UNIONIN TUOMIOISTUIMEN TUOMIO (toinen jaosto)
29 päivänä heinäkuuta 2019 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46/EY – 2 artiklan d alakohta – Rekisterinpitäjän käsite – Verkkosivuston ylläpitäjä, joka on sisällyttänyt sivustolle yhteisöliitännäisen, jolla voidaan välittää kyseisellä sivustolla kävijän henkilötietoja mainitun liitännäisen tarjoajalle – 7 artiklan f alakohta – Tietojenkäsittelyn laillisuus – Verkkosivuston ylläpitäjän vai yhteisöliitännäisen tarjoajan intressin huomioon ottaminen – 2 artiklan h alakohta ja 7 artiklan a alakohta – Rekisteröidyn suostumus – 10 artikla – Rekisteröidyn informointi – Kansallinen säännöstö, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne
Asiassa C‑40/17,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Oberlandesgericht Düsseldorf (osavaltion ylioikeus, Düsseldorf, Saksa) on esittänyt 19.1.2017 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 26.1.2017, saadakseen ennakkoratkaisun asiassa
Fashion ID GmbH & Co. KG
vastaan
Verbraucherzentrale NRW eV,
Facebook Ireland Ltd:n ja
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalenin
osallistuessa asian käsittelyyn,
UNIONIN TUOMIOISTUIN (toinen jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, joka hoitaa toisen jaoston puheenjohtajan tehtäviä, sekä tuomarit A. Prechal, C. Toader, A. Rosas (esittelevä tuomari) ja M. Ilešič,
julkisasiamies: M. Bobek,
kirjaaja: yksikönpäällikkö D. Dittert,
ottaen huomioon kirjallisessa käsittelyssä ja 6.9.2018 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Fashion ID GmbH & Co. KG, edustajinaan C.-M. Althaus ja J. Nebel, Rechtsanwälte,
– Verbraucherzentrale NRW eV, edustajinaan K. Kruse, C. Rempe ja S. Meyer, Rechtsanwälte,
– Facebook Ireland Ltd, edustajinaan H.-G. Kamann, C. Schwedler ja M. Braun, Rechtsanwälte, sekä I. Perego, avvocatessa,
– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, edustajanaan U. Merger,
– Saksan hallitus, asiamiehinään aluksi T. Henze ja J. Möller, sittemmin Möller,
– Belgian hallitus, asiamiehinään P. Cottin ja L. Van den Broeck,
– Italian hallitus, asiamiehenään G. Palmieri, avustajanaan P. Gentili, avvocato dello Stato,
– Itävallan hallitus, asiamiehinään aluksi C. Pesendorfer, sittemmin G. Kunnert,
– Puolan hallitus, asiamiehenään B. Majczyna,
– Euroopan komissio, asiamiehinään H. Krämer ja H. Kranenborg,
kuultuaan julkisasiamiehen 19.12.2018 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) 2, 7, 10 ja 22–24 artiklan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa ovat vastakkain Fashion ID GmbH & Co. KG ja Verbraucherzentrale NRW eV ja joka koskee sitä, että Fashion ID liitti verkkosivustolleen Facebook Ireland Ltd:n yhteisöliitännäisen.
Asiaa koskevat oikeussäännöt
Unionin oikeus
3 Direktiivi 95/46 kumottiin ja korvattiin 25.5.2018 lukien luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta 27.4.2016 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/679 (EUVL 2016, L 119, s. 1). Kun otetaan huomioon pääasian tosiseikkojen tapahtuma-aika, kyseistä direktiiviä on kuitenkin sovellettava pääasiaan.
4 Direktiivin 95/46 johdanto-osan kymmenennessä perustelukappaleessa todetaan seuraavaa:
”Henkilötietojen käsittelyä koskevien kansallisten lainsäädäntöjen tavoitteena on taata perusoikeuksien ja ‑vapauksien kunnioittaminen, erityisesti yksityisyyttä koskevan oikeuden kunnioittaminen, joka tunnustetaan myös [Roomassa 4.11.1950 allekirjoitetun] ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan yleissopimuksen 8 artiklassa ja [unionin] oikeuden yleisissä periaatteissa; tämän vuoksi lainsäädäntöjen lähentäminen ei saa johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen, vaan sillä on päinvastoin varmistettava tietosuojan korkea taso [unionissa]”.
5 Direktiivin 95/46 1 artiklassa säädetään seuraavaa:
”1. Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.
2. Jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan.”
6 Kyseisen direktiivin 2 artiklassa säädetään seuraavaa:
”Tässä direktiivissä tarkoitetaan
a) ’henkilötiedoilla’ kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
b) ’henkilötietojen käsittelyllä’ (’käsittely’) kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen,
– –
d) ’rekisterinpitäjällä’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot; jos käsittelyn tarkoitus ja keinot määritellään kansallisilla tai [unionin] laeilla tai asetuksilla, rekisterinpitäjä tai erityiset perusteet rekisterinpitäjän nimeämiseksi voidaan vahvistaa kansallisten tai [unionin] säännösten mukaisesti,
– –
f) ’sivullisella’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää,
g) ’vastaanottajalla’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, jolle tietoja luovutetaan, oli kyseessä sivullinen tai ei; niitä viranomaisia, jotka mahdollisesti saavat tietoja erityisen tutkimuksen yhteydessä, ei kuitenkaan pidetä vastaanottajina,
h) ’rekisteröidyn suostumuksella’ kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.”
7 Mainitun direktiivin 7 artiklassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,
a) jos rekisteröity on yksiselitteisesti antanut suostumuksensa,
tai
– –
f) jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja ‑vapaudet.”
8 Saman direktiivin 10 artiklan, jonka otsikko on ”Informointi kerättäessä tietoja rekisteröidyltä”, sanamuoto on seuraava:
”Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai hänen edustajansa on toimitettava rekisteröidylle, jolta tietoja kerätään, vähintään jäljempänä esitetyt tiedot, paitsi jos hän jo tietää ne:
a) rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys,
b) tietojenkäsittelyn tarkoitukset,
c) kaikenlaiset lisätiedot, kuten
– tietojen vastaanottajat tai vastaanottajaryhmät,
– tieto siitä, onko kysymyksiin vastaaminen pakollista vai vapaaehtoista, sekä vastaamatta jättämisen mahdolliset seuraukset,
– onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun,
siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.”
9 Direktiivin 95/46 22 artiklan sanamuoto on seuraava:
”Jäsenvaltioiden on säädettävä siitä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan, sanotun kuitenkaan rajoittamatta sellaisen hallinnollisen keinon soveltamista, johon voidaan turvautua, muun muassa 28 artiklassa tarkoitetun valvontaviranomaisen avulla ennen asian vireillepanoa oikeudessa.”
10 Kyseisen direktiivin 23 artiklassa säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että jos kenelle tahansa henkilölle aiheutuu vahinkoa laittomasta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän direktiivin mukaisesti toteutettujen kansallisten toimenpiteiden kanssa, hänellä on oikeus saada rekisterinpitäjältä korvaus aiheutuneesta vahingosta.
2. Rekisterinpitäjä voidaan vapauttaa tästä vastuusta osittain tai kokonaan, jos hän osoittaa, ettei hän ole vastuussa vahingon aiheuttaneesta tapahtumasta.”
11 Mainitun direktiivin 24 artiklassa säädetään seuraavaa:
”Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet tämän direktiivin säännösten täydellisen soveltamisen varmistamiseksi ja määriteltävä erityisesti sanktiot, joita sovelletaan tämän direktiivin mukaisesti säädettyjen säännösten rikkomistapauksissa.”
12 Saman direktiivin 28 artiklassa säädetään seuraavaa:
”1. Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden tämän direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen.
Näiden viranomaisten on hoidettava tehtäviään itsenäisesti.
– –
3. Kullakin valvontaviranomaisella on erityisesti oltava:
– –
– valtuudet olla asianosaisena oikeudenkäynnissä, jos tämän direktiivin mukaisesti toteutettuja kansallisia toimenpiteitä rikotaan, tai valtuudet saattaa nämä rikkomukset lainkäyttöviranomaisten tietoon.
