UNIONIN TUOMIOISTUIMEN TUOMIO (kuudes jaosto)
7 päivänä maaliskuuta 2024 (*)
Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – 2, 4, 6, 10 ja 86 artikla – Tuomioistuimen hallussa olevat luonnollisen henkilön rikostuomioihin liittyvät tiedot – Tällaisten tietojen luovuttaminen suullisesti kaupalliselle yhtiölle tämän järjestämän kilpailun vuoksi – Henkilötietojen käsittelyn käsite – Kansallinen säännöstö, jolla säännellään oikeutta tutustua mainittuihin tietoihin – Virallisten asiakirjojen julkisuuden ja henkilötietojen suojan yhteensovittaminen
Asiassa C‑740/22,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Itä-Suomen hovioikeus (Suomi) on esittänyt 30.11.2022 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 2.12.2022, saadakseen ennakkoratkaisun asiassa
Endemol Shine Finland Oy,
UNIONIN TUOMIOISTUIN (kuudes jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja T. von Danwitz (esittelevä tuomari) sekä tuomarit P. G. Xuereb ja I. Ziemele,
julkisasiamies: T. Ćapeta,
kirjaaja: A. Calot Escobar,
ottaen huomioon kirjallisessa käsittelyssä esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Suomen hallitus, asiamiehinään A. Laine ja M. Pere,
– Portugalin hallitus, asiamiehinään P. Barros da Costa, J. Ramos ja C. Vieira Guerra,
– Euroopan komissio, asiamiehinään A. Bouchagiar, H. Kranenborg ja I. Söderlund,
päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 2 artiklan 1 kohdan, 4 artiklan 2 alakohdan ja 86 artiklan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa kansallinen tuomioistuin on kieltäytynyt luovuttamasta Endemol Shine Finland Oy:lle tietoja, jotka liittyvät kolmannen henkilön rikostuomioihin.
Asiaa koskevat oikeussäännöt
Unionin oikeus
3 Yleisen tietosuoja-asetuksen johdanto-osan 4, 10, 11, 15, 19 ja 154 perustelukappaleessa todetaan seuraavaa:
”(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon [Euroopan unionin perusoikeuskirjassa (jäljempänä perusoikeuskirja)] tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä – – kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin – –.
– –
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet [Euroopan] unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. Henkilötietojen käsittelyn lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla tämän asetuksen sääntöjen soveltamista voitaisiin täsmentää entisestään. Yhdessä [yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston] direktiivin 95/46/EY [(EYVL 1995, L 281, s. 1)] täytäntöön panevan, tietosuojaa koskevan yleisen ja horisontaalisen lainsäädännön kanssa jäsenvaltioilla on useita alakohtaisia lakeja aloilla, joilla tarvitaan yksityiskohtaisempia säännöksiä. Lisäksi tässä asetuksessa annetaan jäsenvaltioille liikkumavaraa sääntöjen täsmentämisen suhteen, mukaan lukien henkilötietojen erityisryhmien, jäljempänä ’arkaluontoiset tiedot’, käsittelyä koskevat säännöt. Näiltä osin tällä asetuksella ei suljeta pois jäsenvaltioiden lainsäädäntöä, jossa määritellään erityisiä käsittelytilanteita koskevat olosuhteet, mukaan lukien niiden edellytysten tarkempi määrittely, joiden täyttyessä henkilötietojen käsittely on laillista.
(11) Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa.
– –
(15) Sen estämiseksi, että syntyisi vakava riski säännösten kiertämisestä, luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava henkilötietojen automaattista käsittelyä sekä niiden manuaalista käsittelyä, jos henkilötiedot sisältyvät tai ne on tarkoitus sisällyttää rekisteriin. Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.
– –
(19) Luonnollisten henkilöiden suojelusta tapauksissa, joissa toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten estämistä, selvittämistä, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, sekä näiden henkilötietojen vapaasta liikkuvuudesta on annettu erillinen unionin säädös. Tätä asetusta ei näin ollen olisi sovellettava näitä tarkoituksia varten tehtävään henkilötietojen käsittelyyn. Kun viranomaiset käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja näitä tarkoituksia varten, olisi sen sijaan sovellettava unionin erityissäädöstä eli [luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annettua] Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/680 [(EUVL 2016, L 119, s. 89)]. Jäsenvaltiot voivat antaa direktiivissä (EU) 2016/680 tarkoitetuille toimivaltaisille viranomaisille tehtäviä, joita ei välttämättä suoriteta rikosten estämistä, selvittämistä, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tällöin muita tarkoituksia varten tehtävä henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, sikäli kuin se kuuluu unionin lainsäädännön soveltamisalaan.
