsittelyssä ja näiden tietojen vapaa liikkuvuus – Määräys, että verkkoyhteisöpalvelu Facebookissa oleva fanisivu on poistettava käytöstä – Rekisterinpitäjän käsite – Fanisivun hallinnoijan vastuu – Yhteisvastuu – Sovellettava kansallinen oikeus – Valvontaviranomaisten toimintavaltuuksien laajuus






1.        Tämä ennakkoratkaisupyyntö koskee yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY,(2) sellaisena kuin se on muutettuna 29.9.2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003,(3) 2 artiklan d alakohdan, 4 artiklan 1 kohdan, 17 artiklan 2 kohdan sekä 28 artiklan 3 ja 6 kohdan tulkintaa.

2.        Ennakkoratkaisupyyntö on esitetty asiassa, jossa vastakkain ovat yksityisoikeudellinen koulutusalan yhtiö Wirtschaftsakademie Schleswig-Holstein GmbH (jäljempänä Wirtschaftsakademie) ja Schleswig-Holsteinin alueellinen tietosuojaviranomainen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (jäljempänä ULD) ja joka koskee sellaisen määräyksen laillisuutta, jonka viimeksi mainittu antoi Wirtschaftsakademielle ja jossa tätä vaadittiin poistamaan käytöstä Facebook Ireland Ltd:n sivustolla oleva fanisivu (Fanpage).

3.        Määräystä perustellaan sillä, että fanisivulla rikotaan direktiivin 95/46 täytäntöön panemiseksi annettuja Saksan lainsäädännön säännöksiä etenkin siten, ettei sillä vierailevia varoiteta verkkoyhteisöpalvelu Facebookin (jäljempänä Facebook) harjoittamasta henkilötietojen keräämisestä, joka toteutetaan tallentamalla evästeitä heidän kovalevylleen ja jonka tarkoituksena on laatia sivun hallinnoijalle tarkoitettuja kävijätilastoja ja mahdollistaa se, että Facebook pystyy levittämään kohdennettuja mainoksia.

4.        Käsiteltävän asian taustalla on webtracking-ilmiö, joka tarkoittaa internetin käyttäjien käyttäytymisen seuraamista ja analysointia kaupallisiin tarkoituksiin ja markkinointitarkoituksiin. Webtrackigin avulla pystytään erityisesti tunnistamaan internetin käyttäjien kiinnostuksenkohteet seuraamalla heidän selauskäyttäytymistään. Tällöin puhutaan käyttäytymiseen perustuvasta webtrackingistä. Tämä toteutetaan yleensä evästeillä.

5.        Evästeet ovat seurantatiedostoja, jotka tallennetaan internetin käyttäjän tietokoneelle hänen käydessään verkkosivulla.

6.        Webtrackigin käytöllä pyritään erityisesti verkkosivun tehokkaampaan optimointiin ja konfigurointiin. Se myös auttaa mainostajia suuntaamaan viestinsä kohdennetusti eri yleisösegmenteille.

7.        Sen määritelmän mukaisesti, jonka direktiivin 95/46 29 artiklalla perustettu tietosuojatyöryhmä(4) on esittänyt käyttötottumuksia seuraavasta internetmainonnasta 22.6.2010 antamassaan lausunnossa 2/10,(5) ”käyttötottumuksia seuraava mainonta tarkoittaa mainontaa, jossa seurataan henkilöiden käyttäytymistä tiettynä aikana. Käyttötottumuksia seuraavassa mainonnassa pyritään selvittämään henkilön käyttäytymisen ominaispiirteet hänen toimintansa kautta (toistuvat verkkosivuilla käynnit, vuorovaikutus, avainsanat, verkkosisällöntuotanto jne.) erityisen käyttäjäprofiilin kokoamiseksi, jotta käyttäjälle voidaan tarjota näin selvinneisiin kiinnostuksenkohteisiin sopivaa kohdennettua mainontaa”.(6) Tämän tavoitteen saavuttamiseksi on kerättävä ja sen jälkeen hyödynnettävä käyttäjän selaimen ja päätelaitteen tietoja. Eniten käytetty seurantatekniikka, jolla internetinkäyttäjiä pystytään seuraamaan, ovat ”seurantaevästeet”.(7) Näin ollen ”toimintamarkkinointi [eli käyttötottumuksia seuraava mainonta] käyttää henkilön internet-käyttäytymisestä kerättyjä tietoja, kuten millä sivuilla hän käy tai mitä hakuja hän tekee, valitakseen, mitä mainoksia tälle henkilölle toimitetaan”.(8)

8.        Selauskäyttäytymisen seuranta mahdollistaa myös sen, että verkkosivujen hallinnoijalle pystytään toimittamaan kävijätilastoja näillä sivuilla käyneistä henkilöistä.

9.        Kävijätilastojen laatimiseksi ja kohdennettujen mainosten lähettämiseksi toteutetun henkilötietojen keräämisen ja hyödyntämisen on täytettävä tietyt vaatimukset, jotta ne olisivat henkilötietojen suojasta direktiivissä 95/46 annettujen sääntöjen mukaisia. Tällaista henkilötietojen käsittelyä ei etenkään saa toteuttaa ilman, että kyseisiä henkilöitä informoidaan siitä etukäteen, ja ilman näiden etukäteen antamaa suostumusta.

10.      Sääntöjenmukaisuuden tutkiminen edellyttää kuitenkin, että on ensin ratkaistava useita kysymyksiä, jotka koskevat rekisterinpitäjän määrittelemistä sekä sovellettavan kansallisen oikeuden ja toimintavaltuuksien käyttämiseen toimivaltaisen viranomaisen määrittämistä.

11.      Rekisterinpitäjän yksilöimistä koskeva kysymys muuttuu erityisen vaikeaksi tilanteessa, jossa talouden toimija päättää, ettei se asenna kävijätilastojen laatimiseen ja kohdennettujen mainosten lähettämiseen tarvittavia välineitä omalle verkkosivulleen vaan turvautuu Facebookin kaltaiseen verkkoyhteisöpalveluun avaamalla sinne fanisivun pystyäkseen hyödyntämään samanlaisia välineitä.

12.      Sovellettavan kansallisen oikeuden ja toimintavaltuuksien käyttämiseen toimivaltaisen viranomaisen määrittämistä koskevat kysymykset muuttuvat samaten monitahoisiksi, kun henkilötietojen käsittelyyn osallistuu useita sekä Euroopan unionin ulkopuolella että unionissa sijaitsevia yksikköjä.

13.      Nyt kun useiden jäsenvaltioiden valvontaviranomaiset ovat viime kuukausina päättäneet määrätä Facebookille sakkoja sen johdosta, että se on rikkonut käyttäjiensä henkilötietojen suojaa koskevia sääntöjä,(9) unionin tuomioistuimella on tässä asiassa tilaisuus täsmentää niiden toimintavaltuuksien laajuutta, joita ULD:n kaltaisella valvontaviranomaisella on sellaisen henkilötietojen käsittelyn osalta, johon osallistuu useita toimijoita.

14.      Tähän asiaan liittyvien oikeudellisten kysymysten ymmärtämisen helpottamiseksi on aluksi kuvailtava pääasian tosiseikkoja.

I.      Pääasian tosiseikat ja ennakkoratkaisukysymykset

15.      Wirtschaftsakademie tarjoaa koulutuspalveluja verkkoyhteisöpalvelu Facebookin sivustolla olevan fanisivun kautta.

16.      Fanisivut ovat käyttäjätilejä, joita erityisesti yksityishenkilöt tai yritykset voivat perustaa Facebookiin. Fanisivun hallinnoijan on tässä tarkoituksessa rekisteröidyttävä Facebookiin, jolloin hän voi käyttää Facebookin luomaa alustaa esittäytyäkseen tämän verkkoyhteisöpalvelun käyttäjille ja esittääkseen kaiken tyyppisiä viestejä erityisesti liiketoiminnan kehittämiseksi.

17.      Fanisivujen hallinnoijat voivat saada kävijätilastoja Facebook Insights -välineellä, jonka Facebook antaa heidän käyttöönsä ilmaiseksi käyttöehdoissaan, joita ei voi muuttaa. Facebook laatii nämä tilastot, ja fanisivun hallinnoija yksilöllistää ne käyttämällä eri arviointiperusteita, jotka hän voi valita, kuten ikää tai sukupuolta. Tilastotiedot antavat siten anonyymejä tietoja fanisivulla käyneiden henkilöiden ominaisuuksista ja tavoista ja auttavat sivujen hallinnoijia kohdentamaan viestintänsä paremmin.

18.      Jotta tällaisia kävijätilastoja saataisiin laadittua, Facebook tallentaa fanisivulla käyneen henkilön kovalevylle ainakin yhden evästeen, jossa on ainutkertainen tunniste ja joka on voimassa kaksi vuotta. Tunniste, joka voidaan yhdistää Facebookin rekisteröityjen käyttäjien sisäänkirjautumistietoihin, noudetaan ja käsitellään, kun käyttäjä avaa Facebook-sivuja.

19.      ULD määräsi 3.11.2011 tekemässään päätöksessä Bundesdatenschutzgesetzin (liittovaltion tietosuojalaki, jäljempänä BDSG) 38 §:n 5 momentin(10) nojalla, että Wirtschaftsakademien on poistettava käytöstä Facebookiin internetosoitteeseen https://www.facebook.com/wirtschaftsakademie luomansa fanisivu sillä uhalla, että sille määrätään sakko, jollei se noudata päätöstä asetetussa määräajassa, ja päätöstä perusteltiin sillä, etteivät sen enempää Wirtschaftsakademie kuin Facebook tiedottaneet fanisivuilla käyneille, että viimeksi mainittu keräsi heidän henkilötietojaan evästeillä ja sen jälkeen käsitteli näitä tietoja. Wirtschaftsakademie teki tästä päätöksestä oikaisuvaatimuksen, jossa se väitti pääasiallisesti, ettei se ollut sovellettavan tietosuojalainsäädännön mukaan rekisterinpitäjä sen enempää Facebookin suorittaman tietojenkäsittelyn osalta kuin tämän asettamien evästeiden osalta.

20.      ULD hylkäsi oikaisuvaatimuksen 16.12.2011 tekemällään päätöksellä, koska se katsoi, että Wirtschaftsakademien vastuu palveluntarjoajana oli näytetty toteen Telemediengesetzin (sähköisistä tieto- ja viestintäpalveluista annettu laki) 3 §:n 3 momentin 4 kohdan ja 12 §:n 1 momentin(11) mukaisesti. Fanisivun luodessaan Wirtschaftsakademie samalla osallistuu aktiivisesti ja vapaaehtoisesti Facebookin harjoittamaan henkilötietojen keräämiseen, josta se hyötyy siten, että tämä verkkoyhteisöpalvelu antaa sen käyttöön tilastotietoja käyttäjistä.

21.      Tämän jälkeen Wirtschaftsakademie nosti tästä päätöksestä kanteen Verwaltungsgerichtissä (hallintotuomioistuin, Saksa) ja väitti, ettei sen voida katsoa olevan vastuussa Facebookin suorittamista tietojenkäsittelytoimista ja ettei se myöskään ole BDSG:n 11 §:ssä(12) tarkoitetuin tavoin antanut Facebookin tehtäväksi suorittaa tietojenkäsittelyä, johon sillä olisi määräysvalta tai johon se pystyisi vaikuttamaan. Wirtschaftsakademie katsoo siten, että ULD on tehnyt virheen, kun se on ryhtynyt toimenpiteisiin sitä vastaan eikä suoraan Facebookia vastaan.

22.      Verwaltungsgericht kumosi riidanalaisen päätöksen 9.10.2013 antamallaan tuomiolla ja totesi pääasiallisesti, ettei Facebookissa olevan fanisivun hallinnoija ole BDSG:n 3 §:n 7 momentissa(13) tarkoitettu ”tietojenkäsittelystä vastaava elin” ja ettei Wirtschaftsakademie siten voinut olla BDSG:n 38 §:n 5 momentin nojalla toteutetun toimenpiteen adressaatti.

23.      Tämän jälkeen Oberverwaltungsgericht (ylempi hallintotuomioistuin, Saksa) hylkäsi ULD:n tästä tuomiosta tekemän valituksen perusteettomana ja katsoi pääasiallisesti, että riidanalaisessa päätöksessä asetettu tietojenkäsittelykielto oli lainvastainen, koska BDSG:n 38 §:n 5 momentin toisessa virkkeessä säädetään vaiheittaisesta prosessista, jonka ensimmäisessä vaiheessa saadaan toteuttaa vain toimenpiteitä, joilla on tarkoitus korjata tietojenkäsittelyssä todetut rikkomiset. Välitön tietojenkäsittelykielto on mahdollinen vain, jos tietojenkäsittelymenettely on kokonaisuudessaan lainvastainen ja jos rikkominen voidaan korjata vain keskeyttämällä menettely. Oberverwaltungsgerichtin mukaan näin ei kuitenkaan ole tässä tapauksessa, koska Facebook pystyy aivan hyvin lopettamaan rikkomiset, joita ULD väittää tapahtuvan.

24.      Oberverwaltungsgerichtin mukaan määräys on lainvastainen myös sen vuoksi, ettei Wirtschaftsakademie ole BDSG:n 3 §:n 7 momentissa tarkoitettu tietojenkäsittelystä vastaava toimielin niiden tietojen osalta, joita Facebook kerää fanisivun hallinnoinnin yhteydessä, ja että BDSG:n 38 §:n 5 momenttiin perustuva määräys voidaan antaa vain tällaiselle elimelle. Tässä tapauksessa Facebook päättää yksinään Facebook Insights -toimintoon käytettävien henkilötietojen keräämisen ja käsittelyn tarkoituksesta ja keinoista. Wirtschaftsakademie puolestaan pelkästään vastaanottaa anonymisoituja tilastotietoja.

25.      BDSG:n 38 §:n 5 momentissa ei sallita määräysten antamista sivullisille. Internetiä koskevaa niin sanottua välillistä vastuuta (Störerhaftung), joka on kehitetty siviilituomioistuinten oikeuskäytännössä, ei voida soveltaa julkisen vallan valtaoikeuksiin. Vaikka BDSG:n 38 §:n 5 momentissa ei mainita kieltomääräyksen adressaattia nimenomaisesti, tämän sääntelyn systematiikasta, kohteesta ja tarkoituksesta sekä sen syntyhistoriasta ilmenee, että määräyksen adressaattina voi olla vain tietojenkäsittelystä vastaava elin.

