CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:291

Väliaikainen versio

JULKISASIAMIEHEN RATKAISUEHDOTUS

PRIIT PIKAMÄE

11 päivänä huhtikuuta 2024 (1)

Asia C‑768/21

vastaan

Land Hessen

(Ennakkoratkaisupyyntö – Verwaltungsgericht Wiesbaden (Wiesbadenin hallintotuomioistuin, Saksa))

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 57 artiklan 1 kohdan a ja f alakohta – Valvontaviranomaisen tehtävät – 58 artiklan 2 kohta – Valvontaviranomaisen valtuudet – 77 artiklan 1 kohta – Oikeus tehdä kantelu – Henkilötietojen tietoturvaloukkaus – Valvontaviranomaisen velvollisuus toteuttaa toimenpiteitä

I Johdanto

1. Tämä Verwaltungsgericht Wiesbadenin (Wiesbadenin hallintotuomioistuin, Saksa) SEUT 267 artiklan nojalla esittämä ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus)(2) (jäljempänä yleinen tietosuoja-asetus) 57 artiklan 1 kohdan a ja f alakohdan, 58 artiklan 2 kohdan ja 77 artiklan 1 kohdan tulkintaa.

2. Ennakkoratkaisupyyntö on esitetty asiassa, jossa asianosaisina ovat TR ja Land Hessen (Hessenin osavaltio, Saksa), edustajanaan Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hessenin osavaltion tietosuojavaltuutettu ja tiedonvälityksen vapauden valtuutettu, jäljempänä HBDI), ja jossa on kyse siitä, että viimeksi mainittu kieltäytyi ryhtymästä toimenpiteisiin Sparkassea vastaan henkilötietojen tietoturvaloukkauksen perusteella. Ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko valvontaviranomaisen siinä tapauksessa, että se toteaa tietojenkäsittelyn loukkaavan rekisteröidyn oikeuksia, joka tapauksessa ryhdyttävä toimenpiteisiin yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisten toimivaltuuksiensa perusteella vai voiko se yksittäistapauksessa olla tietoturvaloukkauksesta huolimatta ryhtymättä toimenpiteisiin.

3. Käsiteltävään asiaan liittyy useita uusia oikeuskysymyksiä, jotka edellyttävät perusteellista tarkastelua. Unionin tuomioistuimen on otettava kantaa laillisuus- ja tarkoituksenmukaisuusperiaatteiden merkitykseen valvontaviranomaisten hallintokäytännössä ja erityisesti niiden hoitaessa tehtäväänsä valvoa yleisen tietosuoja-asetuksen soveltamista ja varmistaa sen noudattaminen. Unionin tuomioistuimen oikeuskäytännöstä ilmenevillä tulkintaohjeilla vaikutetaan tähän hallintokäytäntöön ja edistetään siten tämän asetuksen johdonmukaista soveltamista unionissa.

II Asiaa koskevat oikeussäännöt

4. Yleisen tietosuoja-asetuksen johdanto-osan 129, 141, 148 ja 150 perustelukappaleessa todetaan seuraavaa:

”(129) Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja, rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet. Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto. Jäsenvaltiot voivat täsmentää muita tehtäviä, jotka liittyvät tämän asetuksen mukaiseen henkilötietojen suojaan. Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, asianmukaisesti ja kohtuullisessa ajassa. Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja. – –

– –

(141) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä kantelu yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus turvautua tehokkaisiin oikeussuojakeinoihin [Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja)] 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele kantelua, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Kantelun seurauksena tehtävä tutkinta olisi suoritettava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja asia olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. – –

– –

(148) Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja, valvontaviranomaisen tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. – –

– –

(150) Tämän asetuksen rikkomisen seurauksena määrättävien hallinnollisten seuraamusten vahvistamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia seuraamusmaksuja. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien seuraamusmaksujen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki yksittäisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja sen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. – –

5. Asetuksen 33 artiklan 1 kohdassa säädetään seuraavaa:

”Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. – –”

6. Asetuksen 34 artiklan 1 kohdassa säädetään seuraavaa:

”Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.”