Kyseisten toimivaltaisten viranomaisten [suorittamassa], tämän asetuksen soveltamisalaan kuuluviin tarkoituksiin [suoritetussa] henkilötietojen käsittelyssä jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä mukauttaakseen tässä asetuksessa vahvistettujen sääntöjen soveltamista. Näillä säännöksillä voidaan määrittää täsmällisemmin kyseisten toimivaltaisten viranomaisten kyseisiin muihin tarkoituksiin suorittamaa henkilötietojen käsittelyä koskevat erityisvaatimukset ottaen huomioon kunkin jäsenvaltion oma perustuslaki, organisaatio ja hallintorakenne. Kun yksityisten elinten suorittama henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, tässä asetuksessa olisi annettava jäsenvaltioille mahdollisuus erityisin edellytyksin rajoittaa lainsäädäntötoimenpiteellä tiettyjä velvoitteita ja oikeuksia, silloin kun tällainen rajoittaminen on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide tiettyjen tärkeiden etujen, kuten yleisen turvallisuuden ja rikosten ennalta estämisen, tutkinnan, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon turvaamiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Tämä on asianmukaista esimerkiksi rahanpesun torjunnan tai rikosteknisten laboratorioiden toiminnan puitteissa.
– –
(154) Tätä asetusta sovellettaessa voidaan ottaa huomioon viranomaisten asiakirjojen julkisuusperiaate. Viranomaisten asiakirjojen julkisuutta voidaan pitää yleisenä etuna. Viranomaisen tai julkishallinnon elimen olisi voitava luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja, jos kyseiseen viranomaiseen tai julkishallinnon elimeen sovellettavassa unionin oikeudessa tai jäsenvaltioiden lainsäädännössä niin säädetään. Kyseisessä lainsäädännössä olisi sovitettava yhteen virallisten asiakirjojen julkisuus ja julkisen sektorin hallussa olevien tietojen uudelleenkäyttö sekä oikeus henkilötietojen suojaan, ja sen vuoksi siinä voidaan säätää tarvittavasta yhteensovittamisesta tämän asetuksen mukaisen henkilötietojen suojaa koskevan oikeuden kanssa. Viranomaisia ja julkishallinnon elimiä koskevaan viittaukseen olisi tässä yhteydessä sisällytettävä kaikki viranomaiset ja muut elimet, jotka kuuluvat asiakirjojen julkisuutta koskevan jäsenvaltion lainsäädännön piiriin. [Julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä 17.11.2003 annetulla] Euroopan parlamentin ja neuvoston direktiivillä 2003/98/EY [(EUVL 2003, L 345, s. 90)] ei puututa eikä millään tavalla vaikuteta unionin ja jäsenvaltion lainsäädännön säännösten mukaiseen luonnollisten henkilöiden suojelun tasoon henkilötietojen käsittelyssä, eikä sillä etenkään muuteta tässä asetuksessa säädettyjä velvollisuuksia ja oikeuksia. Kyseistä direktiiviä ei saisi etenkään soveltaa asiakirjoihin, jotka eivät ole saatavilla tai joiden saatavuutta on rajoitettu asiakirjojen saatavuutta koskevien järjestelmien perusteella henkilötietojen suojaamiseksi, ja sellaisiin kyseisten järjestelmien perusteella saatavilla olevien asiakirjojen osiin, jotka sisältävät henkilötietoja, joiden uudelleenkäytön on lainsäädännössä säädetty olevan ristiriidassa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä annetun lain kanssa.”
4 Yleisen tietosuoja-asetuksen 2 artiklassa, jonka otsikko on ”Aineellinen soveltamisala”, säädetään seuraavaa:
”1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;
b) jota suorittavat jäsenvaltiot toteuttaessaan [EU-sopimuksen] V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;
c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;
d) jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
3. Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan [yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18.12.2000 annettua Euroopan parlamentin ja neuvoston] asetusta (EY) N:o 45/2001 [(EYVL 2001, L 8, s. 1)]. Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset on mukautettava tämän asetuksen periaatteiden ja sääntöjen mukaisiksi 98 artiklaa noudattaen.
4. Tällä asetuksella ei rajoiteta [tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista 8.6.2000 annetun Euroopan parlamentin ja neuvoston] direktiivin 2000/31/EY [(direktiivi sähköisestä kaupankäynnistä) (EYVL 2000, L 178, s. 1)] soveltamista etenkään niiltä osin kuin on kyse tuon direktiivin 12–15 artiklassa säädetyistä välittäjinä toimivien palveluntarjoajien vastuuta koskevista säännöistä.”
