JULKISASIAMIEHEN RATKAISUEHDOTUS

MICHAL BOBEK

19 päivänä joulukuuta 2018 (1)

Asia C-40/17

Fashion ID GmbH & Co.KG

vastaan

Verbraucherzentrale NRW e.V.

muut osapuolet:

Facebook Ireland Limited ja

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

(Ennakkoratkaisupyyntö – Oberlandesgericht Düsseldorf (osavaltion ylioikeus, Düsseldorf, Saksa))

Ennakkoratkaisupyyntö – Direktiivi 95/46/EY – Verkkosivuston käyttäjien henkilötietojen suojelu – Kuluttajansuojayhdistyksen asiavaltuus nostaa kanne – Verkkosivuston ylläpitäjän vastuu – Henkilötietojen siirtäminen sivulliselle – Verkkosivulle liitetty liitännäinen – Facebookin Tykkää-painike – Oikeutettu intressi – Rekisteröidyn suostumus – Velvollisuus toimittaa tietoja

I       Johdanto

1.        Fashion ID GmbH & Co. KG harjoittaa muotituotteiden verkkokauppaa. Se liitti verkkosivustolleen liitännäisen (plug-in): Facebookin Tykkää-painikkeen. Tämän seurauksena on niin, että kun käyttäjä tulee Fashion ID:n verkkosivustolle, tietoja käyttäjän IP-osoitteesta ja selainketjusta siirretään Facebookille. Siirtäminen tapahtuu automaattisesti, kun Fashion ID:n verkkosivusto on latautunut, riippumatta siitä, onko käyttäjä napsauttanut Tykkää-painiketta ja onko hänellä Facebook-tili.

2.        Saksalainen kuluttajansuojayhdistys Verbraucherzentrale NRW e.V. nosti kanteen, jossa se vaati kieltomääräystä Fashion ID:tä vastaan sillä perusteella, että kyseisen liitännäisen käytöllä rikotaan tietosuojalainsäädäntöä.

3.        Asiaa käsittelevä Oberlandesgericht Düsseldorf (osavaltion ylioikeus, Düsseldorf, Saksa) pyytää unionin tuomioistuinta tulkitsemaan useita direktiivin 95/46(2) säännöksiä. Alustavana kysymyksenä ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, voidaanko kyseisen direktiivin nojalla kansallisessa lainsäädännössä antaa kuluttajayhdistykselle asiavaltuus nostaa käsiteltävässä asiassa kyseessä olevan kaltainen kanne. Kun tarkastellaan asiakysymystä, keskeinen esille tuleva kysymys on se, onko Fashion ID:tä pidettävä tietojenkäsittelyn osalta ”rekisterinpitäjänä” ja, jos on, miten direktiivissä 95/46 asetettujen yksittäisten velvollisuuksien on tarkasti ottaen täytyttävä tällaisessa tapauksessa. Keiden oikeutettua intressiä on tarkasteltava direktiivin 95/46 7 artiklan f alakohdassa edellytettävässä intressien punninnassa? Onko Fashion ID:llä velvollisuus ilmoittaa rekisteröidyille tietojenkäsittelystä? Ja onko myös Fashion ID:n saatava rekisteröityjen tietoinen suostumus tietojenkäsittelyyn?

II      Asiaa koskevat oikeussäännöt

A       Unionin oikeus

Direktiivi 95/46

4.        Direktiivin 95/46 tavoite määritellään sen 1 artiklassa. Sen 1 kohdassa säädetään seuraavaa: ”Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.” Saman artiklan 2 kohdan mukaan ”jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan”.

5.        Direktiivin 95/46 2 artiklaan sisältyvät seuraavat määritelmät:

”a) ’henkilötiedoilla’ [tarkoitetaan] kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

b) ’henkilötietojen käsittelyllä’ (’käsittely’) [tarkoitetaan] kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen,

– –

d) ’rekisterinpitäjällä’ [tarkoitetaan] luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot; jos käsittelyn tarkoitus ja keinot määritellään kansallisilla tai yhteisön laeilla tai asetuksilla, rekisterinpitäjä tai erityiset perusteet rekisterinpitäjän nimeämiseksi voidaan vahvistaa kansallisten tai yhteisön säännösten mukaisesti,

– –

h) ’rekisteröidyn suostumuksella’ [tarkoitetaan] kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.”

6.        Direktiivin 95/46 7 artiklassa esitetään periaatteet, joita on noudatettava, jotta tietojenkäsittely on laillista. ”Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,

a) jos rekisteröity on yksiselitteisesti antanut suostumuksensa, tai

– –

f) jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja ‑vapaudet.”

7.        Direktiivin 95/46 10 artikla koskee rekisteröidylle annettavia vähimmäistietoja:

”Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai hänen edustajansa on toimitettava rekisteröidylle, jolta tietoja kerätään, vähintään jäljempänä esitetyt tiedot, paitsi jos hän jo tietää ne:

a) rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys,

b) tietojenkäsittelyn tarkoitukset,

c) kaikenlaiset lisätiedot, kuten

–        tietojen vastaanottajat tai vastaanottajaryhmät,

–        tieto siitä, onko kysymyksiin vastaaminen pakollista vai vapaaehtoista, sekä vastaamatta jättämisen mahdolliset seuraukset,

–        onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun,

siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.”

8.        Direktiivin 95/46 III luku koskee oikeussuojakeinoja, vastuuta ja sanktioita. Siihen sisältyvissä 22–24 artiklassa säädetään seuraavaa:

”22 artikla

Oikeuskeinot

Jäsenvaltioiden on säädettävä siitä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan, sanotun kuitenkaan rajoittamatta sellaisen hallinnollisen keinon soveltamista, johon voidaan turvautua, muun muassa 28 artiklassa tarkoitetun valvontaviranomaisen avulla ennen asian vireillepanoa oikeudessa.

23 artikla

Vastuu

1. Jäsenvaltioiden on säädettävä siitä, että jos kenelle tahansa henkilölle aiheutuu vahinkoa laittomasta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän direktiivin mukaisesti toteutettujen kansallisten toimenpiteiden kanssa, hänellä on oikeus saada rekisterinpitäjältä korvaus aiheutuneesta vahingosta.

2. Rekisterinpitäjä voidaan vapauttaa tästä vastuusta osittain tai kokonaan, jos hän osoittaa, ettei hän ole vastuussa vahingon aiheuttaneesta tapahtumasta.

24 artikla

Sanktiot

Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet tämän direktiivin säännösten täydellisen soveltamisen varmistamiseksi ja määriteltävä erityisesti sanktiot, joita sovelletaan tämän direktiivin mukaisesti säädettyjen säännösten rikkomistapauksissa.”

B       Saksan oikeus

Sopimattomasta kilpailusta annettu laki

9.        Sopimattomasta kilpailusta annetun lain (Gesetz gegen den unlauteren Wettbewerb, jäljempänä UWG) 3 §:n 1 momentin mukaan sopimattomat kaupalliset menettelytavat ovat kiellettyjä.

10.      UWG:n 8 §:n 1ja 3 momentissa säädetään, että kiellettyyn kaupalliseen menettelyyn syyllistyvää henkilöä voidaan vaatia lopettamaan menettely ja häntä vastaan voidaan hakea kieltomääräystä. Kieltomääräystä voivat hakea kieltokannelaissa Unterlassungsklagengesetz) luetellut tai Euroopan komission direktiivin 2009/22/EY(3) 4 artiklan 3 kohdan mukaisesti laatimaan luetteloon sisältyvät ”oikeutetut yksiköt”.

Kieltokannelaki

11.      Kieltokannelain (Unterlassungsklagengesetz) 2 §:n 1 momentissa ja 2 momentin 11 kohdassa säädetään seuraavaa:

”(1)      Sitä vastaan, joka rikkoo kuluttajien suojaamisesta annettuja säännöksiä (kuluttajansuojalainsäädäntöä) muuten kuin yleisten myyntiehtojen soveltamisen tai niitä koskevien suositusten osalta, voidaan vaatia kielto- ja lopettamismääräystä kuluttajien suojaamisen nimissä.

(2)      Tässä säännöksessä ’kuluttajansuojalainsäädännöllä’ tarkoitetaan erityisesti

– –

11.      säännöksiä, joilla säännellään sen hyväksyttävyyttä,

a)      että yritys kerää kuluttajan henkilötietoja tai

b)      että yritys käsittelee tai hyödyntää kuluttajasta kerättyjä henkilötietoja,

jos tietoja kerätään, käsitellään tai hyödynnetään mainontaa, markkina- ja mielipidetutkimusta, luottotietojen keräämistä, henkilö- ja käyttöprofiilien laadintaa, osoitetietojen myyntiä tai muiden tietojen myyntiä varten taikka vastaaviin kaupallisiin tarkoituksiin.”

Sähköisistä tieto- ja viestintäpalveluista annettu laki

12.      Sähköisistä tieto- ja viestintäpalveluista annetun lain (Telemediengesetz, jäljempänä TMG) 2 §:n 1 momentin 1 kohdassa säädetään seuraavaa:

”Tässä laissa

1.      ’palveluntarjoajalla’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa käyttöön omia tai vieraan sähköisiä tieto- ja viestintäpalveluja tai välittää pääsyn palvelujen käyttöön;– –”

13.      TMG:n 12 §:n 1 momentissa säädetään seuraavaa: ”Palveluntarjoaja saa kerätä ja hyödyntää henkilötietoja sähköisten tieto- ja viestintäpalvelujen tarjoamiseksi vain, kun se on sallittu tässä laissa tai muussa nimenomaisesti sähköisiä tieto- ja viestintäpalveluja koskevassa säännöksessä tai kun käyttäjä on antanut siihen suostumuksensa.”

14.      TMG:n 13 §:n 1 momentissa säädetään seuraavaa:

”(1)      Palveluntarjoajan on ilmoitettava käyttäjälle käyttökerran alkaessa yleisesti ymmärrettävässä muodossa henkilötietojen keräämisen ja hyödyntämisen luonteesta, laajuudesta ja tarkoituksesta sekä hänen tietojensa käsittelystä valtioissa, jotka eivät kuulu [direktiivin 95/46] soveltamisalaan, ellei tällaista ilmoitusta ole jo tehty. Automaattisessa menettelyssä, joka mahdollistaa käyttäjän tunnistamisen myöhemmin ja valmistelee henkilötietojen keräämistä tai hyödyntämistä, ilmoitus käyttäjälle on tehtävä menettelyn alkaessa. Ilmoituksen sisällön on oltava käyttäjän saatavilla milloin tahansa.”

15.      TMG:n 15 §:n 1 momentin sanamuoto on seuraava:

”Palveluntarjoaja saa kerätä ja hyödyntää käyttäjän henkilötietoja vain, kun se on tarpeen sähköisten tieto- ja viestintäpalvelujen käyttämisen mahdollistamiseksi ja niiden käytöstä laskuttamiseksi (käyttötiedot). Käyttötietoina pidetään erityisesti seuraavia:

1.      käyttäjän yksilöintitiedot,

2.      kunkin yksittäisen käyttökerran alkamista, päättymistä ja laajuutta koskevat tiedot ja

3.      tiedot käytetyistä sähköisistä tieto- ja viestintäpalveluista.”

III    Tosiseikat, asian käsittelyn vaiheet ja ennakkoratkaisukysymykset

16.      Fashion ID (jäljempänä valittaja) harjoittaa vähittäiskauppaa verkossa. Se myy verkkosivustollaan muotituotteita. Valittaja liitti verkkosivustolleen Facebook Ireland Limitedin (jäljempänä Facebook Ireland)(4) toimittaman Tykkää-liitännäisen. Näin ollen valittajan verkkosivustolla on näkyvissä niin kutsuttu Facebookin Tykkää-painike.

17.      Ennakkoratkaisupyynnössä lisäksi selitetään, miten liitännäisen (näkymättömissä oleva) osa toimii: kun kävijä tulee valittajan verkkosivustolle, jolle Facebookin Tykkää-painike on sijoitettu, kävijän selain lähettää automaattisesti tietoja hänen IP-osoitteestaan ja selainketjustaan Facebook Irelandille. Näiden tietojen siirtyminen ei edellytä sitä, että kävijä tosiasiallisesti napsauttaa Tykkää-painiketta. Ennakkoratkaisupyynnöstä myös ilmenee, että kun valittajan verkkosivustolla vieraillaan, Facebook Ireland asettaa erilaisia evästeitä (istunto-, datr- ja fr-evästeitä) käyttäjän laitteelle.

18.      Verbraucherzentrale NRW (jäljempänä vastapuoli), joka on kuluttajansuojayhdistys, nosti kanteen valittajaa vastaan Landgerichtissä (alueellinen alioikeus, Saksa). Vastapuoli vaati määräystä, jossa valittaja velvoitetaan lopettamaan Facebookin sosiaalisen Tykkää-liitännäisen liittäminen verkkosivustolle sillä perusteella, että väitetysti valittaja ei

–        ”kerro verkkosivuston käyttäjille viimeistään silloin, kun liitännäisen tarjoaja alkaa käyttää käyttäjän IP-osoitetta ja selainketjua, nimenomaisesti ja selkeästi siten välitettyjen tietojen keräämisen ja hyödyntämisen tarkoituksesta ja/tai

–        ole saanut verkkosivuston käyttäjän suostumusta siihen, että liitännäisen tarjoaja saa käyttöönsä IP-osoitteen ja selainketjun, sekä tietojen hyödyntämiseen ennen kunkin käytön alkua, ja/tai

–        kerro käyttäjille, jotka ovat kannekirjelmän toisessa vaatimuksessa tarkoitetuin tavoin antaneet suostumuksensa, että suostumus on milloin tahansa mahdollista peruuttaa, millä on oikeusvaikutuksia tulevaisuudessa, ja/tai

–        ilmoita käyttäjille seuraavaa: ’Jos olette jonkin verkkoyhteisöpalvelun käyttäjä ettekä halua, että verkkoyhteisöpalvelu kerää internetsivujemme kautta tietoja Teistä ja yhdistelee verkkoyhteisöpalveluun tallennettuja käyttäjätietojanne, Teidän on kirjauduttava ulos verkkoyhteisöpalvelusta ennen vierailua internetsivuillamme.’”