– –
4. Kuka tahansa henkilö tai häntä edustava yhdistys voi esittää valvontaviranomaiselle oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen. Rekisteröidylle ilmoitetaan vaateen seurauksista.
– –”
13 Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11) (jäljempänä direktiivi 2002/58), 5 artiklan 3 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.”
14 Kuluttajien etujen suojaamista tarkoittavista kieltokanteista 23.4.2009 annetun Euroopan parlamentin ja neuvoston direktiivin 2009/22/EY (EUVL 2009, L 110, s. 30), sellaisena kuin se on muutettuna 21.5.2013 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) N:o 524/2013 (EUVL 2013, L 165, s. 1), 1 artiklan 1 kohdassa säädetään seuraavaa:
”Tämän direktiivin tarkoituksena on lähentää niitä jäsenvaltioiden lakeja, asetuksia ja hallinnollisia määräyksiä, jotka liittyvät 2 artiklassa tarkoitettuihin, liitteessä I lueteltujen unionin säädösten soveltamisalaan kuuluvien, kuluttajien yhteisten etujen suojaamista tarkoittaviin kieltokanteisiin, jotta voitaisiin varmistaa sisämarkkinoiden moitteeton toiminta.”
15 Kyseisen direktiivin 2 artiklassa säädetään seuraavaa:
”1. Jäsenvaltioiden on nimettävä ne tuomioistuimet tai hallintoviranomaiset, joilla on toimivalta ratkaista 3 artiklassa tarkoitettujen oikeutettujen yksikköjen nostamat kanteet, joissa vaaditaan
a) minkä hyvänsä oikeudenloukkauksen määräämistä lopetettavaksi tai sen kieltämistä kaikin tarkoituksenmukaisin keinoin ja tarvittaessa kiireellistä menettelyä noudattaen;
– –”
16 Mainitun direktiivin 7 artiklassa säädetään seuraavaa:
”Tämä direktiivi ei estä jäsenvaltioita antamasta tai pitämästä voimassa säännöksiä, joilla annetaan kansallisella tasolla 3 artiklassa tarkoitetuille oikeutetuille yksiköille sekä mille hyvänsä muulle asianosaiselle henkilölle laajemmat oikeudet nostaa kanne.”
17 Asetuksen 2016/679 80 artiklan sanamuoto on seuraava:
”1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan ja käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.
2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa valitus 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.”
Saksan oikeus
18 Sopimattomasta kilpailusta annetun lain (Gesetz gegen den unlauteren Wettbewerb, jäljempänä UWG), sellaisena kuin sitä sovelletaan pääasiaan, 3 §:n 1 momentissa säädetään seuraavaa
”Sopimattomat kaupalliset menettelytavat ovat kiellettyjä.”
19 UWG:n 3a §:n sanamuoto on seuraava:
”Sopimattomaan menettelyyn syyllistyy henkilö, joka menettelee sellaisen lainsäädännön vastaisesti, jolla on tarkoitus muun muassa säännellä markkinakäyttäytymistä markkinatoimijoiden edun mukaisesti, jos rikkominen on omiaan vahingoittamaan tuntuvasti kuluttajien, kilpailijoiden tai muiden markkinatoimijoiden etuja.”
20 UWG:n 8 §:ssä säädetään seuraavaa:
”(1) Edellä 3 §:ssä tai 7 §:ssä tarkoitettuun kiellettyyn kaupalliseen menettelyyn syyllistyvää henkilöä voidaan vaatia lopettamaan menettely välittömästi ja, jos on olemassa vaara menettelyn toistumisesta, voidaan vaatia, että häntä kielletään menettelemästä kyseisellä tavalla. Oikeus vaatia kieltomääräystä on olemassa jo silloin, jos tällainen 3 §:ssä tai 7 §:ssä tarkoitettu lainvastainen menettely uhkaa toteutua.”
– –
(3) Edellä 1 kohdassa tarkoitettuja määräyksiä voivat hakea
– –
3. oikeutetut yksiköt, jotka osoittavat olevansa merkittyjä oikeutettujen yksikköjen luetteloon kieltokannelain (Unterlassungsklagengesetz) 4 §:n mukaisesti tai Euroopan komission laatimaan luetteloon [direktiivin 2009/22] 4 artiklan 3 kohdan mukaisesti
– –”
21 Kieltokannelain 2 §:ssä säädetään seuraavaa:
”(1) Sitä vastaan, joka rikkoo kuluttajien suojaamisesta annettuja säännöksiä (kuluttajansuojalainsäädäntöä) muuten kuin yleisten myyntiehtojen soveltamisen tai niitä koskevien suositusten osalta, voidaan vaatia kielto- ja lopettamismääräystä kuluttajien suojaamisen nimissä. – –
(2) Tässä säännöksessä ’kuluttajansuojalainsäädännöllä’ tarkoitetaan erityisesti
– –
11. säännöksiä, joilla säännellään sen hyväksyttävyyttä,
a) että yritys kerää kuluttajan henkilötietoja tai
b) että yritys käsittelee tai hyödyntää kuluttajasta kerättyjä henkilötietoja,
jos tietoja kerätään, käsitellään tai hyödynnetään mainontaa, markkina- ja mielipidetutkimusta, luottotietojen keräämistä, henkilö- ja käyttöprofiilien laadintaa, osoitetietojen myyntiä tai muiden tietojen myyntiä varten taikka vastaaviin kaupallisiin tarkoituksiin.”
22 Sähköisistä tieto- ja viestintäpalveluista annetun lain (Telemediengesetz, jäljempänä TMG) 12 §:n 1 momentin sanamuoto on seuraava:
”Palveluntarjoaja saa kerätä ja hyödyntää henkilötietoja sähköisten tieto- ja viestintäpalvelujen tarjoamiseksi vain, kun se on sallittu tässä laissa tai muussa nimenomaisesti sähköisiä tieto- ja viestintäpalveluja koskevassa säännöksessä tai kun käyttäjä on antanut siihen suostumuksensa.”
23 TMG:n 13 §:n 1 momentissa säädetään seuraavaa:
”Palveluntarjoajan on ilmoitettava käyttäjälle käyttökerran alkaessa yleisesti ymmärrettävässä muodossa henkilötietojen keräämisen ja hyödyntämisen luonteesta, laajuudesta ja tarkoituksesta sekä hänen tietojensa käsittelystä valtioissa, jotka eivät kuulu [direktiivin 95/46] soveltamisalaan, ellei tällaista ilmoitusta ole jo tehty. Automaattisessa menettelyssä, joka mahdollistaa käyttäjän tunnistamisen myöhemmin ja valmistelee henkilötietojen keräämistä tai hyödyntämistä, ilmoitus käyttäjälle on tehtävä menettelyn alkaessa. Ilmoituksen sisällön on oltava käyttäjän saatavilla milloin tahansa.”
24 TMG:n 15 §:n 1 momentissa säädetään seuraavaa:
”Palveluntarjoaja saa kerätä ja hyödyntää käyttäjän henkilötietoja vain, kun se on tarpeen sähköisten tieto- ja viestintäpalvelujen käyttämisen mahdollistamiseksi ja niiden käytöstä laskuttamiseksi (käyttötiedot). Käyttötietoina pidetään erityisesti seuraavia:
1. käyttäjän yksilöintitiedot
2. kunkin yksittäisen käyttökerran alkamista, päättymistä ja laajuutta koskevat tiedot ja
3. tiedot käytetyistä sähköisistä tieto- ja viestintäpalveluista.”
Pääasia ja ennakkoratkaisukysymykset
25 Fashion ID, joka on muotivaatteita verkossa myyvä yritys, liitti verkkosivustolleen Facebookin sosiaalisen verkoston ”tykkää”-yhteisöliitännäisen (jäljempänä Facebookin ”tykkää”-painike).
