CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

JULKISASIAMIEHEN RATKAISUEHDOTUS

JEAN RICHARD DE LA TOUR

2 päivänä joulukuuta 2021 (1)

Asia C-319/20

Facebook Ireland Limited

vastaan

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(Ennakkoratkaisupyyntö – Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa))

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 80 artiklan 2 kohta – Oikeus tehokkaisiin oikeussuojakeinoihin – Voittoa tavoittelemattoman yhdistyksen toimiminen kyseisten henkilöiden edustajana – Kuluttajansuojayhdistyksen asiavaltuus

I Johdanto

1. Modernissa taloudessa, jota leimaa digitaalisen talouden nousu, henkilötietojen käsittely voi vaikuttaa henkilöihin paitsi asetukseen (EU) 2016/679(2) perustuvista oikeuksista nauttivina luonnollisina henkilöinä myös kuluttajina.

2. Tämän vuoksi kuluttajansuojayhdistykset nostavat yhä useammin kanteita, joiden tarkoituksena on lopettaa sellaiset tiettyjen rekisterinpitäjien menettelyt, joilla loukataan samanaikaisesti edellä mainitulla asetuksella ja muilla sekä unionin oikeuteen että kansalliseen oikeuteen perustuvilla säännöksillä suojattuja oikeuksia erityisesti kuluttajansuojan ja sopimattomien kaupallisten menettelyjen torjunnan alalla.

3. Käsiteltävä ennakkoratkaisupyyntö on esitetty asiassa, jossa vastakkain ovat Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (kuluttajakeskusten ja ‑yhdistysten keskusjärjestö, jäljempänä keskusjärjestö) ja Facebook Ireland Limited, jonka kotipaikka on Irlannissa. Keskusjärjestö väittää kyseisen yhtiön syyllistyneen Saksan henkilötietojen suojaa koskevan lainsäädännön rikkomiseen, jossa on samanaikaisesti kyse sopimattomasta kaupallisesta menettelystä, kuluttajansuojalain rikkomisesta ja pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomisesta.

4. Tällä pyynnöllä unionin tuomioistuinta pyydetään lähinnä tulkitsemaan asetuksen 2016/679 80 artiklan 2 kohtaa sen selvittämiseksi, onko säännös esteenä sille, että kuluttajansuojayhdistykset säilyttävät kyseisen asetuksen voimaantulon jälkeen niille kansallisessa oikeudessa myönnetyn asiavaltuuden nostaa kanne sellaisten menettelyjen lopettamiseksi, joissa on samanaikaisesti kyse mainittuun asetukseen perustuvien oikeuksien loukkaamisesta ja sellaisten säännösten rikkomisesta, joiden tarkoituksena on suojata kuluttajien oikeuksia ja torjua sopimattomia kaupallisia menettelyjä. Siltä osin kuin unionin tuomioistuin on todennut tällaisen asiavaltuuden soveltuvan yhteen direktiivin 95/46/EY(3) kanssa,(4) sen on lausuttava, onko asetus 2016/679 muuttanut asianomaista oikeudellista tilannetta.

II Asiaa koskevat oikeussäännöt

A Asetus 2016/679

5. Asetuksen 2016/679 80 artikla, jonka otsikkona on ”Rekisteröityjen edustaminen”, kuuluu seuraavasti:(5)

”1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan sekä käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.

2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.”

B Saksan oikeus

6. Sopimattoman kilpailun estämisestä 3.7.2004 annetun lain (Gesetz gegen den unlauteren Wettbewerb),(6) sellaisena kuin sitä sovelletaan pääasiassa, 3 §:n 1 momentissa säädetään seuraavaa:

”Sopimattomat kaupalliset menettelyt ovat kiellettyjä.”

7. UWG:n 3a § kuuluu seuraavasti:

”Sopimattomaan menettelyyn syyllistyy henkilö, joka menettelee sellaisen lainsäädännön vastaisesti, jolla on tarkoitus säännellä myös markkinakäyttäytymistä markkinatoimijoiden edun mukaisesti, jos rikkominen on omiaan vahingoittamaan tuntuvasti kuluttajien, kilpailijoiden tai muiden markkinatoimijoiden etuja.”

8. UWG:n 8 §:n 1 ja 3 momentissa säädetään seuraavaa:

”1) Kaikki 3 §:n tai 7 §:n nojalla lainvastaiset kaupalliset menettelyt voidaan määrätä lopetettaviksi, ja mikäli on olemassa uusimisen vaara, niiden toteuttaminen tulevaisuudessa voidaan kieltää. Oikeus vaatia kieltomääräystä on olemassa jo silloin, jos tällainen 3 §:ssä tai 7 §:ssä tarkoitettu lainvastainen menettely uhkaa toteutua.

– –

3) Edellä 1 momentissa tarkoitettuja määräyksiä voivat hakea

– –

3. oikeutetut yksiköt, jotka osoittavat, että ne on merkitty [kieltokanteista kuluttajan oikeuksien loukkausten ja muiden rikkomisten yhteydessä 26.11.2001 annetun lain (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen),(7) sellaisena kuin sitä sovelletaan pääasiaan] 4 §:ssä tarkoitettuun oikeutettujen yksiköiden luetteloon tai kuluttajien etujen suojaamista tarkoittavista kieltokanteista 23.4.2009 annetun Euroopan parlamentin ja neuvoston direktiivin 2009/22/EY[(8)] 4 artiklan 3 kohdassa tarkoitettuun Euroopan komission luetteloon;

– –”

9. UKlaG:n 2 §:ssä säädetään seuraavaa:

”1) Sitä vastaan, joka rikkoo kuluttajien suojaamisesta annettuja säännöksiä (kuluttajansuojalainsäädäntöä) muuten kuin yleisten sopimusehtojen soveltamisen tai niitä koskevien suositusten osalta, voidaan vaatia kielto- ja lopettamismääräystä kuluttajien suojaamisen nimissä – –

2) Tässä säännöksessä ’kuluttajansuojalainsäädännöllä’ tarkoitetaan erityisesti

– –

11. säännöksiä, joilla säännellään sen hyväksyttävyyttä,

a) että yritys kerää kuluttajan henkilötietoja tai

b) että yritys käsittelee ja hyödyntää kuluttajasta kerättyjä henkilötietoja,

jos tietoja kerätään, käsitellään tai hyödynnetään mainontaa, markkina- ja mielipidetutkimusta, luottotietojen keräämistä, henkilö- ja käyttöprofiilien laadintaa, osoitetietojen myyntiä tai muiden tietojen myyntiä varten taikka vastaaviin kaupallisiin tarkoituksiin.

– –”

10. Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa) toteaa, että UKlaG:n 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan mukaan elimet, joilla on kyseisessä säännöksessä tarkoitettu asiavaltuus, voivat nostaa kieltokanteen kuluttajansuojalainsäädännön rikkomisten perusteella ja että tällaisella lainsäädännöllä tarkoitetaan kyseisen lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohdan mukaan myös säännöksiä, jotka koskevat sen hyväksyttävyyttä, että yrittäjä kerää, käsittelee tai hyödyntää kuluttajan henkilötietoja mainontaa varten. Tämän lisäksi ja edelleen UKlaG:n 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan nojalla elimet, joilla on asiavaltuus, voivat UKlaG:n 1 §:n mukaisesti vaatia siviililain (Bürgerliches Gesetzbuch) 307 §:n mukaan pätemättömien yleisten sopimusehtojen käytön lopettamista silloin, kun ne katsovat, että näillä yleisillä sopimusehdoilla rikotaan tietosuojalainsäädäntöä.

11. Sähköisistä tieto- ja viestintäpalveluista 26.2.2007 annetun lain (Telemediengesetz)(9) 13 §:n 1 momentti kuuluu seuraavasti:

”Palveluntarjoajan on ilmoitettava käyttäjälle käyttökerran alkaessa yleisesti ymmärrettävässä muodossa henkilötietojen keräämisen ja hyödyntämisen luonteesta, laajuudesta ja tarkoituksesta sekä hänen tietojensa käsittelystä valtioissa, jotka eivät kuulu [direktiivin 95/46] soveltamisalaan, ellei tällaista ilmoitusta ole jo tehty. Automaattisessa menettelyssä, joka mahdollistaa käyttäjän tunnistamisen myöhemmin ja valmistelee henkilötietojen keräämistä tai hyödyntämistä, ilmoitus käyttäjälle on tehtävä menettelyn alkaessa. Ilmoituksen sisällön on oltava käyttäjän saatavilla milloin tahansa.”

III Pääasian tosiseikat ja ennakkoratkaisukysymys

12. Saksassa keskusjärjestö on merkitty UKlaG:n 4 §:n mukaiseen asiavaltuutettujen yksiköiden luetteloon. Facebook Ireland ylläpitää osoitteessa www.facebook.de Facebook-verkkoalustaa, joka mahdollistaa henkilötietojen ja muiden tietojen vaihdon.

13. Facebook-verkkoalustalla on niin kutsuttu sovelluskeskus (App-Zentrum), jossa Facebook Ireland asettaa käyttäjiensä saataville muun muassa kolmansien osapuolten tarjoamia maksuttomia pelejä. Kun tiettyjä pelejä avattiin sovelluskeskuksessa 26.11.2012, käyttäjä saattoi panna merkille, että ”Sofort spielen” (Pelaa nyt) ‑painikkeen alla annettiin joitain tietoja. Näistä tiedoista ilmenee lähinnä, että kyseisen sovelluksen käyttäminen antoi pelit tarjonneelle yhtiölle mahdollisuuden saada tiettyjä henkilötietoja ja samalla yhtiö sai luvan julkaista käyttäjän nimissä tiettyjä tietoja, kuten käyttäjän pistetilanteen. Tämä käyttö merkitsi sitä, että käyttäjä hyväksyi sovelluksen yleiset ehdot ja tietosuojakäytännön. Lisäksi Scrabble-pelin osalta todetaan, että sovellus saa julkaista käyttäjän nimissä tilapäivityksiä, valokuvia ja muita tietoja.