26.      ULD väittää Bundesverwaltungsgerichtille (liittovaltion hallintotuomioistuin, Saksa) tekemässään Revision-valituksessa muun muassa, että BDSG:n 38 §:n 5 momenttia on rikottu, ja tuo esiin useita toisen asteen tuomioistuimen menettelyvirheitä. Se katsoo, että rikkominen, johon Wirtschaftsakademie on syyllistynyt, johtuu siitä, että se on antanut internetsivun toteuttamisen, tallentamisen ja ylläpidon siihen sillä perusteella soveltumattoman palveluntarjoajan, että se ei noudata tietosuojalainsäädäntöä, eli tässä tapauksessa Facebook Irelandin, tehtäväksi. ULD:n mukaan käytöstä poistamista koskevalla määräyksellä pyritään näin ollen korjaamaan tämä Wirtschaftsakademien rikkominen siten, että siinä kielletään tätä jatkamasta Facebookin infrastruktuurin käyttöä internetsivunsa teknisenä alustana.

27.      Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että siltä osin kuin on kysymys siitä, että pääasian väliintulija eli Facebook Ireland kerää ja käsittelee fanisivulla käyvien henkilöiden tietoja, Wirtschaftsakademie ei ole BDSG:n 3 §:n 7 momentissa tarkoitettu ”elin [– –], joka kerää, käsittelee tai käyttää henkilötietoja omaan lukuunsa tai antaa tämän muiden tehtäväksi” tai direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu ”toimielin – –, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot”. Wirtschaftsakademie kylläkin on sillä, että se päätti luoda fanisivun pääasian väliintulijan tai sen emoyhtiön (käsiteltävässä asiassa Facebook Inc., Amerikan yhdysvallat) käyttämälle alustalle, objektiivisesti tarkasteltuna antanut pääasian väliintulijalle mahdollisuuden asettaa evästeitä tätä fanisivua avattaessa ja kerätä tietoja tätä kautta. Päätös ei kuitenkaan anna Wirtschaftsakademielle mahdollisuutta vaikuttaa siihen taikka ohjata, muuttaa tai valvoa sitä, miten ja kuinka laajasti pääasian väliintulija käsittelee sen fanisivulla käyneiden henkilöiden tietoja. Fanisivun käyttöehdoissa ei myöskään anneta Wirtschaftsakademielle oikeuksia puuttua käsittelyyn tai valvoa sitä. Pääasian väliintulijan yksipuolisesti asettamat käyttöehdot eivät ole neuvottelumenettelyn tulos, eikä niissä myöskään anneta Wirtschaftsakademielle oikeutta kieltää pääasian väliintulijaa keräämästä ja käsittelemästä fanisivun kävijöiden tietoja.

28.      Ennakkoratkaisua pyytänyt tuomioistuin myöntää, että direktiivin 95/46 2 artiklan d alakohdassa olevaa rekisterinpitäjän oikeudellista määritelmää on lähtökohtaisesti tulkittava laajasti, jotta yksityisyyden suojaa kunnioitettaisiin tehokkaasti. Wirtschaftsakademie ei kuitenkaan vastaa tätä määritelmää, koska sillä ei ole mitään oikeudellista eikä tosiasiallista vaikutusvaltaa pääasian väliintulijan omalla vastuullaan ja täysin itsenäisesti harjoittaman henkilötietojen käsittelyn yksityiskohtaisiin menettelytapoihin. Tässä yhteydessä ei riitä, että Wirtschaftsakademie voi objektiivisesti hyötyä pääasian väliintulijan käyttämästä Facebook Insights -toiminnosta, koska sille toimitetaan anonymisoituja tietoja sen fanisivun käyttöä varten.

29.      Ennakkoratkaisua pyytäneen tuomioistuimen mukaan Wirtschaftsakademieta ei voida pitää myöskään BDSG:n 11 §:ssä sekä direktiivin 95/46 2 artiklan e alakohdassa ja 17 artiklan 2 ja 3 kohdassa tarkoitettuna henkilötietojen käsittelijänä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

30.      Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että on selvennettävä, voidaanko – ja millä edellytyksillä – tietosuoja-alan valvontaviranomaisten valvonta- ja toimintavaltuuksia käyttää vain direktiivin 95/46 2 artiklan d alakohdassa tarkoitettua rekisterinpitäjää kohtaan vai voidaanko toimielimen, joka ei ole tästä säännöksestä ilmenevän määritelmän mukaan rekisterinpitäjä, katsoa olevan vastuussa sen perusteella, että se on päättänyt käyttää tiedottamisessaan Facebookia.

31.      Ennakkoratkaisua pyytänyt tuomioistuin pohtii jälkimmäisen vaihtoehdon osalta, voiko tällainen vastuu perustua niiden valinta- ja valvontavelvollisuuksien analogiseen soveltamiseen, jotka direktiivin 95/46 17 artiklan 2 kohdan mukaan koskevat rekisterinpitäjän lukuun suoritettua tietojenkäsittelyä.

32.      Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että jotta se pystyisi lausumaan tässä tapauksessa annetun määräyksen lainmukaisuudesta, on välttämätöntä selventää myös tiettyjä valvontaviranomaisten toimivaltaa ja niiden toimintavaltuuksien laajuutta koskevia seikkoja.

33.      Ennakkoratkaisua pyytänyt tuomioistuin pohtii erityisesti valvontaviranomaisten toimivallan jakoa silloin, kun Facebook Inc:in kaltaisella emoyhtiöllä on unionin alueella useita toimipaikkoja ja näille toimipaikoille on yhtiön sisällä jaettu eri tehtäviä.

34.      Ennakkoratkaisua pyytänyt tuomioistuin muistuttaa tässä yhteydessä, että unionin tuomioistuin on katsonut 13.5.2014 antamassaan tuomiossa Google Spain ja Google,(14) että ”direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa on tulkittava siten, että henkilötietojen käsittely suoritetaan jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä kyseisessä säännöksessä tarkoitetulla tavalla silloin, kun hakukoneen ylläpitäjä perustaa jäsenvaltioon sivuliikkeen tai tytäryhtiön, jonka tehtävänä on markkinoida ja myydä hakukoneen tarjoamia mainospaikkoja ja jonka toiminta kohdistuu kyseisen jäsenvaltion asukkaisiin”.(15) Ennakkoratkaisua pyytänyt tuomioistuin pohtii, voidaanko tätä liittymää Facebook Germany GmbH:n kaltaiseen toimipaikkaan, joka ennakkoratkaisupyynnössä esitettyjen tietojen mukaan vastaa Saksan asukkaisiin kohdistettavasta mainospaikkojen myynninedistämisestä ja myynnistä ja muusta markkinointitoiminnasta, soveltaa direktiivin 95/46 sovellettavuuden mahdollistamiseksi ja toimivaltaisen valvontaviranomaisen määrittämiseksi tilanteeseen, jossa toiseen jäsenvaltioon (tässä tapauksessa Irlantiin) sijoittautunut tytäryhtiö toimii rekisterinpitäjänä unionin koko alueella.

35.      Siltä osin kuin on kysymys direktiivin 95/46 28 artiklan 3 momentin mukaisesti toteutetun toimenpiteen adressaatista, ennakkoratkaisua pyytänyt tuomioistuin toteaa, että Wirtschaftsakademielle annettu määräys voi johtua arviointivirheestä ja olla sen vuoksi lainvastainen, jos sovellettavaan tietosuojalainsäädännön kohdistuvat rikkomiset, joita ULD väittää tapahtuneen, olisi voitu korjata suoraan Saksaan sijoittautuneeseen tytäryhtiöön Facebook Germanyyn kohdistetulla toimenpiteellä.

36.      Ennakkoratkaisua pyytänyt tuomioistuin toteaa myös, että ULD katsoo, etteivät sitä sido toteamukset ja arvioinnit, joita on esittänyt Data Protection Commissioner (tietosuojaviranomainen, Irlanti), joka ei Wirtschaftsakademien ja pääasian väliintulijan esittämien tietojen mukaan ole kyseenalaistanut pääasian kohteena olevaa henkilötietojen käsittelyä. Kyseinen tuomioistuin haluaa siten selvittää yhtäältä, onko tällainen ULD:n itsenäinen arviointi sallittua, ja toisaalta, edellyttääkö direktiivin 95/46 28 artiklan 6 kohdan toinen virke, että ULD:n on pyydettävä tietosuojaviranomaista käyttämään valtuuksiaan Facebook Irelandia kohtaan, kun otetaan huomioon, että nämä kaksi valvontaviranomaista arvioivat eri tavalla sitä, onko pääasian kohteena oleva tietojenkäsittely direktiivin 95/46 sääntöjen mukaista.

37.      Bundesverwaltungsgericht päätti näin ollen lykätä asia käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Onko direktiivin 95/46 2 artiklan d alakohtaa tulkittava siten, että sillä säännellään vastuuta tietosuojaloukkauksista lopullisesti ja tyhjentävästi, vai voidaanko [tämän direktiivin] 24 artiklassa tarkoitettujen ”tarvittavien toimenpiteiden” ja 28 artiklan 3 kohdan toisessa luetelmakohdassa tarkoitettujen ”tehokkaiden toimintavaltuuksien” yhteydessä katsoa, että monitasoisissa tietojen toimittajien suhteissa elimelle, joka ei ole [mainitun direktiivin] 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, syntyy vastuu sen valitessa toimijaa, jota se käyttää tiedottamisessaan?

2)      Onko siitä, että direktiivin 95/46 17 artiklan 2 kohdassa jäsenvaltiot velvoitetaan säätämään rekisterinpitäjän lukuun suoritettavan tietojenkäsittelyn osalta, että rekisterinpitäjän ”on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet käsittelyyn liittyvistä teknisistä ja organisatorisista turvatoimista”, tehtävä vastakohtaispäätelmä, että muissa tietojen käyttöä koskevissa suhteissa, jotka eivät liity [tämän direktiivin] 2 artiklan e alakohdassa tarkoitettuun tietojenkäsittelyyn rekisterinpitäjän lukuun, ei ole mitään velvollisuutta tehdä huolellista valintaa eikä tällaista velvollisuutta voida perustaa myöskään kansalliseen oikeuteen?

3)      Kun Euroopan unionin ulkopuolelle sijoittautuneella emoyhtiöllä on oikeudellisesti itsenäisiä toimipaikkoja (tytäryhtiöitä) eri jäsenvaltioissa, onko jäsenvaltion (käsiteltävässä asiassa Saksan) valvontaviranomaisella direktiivin 95/46 4 artiklan ja 28 artiklan 6 kohdan nojalla toimivalta käyttää sille [tämän direktiivin] 28 artiklan 3 kohdan mukaisesti kuuluvia valtuuksia sen alueella sijaitsevaa toimipaikkaa kohtaan myös silloin, kun tämä toimipaikka vastaa vain tämän jäsenvaltion asukkaisiin kohdistettavasta mainospaikkojen myynninedistämisestä ja myynnistä ja muusta markkinointitoiminnasta, kun taas toiseen jäsenvaltioon (käsiteltävässä asiassa Irlantiin) sijoittautuneella itsenäisellä toimipaikalla (tytäryhtiöllä) on konsernin sisäisen tehtävienjaon mukaan yksinomainen vastuu henkilötietojen keräämisestä ja käsittelystä koko unionin alueella ja siten myös toisessa jäsenvaltiossa (käsiteltävässä asiassa Saksassa), mutta päätöksen tietojenkäsittelystä tekee tosiasiallisesti emoyhtiö?

4)      Onko direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa ja 28 artiklan 3 kohtaa tulkittava siten, että kun rekisterinpitäjällä on toimipaikka jäsenvaltion (käsiteltävässä asiassa Irlannin) alueella ja toisen jäsenvaltion (käsiteltävässä asiassa Saksan) alueella on toinen, oikeudellisesti itsenäinen toimipaikka, joka vastaa muun muassa mainospaikkojen myynnistä ja jonka toiminta kohdistuu kyseisen valtion asukkaisiin, tässä toisessa jäsenvaltiossa (käsiteltävässä asiassa Saksassa) toimivaltainen valvontaviranomainen voi tietosuojalainsäädännön täytäntöön panemiseksi osoittaa toimenpiteitä ja määräyksiä myös toiselle (käsiteltävässä asiassa Saksassa sijaitsevalle) toimipaikalle, joka konsernin sisäisen tehtävien- ja vastuunjaon mukaan ei ole tietojenkäsittelystä vastaava rekisterinpitäjä, vai voiko toimenpiteitä ja määräyksiä osoittaa tällöin ainoastaan sen jäsenvaltion (käsiteltävässä asiassa Irlannin) valvontaviranomainen, jonka alueella on konsernin sisäisessä vastuussa olevan elimen kotipaikka?

5)      Onko direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa ja 28 artiklan 3 ja 6 kohtaa tulkittava siten, että kun jäsenvaltion (käsiteltävässä asiassa Saksan) valvontaviranomainen ryhtyy [tämän direktiivin] 28 artiklan 3 kohdan nojalla toimenpiteisiin sen alueella toimintaa harjoittavaa henkilöä tai elintä kohtaan sen vuoksi, että tämä on valinnut tietojenkäsittelyprosessiin osallistuvan sivullisen (käsiteltävässä asiassa Facebookin) huolimattomasti, koska kyseinen sivullinen rikkoo tietosuojalainsäädäntöä, toimenpiteisiin ryhtyvää (käsiteltävässä asiassa Saksan) valvontaviranomaista sitoo sen toisen jäsenvaltion (käsiteltävässä asiassa Irlannin), jossa rekisterinpitäjänä toimivan sivullisen toimipaikka on, valvontaviranomaisen arviointi tietosuojalainsäädännöstä, jolloin ensin mainittu ei saa tehdä tästä poikkeavaa oikeudellista arviointia, vai saako toimenpiteisiin ryhtyvä (käsiteltävässä asiassa Saksan) valvontaviranomainen tutkia toiseen jäsenvaltioon (käsiteltävässä asiassa Irlantiin) sijoittautuneen sivullisen suorittaman tietojenkäsittelyn laillisuuden itsenäisesti esikysymyksenä ennen toimenpiteisiin ryhtymistä?