26 Ennakkoratkaisupyynnöstä ilmenee, että internetin erikoispiirteisiin kuuluu se, että verkkosivuston kävijän selain voi esittää eri lähteistä peräisin olevia sisältöjä. Niinpä verkkosivustolle voidaan liittää ja siellä esittää esimerkiksi valokuvia, videoita, uutissyötteitä sekä käsiteltävässä asiassa kyseessä oleva Facebookin ”tykkää”-painike. Mikäli verkkosivuston ylläpitäjä haluaa liittää tällaisia ulkopuolisia sisältöjä, se lisää verkkosivustolleen linkin ulkopuoliseen sisältöön. Kun mainitulla sivustolla kävijän selaimella avataan tämä linkki, selain hakee ulkopuolisen sisällön ja liittää sen haluttuun kohtaan näkyville verkkosivustolla. Selain välittää tätä varten ulkopuolisen tarjoajan palvelimelle mainitun kävijän tietokoneen IP-osoitteen sekä selaimen tekniset tiedot, jotta palvelin voi määrittää, missä muodossa sisältö toimitetaan kyseiseen osoitteeseen. Selain välittää lisäksi tietoja halutusta sisällöstä. Verkkosivuston ylläpitäjä, joka ehdottaa ulkopuolista sisältöä liittämällä tämän kyseiselle sivustolle, ei voi määrittää selaimen välittämiä tietoja eikä sitä, mitä ulkopuolinen tarjoaja tekee näillä tiedolla, eikä varsinkaan sitä, päättääkö tämä tallentaa ne ja hyödyntää niitä.
27 Etenkin Facebookin ”tykkää”-painikkeen osalta ennakkoratkaisupyynnöstä näyttää ilmenevän, että kun kävijä selaa Fashion ID:n verkkosivustoa, kyseisen kävijän henkilötietoja välitetään Facebook Irelandille siitä syystä, että kyseiselle sivustolle on sisällytetty mainittu painike. Tämä tietojenvälitys näyttää tapahtuvan ilman, että mainittu kävijä on tietoinen siitä, ja riippumatta siitä, onko hän Facebookin sosiaalisen verkoston jäsen tai onko hän klikannut Facebookin ”tykkää”-painiketta.
28 Verbraucherzentrale NRW, joka on kuluttajien etujen turvaamiseen pyrkivä yleishyödyllinen yhdistys, moittii Fashion ID:tä siitä, että se on välittänyt Facebook Irelandille sivustollaan kävijöiden henkilötietoja yhtäältä ilman näiden kävijöiden suostumusta ja toisaalta henkilötietojen suojaa koskevissa säännöksissä säädettyjen informointivelvollisuuksien vastaisesti.
29 Verbraucherzentrale NRW on nostanut kanteen Landgericht Düsseldorfissa (Düsseldorfin alueellinen alioikeus, Saksa) Fashion ID:tä vastaan, jotta tältä kielletään kyseinen käytäntö.
30 Landgericht Düsseldorf hyväksyi osittain 9.3.2016 antamallaan ratkaisulla Verbraucherzentrale NRW:n vaatimukset sen jälkeen, kun se oli todennut, että Verbraucherzentrale NRW:llä oli asiavaltuus UWG:n 8 §:n 3 momentin 3 kohdan nojalla.
31 Fashion ID valitti tästä ratkaisusta ennakkoratkaisua pyytäneeseen tuomioistuimeen eli Oberlandesgericht Düsseldorfiin (osavaltion ylioikeus, Düsseldorf, Saksa). Facebook Ireland osallistui asiaan kyseisessä tuomioistuimessa väliintulijana tukeakseen Fashion ID:tä. Verbraucherzentrale NRW teki puolestaan vastavalituksen, jossa se vaati ensimmäisessä oikeusasteessa Fashion ID:lle annetun tuomion ulottamista sen kaikkiin vaatimuksiin.
32 Fashion ID väittää ennakkoratkaisua pyytäneessä tuomioistuimessa, ettei Landgericht Düsseldorfin ratkaisu ole yhteensopiva direktiivin 95/46 kanssa.
33 Fashion ID väittää yhtäältä, että mainitun direktiivin 22–24 artiklassa säädetään oikeussuojakeinoista ainoastaan niiden henkilöiden, joita henkilötietojen käsittely koskee, sekä toimivaltaisten valvontaviranomaisten hyväksi. Verbraucherzentrale NRW:n nostamaa kannetta ei täten voida ottaa tutkittavaksi, koska tällä yhdistyksellä ei ole direktiivin 95/46 nojalla asiavaltuutta oikeudenkäynnissä.
34 Fashion ID katsoo toisaalta, että Landgericht Düsseldorf totesi virheellisesti sen olleen direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, koska se ei voi mitenkään vaikuttaa verkkosivustollaan kävijän selaimella välitettyihin tietoihin eikä siihen, jos näin on, miten Facebook Ireland käyttää niitä.
35 Ennakkoratkaisua pyytäneellä tuomioistuimella on ensinnäkin epäilyksiä siitä, sallitaanko direktiivissä 95/46 yleishyödyllisten yhdistysten nostaa kanne loukattujen henkilöiden intressien puolustamiseksi. Sen näkemyksen mukaan kyseisen direktiivin 24 artikla ei ole esteenä sille, että yhdistykset ovat asianosaisena oikeudenkäynnissä, koska kyseisen artiklan sanamuodon mukaan jäsenvaltioiden on toteutettava ”tarvittavat toimenpiteet” mainitun direktiivin täydellisen soveltamisen varmistamiseksi. Ennakkoratkaisua pyytänyt tuomioistuin katsoo siis, että kansallista säännöstöä, jonka nojalla yhdistykset voivat nostaa kanteen kuluttajien etujen suojaamiseksi, voitaisiin pitää tällaisena tarvittavana toimenpiteenä.
36 Ennakkoratkaisua pyytänyt tuomioistuin toteaa tältä osin, että asetuksen 2016/679, jolla kumottiin ja korvattiin direktiivi 95/46, 80 artiklan 2 kohdassa sallitaan nimenomaisesti tällaisen yhdistyksen nostavan kanteen, mikä viittaa siihen, ettei viimeksi mainittu direktiivi ole esteenä tällaiselle kanteelle.
37 Se tiedustelee lisäksi, voidaanko Fashion ID:n kaltaisen verkkosivuston ylläpitäjän, joka liittää kyseiselle sivustolle yhteisöliitännäisen, jolla voidaan kerätä henkilötietoja, katsoa olevan direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, vaikka viimeksi mainittu ei voi mitenkään vaikuttaa mainitun liitännäisen tarjoajalle välitettyjen tietojen käsittelyyn. Ennakkoratkaisua pyytänyt tuomioistuin viittaa tältä osin 5.6.2018 annettuun tuomioon Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), joka koskee samankaltaista kysymystä.
38 Mikäli Fashion ID:tä ei olisi pidettävä rekisterinpitäjänä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toissijaisesti, säädetäänkö kyseisessä direktiivissä tyhjentävästi mainitusta käsitteestä niin, että se on esteenä kansalliselle säännöstölle, jossa säädetään sivullisen toimintaa koskevasta vahingonkorvausvastuusta tietosuojaoikeuksien loukkauksen tilanteessa. Ennakkoratkaisua pyytänyt tuomioistuin toteaa nimittäin, että on mahdollista katsoa Fashion ID:n olevan tämän kansallisen oikeuden perusteella välillisessä vastuussa oikeudenloukkauksesta (Störerhaftung).
39 Jos Fashion ID on katsottava rekisterinpitäjäksi tai ainakin Facebook Irelandin mahdollisista tietosuojaloukkauksista välillisessä vastuussa olevaksi (Störerhaftung), ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko pääasiassa kyseessä oleva henkilötietojen käsittely lainmukaista ja koskeeko direktiivin 95/46 10 artiklan mukainen velvollisuus informoida rekisteröityä Fashion ID:tä vai Facebook Irelandia.