14. Keskusjärjestö kritisoi sovelluskeskuksen ”Pelaa nyt” ‑painikkeen alla esitettyjä tietoja siitä, että ne ovat sopimattomia muun muassa siitä syystä, että käyttäjän pätevän suostumuksen saamista koskevia tietosuojalainsäädännön mukaisia lakisääteisiä edellytyksiä ei ole noudatettu. Lisäksi se katsoo, että Scrabble-peliä koskevien tietojen viimeisessä maininnassa on kyse yleisestä sopimusehdosta, joka on kohtuuttomalla tavalla epäedullinen käyttäjän kannalta.

15. Keskusjärjestö nosti tässä yhteydessä Landgericht Berlinissä (Berliinin alueellinen alioikeus, Saksa) kieltokanteen Facebook Irelandia vastaan. Ennakkoratkaisua pyytänyt tuomioistuin täsmentää, että kyseinen kanne nostettiin riippumatta siitä, onko rekisteröidyn tietosuojaoikeuksia tosiasiallisesti loukattu, ja ilman tällaiselta henkilöltä saatua valtuutusta.

16. Keskusjärjestö vaati, että Facebook Irelandia kielletään uhkasakon uhalla ”esittämästä pelejä – – Saksassa vakituisesti asuville kuluttajille suunnatussa kaupallisessa toiminnassa osoitetta www.facebook.com vastaavalla internetsivustolla niin sanotussa sovelluskeskuksessa siten, että napsauttamalla ’Pelaa’-painikkeen kaltaista painiketta kuluttaja ilmoittaa, että pelin ylläpitäjä saa [Facebook Irelandin] ylläpitämän sosiaalisen verkon välityksellä kuluttajasta tässä verkossa olevia henkilötietoja ja että se saa luvan siirtää (julkaista) tietoja kuluttajan nimissä – –”.

17. Keskusjärjestö vaati myös, että Facebook Irelandia kielletään ”sisällyttämästä – – Saksassa vakituisesti asuvien kuluttajien kanssa tehtäviin sopimuksiin seuraavaa lauseketta tai sen kanssa samansisältöisiä lausekkeita sovellusten käytöstä sosiaalisessa verkossa sekä vetoamasta lausekkeisiin tietojen siirtämisestä pelien ylläpitäjille: ’Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten’ [Tämä sovellus saa julkaista nimissäsi muun muassa tilapäivityksiä ja valokuvia]”.

18. Landgericht Berlin tuomitsi Facebook Irelandin keskusjärjestön vaatimusten mukaisesti. Facebook Irelandin Kammergericht Berliniin (Berliinin osavaltion ylioikeus, Saksa) tekemä valitus hylättiin.

19. Facebook Ireland teki toisen asteen tuomioistuimen ratkaisusta Revision-valituksen ennakkoratkaisua pyytäneeseen tuomioistuimeen.

20. Asiakysymyksen osalta ennakkoratkaisua pyytänyt tuomioistuin katsoo, että toisen asteen tuomioistuin on todennut perustellusti, että keskusjärjestön vaatimukset ovat perusteltuja. Koska Facebook Ireland ei ole noudattanut TMG:n 13 §:n 1 momentin ensimmäisen virkkeen ensimmäisestä osasta johtuvia tiedonantovelvollisuuksia, se on rikkonut UWG:n 3a §:ää ja UKlaG:n 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaa. Toisen asteen tuomioistuin on katsonut perustellusti, että käsiteltävässä asiassa kyseessä olevat TMG:n 13 §:ssä tarkoitetut säännökset ovat UWG:n 3a §:ssä tarkoitettua toimijoiden markkinakäyttäytymistä sääntelevää lainsäädäntöä. Lisäksi kyse on säännöksistä, joilla säännellään UKlaG:n 2 §:n 2 momentin ensimmäisen virkkeen 11 kohdan a alakohdassa tarkoitetulla tavalla sen hyväksyttävyyttä, että yrittäjä kerää, käsittelee tai hyödyntää kuluttajan henkilötietoja, joita kerätään, käsitellään tai hyödynnetään mainontaa varten. Tämän lisäksi ennakkoratkaisua pyytänyt tuomioistuin katsoo, että kun Facebook Ireland on rikkonut käsiteltävän asian kannalta merkityksellisiä tietosuojaoikeudellisia tiedonantovelvollisuuksia, se on käyttänyt UKlaG:n 1 §:ssä tarkoitettua pätemätöntä yleistä sopimusehtoa.

21. Ennakkoratkaisua pyytänyt tuomioistuin pohtii kuitenkin, katsoiko toisen asteen tuomioistuin perustellusti, että keskusjärjestön kanne voitiin ottaa tutkittavaksi. Se näet kysyy, onko keskusjärjestön kaltaisella kuluttajansuojayhdistyksellä asetuksen 2016/679 voimaantulon jälkeen edelleen oikeus nostaa kanne siviilituomioistuimessa kyseisen asetuksen rikkomisten vuoksi ja riippumatta siitä, onko yksittäisten rekisteröityjen oikeuksia tosiasiassa loukattu, ja ilman rekisteröidyiltä saatua valtuutusta, vetoamalla siihen, että kyseessä on UWG:n 3a §:ssä tarkoitettu oikeuden loukkaus, UKlaG:n 2 §:n 2 momentin ensimmäisen virkkeen 11 kohdassa tarkoitettu kuluttajansuojalainsäädännön rikkominen tai UKlaG:n 1 §:n mukainen pätemättömän yleisen sopimusehdon käyttö.

22. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että kanteen tutkittavaksi ottamisesta ei ollut epäselvyyttä ennen asetuksen 2016/679 voimaantuloa. Keskusjärjestöllä oli nimittäin UWG:n 8 §:n 3 momentin 3 kohdan ja UKlaG:n 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan nojalla oikeus nostaa kieltokanne siviilituomioistuimissa.

23. Saman tuomioistuimen mukaan asetuksen 2016/679 voimaantulo on voinut muuttaa tätä oikeudellista järjestelmää.

24. Asiakysymyksen osalta se huomauttaa, että TMG:n 13 §:n 1 momentin säännökset eivät ole enää sovellettavissa tämän voimaantulon jälkeen ja että asian kannalta merkitykselliset tiedonantovelvollisuudet perustuvat vastedes asetuksen 2016/679 12–14 artiklaan. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan Facebook Ireland ei siis ole noudattanut asianomaisen asetuksen 12 artiklan 1 kohdan ensimmäisen virkkeen mukaista velvollisuuttaan toimittaa rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tämän asetuksen 13 artiklan 1 kohdan c ja e alakohdassa tarkoitetut tiedot, jotka koskevat tietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa.

25. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan kanteen tutkittavaksi ottamisen osalta on erimielisyyttä siitä, ovatko elimet, joilla on UKlaG:n 4 §:ssä tarkoitettu asiavaltuus, oikeutettuja asetuksen 2016/679 voimaantulon jälkeen ja UWG:n 8 §:n 3 momentin 3 kohdan mukaisesti nostamaan kanteen kyseisen asetuksen SEUT 288 artiklan toisen kohdan perusteella suoraan sovellettavien säännösten rikkomisista vetoamalla UWG:n 3a §:ssä tarkoitettuun oikeuden loukkaukseen.

26. Ennakkoratkaisua pyytänyt tuomioistuin toteaa tältä osin, että on olemassa eriäviä näkemyksiä siitä, säännelläänkö itse asetuksessa 2016/679 tyhjentävästi sitä, miten sen säännösten soveltamista valvotaan.

27. Kyseinen tuomioistuin huomauttaa asetuksen 2016/679 sanamuodosta, että keskusjärjestön kaltaisen yksikön UWG:n 8 §:n 3 momentin 3 kohtaan perustuva asiavaltuus ei kuulu tämän asetuksen 80 artiklan 1 kohdan soveltamisalaan, sikäli kuin pääasiassa kyseessä olevaa kieltokannetta ei ole nostettu rekisteröidyn valtuutuksella ja nimissä hänen henkilökohtaisiin oikeuksiinsa vetoamiseksi. Kyse on sitä vastoin keskusjärjestön omaan oikeuteen perustuvasta asiavaltuudesta, jonka perusteella se voi UWG:n 3a §:ssä tarkoitetun oikeuden loukkauksen tapauksessa nostaa kanteen mainitun asetuksen säännösten rikkomisista objektiivisesti riippumatta siitä, onko yksittäisten rekisteröityjen tosiasiallisia oikeuksia loukattu ja ovatko nämä antaneet tähän valtuutuksen.

28. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, ettei asetuksen 2016/679 80 artiklan 2 kohdassa säädetä keskusjärjestön asiavaltuudesta henkilötietojen suojaa koskevan oikeuden objektiivista täytäntöönpanoa varten. Vaikka kyseisessä säännöksessä säädetään tällaisen yksikön mahdollisuudesta nostaa kanne mistään rekisteröidyn antamasta valtuutuksesta riippumatta, rekisteröidyn oikeuksia, sellaisina kuin niistä säädetään kyseisessä asetuksessa, pitää kuitenkin olla loukattu tietojenkäsittelyssä. Näin ollen asianomaisen asetuksen 80 artiklan 2 kohdan säännöksissä ei niiden sanamuodon perusteella myöskään anneta asiavaltuutta niille yhdistyksille, jotka vetoavat henkilötietojen suojaa koskevan oikeuden objektiivisiin rikkomisiin riippumatta siitä, onko konkreettisen rekisteröidyn subjektiivisia oikeuksia loukattu, ja käyttävät perusteena, kuten nyt käsiteltävässä asiassa, UWG:n 3a §:ää ja 8 §:n 3 momentin 3 kohtaa. Sama päätelmä voitaisiin tehdä asetuksen 2016/679 johdanto-osan 142 perustelukappaleen toisesta virkkeestä, jossa myös mainitaan, että rekisteröidyn oikeuksien loukkaaminen on edellytys sille, että yhdistyksellä on asiavaltuus asianomaisen henkilön valtuutuksesta riippumatta.