6)      Jos toimenpiteisiin ryhtyvä (käsiteltävässä asiassa Saksan) valvontaviranomainen saa suorittaa itsenäistä valvontaa, onko direktiivin 95/46 28 artiklan 6 kohdan toista virkettä tulkittava siten, että tämä valvontaviranomainen saa käyttää sille [tämän direktiivin] 28 artiklan 3 nojalla kuuluvia tehokkaita toimintavaltuuksia sen alueelle sijoittautunutta henkilöä tai elintä kohtaan sen johdosta, että myös se on vastuussa toiseen jäsenvaltioon sijoittautuneen sivullisen tekemistä tietosuojaloukkauksista, vain jos se on ensin pyytänyt kyseisen toisen jäsenvaltion (käsiteltävässä asiassa Irlannin) valvontaviranomaista käyttämään valtuuksiaan?”

II.    Asian tarkastelu

38.      On täsmennettävä, että ennakkoratkaisua pyytäneen tuomioistuimen ennakkoratkaisukysymykset eivät koske sitä, onko ULD:n arvostelema henkilötietojen käsittely eli fanisivuilla käyvien henkilöiden henkilötietojen kerääminen ja käyttö ilman, että näitä henkilöitä informoitaisiin siitä etukäteen, direktiivin 95/46 sääntöjen vastaista.

39.      Ennakkoratkaisua pyytäneen tuomioistuin selvitysten mukaan sen arvioitavaksi saatetun määräyksen laillisuus riippuu seuraavista seikoista. Sen näkemyksen mukaan on ensinnäkin määritettävä, oliko ULD:llä perusteita käyttää toimintavaltuuksiaan sellaista henkilöä kohtaan, joka ei ole direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä. Seuraavaksi ennakkoratkaisua pyytänyt tuomioistuin katsoo, että määräyksen laillisuus riippuu myös siitä, oliko ULD:llä toimivalta ryhtyä toimenpiteisiin pääasian kohteena olevan henkilötietojen käsittelyn osalta, tekikö ULD arviointivirheen osoittaessaan määräyksensä Wirtschaftsakademielle eikä Facebook Germanylle ja tekikö ULD toisen arviointivirheen, kun se määräsi Wirtschaftsakademien sulkemaan fanisivunsa, vaikka sen olisi pitänyt ensin pyytää tietosuojaviranomaista käyttämään valtuuksiaan Facebook Irelandia kohtaan.

A.      Ensimmäinen ja toinen ennakkoratkaisukysymys

40.      Ensimmäisellä ja toisella ennakkoratkaisukysymyksellään, jotka on mielestäni käsiteltävä yhdessä, ennakkoratkaisua pyytänyt tuomioistuin varsinaisesti pyytää unionin tuomioistuinta ratkaisemaan, onko direktiivin 95/46 17 artiklan 2 kohtaa, 24 artiklaa ja 28 artiklan 3 kohdan toista luetelmakohtaa tulkittava siten, että niiden mukaan valvontaviranomaiset saavat käyttää toimintavaltuuksiaan sellaista elintä kohtaan, jota ei voida pitää direktiivin 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä mutta jonka voitaisiin kuitenkin katsoa olevan vastuussa, kun henkilötietojen suojaa koskevia sääntöjä rikotaan sen johdosta, että tämä elin on päättänyt käyttää tiedottamisessaan Facebookin kaltaista verkkoyhteisöpalvelua.

41.      Kysymykset perustuvat lähtöolettamaan, ettei Wirtschaftsakademie ole direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä. Tämän vuoksi kyseinen tuomioistuin haluaa selvittää, voidaanko pääasiassa kyseessä olevan kaltainen määräys kohdistaa henkilöön, joka ei vastaa tässä säännöksessä vahvistettuja arviointiperusteita.

42.      Tämä lähtöolettama on mielestäni kuitenkin virheellinen. Käsitykseni mukaan Wirtschaftsakademieta on pidettävä yhteisvastuullisena rekisterinpitäjänä käsittelyn sen vaiheen osalta, jossa Facebook kerää henkilötietoja.

43.      Direktiivin 95/46 2 artiklan d alakohdassa tarkoitetulla rekisterinpitäjällä tarkoitetaan ”luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot”.(16)

44.      Rekisterinpitäjällä on perustavanlaatuinen rooli direktiivillä 95/46 käyttöön otetussa järjestelmässä, ja sen yksilöiminen on näin ollen olennaisen tärkeää. Direktiivissä säädetään nimittäin, että rekisterinpitäjällä on joukko velvollisuuksia, joilla pyritään varmistamaan henkilötietojen suoja.(17) Unionin tuomioistuin on 13.5.2014 antamassaan tuomiossa Google Spain ja Google(18) korostanut tätä perustavanlaatuista roolia. Unionin tuomioistuin nimittäin katsoi, että rekisterinpitäjän on varmistettava vastuidensa, valtuuksiensa ja mahdollisuuksiensa yhteydessä se, että kyseinen tietojenkäsittely täyttää direktiivin 95/46 vaatimukset, jotta direktiivissä säädetyt takeet voivat saada täyden vaikutuksensa ja jotta rekisteröityjen tehokas ja kattava suojelu ja erityisesti heidän oikeutensa nauttia yksityiselämän kunnioitusta voidaan todella turvata.(19)

45.      Unionin tuomioistuimen oikeuskäytännöstä ilmenee myös, että tämä käsite on määriteltävä laajasti, jotta varmistetaan kyseisten henkilöiden tehokas ja kattava suojelu.(20)

46.      Henkilötietojen rekisterinpitäjä on henkilö, joka päättää, miksi ja miten näitä tietoja käsitellään. Kuten tietosuojatyöryhmä on todennut, ”rekisterinpitäjän käsite on toiminnallinen käsite, jolla jaetaan vastuuta sinne, missä todellinen vaikutus on, ja joka näin ollen perustuu tosiasialliseen eikä niinkään muodolliseen analyysiin”.(21)

47.      Käsitykseni mukaan Facebook Inc. ja unionin osalta Facebook Ireland ovat tämän käsittelyn suunnittelijoina pääasiallisesti määritelleet sen tavoitteet ja menettelytavat.

48.      Facebook Inc. on tarkemmin sanottuna kehittänyt yleisen taloudellisen mallin, joka johtaa siihen, että henkilötietojen kerääminen fanisivuilla käyntien yhteydessä ja näiden tietojen käyttö voivat mahdollistaa yhtäältä yksilöllistettyjen mainosten levittämisen ja toisaalta näiden sivujen hallinnoijille suunnattujen kävijätilastojen laatimisen.

49.      Asiakirja-aineistosta ilmenee lisäksi, että Facebook Inc. on nimennyt Facebook Irelandin vastaamaan henkilötietojen käsittelystä unionissa. Facebook Irelandin selvitysten mukaan verkkoyhteisöpalvelun toimintatapoihin saatetaan tehdä unionissa tiettyjä mukautuksia.(22)

50.      Vaikka on kiistatonta, että kukin unionin alueella asuva henkilö, joka haluaa käyttää Facebookia, joutuu siihen liittyessään tekemään sopimuksen Facebook Irelandin kanssa, on kuitenkin todettava, että unionin alueella asuvien Facebookin käyttäjien henkilötiedot siirretään samalla kokonaan tai osittain käsiteltäviksi Facebook Inc:ille kuuluville palvelimille, jotka sijaitsevat Yhdysvaltojen alueella.(23)

51.      Kun otetaan huomioon Facebook Inc:in ja – nimenomaisesti unionin osalta – Facebook Irelandin osallistuminen pääasian kohteena olevan henkilötietojen käsittelyn tarkoituksen ja keinojen määrittämiseen, on käytettävissä olevien tietojen perusteella katsottava, että nämä kaksi yksikköä vastaavat tästä käsittelystä yhdessä rekisterinpitäjinä. Tässä yhteydessä on todettava, että direktiivin 95/46 2 artiklan d alakohdassa säädetään nimenomaisesti tällaisesta yhteisvastuun mahdollisuudesta. Kuten ennakkoratkaisua pyytänyt tuomioistuin on itse todennut, sen on viime kädessä itse selvitettävä Facebook-konsernin sisäiset päätöksenteon ja tietojenkäsittelyn rakenteet, jotta se pystyisi määrittämään toimipaikan tai toimipaikat, jotka ovat direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuja rekisterinpitäjiä.(24)

52.      Katson, että sen lisäksi, että Facebook Inc. ja Facebook Ireland ovat yhteisvastuullisia rekisterinpitäjiä, Facebookin toteuttamasta henkilötietojen keräämisestä muodostuvan käsittelyvaiheen osalta(25) yhteisvastuullisena rekisterinpitäjänä on Wirtschaftsakademien kaltainen fanisivun hallinnoija.

53.      Fanisivun hallinnoija kylläkin on ennen kaikkea Facebookin käyttäjä, joka käyttää Facebookia hyödyntääkseen tämän välineitä ja lisätäkseen siten näkyvyyttään. Tämän toteamus ei kuitenkaan sulje pois sitä, että fanisivun hallinnoijaa voidaan pitää myös rekisterinpitäjänä pääasian kohteena olevan henkilötietojen käsittelyvaiheen osalta eli Facebookin toteuttaman henkilötietojen keräämisen osalta.

54.      Siltä osin kuin on kysymys siitä, ”määritteleekö” fanisivun hallinnoija käsittelyn tarkoituksen ja keinot, on selvitettävä, käyttääkö hallinnoija oikeudellista tai tosiasiallista vaikutusvaltaa käsittelyn tarkoituksen ja keinojen osalta. Määritelmän tämän osatekijän avulla pystytään toteamaan, että rekisterinpitäjä ei ole se, joka suorittaa henkilötietojen käsittelyn, vaan se, joka määrittelee käsittelyn keinot ja tarkoituksen.

55.      Fanisivun hallinnoija, joka käyttää Facebookia tiedottamisessaan, lähtökohtaisesti osallistuu sivullaan käyvien henkilöiden henkilötietojen käsittelyn toteuttamiseen kävijätilastojen laatimiseksi.(26) Vaikka hallinnoija ei tietenkään ole Facebook Insights -välineen kehittäjä, sitä käyttäessään se osallistuu sivullaan käyvien henkilöiden henkilötietojen käsittelyn tarkoituksen ja menettelytapojen määrittelemiseen.

56.      On nimittäin todettava yhtäältä, ettei tätä käsittelyä voisi tapahtua, jollei fanisivun hallinnoija olisi sitä ennen päättänyt luoda sivua verkkoyhteisöpalvelu Facebookiin ja hyödyntää sitä siellä. Kun fanisivun hallinnoija mahdollistaa sivun käyttäjien henkilötietojen käsittelyn, se osallistuu Facebookin toteuttamaan järjestelmään. Se hankkii täten paremman näkyvyyden fanisivunsa käyttäjien profiileihin ja samaan aikaan mahdollistaa, että Facebook pystyy kohdentamaan tässä verkkoyhteisöpalvelussa lähetettävän mainonnan paremmin. Koska fanisivun hallinnoija hyväksyy henkilötietojen käsittelyn keinot ja tarkoituksen, sellaisina kuin Facebook on määrittänyt ne etukäteen, sen on katsottava osallistuvan niiden määrittelemiseen. On sitä paitsi todettava, että aivan kuten fanisivun hallinnoija käyttää täten ratkaisevaa vaikutusvaltaa tällä sivulla käyvien henkilöiden henkilötietojen käsittelyn käynnistämiseen, sillä on myös valta saada tämä käsittely loppumaan sulkemalla fanisivunsa.

57.      Toisaalta on todettava, että vaikka Facebook Inc. on yhdessä Facebook Irelandin kanssa yleisesti määritellyt Facebook Insights -välineen tarkoituksen ja menettelytavat sellaisinaan, fanisivun hallinnoija pystyy vaikuttamaan tämän välineen konkreettiseen käyttöön määrittelemällä kävijätilastojen laatimisessa käytettävät arviointiperusteet. Kun Facebook kehottaa fanisivun hallinnoijaa luomaan sivunsa yleisön tai muuttamaan tätä, se ilmoittaa hallinnoijalle, että se tekee parhaansa näyttääkseen sivun henkilöille, jotka ovat hallinnoijan kannalta tärkeimpiä. Fanisivun hallinnoija voi suodattamien avulla määritellä yksilöidyn yleisön, jolloin se pystyy paitsi tarkentamaan henkilöryhmää, jolle sen kaupallista tarjontaa koskevia tietoja levitetään, ennen kaikkea osoittamaan henkilöryhmät, joiden henkilötietoja Facebook ryhtyy keräämään. Kun fanisivun hallinnoija määrittää yleisön, jonka se haluaa saavuttaa, se näin ollen samalla yksilöi kohdeyleisön, jonka henkilötietoja Facebook kerää ja sen jälkeen hyödyntää. Sen lisäksi, että fanisivun hallinnoija on sivun luodessaan henkilötietojen keräämisen käynnistävä tekijä, sillä on näin ollen ratkaisevan tärkeä rooli Facebookin toteuttaessa henkilötietojen käsittelyä. Täten se osallistuu tämän käsittelyn keinojen ja tarkoituksen määrittelemiseen käyttämällä tosiasiallista vaikutusvaltaa siihen.

58.      Päättelen edellä esitetyn perusteella, että Facebookin kaltaisessa verkkoyhteisöpalvelussa olevan fanisivun hallinnoijaa on pääasian olosuhteissa pidettävä rekisterinpitäjänä henkilötietojen käsittelyn sen vaiheen osalta, jossa verkkoyhteisöpalvelu kerää tietoja sivulla käyvistä henkilöistä.

59.      Tätä päätelmää tukee toteamus, jonka mukaan yhtäältä Wirtschaftsakademien kaltainen fanisivun hallinnoija ja toisaalta Facebook Inc:in ja Facebook Irelandin kaltaiset palveluntarjoajat pyrkivät kumpikin tavoitteisiin, jotka liittyvät toisiinsa tiiviisti. Wirtschaftsakademie haluaa saada kävijätilastoja hallinnoidakseen toimintansa edistämistä, ja näiden tilastojen saaminen edellyttää henkilötietojen käsittelyä. Saman henkilötietojen käsittelyn avulla Facebook pystyy kohdistamaan verkkonsa kautta levittämänsä mainonnan paremmin.

60.      On näin ollen hylättävä tulkinta, joka perustuu yksinomaan Wirtschaftsakademien ja Facebook Irelandin sopimuksen ehtoihin. Sopimuksessa esitetty tehtävienjako voi nimittäin olla vain viite todellisista rooleista, joita sopimuspuolilla on henkilötietojen käsittelyä toteutettaessa. Sopimuspuolet voisivat muutoin antaa rekisterinpitäjän vastuun keinotekoisesti jommallekummalle. Näin on etenkin tilanteessa, jossa verkkoyhteisöpalvelu on laatinut yleiset sopimusehdot etukäteen eikä näistä voida neuvotella. Ei siis voida katsoa, että se, joka voi vain hyväksyä sopimuksen tai kieltäytyä siitä, ei voi olla rekisterinpitäjä. Kyseinen sopimuskumppani voi siitä lähtien, kun se on tehnyt sopimuksen vapaaehtoisesti, aina olla rekisterinpitäjä, kun otetaan huomioon sen konkreettinen vaikutusvalta henkilötietojen käsittelyn keinoihin ja tarkoitukseen.