40 Kun otetaan huomioon direktiivin 95/46 7 artiklan f alakohdan kaltaiset tietojenkäsittelyn lainmukaisuuden edellytykset, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee siten yhtäältä, onko pääasiassa kyseessä olevan kaltaisessa tilanteessa otettava huomioon verkkosivuston ylläpitäjän vai yhteisöliitännäisen tarjoajan oikeutettu intressi.
41 Mainittu tuomioistuin kysyy toisaalta, kenelle kuuluvat pääasiassa kyseessä olevan kaltaisessa tilanteessa velvollisuudet saada suostumus ja informoida rekisteröityä henkilötietojen käsittelystä. Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että kysymys siitä, kenen velvollisuutena on informoida rekisteröityjä direktiivin 95/46 10 artiklassa säädetyn mukaisesti, on erityisen merkityksellinen, sillä kaikenlainen ulkopuolisen sisällön liittäminen verkkosivustolle merkitsee lähtökohtaisesti henkilötietojen käsittelyä, jonka laajuus ja tarkoitus eivät kuitenkaan ole näiden sisältöjen liittäjän eli asianomaisen verkkosivuston ylläpitäjän tiedossa. Tämä ei täten voi antaa vaadittavia tietoja sikäli kuin siltä niitä vaaditaan, joten kyseiselle ylläpitäjälle asetettava rekisteröidyn informointivelvollisuus johtaisi käytännössä ulkopuolisten sisältöjen liittämistä koskevaan kieltoon.
42 Oberlandesgericht Düsseldorf on näin ollen päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko [direktiivin 95/46] 22, 23 ja 24 artiklan säännösten kanssa ristiriidassa kansallinen säännöstö, jolla tietosuojaviranomaisten toimintavallan ja rekisteröidyn käytettävissä olevien oikeussuojakeinojen ohella myönnetään kuluttajien etujen turvaamiseen pyrkiville yleishyödyllisille yhdistyksille toimivalta oikeuksien loukkaamisen tapauksessa ryhtyä toimiin oikeuksien loukkaajaa vastaan?
Mikäli ensimmäiseen kysymykseen vastataan kieltävästi:
2) Onko esillä olevan kaltaisessa tapauksessa, jossa joku liittää verkkosivustolleen ohjelmakoodin, joka saa käyttäjän selaimen pyytämään sisältöjä sivulliselta ja tässä yhteydessä välittää henkilötietoja sivulliselle, kyseinen koodin liittävä taho [direktiivin 95/46] 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, jos se ei itse voi vaikuttaa tähän tietojenkäsittelytoimeen?
3) Mikäli toiseen kysymykseen vastataan kieltävästi: Onko [direktiivin 95/46] 2 artiklan d alakohtaa tulkittava siten, että sillä säännellään vastuuta sikäli tyhjentävästi, että se on esteenä siviilioikeudellisten vaatimusten kohdistamiselle sellaiseen sivulliseen, joka ei ole rekisterinpitäjä mutta joka aiheuttaa käsittelytoimen vaikuttamatta toimeen?
4) Kenen ’oikeutettu intressi’ on esillä olevan kaltaisessa tilanteessa otettava huomioon suoritettaessa direktiivin [95/46] 7 artiklan f alakohdassa tarkoitettu punnitseminen? Onko se ulkopuolisten sisältöjen liittämistä koskeva intressi vai sivullisen intressi?
5) Kenelle direktiivin [95/46] 7 artiklan a alakohdassa ja 2 artiklan h alakohdassa tarkoitettu suostumus on annettava esillä olevan kaltaisessa tilanteessa?
6) Koskeeko direktiivin [95/46] 10 artiklassa säädetty tiedonantovelvollisuus esillä olevan kaltaisessa tilanteessa myös verkkosivuston ylläpitäjää, joka on liittänyt ulkopuolisen sisällön ja siten aiheuttaa sivullisen suorittaman henkilötietojen käsittelyn?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen kysymys
43 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko direktiivin 95/46 22–24 artiklaa tulkittava siten, että ne ovat esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa tuomioistuimessa kanne henkilötietojen suojan oletettua loukkaajaa vastaan.
44 Aluksi on muistettava, että direktiivin 95/46 22 artiklan mukaan jäsenvaltioiden on säädettävä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan.
45 Direktiivin 95/46 28 artiklan 3 kohdan kolmannessa alakohdassa säädetään, että valvontaviranomaisella, jolle on kyseisen direktiivin 28 artiklan 1 kohdan mukaisesti annettu tehtäväksi valvoa kyseisen jäsenvaltion mainitun direktiivin nojalla antamien säännösten soveltamista kyseisen jäsenvaltion alueella, on muun muassa valtuudet olla asianosaisena oikeudenkäynnissä, jos tämän direktiivin mukaisesti toteutettuja kansallisia toimenpiteitä rikotaan, tai valtuudet saattaa nämä rikkomukset lainkäyttöviranomaisten tietoon.
46 Direktiivin 95/46 28 artiklan 4 kohdassa säädetään, että direktiivin 2 artiklan a alakohdassa tarkoitettua rekisteröityä edustava yhdistys voi esittää valvontaviranomaiselle oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen.
47 Mainitun direktiivin yhdessäkään säännöksessä ei kuitenkaan velvoiteta taikka valtuuteta jäsenvaltioita nimenomaisesti säätämään niiden kansallisessa oikeudessa yhdistyksen mahdollisuudesta edustaa oikeudenkäynnissä tällaista henkilöä taikka nostaa omasta aloitteestaan kanne henkilötietojen suojan oletettua loukkaajaa vastaan.
48 On kuitenkin niin, ettei direktiivi 95/46 ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa tuomioistuimessa kanne tällaista loukkaajaa vastaan.
49 SEUT 288 artiklan kolmannen kohdan nojalla jäsenvaltioilla on pannessaan direktiiviä täytäntöön nimittäin velvollisuus varmistaa direktiivin täysi vaikutus, mutta niillä on laaja harkintavalta valita tavat ja keinot direktiivin täytäntöönpanon varmistamiseksi. Tällainen vapaus ei siten vaikuta mitenkään jokaista jäsenvaltiota, jolle direktiivi on osoitettu, koskevaan velvoitteeseen toteuttaa direktiivissä asetetun tavoitteen mukaisesti kaikki kyseisen direktiivin täyden vaikutuksen varmistamiseksi tarvittavat toimenpiteet (tuomio 6.10.2010, Base ym., C-389/08, EU:C:2010:584, 24 ja 25 kohta ja tuomio 22.2.2018, Porras Guisado, C-103/16, EU:C:2018:99, 57 kohta).
50 Tältä osin on muistutettava, että yksi direktiivin 95/46 taustalla olevista tarkoituksista on varmistaa luonnollisten henkilöiden perusvapauksien ja ‑oikeuksien ja erityisesti yksityisyyttä koskevan oikeuden tehokas ja täysimääräinen suojaaminen henkilötietojen käsittelyssä (ks. vastaavasti tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 53 kohta ja tuomio 27.9.2017, Puškár, C-73/16, EU:C:2017:725, 38 kohta). Kyseisen direktiivin johdanto-osan kymmenennessä perustelukappaleessa täsmennetään, että sovellettavien kansallisten lainsäädäntöjen lähentäminen ei saa johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen vaan sillä on päinvastoin varmistettava tietosuojan korkea taso unionissa (tuomio 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, 95 kohta; tuomio 16.12.2008, Huber, C-524/06, EU:C:2008:724, 50 kohta ja tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 ja C-469/10, EU:C:2011:777, 28 kohta).
51 Se, että jäsenvaltio säätää kansallisessa säännöstössään kuluttajansuojayhdistyksen mahdollisuudesta nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan, ei ole millään tavoin omiaan aiheuttamaan vahinkoa kyseisen säännöstön tavoitteille, vaan sillä päinvastoin edistetään näiden tavoitteiden saavuttamista.