29. Tämän lisäksi UWG:n 8 §:n 3 momentissa säädetyn kaltainen yhdistyksen asiavaltuus ei ennakkoratkaisua pyytäneen tuomioistuimen mukaan voi perustua asetuksen 2016/679 84 artiklan 1 kohtaan, jonka mukaan jäsenvaltioiden on säädettävä muista kyseisen asetuksen rikkomisista aiheutuvista seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. UWG:n 8 §:n 3 momentissa tarkoitetun kaltaista yhdistyksen asiavaltuutta ei voida pitää mainitun asetuksen kyseisessä säännöksessä tarkoitettuna ”seuraamuksena”.

30. Ennakkoratkaisua pyytänyt tuomioistuin toteaa lisäksi, että asetuksen 2016/679 systematiikan perusteella ei pystytä määrittämään varmasti, voidaanko elimen asiavaltuus, joka perustuu UWG:n 8 §:n 3 momentin 3 kohtaan eli säännökseen, jonka tarkoituksena on torjua vilpillistä kilpailua, tunnustaa yhä kyseisen asetuksen voimaantulon jälkeen. Asianomainen tuomioistuin katsoo, että siitä, että asetuksessa annetaan valvontaviranomaisille laajat valvonta- ja tutkintavaltuudet ja korjaavat toimivaltuudet, voidaan päätellä, että kyseisen asetuksen säännösten soveltamisen valvonta on ensi sijassa näiden viranomaisten vastuulla. Tämä olisi vastoin asetuksen 2016/679 80 artiklan 2 kohdan laajaa tulkintaa. Ennakkoratkaisua pyytänyt tuomioistuin toteaa myös, että kansallisia toimenpiteitä asetuksen täytäntöön panemiseksi voidaan lähtökohtaisesti toteuttaa vain, jos se on nimenomaisesti sallittu. Kyseisen asetuksen 77 artiklan 1 kohdassa, 78 artiklan 1 ja 2 kohdassa sekä 79 artiklan 1 kohdassa oleva maininta ”sanotun kuitenkaan rajoittamatta muita – – oikeussuojakeinoja” saattaa kuitenkin puhua sitä käsitystä vastaan, että kyseisellä asetuksella säänneltäisiin tyhjentävästi oikeuden soveltamisen valvontaa.

31. Asetuksen 2016/679 tavoitteesta todetaan, että asetuksen tehokas vaikutus voisi puoltaa sitä, että yhdistyksillä on UWG:n 8 §:n 3 momentin 3 kohdan mukainen kilpailuoikeuteen perustuva asiavaltuus riippumatta siitä, onko rekisteröityjen tosiasiallisia oikeuksia loukattu, sikäli kuin tällä säilytettäisiin lisämahdollisuus valvoa oikeuden soveltamista, jotta voidaan varmistaa mahdollisimman korkea henkilötietojen suojan taso asianomaisen asetuksen johdanto-osan kymmenennen perustelukappaleen mukaisesti. Kilpailuoikeuteen perustuvan yhdistysten asiavaltuuden tunnustamisen voitaisiin kuitenkin katsoa olevan ristiriidassa kyseisellä asetuksella tavoitellun yhdenmukaistamistavoitteen kanssa.

32. Ennakkoratkaisua pyytänyt tuomioistuin esittää myös epäilyksiä siitä, onko UKlaG:n 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdassa tarkoitetuilla elimillä yhä asetuksen 2016/679 voimaantulon jälkeen asiavaltuus kanteiden nostamiseksi siinä tapauksessa, että kyseisen asetuksen säännöksiä rikotaan, UKlaG:n 2 §:n 2 momentin ensimmäisen virkkeen 11 kohdassa tarkoitetun kuluttajansuojalainsäädännön noudattamatta jättämisen nojalla. Sama pätee UKlaG:n 1 §:n mukaiseen kuluttajansuojayhdistyksen asiavaltuuteen vaatia siviililain 307 §:n mukaan pätemättömien yleisten sopimusehtojen käytön lopettamista.

33. Mikäli oletetaan, että niitä eri kansallisia säännöksiä, joihin elinten asiavaltuus perustui ennen asetuksen 2016/679 voimaantuloa, voitaisiin pitää säännöksinä, joilla kyseisen asetuksen 80 artiklan 2 kohta on pantu ennakolta täytäntöön, keskusjärjestön asiavaltuuden tunnustaminen käsiteltävässä asiassa edellyttäisi ennakkoratkaisua pyytäneen tuomioistuimen mukaan sitä, että se vetoaisi siihen, että kyseisessä asetuksessa säädettyjä rekisteröidyn oikeuksia on loukattu tietojenkäsittelyssä. Tämä edellytys ei kuitenkaan täyty.

34. Kyseinen tuomioistuin nimittäin korostaa, että keskusjärjestön vaatimukset koskevat Facebook Irelandin sovelluskeskuksen esitystavan abstraktia tutkimista objektiivisen tietosuojaoikeuden kannalta ilman, että keskusjärjestö olisi väittänyt, että asetuksen 2016/679 4 artiklan 1 alakohdassa tarkoitetun tunnistetun tai tunnistettavissa olevan luonnollisen henkilön oikeuksia olisi loukattu.

35. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että mikäli on todettava, että keskusjärjestö on menettänyt asetuksen 2016/679 voimaantulon seurauksena edellä mainittuihin Saksan oikeuden säännöksiin perustuvan asiavaltuuden, sen pitäisi hyväksyä Facebook Irelandin tekemä Revision-valitus ja hylätä keskusjärjestön kanne, kun otetaan huomioon se, että Saksan prosessioikeuden mukaan asiavaltuuden on oltava olemassa siihen asti, kunnes käsittely on päättynyt viimeisessä oikeusasteessa.

36. Näiden seikkojen valossa Bundesgerichtshof päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:

”Ovatko asetuksen 2016/679 VIII luvun ja erityisesti sen 80 artiklan 1 ja 2 kohdan sekä 84 artiklan 1 kohdan säännökset esteenä kansalliselle lainsäädännölle, jonka mukaan – asetuksen valvonnasta ja täytäntöönpanosta vastaavien valvontaviranomaisten toimintavallan ja rekisteröityjen käytettävissä olevien oikeussuojakeinojen ohella – yhtäältä kilpailijoilla ja toisaalta kansallisen lainsäädännön nojalla oikeutetuilla järjestöillä, yhdistyksillä ja kamareilla on asetuksen 2016/679 rikkomisen perusteella oikeus nostaa loukkaajaa vastaan siviilituomioistuimessa kanne riippumatta siitä, onko yksittäisten rekisteröityjen tosiasiallisia oikeuksia loukattu, ja ilman rekisteröidyltä saatua valtuutusta, vetoamalla sopimattomien kaupallisten menettelyjen kieltoon, kuluttajansuojalainsäädännön rikkomiseen tai pätemättömien yleisten sopimusehtojen käytön kieltoon?”

37. Keskusjärjestö, Facebook Ireland, Itävallan ja Portugalin hallitukset sekä komissio ovat esittäneet kirjallisia huomautuksia. Nämä osapuolet Portugalin hallitusta lukuun ottamatta sekä Saksan hallitus esittivät suullisia huomautuksia 23.9.2021 pidetyssä istunnossa.

IV Asian tarkastelu

38. Kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä sitä, onko asetusta 2016/679 ja erityisesti sen 80 artiklan 2 kohtaa tulkittava siten, että ne ovat esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kieltoon, kuluttajansuojalainsäädännön rikkomiseen tai pätemättömien yleisten sopimusehtojen käytön kieltoon.

39. Asetuksen 2016/679 4 artiklan 1 alakohdan mukaan kyseisessä asetuksessa ”rekisteröidyllä” tarkoitetaan ”tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä”. Jos tällainen henkilö katsoo, että hänen henkilötietojaan on käsitelty kyseisen asetuksen säännösten vastaisesti, hänellä on käytettävissään useita toimintakeinoja.

40. Rekisteröidyllä on näin ollen saman asetuksen 77 artiklan nojalla oikeus tehdä kantelu valvontaviranomaiselle. Lisäksi kyseisellä henkilöllä on asetuksen 2016/679 78 artiklan nojalla oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan. Kyseisen asetuksen 79 artiklan 1 kohdassa annetaan myös jokaiselle rekisteröidylle oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, että hänen henkilötietojaan on käsitelty tämän asetuksen vastaisesti.

41. Asianomaiset henkilöt voivat tietenkin itse tehdä kantelun valvontaviranomaiselle tai käyttää edellä kuvattuja oikeussuojakeinoja. Asetuksen 2016/679 80 artiklassa säädetään kuitenkin myös mahdollisuudesta, että voittoa tavoittelematon elin, järjestö tai yhdistys voi tietyin edellytyksin edustaa kyseisiä henkilöitä. Yksittäistapauksessa nostettavien kanteiden lisäksi unionin oikeudessa siis säädetään erilaisista mahdollisuuksista edustajakanteisiin, joita voivat nostaa yksiköt, joille on annettu tehtäväksi edustaa rekisteröityjä.(10) Asetuksen 2016/679 80 artikla edustaa näin ollen suuntausta, jossa tällaisten yksiköiden yleisten tai yhteisten etujen puolustamiseksi nostamia edustajakanteita käytetään keinona, jolla parannetaan sellaisten henkilöiden oikeussuojan saatavuutta, joille on aiheutunut vahinkoa kyseisten säännösten rikkomisesta.(11)

42. Asetuksen 2016/679 80 artiklassa, jonka otsikkona on ”Rekisteröityjen edustaminen”, on kaksi kohtaa. Ensimmäinen koskee tilannetta, jossa rekisteröity valtuuttaa elimen, järjestön tai yhdistyksen edustamaan itseään. Toinen koskee ryhmäkannetta, jonka jokin yksikkö on nostanut rekisteröidyn antamasta valtuutuksesta riippumatta.

43. Koska keskusjärjestön nostama kanne ei perustu rekisteröidyn valtuutukseen, käsiteltävän ennakkoratkaisupyynnön kannalta merkityksellinen on asetuksen 2016/679 80 artiklan 2 kohta.