61.      Se, että palveluntarjoaja on laatinut sopimuksen ja sen yleiset ehdot ja ettei palveluntarjoajan palveluja käyttävä toimija voi tutustua tietoihin, ei siten sulje pois sitä, että jälkimmäistä voidaan pitää rekisterinpitäjänä, jos se on vapaasti hyväksynyt sopimusehdot ja ottanut täyden vastuun niistä.(27) On tietosuojatyöryhmän tavoin tunnustettava myös, että palvelun toimittajan ja sen käyttäjän voimasuhteen mahdollinen epätasapaino ei estä pitämästä viimeksi mainittua rekisterinpitäjänä.(28)

62.      Se, että henkilöä voitaisiin pitää direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä, ei sitä paitsi edellytä, että henkilöllä on täydellinen määräysvalta käsittelyn kaikkiin osiin. Kuten Belgian hallitus on istunnossa todennut perustellusti, tällaista määräysvaltaa on käytännössä koko ajan vähemmän. Käsittelyt ovat koko ajan monimutkaisempia niin, että kyse on useista erillisistä käsittelyistä, joihin osallistuu useita tahoja, jotka itse käyttävät eriasteista määräysvaltaa. Tulkinta, jossa annetaan tärkeä asema käsittelyn kaikkia osia koskevan täydellisen määräysvallan olemassaololle, on omiaan aiheuttamaan merkittäviä aukkoja henkilötietojen suojaan.

63.      Tosiseikat, jotka johtivat 13.5.2014 annettuun tuomioon Google Spain ja Google,(29) kuvaavat tätä. Tässä asiassa oli nimittäin kysymys tilanteesta, jossa oli useita peräkkäisiä tietojen toimittajia ja jossa eri osapuolilla oli kullakin erillistä vaikutusvaltaa käsittelyyn. Tässä asiassa unionin tuomioistuin kieltäytyi tulkitsemasta rekisterinpitäjän käsitettä suppeasti. Se katsoi, että hakukoneen ylläpitäjän oli ”toimin[tansa] tarkoituksen ja keinot määrittelevänä henkilönä varmistettava vastuidensa, valtuuksiensa ja mahdollisuuksiensa yhteydessä se, että toiminta täyttää direktiivin 95/46 vaatimukset”.(30) Unionin tuomioistuin toi lisäksi esiin mahdollisuuden, että hakukoneen ylläpitäjä ja internetsivujen toimittajat ovat yhdessä vastuussa rekisterinpitäjinä.(31)

64.      Katson Belgian hallituksen tavoin, että direktiivin 95/46 2 artiklan d alakohdassa tarkoitetun rekisterinpitäjän käsitteen laaja tulkinta, jonka on käsitykseni mukaan oltava etusijalla tässä asiassa, on omiaan estämään väärinkäytökset. Muutoin yritys nimittäin pystyisi vapautumaan henkilötietojen suojaa koskevista velvollisuuksistaan pelkästään käyttämällä sivullisen palveluja. Käsitykseni mukaan ei toisin sanoen ole tehtävä eroa sen yrityksen välillä, joka ottaa internetsivullaan käyttöön senkaltaisia välineitä, joita Facebook tarjoaa, ja sen yrityksen välillä, joka liittyy verkkoyhteisöpalvelu Facebookiin hyödyntääkseen tämän tarjoamia välineitä. On siten taattava, etteivät talouden toimijat, jotka käyttävät internetsivullaan hostingpalvelua, pysty vapautumaan vastuustaan suostumalla palveluntarjoajan yleisiin ehtoihin. Kuten Belgian hallitus on todennut istunnossa, ei ole myöskään kohtuutonta edellyttää yrityksiltä, että ne ovat huolellisia valitessaan käyttämäänsä palveluntarjoajaa.

65.      Katson siis, ettei se, että fanisivun hallinnoija käyttää Facebookin tarjoamaa alustaa ja hyödyntää tähän liittyviä palveluja, vapauta sitä henkilötietojen suojaa koskevista velvollisuuksistaan. Totean tässä yhteydessä, että jos Wirtschaftsakademie olisi avannut internetsivun muualla kuin Facebookissa ja käyttäisi Facebook Insightsia vastaavaa välinettä laatiakseen kävijätilastoja, sitä pidettäisiin rekisterinpitäjänä tällaisten tilastojen laatimiseksi tarvittavan tietojenkäsittelyn osalta. Mielestäni tällaista talouden toimijaa ei pidä vapauttaa direktiivissä 95/46 henkilötietojen suojasta annettujen sääntöjen noudattamisesta pelkästään siitä syystä, että se käyttää toimintansa edistämiseen verkkoyhteisöpalvelu Facebookin alustaa. Kuten ennakkoratkaisua pyytänyt tuomioistuin on itse todennut perustellusti, ei saa olla mahdollista, että tietojen toimittaja pystyy tietyn infrastruktuuritoimittajan valitsemalla vapautumaan velvollisuuksista, joita tietosuojaan sovellettava lainsäädäntö asettaa sille niitä kohtaan, jotka käyttävät sen tarjoamia tietoja, ja jotka sen olisi täytettävä, jos kyse olisi pelkästä sisällön tarjoajasta.(32) Päinvastainen tulkinta aiheuttaisi riskin henkilötietojen suojaa koskevien sääntöjen kiertämisestä.

66.      Katson myös, ettei ole tehtävä keinotekoista eroa tässä asiassa kyseessä olevan tilanteen ja asiassa C-40/17, Fashion ID, kyseessä olevan tilanteen välillä.(33)

67.      Viimeksi mainittu asia koskee tilannetta, jossa internetsivun hallinnoija liittää sivuunsa ulkopuolisen palveluntarjoajan (eli Facebookin) yhteisöliitännäiseksi kutsutun toiminnon (tässä tapauksessa Facebookin tykkää-painikkeen), joka aiheuttaa henkilötietojen siirtämisen internetsivun käyttäjän tietokoneelta ulkopuoliselle palveluntarjoajalle.

68.      Tähän asiaan johtaneessa oikeusriidassa kuluttajansuojayhdistys arvostelee Fashion ID -yhtiötä siitä, että tämä on siten, että se on liittänyt internetsivuunsa verkkoyhteisöpalvelu Facebookin toimittaman tykkää-liitännäisen, antanut viimeksi mainitulle pääsyn sivun käyttäjien henkilötietoihin ilman näiden suostumusta ja henkilötietojen suojaa koskevissa säännöksissä säädettyjen informointivelvollisuuksien vastaisesti. Tällöin on ongelmana, voidaanko Fashion ID:tä pitää direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä, koska se antaa Facebookille pääsyn sen internetsivun käyttäjien henkilötietoihin.

69.      En näe tältä osin mitään perustavanlaatuista eroa fanisivun hallinnoijan ja sellaisen internetsivun ylläpitäjän välillä, joka liittää webtracking-palvelujen tarjoajan koodin internetsivulleen ja tällä tavalla edistää internetin käyttäjän tietämättä tietojen lähettämistä, evästeiden asettamista ja tietojen keräämistä webtracking-palvelujen tarjoajan eduksi.

70.      Internetsivujen ylläpitäjät pystyvät yhteisöliitännäisten avulla käyttämään tiettyjä verkkoyhteisöpalvelujen palveluja omilla internetsivuillaan lisätäkseen näiden näkyvyyttä esimerkiksi liittämälle sivulleen Facebookin tykkää-painikkeen. Sivuilleen yhteisöliitännäisiä lisäävät internetsivujen ylläpitäjät pystyvät samalla tavoin kuin fanisivujen hallinnoijat hyödyntämään Facebook Insights -palvelua saadakseen tarkkoja tilastotietoja sivunsa käyttäjistä.

71.      Yhteisöliitännäisen sisältävällä internetsivulla käyminen käynnistää samalla tavalla kuin fanisivulla käyminen henkilötietojen siirron kyseiselle palveluntarjoajalle.

72.      Katson, että tällaisessa asiayhteydessä yhteisöliitännäisen sisältävän internetsivun ylläpitäjää on – samalla tavoin kuin fanisivun hallinnoijaa – pidettävä direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä, koska se käyttää tosiasiallista vaikutusvaltaa käsittelyvaiheeseen, jossa henkilötiedot siirretään Facebookille.(34)

73.      Huomautan lisäksi, että – kuten Belgian hallitus on perustellusti tuonut esiin – toteamus, että Wirtschaftsakademie toimii yhteisvastuullisena rekisterinpitäjänä, kun se päättää käyttää Facebookin palveluja tiedottamisessaan, ei millään tavalla poista velvollisuuksia, joita Facebook Inc:illa ja Facebook Irelandilla on rekisterinpitäjinä. On nimittäin selvää, että näillä kahdella yksiköllä on ratkaiseva vaikutusvalta sen henkilötietojen käsittelyn tarkoitukseen ja keinoihin, joka tapahtuu henkilön käydessä fanisivulla ja jota ne käyttävät myös omiin tarkoituksiinsa ja omissa intresseissään.

74.      Se, että fanisivujen hallinnoijia pidetään yhteisvastuullisina rekisterinpitäjinä sen käsittelyvaiheen osalta, jossa Facebook kerää henkilötietoja, auttaa kuitenkin varmistamaan tämäntyyppisillä sivuilla käyvien henkilöiden oikeuksien kattavamman suojan. Se, että fanisivujen hallinnoijat osallistetaan aktiivisesti henkilötietojen suojaa koskevien sääntöjen noudattamiseen nimeämällä heidät rekisterinpitäjiksi, on sitä paitsi omiaan johdannaisvaikutuksen kautta kannustamaan verkkoyhteisöpalvelun alustan tarjoajaa itseään noudattamaan näitä sääntöjä.

75.      On myös täsmennettävä, ettei yhteisen vastuun olemassaolo merkitse samanlaista vastuuta. Useat rekisterinpitäjät voivat päinvastoin osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti.(35)

76.      Tietosuojatyöryhmän mukaan ”pluralistisen vastuun mahdollisuuteen kuuluu yhä lukuisia tilanteita, joissa eri osapuolet toimivat rekisterinpitäjinä. Tämän yhteisvastuun arvioinnissa olisi otettava huomioon ”yksinkertaisen” vastuun määrittäminen käyttäen aineellista ja toiminnallista lähestymistapaa ja keskittymällä siihen, onko tarkoituksen ja keinojen olennaisten osien määrittelijöinä ollut useampi osapuoli. Osapuolten osallistuminen tarkoituksen ja keinojen määrittelemiseen yhteisvastuun yhteydessä voi tapahtua eri muodoissa, eikä sen tarvitse olla tasapuolista”.(36) Itse asiassa ”jos toimijoita on monia, niillä voi olla tiiviit suhteet (esimerkiksi kaikki tietojen käsittelyn tarkoitukset ja keinot voivat olla samat) tai löyhemmät suhteet (esimerkiksi niillä voi olla yhteiset tarkoitus ja keinot, tai vain osa niistä voi olla yhteistä). Tämän vuoksi typologian suuri vaihtelevuus yhteisvastuussa olisi otettava huomioon ja arvioitava siitä aiheutuvat oikeudelliset seuraukset. Olisi myös hyväksyttävä tietty joustavuus, jotta pystyttäisiin kattamaan tietojen käsittelyn nykytilanteen mutkikkuus”.(37)

77.      Edellä esitetystä ilmenee, että käsitykseni mukaan sitä, joka hallinnoi fanisivua verkkoyhteisöpalvelu Facebookissa, on pidettävä Facebook Inc:in ja Facebook Irelandin ohella rekisterinpitäjänä tätä sivua koskevien kävijätilastojen laatimiseksi suoritettavan henkilötietojen käsittelyn osalta.

B.      Kolmas ja neljäs ennakkoratkaisukysymys

78.      Kolmannella ja neljännellä ennakkoratkaisukysymyksellään, jotka on käsitykseni mukaan tutkittava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin pyrkii siihen, että unionin tuomioistuin täsmentäisi direktiivin 95/46 4 artiklan 1 kohdan a alakohdan ja 28 artiklan 1, 3 ja 6 kohdan tulkintaa tilanteessa, jossa Facebook Inc:in kaltainen unionin ulkopuolelle sijoittautunut emoyhtiö tarjoaa verkkoyhteisöpalveluun liittyviä palveluja unionin alueella useiden toimipaikkojen välityksellä. Emoyhtiö on nimennyt yhden näistä toimipaikoista (Facebook Irelandin) rekisterinpitäjäksi unionin alueella suoritettavan henkilötietojen käsittelyn osalta, ja toinen toimipaikka (Facebook Germany) vastaa Saksan asukkaisiin kohdistettavasta mainospaikkojen myynninedistämisestä ja myynnistä sekä markkinointitoiminnasta. Ennakkoratkaisua pyytänyt tuomioistuin haluaa tällaisessa tilanteessa selvittää yhtäältä, voiko Saksan valvontaviranomainen käyttää toimintavaltuuksiaan riidanalaisen henkilötietojen käsittelyn keskeyttämiseksi, ja toisaalta, mitä toimipaikkaa kohtaan näitä valtuuksia voidaan käyttää.

79.      Vastauksena ULD:n ja Italian hallituksen epäilyihin siitä, voidaanko kolmas ja neljäs ennakkoratkaisukysymys ottaa tutkittaviksi, totean, että Bundesverwaltungsgericht on ennakkoratkaisupyynnössään selvittänyt, että se tarvitsee selvennystä näihin seikkoihin pystyäkseen ratkaisemaan, onko pääasian kohteena oleva määräys laillinen. Bundesverwaltungsgericht toteaa erityisesti, että Wirtschaftsakademieen kohdistettu määräys voi johtua arviointivirheestä ja olla sen vuoksi lainvastainen, jos sovellettavan tietosuojalainsäädännön rikkomiset, joita ULD väittää tapahtuneen, voitaisiin korjata toimenpiteellä, joka kohdistetaan suoraan Saksaan sijoittautuneeseen tytäryhtiöön Facebook Germanyyn.(38) Ennakkoratkaisua pyytäneen tuomioistuimen tämä pohdinta auttaa mielestäni käsittämään hyvin syyt, joiden vuoksi se esittää unionin tuomioistuimelle kolmannen ja neljännen ennakkoratkaisukysymyksen. Kun otetaan huomioon olettama, jonka mukaan ennakkoratkaisupyynnöillä on merkitystä asian ratkaisemisen kannalta,(39) ehdotan, että unionin tuomioistuin vastaa näihin kysymyksiin.