52 Fashion ID ja Facebook Ireland väittävät kuitenkin, että koska direktiivillä 95/46 on täysin yhdenmukaistettu kansalliset tietosuojasäännökset, ei ole mahdollista nostaa kanteita, joista ei ole nimenomaisesti säädetty direktiivissä. Direktiivin 95/46 22, 23 ja 28 artiklassa säädetään ainoastaan rekisteröityjen ja tietosuojan valvontaviranomaisten toimista.
53 Näitä perusteluja ei kuitenkaan voida hyväksyä.
54 Direktiivi 95/46 tosin johtaa henkilötietojen suojaa koskevien kansallisten lainsäädäntöjen yhdenmukaistamiseen, joka on lähtökohtaisesti täydellinen (ks. vastaavasti tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 ja C-469/10, EU:C:2011:777, 29 kohta ja tuomio 7.11.2013, IPI, C-473/12, EU:C:2013:715, 31 kohta).
55 Unionin tuomioistuin on siis katsonut, että mainitun direktiivin 7 artiklaan on otettu tyhjentävä luettelo, johon on rajattu tilanteet, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista, ja että jäsenvaltiot eivät voi lisätä kyseiseen artiklaan verrattuna uusia henkilötietojen käsittelyn laillistamista koskevia periaatteita eivätkä säätää lisävaatimuksista, joilla muutettaisiin jonkin niiden kuuden periaatteen ulottuvuutta, joista mainitussa artiklassa on säädetty (tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 ja C-469/10, EU:C:2011:777, 30 ja 32 kohta ja tuomio 19.10.2016, Breyer, C-582/14, EU:C:2016:779, 57 kohta).
56 Unionin tuomioistuin on kuitenkin myös täsmentänyt, että direktiivissä 95/46 on suhteellisen yleisiä sääntöjä sen johdosta, että sitä on sovellettava moniin hyvin erilaisiin tilanteisiin. Nämä säännöt ovat luonteeltaan joustavia, ja niissä jätetään jäsenvaltioille useissa tapauksissa valta määrätä yksityiskohdista tai valita eri vaihtoehtojen välillä, joten jäsenvaltioilla on monessa suhteessa käytettävissään harkintavaltaa direktiivin täytäntöön panemiseksi (ks. vastaavasti tuomio 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, 83, 84 ja 97 kohta ja tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 ja C-469/10, EU:C:2011:777, 35 kohta).
57 Tämä on tilanne direktiivin 95/46 22–24 artiklan osalta, jotka – kuten julkisasiamies totesi ratkaisuehdotuksensa 42 kohdassa – on muotoiltu hyvin yleisesti ja joilla ei yhdenmukaisteta tyhjentävästi kansallisia säännöksiä oikeussuojakeinoista, joihin voidaan ryhtyä henkilötietojen suojan oletettua loukkaajaa vastaan (ks. analogisesti tuomio 26.10.2017, I, C-195/16, EU:C:2017:815, 57 ja 58 kohta).
58 Etenkin on niin, että vaikka kyseisen direktiivin 22 artiklassa velvoitetaan jäsenvaltiot säätämään siitä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos henkilötietojen käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan, mainittuun direktiiviin ei kuitenkaan sisälly säännöstä, jolla säänneltäisiin erityisesti tämän oikeussuojakeinon käyttämisen edellytyksiä (ks. vastaavasti tuomio 27.9.2017, Puškár, C-73/16, EU:C:2017:725, 54 ja 55 kohta).
59 Lisäksi direktiivin 95/46 24 artiklassa säädetään, että jäsenvaltioiden on toteutettava ”tarvittavat toimenpiteet” kyseisen direktiivin säännösten täydellisen soveltamisen varmistamiseksi, ilman että siinä kuitenkaan määritellään tällaisia toimenpiteitä. Se, että säädetään kuluttajansuojayhdistyksen mahdollisuudesta nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan, voi olla kyseisessä säännöksessä tarkoitettu tarvittava toimenpide, jolla – kuten tämän tuomion 51 kohdassa on todettu – pyritään osaltaan saavuttamaan mainitun direktiivin tavoitteet unionin tuomioistuimen oikeuskäytännön mukaisesti (ks. tältä osin tuomio 6.11.2003, Lindqvist, C-101/01, EU:C:2003:596, 97 kohta).
60 Toisin kuin Fashion ID väittää, lisäksi se, että jäsenvaltio voi säätää tällaisesta mahdollisuudesta kansallisessa säännöstössään, ei ole omiaan vaarantamaan riippumattomuutta, jonka mukaisesti valvontaviranomaisten on hoidettava niille direktiivin 95/46 28 artiklan vaatimusten mukaisesti uskottuja tehtäviä, koska tämä mahdollisuus ei voi vaikuttaa valvontaviranomaisten päätöksentekovapauteen eikä niiden toimintavapauteen.
61 Vaikka on totta, ettei direktiiviä 95/46 mainita direktiivin 2009/22 liitteessä I lueteltujen toimien joukossa, on kuitenkin lisäksi niin, ettei viimeksi mainitulla direktiivillä ole toteutettu sen 7 artiklan mukaan tyhjentävää yhdenmukaistamista tältä osin.
62 Viimein se, että asetuksessa 2016/679, jolla kumottiin ja korvattiin direktiivi 95/46 ja jota on sovellettu 25.5.2018 lukien, annetaan jäsenvaltioille kyseisen asetuksen 80 artiklan 2 kohdassa nimenomaisesti mahdollisuus sallia kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan, ei millään tavoin tarkoita, etteivät jäsenvaltiot voisi antaa niille tätä oikeutta direktiivin 95/46 nojalla, vaan se päinvastoin vahvistaa sen, että tässä tuomiossa annettu kyseisen direktiivin tulkinta heijastaa unionin lainsäätäjän tahtoa.
63 Ensimmäiseen kysymykseen on kaiken edellä esitetyn perusteella vastattava, että direktiivin 95/46 22–24 artiklaa on tulkittava siten, etteivät ne ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan.
Toinen kysymys
64 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään lähinnä, voidaanko Fashion ID:n kaltaisen verkkosivuston ylläpitäjän, joka liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä kyseiselle tarjoajalle kävijän henkilötietoja, katsoa olevan direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, vaikka kyseinen ylläpitäjä ei voi mitenkään vaikuttaa siihen, miten mainitulle tarjoajalle välitettyjä tietoja käsitellään.
65 Tältä osin on muistutettava, että direktiivin 95/46 sen tavoitteen mukaisesti, joka on turvata luonnollisille henkilöille henkilötietojen käsittelyssä heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän yksityisyyttä koskevan oikeutensa korkeatasoinen suoja, kyseisen direktiivin 2 artiklan d alakohdassa määritellään rekisterinpitäjän käsite laajasti siten, että sillä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot (ks. vastaavasti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, 26 ja 27 kohta).
66 Kuten unionin tuomioistuin on nimittäin jo todennut, kyseisen säännöksen tavoitteena on varmistaa rekisteröityjen tehokas ja kattava suojelu määrittelemällä rekisterinpitäjän käsite laajasti (tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 34 kohta ja tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 28 kohta).
67 Kuten direktiivin 95/46 2 artiklan d alakohdassa nimenomaisesti säädetään, rekisterinpitäjän käsite merkitsee lisäksi elintä, joka ”yksin tai yhdessä toisten kanssa” määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot, joten kyseisellä käsitteellä ei välttämättä viitata yhteen ainoaan elimeen ja se voi koskea useita toimijoita, jotka osallistuvat mainittuun käsittelyyn, jolloin kuhunkin niistä on sovellettava tietosuojan alalla sovellettavia säännöksiä (ks. vastaavasti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 29 kohta ja tuomio 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, 65 kohta).
68 Unionin tuomioistuin on myös katsonut, että luonnollista henkilöä tai oikeushenkilöä, joka vaikuttaa omia tarkoituksiaan varten henkilötietojen käsittelyyn ja osallistuu tämän vuoksi kyseisen käsittelyn tarkoituksen ja keinojen määrittämiseen, voidaan pitää direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä (tuomio 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, 68 kohta).