A Tuomio Fashion ID

44. Unionin tuomioistuin on tuomiossaan Fashion ID lausunut direktiivin 95/46 osalta kysymyksestä, joka on samankaltainen kuin nyt käsiteltävässä ennakkoratkaisupyynnössä esitetty kysymys. Se totesi ratkaisussaan, että ”[kyseisen direktiivin] 22–24 artiklaa on tulkittava siten, etteivät ne ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan”.(12)

45. Unionin tuomioistuin lähti päätelmässään siitä, että direktiivin 95/46 missään säännöksessä ei velvoiteta tai valtuuteta jäsenvaltioita nimenomaisesti säätämään niiden kansallisessa oikeudessa yhdistyksen mahdollisuudesta edustaa oikeudenkäynnissä rekisteröityä tai nostaa omasta aloitteestaan kanne henkilötietojen suojan oletettua loukkaajaa vastaan.(13) Unionin tuomioistuimen mukaan tämä ei kuitenkaan tarkoita sitä, että kyseinen direktiivi olisi esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa kanteita tällaista oletettua loukkaajaa vastaan.(14) Tältä osin unionin tuomioistuin painotti direktiivin ominaispiirteitä sekä jäsenvaltioiden, joille direktiivi on osoitettu, velvoitetta toteuttaa direktiivissä asetetun tavoitteen mukaisesti kaikki kyseisen direktiivin täyden vaikutuksen varmistamiseksi tarvittavat toimenpiteet.(15)

46. Unionin tuomioistuin myös muistutti, että direktiivin 95/46 tarkoituksena oli ”varmistaa luonnollisten henkilöiden perusvapauksien ja ‑oikeuksien ja erityisesti yksityisyyttä koskevan oikeuden tehokas ja täysimääräinen suojaaminen henkilötietojen käsittelyssä” ja ”varmistaa tietosuojan korkea taso [Euroopan] unionissa”.(16) Unionin tuomioistuimen mukaan sillä, että jäsenvaltio säätää kansallisessa säännöstössään kuluttajansuojayhdistyksen mahdollisuudesta nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan, edistetään näiden tavoitteiden saavuttamista.(17) Lisäksi unionin tuomioistuin korosti, että ”jäsenvaltioilla on monessa suhteessa käytettävissään harkintavaltaa [direktiivin 95/46] täytäntöön panemiseksi”,(18) erityisesti sen 22–24 artiklan osalta, jotka ”on muotoiltu hyvin yleisesti ja joilla ei yhdenmukaisteta tyhjentävästi kansallisia säännöksiä oikeussuojakeinoista, joihin voidaan ryhtyä henkilötietojen suojan oletettua loukkaajaa vastaan”.(19) Näin ollen ”se, että säädetään kuluttajansuojayhdistyksen mahdollisuudesta nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan, voi olla [tämän direktiivin 24 artiklassa] tarkoitettu tarvittava toimenpide, jolla – – pyritään osaltaan saavuttamaan mainitun direktiivin tavoitteet unionin tuomioistuimen oikeuskäytännön mukaisesti”.(20)

47. Nyt käsiteltävässä ennakkoratkaisupyynnössä unionin tuomioistuinta pyydetään ratkaisemaan, pitäisikö se, mikä voitiin hyväksyä direktiivin 95/46 nojalla, vastedes kieltää asetuksen 2016/679 voimaantulon jälkeen. Toisin sanoen onko kyseisen asetuksen 80 artiklan 2 kohdan oikeusvaikutuksena se, että kuluttajansuojayhdistyksen asiavaltuus pääasiassa kyseessä olevan kaltaisessa kanteessa lakkaa?

48. Tätä voidaan epäillä jo pelkästään tuomion Fashion ID 62 kohdan perusteella, jossa unionin tuomioistuin totesi, että se, että asetuksessa 2016/679 ”annetaan jäsenvaltioille kyseisen asetuksen 80 artiklan 2 kohdassa nimenomaisesti mahdollisuus sallia kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan, ei millään tavoin tarkoita, etteivät jäsenvaltiot voisi antaa niille tätä oikeutta direktiivin 95/46 nojalla, vaan se päinvastoin vahvistaa sen, että tässä tuomiossa annettu kyseisen direktiivin tulkinta heijastaa unionin lainsäätäjän tahtoa”.(21)

49. Seuraavassa esittämilläni perusteilla katson, ettei direktiivin 95/46 korvaaminen asetuksella sen paremmin kuin se, että asetuksessa 2016/679 on vastedes erillinen artikla rekisteröityjen edustamisesta kanteiden yhteydessä, ole omiaan asettamaan kyseenalaiseksi sitä, mitä unionin tuomioistuin on todennut tuomiossa Fashion ID, eli sitä, että jäsenvaltiot voivat säätää kansallisessa säännöstössään kuluttajansuojayhdistysten mahdollisuudesta nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan.

B Asetuksen 2016/679 erityispiirteet

50. Direktiivin 95/46 korvaamisesta toisentyyppisellä normilla, nimittäin asetuksella 2016/679, on todettava, että unionin lainsäätäjän päätös käyttää oikeudellisena muotona asetusta, joka on SEUT 288 artiklan nojalla kaikilta osiltaan sitova ja jota sovelletaan suoraan kaikissa jäsenvaltioissa, selittyy sen asetuksen 2016/679 johdanto-osan 13 perustelukappaleessa ilmaisemalla tahdolla varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla. Näin ollen ensi näkemältä vaikuttaa siltä, että kyseisellä asetuksella pyritään täydelliseen yhdenmukaistamiseen, sillä siinä ei rajoituta säätämään vain vähimmäisvaatimuksista, joita pidemmälle jäsenvaltiot voisivat mennä, eikä siinä anneta jäsenvaltioille mahdollisuutta poiketa sen säännöksistä tai täydentää niitä tai panna ne täytäntöön, jotta kyseisen asetuksen säännösten samanaikainen ja yhtenäinen soveltaminen unionin alueella ei vaarannu.

51. Todellisuus on kuitenkin monimutkaisempi. Asetuksen 2016/679 oikeusperusta, nimittäin SEUT 16 artikla,(22) estää katsomasta, että unioni olisi kyseisen asetuksen antamisen yhteydessä ennakoinut kaikkia seurauksia, joita henkilötietojen suojelu on omiaan aiheuttamaan muilla aloilla, jotka koskevat muun muassa työoikeutta, kilpailuoikeutta taikka kuluttajansuojaoikeutta, estämällä jäsenvaltioita antamasta erityissäännöksiä asianomaisilla aloilla vaihtelevassa määrin itsenäisesti sen mukaan, säännelläänkö kyseistä alaa unionin oikeudessa.(23) Vaikka henkilötietojen suojelu on luonteeltaan laaja-alaista, asetuksella 2016/679 toteutettu yhdenmukaistaminen rajoittuu niihin näkökohtiin, jotka kuuluvat nimenomaisesti kyseisen asetuksen soveltamisalaan tällä alalla. Niiden ulkopuolella jäsenvaltiot voivat yhä vapaasti antaa lainsäädäntöä, kunhan ne eivät puutu kyseisen asetuksen sisältöön ja tavoitteisiin.

52. Kun tarkastellaan yksityiskohtaisesti asetuksen 2016/679 säännöksiä, on lisäksi todettava, että kyseisellä asetuksella toteutetun yhdenmukaistamisen laajuus vaihtelee tarkasteltavien säännösten mukaan. Kyseisen asetuksen normatiivisen ulottuvuuden määrittäminen edellyttää näin ollen tapauskohtaista tarkastelua.(24) Linjassa direktiiviä 95/46 koskevan oikeuskäytännön(25) kanssa voidaan katsoa, että asetus 2016/679 johtaa yhdenmukaistamiseen, joka on ”lähtökohtaisesti täydellinen”, mutta useissa kyseisen asetuksen säännöksissä jäsenvaltioille annetaan kuitenkin liikkumavaraa, jota näiden viimeksi mainittujen pitää tai jota ne voivat käyttää näissä samoissa säännöksissä säädetyin edellytyksin ja niissä säädetyissä rajoissa.(26)

53. On syytä muistuttaa, että unionin tuomioistuimen hyvin vakiintuneessa oikeuskäytännössä katsotaan, että ”SEUT 288 artiklan mukaan ja juuri asetusten luonteen ja asetuksilla unionin oikeuslähteiden järjestelmässä olevan tehtävän vuoksi asetusten säännöksillä on yleensä välitön oikeusvaikutus kansallisissa oikeusjärjestyksissä ilman, että kansallisten viranomaisten tarvitsisi ryhtyä täytäntöönpanotoimiin. Asetusten tiettyjen säännösten täytäntöönpano voi kuitenkin edellyttää täytäntöönpanotoimien toteuttamista jäsenvaltioissa”.(27) Asetuksen käyttö ei välttämättä tarkoita sitä, ettei kyseisen asetuksen säännöksissä jätetä oikeussubjekteille minkäänlaista toimintamarginaalia.(28) Asetuksen sitovuus ja välitön sovellettavuus eivät myöskään estä sitä, etteikö tällainen säädös voisi sisältää valinnaisia sääntöjä.(29)

54. Asetuksen 2016/679 80 artiklan 2 kohta on sanan ”voivat” käytön perusteella esimerkki valinnaisesta säännöksestä, jonka täytäntöönpanossa jäsenvaltioille on annettu harkintavaltaa.

55. Kyseinen säännös on yksi monista kyseisen asetuksen sisältämistä ”avoimista lausekkeista”, jotka tekevät siitä erityislaatuisen perinteiseen asetukseen verrattuna ja saavat sen muistuttamaan direktiiviä.(30) Näiden lausekkeiden viittaukset kansalliseen oikeuteen voivat olla sitovia,(31) mutta useimmiten niissä on kuitenkin kyse jäsenvaltioille jätetystä mahdollisuudesta.(32) On voitu todeta, että nämä lukuisat viittaukset kansalliseen oikeuteen sisältävät riskin siitä, että henkilötietojen suojaa koskevat säännöt alkaisivat jälleen eriytyä unionin alueella, mikä olisi vastoin unionin lainsäätäjän ilmaisemaa tahtoa yhdenmukaistaa näitä sääntöjä aikaisempaa voimakkaammin ja millä voisi olla kielteisiä vaikutuksia tämän suojan tehokkuuteen kuten myös rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksien ymmärrettävyyteen.(33) Asetuksen 2016/679 monet ”avoimet lausekkeet” rajoittavat näin ollen asetuksella toteutetun yhdenmukaistamisen laajuutta.