19.      Vastapuoli väittää, että Facebook Inc. tai Facebook Ireland tallentaa IP-osoitteen ja selainketjun ja yhdistää ne tiettyyn käyttäjään (jolla on Facebook-tili tai ei sitä ole). Valittaja puolestaan väittää, ettei sillä ole tietoa asiasta. Facebook Irelandin mukaan IP-osoite muutetaan geneeriseksi IP-osoitteeksi ja tallennetaan ainoastaan tässä muodossa, eikä IP-osoitetta ja selainketjua yhdistetä käyttäjätileihin.

20.      Landgericht hylkäsi valittajan kolmesta ensimmäisestä kanneperusteesta esittämät väitteet. Valittaja valitti tästä tuomiosta. Vastapuoli teki vastavalituksen neljännen kanneperusteen osalta.

21.      Tässä tosiasiallisessa ja oikeudellisessa tilanteessa Oberlandesgericht Düsseldorf päätti esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1.      Onko yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY [EYVL 1995, L 281, s. 31] 22, 23 ja 24 artiklan säännösten kanssa ristiriidassa kansallinen säännöstö, jolla tietosuojaviranomaisten toimintavallan ja rekisteröidyn käytettävissä olevien oikeussuojakeinojen ohella myönnetään kuluttajien etujen turvaamiseen pyrkiville yleishyödyllisille yhdistyksille toimivalta oikeuksien loukkaamisen tapauksessa ryhtyä toimiin oikeuksien loukkaajaa vastaan?

Mikäli ensimmäiseen kysymykseen vastataan kieltävästi:

2.      Onko esillä olevan kaltaisessa tapauksessa, jossa joku liittää verkkosivustolleen ohjelmakoodin, joka saa käyttäjän selaimen pyytämään sisältöjä sivulliselta ja tässä yhteydessä välittää henkilötietoja sivulliselle, kyseinen koodin liittävä taho [direktiivin 95/46] 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, jos se ei itse voi vaikuttaa tähän tietojenkäsittelytoimeen?

3.      Mikäli toiseen kysymykseen vastataan kieltävästi: Onko [direktiivin 95/46] 2 artiklan d alakohtaa tulkittava siten, että sillä säännellään vastuuta sikäli tyhjentävästi, että se on esteenä siviilioikeudellisten vaatimusten kohdistamiselle sellaiseen sivulliseen, joka ei ole rekisterinpitäjä mutta joka aiheuttaa käsittelytoimen vaikuttamatta toimeen?

4.      Kenen ’oikeutettu intressi’ on esillä olevan kaltaisessa tilanteessa otettava huomioon suoritettaessa direktiivin [95/46] 7 artiklan f alakohdassa tarkoitettu punnitseminen? Ulkopuolisten sisältöjen liittämistä koskeva intressi vai sivullisen intressi?

5.      Kenelle direktiivin [95/46] 7 artiklan a kohdassa ja 2 artiklan h kohdassa tarkoitettu suostumus on annettava esillä olevan kaltaisessa tilanteessa?

6.      Koskeeko direktiivin [95/46] 10 artiklassa säädetty tiedonantovelvollisuus esillä olevan kaltaisessa tilanteessa myös verkkosivuston ylläpitäjää, joka on liittänyt ulkopuolisen sisällön ja siten aiheuttaa sivullisen suorittaman henkilötietojen käsittelyn?”

22.      Kirjallisia huomautuksia esittivät vastapuoli, valittaja, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Nordrhein-Westfalenin osavaltion tietosuojavaltuutettu, jäljempänä LDI NW), Belgian, Saksan, Italian, Itävallan ja Puolan hallitukset sekä Euroopan komissio. Vastapuoli, valittaja, Facebook Ireland, LDI NW, Belgian, Saksan ja Itävallan hallitukset sekä komissio esittivät suulliset lausumansa 6.9.2018 pidetyssä istunnossa.

IV      Arviointi

23.      Tässä ratkaisuehdotuksessa ensinnäkin ehdotan, ettei direktiivi 95/46 ole esteenä kansalliselle lainsäädännölle, jossa myönnetään (vastapuolen kaltaiselle) yhdistykselle, jonka tehtävänä on suojella kuluttajien etuja, asiavaltuus nostaa kanne tietosuojalainsäädännön väitettyä rikkojaa vastaan (A osa). Toiseksi katson, että valittaja on yhdessä Facebook Irelandin kanssa yhteisrekisterinpitäjä, mutta sen vastuu rajoittuu tietojenkäsittelyn tiettyyn vaiheeseen (B osa). Kolmanneksi katson, että direktiivin 95/46 7 artiklan f alakohdassa säädetty intressien punninta edellyttää sitä, että otetaan huomioon paitsi valittajan myös Facebook Irelandin oikeutettu intressi (ja tietysti myös rekisteröityjen oikeudet) (C osa). Neljänneksi rekisteröidyn tietoinen suostumus tiettyyn tietojenkäsittelyn vaiheeseen on ilmoitettava valittajalle. Valittajalla on myös velvollisuus informoida rekisteröityä (D osa).

A       Kansallisessa lainsäädännössä annetaan asiavaltuus kuluttajien etuja suojaaville yhdistyksille

24.      Ensimmäisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko direktiivi 95/46 esteenä kansalliselle säännökselle, jonka mukaan kuluttajansuojajärjestöt voivat panna vireille oikeudenkäynnin sellaista henkilöä vastaan, jonka väitetään rikkovan tietosuojalainsäädäntöä. Ennakkoratkaisua pyytänyt tuomioistuin viittaa tältä osin erityisesti direktiivin 95/46 22–24 artiklaan. Se huomauttaa, että kyseessä olevaa kansallista lainsäädäntöä voitaisiin pitää 24 artiklassa tarkoitettuna ”tarvittavana toimenpiteenä”. Ennakkoratkaisua pyytänyt tuomioistuin korostaa lisäksi, että asetuksessa (EU) 2016/679 (jäljempänä yleinen tietosuoja-asetus),(5) joka on korvannut direktiivin 95/46, annetaan nykyisin nimenomaisesti tällainen oikeus yhdistyksille sen 80 artiklan 2 kohdassa.(6)

25.      Valittaja ja Facebook Ireland väittävät, ettei direktiivi 95/46 mahdollista asiavaltuuden myöntämistä tällaisille yhdistyksille, koska tällaisesta asiavaltuudesta ei nimenomaisesti säädetä siinä, ja direktiivillä 95/46 pyritään niiden mukaan täysimääräiseen yhdenmukaistamiseen. Valittajan mukaan tällaisen asiavaltuuden salliminen uhkaisi valvontaviranomaisten itsenäisyyttä näihin viranomaisiin kohdistuvan julkisen paineen vuoksi.

26.      Vastapuoli, LDI NW ja kaikki käsiteltävään asiaan kantaa ottaneet hallitukset katsovat yksimielisesti, ettei direktiivi 95/46 ole esteenä kyseessä olevalle lainsäädännölle.

27.      Olen samaa mieltä viimeksi mainittujen kanssa.(7)

28.      On nähdäkseni tärkeää aluksi muistuttaa siitä SEUT 288 artiklan kolmanteen kohtaan sisältyvästä (oletuksena olevasta) perustuslaillisesta määräyksestä, jonka mukaan ”direktiivi velvoittaa saavutettavaan tulokseen nähden jokaista jäsenvaltiota, jolle se on osoitettu, mutta jättää toimivaltaisten kansallisten viranomaisten valittavaksi muodon ja keinot”, joilla parhaiten taataan direktiivillä tavoiteltu tulos.(8)

29.      Tästä seuraa, että direktiivin mukaisten velvoitteiden noudattamiseksi jäsenvaltiot voivat vapaasti toteuttaa tarpeellisiksi katsomansa toimenpiteet, kunhan näitä toimenpiteitä ei nimenomaisesti suljeta pois direktiivissä itsessään tai ne eivät ole ristiriidassa direktiivin tavoitteiden kanssa.

30.      Direktiivin 95/46 sanamuodossa ei nimenomaisesti suljeta pois mahdollisuutta myöntää kansallisessa lainsäädännössä asiavaltuus yhdistyksille, joiden tehtävänä on suojella kuluttajien etuja.

31.      Kun tarkastellaan direktiivin 95/46 tavoitteita, yksi näistä tavoitteista on ”turvata yksilöille henkilötietojen käsittelyssä heidän perusoikeuksiensa ja ‑vapauksiensa ja erityisesti heidän yksityisyyttä koskevan oikeutensa tehokas ja kattava suoja”.(9) Lisäksi direktiivin 95/46 johdanto-osan kymmenennen perustelukappaleen mukaan ”sovellettavien kansallisten lainsäädäntöjen lähentäminen ei saa johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen vaan sillä on päinvastoin varmistettava tietosuojan korkea taso yhteisössä”.(10)

32.      Ennakkoratkaisupyynnöstä voidaan päätellä, että Saksa on myöntänyt vastapuolen kaltaisille yhdistyksille asiavaltuuden riitauttaa niiden käsityksen mukaan kielletty kaupallinen menettely tai menettely, jolla rikotaan kuluttajansuojalainsäädäntöä, tietosuojalainsäädäntö mukaan luettuna.

33.      Tässä yhteydessä en näe, miten tällaisen asiavaltuuden myöntäminen olisi mitenkään ristiriidassa direktiivin 95/46 tavoitteiden kanssa tai heikentäisi mahdollisuuksia saavuttaa nämä tavoitteet. Asiavaltuuden myöntäminen tämänkaltaiselle yhdistykselle vaikuttaa pikemminkin tehostavan näiden tavoitteiden saavuttamista ja direktiivin tehokasta täytäntöönpanoa edistämällä rekisteröityjen oikeuksien vahvistamista kollektiivisten oikeussuojakeinojen avulla.(11)

34.      Jäsenvaltiot voivat näin ollen käsittääkseni halutessaan antaa yhdistysten asiavaltuutta koskevan säännöksen, kuten sen, jonka nojalla kantaja voi nostaa pääasian oikeudenkäynnissä käsiteltävän kanteen.

35.      Tämä vastaus huomioon ottaen pidän tietyllä tapaa tarpeettomana tämän menettelyn kuluessa käytyä keskustelua, jossa keskityttiin siihen, olisiko kyseessä olevan kansallisen lainsäädännön kuuluttava nimenomaisesti direktiivin 95/46 24 artiklan soveltamisalaan eräänlaisena ”tarvittavana toimenpiteenä” vai voisiko se kuulua 22 artiklan soveltamisalaan. Jos jäsenvaltioiden on tarkoitus panna direktiivi täytäntöön sopivina pitämillään keinoilla ja jos direktiivin sanamuoto tai sen tavoitteet ja tarkoitus eivät ole esteenä tälle nimenomaiselle täytäntöönpanotavalle, sillä, mihin nimenomaiseen direktiivin artiklaan tietty kansallinen toimenpide voidaan luokitella, on toissijainen merkitys.(12) Direktiivin 95/46 24 artiklan ilmaisua ”tarvittavat toimenpiteet tämän direktiivin säännösten täydellisen soveltamisen varmistamiseksi” voitaisiin tästä huolimatta tietysti tulkita siten, että käsiteltävässä asiassa kyseessä olevien kaltaiset kansalliset säännökset sisältyvät siihen.

36.      Tätä yleistä päätelmää eivät nähdäkseni heikennä mitenkään seuraavat näkökohdat, joista keskusteltiin menettelyn kuluessa.

37.      Ensinnäkin on totta, ettei direktiiviä 95/46 mainita direktiivin 2009/22 liitteessä I olevassa luettelossa. Viimeksi mainitussa säädetään kieltokanteista, joita niin kutsutut oikeutetut yksiköt voivat nostaa kuluttajien yhteisten etujen suojaamisen tehostamiseksi.(13) Liitteessä I olevaan luetteloon sisältyy useita direktiivejä, eikä direktiivi 95/46 kuulu niihin.

38.      Kuten Saksan hallitus toteaa, direktiivin 2009/22 liitteessä I olevaa luetteloa ei kuitenkaan voida pitää tyhjentävänä siinä mielessä, ettei kansallisessa lainsäädännössä voitaisi säätää kieltokanteista, jotka koskevat muihin kuin direktiivin 2009/22 liitteessä I lueteltuihin direktiiveihin sisältyvien säännösten noudattamista. Olisi etenkin jokseenkin yllättävää, jos tällaista johdetun oikeuden säädökseen sisältyvää havainnollistavaa luetteloa olisi yhtäkkiä tulkittava siten, että jäsenvaltiot menettävät perussopimuksessa taatun vapautensa valita, miten ne panevat direktiivin täytäntöön.

39.      Toiseksi tarkastelen valittajan ja Facebook Irelandin esittämää väitettä, joka koskee direktiivillä 95/46 aikaansaatua täysimääräistä yhdenmukaistamista, joka niiden näkemyksen mukaan sulkisi pois minkä tahansa oikeuskeinon, josta ei nimenomaisesti säädetä direktiivissä.

40.      Unionin tuomioistuin on todellakin johdonmukaisesti katsonut, että direktiivi 95/46 johtaa yhdenmukaistamiseen, joka ei rajoitu vähimmäistason yhdenmukaistamiseen vaan joka on ”lähtökohtaisesti täydellinen”.(14) Samanaikaisesti on myös myönnetty, että direktiivissä 95/46 ”tunnustetaan jäsenvaltioiden toimintamarginaali tietyillä alueilla”, edellyttäen että noudatetaan kyseistä direktiiviä.(15)

41.      Kuten olen toisaalla todennut,(16) kysymystä siitä, onko unionin tasolla toteutettu ”täysimääräinen yhdenmukaistaminen” (jolla on syrjäyttämisvaikutus (pre-emption), joka evää jäsenvaltioilta mahdollisuuden antaa mitään sääntöjä), ei voida tarkastella yleisesti koko lainsäädännön alan tai direktiivin kohteen osalta. Sen sijaan tässä analyysissa on tarkasteltava kyseessä olevan direktiivin tiettyä säännöstä (tiettyä sääntöä tai näkökohtaa).