69 Se, että useampi toimija on tämän säännöksen mukaisesti yhteisvastuussa samasta henkilötietojen käsittelystä, ei myöskään edellytä sitä, että kaikilla niistä on pääsy kyseisiin henkilötietoihin (ks. vastaavasti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, 38 kohta ja tuomio 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, 69 kohta).
70 Direktiivin 95/46 2 artiklan d alakohdan tavoitteena on siis varmistaa rekisteröityjen tehokas ja kattava suojelu määrittelemällä rekisterinpitäjän käsite laajasti, mutta yhteisvastuu ei välttämättä merkitse henkilötietojen käsittelyyn osallistuvien eri toimijoiden samanlaista vastuuta. Kyseiset toimijat voivat päinvastoin osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, joten niiden vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset seikat (ks. vastaavasti tuomio 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, 66 kohta).
71 Tältä osin on todettava yhtäältä, että direktiivin 95/46 2 artiklan b alakohdassa määritellään ”henkilötietojen käsittely” siten, että sillä tarkoitetaan ”kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen”.
72 Tämän määritelmän mukaan henkilötietojen käsittely voi koostua yhdestä tai useammasta toiminnosta, joista jokainen koskee jotakin niistä eri vaiheista, joita henkilötietojen käsittelyyn voi sisältyä.
73 Toisaalta direktiivin 95/46 2 artiklan d alakohdassa mainitun rekisterinpitäjän käsitteen määritelmästä, sellaisena kuin se on mainittu tämän tuomion 65 kohdassa, ilmenee, että kun useat toimijat määrittelevät yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, ne osallistuvat rekisterinpitäjinä tähän käsittelyyn.
74 Tästä seuraa, kuten julkisasiamies on todennut ratkaisuehdotuksensa 101 kohdassa, että luonnollinen henkilö tai oikeushenkilö voi olla direktiivin 95/46 2 artiklan d alakohdassa tarkoitetulla tavalla vastuussa yhdessä muiden kanssa ainoastaan sellaisesta henkilötietojen käsittelystä, jonka osalta se yhdessä määrittelee tarkoituksen ja keinot. Kyseistä luonnollista henkilöä tai oikeushenkilöä ei sen sijaan voida pitää vastuussa mainitussa säännöksessä tarkoitetulla tavalla käsittelyketjun edeltävistä vaiheista tai sen myöhemmistä vaiheista, joiden osalta se ei määrittele tarkoitusta eikä keinoja, sanotun kuitenkaan rajoittamatta kansallisessa oikeudessa säädettyä mahdollista siviilioikeudellista vastuuta tältä osin.
75 Käsiteltävässä asiassa unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta ilmenee, jollei ennakkoratkaisua pyytäneen tuomioistuimen toteutettavista tarkastuksista muuta johdu, että Fashion ID vaikuttaa antaneen Facebook Irelandille mahdollisuuden hankkia sen verkkosivustolla kävijöiden henkilötietoja liittämällä verkkosivustolleen Facebookin ”tykkää”-painikkeen ja että tällainen mahdollisuus on olemassa siitä hetkestä lähtien, kun tällaisella sivustolla käydään, ja näin on siitä riippumatta, ovatko kyseiset kävijät Facebookin sosiaalisen verkoston jäseniä tai ovatko he klikanneet Facebookin ”tykkää”-painiketta tai vielä ovatko he tietoisia tällaisesta toiminnosta.
76 Näiden tietojen perusteella on todettava, että ne henkilötietojen käsittelytoimet, joiden tarkoituksen ja keinot Fashion ID voi määritellä yhdessä Facebook Irelandin kanssa, ovat direktiivin 95/46 2 artiklan b alakohdassa mainitun henkilötietojen käsittelyn käsitettä koskevan määritelmän nojalla Fashion ID:n verkkosivustolla kävijöiden henkilötietojen kerääminen ja luovuttaminen siirtämällä. Mainittujen tietojen perusteella Fashion ID:n on sen sijaan lähtökohtaisesti mahdotonta määritellä sellaisten myöhempien henkilötietojen käsittelytoimien tarkoitusta ja keinoja, jotka Facebook Ireland toteuttaa sen jälkeen, kun tiedot on siirretty sille, mistä syystä Fashion ID:tä ei voida pitää vastuussa näistä toiminnoista kyseisen 2 artiklan d alakohdassa tarkoitetulla tavalla.
77 Fashion ID:n verkkosivustolla kävijöiden tiettyjen henkilötietojen keräämiseksi ja siirtämällä tapahtuvaksi luovuttamiseksi käytettyjen keinojen osalta on todettava tämän tuomion 75 kohdasta ilmenevän, että Fashion ID vaikuttaa liittäneen verkkosivustolleen Facebook Irelandin verkkosivuston ylläpitäjien saataville asettaman Facebookin ”tykkää”‑painikkeen täysin tietoisena siitä, että sitä käytetään kyseisellä sivustolla käyneiden henkilötietojen keräämisen ja siirtämisen välineenä riippumatta siitä, ovatko kävijät Facebookin sosiaalisen verkoston jäseniä.
78 Liittämällä tällaisen yhteisöliitännäisen verkkosivustolleen Fashion ID vaikutti lisäksi ratkaisevasti mainitulla sivustolla käyneiden henkilötietojen keräämiseen ja siirtämiseen mainitun liitännäisen tarjoajan eli käsiteltävässä asiassa Facebook Irelandin hyväksi, mitä ei olisi tapahtunut ilman tämän liitännäisen asentamista.
79 Näissä olosuhteissa on katsottava, jollei ennakkoratkaisua pyytäneen tuomioistuimen toteutettavista tarkastuksista tältä osin muuta johdu, että Facebook Ireland ja Fashion ID määrittelevät yhdessä Fashion ID:n verkkosivustolla kävijöiden henkilötietojen keräämiseen ja siirtämällä tapahtuvaan välittämiseen liittyvien toimintojen taustalla olevat keinot.
80 Mainittujen henkilötietojen käsittelytoimien tarkoituksesta on todettava, että vaikuttaa siltä, että Fashion ID voi verkkosivustolleen liittämällään Facebookin ”tykkää”-painikkeella optimoida tuotteidensa mainonnan tekemällä niistä näkyvämpiä Facebookin sosiaalisessa verkostossa, kun sen verkkosivustolla kävijä klikkaa mainittua painiketta. Vaikuttaa siltä, että Fashion ID on voidakseen hyödyntää tällaista kaupallista etua, joka käsittää sen tuotteiden lisääntyneen mainonnan, ainakin implisiittisesti hyväksynyt liittäessään tällaisen painikkeen verkkosivustolleen siellä kävijöitä koskevien henkilötietojen keräämisen ja siirtämällä tapahtuvan välittämisen, sillä nämä käsittelytoimet toteutettiin sekä Fashion ID:n että Facebook Irelandin taloudellisten etujen mukaisesti; Facebook Irelandille se, että se voi käyttää kyseisiä tietoja omiin kaupallisiin tarkoituksiinsa, merkitsee vastiketta Fashion ID:lle tarjotusta edusta.
81 Tällaisessa tilanteessa voidaan katsoa, jollei ennakkoratkaisua pyytäneen tuomioistuimen toteutettavista tarkastuksista muuta johdu, että Fashion ID ja Facebook Ireland määrittelevät yhdessä pääasiassa kyseessä olevien henkilötietojen keräämistä ja siirtämällä tapahtuvaa välittämistä koskevien toimintojen tarkoituksen.
82 Kuten tämän tuomion 69 kohdassa mainitusta oikeuskäytännöstä käy ilmi, lisäksi se, että Fashion ID:n kaltaisella verkkosivuston ylläpitäjällä ei itsellään ole oikeutta tutustua henkilötietoihin, jotka kerätään ja siirretään yhteisöliitännäisen tarjoajalle, jonka kanssa se määrittelee yhdessä henkilötietojen käsittelyn keinot ja tarkoituksen, ei ole esteenä sille, että Fashion ID:tä voitaisiin pitää direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä.