5 Yleisen tietosuoja-asetuksen 4 artiklan, jonka otsikko on ”Määritelmät”, 1, 2, 6 ja 7 kohdassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti”.
6 Yleisen tietosuoja-asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:
”1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:
a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);
b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; – – (’käyttötarkoitussidonnaisuus’);
c) niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (’tietojen minimointi’);
d) niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (’täsmällisyys’);
e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; – – (’säilytyksen rajoittaminen’);
f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (’eheys ja luottamuksellisuus’).
– –”
7 Mainitun asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1–3 kohdassa säädetään seuraavaa:
”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.
2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.
3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko
a) unionin oikeudessa; tai
b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.
Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja ‑menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.”
8 Yleisen tietosuoja-asetuksen 10 artiklassa, jonka otsikko on ”Rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely”, säädetään seuraavaa:
”Rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa.”
9 Kyseisen asetuksen 23 artiklassa, jonka otsikko on ”Rajoitukset”, säädetään seuraavaa:
”1. Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata
– –
f) oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;
– –”
10 Yleisen tietosuoja-asetuksen 85 artiklassa, jonka otsikko on ”Käsittely ja sananvapaus ja tiedonvälityksen vapaus”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on lainsäädännöllä sovitettava yhteen tämän asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.”
11 Yleisen tietosuoja-asetuksen 86 artiklassa, jonka otsikko on ”Henkilötietojen käsittely ja virallisten asiakirjojen julkisuus”, säädetään seuraavaa:
”Viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan.”
Suomen oikeus
Tietosuojalaki (1050/2018)
12 Tietosuojalain (1050/2018) 1 §:ssä säädetään seuraavaa:
”Tällä lailla täsmennetään ja täydennetään [yleistä tietosuoja-asetusta] ja sen kansallista soveltamista.”
13 Tämän lain 28 §:n sanamuoto on seuraava:
”Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.”
Laki viranomaisten toiminnan julkisuudesta (621/1999)
14 Viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 13 §:ssä säädetään seuraavaa:
”Pyyntö saada tieto viranomaisen asiakirjan sisällöstä on yksilöitävä riittävästi siten, että viranomainen voi selvittää, mitä asiakirjaa pyyntö koskee. Tiedon pyytäjää on diaarin ja muiden hakemistojen avulla avustettava yksilöimään asiakirja, josta hän haluaa tiedon. Tiedon pyytäjän ei tarvitse selvittää henkilöllisyyttään eikä perustella pyyntöään, ellei tämä ole tarpeen viranomaiselle säädetyn harkintavallan käyttämiseksi tai sen selvittämiseksi, onko pyytäjällä oikeus saada tieto asiakirjan sisällöstä.
Pyydettäessä saada tieto salassa pidettävästä asiakirjasta taikka viranomaisen henkilörekisteristä tai muusta asiakirjasta, josta tieto voidaan luovuttaa vain tietyin edellytyksin, tiedon pyytäjän on, jollei erikseen toisin säädetä, ilmoitettava tietojen käyttötarkoitus sekä muut tietojen luovuttamisen edellytysten selvittämiseksi tarpeelliset seikat sekä tarvittaessa tiedot siitä, miten tietojen suojaus on tarkoitus järjestää.”
15 Tämän lain 16 §:ssä säädetään seuraavaa:
”Viranomaisen asiakirjan sisällöstä annetaan tieto suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. Tieto asiakirjan julkisesta sisällöstä on annettava pyydetyllä tavalla, jollei pyynnön noudattaminen asiakirjojen suuren määrän tai asiakirjan kopioinnin vaikeuden tai muun niihin verrattavan syyn vuoksi aiheuta kohtuutonta haittaa virkatoiminnalle.
– –
Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.
– –”
Laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007)
16 Oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain (370/2007) 1 §:ssä säädetään seuraavaa:
”Oikeudenkäynti ja oikeudenkäyntiasiakirjat ovat julkisia, jollei tässä tai muussa laissa toisin säädetä.”
Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018)
17 Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 1 §:n 1 momentin mukaan tätä lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on muun muassa rikosasian käsittelemisestä tuomioistuimessa. Tämän lain 1 §:n 4 momentin mukaan tätä lakia sovelletaan kuitenkin vain sellaiseen 1 momentissa tarkoitettuun henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa.
18 Kyseisen lain 2 §:n 2 momentissa säädetään seuraavaa:
”Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.”
Pääasia ja ennakkoratkaisukysymykset
19 Pääasian valittaja Endemol Shine Finland pyysi suullisesti Etelä-Savon käräjäoikeudelta tietoja kyseisen yhtiön järjestämään kilpailuun osallistuvaa luonnollista henkilöä koskevista mahdollisesti vireillä olevista tai päättyneistä rikostuomioista kyseisen henkilön rikostaustan selvittämiseksi.