56. On ilmeistä, että direktiiviin 95/46 verrattuna unionin lainsäätäjä on halunnut asetuksessa 2016/679 säännellä unionin tasolla aikaisempaa laajemmin ja tarkemmin niitä näkökohtia, jotka liittyvät rekisteröityjen edustamiseen silloin, kun on kyse valvontaviranomaiselle tehtävästä kantelusta tai kanteen nostamisesta.(34) Kyseisen asetuksen 80 artiklan 1 ja 2 kohdan normatiivinen ulottuvuus ei kuitenkaan ole sama. Kyseisen artiklan 1 kohta sitoo jäsenvaltioita,(35) kun taas sen 2 kohdassa jäsenvaltioille tarjotaan vain mahdollisuus. Jotta asianomaisen asetuksen 80 artiklan 2 kohdassa säädetty ilman valtuutusta nostettava edustajakanne olisi mahdollista nostaa, jäsenvaltioiden on siis hyödynnettävä niille tässä säännöksessä annettua mahdollisuutta säätää kansallisessa oikeudessaan tällaisesta rekisteröityjen edustamistavasta.

57. Jo sen valossa, että asetuksen 2016/679 80 artiklan 2 kohta on luonteeltaan valinnainen ja voi näin ollen synnyttää eroja kansallisten lainsäädäntöjen välille, kyseisen kohdan ei voida katsoa johtaneen täydelliseen yhdenmukaistamiseen henkilötietojen suojan alalla ilman valtuutusta nostettavien edustajakanteiden osalta. Kun jäsenvaltiot panevat kyseistä säännöstä täytäntöön kansallisessa oikeudessaan, niiden on kuitenkin noudatettava niitä edellytyksiä ja rajoja, jotka unionin lainsäätäjä on halunnut asettaa mainitussa säännöksessä säädetyn mahdollisuuden käytölle.

58. Vaikka direktiiviin 95/46 verrattuna säännöstö onkin tarkempaa, jäsenvaltioilla on kaikesta huolimatta yhä harkintavaltaa asetuksen 2016/679 80 artiklan 2 kohdan täytäntöönpanossa.

59. Unionin tuomioistuimen käytettävissä olevista tiedoista ilmenee, että Saksan lainsäätäjä ei ole antanut kyseisen asetuksen voimaantulon jälkeen sellaista säännöstä, jonka nimenomaisena tarkoituksena olisi panna täytäntöön asianomaisen asetuksen 80 artiklan 2 kohta sen kansallisessa oikeudessa. Tästä huolimatta on tutkittava, kuten ennakkoratkaisua pyytänyt tuomioistuin pyytää unionin tuomioistuimelta, ovatko Saksan oikeuden olemassa olevat säännökset, joissa myönnetään kuluttajansuojayhdistykselle asiavaltuus sellaisen menettelyn lopettamiseksi, jolla rikotaan samalla sekä asetuksen 2016/679 säännöksiä että erityisesti kuluttajansuojaa koskevia säännöksiä, yhteensopivia kyseisen säännöksen kanssa. Toisin sanoen soveltuuko kyseisen asetuksen voimaantuloa edeltänyt kansallinen oikeus yhteen sen kanssa, mitä sallitaan kyseisen asetuksen 80 artiklan 2 kohdassa?

60. Kuten Saksan hallitus on istunnossa täsmentänyt, kansallisissa säännöksissä, jotka oikeuttavat keskusjärjestön kaltaisen yhdistyksen nostamaan pääasiassa kyseessä olevan kaltaisen edustajakanteen, on kyse direktiivin 2009/22 täytäntöönpanotoimenpiteistä. Jotta voidaan vastata kysymykseen siitä, sallitaanko myös asetuksen 2016/679 80 artiklan 2 kohdassa tällainen kanne ja kuuluvatko nämä kansalliset säännökset näin ollen kullekin jäsenvaltiolle annettuun harkintavaltaan,(36) kyseisen artiklan tulkinnassa on otettava huomioon muun muassa sen sanamuoto sekä kyseisen asetuksen systematiikka ja tavoitteet.

C Asetuksen 2016/679 80 artiklan 2 kohdan sanamuodon mukainen, systemaattinen ja teleologinen tulkinta

61. Asetuksen 2016/679 80 artiklan 2 kohdan mukaan siinä säädettyjä edustajakanteita voivat nostaa kyseisen artiklan ”1 kohdassa tarkoitet[ut] elim[et], järjestö[t] tai yhdistyks[et]”. Kyseisen asetuksen 80 artiklan 1 kohdan kohteena on ”voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta”. Tällaista määritelmää ei mielestäni voida rajata yksiköihin, joiden ainoana ja yksinomaisena tarkoituksena on henkilötietojen suojaaminen, vaan se ulottuu koskemaan kaikkia niitä yksiköitä, joilla on yleisen edun mukainen tavoite, jolla on jokin yhteys henkilötietojen suojaamiseen. Tällaisia ovat keskusjärjestön kaltaiset kuluttajansuojayhdistykset, jotka voivat nostaa kieltokanteita menettelyistä, jotka rikkovat kyseisen asetuksen säännösten ohella myös kuluttajansuojaa tai vilpillisen kilpailun torjuntaa koskevia säännöksiä.(37)

62. Asetuksen 2016/679 80 artiklan 2 kohdan sanamuodon mukaan yksiköt, jotka täyttävät kyseisen artiklan 1 kohdassa mainitut edellytykset, voivat nostaa edustajakanteen, jos ne ”katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä”. Toisin kuin ennakkoratkaisua pyytänyt tuomioistuin näyttää katsovan, en usko, että viimeksi mainittua virkkeen osaa olisi tulkittava suppeasti siten, että jotta yksiköllä olisi oikeus nostaa kanne asetuksen 2016/679 80 artiklan 2 kohdassa säädetyn mukaisesti, sen pitäisi yksilöidä etukäteen yksi tai useampi henkilö, jolle asianomainen käsittely on tosiasiallisesti aiheuttanut vahinkoa. Kyseisen asetuksen valmisteluasiakirjoista ei ilmene mitään tämänsuuntaista. Tämän lisäksi kyseisen asetuksen 4 artiklan 1 alakohdan mukainen rekisteröidyn käsitteen määritelmä, toisin sanoen tunnistettu tai tunnistettavissa oleva luonnollinen henkilö,(38) on mielestäni ristiriidassa sen vaatimuksen kanssa, jonka mukaan henkilöiden, joiden tietoja on käsitelty asetuksen 2016/679 säännösten vastaisesti, pitäisi olla tunnistettu jo kyseisen asetuksen 80 artiklan 2 kohdan mukaisen edustajakanteen nostamisen yhteydessä. Tästä seuraa loogisesti, että kyseisen säännöksen nojalla ei voida vaatia, että yksikön pitäisi vedota erikseen nimettyjä henkilöitä koskeviin konkreettisiin tapauksiin, jotta sillä olisi oikeus nostaa kanne kyseisessä säännöksessä säädetyn mukaisesti.

63. Katson, että asetuksen 2016/679 80 artiklan 2 kohdan mukainen edustajakanne edellyttää ainoastaan vetoamista sellaiseen henkilötietojen käsittelyyn, joka on vastoin kyseisen asetuksen yksityisten oikeuksia suojaavia säännöksiä ja joka on näin ollen omiaan vahingoittamaan tunnistettujen taikka tunnistettavissa olevien henkilöiden oikeuksia, ilman että yksikön asiavaltuus edellyttäisi sen tarkistamista tapauskohtaisesti, onko tietyn tai tiettyjen henkilöiden oikeuksia loukattu.(39) Kaiken kaikkiaan tällaisen kanteen on perustuttava sellaisten oikeuksien loukkaamiseen, joita luonnollisella henkilöllä voi olla asetuksen perusteella hänen henkilötietojensa käsittelyn johdosta. Tällaisen kanteen tarkoituksena ei ole suojata objektiivista oikeutta vaan ainoastaan niitä subjektiivisia oikeuksia, joita rekisteröidyillä on suoraan asetuksen 2016/679 perusteella.(40) Toisin sanoen asetuksen 80 artiklan 2 kohdassa olevan avoimen lausekkeen tarkoituksena on antaa oikeutetuille yksiköille mahdollisuus siihen, että valvontaviranomainen tai tuomioistuin tarkistaa, että rekisterinpitäjät noudattavat kyseisessä asetuksessa olevia rekisteröityjä suojaavia säännöksiä.(41) Tästä näkökulmasta siihen, että yksiköllä on asiavaltuus kyseisen säännöksen nojalla, riittää, että se toteaa, että asetuksen 2016/679 niitä säännöksiä on rikottu, joiden tarkoituksena on suojata rekisteröityjen subjektiivisia oikeuksia.

64. Kuten komissio lähinnä toteaa, sellainen asetuksen 2016/679 80 artiklan 2 kohdan tulkinta, jonka mukaan yksikön on edustajakanteen nostamiseksi ilman valtuutusta osoitettava tai esitettävä, että tietyn henkilön oikeuksia on loukattu tietyssä tilanteessa, rajoittaisi liian merkittävästi kyseisen säännöksen soveltamisalaa. Katson Portugalin hallituksen ja komission tavoin, että asetuksen 80 artiklan 2 kohtaa on tulkittava siten, että se säilyttää tehokkaan vaikutuksensa kyseisen artiklan 1 kohtaan nähden. Näin ollen asetuksen 80 artiklan 2 kohta pitää mielestäni ymmärtää siten, että se menee asianomaisen artiklan 1 kohdassa tarkoitettua yksittäisten tapausten edustamista pidemmälle antamalla mahdollisuuden siihen, että oikeutetut yksiköt edustavat omasta aloitteestaan ja itsenäisesti sellaisten henkilöiden yhteisiä etuja, joiden henkilötietoja käsitellään asetuksen 2016/679 vastaisesti. Kyseisen asetuksen 80 artiklan 2 kohdan tehokas vaikutus heikentyisi merkittävästi, mikäli olisi katsottava, että asianomaisen artiklan 1 kohdassa edellytetyin tavoin yksikön toiminta rajoittuisi molemmissa tapauksissa nimeltä mainittujen ja erikseen nimettyjen henkilöiden edustamiseen.