80.      Direktiivin 95/46 4 artiklassa, jonka otsikko on ”Sovellettava kansallinen oikeus”, säädetään seuraavaa:

”1.       Kunkin jäsenvaltion on sovellettava henkilötietojen käsittelyyn kansallisia säännöksiä, jotka se antaa tämän direktiivin mukaisesti, jos

a)      käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä; jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita,

– –.”

81.      Tietosuojatyöryhmä viittaa sovellettavasta lainsäädännöstä 16.12.2010 antamassaan lausunnossa 8/2010(40) direktiivin 95/46 4 artiklan 1 kohdan a alakohdan soveltamiseen seuraavassa tilanteessa: ”Sosiaalisella verkostolla on päätoimipaikka kolmannessa maassa ja yksi toimipaikka yhdessä jäsenvaltiossa. Tässä toimipaikassa määritetään [unionissa] asuvien käyttäjien henkilötietojen käsittelyä koskevia toimintatapoja ja toteutetaan niitä. Sosiaalinen verkosto kohdentaa toimintansa aktiivisesti kaikkiin [unionin] jäsenvaltioihin, joissa asuu merkittävä osa sen asiakkaita ja joista se saa merkittävän osan tuloistaan. Se myös asentaa evästeitä [unionissa] asuvien käyttäjien tietokoneisiin. Tällöin on [direktiivin 95/46] 4 artiklan 1 kohdan a alakohdan mukaan sovellettava sen jäsenvaltion tietosuojalakia, johon yritys on sijoittautunut [unionissa]. Tässä tapauksessa ei ole merkitystä, käyttääkö kyseinen sosiaalinen verkosto jonkin muun jäsenvaltion alueella sijaitsevia välineitä, koska kaikki tietojen käsittely suoritetaan yhdessä toimipaikassa tapahtuvan toiminnan yhteydessä ja koska [tämän] direktiivin mukaan 4 artiklan 1 kohdan a alakohtaa ja 4 artiklan 1 kohdan c alakohtaa ei saa soveltaa yhtäaikaisesti.”(41) Tietosuojatyöryhmä täsmentää myös, että direktiivin 95/46 ”28 artiklan 6 kohdan mukaan sen jäsenvaltion valvontaviranomaisen, johon sosiaalinen verkosto on [unionissa] sijoittautunut, on oltava yhteistyössä muiden valvontaviranomaisten kanssa esimerkiksi muiden [unioni]maiden asukkailta tulevien pyyntöjen tai valitusten käsittelemiseksi”.(42)

82.      Edellisessä kohdassa esiin tuotu esimerkkitapaus ei aiheuta juurikaan vaikeuksia sovellettavan kansallisen oikeuden määrittämisen osalta. Koska tässä tilanteessa emoyhtiöllä on unionissa vain yksi toimipaikka, kyseiseen henkilötietojen käsittelyyn sovelletaan sen jäsenvaltion oikeutta, jossa tämä toimipaikka sijaitsee.

83.      Tilanne muuttuu monimutkaisemmaksi silloin, kun – kuten nyt käsiteltävässä asiassa – Facebook Inc:in kaltainen kolmanteen valtioon sijoittautunut yhtiö harjoittaa toimintaansa unionissa yhtäältä sellaisen toimipaikan välityksellä, jonka se on nimennyt vastaamaan yksin Facebook-konsernin harjoittamasta henkilötietojen keräämisestä ja käsittelystä unionin koko alueella (Facebook Ireland), ja toisaalta sellaisten muiden toimipaikkojen välityksellä, joista Saksassa sijaitsee yksi (Facebook Germany), joka ennakkopyynnössä esitettyjen tietojen mukaan vastaa tämän jäsenvaltion asukkaisiin kohdistettavasta mainospaikkojen myynninedistämisestä ja myynnistä ja muusta markkinointitoiminnasta.(43)

84.      Voivatko Saksan valvontaviranomaiset tällaisessa tilanteessa käyttää toimintavaltuuksia sen henkilötietojen käsittelyn lopettamiseksi, josta Facebook Inc. ja Facebook Ireland vastaavat yhdessä rekisterinpitäjinä?

85.      Tähän kysymykseen vastaamiseksi on määritettävä, onko Saksan valvontaviranomaisella perusteita soveltaa kansallista oikeuttaan tällaiseen käsittelyyn.

86.      Direktiivin 95/46 4 artiklan 1 kohdan a alakohdasta ilmenee tältä osin, että toimipaikassa tapahtuvan toiminnan yhteydessä suoritettua tietojen käsittelyä sääntelee sen jäsenvaltion oikeus, jonka alueella toimipaikka sijaitsee.

87.      Unionin tuomioistuin on jo katsonut, että kun otetaan huomioon direktiivin 95/46 tavoite, joka on turvata yksilöille henkilötietojen käsittelyssä heidän perusoikeuksiensa ja -vapauksiensa ja erityisesti heidän yksityisyyttä koskevan oikeutensa tehokas ja kattava suoja, direktiivin 4 artiklan 1 kohdan a alakohdassa olevaa ilmaisua ”toimipaikassa tapahtuvan toiminnan yhteydessä” ei voida tulkita suppeasti.(44)

88.      Kahden edellytyksen on täytyttävä, jotta direktiivin täytäntöön panemiseksi annettua jäsenvaltion lakia voidaan soveltaa henkilötietojen käsittelyyn. Käsittelystä vastaavalla rekisterinpitäjällä on ensinnäkin oltava ”toimipaikka” tässä jäsenvaltiossa. Käsittely on toiseksi suoritettava tässä toimipaikassa tapahtuvan ”toiminnan yhteydessä”.

89.      Siltä osin kuin on kysymys ensinnäkin direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa tarkoitetun ”toimipaikan” käsitteestä, unionin tuomioistuin on tämän käsitteen laajan ja joustavan tulkinnan perusteella jo täsmentänyt, että käsite ulottuu kaikkeen aitoon ja todelliseen, vaikka vähäiseenkin, toimintaan, jota harjoitetaan kiinteän toimipaikan avulla,(45) ja se on näin ollen hylännyt kaikki formalistiset näkökannat.(46)

90.      Tästä näkökulmasta on arvioitava sekä toimipaikan kiinteää luonnetta että taloudellisen toiminnan tosiasiallista harjoittamista kyseisessä jäsenvaltiossa(47) ottamalla huomioon kyseisen taloudellisen toiminnan ja kyseisten palvelujen erityinen luonne.(48) Tältä osin ei ole kiistetty, että Facebook Germany, jonka kotipaikka on Hampuri (Saksa), harjoittaa tosiasiallista toimintaa Saksassa sijaitsevasta kiinteästä toimipaikasta. Se on näin ollen direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa tarkoitettu ”toimipaikka”.

91.      Siltä osin kuin on toiseksi kysymys siitä, onko henkilötietojen käsittely suoritettu direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa tarkoitetulla tavalla kyseisen toimipaikan ”toiminnan yhteydessä”, unionin tuomioistuin on jo muistuttanut, että tässä säännöksessä ei edellytetä, että asianomainen toimipaikka suorittaa itse kyseessä olevan henkilötietojen käsittelyn, vaan yksinomaan, että tämä suoritetaan kyseisessä toimipaikassa tapahtuvan ”toiminnan yhteydessä”.(49)

92.      Kuten lausunnosta 8/2010 ilmenee, ”sovellettavan lainsäädännön määrittämisen kannalta ratkaisevaa on käsite ”toiminnan yhteydessä” eikä itse tietojen sijainti. ”Toiminnan yhteydessä” ei tarkoita sitä, että sovelletaan sen jäsenvaltion lakia, johon rekisterinpitäjä on sijoittautunut, vaan sen jäsenvaltion lakia, jossa rekisterinpitäjän toimipaikka harjoittaa [henkilötietojen käsittelyyn liittyvää tai sitä sisältävää] toimintaa. Keskeistä tässä on toimipaikan/toimipaikkojen osallistuminen toimintaan, jonka yhteydessä henkilötietoja käsitellään. Lisäksi olisi syytä tarkastella toimipaikkojen toiminnan luonnetta sekä tarvetta turvata tehokkaasti henkilöiden oikeuksien suoja. Näiden kriteereiden analyysissä olisi sovellettava toimintaan perustuvaa lähestymistapaa. Sen sijaan, että osapuolet teoreettisesti ilmoittavat sovellettavan lainsäädännön, ratkaisevaa olisi niiden käytännön toiminta ja vuorovaikutus”.(50)

93.      Unionin tuomioistuimen oli 13.5.2014 antamassaan tuomiossa Google Spain ja Google(51) tutkittava, oliko tämä edellytys täytetty. Se noudatti laajaa tulkintaa ja katsoi, että henkilötietojen käsittely sellaisen Google Searchin kaltaisen hakukoneen tarpeisiin, jota ylläpitää yritys, jonka kotipaikka on kolmannessa valtiossa mutta jolla on toimipaikka jäsenvaltiossa, suoritetaan kyseisessä toimipaikassa tapahtuvan ”toiminnan yhteydessä”, jos tuon toimipaikan tehtävänä on huolehtia kyseisessä jäsenvaltiossa hakukoneen tarjoamien mainospaikkojen, joilla hakukoneen tarjoamasta palvelusta pyritään tekemään kannattavaa, markkinoinnista ja myynnistä.(52) Unionin tuomioistuin totesi nimittäin, että ”tällaisessa tilanteessa – – hakukoneen ylläpitäjän toiminnot ja sen asianomaisen jäsenvaltion alueella sijaitsevan toimipaikan toiminnot liittyvät erottamattomasti toisiinsa, koska mainospaikkoja koskevat toiminnot ovat keino tehdä kyseisestä hakukoneesta taloudellisesti kannattava ja koska kyseinen hakukone on samanaikaisesti väline, jolla nuo toiminnot voidaan suorittaa”.(53) Unionin tuomioistuin lisäsi ratkaisuaan tukeakseen, että koska hakutulosten sivulla ilmoitettavien henkilötietojen ”lisäksi samalla sivulla esitetään myös hakusanoihin liittyviä mainoksia, on todettava, että kyseessä oleva henkilötietojen käsittely suoritetaan jäsenvaltion alueella ja tässä tapauksessa Espanjan alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan mainos- ja liiketoiminnan yhteydessä”.(54)

94.      Ennakkoratkaisupyynnössä esitettyjen tietojen mukaan Facebook Germany vastaa Saksan asukkaisiin kohdistettavasta mainospaikkojen myynninedistämisestä ja myynnistä sekä muusta markkinointitoiminnasta. Koska pääasian kohteena olevalla henkilötietojen käsittelyllä, joka muodostuu fanisivuilla käyvien henkilöiden tietokoneille asetettavien evästeiden avulla tapahtuvasta henkilötietojen keräämisestä, pyritään erityisesti mahdollistamaan, että Facebook pystyy kohdentamaan levittämänsä mainokset paremmin, on katsottava, että tällainen käsittely tapahtuu Facebook Germanyn Saksassa harjoittaman toiminnan yhteydessä. Kun otetaan huomioon, että Facebookin kaltainen verkkoyhteisöpalvelu saa huomattavan osan tuloistaan mainonnasta, jota tarjotaan käyttäjien laatimien ja käyttämien verkkosivujen ohessa,(55) on katsottava, että yhteisvastuullisten rekisterinpitäjien Facebook Inc:in ja Facebook Irelandin toiminnat liittyvät erottamattomasti Facebook Germanyn kaltaisen toimipaikan toimintaan. On lisäksi todettava, että Facebook.com-verkkotunnukseen kuuluvalla sivulla käyvän henkilön tietokoneelle asetetun evästeen mahdollistaman henkilötietojen käsittelyn johdosta Facebook-sivulla käyminen merkitsee, että tällä samalla verkkosivulla esitetään mainoksia, jotka liittyvät sivulla käyvän henkilön kiinnostuksenkohteisiin. Tästä on pääteltävä, että kyseinen henkilötietojen käsittely suoritetaan rekisterinpitäjän jäsenvaltion alueella – tässä tapauksen Saksan alueella – olevan toimipaikan harjoittaman mainos- ja liiketoiminnan yhteydessä.

95.      Se, että Facebook-konsernilla on – toisin kuin 13.5.2014 annettuun tuomioon Google Spain ja Google(56) johtaneessa asiassa –Euroopassa eli Irlannissa päätoimipaikka, ei estä soveltamasta unionin tuomioistuimen tässä tuomiossa hyväksymää direktiivin 95/46 4 artiklan 1 kohdan a alakohdan tulkintaa nyt käsiteltävään asiaan. Unionin tuomioistuin on edellä mainitussa tuomiossa ilmaissut haluavansa välttää, että henkilötietojen käsittely jäisi tässä direktiivissä säädettyjen velvollisuuksien ja takeiden ulkopuolelle. Nyt käytävässä menettelyssä on tuotu esiin, että tällaiseen sääntöjen kiertämiseen liittyvää ongelmaa ei ole tässä tapauksessa, koska rekisterinpitäjä on sijoittautunut jäsenvaltioon eli Irlantiin. Tämän logiikan mukaan direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa on siis tulkittava siten, että sen mukaan kyseinen rekisterinpitäjä on velvollinen ottamaan huomioon vain yhden kansallisen lainsäädännön eli Irlannin lainsäädännön ja olemaan vain yhden – eli Irlannin – valvontaviranomaisen alainen.