20 Etelä-Savon käräjäoikeus hylkäsi pääasian valittajan pyynnön, vaikka se totesi, että tämä pyyntö koski oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain mukaisia julkisia ratkaisuja tai tietoja. Kyseisen tuomioistuimen mukaan peruste, johon pääasian valittaja vetosi, ei ollut tietosuojalain 7 §:ssä tarkoitettu peruste rikostuomioiden tai rikkomusten käsittelylle. Myös hakujen tekeminen kyseisen tuomioistuimen tietojärjestelmiin olisi ollut henkilötietojen käsittelyä, minkä vuoksi pyydettyjä tietoja ei voitu luovuttaa myöskään suullisesti.
21 Pääasian valittaja valitti tästä tuomiosta Itä-Suomen hovioikeuteen, joka on ennakkoratkaisua pyytänyt tuomioistuin, ja väitti, että sen pyytämä tietojen suullinen luovuttaminen ei ollut yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyä.
22 Ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko yleisen tietosuoja-asetuksen 2 artiklan 1 kohtaa ja 4 artiklan 2 alakohtaa tulkittava siten, että tietojen luovuttaminen suullisesti luonnollista henkilöä koskevista mahdollisesti vireillä olevista tai päättyneistä rikostuomioista on tässä asetuksessa tarkoitettua henkilötietojen käsittelyä. Ennakkoratkaisua pyytänyt tuomioistuin toteaa tältä osin, että Suomen viranomaisten suorittamaa henkilötietojen käsittelyä säännellään tietosuojalailla. Tällaisten tietojen käsittelyyn tavallisesti liittyviä rajoituksia ei kuitenkaan sovelleta näiden viranomaisten hallussa olevien tietojen julkisuuden vuoksi mutta ei myöskään tietosuojalain 28 §:n ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 2 §:n 2 momentin vuoksi.
23 Jotta voitaisiin sovittaa yhteen henkilötietojen suoja ja tietojen julkisuus, on viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:ssä rajoitettu henkilötietoja sisältävän kopion tai tulosteen tai sähköisessä muodossa olevien tietojen antamista viranomaisen henkilörekisteristä. Koska mainittu pykälä ei kuitenkaan koske viranomaisten henkilörekisterissä olevien henkilötietojen luovuttamista suullisesti, on selvitettävä, miten tällainen yhteensovittaminen tulisi toteuttaa ja henkilötietojen suojaan liittyvät tärkeät näkökohdat huomioida luovutettaessa suullisesti viranomaisten henkilörekisterissä olevia henkilötietoja.
24 Näissä olosuhteissa Itä‑Suomen hovioikeus on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko henkilötietojen suullinen välittäminen [yleisen tietosuoja-asetuksen] 2 artiklan 1 kohdan ja 4 artiklan 2 [ala]kohdan mukaista henkilötietojen käsittelyä?
2) Voidaanko virallisten asiakirjojen julkisuus ja [yleisen tietosuoja-asetuksen] mukainen oikeus henkilötietojen suojaan sovittaa yhteen asetuksen 86 artiklassa tarkoitetulla tavalla niin, että tuomioistuimen henkilötietorekisteristä on saatavissa rajoituksetta tietoa yksityishenkilön rikostuomioista tai rikkomuksista, jos tieto pyydetään välitettäväksi suullisesti pyytäjälle?
3) Vaikuttaako kohdan kaksi kysymyksen lopputulokseen se onko pyytäjä yhtiö tai yksityinen henkilö?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen kysymys
25 Ennakkoratkaisua pyytänyt tuomioistuin kysyy ensimmäisellä kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 2 artiklan 1 kohtaa ja 4 artiklan 2 alakohtaa tulkittava siten, että tietojen suullinen luovuttaminen luonnollista henkilöä koskevista mahdollisesti vireillä olevista tai päättyneistä rikostuomioista on kyseisen asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyä, ja jos näin on, kuuluuko tämä käsittely mainitun asetuksen aineelliseen soveltamisalaan, sellaisena kuin se määritellään asetuksen 2 artiklan 1 kohdassa.
26 Aluksi on yhtäältä muistutettava, että unionin näiden oikeussääntöjen tulkinta edellyttää, että huomioon otetaan paitsi niiden sanamuoto myös asiayhteys, johon ne kuuluvat, sekä sen säännöstön tavoitteet, jonka osa ne ovat (tuomio 12.1.2023, Österreichische Post (Henkilötietojen vastaanottajiin liittyvät tiedot), C‑154/21, EU:C:2023:3, 29 kohta).