42.      Kun tarkastellaan direktiivin 95/46 erityisiä ”menettelyllisiä” säännöksiä, joista käsiteltävässä asiassa on kyse, nimittäin 22–24 artiklaa, ne on muotoiltu hyvin yleisesti.(17) Kun otetaan huomioon näiden säännösten yleisyyden ja abstraktiuden taso, olisi nimittäin varsin hätkähdyttävää väittää, että näillä säännöksillä on syrjäyttämisvaikutus siten, että ne ovat esteenä kaikille toimenpiteille, joita jäsenvaltiot voivat toteuttaa mutta joita ei nimenomaisesti mainita kyseisissä artikloissa.(18)

43.      Kolmanneksi toinen valittajan esittämä väite koski valvontaviranomaisten itsenäisyyteen kohdistuvaa uhkaa.(19) Se lähinnä väitti, että jos kuluttajayhdistysten asiavaltuus sallitaan, nämä yhdistykset nostaisivat kanteita rinnan valvontaviranomaisten kanssa ja/tai niiden sijasta, jolloin valvontaviranomaisiin kohdistuisi niiden puolueettomuuteen vaikuttava julkinen paine, mikä olisi viime kädessä ristiriidassa direktiivin 28 artiklan 1 kohdassa säädetyn valvontaviranomaisten ehdotonta itsenäisyyttä koskevan edellytyksen kanssa.

44.      Tällä väitteellä ei ole painoarvoa. Edellyttäen, että tällainen valvontaviranomainen ylipäätään on tosiasiallisesti aidosti itsenäinen,(20) Saksan hallituksen tapaan en näe, miten pääasiassa nostetun kaltainen kanne voisi uhata sen itsenäisyyttä. Yhdistys ei voi valvoa lainsäädännön noudattamista siinä mielessä, että sen näkemys sitoisi valvontaviranomaisia. Tämä kuuluu yksinomaan tuomioistuimille. Kuluttajayhdistys voi ainoastaan, kuten kuka tahansa kuluttaja, nostaa kanteen. Siten väite, jonka mukaan mistä tahansa yksityisen tai kuluttajayhdistyksen nostamasta (yksityisestä) kanteesta kohdistuisi painetta elimiin, joiden tehtävänä on lainsäädännön noudattamisen (julkinen) valvonta, ja jonka mukaan tällaisia kanteita ei siten voida sallia julkisen valvonnan järjestelmän rinnalla, on niin eriskummallinen, ettei tätä väitettä ole juurikaan tarpeen tarkastella lähemmin.(21)

45.      Neljänneksi ja viimeiseksi tarkastelen väitettä, jonka mukaan yleisen tietosuoja-asetuksen 80 artiklan 2 kohta on ymmärrettävä siten, että sillä muutetaan aiempaa tilannetta (päinvastaiseksi) sallimalla jotakin sellaista (yhdistysten asiavaltuus), mitä ei aiemmin sallittu.

46.      Tämä perustelu ei ole vakuuttava.

47.      On tärkeää palauttaa mieleen, että kun direktiivi 95/46 korvattiin yleisellä tietosuoja-asetuksella, oikeusvälineen, johon asiaa koskevat säännöt sisältyvät, luonne muuttui direktiivistä asetukseksi. Tämä muutos tarkoitti myös sitä, että erotuksena direktiivistä, jonka osalta jäsenvaltiot voivat valita, miten ne panevat täytäntöön kyseisen lainsäädäntövälineen sisällön, asetuksen täytäntöönpanevia kansallisia säännöksiä voidaan lähtökohtaisesti antaa vain, jos siihen on annettu nimenomaisesti toimivalta.

48.      Tästä näkökulmasta tarkasteltuna väite, jonka mukaan nykyisin yleiseen tietosuoja-asetukseen sisältyvä yhdistysten asiavaltuutta koskeva nimenomainen säännös tarkoittaa sitä, että tämä asiavaltuus oli suljettu pois direktiivissä 95/46, on kyseenalainen. Jos tällaisesta vastakkainasettelusta voidaan ylipäätään johtaa jokin väite,(22) se olisi pikemminkin päinvastainen: jos viimeksi mainittu direktiivi ei ollut esteenä sellaisten säännösten antamiselle, jotka mahdollistavat tämän asiavaltuuden (edellä esittämieni toteamusten perusteella), oikeudellisen muodon muuttuminen direktiivistä asetukseksi oikeuttaisi tällaisen säännöksen sisällyttämisen siihen sen selventämiseksi, että tällainen mahdollisuus on edelleen olemassa.

49.      Edellä esitetyn perusteella ensimmäinen välipäätelmäni on näin ollen, ettei direktiivi 95/46 ole esteenä kansalliselle lainsäädännölle, jossa myönnetään yleishyödyllisille yhdistyksille asiavaltuus panna vireille oikeudenkäynti tietosuojalainsäädännön väitettyä rikkojaa vastaan kuluttajien etujen suojaamiseksi.

B       Onko Fashion ID rekisterinpitäjä?

50.      Toisella kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko valittajaa pidettävä direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä, koska se liitti verkkosivustolleen liitännäisen, joka saa käyttäjän selaimen pyytämään sisältöjä sivulliselta ja siirtää henkilötietoja kyseiselle sivulliselle, vaikka valittaja ei itse voi vaikuttaa tähän tietojenkäsittelytoimeen.

51.      Se ennakkoratkaisua pyytäneen tuomioistuimen kysymyksessään mainitsema seikka, ettei valittajalla ole mahdollisuutta vaikuttaa tietojenkäsittelytoimeen, ei ymmärtääkseni käsiteltävässä asiassa liity näiden tietojen siirtämistä koskevan prosessin aikaansaamiseen (ja tosiseikkojen perusteella valittaja voi selkeästi vaikuttaa siihen, koska se on liittänyt kyseisen liitännäisen verkkosivustolleen). Se vaikuttaa liittyvän pikemminkin tietojen mahdolliseen myöhempään käsittelyyn Facebook Irelandin toimesta.

52.      Kuten ennakkoratkaisua pyytänyt tuomioistuin huomauttaa, sen toiseen kysymykseen annettavalla vastauksella on seurauksia, jotka ulottuvat paljon käsiteltävää asiaa ja Facebook Irelandin ylläpitämää verkkoyhteisöä laajemmalle. Useat verkkosivustot liittävät sivustoilleen eriluonteista sivullisten sisältöä. Jos valittajan kaltaista henkilöä pidettäisiin ”rekisterinpitäjänä”, joka on (yhteis)vastuussa mistä tahansa kerättyjen tietojen (myöhemmästä) käsittelystä, koska kyseinen verkkosivuston ylläpitäjä liitti sivustolleen tällaisten tietojen siirtämisen mahdollistavaa sivullisen sisältöä, tällaisella toteamuksella olisi tosiaankin kauaskantoisempia seurauksia sille, miten sivullisten sisältöä käsitellään.

53.      Käsiteltävässä asiassa toinen kysymys on myös keskeinen kysymys, jossa kulminoituu se, mistä pohjimmiltaan on kyse: tapauksissa, joissa verkkosivustolle on liitetty sivullisten sisältöä, kuka on vastuussa ja tarkasti ottaen mistä? Myös se, miten tarkasti (tai epätarkasti) tähän kysymykseen vastataan, vaikuttaa oikeutettua intressiä, suostumusta ja tiedonantovelvollisuutta käsitteleviin seuraaviin kysymyksiin annettaviin vastauksiin.

54.      Tässä osassa esitän aluksi muutamia alustavia huomautuksia käsiteltävän asian kannalta merkityksellisestä henkilötietojen käsitteestä (1). Sen jälkeen esittelen unionin tuomioistuimen äskettäistä oikeuskäytäntöä ja ehdotan, miten toiseen kysymykseen voitaisiin vastata, jos unionin tuomioistuimen aiemmat ratkaisut hyväksytään esittämättä lisäkysymyksiä (2). Seuraavaksi selitän, miksi lisäkysymyksiä olisi ehkä syytä esittää ja miksi käsiteltävässä asiassa olisi syytä tarkentaa arviota (3). Lopuksi korostan rekisterin (yhteisen) pitämisen käsitteen määrittelyn yhteydessä sen tärkeyttä, että (yhteis)rekisterinpitäjillä on yhtenevät ”keinot ja tarkoitus” kussakin kyseessä olevassa henkilötietojen käsittelyn vaiheessa (tietojenkäsittelytoimessa) (4).

1.      Henkilötiedot käsiteltävässä asiassa

55.      On syytä muistaa, että ”henkilötietojen” käsite määritellään direktiivin 95/46 2 artiklan a alakohdassa siten, että niillä tarkoitetaan ”kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja”. Saman direktiivin johdanto-osan 26 perustelukappaleessa selitetään, että ”sen määrittämiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen henkilön tunnistamiseksi käyttää”.

56.      Unionin tuomioistuin on jo selventänyt, että IP-osoite voi tietyissä tilanteissa kuulua henkilötietoihin.(23) Unionin tuomioistuin totesi lisäksi, että se, että kyseessä voi olla direktiivin 95/46 2 artiklan a alakohdassa tarkoitettu tunnistettavissa oleva henkilö, ”ei edellytä, että tämä tieto yksin mahdollistaa rekisteröidyn tunnistamisen”, ja että henkilön tunnistamiseksi voidaan siten tarvita lisätietoja. Se myös lisäsi, että jotta tietoa voitaisiin pitää henkilötietona, ”ei edellytetä, että kaikki tiedot, joiden perusteella rekisteröity voidaan tunnistaa, ovat yhden ainoan tahon hallussa”, sikäli kuin mahdollisuus yhdistää tietoja on ”rekisteröidyn tunnistamiseksi kohtuullisesti toteutettavissa oleva keino”.(24)

57.      Ennakkoratkaisua pyytänyt tuomioistuin ei käsittele sitä, onko IP-osoite, yksin tai yhdessä myös siirretyn selainketjun kanssa, näissä perusteissa tarkoitettu henkilötieto. Facebook Ireland vaikuttaa kiistävän tämän luokittelun.(25)

58.      On selvää, että tällainen arviointi on kansallisen tuomioistuimen tehtävä. Yleisesti, kun tarkastellaan mitä tahansa lisäosia, joita voidaan liittää, tai mitä tahansa muuta sivullisen sisältöä, tietojen luokittelu henkilötiedoiksi edellyttää ehdottomasti sitä, että rekisteröity voidaan tunnistaa näiden tietojen avulla (joka suoraan tai välillisesti). Käsiteltävässä asiassa pidän selviönä, että kuten ennakkoratkaisua pyytäneen tuomioistuimen esittämistä kysymyksistä näyttää ilmenevän, pääasian olosuhteissa IP-osoite ja selainketju todellakin ovat henkilötietoja ja täyttävät direktiivin 95/46 2 artiklan a alakohdan edellytykset, sellaisina kuin unionin tuomioistuin on niitä selventänyt.

2.      Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?

59.      Toiseen kysymykseen annettavasta vastauksesta valittaja ja Facebook Ireland väittävät, ettei valittajaa voida pitää rekisterinpitäjänä, koska se ei voi vaikuttaa käsiteltäviin henkilötietoihin. Siten ainoastaan Facebook Irelandia voidaan pitää rekisterinpitäjänä. Toissijaisesti Facebook Ireland väittää, että valittaja toimii yhdessä sen kanssa, yhteisrekisterinpitäjänä, mutta että valittajan kaltaisen henkilön vastuu rajoittuu niihin seikkoihin, joihin se voi tosiasiallisesti vaikuttaa.

60.      Vastapuoli, LDI NW, kaikki käsiteltävässä asiassa huomautuksia esittäneet hallitukset ja komissio katsovat lähinnä, että rekisterinpitäjän käsitteen merkitys on laaja ja että valittaja kuuluu siihen. Niiden näissä huomautuksissa esittämät näkemykset valittajan vastuun täsmällisestä laajuudesta vaihtelevat kuitenkin huomattavasti. Näkemyserot koskevat sitä, olisiko valittajan ja Facebook Irelandin oltava yhteisvastuussa (vai ei), olisiko yhteisvastuun rajoituttava siihen tietojenkäsittelyn vaiheeseen, jossa valittaja on tosiasiallisesti osallisena, ja onko tässä yhteydessä erotettava valittajan verkkosivustolla kävijät sen mukaan, onko heillä Facebook-tili vai ei.