83 Lisäksi on korostettava, että Fashion ID:n kaltaisella verkkosivustolla käyvät sekä henkilöt, jotka ovat Facebookin sosiaalisen verkoston jäseniä ja joilla näin on tili kyseisessä sosiaalisessa verkostossa, että henkilöt, joilla ei tällaista tiliä ole. Viimeksi mainitussa tilanteessa Fashion ID:n kaltaisen verkkosivuston ylläpitäjän vastuu kyseisten henkilöiden henkilötietojen käsittelystä on vielä suurempi, sillä pelkästään se, että kävijät käyvät katsomassa tällaista sivua, jolla on Facebookin ”tykkää”-painike, näyttää johtavan siihen, että Facebook Ireland käsittelee heidän henkilötietojaan (ks. vastaavasti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, 41 kohta).
84 Fashion ID:n voidaan täten katsoa olevan direktiivin 95/46 2 artiklan d alakohdassa tarkoitetussa vastuussa yhdessä Facebook Irelandin kanssa sen verkkosivustolla käyneiden henkilötietojen keräämiseen ja siirtämällä tapahtuvaan välittämiseen liittyvistä toiminnoista.
85 Toiseen kysymykseen on kaiken edellä esitetyn perusteella vastattava, että Fashion ID:n kaltaisen verkkosivuston ylläpitäjän, joka liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä kyseiselle tarjoajalle kävijän henkilötietoja, voidaan katsoa olevan direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä. Tämä rekisterinpitäjän vastuu on kuitenkin rajattu henkilötietojen käsittelyä koskevaan toimintoon tai toimintojen kokonaisuuteen, jonka osalta tämä ylläpitäjä määrittelee tosiasiassa tarkoituksen ja keinot, eli kyseessä olevien tietojen keräämiseen ja niiden siirtämällä tapahtuvaan välittämiseen.
Kolmas kysymys
86 Kun otetaan huomioon toiseen kysymykseen esitetty vastaus, kolmanteen kysymykseen ei ole tarpeen vastata.
Neljäs kysymys
87 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee neljännellä kysymyksellään lähinnä, onko pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa verkkosivuston ylläpitäjä liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä kyseiselle tarjoajalle kävijän henkilötietoja, otettava direktiivin 96/46 7 artiklan f alakohdan soveltamiseksi huomioon kyseisen ylläpitäjän vai mainitun tarjoajan tavoittelema oikeutettu intressi.
88 Aluksi on todettava, että komission mukaan tämä kysymys ei ole merkityksellinen pääasian ratkaisemisen kannalta, koska direktiivin 2002/58 5 artiklan 3 kohdassa edellytettyä rekisteröityjen suostumusta ei ole saatu.
89 Tältä osin on todettava, että direktiivin 2002/58 5 artiklan 3 kohdassa säädetään, että jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46 mukaisesti.
90 Ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä on tutkia, onko pääasiassa kyseessä olevan kaltaisessa tilanteessa Facebook Irelandin kaltaisella yhteisöliitännäisen tarjoajalla pääsy ylläpitäjän verkkosivustolla kävijän päätelaitteelle tallennettuihin tietoihin direktiivin 2002/58 5 artiklan 3 kohdassa tarkoitetulla tavalla, kuten komissio väittää.
91 Koska ennakkoratkaisua pyytänyt tuomioistuin näyttää katsovan, että Facebook Irelandille käsiteltävässä asiassa siirretyt tiedot ovat direktiivissä 95/46 tarkoitettuja henkilötietoja, jotka eivät myöskään välttämättä rajoitu päätelaitteelle tallennettuihin tietoihin, mikä on ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä vahvistaa, komission päätelmillä ei voida tällaisessa tilanteessa kyseenalaistaa sen neljännen ennakkoratkaisukysymyksen merkittävyyttä pääasian ratkaisemisen kannalta, joka koskee pääasiassa kyseessä olevan tietojenkäsittelyn mahdollista laillista luonnetta, kuten julkisasiamies totesi ratkaisuehdotuksensa 115 kohdassa.
92 Täten on tutkittava kysymys siitä, mikä oikeutettu intressi on otettava huomioon sovellettaessa kyseisen direktiivin 7 artiklan f alakohtaa näiden tietojen käsittelyyn.
93 Tässä yhteydessä on alkuun muistutettava, että direktiivin 95/46 II luvun, jonka otsikkona on ”Yleiset säännöt henkilötietojen käsittelyn laillisuudesta”, säännösten mukaan on niin, että jollei tämän direktiivin 13 artiklassa säädetyistä poikkeuksista muuta johdu, henkilötietojen käsittelyssä on noudatettava muun muassa jotain tietojen käsittelyn laillisuutta koskevista periaatteista, jotka luetellaan mainitun direktiivin 7 artiklassa (ks. vastaavasti tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 71 kohta ja tuomio 1.10.2015, Bara ym., C-201/14, EU:C:2015:638, 30 kohta).
94 Direktiivin 95/46 7 artiklan f alakohdan mukaan, jonka tulkintaa ennakkoratkaisua pyytänyt tuomioistuin pyytää, henkilötietojen käsittely on laillista, jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn direktiivin 95/46 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit tai perusoikeudet ja ‑vapaudet.
95 Mainitussa 7 artiklan f alakohdassa säädetään siis kolmesta kumulatiivisesta edellytyksestä henkilötietojen käsittelyn laillisuudelle, eli siinä edellytetään ensinnäkin, että tietojen käsittely tapahtuu rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, toiseksi, että käsittely on tarpeen oikeutetun intressin toteuttamiseksi, ja kolmanneksi, että henkilön, jota tietosuoja koskee, perusoikeudet ja ‑vapaudet eivät syrjäytä tätä intressiä (tuomio 4.5.2017, Rīgas satiksme, C-13/16, EU:C:2017:336, 28 kohta).
96 Siltä osin kuin toiseen kysymykseen annetun vastauksen perusteella on selvää, että pääasiassa kyseessä olevan kaltaisessa tilanteessa verkkosivuston ylläpitäjän, joka liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, voidaan katsoa olevan vastuussa yhdessä tämän tarjoajan kanssa verkkosivustollaan kävijöiden henkilötietojen käsittelytoimista, joita ovat kerääminen ja välittäminen siirtämällä, on välttämätöntä, että kukin näistä vastuussa olevista tavoittelee kyseisillä käsittelytoimilla direktiivin 95/46 7 artiklan f alakohdassa tarkoitettua oikeutettua intressiä, jotta toimet olisivat oikeutettuja kummankin niistä osalta.
97 Neljänteen kysymykseen on edellä esitetyn perusteella vastattava, että pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa verkkosivuston ylläpitäjä liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, on välttämätöntä, että tämä ylläpitäjä ja kyseinen tarjoaja tavoittelevat kumpikin näillä käsittelytoimilla direktiivin 96/46 7 artiklan f alakohdassa tarkoitettua oikeutettua intressiä, jotta toimet olisivat oikeutettuja kummankin niistä osalta.
Viides ja kuudes kysymys
98 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee viidennellä ja kuudennella kysymyksellään, joita on tarkasteltava yhdessä, lähinnä yhtäältä sitä, onko direktiivin 95/46 2 artiklan h alakohtaa ja 7 artiklan a alakohtaa tulkittava siten, että pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa verkkosivuston ylläpitäjä liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, mainitun ylläpitäjän on saatava kyseisissä säännöksissä tarkoitettu suostumus, vai siten, että tämän tarjoajan on saatava se, ja toisaalta sitä, onko tämän direktiivin 10 artiklaa tulkittava siten, että tässä säännöksessä säädetty informointivelvollisuus koskee tällaisessa tilanteessa kyseistä ylläpitäjää.