27 Toisaalta on korostettava, ettei pääasiassa ole riitautettu sitä, että tiedot, joiden luovuttamista pääasian valittaja pyytää, ovat yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.
28 Kyseisen asetuksen 4 artiklan 2 alakohdan mukaan ”käsittelyllä” tarkoitetaan ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti”.
29 Erityisesti ilmaisusta ”[kaikenlainen] toiminto” [”toute opération” ranskankielisessä versiossa] ilmenee, että unionin lainsäätäjän tarkoituksena on ollut antaa käsittelyn käsitteelle laaja ulottuvuus, mitä tukee se, että kyseisessä säännöksessä mainittujen toimintojen luettelo ei ole tyhjentävä, mikä ilmenee ilmaisusta ”kuten” (ks. vastaavasti tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 35 kohta ja tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 46 kohta).
30 Tämä luettelo koskee muun muassa tietojen luovuttamista siirtämällä, levittämällä tai ”asettamalla ne muutoin saataville”, ja nämä toiminnot voivat olla automaattisia tai manuaalisia. Tältä osin yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa ei aseteta mitään edellytyksiä ”manuaalisesti” tapahtuvan käsittelyn muodolle. Käsittelyn käsite kattaa näin ollen tietojen suullisen luovuttamisen.
31 Tätä käsittelyn käsitteen tulkintaa tukee yleisellä tietosuoja-asetuksella tavoiteltu päämäärä, joka käy ilmi sen 1 artiklasta ja johdanto-osan ensimmäisestä ja kymmenennestä perustelukappaleesta ja joka on erityisesti se, että turvataan luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien ja erityisesti heidän yksityisyyttä koskevan oikeutensa korkeatasoinen suoja henkilötietojen käsittelyssä; tämä oikeus on vahvistettu perusoikeuskirjan 8 artiklan 1 kohdassa ja SEUT 16 artiklan 1 kohdassa (ks. vastaavasti tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 64 kohta). Mahdollisuus kiertää tämän asetuksen soveltaminen luovuttamalla henkilötietoja suullisesti sen sijaan, että se tehtäisiin kirjallisesti, olisi nimittäin selvästi ristiriidassa mainitun päämäärän kanssa.
32 Näin ollen yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettu käsittelyn käsite kattaa väistämättä henkilötietojen suullisen luovuttamisen.
33 Esiin nousee kuitenkin vielä kysymys siitä, kuuluuko tällainen käsittely yleisen tietosuoja-asetuksen aineelliseen soveltamisalaan. Kyseisen asetuksen 2 artiklan, jossa määritellään tämä soveltamisala, 1 kohdassa säädetään, että kyseistä asetusta sovelletaan henkilötietojen käsittelyyn, ”joka on osittain tai kokonaan automaattista”, sekä ”sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa”.
34 Tältä osin viimeksi mainitun säännöksen sanamuodosta ja yleisen tietosuoja-asetuksen johdanto-osan 15 perustelukappaleesta ilmenee, että tätä asetusta sovelletaan sekä automaattiseen että manuaaliseen henkilötietojen käsittelyyn, jotta sen henkilöille, joiden tietoja käsitellään, myöntämä suoja ei riippuisi käytetystä tekniikasta ja jotta vältettäisiin vaara kyseisen suojan kiertämisestä. Niistä seuraa kuitenkin myös, että kyseistä asetusta sovelletaan henkilötietojen manuaaliseen käsittelyyn vain silloin, kun käsitellyt tiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa (ks. analogisesti tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 53 kohta).
35 Koska tiedon suullinen luovuttaminen on sellaisenaan muuta kuin automaattista käsittelyä, tämän käsittelyn kohteena olevien tietojen siis on ”muodostettava” tai ”tarkoitus muodostaa rekisterin osa”, jotta kyseinen käsittely kuuluisi yleisen tietosuoja-asetuksen aineelliseen soveltamisalaan.
36 Yleisen tietosuoja-asetuksen 4 artiklan 6 alakohdassa säädetään rekisterin käsitteestä, että sillä tarkoitetaan ”mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu”.