61.      Ensinnäkin on selvää, että direktiivin 95/46 2 artiklan d alakohdan mukaan rekisterinpitäjän käsitteeseen kuuluu henkilö, joka, ”yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot”.(26) Rekisterinpitäjän käsite voi siten koskea useita toimijoita, jotka osallistuvat henkilötietojen käsittelyyn,(27) ja sitä olisi tulkittava laajasti.(28)

62.      Unionin tuomioistuin on tarkastellut rekisterin pitämistä yhteisesti äskettäin tuomiossaan Wirtschaftsakademie Schleswig-Holstein.(29) Facebookissa olevan fanisivun hallinnoijan asemasta unionin tuomioistuin katsoi, että hallinnoija toimi, yhdessä Facebook Irelandin kanssa, direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä. Tämä johtui siitä, että hallinnoija osallistui fanisivullaan kävijöiden henkilötietojen käsittelyn tarkoituksen ja keinojen määrittämiseen yhdessä Facebook Irelandin kanssa.(30)

63.      Unionin tuomioistuin erityisesti huomautti, että perustamalla kyseisen fanisivun hallinnoija antoi Facebook Irelandille ”mahdollisuuden sijoittaa evästeitä fanisivullaan käyneen henkilön tietokoneelle tai mille hyvänsä muulle laitteelle” ja siten käsitellä henkilötietoja.(31) Unionin tuomioistuin totesi, että ”fanisivun perustaminen Facebookiin merkitsee kyseisen sivun hallinnoijan kannalta sellaista parametrien valitsemista muun muassa kohdeyleisön sekä toiminnan hallinnoinnin ja edistämisen tavoitteiden suhteen, joka vaikuttaa henkilötietojen käsittelyyn kyseisellä fanisivulla vierailujen pohjalta laadittavien tilastojen laatimisessa”.(32) Kyseessä oleva käsittely mahdollisti sen, että Facebook Ireland saattoi ”parantaa – – mainonnan järjestelmää”, samalla kun se tarjosi hallinnoijalle keinot hallinnoida anonymisoitujen tilastotietojen avulla paremmin oman toimintansa edistämistä.(33)

64.      Unionin tuomioistuin päätteli, että ”valitsemalla parametrit” hallinnoija osallistui fanisivullaan kävijöiden henkilötietojen käsittelyn tarkoituksen ja keinojen määrittämiseen. Tästä syystä sitä oli pidettävä rekisterinpitäjänä, joka on vastuussa kyseisestä käsittelystä yhdessä Facebook Irelandin kanssa (ja sen vastuu on ”vielä suurempi” niiden henkilöiden henkilötietojen osalta, jotka eivät käytä Facebookia).(34)

65.      Tuomiossa Jehovan todistajat unionin tuomioistuin painotti toista tärkeää selvennystä yhteisrekisterinpitäjän käsitteeseen: se, että kyseessä on rekisterin pitäminen yhteisesti ja yhteisvastuu, ei edellytä sitä, että kaikilla rekisterinpitäjillä on pääsy (kaikkiin) kyseisiin henkilötietoihin. Siten uskonnollinen yhdyskunta voi myös olla yhteisrekisterinpitäjä tapauksissa, joissa yhdyskunnalla itsellään ei ilmeisestikään ollut pääsyä kyseisiin kerättyihin tietoihin. Mainitussa asiassa henkilötiedot olivat fyysisesti Jehovan todistajien yhdyskunnan yksittäisten jäsenten hallussa. Tältä osin pidettiin riittävänä, että kyseinen yhdyskunta organisoi ja koordinoi saarnaamistyötä, jonka aikana henkilötietoja ilmeisesti kerättiin, ja kannusti siihen.(35)

66.      Jos asiaa tarkastellaan abstraktimmin ja jos keskitytään ainoastaan rekisterin yhteisen pitämisen käsitteeseen, minun on yhdyttävä siihen näkemykseen,(36) että nämä äskettäiset tuomioistuinratkaisut huomioon ottaen on katsottava, että valittaja toimii rekisterinpitäjänä ja on yhteisvastuussa Facebook Irelandin kanssa tietojenkäsittelystä.

67.      Ensinnäkin vaikuttaa siltä, että valittaja antoi Facebook Irelandille mahdollisuuden saada valittajan verkkosivuston käyttäjien henkilötietoja käyttämällä kyseessä olevaa liitännäistä.

68.      Toiseksi on niin, että toisin kuin asiassa Wirtschaftsakademie Schleswig-Holstein kyseessä ollut hallinnoija valittaja ei ilmeisestikään valitse parametrejä verkkosivustonsa käyttäjiä koskeville tiedoille, jotka palautuisivat sille anonymisoidussa tai muussa muodossa. Tavoiteltava ”hyöty” vaikuttaa koostuvan sen tuotteiden ilmaisesta mainonnasta, jota väitetysti tapahtuu, kun sen verkkosivuston käyttäjä päättää napsauttaa Facebookin Tykkää-painiketta jakaakseen Facebook-tilinsä kautta ajatuksiaan vaikkapa mustasta cocktailmekosta. Jollei ennakkoratkaisua pyytäneen tuomioistuimen tosiseikkoja koskevista selvityksistä muuta johdu, liitännäisen käyttö antaa siten valittajalle mahdollisuuden optimoida tuotteidensa mainontaa, koska se saa niille näkyvyyttä Facebookissa.

69.      Vaihtoehtoisesti – kun asiaa tarkastellaan eri valossa – valittajan voitaisiin sanoa valitsevan kerättyjen tietojen parametrit (tai osallistuvan siihen) yksinkertaisesti siksi, että se on liittänyt kyseessä olevan liitännäisen verkkosivustolleen. Liitännäinen itsessään määrittää kerättävien henkilötietojen parametrit. Siten liittämällä tämän välineen vapaaehtoisesti verkkosivustolleen valittaja on valinnut nämä parametrit kaikkien verkkosivustonsa kävijöiden osalta.

70.      Kolmanneksi – ja joka tapauksessa tuomio Jehovan todistajat huomioon ottaen – henkilöä voidaan pitää yhteisrekisterinpitäjänä, vaikka se ei pääsisikään nauttimaan ”yhteisen työn hedelmistä”. Se seikka, ettei valittajalla ole pääsyä Facebookille siirrettyihin tietoihin tai ettei se ilmeisestikään saa vastineena räätälöityjä tai koottuja tilastoja, ei siten vaikuta ratkaisevalta.

3.      Ongelmat: kuka sitten ei ole yhteisrekisterinpitäjä?

71.      Tehostuuko suojelu, jos kaikki ovat vastuussa suojan takaamisesta?

72.      Tämä on pähkinänkuoressa syvempi moraalinen ja käytännön dilemma, josta käsiteltävä asia on osoitus ja jota oikeudellisesti ilmentää (yhteis)rekisterinpitäjän määritelmän laajuus. Unionin tuomioistuimen äskettäisessä oikeuskäytännössä, jota on leimannut ymmärrettävä toive varmistaa henkilötietojen tehokas suoja, on omaksuttu hyvin laaja lähestymistapa, kun unionin tuomioistuinta on pyydetty määrittelemään tavalla tai toisella (yhteis)rekisterinpitäjän käsite. Unionin tuomioistuimen ei toistaiseksi ole kuitenkaan tarvinnut käsitellä tällaisen laajan, määritelmällisen lähestymistavan käytännön seurauksia, kun kyse on yhteisrekisterinpitäjiksi luokiteltavien osapuolten täsmällisistä velvollisuuksista ja nimenomaisesta vastuusta. Koska käsiteltävä asia antaa tilaisuuden juuri tähän, ehdotan, että käytetään tilaisuutta hyväksi, jotta voidaan täsmentää (yhteis)rekisterinpitäjän käsitteen määritelmiä.

a)      Velvollisuus ja vastuu

73.      Kun tarkastellaan kriittisesti ”yhteisrekisterinpitäjän” tunnistamiseen käytettävää menetelmää, vaikuttaa siltä, että tuomioiden Wirtschaftsakademie Schleswig-Holstein ja Jehovan todistajat mukaan ratkaiseva peruste on se, että kyseinen henkilö ”mahdollisti” henkilötietojen keräämisen ja siirtämisen, mahdollisesti yhdistettynä tällaisen yhteisrekisterinpitäjän jonkinlaiseen panokseen parametrien valinnassa (tai ainakin niiden hiljaiseen hyväksymiseen).(37) Jos asia todellakin on näin, silloin tuomiossa Wirtschaftsakademie Schleswig-Holstein selkeästi ilmaistusta aikomuksesta jättää verkkoyhteisön käyttäjät yhteisrekisterinpitäjän käsitteen ulkopuolelle(38) huolimatta on vaikea nähdä, miten verkko(pohjaisen) sovelluksen, oli kyse sitten verkkoyhteisöstä tai mistä tahansa muusta  yhteistyöalustasta, mutta myös muiden ohjelmien(39) tavanomaisista käyttäjistä ei tulisi myös yhteisrekisterinpitäjiä. Tyypillisesti käyttäjä luo tilin ja antaa hallinnoijalle sitä koskevat parametrit, miten hänen tilinsä on jäsennettävä ja mitä tietoa, mistä ja keneltä hän haluaa saada. Hän myös pyytää ystäviään, kollegoitaan ja muita jakamaan tietoa (usein hyvin arkaluonteisten) henkilötietojen muodossa sovelluksen kautta, jolloin käyttäjä paitsi antaa näitä henkilöitä koskevia tietoja myös pyytää näitä henkilöitä tulemaan itse käyttäjiksi ja osallistuu näin selkeästi näiden henkilöiden henkilötietojen keräämiseen ja käsittelyyn.

74.      Entäpä muut osapuolet ”henkilötietoketjussa”? Jos mennään äärimmäisyyksiin ja jos ainoa merkityksellinen peruste yhteiselle rekisterin pitämiselle on henkilötietojen käsittelyn mahdollistaminen eli tosiasiassa tähän käsittelyyn osallistuminen sen missä tahansa vaiheessa, eikö siinä tapauksessa myös internetoperaattori, joka mahdollistaa tietojen käsittelyn tarjoamalla pääsyn internetiin, tai myös sähköntoimittaja ole yhteisrekisterinpitäjä, joka on mahdollisesti yhteisvastuussa henkilötietojen käsittelystä?

75.      Vaistonvarainen vastaus on tietysti ”ei”. Ongelmana on se, että vastuun rajaaminen ei toistaiseksi perustu rekisterinpitäjän laajaan määritelmään. Vaarana tällaisessa liian laajassa määritelmässä on se, että sen seurauksena useat henkilöt ovat yhteisvastuussa henkilötietojen käsittelystä.

76.      Toisin kuin edellisessä osassa tarkastelluissa asioissa ennakkoratkaisua pyytäneen tuomioistuimen käsiteltävässä asiassa esittämät kysymykset eivät kuitenkaan rajoitu siihen, miten ”rekisterinpitäjä” määritellään. Niissä tarkastellaan laajemmin tähän liittyviä kysymyksiä sen kannalta, miten direktiivissä 95/46 asetetut varsinaiset velvollisuudet jakautuvat. Nämä kysymykset itsessään ovat osoitus ongelmista, joita rekisterinpitäjän liian laajasta määritelmästä aiheutuu, etenkin kun direktiiviin 95/46 ei sisälly täsmällistä säännöstä siitä, mitä velvollisuuksia ja vastuita rekisterinpitäjillä tarkasti ottaen on kyseisen direktiivin nojalla. Tätä havainnollistavat hyvin muiden osapuolten huomautukset viidennestä ja kuudennesta kysymyksestä, jotka koskevat direktiivin mukaisten vastuiden täsmällistä jakautumista.

77.      Viidennessä kysymyksessä tiedustellaan lähinnä, kenen on saatava rekisteröidyn suostumus ja mihin tarkoitukseen. Tähän kysymykseen ehdotetut vastaukset vaihtelevat merkittävästi.

78.      Vastapuoli ja LDI NW katsovat, että velvollisuus saada rekisteröidyn tietoinen suostumus on valittajalla, joka päätti liittää verkkosivustolleen kyseisen liitännäisen. Tämä on vastapuolen näkemyksen mukaan sitäkin tärkeämpää niiden käyttäjien kannalta, joilla ei ole Facebook-tiliä ja jotka eivät ole hyväksyneet Facebookin yleisiä käyttöehtoja. Valittaja katsoo, että suostumus on annettava liitetyn sisällön tarjoavalle sivulliselle, nimittäin Facebook Irelandille. Facebook Ireland puolestaan katsoo, ettei suostumusta tarvitse antaa tietylle taholle, koska direktiivissä 95/46 ainoastaan täsmennetään, että suostumuksen on oltava vapaaehtoinen, yksilöity ja tietoinen.

79.      Itävalta, Saksa ja Puola esittävät, että suostumus on annettava ennen tietojen käsittelyä, ja Itävallan mukaan suostumuksen on koskettava sekä tietojen keräämistä että niiden mahdollista siirtämistä. Puola tähdentää, että suostumus on annettava valittajalle. Saksan mukaan suostumus on annettava valittajalle tai liitetyn sisällön tarjoavalle sivulliselle (Facebook Ireland), koska molemmat ovat yhteisvastuussa käsittelystä. Valittajan on Saksan mukaan saatava suostumus ainoastaan tietojen siirtämiseen sivulliselle, koska kerättyjen tietojen muun käsittelyn ja käytön osalta se ei toimi enää rekisterinpitäjänä. Tämä ei kuitenkaan estä verkkosivuston ylläpitäjän mahdollisuutta saada suostumus, joka koskee sivullisen toimesta tapahtuvaa käsittelyä, jota voidaan säännellä näiden kahden välisellä sopimuksella. Italia väittää, että suostumus on annettava kaikille henkilötietojen käsittelyyn osallistuville, nimittäin valittajalle ja Facebook Irelandille. Belgia ja komissio korostavat, ettei direktiivissä 95/46 täsmennetä, kenelle suostumus on annettava.

80.      Samankaltainen näkemysten kirjo esitettiin siitä, kenellä on direktiivin 95/46 10 artiklan mukainen velvollisuus toimittaa tietoja rekisteröidylle ja tarkasti ottaen mistä, mitä käsitellään ennakkoratkaisua pyytäneen tuomioistuimen kuudennessa kysymyksessä.

81.      Vastapuolen mukaan verkkosivuston ylläpitäjällä on velvollisuus toimittaa tarvittavat tiedot rekisteröidylle. Valittaja väittää päinvastaista ja korostaa, että Facebook Irelandin on toimitettava tiedot rekisteröidylle, koska valittajalla ei ole tarkkaa tietoa niistä. Facebook Ireland korostaa samaan tapaan, että sillä on tiedonantovelvollisuus, koska tämä velvollisuus on osoitettu ainoastaan rekisterinpitäjälle (tai sen edustajalle). Se huomauttaa, että kuudenteen kysymykseen annettava vastaus liittyy läheisesti siihen, onko verkkosivuston ylläpitäjä rekisterinpitäjä. Direktiivin 95/46 10 artiklasta ilmenee, ettei verkkosivuston ylläpitäjää voida pitää rekisterinpitäjänä, koska se ei voi toimittaa näitä tietoja. LDI NW katsoo, että verkkosivuston ylläpitäjän on toimitettava tiedot, mutta myöntää olevan vaikeaa määrittää, mitä tietoja rekisteröidylle olisi annettava, koska valittaja ei voi vaikuttaa Facebook Irelandin tekemään tietojenkäsittelyyn. Tietojenkäsittelyn tavoitteiden kietoutuminen yhteen viittaa siihen, että verkkosivuston ylläpitäjän olisi oltava yhteisvastuussa tietojenkäsittelystä, jonka se on mahdollistanut.