7. Asetuksen 57 artiklan 1 kohdassa säädetään seuraavaa:

”Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a) valvottava tämän asetuksen soveltamista ja täytäntöönpanoa;

– –

f) käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

– –”

8. Yleisen tietosuoja-asetuksen 58 artiklassa säädetään seuraavaa:

”1. Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

a) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

– –

2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

a) varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

c) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

e) määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

f) asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

– –

i) määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

– –”

9. Asetuksen 77 artiklassa säädetään seuraavaa:

”1. Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2. Valvontaviranomaisen, jolle kantelu on tehty, on ilmoitettava kantelun tekijälle sen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.”

10. Asetuksen 78 artiklan 1 ja 2 kohdassa säädetään seuraavaa:

”1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn kantelun etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.”

11. Yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohdassa säädetään seuraavaa:

”1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

(2) Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b) rikkomuksen tahallisuus tai tuottamuksellisuus;

c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset;

f) yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g) henkilötietoryhmät, joihin rikkomus vaikuttaa;

h) tapa, jolla rikkomus tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomuksesta ja missä laajuudessa;

i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.”

III Tosiseikat, pääasian menettely ja ennakkoratkaisukysymys

12. Sparkasse on julkisoikeudellinen kunnallinen laitos, joka harjoittaa muun muassa pankki- ja luottotoimintaa. Se ilmoitti 15.11.2019 HBDI:lle henkilötietojen tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 33 artiklan mukaisesti, koska yksi sen työntekijöistä oli useaan otteeseen tutustunut luvattomasti yhden sen asiakkaista, TR:n, henkilötietoihin. Koska Sparkasse kuitenkin katsoi, ettei kyseinen henkilötietojen tietoturvaloukkaus todennäköisesti aiheuta korkeaa riskiä TR:lle, se jätti tekemästä ilmoituksen myös TR:lle tämän asetuksen 34 artiklan nojalla.

13. Saatuaan tietää tapahtuneesta TR kääntyi HBDI:n puoleen 27.7.2020 lähettämällään kirjeellä, jossa hän ilmoitti yleisen tietosuoja-asetuksen 34 artiklan rikkomisesta ja arvosteli Sparkassen lokitietojen lyhyttä kolmen kuukauden säilytysaikaa ja sitä, että sen jokaisella työntekijällä on laajat tietoihin pääsyä koskevat oikeudet.

14. HBDI:n menettelyssä Sparkasse ilmoitti tietosuojavastaavansa arvioineen, ettei TR:lle aiheudu mitään riskiä, koska kyseistä työntekijää vastaan oli toteutettu kurinpitotoimia ja koska tämä oli kirjallisesti vahvistanut, ettei hän ole jäljentänyt tai tallentanut saamiaan tietoja tai luovuttanut niitä kolmannelle, ja sitoutunut pidättäytymään sellaisesta myös tulevaisuudessa. Lisäksi lokitietojen säilytysaikaa oli määrä tarkistaa.

15. HBDI ilmoitti 3.9.2020 tekemällään päätöksellä TR:lle, että Sparkasse ei ole tässä tapauksessa rikkonut yleisen tietosuoja-asetuksen 34 artiklaa. Kyseisen viranomaisen mukaan tämän säännöksen nojalla tehtävän päätöksen on perustuttava ennusteisiin. Tietosuojan valvontajärjestelmän kannalta on tutkittava, onko päätös ilmeisen virheellinen. Sparkasse oli todennut, että vaikka tietoihin on päästy, mikään ei viitannut siihen, että tietoihin päässyt työntekijä olisi luovuttanut tiedot kolmansille osapuolille tai käyttänyt niitä TR:n vahingoksi. Näin ollen korkeaa riskiä ei todennäköisesti ollut. Lisäksi Sparkassea kehotettiin säilyttämään lokitietonsa vastaisuudessa pidempään. HBDI:n mukaan jokaisen pääsyn periaatteellinen valvonta ei ole tarpeen, koska lähtökohtaisesti laajoja tietoihin pääsyä koskevia oikeuksia voidaan myöntää, jos varmistetaan, että jokaiselle käyttäjälle ilmoitetaan, mihin tietoihin pääsy on sallittu missäkin olosuhteissa.

16. TR nosti 3.9.2020 tehdystä päätöksestä kanteen ennakkoratkaisua pyytäneessä tuomioistuimessa, Verwaltungsgericht Wiesbadenissa, ja vaati, että kyseinen tuomioistuin velvoittaa HBDI:n ryhtymään toimenpiteisiin Sparkassea vastaan.