65. Asetuksen 2016/679 80 artiklan 2 kohdasta ehdottamani tulkinta on niin ikään linjassa kieltokanteiden ennalta ehkäisevän luonteen ja yleisestävän tavoitteen sekä sen kanssa, etteivät ne liity konkreettiseen yksittäiseen riitaan.(42)

66. Jos ei haluta, että luodaan kaksi erilaista standardia sellaisten yksikköjen asiavaltuudesta, joilla on oikeus nostaa kieltokanne, sen mukaan, perustuuko tällainen kanne asetuksen 2016/679 80 artiklan 2 kohdan soveltamisalaan vai direktiivin 2020/1828 soveltamisalaan kuuluvaan kansalliseen toimenpiteeseen, minusta vaikuttaa siltä, että vaikka asianomaista direktiiviä ei sovelleta pääasiassa, on aiheellista ottaa huomioon se, että kyseisessä direktiivissä tällaisilta yksiköiltä ei edellytetä, että ne vetoavat sellaisten nimeltä mainittujen yksittäisten kuluttajien olemassaoloon, joille kyseinen rikkominen on aiheuttanut vahinkoa,(43) vaan siinä edellytetään, että ne vetoavat siihen, että elinkeinonharjoittajat ovat syyllistyneet kyseisen direktiivin liitteessä I mainittujen unionin oikeuden säännösten(44) rikkomisiin – asianomaisen liitteen 56 kohdassa mainitaan myös asetus 2016/679.

67. Näkemyksessä, joka puoltaa asetuksen 2016/679 80 artiklan 2 kohdan suppeaa tulkintaa, asetetaan nähdäkseni virheellisesti vastakkain kuluttajien yhteisten etujen puolustaminen(45) ja kunkin sellaisen henkilön oikeuksien suojaaminen, jonka tietoja on oletettavasti käsitelty kyseisen asetuksen vastaisesti. Kuluttajien yhteisten etujen puolustaminen ei näet mielestäni sulje pois niiden subjektiivisten oikeuksien suojaamista, jotka rekisteröidyillä on suoraan asetuksen 2016/679 perusteella, vaan tällainen suojaaminen on päinvastoin osa etujen puolustamista.

68. Katson myös, että direktiivin 2020/1828 johdanto-osan 15 perustelukappaleen toteamus siitä, että ”asetuksessa – – 2016/679 – – säädettyjä tai siihen perustuvia täytäntöönpanomekanismeja voitaisiin soveltuvin osin edelleen käyttää kuluttajien yhteisten etujen suojaamiseen”,(46) vahvistaa, että asetuksen 80 artiklan 2 kohdassa säädetyllä edustajakanteella voidaan hyvin pyrkiä tämänkaltaisten etujen suojaamiseen.

69. Päättelen edellä esitetystä, että asetuksen 2016/679 80 artiklan 2 kohdassa sallitaan mielestäni se, että jäsenvaltiot säätävät oikeutettujen yksiköiden mahdollisuudesta nostaa ilman rekisteröityjen valtuutusta edustajakanteita kuluttajien yhteisten etujen suojaamiseksi vetoamalla siihen, että asianomaisen asetuksen niitä säännöksiä on rikottu, joissa rekisteröidyille annetaan subjektiivisia oikeuksia.

70. Kieltokanteessa, jonka keskusjärjestö on nostanut Facebook Irelandia vastaan, on juurikin kyse tällaisesta kanteesta.

71. Muistutan, että ennakkoratkaisua pyytäneen tuomioistuimen näkemyksen ja keskusjärjestön vaatimusten mukaan Facebook Ireland ei ole noudattanut asetuksen 2016/679 12 artiklan 1 kohdan ensimmäisen virkkeen mukaista velvollisuuttaan toimittaa rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä kyseisen asetuksen 13 artiklan 1 kohdan c ja e alakohdassa tarkoitetut tiedot, jotka koskevat tietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa. Kyseiset säännökset kuuluvat varmasti niihin säännöksiin, joissa rekisteröidyille annetaan subjektiivisia oikeuksia, minkä vahvistaa myös se, että ne sisältyvät mainitun asetuksen III lukuun, jonka otsikkona on ”Rekisteröidyn oikeudet”. Näin ollen rekisteröidyt voivat vaatia suoraan kyseisten oikeuksien suojaamista tai sitä voi vaatia yksikkö, joka on oikeutettu tähän asetuksen 2016/679 80 artiklan 1 kohdan tai sellaisten kansallisten säännösten nojalla, joilla kyseisen asetuksen 80 artiklan 2 kohta on pantu täytäntöön.

72. Katson niin ikään, että asetuksen 2016/679 80 artiklan 2 kohta ei ole esteenä kansallisille säännöksille, joissa kuluttajansuojayhdistykselle annetaan oikeus nostaa kieltokanne sen varmistamiseksi, että kyseiseen asetukseen perustuvia oikeuksia kunnioitetaan, sellaisten sääntöjen perusteella, joiden tarkoituksena on suojata kuluttajia tai torjua sopimattomia kaupallisia menettelyjä. Tällaiset säännöt voivat nimittäin sisältää mainittuun asetukseen sisältyvien säännösten kaltaisia säännöksiä erityisesti tiedon antamisesta rekisteröidyille heidän henkilötietojensa käsittelystä,(47) mikä merkitsee sitä, että henkilötietojen suojaa koskevan säännöksen rikkominen voi samalla johtaa kuluttajansuojaa tai sopimattomia kaupallisia menettelyjä koskevien säännösten rikkomiseen. Mikään asetuksen 2016/679 80 artiklan 2 kohdan sanamuodossa ei estä kyseisen avoimen lausekkeen osittaista täytäntöönpanoa siten, että edustajakanteen tarkoituksena on suojata niitä oikeuksia, joita rekisteröidyillä on kuluttajina tämän asetuksen nojalla.(48)

73. Tässä ehdotetulla asetuksen 2016/679 80 artiklan 2 kohdan tulkinnalla voidaan mielestäni myös parhaiten saavuttaa kyseisen asetuksen tavoitteet.

74. Unionin tuomioistuin on tältä osin todennut, että ”kuten asetuksen 2016/679 1 artiklan 2 kohdasta, luettuna yhdessä kyseisen asetuksen johdanto-osan 10, 11 ja 13 perustelukappaleen kanssa, ilmenee, siinä näin ollen asetetaan unionin toimielimille, elimille ja laitoksille sekä jäsenvaltioiden toimivaltaisille viranomaisille tehtäväksi varmistaa SEUT 16 artiklassa ja [Euroopan unionin perusoikeuskirjan] 8 artiklassa taattujen oikeuksien suojan korkea taso”.(49) Tämän lisäksi kyseisen asetuksen tavoitteena on ”turvata luonnollisille henkilöille heidän perusoikeuksiensa ja ‑vapauksiensa tehokas suoja ja erityisesti heidän oikeutensa yksityiselämän ja henkilötietojen suojaan”.(50)

75. Olisi henkilötietojen suojan korkean tason varmistamista koskevan tavoitteen vastaista estää jäsenvaltioita toteuttamasta toimia, joilla edistetään kuluttajansuojaa koskevaa tavoitetta ja joilla niin ikään edesautetaan henkilötietojen suojaa koskevan tavoitteen saavuttamista. Se, mikä piti paikkansa direktiivin 95/46 yhteydessä, pätee edelleen asetuksen 2016/679 voimaantulon jälkeen: sillä, että kuluttajansuojayhdistyksille annetaan asiavaltuus asianomaisen asetuksen säännösten vastaisten käsittelyjen lopettamiseksi, edistetään rekisteröityjen oikeuksien vahvistamista kollektiivisilla oikeussuojakeinoilla.(51)

76. Yhdistysten toteuttama kuluttajien yhteisten etujen puolustaminen soveltuu erityisen hyvin yhteen henkilötietojen suojan korkean tason saavuttamista koskevan tavoitteen kanssa. Tältä kannalta asianomaisten yhdistysten nostamien kanteiden ennalta ehkäisevää tehtävää ei voitaisi varmistaa, mikäli asetuksen 2016/679 80 artiklan 2 kohdassa säädetyssä edustajakanteessa voitaisiin vedota vain sellaisen henkilön oikeuksien loukkaamiseen, jolle kyseinen rikkominen on erikseen ja tosiasiallisesti aiheuttanut vahinkoa.

77. Keskusjärjestön kaltaisen kuluttajansuojayhdistyksen nostamalla kieltokanteella edistetään siis kiistatta sen varmistamista, että asetuksella 2016/679 suojattujen oikeuksien soveltaminen on tehokasta.(52)

78. Tämän lisäksi olisi vähintään paradoksaalista, jos henkilötietojen suojaa koskevien sääntöjen valvontakeinojen vahvistaminen, jota unionin lainsäätäjä tavoitteli, kun se antoi asetuksen 2016/679, johtaisi lopulta siihen, että tämän suojan taso heikkenisi siitä tasosta, jonka jäsenvaltiot pystyivät varmistamaan direktiivin 95/46 nojalla.

79. On totta, että – toisin kuin Amerikan Yhdysvalloissa – unionin oikeudessa yhtäältä sopimattomia kaupallisia menettelyjä koskeva säännöstö ja toisaalta henkilötietojen suojaa koskeva säännöstö ovat kehittyneet erikseen. Näiden kahden alan normatiiviset puitteet ovat näin ollen erilaiset.