82.      Belgia, Italia ja Puola toteavat, että tiedonantovelvollisuutta sovelletaan myös nyt kyseessä olevan kaltaiseen verkkosivuston ylläpitäjään, koska sitä voidaan pitää rekisterinpitäjänä. Belgia lisää, että verkkosivuston ylläpitäjällä voi myös olla velvollisuus varmistua myöhemmän tietojenkäsittelyn tarkoituksesta ja ryhtyä tarvittaviin toimiin luonnollisten henkilöiden suojan varmistamiseksi. Saksan hallitus väittää, että tiedonantovelvollisuutta sovelletaan verkkosivuston ylläpitäjään siltä osin kuin se on vastuussa käsittelystä, nimittäin tietojen siirtämisestä verkkosivustolle liitetyn sisällön ulkoiselle toimittajalle, mutta ei kaikista myöhemmistä tietojenkäsittelyvaiheista, jotka ovat tämän ulkoisen toimittajan vastuulla. Itävallan ja komission näkemyksen mukaan sekä verkkosivuston ylläpitäjään että ulkoiseen toimittajaan sovelletaan direktiivin 95/46 10 artiklassa säädettyä tiedonantovelvollisuutta.

83.      Viidennessä ja kuudennessa kysymyksessä esille tulevien näkökohtien ohella voitaisiin lisätä, että samankaltaisia käsitteellisiä vaikeuksia syntyy todennäköisesti myös, kun tarkastellaan muita direktiivissä 95/46 määriteltyjä velvollisuuksia, kuten sen 12 artiklassa säädettyä tiedonsaantioikeutta. On totta, että tuomiossa Wirtschaftsakademie Schleswig-Holstein unionin tuomioistuin totesi, että ”direktiivissä 95/46 ei edellytetä, että silloin kun useampi toimija vastaa yhdessä samasta henkilötietojen käsittelystä, kaikilla niistä on pääsy kyseisiin henkilötietoihin”.(40) Rekisterinpitäjä, jolla itsellään ei ole pääsyä tietoihin, joiden osalta sitä tästä huolimatta pidetään (yhteis)rekisterinpitäjänä, ei täysin loogisesti voi tarjota tätä pääsyä rekisteröidylle (muista toimista, kuten tietojen oikaisemisesta tai poistamisesta, puhumattakaan).

84.      Siten tässä vaiheessa ketjun alkupäätä (kuka on rekisterinpitäjä ja tarkasti ottaen minkä osalta) käsitteellinen epäselvyys, joka voi joissain tapauksissa johtaa epäselvyyteen ketjun loppupäässä (kuka on vastuussa mistäkin), ylittää rajan, jonka jälkeen mahdollisen yhteisrekisterinpitäjän on tosiasiassa mahdotonta noudattaa voimassa olevaa lainsäädäntöä.

85.      Voitaisiin tietysti väittää, että jotta vastuu voidaan jakaa tarkasti eri rekisterinpitäjien (joita on mahdollisesti useita) kesken, olisi tehtävä sopimuksia. Näin paitsi määrättäisiin vastuun jakautumisesta myös yksilöitäisiin osapuoli, jonka on noudatettava kaikkia direktiivissä säädettyjä velvollisuuksia, myös niitä, jotka ainoastaan yksi osapuoli voi fyysisesti täyttää.

86.      Pidän tällaista ehdotusta erittäin ongelmallisena. Ensinnäkin se on täysin epärealistinen, kun otetaan huomioon niiden muodollisten, vakiomuotoisten sopimusten suuri määrä, jotka minkä osapuolen tahansa, mitä todennäköisimmin myös useiden tavanomaisten käyttäjien, olisi allekirjoitettava.(41) Toiseksi voimassa olevan lainsäädännön ja siinä säädetyn vastuunjaon soveltaminen edellyttäisi yksityisten osapuolten välisiä sopimuksia, joihin oikeuksiinsa vetoavilla sivullisilla ei ehkä ole mahdollisuutta tutustua.

87.      Kolmanneksi yleisen tietosuoja-asetuksen, jossa ehkä osittain ennakoidaan joitain näistä kysymyksistä, 26 artiklassa otetaan käyttöön uusi yhteisvastuun sääntelyjärjestelmä. On totta, ettei yleistä tietosuoja-asetusta voitu soveltaa ajallisesti tässä osassa tarkasteltuihin asioihin tai käsiteltävään asiaan. Ellei uudessa lainsäädännössä poiketa nimenomaisesti tai systemaattisesti merkityksellisistä määritelmistä, mistä ei vaikuta olevan kyse, sillä yleisen tietosuoja-asetuksen 4 artiklassa käytetään pääosin samoja keskeisiä käsitteitä kuin direktiivin 95/46 2 artiklassa (ja lisätään useita uusia käsitteitä), olisi kuitenkin melko yllättävää, jos tällaisten keskeisten käsitteiden, kuten rekisterinpitäjän, käsittelyn tai henkilötietojen käsitteiden, tulkinta poikkeaisi merkittävästi (ilman hyvää syytä) nykyisestä oikeuskäytännöstä.

88.      Jos näin todellakin olisi, yleisen tietosuoja-asetuksen 26 artiklan 3 kohdassa käyttöön otettu yhteisrekisterinpitäjien yhteisvastuuta koskeva sääntelyjärjestelmä voisi osoittautua melkoiseksi haasteeksi. Yhtäältä yleisen tietosuoja-asetuksen 26 artiklan 1 kohdan mukaan yhteisrekisterinpitäjät ”määrittelevät keskinäisellä järjestelyllä – – kunkin vastuualueen – – velvoitteiden noudattamiseksi”. Toisaalta yleisen tietosuoja-asetuksen 26 artiklan 3 kohdassa kuitenkin selvennetään, että riippumatta tällaisen järjestelyn ehdoista ”rekisteröity voi käyttää – – oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan”. Kenen tahansa yhteisrekisterinpitäjän voidaan siten katsoa olevan vastuussa kyseisestä tietojenkäsittelystä.

b)      Laajempi tilanne

89.      Kauan sitten (tietyn scifi-elokuvasarjan fanit saattavat haluta lisätä tähän ”kaukaisessa galaksissa”) oli trendikästä kuulua verkkoyhteisöön. Sitten vähitellen alkoi olla trendikästä, ettei kuulu verkkoyhteisöön. Nykyisin verkkoyhteisöön kuuluminen vaikuttaa olevan rikos (ja sen osalta on otettava käyttöön uusia muotoja, jotka koskeva laillista vastuuta toisen teoista).

90.      Tuomioistuinten päätöksenteko tapahtuu kiistatta jatkuvasti muuttuvassa sosiaalisessa kehyksessä. Tuomioistuinten olisi tietysti reagoitava tähän muuttuvaan kehykseen, joka ei kuitenkaan saa määrittää tehtäviä ratkaisuja. Verkkoyhteisö, kuten mikä tahansa muu sovellus tai ohjelma, on väline. Veitsen tai auton tapaan sitä voidaan käyttää monin eri tavoin. On myös kiistatonta, että jos sitä käytetään vääriin tarkoituksiin, tästä käytöstä on määrättävä seuraamuksia. Ei ehkä ole kuitenkaan paras ajatus rangaista ketä tahansa, joka on koskaan käyttänyt veistä. Seuraamus määrätään yleensä sille henkilölle tai henkilöille, joka tai jotka pitelivät veistä silloin, kun siitä aiheutui vahinkoa.

91.      Vallan, toisin sanoen hallinnan, ja vastuun välillä pitäisi siten olla – ei ehkä aina täydellinen – mutta ainakin kohtuullinen vastaavuus. Nykyaikaiseen lainsäädäntöön sisältyy luonnollisesti erilaisia objektiivisen vastuun muotoja, joissa vastuu syntyy jo pelkästään tiettyjen tulosten seurauksena. Ne ovat kuitenkin yleensä perusteltuja poikkeuksia. Jos vastuu osoitetaan ilman perusteltua selitystä jollekulle, joka ei voinut vaikuttaa mitenkään lopputulokseen, tällaista vastuunjakoa pidetään tyypillisesti perusteettomana tai epäoikeudenmukaisena.(42)

92.      Vastatessaan tämän osan alussa (71 kohdassa) esitettyyn kysymykseen skeptinen henkilö Euroopan unionin itäisemmistä osista saattaisi ehdottaa historiallisen kokemuksensa perusteella, että tehokas suoja yleensä heikkenee dramaattisesti, jos jokainen on vastuussa siitä. Jokaisen asettaminen vastuuseen tarkoittaa, ettei tosiasiassa kukaan ole vastuussa. Tai pikemminkin se osapuoli, jonka olisi pitänyt katsoa olevan vastuussa tietystä menettelystä ja joka harjoittaa tosiasiallisesti valvontaa, piilottelee todennäköisesti kaikkien muiden nimellisesti ”yhteisvastuullisten” takana, jolloin tehokas suoja vesittyy todennäköisesti merkittävästi.

93.      Hyvän lainsäädännön (tulkinnan) ei pitäisi johtaa lopputulokseen, jossa ne, joille vastuu on osoitettu lainsäädännössä, eivät tosiasiallisesti voi täyttää sitä. Ellei rekisterin (yhteisen) pitämisen karkean määritelmän ole tarkoitus muuttua tuomioistuinten tukemaksi, kaikkiin toimijoihin sovellettavaksi käskyksi katkaista yhteydet ja pidättyä käyttämästä kaikkia verkkoyhteisöjä, lisäosia ja mahdollisesti muuta sivullisten sisältöä, velvollisuuksia ja vastuita määriteltäessä on otettava huomioon todellisuus, tässäkin tapauksessa kysymykset, jotka liittyvät tietämykseen, todelliseen neuvotteluvaltaan ja mahdollisuuteen vaikuttaa moitittuihin toimintoihin.(43)

4.      Takaisin (lainsäädännön) juurille: tarkoituksen ja keinojen yhtenäisyys tietyn käsittelytoimen osalta

94.      Vaikka unionin tuomioistuin omaksui melko yksiulotteisen lähestymistavan rekisterin yhteisen pitämisen määrittelemiseen tuomiossa Wirtschaftsakademie Schleswig-Holstein, se myös viittasi tarpeeseen rajata (yhteis)rekisterinpitäjän vastuuta. Tarkemmin ottaen unionin tuomioistuin huomautti, ettei ”yhteinen vastuu välttämättä merkitse henkilötietojen käsittelyyn osallistuvien eri toimijoiden samanlaista vastuuta. Kyseiset toimijat voivat – – osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, joten kunkin niistä vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset olosuhteet”.(44)

95.      Vaikka tätä nimenomaista kysymystä ei ollut tarpeen käsitellä tuomiossa Wirtschaftsakademie Schleswig-Holstein, sitä on tarkasteltava käsiteltävässä asiassa, jossa ennakkoratkaisua pyytänyt tuomioistuin pyytää suoraan unionin tuomioistuinta selvittämään valittajan mahdolliset velvollisuudet, jotka seuraavat sen asemasta rekisterinpitäjänä.

96.      Kun otetaan huomioon yleisen tietosuoja-asetuksen 26 artiklassa äskettäin käyttöön otettu yhteisvastuullisuuden järjestelmä, voi olla vaikea hahmottaa, miten yhteisvastuu voisi merkitä henkilötietojen mahdollisesti laillisen (lainvastaisen) käsittelyn saman lopputuloksen osalta erilaista vastuuta. Näin on erityisesti, kun otetaan huomioon yleisen tietosuoja-asetuksen 26 artiklan 3 kohta, joka vaikuttaa ohjaavan yhteisvastuullisuuden suuntaan.(45)

97.      Katson kuitenkin, että unionin tuomioistuimen keskeinen toteamus on jälkimmäinen, nimittäin se, että ”toimijat voivat – – osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti”. Tällainen ehdotus saa tukea direktiiviin 95/46 sisältyvistä määritelmistä, etenkin i) 2 artiklan b alakohtaan sisältyvästä henkilötietojen käsittelyn ja ii) 2 artiklan d alakohtaan sisältyvästä rekisterinpitäjän käsitteen määritelmästä.

98.      Ensinnäkin henkilötietojen käsittelyllä tarkoitetaan ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen”.

99.      Vaikka käsittelyn käsite onkin rekisterinpitäjän käsitteen tapaan melko laaja,(46) siinä selkeästi korostetaan käsittelyn yhtä vaihetta, ja se kohdistuu tähän vaiheeseen: siinä viitataan toimintoihin tai toimintojen kokonaisuuksiin ja esitetään havainnollistava luettelo siitä, mitä tällaiset yksittäiset toiminnot voisivat olla. Rekisterin pitämistä olisi kuitenkin loogisesti arvioitava pikemminkin kyseessä olevan erillisen toiminnon osalta eikä sellaisen määrittelemättömän, kaikenlaisia toimintoja käsittävän joukon osalta, jota nimitetään käsittelyksi.(47)

100. Toiseksi rekisterin yhteisen pitämisen käsitettä ei määritellä nimenomaisesti direktiivissä 95/46. Tämä käsite perustuu kuitenkin loogisesti 2 artiklan d alakohtaan sisältyvään rekisterinpitäjän käsitteeseen: rekisteriä pidetään yhteisesti, kun vähintään kaksi henkilöä määrittelee yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot.(48) Toisin sanoen, jotta (vähintään) kahta henkilöä voidaan pitää yhteisrekisterinpitäjinä, niiden tekemällä henkilötietojen käsittelyllä on oltava sama tarkoitus ja samat keinot.