37 Tästä unionin tuomioistuin on jo katsonut, että tämän tuomion 34 kohdassa mieleen palautetun tavoitteen mukaisesti kyseisessä säännöksessä määritellään rekisterin käsite laajasti siten, että se koskee muun muassa ”mitä tahansa” jäsenneltyä henkilötietoja sisältävää tietojoukkoa. On siis ilmeistä, että vaatimuksella, jonka mukaan henkilötietojen on oltava ”tiettyjen perusteiden mukaisesti järjestetty”, pyritään yksinomaan siihen, että henkilöä koskevat tiedot voidaan löytää helposti. Tätä vaatimusta lukuun ottamatta yleisen tietosuoja-asetuksen 4 artiklan 6 alakohdassa ei säädetä yksityiskohtaisista säännöistä, joiden mukaan rekisteri on järjestettävä, eikä muodosta, jossa sen on oltava. Kyseisestä säännöksestä tai tämän asetuksen mistään muustakaan säännöksestä ei erityisesti ilmene, että asianomaisten henkilötietojen on oltava nimenomaisissa kortistoissa tai luetteloissa tai muussa hakua palvelevassa järjestelyssä, jotta voitaisiin katsoa, että mainitussa asetuksessa tarkoitettu rekisteri on olemassa (ks. analogisesti tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 56–58 kohta).
38 Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ilmenee, että pääasian valittajan pyytämät tiedot sisältyvät ”tuomioistuimen henkilötietorekisteriin”. Vaikuttaa siis siltä, että nämä tiedot sisältyvät yleisen tietosuoja-asetuksen 4 artiklan 6 alakohdassa tarkoitettuun rekisteriin, mikä ennakkoratkaisua pyytäneen tuomioistuimen on kuitenkin selvitettävä, eikä ole tarpeen tietää, sisältyvätkö nämä tiedot sähköisiin tietokantoihin vai fyysisiin tiedostoihin tai rekistereihin.
39 Näin ollen ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 2 artiklan 1 kohtaa ja 4 artiklan 2 alakohtaa on tulkittava siten, että tietojen suullinen luovuttaminen luonnollista henkilöä koskevista mahdollisesti vireillä olevista tai päättyneistä rikostuomioista on kyseisen asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyä, joka kuuluu mainitun asetuksen aineelliseen soveltamisalaan, kun nämä tiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa.
Toinen ja kolmas kysymys
40 Toisella ja kolmannella kysymyksellään, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin kysyy lähinnä, onko yleisen tietosuoja-asetuksen säännöksiä ja erityisesti sen 86 artiklaa tulkittava siten, että ne ovat esteenä sille, että luonnollisen henkilön rikostuomioihin liittyviä tietoja, jotka sisältyvät tuomioistuimen pitämään rekisteriin, voidaan luovuttaa kenelle tahansa henkilölle suullisesti virallisten asiakirjojen julkisuuden varmistamiseksi ilman, että tietojen luovuttamista pyytävän henkilön on osoitettava erityinen intressi saada mainitut tiedot, ja onko vastaus tähän kysymykseen erilainen sen mukaan, onko luovuttamista pyytävä henkilö kaupallinen yhtiö vai yksityishenkilö.
41 Tämä kysymys perustuu pääasiassa kyseessä olevaan kansalliseen lainsäädäntöön siltä osin kuin siinä ei edellytetä henkilötietojen suojaa koskevien kansallisten säännösten noudattamista silloin, kun tällaisia tietoja luovutetaan suullisesti.
42 Tältä osin on huomautettava, että SEUT 288 artiklan toisen kohdan mukaan asetus on kaikilta osiltaan velvoittava ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Näin ollen asetusten säännöksillä on niiden luonteen ja niillä unionin oikeuslähteiden järjestelmässä olevan tehtävän vuoksi yleensä välitön oikeusvaikutus kansallisissa oikeusjärjestyksissä ilman, että kansallisten viranomaisten olisi ryhdyttävä täytäntöönpanotoimiin (tuomio 16.6.2022, Port de Bruxelles ja Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, 47 kohta ja tuomio 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, 77 kohta).
43 Näin ollen kansallisen tuomioistuimen on sovellettava yleisen tietosuoja-asetuksen vaatimuksia kokonaisuudessaan, vaikka sovellettavassa kansallisessa oikeudessa ei ole erityistä säännöstä, joka mahdollistaisi sen henkilön etujen huomioon ottamisen, jonka henkilötiedot ovat kyseessä (ks. vastaavasti tuomio 2.3.2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145 44 ja 59 kohta).
44 Edellä esitetystä seuraa, että luonnollisen henkilön rikostuomioihin liittyviä tietoja voidaan luovuttaa suullisesti vain, jos yleisessä tietosuoja-asetuksessa asetetut edellytykset täyttyvät, kun nämä tiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa.
45 Tästä on huomautettava, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan henkilötietojen käsittelyssä on yhtäältä noudatettava yleisen tietosuoja-asetuksen 5 artiklassa mainittuja tietojen käsittelyä koskevia periaatteita ja toisaalta, kun otetaan huomioon erityisesti kyseisen artiklan 1 kohdan a alakohdan mukainen käsittelyn lainmukaisuuden periaate, jonkin saman asetuksen 6 artiklassa luetellun lainmukaisuuden edellytyksen on täytyttävä kyseisen käsittelyn osalta (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 96 kohta ja tuomio 7.12.2023, SCHUFA Holding ym. (Pisteytys), C‑634/21, EU:C:2023:957, 67 kohta).