80. Näiden kahden alan välillä on kuitenkin vuorovaikutusta siten, että kanteilla, jotka kuuluvat henkilötietojen suojaa koskevan sääntelyn alaan, voidaan samanaikaisesti ja välillisesti edesauttaa sopimattoman kaupallisen menettelyn lopettamista. Sama pätee myös päinvastoin.(53) Myös itse asetuksesta 2016/679, eritoten sen johdanto-osan 42 perustelukappaleesta, käy ilmi, että henkilötietojen suojalla on – näiden tietojen käsittelyyn annettavan suostumuksen näkökulmasta – yhteys kuluttajansuojaan. Lisäksi komissio on korostanut unionin henkilötietojen suojaa koskevan sääntelyn ja direktiivin 2005/29/EY(54) välisiä vuorovaikutussuhteita.

81. Henkilötietojen suojaa koskevan oikeuden, kuluttajansuojaoikeuden ja kilpailuoikeuden väliset vuorovaikutussuhteet ovat yleisiä ja monilukuisia, koska sama menettely voi kuulua samanaikaisesti näiden eri alojen oikeussääntöjen soveltamisalaan. Tällaiset vuorovaikutukset tehostavat osaltaan henkilötietojen suojelua.(55)

82. On totta, että kuluttajat eivät ole ainoa henkilöryhmä, jolle asetuksessa 2016/679 säädetään oikeuksia, sillä tämä asetus ei perustu kulutuskeskeiseen käsitykseen luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä(56) vaan käsitykseen, jonka mukaan kyseinen suoja on perusoikeuskirjan 8 artiklan mukaisesti perusoikeus,(57) mikä ilmenee muun muassa kyseisen asetuksen johdanto-osan ensimmäisestä perustelukappaleesta ja 1 artiklan 2 kohdasta.

83. On kuitenkin niin, että digitaalisen talouden aikakaudella rekisteröidyt ovat usein kuluttajia. Tästä syystä kuluttajien suojaamiseen tarkoitettuihin säännöksiin vedotaan usein siinä tarkoituksessa, että heille voitaisiin taata suojaa sitä vastaan, että heidän henkilötietojaan käsitellään asetuksen 2016/679 säännösten vastaisesti.

84. Tämän tarkastelun perusteella on todettava, että asetuksen 2016/679 80 artiklan 2 kohdassa säädetty edustajakanne ja direktiivissä 2020/1828 säädetty edustajakanne voivat olla päällekkäisiä, kun on kyse kieltotoimenpiteistä ja kun kyseisessä asetuksessa tarkoitetut ”rekisteröidyt” ovat samalla myös kyseisen direktiivin 3 artiklan 1 alakohdassa tarkoitettuja ”kuluttajia”.(58) Tämä on nähdäkseni osoitus henkilötietojen suojaa koskevan oikeuden ja muiden oikeudenalojen, kuten kuluttajansuojaoikeuden ja kilpailuoikeuden, täydentävyydestä ja lähentymisestä. Kun unionin lainsäätäjä antoi kyseisen direktiivin, se vei tämän kehityksen entistä pidemmälle sitomalla kuluttajien yhteisten etujen suojaamisen ja asetuksen 2016/679 noudattamisen selkeästi toisiinsa. Tämä vahvistaa pakostakin kyseiseen asetukseen sisältyvien säännösten soveltamisen tehokkuutta.

V Ratkaisuehdotus

85. Kaiken edellä esitetyn perusteella ehdotan, että Bundesgerichtshofin esittämään ennakkoratkaisukysymykseen vastataan seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 80 artiklan 2 kohtaa on tulkittava siten, että se ei ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kieltoon, kuluttajansuojalainsäädännön rikkomiseen tai pätemättömien yleisten sopimusehtojen käytön kieltoon, sikäli kuin kyseisellä edustajakanteella pyritään niiden oikeuksien turvaamiseen, joita riidanalaisen käsittelyn kohteena olevilla henkilöillä on suoraan kyseisen asetuksen nojalla.

1 Alkuperäinen kieli: ranska.

2 Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).

3 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi (EYVL 1995, L 281, s. 31).

4 Ks. tuomio 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629; jäljempänä tuomio Fashion ID).

5 Ks. myös kyseisen asetuksen johdanto-osan 142 perustelukappale.

6 BGBl. 2004 I, s. 1414; jäljempänä UWG.

7 BGBl. 2001 I, s. 3138 ja 3173; jäljempänä UKlaG.

8 EUVL 2009, L 110, s. 30.

9 BGBl. 2007 I, s. 179; jäljempänä TMG.

10 Rekisteröityjen edustamisesta säädetään myös luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23.10.2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (EUVL 2018, L 295, s. 39) 67 artiklassa ja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (EUVL 2016, L 119, s. 89) 55 artiklassa. Näissä kahdessa tapauksessa on kyse edustamisesta valtuutuksella.

11 Tämä muun muassa direktiivissä 2009/22 konkretisoitu suuntaus on johtanut hiljattain kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista ja direktiivin 2009/22/EY kumoamisesta 25.11.2020 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 (EUVL 2020, L 409, s. 1) hyväksymiseen. Viimeksi mainittu direktiivi on saatettava osaksi kansallista lainsäädäntöä 25.12.2022 mennessä. Ks. tältä osin Pato, A., ”Collective Redress Mechanisms in the EU”, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Lontoo, 2019, s. 45–117. Ks. myös Gsell, B., ”The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, nide 58, nro 5, Kluwer Law International, Alphen-sur-le-Rhin, 2021, s. 1365–1400.

12 Ks. tuomio Fashion ID, 63 kohta ja tuomiolauselma.

13 Ks. tuomio Fashion ID, 47 kohta.

14 Ks. tuomio Fashion ID, 48 kohta.

15 Ks. tuomio Fashion ID, 49 kohta.

16 Ks. tuomio Fashion ID, 50 kohta.

17 Ks. tuomio Fashion ID, 51 kohta.

18 Ks. tuomio Fashion ID, 56 kohta oikeuskäytäntöviittauksineen.

19 Ks. tuomio Fashion ID, 57 kohta oikeuskäytäntöviittauksineen.

20 Ks. tuomio Fashion ID, 59 kohta.

21 Kursivointi tässä.

22 Kuten unionin tuomioistuin korosti 15.6.2021 antamassaan tuomiossa Facebook Ireland ym. (C‑645/19, EU:C:2021:483, 44 kohta).

23 Asetuksen 2016/679 johdanto-osasta ilmenee, että asetus on annettu SEUT 16 artiklan perusteella, jonka 2 kohdassa määrätään muun muassa, että Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen yhtäältä luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden silloin, kun ne toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä , ja toisaalta säännöt, jotka koskevat tietojen vapaata liikkuvuutta.

24 Asetuksen 2016/679 kaltaisella normilla toteutetun yhdenmukaistamisen laajuuden määrittäminen edellyttää näin ollen ”yksityiskohtaista analyysia, jossa tarkastellaan tiettyä sääntöä tai parhaimmillaan unionin oikeuden tiettyä ja hyvin määriteltyä näkökohtaa”: ks. julkisasiamies Bobekin ratkaisuehdotus Dzivev ym. (C-310/16, EU:C:2018:623, 74 kohta). Ks. myös Mišćenić, E. ja Hoffmann, A.-L., ”The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Osijekin Josip Juraj Strossmayer ‑yliopisto, Osijekin oikeustieteellinen tiedekunta, Osijek, 2020, nro 4, s. 44–61, jossa todetaan seuraavaa: ”it is – – possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (s. 49).

25 Ks. tuomio 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, 96 kohta).

26 Ks. direktiivin 95/46 osalta tuomio 6.11.2003, Lindqvist (C-101/01, EU:C:2003:596, 97 kohta). Vastoin tiettyjä yleisiä käsityksiä unionin lainsäätäjän päätös antaa direktiivin sijasta asetus ei välttämättä johda kyseisen alan täydelliseen yhdenmukaistamiseen. Ks. em. Mišćenić, E. ja Hoffmann, A.-L., jossa todetaan seuraavaa: ”an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, – – while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (s. 48).

27 Ks. mm. tuomio 15.6.2021, Facebook Ireland ym. (C-645/19, EU:C:2021:483, 110 kohta oikeuskäytäntöviittauksineen). Ks. myös sellaisen alan osalta, josta on aiemmin annettu direktiivi, tuomio 21.12.2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, 42 kohta), jossa unionin tuomioistuin täsmentää, että ”se, että unionin säännöstö eläinten suojelusta kuljetuksen aikana on vastedes asetuksessa, ei – – välttämättä merkitse sitä, että kaikki kyseisen säännöstön kansalliset täytäntöönpanotoimet olisivat nykyään kiellettyjä”.

28 Ks. tuomio 27.10.1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Näin ollen unionin tuomioistuin on todennut, ettei jäsenvaltio, joka on päättänyt olla käyttämättä asetuksen tarjoamaa mahdollisuutta, riko SEUT 288 artiklaa: ks. tuomio 17.12.2015, Imtech Marine Belgium (C-300/14, EU:C:2015:825, 27–31 kohta). Ks. myös asetuksesta, jolla otetaan käyttöön vientitukia, joita jäsenvaltiot voivat myöntää tai olla myöntämättä, tuomio 27.10.1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 Ks. avoimista lausekkeista Wagner, J. ja Benecke, A., ”National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berliini, nide 2, nro 3, 2016, s. 353–361.

31 Ks. mm. asetuksen 2016/679 51 ja 84 artikla.

32 Ks. mm. asetuksen 2016/679 6 artiklan 2 ja 3 kohta, 8 artiklan 1 kohdan toinen alakohta ja 85–89 artikla.

33 Ks. tältä osin em. Mišćenić, E. ja Hoffmann, A.-L., jossa todetaan seuraavaa: ”despite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, – – the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses – – open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (s. 50 ja 51).

34 Direktiivissä 95/46 säädettiin ainoastaan sen 28 artiklan 4 kohdassa mahdollisuudesta, että yhdistys ottaa tehtäväkseen tehdä kantelun valvontaviranomaiselle sellaisen henkilön lukuun, joka valittaa oikeuksiensa loukkaamisesta henkilötietojen käsittelyssä.