101. Yhteisrekisterinpitäjien velvollisuudet ja mahdollinen vastuu olisi nähdäkseni määritettävä näiden kahden määritelmän yhdistelmällä. (Yhteis)rekisterinpitäjä on vastuussa siitä toiminnosta tai toimintojen kokonaisuudesta, jonka osalta se jakaa tai määrittelee (yhdessä jonkun toisen kanssa) tietyn käsittelytoimen tarkoituksen ja keinot. Kyseisen henkilön ei sitä vastoin voida katsoa olevan vastuussa koko käsittelyketjun joko tätä edeltävistä vaiheista tai myöhemmistä vaiheista, joiden osalta sillä ei ollut mahdollisuutta määrittää joko tämän käsittelyvaiheen tarkoitusta tai keinoja.

102. Käsiteltävässä asiassa käsittelyn merkityksellinen vaihe (toiminnot) on henkilötietojen kerääminen ja siirtäminen, jotka tapahtuvat Facebookin Tykkää-painikkeen välityksellä.

103. Ensinnäkin, kun tarkastellaan näiden tietojenkäsittelytoimien keinoja, kuten vastapuoli, LDI NW ja Saksan hallitus esittivät, vaikuttaa selvältä, että valittaja päättää kyseessä olevan liitännäisen, joka toimii henkilötietojen keräämisen ja siirtämisen välineenä, käytöstä. Henkilötietojen kerääminen ja siirtäminen käynnistyy vierailtaessa valittajan verkkosivustolla. Kyseisen liitännäisen tarjosi valittajalle Facebook Ireland. Sekä Facebook Ireland että valittaja ovat siten ilmeisesti vapaaehtoisesti saaneet aikaan tietojenkäsittelyn keräämis- ja siirtämisvaiheen. Näiden tosiseikkojen selvittäminen on tietysti kansallisen tuomioistuimen asia.

104. Toiseksi, kun tarkastellaan tietojenkäsittelyn tarkoitusta, ennakkoratkaisupyynnössä ei mainita syitä siihen, miksi valittaja päätti liittää Facebookin Tykkää-painikkeen (liitännäinen) verkkosivustolleen. Jollei ennakkoratkaisua pyytäneen tuomioistuimen selvityksistä muuta johdu, tämän päätöksen taustalla vaikuttaa kuitenkin olleen toive lisätä valittajan tuotteiden näkyvyyttä verkkoyhteisön avulla. Samanaikaisesti vaikuttaa myös siltä, että Facebook Irelandille siirrettyjä tietoja käytetään tämän omiin kaupallisiin tarkoituksiin.

105. Huolimatta siitä, ettei tietojen erityinen kaupallinen käyttötarkoitus ole välttämättä sama, yleisesti ottaen sekä valittaja että Facebook Ireland vaikuttavat pyrkivän kaupallisiin tarkoituksiin tavalla, jossa niiden toimet täydentävät toisiaan. Tällä tavoin, vaikka tarkoitukset eivät olekaan täysin samat, ne ovat yhtenäiset: kaupallinen tarkoitus ja mainontatarkoitus.

106. Käsiteltävän asian tosiseikkojen perusteella vaikuttaa siten siltä, että valittaja ja Facebook Ireland päättävät yhdessä tietojenkäsittelyn keinoista ja tarkoituksesta siinä vaiheessa, kun kyseessä olevat henkilötiedot kerätään ja siirretään. Tältä osin valittaja toimii rekisterinpitäjänä ja on myös yhteisvastuussa Facebook Irelandin kanssa.

107. Samanaikaisesti katson, että valittajan vastuun on rajoituttava siihen tietojenkäsittelyn vaiheeseen, jossa se on osallisena, ja ettei sen vastuu voi ulottua tietojenkäsittelyn mahdollisiin myöhempiin vaiheisiin, jos tällaista käsittelyä tapahtuu siten, ettei valittaja voi vaikuttaa siihen eikä myöskään ole siitä tietoinen, kuten käsiteltävässä asiassa vaikuttaa olevan.

108. Edellä esitetyn perusteella esitän näin ollen toisena välipäätelmänäni, että valittajan kaltaista henkilöä, joka on liittänyt verkkosivustolleen sivullisen liitännäisen, joka aiheuttaa käyttäjän henkilötietojen keräämisen ja siirtämisen (ja jonka kyseinen sivullinen on tarjonnut), on pidettävä direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä. Tämän rekisterinpitäjän (yhteis)vastuu rajoittuu kuitenkin niihin toimintoihin, joiden osalta se tosiasiallisesti osallistuu henkilötietojen käsittelyn keinoista ja tarkoituksesta päättämiseen.

109. On syytä lisätä, että tämä päätelmä vastaa myös esitettyyn kolmanteen kysymykseen. Kyseisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko direktiivi 95/46 esteenä kansalliseen oikeuteen sisältyvän käsitteen ”Störerhaftung” (välillinen vastuu oikeudenloukkauksesta) soveltamiselle valittajaan, jos todetaan, että valittajaa ei voida pitää rekisterinpitäjänä. Ennakkoratkaisupyynnön mukaan käsite ”Störerhaftung” edellyttää, että henkilö, joka ei itse loukkaa oikeutta mutta on aiheuttanut riskin tai lisännyt riskiä siitä, että sivullinen loukkaa oikeutta, ryhtyy oikeudenloukkauksen estämiseksi kaikkiin mahdollisiin toimiin, joita häneltä voidaan kohtuudella odottaa. Jos valittajaa ei voida pitää rekisterinpitäjänä, ennakkoratkaisua pyytänyt tuomioistuin ehdottaa, että edellytykset käsitteen ”Störerhaftung” soveltamiselle ovat täyttyneet, koska liittämällä Facebookin Tykkää-painikkeen (liitännäisen) verkkosivustolleen valittaja on vähintäänkin aiheuttanut riskin Facebookin tekemästä oikeudenloukkauksesta.

110. Kun otetaan huomioon ennakkoratkaisua pyytäneen tuomioistuimen toiseen kysymykseen annettu vastaus, kolmatta kysymystä ei ole tarpeen tarkastella. Kun on todettu, että tietty henkilö on luokiteltava direktiivin 95/46 soveltamisalaan kuuluvaksi rekisterinpitäjäksi, sen velvollisuuksia rekisterinpitäjänä on arvioitava kyseisessä direktiivissä määriteltyjen velvollisuuksien valossa. Päinvastainen päätelmä johtaisi rekisterinpitäjien erilaiseen vastuuseen tietystä loukkauksesta eri jäsenvaltioissa. Tässä mielessä ja rekisterinpitäjän määritelmän osalta direktiivillä 95/46 nimittäin yhdenmukaistetaan täysimääräisesti se, ketä siinä määritellyt velvollisuudet koskevat.(49)

C       Direktiivin 95/46 7 artiklan f alakohdan nojalla huomioon otettava oikeutettu intressi

111. Käsiteltävässä asiassa esitetty neljäs kysymys koskee henkilötietojen käsittelyn laillisuutta siinä tapauksessa, ettei rekisteröity ole antanut suostumustaan direktiivin 95/46 7 artiklan a alakohdassa tarkoitetulla tavalla.

112. Ennakkoratkaisua pyytänyt tuomioistuin viittaa tältä osin direktiivin 95/46 7 artiklan f alakohtaan, jonka mukaan henkilötietoja voidaan käsitellä, jos se on ”tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn – – intressit ja perusoikeudet ja ‑vapaudet”. Ennakkoratkaisua pyytänyt tuomioistuin pyrkii tarkemmin ottaen selvittämään, kenen oikeutettu intressi olisi otettava huomioon käsiteltävässä asiassa: valittajan, joka on liittänyt sivullisen sisältöä verkkosivustolleen, vai kyseisen sivullisen (nimittäin Facebook Irelandin).(50)

113. Alustavana seikkana on syytä huomauttaa, että komission mukaan neljäs kysymys on merkityksetön, koska nyt tarkasteltavassa tapauksessa käyttäjän on joka tapauksessa annettava suostumus, kun sovelletaan henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY (jäljempänä sähköisen viestinnän tietosuojadirektiivi) täytäntöönpanolainsäädäntöä.(51)

114. Olen samaa mieltä komission kanssa siitä, että sähköisen viestinnän tietosuojadirektiiviä (jolla sen 1 artiklan 2 kohdan mukaan täsmennetään ja täydennetään direktiiviä 95/46 sähköisen viestinnän alalla)(52) sovelletaan nyt tarkasteltavaan tilanteeseen siltä osin kuin käyttäjien laitteille asetetaan evästeitä.(53) Sähköisen viestinnän tietosuojadirektiivin 2 artiklan f alakohdassa ja johdanto-osan 17 perustelukappaleessa määritellään lisäksi suostumus viittaamalla direktiiviin 95/46 sisältyvään suostumuksen käsitteeseen.

115. Istunnossa keskusteltiin seikkaperäisesti siitä, asetettiinko käsiteltävässä asiassa evästeitä käyttäjien laitteille. Tämän tosiseikan selvittäminen on kansallisen tuomioistuimen asia. Kuten ennakkoratkaisupyynnössä kuvataan, ennakkoratkaisua pyytänyt tuomioistuin katsoo joka tapauksessa, että siirretyt tiedot ovat henkilötietoja.(54) Kysymys evästeistä ei siten ilmeisestikään tarjoa vastausta kaikkiin käsiteltävässä asiassa tietojenkäsittelyn yhteydessä esille tuleviin kysymyksiin.(55)

116. Katson siten, että neljättä kysymystä on syytä tarkastella lähemmin.

117. Vastapuolen mukaan huomioon otettava oikeutettu intressi on valittajan intressi. Se lisää, etteivät valittaja ja Facebook Ireland voi vedota oikeutettuun intressiin käsiteltävässä asiassa.

118. Valittaja ja Facebook Ireland väittävät lähinnä, että huomioon otettava oikeutettu intressi on sen henkilön intressi, joka liittää sivullisen sisältöä verkkosivustolleen, ja kyseisen sivullisen intressi ja että lisäksi huomioon on otettava niiden verkkosivuston kävijöiden intressi, joiden perusoikeuksia saatetaan loukata.

119. LDI NW sekä Puola, Saksa ja Italia katsovat, että olisi otettava huomioon sekä valittajan että Facebook Irelandin oikeutettu intressi, koska ne molemmat ovat mahdollistaneet kyseessä olevan käsittelyn. Itävalta esittää samankaltaisen näkemyksen. Belgia viittaa unionin tuomioistuimen tuomioon Google Spain ja korostaa samaan tapaan, että huomioon otettava oikeutettu intressi on rekisterinpitäjän ja niiden sivullisten intressi, joille kyseiset henkilötiedot on välitetty.

120. Ensinnäkin on syytä muistuttaa, että henkilötietojen käsittelyssä on lähtökohtaisesti noudatettava muun muassa jotakin tietojenkäsittelyn laillisuutta koskevista periaatteista, jotka luetellaan direktiivin 95/46 7 artiklassa.(56)

121. Etenkin 7 artiklan f alakohdasta unionin tuomioistuin muistutti, että mainitussa säännöksessä ”säädetään kolmesta kumulatiivisesta edellytyksestä henkilötietojen käsittelyn laillisuudelle, eli edellytetään ensinnäkin, että tietojenkäsittely tapahtuu rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, toiseksi, että käsittely on tarpeen oikeutetun intressin toteuttamiseksi, ja kolmanneksi, että henkilön, jota tietosuoja koskee, perusoikeudet ja ‑vapaudet eivät syrjäytä tätä intressiä”.(57)

122. Direktiivissä 95/46 ei määritellä tai luetella ”oikeutettuja intressejä”. Tämä käsite vaikuttaa olevan melko joustava ja avoin.(58) Minkäänlaista intressiä ei sinänsä suljeta pois, tietysti niin kauan kuin se on itsessään laillinen. Kuten istunnossa pohjimmiltaan keskusteltiin ja edellä todettiin,(59) käsiteltävässä asiassa vaikuttaa oleva kyse henkilötietojen keräämisestä ja siirtämisestä mainonnan optimointia varten, vaikka valittajan ja Facebook Irelandin täsmälliset perimmäiset tavoitteet eivät välttämättä olekaan täysin samoja.

123. Nämä näkökohdat mielessä pitäen olen samaa mieltä siitä, että markkinointi tai mainonta voi sinänsä olla tällainen oikeutettu intressi.(60) Käsiteltävässä asiassa on melko vaikeaa esittää tätä täsmällisempiä toteamuksia, koska näitä yleisiä toteamuksia lukuun ottamatta tiedossa ei ole, miten kerättyjä ja siirrettyjä tietoja tarkasti ottaen käytetään.

124. Ennakkoratkaisua pyytänyt tuomioistuin ei kuitenkaan tarkastele pääasiassa esitetyn erityisen oikeutetun intressin arviointia tai pyydä ohjeita siihen. Neljännessä kysymyksessään ennakkoratkaisua pyytänyt tuomioistuin haluaa pelkästään selvittää, kenen oikeutettu intressi olisi otettava huomioon, jotta direktiivin 95/46 7 artiklan f alakohdan mukainen punnitseminen voidaan tehdä.

125. Edellä toiseen kysymykseen ehdottamani vastaus huomioon ottaen katson, että sekä valittajan että Facebook Irelandin oikeutettu intressi on otettava huomioon, koska ne molemmat toimivat yhteisrekisterinpitäjinä kyseisen henkilötietojen käsittelytoimen osalta.

126. Koska niiden asema yhteisrekisterinpitäjinä merkitsee sitä, että niillä on myös yhteiset tavoitteet henkilötietojen käsittelylle, oikeutetun intressin olemassaolo on näytettävä toteen niiden molempien osalta ainakin yleisellä tasolla, kuten edellä selitettiin. Tätä intressiä on sitten punnittava suhteessa rekisteröityjen oikeuksiin, kuten direktiivin 95/46 7 artiklan f alakohdan toisessa lauseessa säädetään,(61) ja tämä punninta ”riippuu kunkin tapauksen konkreettisista olosuhteista”.(62) Muistutan, että tietojenkäsittelyn on tällaisissa olosuhteissa myös oltava tarpeellista.(63)

127. Edellä esitetyn perusteella kolmas välipäätelmäni on, että sen arvioimiseksi, onko henkilötietoja mahdollista käsitellä direktiivin 95/46 7 artiklan f alakohdassa määritettyjen edellytysten mukaisesti, on otettava huomioon molempien kyseessä olevien yhteisrekisterinpitäjien oikeutettu intressi ja niitä on punnittava suhteessa rekisteröityjen oikeuksiin.