96.      Tällainen tulkinta on kuitenkin ristiriidassa direktiivin 95/46 4 artiklan 1 kohdan a alakohdan sanamuodon ja syntyhistorian kanssa. Kuten Belgian hallitus on istunnossa todennut perustellusti, direktiivillä ei nimittäin ole otettu käyttöön sen enempää yhden luukun järjestelmää kuin alkuperämaaperiaatetta.(57) Tässä yhteydessä ei pidä sekoittaa toisiinsa sitä, mikä sisältyy poliittiseen tavoitteeseen, johon Euroopan komissio pyrki ehdotuksessaan direktiiviksi, ja Euroopan unionin neuvoston lopulta hyväksymää ratkaisua. Tämä lainsäätäjä teki direktiivissä 95/46 valinnan, ettei sen jäsenvaltion, jossa rekisterinpitäjällä on päätoimipaikka, lainsäädännön soveltamiselle anneta etusijaa. Direktiivistä 95/46 seuraava tulos ilmentää jäsenvaltioiden tahtoa säilyttää kansallinen täytäntöönpanotoimivaltansa. Kun unionin lainsäätäjä ei hyväksynyt alkuperämaaperiaatetta, se salli kunkin jäsenvaltion soveltaa omaa kansallista lainsäädäntöään ja mahdollisti siten sovellettavien kansallisten lainsäädäntöjen päällekkäisyyden.(58)

97.      Unionin lainsäätäjä on direktiivin 95/46 4 artiklan 1 kohdan a alakohdan säätäessään tarkoituksellisesti päättänyt sallia, että jos rekisterinpitäjällä on unionissa useita toimipaikkoja, kyseisten jäsenvaltioiden kansalaisten henkilötietojen käsittelyihin voidaan soveltaa useita henkilötietojen suojaa koskevia kansallisia lainsäädäntöjä, jotta varmistetaan näiden kansalaisten oikeuksien tehokas suoja näissä jäsenvaltioissa.

98.      Tämä vahvistetaan direktiivin 95/46 19 perustelukappaleessa, jossa täsmennetään, että ”jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, erityisesti tytäryhtiönsä kautta, kyseisen rekisterinpitäjän on mahdollisten väärinkäytösten estämiseksi varmistettava, että kaikki yritykset täyttävät niiden toimintaan sovellettavan kansallisen oikeuden velvoitteet”.

99.      Direktiivin 95/46 4 artiklan 1 kohdan a alakohdasta, jonka toisessa virkkeessä täsmennetään direktiivin 19 perustelukappaleessa todetun mukaisesti, että jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita, on siis pääteltävä, ettei konsernin rakenne, jolle on ominaista, että rekisterinpitäjällä on toimipaikkoja useissa jäsenvaltioissa, saa mahdollistaa, että rekisterinpitäjä pystyy kiertämään sen jäsenvaltion oikeutta, jonka lainkäyttöalueelle kukin näistä toimipaikoista on sijoittautunut.

100. Totean lisäksi, että tulkintaa, jossa puolletaan sen jäsenvaltion oikeuden yksinomaista soveltamista, jossa kansainvälisen konsernin eurooppalainen päätoimipaikka on, ei käsitykseni mukaan voida enää puolustaa 28.7.2016 annetun tuomion Verein für Konsumenteninformationen(59) jälkeen. Unionin tuomioistuin katsoi tässä tuomiossa, että henkilötietojen käsittelyyn, jonka suorittaa sähköistä kaupankäyntiä harjoittava yritys, sovelletaan sen jäsenvaltion lakia, johon tämän yritys suuntaa toimintaansa, mikäli tämä yritys käsittelee kyseisiä tietoja tässä jäsenvaltiossa sijaitsevan toimipaikkansa toiminnan yhteydessä. Unionin tuomioistuin ratkaisi asian näin siitä huolimatta, että Amazon on Facebookin tavoin yritys, jolla on eurooppalainen päätoimipaikka jossakin jäsenvaltiossa mutta joka on lisäksi fyysisesti läsnä useissa jäsenvaltioissa. Myös tällaisessa tilanteessa on tutkittava, tapahtuuko henkilötietojen käsittely sellaisen toimipaikan toiminnan yhteydessä, joka sijaitsee muussa jäsenvaltiossa kuin siinä, jossa on rekisterinpitäjän eurooppalainen päätoimipaikka.

101. Kuten Belgian hallitus huomauttaa, on näin ollen täysin mahdollista, että direktiivin 95/46 4 artiklan 1 kohdan a alakohdan soveltamisen kannalta merkityksellinen toimipaikka on jokin muu kuin yrityksen eurooppalainen päätoimipaikka.

102. Tällä direktiivillä toteutetussa järjestelmässä käsittelyn suorittamispaikalla samoin kuin paikalla, johon rekisterinpitäjä on sijoittanut unionissa olevan päätoimipaikkansa, ei ole silloin, kun rekisterinpitäjällä on unionissa useita toimipaikkoja, ratkaisevaa merkitystä yksilöitäessä henkilötietojen käsittelyyn sovellettavaa kansallista oikeutta ja selvitettäessä valvontaviranomaista, joka voi käyttää toimintavaltuuksiaan.

103. Käsitykseni mukaan unionin tuomioistuimen ei pitäisi tässä yhteydessä ennakoida 25.5.2018 alkaen sovellettavassa yleisessä tietosuoja-asetuksessa(60) säädettyä säännöstöä. Tällä säännöstöllä otetaan käyttöön yhden luukun järjestelmä. Tämä tarkoittaa, että Facebookin kaltaisella rekisterinpitäjällä, joka suorittaa rajat ylittäviä käsittelyjä, on yhteystahona vain yksi valvontaviranomainen eli johtava valvontaviranomainen, joka on sen paikan valvontaviranomainen, jossa rekisterinpitäjän päätoimipaikka sijaitsee. Tätä säännöstöä sekä sillä käyttöön otettavaa pitkälle kehittynyttä yhteistyömekanismia ei kuitenkaan sovelleta vielä.

104. Koska Facebook on päättänyt perustaa unionin päätoimipaikkansa Irlantiin, tämän jäsenvaltion valvontaviranomaisella kylläkin väistämättä on merkittävä rooli todennettaessa, noudattaako Facebook direktiivissä 95/46 annettuja sääntöjä. Kuten tämä viranomainen itse myöntää, edellä mainittu ei kuitenkaan tarkoita, että sillä olisi direktiivin perustuvassa nykyisessä järjestelmässä yksinomainen toimivalta Facebookin unionissa harjoittaman toiminnan osalta.(61)

105. Nämä seikat yhdessä saavat minut katsomaan Belgian ja Alankomaiden hallitusten ja ULD:n tavoin, että unionin tuomioistuimen 13.5.2014 antamassaan tuomiossa Google Spain ja Google(62) hyväksymää direktiivin 95/46 4 artiklan 1 kohdan a alakohdan tulkintaa voidaan soveltaa myös pääasian kohteena olevan kaltaiseen tilanteeseen, jossa rekisterinpitäjä on sijoittautunut yhteen unionin jäsenvaltioon ja sillä on unionissa useita toimipaikkoja.

106. Niiden tietojen perusteella, joita ennakkoratkaisua pyytänyt tuomioistuin on esittänyt Facebook Germanyn toiminnan luonteesta, on näin ollen katsottava, että riidanalainen henkilötietojen käsittely on toteutettu tämän toimipaikan toiminnan yhteydessä ja että direktiivin 95/46 4 artiklan 1 kohdan a alakohdan mukaan pääasian kohteena olevan kaltaisessa tilanteessa voidaan soveltaa henkilötietojen suojaa koskevaa Saksan oikeutta.(63)

107. Saksan valvontaviranomaisella on siis toimivalta soveltaa kansallista oikeuttaan pääasian kohteena olevaan henkilötietojen käsittelyyn.

108. Direktiivin 95/46 28 artiklan 1 kohdasta seuraa, että kukin jäsenvaltion asettama valvontaviranomainen valvoo jäsenvaltioiden tämän direktiivin mukaisesti toteuttamien toimenpiteiden noudattamista tämän jäsenvaltion alueella.

109. Direktiivin 95/46 28 artiklan 3 kohdan nojalla näillä valvontaviranomaisilla on erityisesti oltava tutkintavaltuudet, kuten valtuudet kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot, ja tehokkaat toimintavaltuudet, kuten valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta tai kieltää käsittely väliaikaisesti tai lopullisesti taikka valtuudet antaa rekisterinpitäjälle huomautus tai varoitus. Näihin toimintavaltuuksiin voi kuulua seuraamusten määrääminen tietojen rekisterinpitäjälle siten, että sille määrätään sakko.(64)

110. Direktiivin 95/46 28 artiklan 6 kohdassa puolestaan säädetään seuraavaa:

”Riippumatta kyseessä olevaan käsittelyyn sovellettavasta kansallisesta oikeudesta valvontaviranomainen on toimivaltainen käyttämään jäsenvaltionsa alueella valtuuksia, jotka sille kuuluvat 3 kohdan mukaisesti. Toisen jäsenvaltion viranomainen voi pyytää valvontaviranomaista käyttämään valtuuksiaan.

Valvontaviranomaisten on oltava yhteistyössä keskenään siinä määrin kuin on tarpeen tehtäviensä suorittamiseksi, erityisesti vaihtamalla hyödyllisiä tietoja.”

111. Kun otetaan huomioon, että pääasian kohteena olevaan henkilötietojen käsittelyyn voidaan soveltaa Saksan valvontaviranomaisen oman jäsenvaltion oikeutta, tämä valvontaviranomainen pystyy käyttämään kaikkia toimintavaltuuksiaan varmistaakseen, että Facebook soveltaa ja noudattaa Saksan oikeutta Saksan alueella. Tämä päätelmä seuraa 1.10.2015 annetusta tuomiosta Weltimmo,(65) jossa on pystytty täsmentämään direktiivin 95/46 28 artiklan 1, 3 ja 6 kohdan soveltamisalaa.

112. Tässä asiassa päätavoitteena oli määrittää Unkarin valvontaviranomaisen toimivalta määrätä sakko toiseen jäsenvaltioon eli Slovakiaan sijoittautuneelle palveluntarjoajalle. Tämän toimivallan määrittäminen edellytti, että oli ensin tutkittu, voitiinko direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa säädetyn arviointiperusteen mukaan Unkarin oikeutta soveltaa.

113. Vastauksensa ensimmäisessä osassa unionin tuomioistuin esitti ennakkoratkaisua pyytäneelle tuomioistuimelle joukon seikkoja, joiden perusteella viimeksi mainittu pystyy toteamaan, että rekisterinpitäjällä on toimipaikka Unkarissa. Se katsoi lisäksi, että käsittely oli toteutettu tämän toimipaikan toiminnan yhteydessä ja että direktiivin 95/46 4 artiklan 1 kohdan a alakohdan nojalla tässä asiassa kyseessä olleen kaltaisessa tilanteessa oli mahdollista soveltaa henkilötietojen suojaa koskevaa Unkarin oikeutta.

114. Tämä unionin tuomioistuimen vastauksen ensimmäinen osa oli siis omiaan vahvistamaan, että Unkarin valvontaviranomaisella oli toimivalta määrätä Unkarin oikeuden mukaisesti sakko toiseen jäsenvaltioon sijoittautuneelle palveluntarjoajalle eli tässä tapauksessa Weltimmolle.

115. Unkarin valvontaviranomaisella toisin sanoen oli siitä lähtien, kun Unkarin oikeus voitiin direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa säädetyn arviointiperusteen mukaisesti tunnustaa sovellettavaksi kansalliseksi oikeudeksi, toimivalta varmistaa tämän oikeuden noudattaminen, kun rekisterinpitäjä rikkoo sitä, vaikka viimeksi mainittu oli rekisteröity Slovakiassa. Direktiivin 95/46 tämän säännöksen perusteella voitiin katsoa, että vaikka Weltimmo oli rekisteröity Slovakiassa, se oli sijoittautunut myös Unkariin. Se, että rekisterinpitäjällä oli Unkarissa toimipaikka, jonka toiminnan yhteydessä käsittely suoritettiin, oli siten liittymäkohta, joka oli tarpeen, jotta voitiin tunnustaa Unkarin oikeuden sovellettavuus ja sen seurauksena se, että Unkarin valvontaviranomaisella on toimivalta varmistaa Unkarin oikeuden noudattaminen tämän valtion alueella.

116. Unionin tuomioistuimen vastauksen jälkimmäinen osa, jossa tämä on päätynyt korostamaan valvontaviranomaisten toimivaltuuksien alueellisen soveltamisen periaatetta, on esitetty vain toissijaisesti eli ”vain sen varalta, että Unkarin valvontaviranomainen katsoo, että Weltimmolla ei ole Unkarissa mutta kylläkin jossakin toisessa jäsenvaltiossa direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa tarkoitettu toimipaikka, joka harjoittaa toimintaa, jonka yhteydessä – –henkilötietojen käsittely suoritetaan”.(66) Kyse oli siis siihen kysymykseen vastaamisesta, onko ”siinä tapauksessa, että Unkarin valvontaviranomainen tulee siihen tulokseen, että henkilötietojen käsittelyyn ei sovelleta Unkarin oikeutta vaan jonkin toisen jäsenvaltion oikeutta, direktiivin 95/46 28 artiklan 1, 3 ja 6 kohtaa tulkittava siten, että tämä viranomainen voi käyttää vain kyseisen direktiivin 28 artiklan 3 kohdassa säädettyjä toimivaltuuksia tämän toisen jäsenvaltion oikeuden mukaisesti, eikä voi määrätä seuraamuksia”.(67)

117. Tässä vastauksensa jälkimmäisessä osassa unionin tuomioistuin täsmensi näin ollen niiden valtuuksien sekä aineellista että alueellista ulottuvuutta, joita valvontaviranomainen voi käyttää erityistilanteessa eli tilanteessa, jossa valvontaviranomaisen jäsenvaltion oikeutta ei voida soveltaa.