35 Lukuun ottamatta kuitenkaan valtuutuksen nojalla nostettavaa edustajakannetta, jolla haetaan korvausta rekisteröityjen puolesta – tämä on jäsenvaltioille yhä valinnaista.

36 Ks. analogisesti tuomio 21.12.2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, 43 kohta).

37 Ks. Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, s. 98–106. Kyseinen kirjoittaja toteaa, että ”the number of actors who potentially have standing to sue is broad” ja että ”consumer associations will usually meet those requirements easily” (s. 99).

38 Kursivointi tässä. Tämän saman säännöksen mukaan ”tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”. Kuten N. Martial-Braz toteaa artikkelissaan ”Le champ d’application du RGPD” teoksessa Bensamoun, A. ja Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Pariisi, 2020, s. 19–33, ”tunnistettavuus ymmärretään hyvin laajasti, sillä henkilön tunnistamisperusteisiin kuuluvat kaikki sellaiset keinot, joita voidaan kohtuudella olettaa käytettävän henkilön tunnistamiseen” (s. 24). Ks. direktiivin 95/46 2 artiklan a alakohdassa tarkoitetun tunnistettavissa olevan henkilön käsitteestä mm. tuomio 19.10.2016, Breyer (C‑582/14, EU:C:2016:779).

39 Ks. Boehm, F., ”Artikel 80 Vertretung von betroffenen Personen” teoksessa Simitis, S., Hornung, G. ja Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, erityisesti 13 kohta.

40 Ks. Frenzel, E. M., ”Art. 80 Vertretung von betroffenen Personen” teoksessa Paal, B. P. ja Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, kolmas painos, C.H. Beck, München, 2021, erityisesti 11 kohta ja Kreße, B., ”Artikel 80 Vertretung von betroffenen Personen” teoksessa Sydow, G., Europäische Datenschutzverordnung, toinen painos, Nomos, Baden-Baden, 2018, erityisesti 13 kohta.

41 Ks. Moos, F. ja Schefzig, J., ”Art. 80 Vertretung von betroffenen Personen” teoksessa Taeger, J. ja Gabel, D., Kommentar DSGVO – BDSG, kolmas painos, Deutscher Fachverlag, Frankfurt am Main, 2019, erityisesti 22 kohta.

42 Ks. mm. elinkeinonharjoittajien ja kuluttajien välillä tehtyjen sopimusten kohtuuttomista ehdoista tuomio 14.4.2016, Sales Sinués ja Drame Ba (C-381/14 ja C-385/14, EU:C:2016:252, 29 kohta).

43 Ks. direktiivin 2020/1828 johdanto-osan 33 perustelukappale ja 8 artiklan 3 kohdan a alakohta, jonka mukaan ”oikeutetulta yksiköltä ei saa edellyttää näytön esittämistä – – niille yksittäisille kuluttajille aiheutuneesta todellisesta vahingosta, joita 2 artiklan 1 kohdassa tarkoitettu oikeudenloukkaus koskee”. Lisäksi, vaikka kyseisen direktiivin 7 artiklan 2 kohdassa edellytetään, että oikeutettu yksikkö toimittaa tuomioistuimelle taikka hallintoviranomaiselle ”riittävät tiedot kuluttajista, joita edustajakanne koskee”, kyseisen direktiivin johdanto-osan 34 perustelukappaleesta ilmenee, että näillä tiedoilla, joiden tarkkuus voi vaihdella oikeutetun yksikön vaatiman toimenpiteen mukaan, ei pyritä nimeämään niitä yksittäisiä kuluttajia, joille kyseisestä rikkomisesta on aiheutunut vahinkoa, vaan pikemminkin tietoja haetaan esimerkiksi siitä, missä vahinko on sattunut, tai siitä kuluttajaryhmästä, jota edustajakanne koskee (ks. myös direktiivin 2020/1828 johdanto-osan 65 perustelukappale). Huomautan lisäksi, että direktiivin 2020/1828 johdanto-osan 49 perustelukappaleessa todetaan, että ”oikeutetulta yksiköltä ei saisi edellyttää erikseen jokaisen kuluttajan, jota edustajakanne koskee, yksilöimistä” edes silloin, kun edustajakanteella haetaan hyvitystoimenpiteitä. Ks. tältä osin em. Gsell, B., erityisesti s. 1370.

44 Ks. direktiivin 2020/1828 2 artiklan 1 kohta.

45 Ks. direktiivin 2009/22 johdanto-osan kolmas perustelukappale, jossa täsmennetään, että direktiivin soveltamisalaan kuuluvilla kieltokanteilla pyritään suojaamaan ”kuluttajien yhteisiä etuja”, joilla tarkoitetaan ”etuja, jotka eivät muodostu pelkästään laskemalla yhteen oikeudenloukkauksen kohteeksi joutuneiden henkilöiden edut”. Direktiivin 2020/1828 3 artiklan 3 alakohdan mukaan käsitteellä ”kuluttajien yhteiset edut” tarkoitetaan ”kuluttajien yleistä etua ja erityisesti hyvitystoimenpiteiden yhteydessä tietyn kuluttajaryhmän etuja”.

46 Kursivointi tässä.

47 Ks. Helberger, N., Zuiderveen Borgesius, F. ja Reyna, A., ”The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, nide 54, nro 5, Kluwer Law International, Alphen-sur-le-Rhin, 2017, s. 1427–1465, jossa todetaan seuraavaa: ”one feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (s. 1437).

48 Ks. Neun, A. ja Lubitzsch, K., ”Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz”, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, s. 2563–2569, erityisesti s. 2567.

49 Ks. tuomio 15.6.2021, Facebook Ireland ym. (C-645/19, EU:C:2021:483, 45 kohta).

50 Ks. tuomio 15.6.2021, Facebook Ireland ym. (C-645/19, EU:C:2021:483, 91 kohta).

51 Ks. julkisasiamies Bobekin ratkaisuehdotus Fashion ID (C-40/17, EU:C:2018:1039, 33 kohta).

52 Kuluttajansuojayhdistysten nostamia kanteita koskevista esimerkeistä ks. em. Helberger, N., Zuiderveen Borgesius, F. ja Reyna, A., erityisesti s. 1452 ja 1453.

53 Ks. henkilötietojen suojaan liittyvien toimien ja sopimattomien kaupallisten menettelyjen lopettamiseen tähtäävien toimien toisiaan täydentävästä suhteesta van Eijk, N., Hoofnagle, C. J. ja Kannekens, E., ”Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berliini, nide 3, nro 3, 2017, s. 325–337, jossa todetaan seuraavaa: ”through applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (s. 336).

54 Sopimattomista elinkeinonharjoittajien ja kuluttajien välisistä kaupallisista menettelyistä sisämarkkinoilla ja neuvoston direktiivin 84/450/ETY, Euroopan parlamentin ja neuvoston direktiivien 97/7/EY, 98/27/EY ja 2002/65/EY sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 2006/2004 muuttamisesta 11.5.2005 annettu Euroopan parlamentin ja neuvoston direktiivi (sopimattomia kaupallisia menettelyjä koskeva direktiivi) (EUVL 2005, L 149, s. 22). Ks. komission yksiköiden valmisteluasiakirja Ohjeet sopimattomista kaupallisista menettelyistä annetun direktiivin 2005/29/EY täytäntöönpanoa ja soveltamista varten, oheisasiakirja komission tiedonantoon Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle rajat ylittävän verkkokaupan kokonaisvaltaisesta edistämisestä Euroopan kansalaisten ja yritysten hyväksi (SWD(2016) 163 final), erityisesti 1.4.10 kohta, s. 26–31. Komissio korostaa tässä asiakirjassa asianmukaisen tietojenkäsittelyn välttämättömyyttä, mikä tarkoittaa sitä, että rekisteröidylle annetaan tietyt merkitykselliset tiedot muun muassa kyseisen henkilötietojen käsittelyn tarkoituksista (s. 28). Komissio toteaa myös, että ”se, että elinkeinonharjoittaja rikkoo direktiiviä [95/46] tai [henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annettua Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37)], ei sinänsä aina merkitse sitä, että menettely on myös [direktiivin 2005/29] vastainen”. Komission mukaan ”tällaiset tietosuojaloukkaukset olisi kuitenkin otettava huomioon arvioitaessa kaupallisten menettelyjen yleistä sopimattomuutta [direktiivin 2005/29] nojalla erityisesti sellaisessa tilanteessa, jossa elinkeinonharjoittaja käsittelee kuluttajien tietoja tietosuojavaatimusten vastaisesti eli suoramarkkinointitarkoituksiin tai muihin kaupallisiin tarkoituksiin, kuten profilointia, henkilökohtaista hinnoittelua tai massadatasovelluksia varten” (s. 30).

55 Ks. tältä osin mm. em. Helberger, N., Zuiderveen Borgesius, F. ja Reyna, A., jossa todetaan seuraavaa: ”data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (s. 1429). Ks. myös em. van Eijk, N., Hoofnagle, C. J. ja Kannekens, E., erityisesti s. 336. Havainnollistavana esimerkkinä henkilötietojen suojaa sähköisessä viestinnässä koskevien säännösten ja elinkeinonharjoittajien ja kuluttajien välisten sopimattomien kaupallisten menettelyjen kieltoa koskevien sääntöjen täydentävyydestä ks. ratkaisuehdotukseni StWL Städtische Werke Lauf a.d. Pegnitz (C-102/20, EU:C:2021:518).

56 Ks. em. Martial-Braz, N., erityisesti s. 23.

57 Ks. tuomio 15.6.2021, Facebook Ireland ym. (C-645/19, EU:C:2021:483, 44 kohta).

58 Ks. direktiivin 2020/1828 johdanto-osan 14 perustelukappale, jonka mukaan kyseisen direktiivin ”olisi – – suojattava vain sellaisten luonnollisten henkilöiden etuja, joille on aiheutunut vahinkoa tai saattaa aiheutua vahinkoa [liitteessä I tarkoitettujen unionin oikeuden säännösten rikkomisista], jos kyseiset henkilöt ovat [kyseisessä] direktiivissä tarkoitettuja kuluttajia”.