D       Rekisteröidyltä saatavaa suostumusta ja rekisteröidylle toimitettavia tietoja koskevat valittajan velvollisuudet

128. Viidennellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, kenelle direktiivin 95/46 7 artiklan a alakohdassa ja 2 artiklan h alakohdassa tarkoitettu suostumus on annettava esillä olevan kaltaisessa tilanteessa.

129. Kuudennella kysymyksellään se tiedustelee, koskeeko direktiivin 95/46 10 artiklassa säädetty tiedonantovelvollisuus esillä olevan kaltaisessa tilanteessa myös verkkosivuston ylläpitäjää (kuten valittajaa), joka on liittänyt sivullisen sisältöä verkkosivustolleen ja siten aiheuttanut sivullisen suorittaman henkilötietojen käsittelyn.

130. Kuten edellä nähtiin,(64) näihin kysymyksiin on ehdotettu useita erilaisia vastauksia. Kun on määritetty toisessa kysymyksessä tarkoitetun velvollisuuden täsmällinen luonne sekä tämän velvollisuuden vastapuolen (kuka) että sen luonteen (mistä) osalta ja tämä kysymys on siten selvitetty käsittelyketjun alkupäässä, vastaukset viidenteen ja kuudenteen kysymykseen, jotka koskevat tiettyjä käsittelyketjun loppupään velvollisuuksia, selkiytyvät.

131. Katson ensinnäkin, että sekä suostumuksen että rekisteröidylle toimitettavien tietojen on käsitettävä kaikki sen tietojenkäsittelytoimen näkökohdat, josta yhteisrekisterinpitäjät ovat yhteisvastuussa, nimittäin keräämisen ja siirtämisen. Käänteisesti nämä suostumusta ja tiedonantoa koskevat velvollisuudet eivät ulotu sellaisiin tietojenkäsittelyn myöhempiin vaiheisiin, joissa valittaja ei ole osallisena ja joiden osalta se ei loogisesti määritä käsittelyn keinoja tai tarkoitusta.

132. Toiseksi näiden edellytysten mukaisesti voitaisiin väittää, että suostumus voidaan antaa kummalle yhteisrekisterinpitäjistä tahansa. Kun tarkastellaan nyt kyseessä olevaa tilannetta, tämä suostumus on kuitenkin annettava valittajalle, koska käsittelytoimi käynnistyy, kun kävijä vierailee sen verkkosivustolla. Ei olisi selvästikään rekisteröityjen oikeuksien tehokkaan ja oikea-aikaisen suojelun mukaista, jos suostumus olisi annettava ainoastaan sille yhteisrekisterinpitäjälle, joka osallistuu tietojenkäsittelyyn myöhemmin (jos lainkaan), kun tiedot on jo kerätty ja siirretty.

133. Vastaavasti on vastattava kysymykseen tiedonantovelvollisuudesta, joka valittajalla on direktiivin 95/46 10 artiklan nojalla. Kyseisessä säännöksessä määritellään tiedot, jotka rekisterinpitäjän (tai hänen edustajansa) on vähintään toimitettava rekisteröidylle. Näihin sisältyvät seuraavat: rekisterinpitäjän (tai hänen edustajansa) henkilöllisyys, tietojenkäsittelyn tarkoitukset ja kaikenlaiset lisätiedot siltä osin kuin nämä lisätiedot ovat ”tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi”. Mainitussa 10 artiklassa esitetään esimerkkejä tällaisista lisätiedoista, joihin kuuluvat – käsiteltävässä asiassa merkityksellisin osin – tiedot tietojen vastaanottajista tai siitä, onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun.

134. Kun tarkastellaan tätä luetteloa, valittajalla vaikuttaa olevan selkeästi mahdollisuus toimittaa tietoja yhteisrekisterinpitäjien henkilöllisyydestä, kyseisen tietojenkäsittelyvaiheen (sen toimen tai niiden toimien, joiden osalta se toimii yhteisrekisterinpitäjänä) tarkoituksesta ja myös siitä, että nämä tiedot siirretään.

135. Sikäli kuin kyse on rekisteröidyn oikeudesta itseään koskevien tietojen saantiin ja niiden oikaisuun, valittajalla itsellään ei sitä vastoin ymmärtääkseni ole mahdollisuutta saada Facebook Irelandille siirrettäviä tietoja, sillä se ei osallistu mitenkään tietojen tallentamiseen. Siten voitaisiin esimerkiksi ehdottaa, että sen olisi tehtävä tästä sopimus Facebook Irelandin kanssa.

136. Tällaisilla ehdotuksilla, joissa mennään edellä(65) esitettyjä perusteluja pitemmälle, pyrittäisiin kuitenkin jälleen ulottamaan (yhteis)rekisterinpitäjän (tai ‑pitäjien) velvollisuudet ja vastuu koskemaan sellaisia toimia, joista ne eivät ole vastuussa. Jos rekisterin yhteinen pitäminen tarkoittaa vastuuta siitä toimesta tai niistä toimista, joiden osalta rekisterinpitäjillä on yhtenäinen tarkoitus ja yhtenäiset keinot, loogisesti muiden direktiivistä seuraavien velvollisuuksien, jotka koskevat esimerkiksi suostumusta sekä tietojen antamista, saamista ja oikaisemista, olisi vastattava tämän alkuperäisen velvollisuuden laajuutta.(66)

137. Komissio myös huomautti istunnossa, että ne verkkosivuston kävijät, joilla on Facebook-tili, ovat saattaneet antaa aiemmin suostumuksen tällaiseen tietojen siirtämiseen. Tämä saattaisi johtaa valittajan erilaiseen vastuuseen, ja komissio ilmeisestikin esittää, että valittajan velvollisuutta toimittaa tietoja ja saada suostumus sovellettaisiin ainoastaan niihin valittajan verkkosivuston kävijöihin, joilla ei ole Facebook-tiliä.

138. En ole tästä samaa mieltä. Minun on vaikea hyväksyä ajatusta siitä, että ”Facebookin käyttäjiä” olisi kohdeltava eri tavalla (heille olisi annettava vähemmän suojaa) käsiteltävän asian olosuhteissa, koska he ovat jo hyväksyneet sen mahdollisuuden, että Facebook käsittelee (kaikkia) heidän henkilötietojaan. Tällainen väite nimittäin merkitsee sitä, että kun Facebook-tili luodaan, annetaan etukäteen hyväksyntä mille tahansa tietojenkäsittelylle, joka koskee tällaisten Facebookin käyttäjien mitä tahansa verkossa tapahtuvaa toimintaa minkä tahansa sivullisen, jolla on jonkinlainen yhteys Facebookiin, toimesta. Näin on myös sellaisessa tilanteessa, jossa ei ole näkyviä merkkejä tällaisesta tietojenkäsittelystä (kuten ilmeisesti silloin, kun kävijä pelkästään vierailee valittajan verkkosivustolla). Toisin ilmaistuna komission ehdotuksen hyväksyminen tarkoittaisi käytännössä sitä, että luodessaan Facebook-tilin käyttäjä on tosiasiallisesti luopunut kaikenlaisesta verkossa olevien henkilötietojensa suojasta Facebookiin nähden.

139. Katson näin ollen, että valittajalla olisi oltava sama vastuu ja samat siitä seuraavat suostumusta ja tietojen toimittamista koskevat velvollisuudet rekisteröityihin nähden riippumatta siitä, onko heillä Facebook-tili vai ei.

140. On lisäksi selvää, että suostumus on annettava ja tiedot on toimitettava rekisteröidylle ennen kuin tiedot kerätään ja siirretään.(67)

141. Edellä esitetyn perusteella lopullinen välipäätelmäni viidennen ja kuudennen kysymyksen osalta on näin ollen se, että käsiteltävässä asiassa kyseessä olevan kaltaisessa tilanteessa direktiivin 95/46 7 artiklan a alakohdan mukainen rekisteröidyn suostumus on annettava valittajan kaltaiselle verkkosivuston ylläpitäjälle, joka on liittänyt verkkosivustolleen sivullisen sisältöä. Direktiivin 95/46 10 artiklaa on tulkittava siten, että siinä säädettyä velvollisuutta toimittaa tietoja rekisteröidylle sovelletaan myös tällaiseen verkkosivuston ylläpitäjään. Direktiivin 95/46 7 artiklan a alakohdan mukainen rekisteröidyn suostumus on annettava ja saman direktiivin 10 artiklassa tarkoitetut tiedot on toimitettava ennen tietojen keräämistä ja siirtämistä. Näiden velvollisuuksien laajuus vastaa kuitenkin kyseisen rekisterinpitäjän yhteisvastuuta henkilötietojen keräämisestä ja siirtämisestä.

V       Ratkaisuehdotus

142. Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Oberlandesgericht Düsseldorfin esittämiin ennakkoratkaisukysymyksiin seuraavasti:

–      Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY ei ole esteenä kansalliselle lainsäädännölle, jossa myönnetään yleishyödyllisille yhdistyksille asiavaltuus panna vireille oikeudenkäynti tietosuojalainsäädännön väitettyä rikkojaa vastaan kuluttajien etujen suojaamiseksi.

–      Henkilöä, joka on liittänyt verkkosivustolleen sivullisen liitännäisen, joka aiheuttaa käyttäjän henkilötietojen keräämisen ja siirtämisen (ja jonka kyseinen sivullinen on tarjonnut), on pidettävä direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä. Tämän rekisterinpitäjän (yhteis)vastuu rajoittuu kuitenkin niihin toimintoihin, joiden osalta se tosiasiallisesti osallistuu henkilötietojen käsittelyn keinoista ja tarkoituksesta päättämiseen.

–      Sen arvioimiseksi, onko henkilötietoja mahdollista käsitellä direktiivin 95/46 7 artiklan f alakohdassa määritettyjen edellytysten mukaisesti, on otettava huomioon molempien kyseessä olevien yhteisrekisterinpitäjien oikeutettu intressi, ja niitä on punnittava suhteessa rekisteröityjen oikeuksiin.

–      Direktiivin 95/46 7 artiklan a alakohdan mukainen rekisteröidyn suostumus on annettava verkkosivuston ylläpitäjälle, joka on liittänyt verkkosivustolleen sivullisen sisältöä. Direktiivin 95/46 10 artiklaa on tulkittava siten, että siinä säädettyä velvollisuutta toimittaa tietoja rekisteröidylle sovelletaan myös tällaiseen verkkosivuston ylläpitäjään. Direktiivin 95/46 7 artiklan a alakohdan mukainen rekisteröidyn suostumus on annettava ja saman direktiivin 10 artiklassa tarkoitetut tiedot on toimitettava ennen tietojen keräämistä ja siirtämistä. Näiden velvollisuuksien laajuus vastaa kuitenkin kyseisen rekisterinpitäjän yhteisvastuuta henkilötietojen keräämisestä ja siirtämisestä.

1      Alkuperäinen kieli: englanti.

2      Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (EYVL 1995, L 281, s. 31).

3      Kuluttajien etujen suojaamista tarkoittavista kieltokanteista 23.4.2009 annettu Euroopan parlamentin ja neuvoston direktiivi (EUVL 2009, L 110, s. 30).

4      Huomautan, että ennakkoratkaisupyynnön mukaan liitännäisen antoi valittajan käyttöön Facebook Ireland tai sen Amerikan yhdysvaltoihin sijoittautunut emoyhtiö Facebook Inc. Vaikuttaa kuitenkin siltä, että sekä ennakkoratkaisua pyytäneen tuomioistuimen että unionin tuomioistuimen menettelyssä Facebook Ireland kantaa mahdollisen direktiivin 95/46 mukaisen vastuun käsiteltävän asian yhteydessä. En siten näe mitään syytä tarkastella direktiivin 95/46 mahdollista sovellettavuutta Facebook Irelandin emoyhtiön osalta.

5      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).

6      ”2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa valitus 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.”

7      Kattavuuden vuoksi totean lisäksi, että vaikka 28.7.2016 annettu tuomio Verein für Konsumenteninformation (C-191/15, EU:C:2016:612) koski direktiivin 95/46 tulkintaan liittyvää kysymystä, joka nousi esille yhdistyksen vireille panemassa kansallisessa oikeudenkäynnissä, unionin tuomioistuin ei tarkastellut kyseisessä asiassa yhdistyksen asiavaltuuskysymystä yksinkertaisesti siksi, ettei tätä kysymystä esitetty.

8      Sellaisena kuin se ilmaistaan esimerkiksi tuomiossa 23.5.1985, komissio v. Saksa (C-29/84, EU:C:1985:229, 22 kohta); tuomiossa 14.2.2012, Flachglas Torgau (C-204/09, EU:C:2012:71, 60 kohta) ja tuomiossa 19.4.2018, CMR (C-645/16, EU:C:2018:262, 19 kohta).

9      Tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 53 kohta).

10      Ks. myös tuomio 16.12.2008, Huber (C-524/06, EU:C:2008:724, 50 kohta).

11      Toisin kuin 25.1.2018 annetussa tuomiossa Schrems (C-498/16, EU:C:2018:37) käsiteltävässä asiassa ei siten ole kyse oikeuksien luovutuksesta tietylle henkilölle, ja siinä kansalliseen lainsäädäntöön sisältyy ilmeisesti selkeä oikeudellinen perusta kuluttajien yhteisten etujen edustamiselle.