118. Unionin tuomioistuin katsoi tällaisen tilanteen osalta, että ”[tämän] viranomaisen valtuuksiin eivät välttämättä kuulu kaikki sille jäsenvaltionsa oikeuden mukaisesti annetut valtuudet”.(68) Näin ollen ”kyseinen viranomainen voi käyttää tutkintavaltuuksiaan riippumatta sovellettavasta kansallisesta oikeudesta ja jopa ennen kuin tiedetään, mitä kansallista oikeutta kyseessä olevaan käsittelyyn sovelletaan. Jos se kuitenkin tulee siihen tulokseen, että jonkin toisen jäsenvaltion oikeutta sovelletaan, se ei voi määrätä seuraamuksia jäsenvaltionsa alueen ulkopuolella. Tällaisessa tilanteessa sen on direktiivin [95/46] 28 artiklan 6 kohdassa säädetyn yhteistyövelvollisuuden mukaisesti pyydettävä tämän toisen jäsenvaltion valvontaviranomaista toteamaan mahdollinen tämän oikeuden rikkominen ja määräämään seuraamuksia, jos kyseinen oikeus sen mahdollistaa, [nojautumalla](*) tarvittaessa ensimmäisen jäsenvaltion valvontaviranomaisen sille toimittamiin tietoihin”.(69)

119. Tästä 1.10.2015 annetusta tuomiosta Weltimmo(70) voidaan tehdä nyt käsiteltävää asiaa varten seuraavat päätelmät.

120. Toisin kuin tilannevaihtoehdossa, johon unionin tuomioistuin perusti valvontaviranomaisten valtuuksia koskevan päättelynsä 1.10.2015 antamansa tuomion Weltimmo(71) jälkimmäisessä osassa, nyt käsiteltävä asia vastaa tilannetta, joka on samankaltainen kuin tämän tuomion ensimmäistä osaa vastaava tilanne ja jossa – kuten edellä on todettu – sovellettava kansallinen oikeus tosiaan on toimintavaltuuksiaan käyttävän valvontaviranomaisen jäsenvaltion oikeus, koska tämän jäsenvaltion alueella on rekisterinpitäjän toimipaikka, jonka toiminta liittyy erottamattomasti kyseiseen henkilötietojen käsittelyyn. Se, että tämä toimipaikka on Saksassa, on liittymäkohta, joka on tarpeen, jotta riidanalaiseen henkilötietojen käsittelyyn sovelletaan Saksan oikeutta.

121. Kun tämä edellytys on täyttynyt, on katsottava, että Saksan valvontaviranomaisella on toimivalta varmistaa henkilötietojen suojaa koskevien sääntöjen noudattaminen Saksan alueella käyttämällä kaikkia valtuuksia, joita sillä on direktiivin 95/46 28 artiklan 3 kohdan täytäntöön panemiseksi annettujen Saksan säännösten nojalla. Näihin valtuuksiin voi sisältyä sellaisen määräyksen antaminen, jolla käsittely kielletään väliaikaisesti tai lopullisesti.

122. Sen osalta, mille yksikölle tällainen toimenpide on osoitettava, mahdollisia ratkaisuja on kaksi.

123. Ensimmäinen ratkaisu on, että valvontaviranomaisten toimintavaltuuksien alueellisen soveltamisalan suppean tulkinnan päätteeksi katsotaan, että ne voivat käyttää näitä valtuuksia vain oman jäsenvaltionsa alueella sijaitsevaa rekisterinpitäjän toimipaikkaa kohtaan. Jos – kuten tässä asiassa – kyseinen toimipaikka, joka on tässä tapauksessa Facebook Germany, ei ole rekisterinpitäjä eikä siis itse voi noudattaa valvontaviranomaisen vaatimusta tietojenkäsittelyn lopettamisesta, sen on siirrettävä vaatimus rekisterinpitäjälle, jotta tämä voisi panna sen täytäntöön.

124. Toinen ratkaisu on sitä vastoin se, että katsotaan, että koska rekisterinpitäjä on ainoa, joka käyttää ratkaisevaa vaikutusvaltaa kyseiseen tietojenkäsittelyyn, toimenpide, jossa määrätään tällaisen käsittelyn lopettamisesta, on osoitettava suoraan sille.

125. Käsitykseni mukaan jälkimmäinen ratkaisu on asetettava etusijalle, koska se on johdonmukainen sen perustavanlaatuisen roolin kanssa, joka rekisterinpitäjällä on direktiivillä 95/46 käyttöön otetussa järjestelmässä.(72) Koska tällä ratkaisulla vältetään se, että olisi pakko käyttää välittäjänä toimipaikkaa, joka harjoittaa toimintaa, jonka yhteydessä käsittely suoritetaan, se on omiaan takaamaan henkilötietojen suojaa koskevien kansallisten sääntöjen välittömän ja tehokkaan soveltamisen. Valvontaviranomainen, joka osoittaa toimenpiteen, jossa määrätään lopettamaan tietojenkäsittely, suoraan Facebook Inc:in tai Facebook Irelandin kaltaiselle rekisterinpitäjälle, joka ei ole sijoittautunut valvontaviranomaisen jäsenvaltion alueelle, ei sitä paitsi ylitä toimivaltaansa, joka muodostuu sen varmistamisesta, että henkilötietojen käsittely tämän valtion alueella on kyseisen valtion oikeuden mukaista. Tässä yhteydessä on merkityksetöntä, että rekisterinpitäjä tai rekisterinpitäjät ovat sijoittautuneet toiseen jäsenvaltioon tai jopa kolmanteen valtioon.

126. Ensimmäiseen ja toiseen ennakkoratkaisukysymykseen annettavaa vastausta koskevan ehdotukseni yhteydessä täsmensin myös, että kun otetaan huomioon fanisivuilla käyvien henkilöiden oikeuksien mahdollisimman kattavan suojan varmistamista koskeva tavoite, ULD:n mahdollisuus käyttää toimintavaltuuksiaan Facebook Inc:ia ja Facebook Irelandia kohtaan ei käsitykseni mukaan millään tavalla estä kohdistamasta toimenpiteitä Wirtschaftsakademieen, eikä tämä mahdollisuus siis voi sellaisenaan vaikuttaa näiden toimenpiteiden laillisuuteen.(73)

127. Edellä esitetystä seuraa, että direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa on tulkittava siten, että pääasian kohteena olevan kaltainen henkilötietojen käsittely suoritetaan jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä kyseisessä säännöksessä tarkoitetulla tavalla silloin, kun verkkoyhteisöpalvelua ylläpitävä yritys perustaa tähän jäsenvaltioon tytäryhtiön, jonka tehtävänä on tämän yrityksen tarjoamien mainospaikkojen myynninedistäminen ja myynti ja jonka toiminta kohdistuu kyseisen jäsenvaltion asukkaisiin.

128. Toisaalta pääasian kaltaisessa tilanteessa, jossa kyseessä olevaan henkilötietojen käsittelyyn sovelletaan valvontaviranomaisen jäsenvaltion kansallista oikeutta, direktiivin 95/46 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, että valvontaviranomainen voi käyttää kaikkia sille direktiivin 28 artiklan 3 kohdan mukaisesti annettuja tehokkaita toimintavaltuuksia rekisterinpitäjää kohtaan, myös silloin kun rekisterinpitäjä on sijoittautunut toiseen jäsenvaltioon tai jopa kolmanteen valtioon.

C.      Viides ja kuudes ennakkoratkaisukysymys

129. Viidennellä ja kuudennella ennakkoratkaisukysymyksellään, jotka on käsitykseni mukaan käsiteltävä yhdessä, ennakkoratkaisua pyytänyt tuomioistuin varsinaisesti pyytää unionin tuomioistuinta ratkaisemaan, onko direktiivin 95/46 28 artiklan 1, 3 ja 6 kohtaa tulkittava siten, että pääasiassa kyseessä olevan kaltaisissa olosuhteisissa sen jäsenvaltion, jossa rekisterinpitäjän toimipaikka (Facebook Germany) sijaitsee, valvontaviranomaisella on toimivalta käyttää toimintavaltuuksiaan itsenäisesti ja ilman, että sen on ensin pyydettävä rekisterinpitäjän (Facebook Irelandin) sijaintijäsenvaltion valvontaviranomaista käyttämään valtuuksiaan.

130. Bundesverwaltungsgericht selvittää ennakkoratkaisupyynnössään, mikä yhteys on näiden kahden ennakkoratkaisukysymyksen ja sen valvonnan välillä, jota sen on pääasian oikeudenkäynnissä kohdistettava määräyksen laillisuuteen. Tämä tuomioistuin toteaa näin ollen pääasiallisesti, että Wirtschaftsakademieen kohdistuvan määräyksen antamisen voitaisiin katsoa johtuvan ULD:n arviointivirheestä, jos direktiivin 95/46 28 artiklan 6 kohtaa olisi tulkittava siten, että siinä säädetään pääasian kaltaisten olosuhteiden osalta, että ULD:n kaltaisella valvontaviranomaisella on velvollisuus pyytää toisen jäsenvaltion valvontaviranomaista eli tässä tapauksessa tietosuojaviranomaista käyttämään valtuuksiaan, jos nämä kaksi viranomaista arvioivat eri tavalla sitä, onko Facebook Irelandin suorittama henkilötietojen käsittely direktiivissä 95/46 annettujen sääntöjen mukaista.

131. Kuten unionin tuomioistuin on katsonut 1.10.2015 antamassaan tuomiossa Weltimmo,(74) tilanteessa, jossa kyseessä olevaan henkilötietojen käsittelyyn ei ole sovellettava sen jäsenvaltion oikeutta, jonka valvontaviranomainen haluaa käyttää toimintavaltuuksiaan, vaan jonkin toisen jäsenvaltion oikeutta, direktiivin 95/46 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, ettei tämä valvontaviranomainen voi määrätä oman jäsenvaltionsa oikeuden perusteella seuraamuksia rekisterinpitäjälle, joka ei ole sijoittautunut tämän jäsenvaltion alueelle, vaan sen on direktiivin 28 artiklan 6 kohdan nojalla pyydettävä sen jäsenvaltion valvontaviranomaista, jonka oikeutta sovelletaan, toimimaan asiassa.(75)

132. Tällaisessa tilanteessa ensimmäisen jäsenvaltion valvontaviranomainen menettää toimivaltansa käyttää seuraamusten määräämisvaltaansa toiseen jäsenvaltioon sijoittautunutta rekisterinpitäjää kohtaan. Tällöin sen on direktiivin 28 artiklan 6 kohdassa säädetyn yhteistyövelvollisuuden mukaisesti pyydettävä tämän toisen jäsenvaltion valvontaviranomaista toteamaan mahdollinen tämän jäsenvaltion oikeuden rikkominen ja määräämään seuraamuksia, jos kyseinen oikeus sen mahdollistaa, niin että se nojautuu tarvittaessa ensimmäisen jäsenvaltion valvontaviranomaisen sille toimittamiin tietoihin.(76)

133. Kuten olen edellä todennut, tässä asiassa kyseessä oleva tilanne on täysin eri, koska sovellettava oikeus on todellakin sen jäsenvaltion oikeus, jonka valvontaviranomainen haluaa käyttää toimintavaltuuksiaan. Tällaisessa tilanteessa direktiivin 95/46 28 artiklan 6 kohtaa on tulkittava siten, ettei siinä velvoiteta tätä valvontaviranomaista pyytämään sen jäsenvaltion, johon rekisterinpitäjä on sijoittautunut, valvontaviranomaista käyttämään toimintavaltuuksiaan rekisterinpitäjää kohtaan.

134. Totean vielä, että direktiivin 95/46 28 artiklan 1 kohdan toisessa virkkeessä säädetyn mukaisesti valvontaviranomaisen, jolla on toimivalta käyttää toimintavaltuuksiaan sellaista rekisterinpitäjää kohtaan, joka on sijoittautunut muuhun kuin valvontaviranomaisen jäsenvaltioon, on hoidettava tehtäviään itsenäisesti.

135. Kuten edellä esitetystä ilmenee, direktiivissä 95/46 ei säädetä sen enempää alkuperämaaperiaatteesta kuin sellaisesta yhden luukun järjestelmästä, joka ilmenee asetuksesta 2016/679. Rekisterinpitäjä, jolla on toimipaikkoja useissa jäsenvaltioissa, on näin ollen täysin useiden valvontaviranomaisten valvonnan kohteena, jos asiassa voidaan soveltaa näiden valvontaviranomaisten jäsenvaltioiden oikeutta. Vaikka näiden valvontaviranomaisten yhteisymmärrys ja yhteistoiminta ovat tietenkin toivottavia, mikään ei kuitenkaan velvoita valvontaviranomaista, jonka toimivalta on tunnustettu, mukauttamaan kantaansa toisen valvontaviranomaisen kantaan.

136. Päättelen edellä esitetyn perusteella, että direktiivin 95/46 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, että pääasiassa kyseessä olevan kaltaisissa olosuhteissa sen jäsenvaltion, jossa rekisterinpitäjän toimipaikka sijaitsee, valvontaviranomaisella on toimivalta käyttää toimintavaltuuksiaan rekisterinpitäjää kohtaan itsenäisesti ja ilman, että sen on ensin pyydettävä rekisterinpitäjän sijaintijäsenvaltion valvontaviranomaista käyttämään valtuuksiaan.

III. Ratkaisuehdotus

137. Ehdotan edellä esitetyn perusteella, että unionin tuomioistuin vastaa Bundesverwaltungsgerichtin (liittovaltion hallintotuomioistuin, Saksa) ennakkoratkaisukysymyksiin seuraavasti:

1)Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, sellaisena kuin se on muutettuna 29.9.2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003, 2 artiklan d alakohtaa on tulkittava siten, että Facebookin kaltaisessa verkkoyhteisöpalvelussa olevan fanisivun hallinnoija on tässä säännöksessä tarkoitettu rekisterinpitäjä henkilötietojen käsittelyn sen vaiheen osalta, jossa verkkoyhteisöpalvelu kerää sivulla käyvistä henkilöistä tietoja laatiakseen sivua koskevia kävijätilastoja.

2)Direktiivin 95/46, sellaisena kuin se on muutettuna asetuksella N:o 1882/2003, 4 artiklan 1 kohdan a alakohtaa on tulkittava siten, että pääasian kohteena olevan kaltainen henkilötietojen käsittely suoritetaan jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä kyseisessä säännöksessä tarkoitetulla tavalla silloin, kun verkkoyhteisöpalvelua ylläpitävä yritys perustaa tähän jäsenvaltioon tytäryhtiön, jonka tehtävänä on tämän yrityksen tarjoamien mainospaikkojen myynninedistäminen ja myynti ja jonka toiminta kohdistuu kyseisen jäsenvaltion asukkaisiin.

3)Pääasian kaltaisessa tilanteessa, jossa kyseessä olevaan henkilötietojen käsittelyyn sovelletaan valvontaviranomaisen jäsenvaltion kansallista oikeutta, direktiivin 95/46, sellaisena kuin se on muutettuna asetuksella N:o 1882/2003, 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, että valvontaviranomainen voi käyttää kaikkia sille direktiivin 28 artiklan 3 kohdan mukaisesti annettuja tehokkaita toimintavaltuuksia rekisterinpitäjää kohtaan, myös silloin kun rekisterinpitäjä on sijoittautunut toiseen jäsenvaltioon tai jopa kolmanteen valtioon.

Direktiivin 95/46, sellaisena kuin se on muutettuna asetuksella N:o 1882/2003, 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, että pääasiassa kyseessä olevan kaltaisissa olosuhteissa jäsenvaltion, jossa rekisterinpitäjän toimipaikka sijaitsee, valvontaviranomaisella on toimivalta käyttää toimintavaltuuksiaan rekisterinpitäjää kohtaan itsenäisesti ja ilman, että sen on ensin pyydettävä rekisterinpitäjän sijaintijäsenvaltion valvontaviranomaista käyttämään valtuuksiaan.