99 Kuten toiseen kysymykseen annetusta vastauksesta käy ilmi, verkkosivuston ylläpitäjän, joka liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, voidaan katsoa olevan direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, mutta tämä rekisterinpitäjän vastuu rajoittuu kuitenkin henkilötietojen käsittelyä koskevaan toimintoon tai toimintojen kokonaisuuteen, jonka osalta se määrittelee tosiasiassa tarkoituksen ja keinot.
100 Velvollisuuksien, jotka voivat koskea direktiivin 95/46 mukaisesti tätä rekisterinpitäjää, kuten velvollisuus saada tämän direktiivin 2 artiklan h alakohdassa ja 7 artiklan a alakohdassa tarkoitettu rekisteröidyn suostumus sekä sen 10 artiklassa säädetty informointivelvollisuus, on siis koskettava henkilötietojen käsittelyä koskevaa toimintoa tai toimintojen kokonaisuutta, jonka osalta rekisterinpitäjä määrittelee tosiasiassa tarkoituksen ja keinot.
101 Käsiteltävässä asiassa on niin, että kun verkkosivuston ylläpitäjän, joka liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, voidaan katsoa olevan yhdessä kyseisen tarjoajan kanssa vastuussa kyseisen kävijän henkilötietojen keräämisestä ja siirtämällä tapahtuvasta välittämisestä, ylläpitäjän velvollisuus saada direktiivin 95/46 2 artiklan h alakohdassa ja 7 artiklan a alakohdassa tarkoitettu rekisteröidyn suostumus sekä ylläpitäjän tämän direktiivin 10 artiklassa säädetty informointivelvollisuus koskevat pelkästään näitä toimintoja. Nämä velvollisuudet eivät sen sijaan ulotu henkilötietojen käsittelytoimien muihin vaiheisiin, jotka joko edeltävät taikka seuraavat mainittuja toimia ja joita kyseessä olevien henkilötietojen käsittely mahdollisesti edellyttää.
102 Direktiivin 95/46 2 artiklan h alakohdassa ja 7 artiklan a alakohdassa tarkoitettu suostumus on annettava ennen rekisteröidyn tietojen keräämistä ja siirtämällä tapahtuvaa välittämistä. Verkkosivuston ylläpitäjän – eikä mainitun yhteisöliitännäisen tarjoajan – tehtävänä on tässä tilanteessa hankkia tämä suostumus, koska henkilötietojen käsittelytoimi käynnistyy sen johdosta, että kävijä käy kyseisellä verkkosivustolla. Kuten julkisasiamies totesi ratkaisuehdotuksensa 132 kohdassa, se, että suostumus annetaan ainoastaan yhdelle yhteisvastuussa olevalle rekisterinpitäjälle, joka osallistuu tietojenkäsittelyyn myöhemmin, eli mainitun liitännäisen tarjoajalle, ei vastaa rekisteröidyn oikeuksien tehokasta ja oikea-aikaista suojelua. Ylläpitäjälle annettava suostumus koskee kuitenkin ainoastaan henkilötietojen käsittelyä koskevaa toimintoa tai toimintojen kokonaisuutta, jonka osalta tämä ylläpitäjä määrittelee tosiasiassa tarkoituksen ja keinot.
103 Sama koskee myös direktiivin 95/46 10 artiklassa säädettyä informointivelvollisuutta.
104 Kyseisen säännöksen sanamuodosta käy tältä osin ilmi, että rekisterinpitäjän tai tämän edustajan on annettava ainakin mainitussa säännöksessä tarkoitetut tiedot henkilölle, jota koskevia tietoja se kerää. On siis selvää, että rekisterinpitäjän on annettava nämä tiedot välittömästi tietoja kerättäessä (ks. vastaavasti tuomio 7.5.2009, Rijkeboer, C-553/07, EU:C:2009:293, 68 kohta ja tuomio 7.11.2013, IPI, C-473/12, EU:C:2013:715, 23 kohta).
105 Tästä seuraa, että pääasiassa kyseessä olevan kaltaisessa tilanteessa direktiivin 95/46 10 artiklassa säädetty informointivelvollisuus koskee myös verkkosivuston ylläpitäjää mutta että tietojen, jotka viimeksi mainitun on annettava rekisteröidylle, ei tarvitse kuitenkaan koskea kuin henkilötietojen käsittelyä koskevaa toimintoa tai toimintojen kokonaisuutta, jonka osalta tämä ylläpitäjä määrittelee tosiasiassa tarkoituksen ja keinot.
106 Viidenteen ja kuudenteen kysymykseen on edellä esitetyn perusteella vastattava, että direktiivin 95/46 2 artiklan h alakohtaa ja 7 artiklan a alakohtaa on tulkittava siten, että pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa verkkosivuston ylläpitäjä liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, mainitun ylläpitäjän on saatava kyseisissä säännöksissä tarkoitettu suostumus ainoastaan henkilötietojen käsittelyä koskevan toiminnon tai toimintojen kokonaisuuden osalta, jonka osalta se määrittelee tosiasiassa tarkoituksen ja keinot. Kyseisen direktiivin 10 artiklaa on lisäksi tulkittava siten, että myös tässä säännöksessä säädetty informointivelvollisuus koskee tällaisessa tilanteessa mainittua ylläpitäjää mutta että tietojen, jotka viimeksi mainitun on annettava rekisteröidylle, ei tarvitse kuitenkaan koskea kuin henkilötietojen käsittelyä koskevaa toimintoa tai toimintojen kokonaisuutta, jonka osalta se määrittelee tosiasiassa tarkoituksen ja keinot.
Oikeudenkäyntikulut
107 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (toinen jaosto) on ratkaissut asian seuraavasti:
1) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 22–24 artiklaa on tulkittava siten, etteivät ne ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne henkilötietojen suojan oletettua loukkaajaa vastaan.
2) Fashion ID GmbH & Co. KG:n kaltaisen verkkosivuston ylläpitäjän, joka liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä kyseiselle tarjoajalle kävijän henkilötietoja, voidaan katsoa olevan direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä. Tämä rekisterinpitäjän vastuu on kuitenkin rajattu henkilötietojen käsittelyä koskevaan toimintoon tai toimintojen kokonaisuuteen, jonka osalta tämä ylläpitäjä määrittelee tosiasiassa tarkoituksen ja keinot, eli kyseessä olevien tietojen keräämiseen ja niiden siirtämällä tapahtuvaan välittämiseen.
3) Pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa verkkosivuston ylläpitäjä liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, on välttämätöntä, että tämä ylläpitäjä ja kyseinen tarjoaja tavoittelevat kumpikin näillä käsittelytoimilla direktiivin 96/46 7 artiklan f alakohdassa tarkoitettua oikeutettua intressiä, jotta toimet olisivat oikeutettuja kummankin niistä osalta.
4) Direktiivin 95/46 2 artiklan h alakohtaa ja 7 artiklan a alakohtaa on tulkittava siten, että pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa verkkosivuston ylläpitäjä liittää mainitulle sivustolle yhteisöliitännäisen, jolla kyseisellä sivustolla kävijän selain voi hakea mainitun liitännäisen tarjoajan sisältöjä ja välittää tässä yhteydessä mainitulle tarjoajalle kävijän henkilötietoja, mainitun ylläpitäjän on saatava kyseisissä säännöksissä tarkoitettu suostumus ainoastaan henkilötietojen käsittelyä koskevan toiminnon tai toimintojen kokonaisuuden osalta, jonka osalta se määrittelee tosiasiassa tarkoituksen ja keinot. Kyseisen direktiivin 10 artiklaa on lisäksi tulkittava siten, että myös tässä säännöksessä säädetty informointivelvollisuus koskee tällaisessa tilanteessa mainittua ylläpitäjää mutta että tietojen, jotka viimeksi mainitun on annettava rekisteröidylle, ei tarvitse kuitenkaan koskea kuin henkilötietojen käsittelyä koskevaa toimintoa tai toimintojen kokonaisuutta, jonka osalta se määrittelee tosiasiassa tarkoituksen ja keinot.
Allekirjoitukset