12      Tai, toisin ilmaistuna, jäsenvaltioiden on myös säädettävä, etenkin kun kyse on institutionaalisesta rakenteesta tai menettelyistä, useista muistakin seikoista, joihin ei myöskään nimenomaisesti viitata direktiivissä (kuten, kun oikeuteen vedotaan tuomioistuimessa, paitsi asiavaltuudesta myös esimerkiksi määräajoista kanteen nostamiselle, (mahdollisista) tuomioistuinmaksuista, tuomioistuinten toimivallasta jne.). Voitaisiinko sitten myös väittää, että koska näitä seikkoja ei mainita direktiivin 95/46 22 eikä 24 artiklassa, jäsenvaltio ei voi säätää niistä myöskään kansallisessa lainsäädännössään?

13      Sellaisina kuin ne määritellään direktiivin 2009/22 3 artiklassa.

14      Ks. esim. tuomio 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, 96 kohta); tuomio 16.12.2008, Huber (C-524/06, EU:C:2008:724, 51 kohta); tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito (C-468/10 ja C-469/10, EU:C:2011:777, 29 kohta) ja tuomio 7.11.2013, IPI (C-473/12, EU:C:2013:715, 31 kohta).

15       Tuomio 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, 97 kohta).

16      Ks. ratkaisuehdotukseni Dzivev (C-310/16, EU:C:2018:623, 72 ja 74 kohta).

17      Toistettu edellä tämän ratkaisuehdotuksen 8 kohdassa.

18      Ks. jälleen edellä alaviitteessä 12 mainitut esimerkit.

19      Direktiivin 95/46 28 artiklan mukaan valvontaviranomaiset valvovat kyseisen direktiivin mukaisesti toteutettujen toimenpiteiden soveltamista.

20      Direktiivin 95/46 28 artiklan 1 kohdassa edellytettävästä vaatimustasosta ks. tuomio 9.3.2010, komissio v. Saksa (C-518/07, EU:C:2010:125, 18–30 kohta) ja tuomio 16.10.2012, komissio v. Itävalta (C-614/10, EU:C:2012:631, 41–66 kohta).

21      Jos vertailukohdaksi otetaan toinen lainsäädännön ala, uhkaisiko esimerkiksi kilpailulainsäädännän noudattamisen yksityisten toimesta tapahtuva valvonta myös (kansallisten) kilpailuviranomaisten itsenäisyyttä? Ks. tuomio 20.9.2001, Courage ja Crehan (C-453/99, EU:C:2001:465, 26, 27 ja 29 kohta) ja tuomio 13.7.2006, Manfredi ym. (C-295/04–C-298/04, EU:C:2006:461, 59 ja 60 kohta). Ks. myös tietyistä säännöistä, joita sovelletaan jäsenvaltioiden ja Euroopan unionin kilpailuoikeuden säännösten rikkomisen johdosta kansallisen lainsäädännön nojalla nostettuihin vahingonkorvauskanteisiin, 26.11.2014 annetun Euroopan parlamentin ja neuvoston direktiivin 2014/104/EU (EUVL 2014, L 349, s. 1) johdanto-osan viides perustelukappale.

22      Yleisesti ottaen (muuttunutta oikeudellista muotoa koskevasta erityiskysymyksestä riippumatta) mitä se tosiseikka, että lainsäätäjä lisäsi myöhempään säädökseen jotakin sellaista, jota ei ollut aiemmissa samaa asiaa käsittelevissä säädöksissä, tarkoittaa viimeksi mainittujen tulkinnan kannalta? Voi hyvin olla, että tämä periaate nimittäin ”sisältyi luontaisesti” aiempaan säädökseen ja että sitä on nyt vain selvennetty. Se voi kuitenkin myös tarkoittaa sitä, että juuri siksi, ettei tätä säännöstä aiemmin ollut, uusi säännös merkitsee muutosta aiempaan. Kun otetaan huomioon väitteen ”se on aina ollut siellä, nyt se vain ilmenee eksplisiittisesti” toistuva ja kyseenalainen (väärin)käyttö, mikä tosiasiallisesti merkitsee uuden säännöksen laajentamista koskemaan kauan ennen sen ajallisen soveltamisalan alkamista syntyneitä tilanteita, tämäntyyppisiä väitteitä olisi esitettävä varovasti, jos lainkaan.

23      Dynaamisista IP-osoitteista ks. tuomio 19.10.2016, Breyer (C-582/14, EU:C:2016:779, 33 kohta ja sitä seuraavat kohdat). Ks. myös tuomio 24.11.2011, Scarlet Extended (C-70/10, EU:C:2011:771, 51 kohta).

24      Tuomio 19.10.2016, Breyer (C-582/14, EU:C:2016:779, 41–45 kohta).

25      Edellä tämän ratkaisuehdotuksen 19 kohta.

26      Kursivointi tässä.

27      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 29 kohta) ja tuomio 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, 65 kohta).

28      Ks. tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 34 kohta) ja tuomio 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, 66 kohta).

29      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388).

30      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 39 kohta).

31      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 35 kohta).

32      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 36 kohta).

33      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 34 ja 38 kohta).

34      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 39 ja 41 kohta).

35      Tuomio 10.7.2018, Jehovan todistajat (C-25/17, EU:C:2018:551, 68–72 kohta).

36      Sellaisena kuin julkisasiamies Bot sen esitti ratkaisuehdotuksessaan Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2017:796, 66–72 kohta).

37      Tässä yhteydessä ei ilmeisestikään voida soveltaa analogisesti kuluttajansuojaa, jonka mukaan osapuolella, joka ei ole elinkeinonharjoittaja (toisin sanoen kuluttajalla), olisi oltava sama todellinen sananvalta neuvoteltaessa ehdoista. Voidaan siten keskustella siitä, missä määrin fanisivun hallinnoija tekee varsinaista ”parametrien määrittelyä” (ja missä määrin kyse on vain valmiiden vaihtoehtojen mekaanisesta napsauttamisesta ja valinnasta, kuten minkä tahansa muun ”kuluttajan” tapauksessa).

38      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 35 kohdan ensimmäinen lause).

39      Useat ohjelmat ja sovellukset siirtävät nykyään – toisinaan käyttäjän nimenomaisella ja toisinaan vähemmän nimenomaisella suostumuksella – analyysitietoja, joihin voi sisältyä henkilötietoja, ohjelman tai sovelluksen kehittäjälle tai myyjälle.

40      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 38 kohta).

41      Tässäkin yhteydessä voitaisiin nimittäin keskustella siitä, millä ehdoilla ja millaisesta neuvotteluasemasta käsin se tapahtuu (ks. myös edellä alaviite 37).

42      Tai, kuten Sir Humphrey Appleby hieman epäsuoremmin totesi (tukeutuen itse ilmeisesti vanhempaan sitaattiin, jonka alkuperä ei ole tiedossa): ”Vastuu ilman valtaa – eunukin etuoikeus aikojen saatossa” (Kyllä, herra pääministeri ‑sarjassa, kausi 2, jakso 7, ”Kansallinen koulutuspalvelu”, ensiesitys 21.1.1988).

43      Myös edellä tämän ratkaisuehdotuksen 73 kohdassa ja alaviitteissä 38 ja 42 kuvatussa merkityksessä.

44      Tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, 43 kohta).

45      Ks. edellä tämän ratkaisuehdotuksen 87 ja 88 kohta.

46      Ks. myös 29 artiklan mukaisen tietosuojatyöryhmän (direktiivin 95/46 29 artiklalla perustettu neuvoa-antava elin, jonka on nyt korvannut yleisen tietosuoja-asetuksen 68 artiklan nojalla perustettu Euroopan tietosuojaneuvosto) 20.6.2007 antama lausunto 4/2007 henkilötietojen käsitteestä, 1248/07/EN WP 136, s. 4.

47      Myös kun otetaan huomioon se yksinkertainen tosiseikka, että käsittely on tuskin koskaan lineaarista siten, että siinä käytäisiin läpi kaikki 2 artiklan b alakohdassa luetellut toiminnot yksi kerrallaan peräkkäin ja yhden henkilön toimesta. Henkilötietojen käsittely tapahtuu todennäköisesti pikemminkin sykleissä ja muodostaa silmukoita, joista erkanee haaroja sinne tänne, siten, että tietueita kerätään eri päissä, sen jälkeen niitä tarkastelee toinen henkilö, sitten tietueita yhdistellään ja tarkastellaan, minkä jälkeen tiedot ehkä jälleen kootaan uudelleen ja välitetään edelleen eri henkilöille jne.

48      29 artiklan mukainen tietosuojatyöryhmä ehdotti, että ”yhteisvastuu perustuu siihen, että eri osapuolet määrittävät erityisissä tietojenkäsittelytoiminnoissa joko tarkoituksen tai olennaiset osat keinoista”. Ks. 29 artiklan mukaisen tietosuojatyöryhmän 16.2.2010 annettu lausunto 1/2010 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä, asiakirja 00264/10/EN WP 169, s. 19.

49      Poiketen tilanteesta, jota tarkasteltiin ensimmäisen kysymyksen yhteydessä edellä tämän ratkaisuehdotuksen 39–42 kohdassa.

50      Neljännen kysymyksen alkuperäisen saksankielisen version perusteella ymmärrän ennakkoratkaisua pyytäneen tuomioistuimen esittämän kysymyksen siten, että se rajoittuu sen intressin yksilöimiseen, joka on otettava huomioon, eikä – kuten kysymyksen englanninkielinen käännös antaa ymmärtää – sen intressin yksilöimiseen, joka on ratkaiseva (siinä mielessä, että sen painoarvo on suurempi) kyseisessä intressien punnitsemisessa. Kysymyksessä siten ilmeisestikin tiedustellaan, mitä tekijöitä punnitsemisen olisi käsitettävä, eikä sitä, mikä sen lopputuloksen pitäisi olla.

51      12.7.2002 annettu Euroopan parlamentin ja neuvoston direktiivi (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37).

52      Ks. myös tuomio 5.5.2011, Deutsche Telekom (C-543/09, EU:C:2011:279, 50 kohta). Sähköisen viestinnän tietosuojadirektiivin johdanto-osan kymmenennen perustelukappaleen mukaan ”sähköisen viestinnän alalla direktiiviä 95/46/EY sovelletaan erityisesti kaikkien sellaisten perusoikeuksien ja ‑vapauksien turvaamista koskevien kysymysten osalta, jotka eivät nimenomaisesti sisälly tämän direktiivin säännöksiin, rekisterinpitäjän velvoitteet ja yksilöiden oikeudet mukaan lukien. Direktiiviä 95/46/EY sovelletaan muihin kuin yleisiin viestintäpalveluihin”.

53      Ks. tässä yhteydessä sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta, jonka mukaan ”jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti”.

54      Tässä yhteydessä viittaan jälleen edellä B osan 1 jaksoon (55–58 kohta) ja tarpeeseen selvittää tosiseikkojen osalta, mitä tarkasti ottaen siirretään ja ovatko nämä tiedot itse asiassa henkilötietoja.

55      Ks. myös evästeiden käyttöä koskevan suostumuksen hankinnasta 2.10.2013 annettu 29 artiklan mukaisen tietosuojatyöryhmän valmisteluasiakirja 02/2013, 1676/13/EN WP 208, s. 5 ja 6, jossa todetaan, että ”koska tiedon tallentaminen tai käyttäjien laitteille jo tallennettujen tietojen hankkiminen evästeiden avulla voi merkitä henkilötietojen käsittelyä, tietosuojasäännöksiä sovelletaan selkeästi tässä tapauksessa”.

56      Ks. vastaavasti tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, 71 kohta oikeuskäytäntöviittauksineen) ja tuomio 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, 25 kohta).

57      Tuomio 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, 28 kohta). Ks. myös tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito (C-468/10 ja C-469/10, EU:C:2011:777, 38 kohta).

58      Ks. ratkaisuehdotukseni Rīgas satiksme (C-13/16, EU:C:2017:43, 64 ja 65 kohta). Kuten siinä muistutin, unionin tuomioistuin on tunnustanut oikeutetuiksi intresseiksi avoimuuden (tuomio 9.11.2010, Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, 77 kohta) sekä omaisuuden, terveyden ja yksityiselämän suojaamisen (tuomio 11.12.2014, Ryneš, C‑212/13, EU:C:2014:2428, 34 kohta). Ks. myös tuomio 29.1.2008, Promusicae (C-275/06, EU:C:2008:54, 53 kohta) ja tuomio 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, 29 kohta).

59      Ks. edellä tämän ratkaisuehdotuksen 104 ja 105 kohta.

60      Ks. myös 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän oikeutetun intressin käsitteestä (844/14/FI WP 217), s. 25.

61      Kuten toisaalla totesin, ”kun kilpailevat oikeutetut intressit on paitsi osoitettu ne myös syrjäyttävät rekisteröidyn intressit tai perusoikeudet ja ‑vapaudet”, jotka perustuvat perusoikeuskirjan 7 ja 8 artiklaan. Ks. ratkaisuehdotukseni Rīgas satiksme (C-13/16, EU:C:2017:43, 56 ja 66–69 kohta oikeuskäytäntöviittauksineen).

62      Tuomio 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, 31 kohta oikeuskäytäntöviittauksineen).

63      Tavoitteiden (oikeutettu intressi, johon vedotaan) ja valittujen keinojen (henkilötietojen käsittely) välillä on siten oltava riittävä yhteys. Ks. vastaavasti tuomio 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, 30 kohta oikeuskäytäntöviittauksineen).

64      Edellä tämän ratkaisuehdotuksen 76–82 kohta.

65      Edellä tämän ratkaisuehdotuksen 84–88 kohta.

66      Mikä ei tietenkään estä sitä, että mahdollisilla muilla/myöhemmillä rekisterinpitäjillä on tämä velvollisuus niiden tietojen käsittelytoimien osalta, joihin ne osallistuvat.

67      Edellä tämän ratkaisuehdotuksen 132 kohta. Ks. evästeiden käyttöä koskevan suostumuksen hankinnasta 2.10.2013 annettu 29 artiklan mukaisen tietosuojatyöryhmän valmisteluasiakirja 02/2013, 1676/13/EN WP 208, s. 4. Ks. myös 29 artiklan mukaisen tietosuojatyöryhmän 13.7.2011 antama lausunto 15/2011 suostumuksen määritelmästä, 1197/11/EN WP187, s. 9.