46 Erityisesti pääasiassa kyseessä oleva henkilötietojen käsittely eli rikoksia koskevien tietojen suullinen luovuttaminen on omiaan kuulumaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan, jonka mukaan käsittely on lainmukaista, jos ja siltä osin kuin se on ”tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi”, soveltamisalaan (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 99 kohta).
47 Lisäksi erityisesti rikostuomioihin ja rikoksiin liittyvien tietojen osalta on todettava, että yleisen tietosuoja-asetuksen 10 artiklassa niiden käsittelylle on asetettu lisärajoituksia. Kyseisen säännöksen mukaan mainittujen tietojen käsittely ”suoritetaan vain viranomaisen valvonnassa”, ellei sitä sallita ”unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi” (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 100 kohta).
48 Unionin tuomioistuin on jo katsonut, ettei yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdassa eikä kyseisen asetuksen 10 artiklassa kielletä yleisesti ja ehdottomasti sitä, että viranomaisella olisi toimivalta tai jopa pakko luovuttaa henkilötietoja henkilöille, jotka sitä pyytävät (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 103 kohta).
49 Yleinen tietosuoja-asetus ei siis ole esteenä sille, että henkilötietoja luovutetaan yleisölle silloin, kun tämä luovuttaminen on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi mainitun asetuksen 6 artiklan 1 kohdan e alakohdassa tarkoitetussa merkityksessä. Näin on silloinkin, kun kyseessä olevat tiedot kuuluvat yleisen tietosuoja-asetuksen 10 artiklan soveltamisalaan, kunhan lainsäädännössä, jossa tällainen luovuttaminen sallitaan, säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 104 kohta).
50 Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ja Suomen hallituksen esittämistä kirjallisista huomautuksista ilmenee, että viranomaisten toiminnan julkisuudesta ja oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetulla kansallisella lainsäädännöllä pyritään suorittamaan yleistä etua koskeva tehtävä, jolla voidaan varmistaa virallisten asiakirjojen julkisuus.
51 Tässä tilanteessa ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään erityisesti, voidaanko pääasiassa kyseessä olevaa henkilötietojen käsittelyä pitää lainmukaisena suhteellisuusperiaatteen kannalta ja erityisesti sen vertailun valossa, joka on suoritettava yhtäältä yleisen tietosuoja-asetuksen 86 artiklassa tarkoitetun virallisten asiakirjojen julkisuuden ja toisaalta perusoikeuskirjan 7 ja 8 artiklassa vahvistettujen yksityiselämän kunnioittamista ja henkilötietojen suojaa koskevien perusoikeuksien välillä.
52 Tästä on huomautettava, etteivät yksityiselämän kunnioittamista ja henkilötietojen suojaa koskevat perusoikeudet ole ehdottomia oikeuksia, kuten yleisen tietosuoja-asetuksen johdanto-osan neljännessä perustelukappaleessa todetaan, vaan ne on suhteutettava niiden tehtävään yhteiskunnassa ja saatettava tasapainoon muiden perusoikeuksien kanssa. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan rajoituksia voidaan siis tehdä, jos niistä säädetään lailla ja niissä kunnioitetaan perusoikeuksien keskeistä sisältöä sekä suhteellisuusperiaatetta. Viimeksi mainitun periaatteen mukaisesti rajoituksia voidaan tehdä ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Rajoitukset on toteutettava täysin välttämättömän rajoissa, ja säännöstössä, joka merkitsee puuttumista henkilötietojen suojaan, on säädettävä selvistä ja täsmällisistä asianomaisen toimenpiteen laajuutta ja soveltamista koskevista säännöistä (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 105 kohta).
53 Sen määrittämiseksi, onko rikostuomioihin liittyvien henkilötietojen luovuttaminen yleisölle tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdassa tarkoitetussa merkityksessä ja onko lainsäädännössä, jossa tällainen luovuttaminen sallitaan, säädetty kyseisen asetuksen 10 artiklassa tarkoitetuista asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi, on tarkastettava erityisesti, kun otetaan huomioon mainitusta luovuttamisesta aiheutuva puuttuminen yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin, onko se perusteltua ja erityisesti oikeasuhteista tavoiteltujen päämäärien saavuttamiseksi (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 106 kohta).