1      Alkuperäinen kieli: ranska.


2 –      EYVL 1995, L 281, s. 31.


3 –      EUVL 2003, L 284, s. 1; jäljempänä direktiivi 95/46.


4 –      Jäljempänä tietosuojatyöryhmä.


5 –      Jäljempänä lausunto 2/2010.


6 –      Lausunto 2/2010, s. 5.


7 –      Lausunto 2/2010, s. 6. Tietosuojatyöryhmän tässä lausunnossa esittämien selvitysten mukaan ”yleensä tämä kaikki tapahtuu seuraavasti: mainosverkkopalvelujen tarjoaja asettaa tavallisesti seurantaevästeen käyttäjän päätelaitteelle – –, kun käyttäjä siirtyy ensimmäisen kerran sellaiselle verkkosivustolle, jossa kyseisen verkon mainoksia näytetään. Eväste on lyhyt tekstitiedosto, jonka mainosverkkopalvelujen tarjoaja tallentaa käyttäjän päätelaitteelle (ja joka voidaan noutaa sieltä myöhemmin) – –. Käyttötottumuksia seuraavassa mainonnassa mainosverkkopalvelujen tarjoaja pystyy tunnistamaan evästeen avulla käyttäjän, joka palaa aiemmalle sivustolle uudelleen tai käy jollain muulla sivustolla, joka on kyseisen mainosverkon yhteistyökumppani. Toistuvien käyntien perusteella mainosverkkopalvelujen tarjoaja pystyy kokoamaan käyttäjäprofiilin, jota hyödynnetään käyttäjälle henkilökohtaisesti kohdennetun mainonnan jakamiseen”.


8 –      Tietosuojatyöryhmän 16.2.2010 antama lausunto 1/2010 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä (jäljempänä lausunto 1/2010), s. 22.


9 –      Agencia española de protección de datos (Espanjan tietosuojaviranomainen) ilmoitti 11.9.2017 määränneensä Facebook Inc:ille 1,2 miljoonan euron sakon. Commission nationale de l’informatique et des libertés (CNIL; Ranska) oli sitä ennen tehnyt 27.4.2017 päätöksen, jossa se määräsi Facebook Inc. ja Facebook Ireland -yhtiöille yhteisvastuullisesti 150 000 euron rahamääräisen seuraamuksen.


10 –      BDSG:n 38 §:n 5 momentissa säädetään seuraavaa:


      ”Tämän lain ja muiden tietosuojaa koskevien säännösten noudattamisen varmistamiseksi valvontaviranomainen voi määrätä toimenpiteitä henkilötietojen keräämisessä, käsittelyssä tai käytössä todettujen rikkomisten taikka teknisten tai organisatoristen puutteiden korjaamiseksi. Jos rikkomiset tai puutteet ovat vakavia, erityisesti silloin kun niistä aiheutuu erityinen yksityisyyttä koskevan oikeuden loukkaamisen vaara, valvontaviranomainen voi kieltää tietojen keräämisen, käsittelyn tai käytön ja tiettyjen menetelmien käytön, jos rikkomisia tai puutteita ei ensimmäisessä virkkeessä tarkoitetun määräyksen vastaisesti ja uhkasakon asettamisesta huolimatta korjata ajoissa. Valvontaviranomainen voi vaatia tietosuojavastaavan erottamista, jos tällä ei ole tehtäviensä hoitamisen edellyttämään asiantuntemusta ja luotettavuutta.”


11 –      Sähköisistä tieto- ja viestintäpalveluista annetun lain 12 §:ssä säädetään seuraavaa:


”(1)       Palveluntarjoaja saa kerätä ja hyödyntää henkilötietoja sähköisten tieto- ja viestintäpalvelujen tarjoamiseksi vain, kun se on sallittu tässä laissa tai muussa nimenomaisesti sähköisiä tieto- ja viestintäpalveluja koskevassa säännöksessä tai kun käyttäjä on antanut siihen suostumuksensa.


– –


(3)      Jollei toisin ole säädetty, sovelletaan kulloinkin voimassa olevia henkilötietojen suojaa koskevia säännöksiä myös silloin, kun tietoja ei käsitellä automaattisesti.”


12 –      Tämä säännös koskee toimeksiantona suoritettavaa henkilötietojen käsittelyä.


13 –      Tämän säännöksen mukaan ”tietojenkäsittelystä vastaavalla elimellä tarkoitetaan jokaista henkilöä tai elintä, joka kerää, käsittelee tai käyttää henkilötietoja omaan lukuunsa tai antaa tämän muiden tehtäväksi”.


14 –      C-131/12, EU:C:2014:317.


15 –      Tuomion 60 kohta.


16 –      Lausunnossa 1/2010 esitetyissä määritelmissä ”tarkoitus” määritellään ”ennakoiduksi tulokseksi, johon pyritään tai joka ohjaa suunniteltuja toimia”, ja ”keinot” määritellään ”menettelyksi jonkin toteuttamiseksi tai saavuttamiseksi” (s. 12).


17 –      Esimerkiksi direktiivin 95/46 6 artiklan 2 kohdan mukaan rekisterinpitäjän on huolehdittava direktiivin 6 artiklan 1 kohdassa lueteltujen, tietojen laatua koskevien periaatteiden noudattamisesta. Direktiivin 10 ja 11 artiklan mukaan rekisterinpitäjällä on velvollisuus informoida rekisteröityjä, joita henkilötietojen käsittely koskee. Direktiivin 12 artiklan mukaan rekisteröidyillä on oikeus saada tietoja rekisterinpitäjältä. Sama koskee direktiivin 14 artiklassa säädettyä vastustamisoikeutta. Direktiivin 23 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että ”jos kenelle tahansa henkilölle aiheutuu vahinkoa laittomasta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän direktiivin mukaisesti toteutettujen kansallisten toimenpiteiden kanssa, hänellä on oikeus saada rekisterinpitäjältä korvaus aiheutuneesta vahingosta”. Lisäksi valvontaviranomaisten tehokkaita toimintavaltuuksia, sellaisina kuin näistä säädetään direktiivin 28 artiklan 3 kohdassa, käytetään rekisterinpitäjiä kohtaan.


18 –      C-131/12, EU:C:2014:317.


19 –      Ks. vastaavasti tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 38 ja 83 kohta).


20 –      Ks. mm. tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 34 kohta).


21 –      Lausunto 1/2010, s. 9.


22 –      Facebook Ireland toteaa näin ollen, että se ottaa säännöllisesti käyttöön toimintoja, jotka annetaan rekisteröityjen käyttöön yksinomaan unionissa ja joita mukautetaan näitä varten. Toisissa tapauksissa Facebook Ireland päättää olla tarjoamatta unionissa tuotteita, jotka Facebook Inc. on antanut käyttöön Yhdysvalloissa.


23 –      Ks. tuomio 6.10.2015, Schrems (C-362/14, EU:C:2015:650, 27 kohta).


24 –      Ks. ennakkoratkaisupyynnön 39 kohta.


25 –      Käsiteltävässä asiassa ei ole tärkeää määritellä sen käsittelyn tarkoitusta ja tavoitteita, joka tapahtuu sen jälkeen, kun fanisivulla käyvien henkilöiden henkilötiedot on siirretty Facebookille. On keskityttävä nyt kyseessä olevaan käsittelyvaiheeseen eli siihen, jossa fanisivulla käyvien henkilöiden henkilötietoja kerätään informoimatta heitä ja pyytämättä heidän suostumustaan asianmukaisesti.


26 –      Facebookin käyttöehdoista ilmenee, että kävijätilastojen avulla fanisivun hallinnoija saa tietoja kohdeyleisöstään pystyäkseen luomaan sisältöjä, joilla on enemmän merkitystä tälle yleisölle. Fanisivun hallinnoija saa kävijätilastoista kohdeyleisöään koskevia väestötieteellisiä tietoja, erityisesti ikää, sukupuolta, parisuhdetta ja ammattia koskevista suuntauksista, tietoja kohdeyleisön elämäntyylistä ja kiinnostuksenkohteista, tietoja kohdeyleisön ostoksista ja erityisesti verkko-ostokäyttäytymisestä, tätä yleisöä eniten kiinnostavista tuote- ja palveluluokista sekä väestötieteellisiä tietoja, joiden avulla fanisivun hallinnoija pystyy tietämään, missä sen kannattaa toteuttaa erityiskampanjoita ja järjestää tapahtumia.


27 –      Ks. vastaavasti lausunto 1/2010, s. 25–26.


28 –      Ibidem, s. 26: ”– – epätasapainoa, joka vallitsee pienen rekisterinpitäjän sopimusperusteisen vallan ja suurten palveluntarjoajien vastaavan vallan välillä, ei saa katsoa perusteeksi sille, että rekisterinpitäjä hyväksyy sopimuksen sellaiset lausekkeet ja sanamuodon, jotka ovat ristiriidassa tietosuojalain kanssa.”


29 –      C-131/12, EU:C:2014:317.


30 –      Tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 38 kohta sekä vastaavasti 83 kohta).


31 –      Tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 40 kohta).


32 –      Ks. ennakkoratkaisupyynnön 35 kohta.


33 –      Unionin tuomioistuimessa vireillä oleva asia.


34 –      Kuten Sveitsin tietosuojaviranomainen on todennut, ”vaikka webtracking-palvelujen tarjoaja useimmissa tapauksissa toteuttaa tietojen varsinainen rekisteröinnin ja analysoinnin täydessä hiljaisuudessa, myös internetsivun ylläpitäjä on vastuussa siitä. Tämä nimittäin liittää webtracking-palvelujen tarjoajan koodin internetsivulleen ja tällä tavoin edistää internetin käyttäjän tietämättä tietojen siirtoa, evästeiden asettamista ja tietojen keräämistä webtracking-palvelujen tarjoajan eduksi”]. Ks. Préposé fédéral à la protection des données et à la transparencen (liittovaltion tietosuoja- ja avoimuusviranomainen, PFPDT, Sveitsi) Explications concernant le webtracking, joihin voi tutustua internetosoitteessa https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr


35 –      Ks. vastaavasti lausunto 1/2010, s. 22.


36 –      Lausunto 1/2010, s. 32.


37 –      Lausunto 1/2010, s. 19.


38 –      Ks. ennakkoratkaisupyynnön 40 kohta.


39 –      Ks. mm. tuomio 31.1.2017, Lounani (C-573/14, EU:C:2017:71, 56 kohta oikeuskäytäntöviittauksineen).


40 –      Jäljempänä lausunto 8/2010.


41 –      Lausunto 8/2010, s. 28.


42 –      Lausunto 8/2010, s. 28.


43 –      Rakenne, jota Googlen ja Facebookin kaltaiset konsernit käyttävät laajentaessaan toimintaansa ympäri maailman, monimutkaistaa sovellettavan kansallisen oikeuden määrittämistä ja sen toimipaikan yksilöimistä, jota kohtaan loukatut henkilöt ja valvontaviranomaiset voivat ryhtyä toimenpiteisiin. Näistä kysymyksistä ks. Svantesson D., ”Enforcing Privacy Across Different Jurisdiction”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, s. 195–222, erityisesti s. 216–218.


44 –      Ks. mm. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 25 kohta oikeuskäytäntöviittauksineen).


45 –      Ks. mm. tuomio 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, 75 kohta oikeuskäytäntöviittauksineen).


46 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 29 kohta).


47 –      Ks. mm. tuomio 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, 77 kohta oikeuskäytäntöviittauksineen).


48 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 29 kohta).


49 –      Ks. mm. tuomio 28.7.2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612, 78 kohta oikeuskäytäntöviittauksineen).


50 –      Lausunto 8/2010, s. 30. Ks. vastaavasti myös tämän lausunnon s. 13.


51 –      C-131/12, EU:C:2014:317.


52 –      Tuomion 55 kohta.


53 –      Tuomion 56 kohta.


54 –      Tuomion 57 kohta.


55 –      Ks. vastaavasti tietosuojatyöryhmän 12.6.2009 antama lausunto 5/2009 internetin sosiaalisista verkkoyhteisöistä, s. 5.


56 –      C-131/12, EU:C:2014:317.


57 –      Ks. mm. tietosuojatyöryhmän 16.12.2015 antama Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain, s. 6 ja 7.


58 –      Useiden kansallisten lainsäädäntöjen mahdollisesta soveltamisesta ks. lausunto 8/2010, jonka mukaan ”viittaus rekisterinpitäjän toimipaikkaan tarkoittaa, että jäsenvaltion lainsäädäntöä sovelletaan henkilötietojen käsittelyyn, jos rekisterinpitäjällä on toimipaikka kyseisen jäsenvaltion alueella, ja että muiden jäsenvaltioiden lainsäädäntöä sovelletaan silloin, jos rekisterinpitäjällä on muita toimipaikkoja muiden jäsenvaltioiden alueella” (s. 29).


59 –      C-191/15, EU:C:2016:612.


60 –      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46 kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (EUVL 2016, L 119, s. 1).


61 –      Tästä ks. Hawkes B., ”The Irish DPA and Its Approach to Data Protection”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, s. 441–454, erityisesti s. 450, alaviite 11. Kirjoittaja toteaa, että ”the degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase ”the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: ”it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this ”should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU”.


62 –      C-131/12, EU:C:2014:317.


63 –      Ks. vastaavan logiikan mukaisesti 16.5.2017 annettu Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, jossa nämä viranomaiset toteavat seuraavaa: ”– – the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice – –, the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are ”inextricably linked” to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC.”


64 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 49 kohta).


65 –      C-230/14, EU:C:2015:639.


66 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 42 kohta).


67 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 43 kohta).


68 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 55 kohta).


* Unionin tuomioistuimen oikeustapauskokoelmassa julkaistua käännöstä on oikaistu.


69 –      Ks. tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 57 kohta).


70 –      C-230/14, EU:C:2015:639.


71 –      C-230/14, EU:C:2015:639.


72 –      Tästä ks. tämän ratkaisuehdotuksen 44 kohta.


73 –      Ks. myös tämän ratkaisuehdotuksen 73–77 kohta.


74 –      C-230/14, EU:C:2015:639.


75 –      Tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 60 kohta).


76 –      Tuomio 1.10.2015, Weltimmo (C-230/14, EU:C:2015:639, 57 kohta).