54 Näihin oikeuksiin puuttumisen vakavuudesta unionin tuomioistuin on jo katsonut, että rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimenpiteisiin liittyvien tietojen käsittely voi kyseisten tietojen erityisen arkaluontoisuuden vuoksi merkitä erityisen vakavaa puuttumista yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin, jotka on taattu perusoikeuskirjan 7 ja 8 artiklassa. Koska tällaiset tiedot nimittäin koskevat käyttäytymistä, joka aiheuttaa yhteiskunnan paheksuntaa, tutustumisoikeuden myöntäminen näihin tietoihin on omiaan leimaamaan kyseistä henkilöä ja siten aiheuttamaan sen, että puututaan vakavasti hänen yksityis- tai työelämäänsä (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 74, 75 ja 112 kohta).
55 Vaikka virallisten asiakirjojen julkisuus, johon ennakkoratkaisua pyytänyt tuomioistuin viittaa, on – kuten yleisen tietosuoja-asetuksen johdanto-osan 154 perustelukappaleesta ilmenee – yleinen etu, joka voi oikeuttaa mainitunlaisiin asiakirjoihin sisältyvien henkilötietojen luovuttamisen, mainittu julkisuus on kuitenkin sovitettava yhteen yksityiselämän kunnioittamista ja henkilötietojen suojaa koskevien perusoikeuksien kanssa, kuten yleisen tietosuoja-asetuksen 86 artiklassa muuten nimenomaisesti edellytetään. Kun otetaan huomioon muun muassa rikostuomioihin liittyvien tietojen arkaluontoisuus ja sen rekisteröityjen yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin puuttumisen, joka kyseisten tietojen ilmaisemisesta aiheutuu, vakavuus, on katsottava, että mainitut oikeudet ovat tärkeämpiä kuin virallisten asiakirjojen julkisuutta koskeva etu (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 120 kohta).
56 Samasta syystä yleisen tietosuoja-asetuksen 85 artiklassa tarkoitettua oikeutta tiedonvälityksen vapauteen ei voida tulkita niin, että se oikeuttaa rikostuomioihin liittyvien henkilötietojen luovuttamisen jokaiselle, joka sitä pyytää (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 121 kohta).
57 Tältä osin ei ole merkitystä sillä, onko rikostuomioihin liittyviin tietoihin tutustumista pyytävä henkilö kaupallinen yhtiö vai yksityishenkilö, eikä sillä, luovutetaanko nämä tiedot kirjallisesti vai suullisesti.
58 Edellä esitetyn perusteella toiseen ja kolmanteen ennakkoratkaisukysymykseen on vastattava, että yleisen tietosuoja-asetuksen säännöksiä ja erityisesti sen 6 artiklan 1 kohdan e alakohtaa ja 10 artiklaa on tulkittava siten, että ne ovat esteenä sille, että luonnollisen henkilön rikostuomioihin liittyviä tietoja, jotka sisältyvät tuomioistuimen pitämään rekisteriin, voidaan luovuttaa kenelle tahansa henkilölle suullisesti virallisten asiakirjojen julkisuuden varmistamiseksi ilman, että tietojen luovuttamista pyytävän henkilön on osoitettava erityinen intressi saada mainitut tiedot, ja sillä, onko luovuttamista pyytävä henkilö kaupallinen yhtiö vai yksityishenkilö, ei ole merkitystä.
Oikeudenkäyntikulut
59 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (kuudes jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 2 artiklan 1 kohtaa ja 4 artiklan 2 alakohtaa
on tulkittava siten, että
tietojen suullinen luovuttaminen luonnollista henkilöä koskevista mahdollisesti vireillä olevista tai päättyneistä rikostuomioista on kyseisen asetuksen 4 artiklan 2 alakohdassa tarkoitettua henkilötietojen käsittelyä, joka kuuluu mainitun asetuksen aineelliseen soveltamisalaan, kun nämä tiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa.
2) Asetuksen 2016/679 säännöksiä ja erityisesti sen 6 artiklan 1 kohdan e alakohtaa ja 10 artiklaa
on tulkittava siten, että
ne ovat esteenä sille, että luonnollisen henkilön rikostuomioihin liittyviä tietoja, jotka sisältyvät tuomioistuimen pitämään rekisteriin, voidaan luovuttaa kenelle tahansa henkilölle suullisesti virallisten asiakirjojen julkisuuden varmistamiseksi ilman, että tietojen luovuttamista pyytävän henkilön on osoitettava erityinen intressi saada mainitut tiedot, ja sillä, onko luovuttamista pyytävä henkilö kaupallinen yhtiö vai yksityishenkilö, ei ole merkitystä.
Julistettiin Luxemburgissa 7 päivänä maaliskuuta 2024.
A. Calot Escobar | | T. von Danwitz |
Kirjaaja | | Jaoston puheenjohtaja |