17. TR väittää kanteensa tueksi, että HBDI ei ole käsitellyt hänen kanteluaan yleisen tietosuoja-asetuksen vaatimusten mukaisesti. Hän väittää, että hänellä on oikeus siihen, että kantelu käsitellään ja että toteutetuista toimenpiteistä ilmoitetaan hänelle. HBDI:n olisi pitänyt selvittää tosiasialliset olosuhteet, joiden mukaan Sparkasse arvioi riskiä, rajoittumatta nimenomaisesti vaadittuihin toimenpiteisiin, ja määrätä Sparkasselle hallinnollinen seuraamusmaksu. TR:n mukaan silloin, jos rikkominen on todettu, tarkoituksenmukaisuusperiaatetta ei sovelleta, joten HBDI:llä ei ole harkintavaltaa päättää toimenpiteisiin ryhtymisestä vaan korkeintaan vapaus valita toimenpiteet, jotka se harkitsee toteuttavansa.

18. Ennakkoratkaisua pyytänyt tuomioistuin täsmentää, että tässä tapauksessa HBDI on valvontaviranomaisena tullut siihen johtopäätökseen, että tietosuojasäännöksiä on rikottu, mutta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitetut toimenpiteet eivät kuitenkaan ole tarpeen. Tällainen menettely olisi laillinen vain siinä tapauksessa, että valvontaviranomaisella ei olisi velvollisuutta ryhtyä toimenpiteisiin myöskään silloin, kun tietoturvaloukkaus on todettu. Jos yhdyttäisiin TR:n näkemykseen, jonka mukaan valvontaviranomaisella ei ole harkintavaltaa, seurauksena olisi se, että oikeus vaatia asiaan puuttumista ja korjaaviin toimenpiteisiin ryhtymistä olisi aina, kun tietoturvaloukkaus on todettu, ja että valvontaviranomaisen olisi kaikissa tapauksissa toteutettava toimenpide. Mikäli vaatimukseen ei suostuta, tuomioistuimen olisi tällöin velvoitettava valvontaviranomainen toteuttamaan tietty toimenpide tai erilaisia toimenpiteitä.

19. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että tämä näkemys, joka on esitetty myös oikeuskirjallisuudessa, perustuu siihen, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa säädettyjen korjaavien toimivaltuuksien tarkoituksena on palauttaa lainmukainen tilanne silloin, kun tietojenkäsittelyllä loukataan kansalaisten oikeuksia. Tämä säännös on ymmärrettävä velvoittavaksi säännökseksi, jonka perusteella kansalaisella on oikeus vaatia viranomaistoimia silloin, kun yritys tai viranomainen on käsitellyt lainvastaisesti kansalaisen henkilötietoja tai muulla tavoin loukannut tämän oikeuksia. Kun tietoturvaloukkaus on todettu, valvontaviranomaisen on ryhdyttävä korjaaviin toimenpiteisiin, ja sillä on ainoastaan vapaus valita, minkä säädetyistä toimenpiteistä se toteuttaa.

20. Ennakkoratkaisua pyytänyt tuomioistuin kyseenalaistaa kuitenkin tämän tulkinnan ja pitää sitä liian laajana. Se on pikemminkin taipuvainen katsomaan, että valvontaviranomaisella on valinnanvapaus luopua seuraamusten määräämisestä myös siinä tapauksessa, että tietoturvaloukkauksia on todettu. Yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdassa säädetään sen mukaan ainoastaan, että valvontaviranomaisen, jolle on tehty kantelu, on tutkittava siinä määrin kuin se on asianmukaista kantelun kohdetta ja ilmoitettava kantelun tekijälle tutkinnan etenemisestä ja tutkinnan tuloksista kohtuullisen ajan kuluessa. Valvontaviranomaisella on näin ollen velvollisuus tutkia kantelun sisältö huolellisesti ja tutkia jokainen yksittäistapaus mutta ei kuitenkaan velvollisuutta ryhtyä aina ja poikkeuksetta toimenpiteisiin, kun tietoturvaloukkaus todetaan.

21. Tässä tilanteessa Verwaltungsgericht Wiesbaden on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:

”Onko [yleisen tietosuoja-asetuksen] 57 artiklan 1 kohdan a ja f alakohtaa sekä 58 artiklan 2 kohdan a–j alakohtaa, luettuna yhdessä 77 artiklan 1 kohdan kanssa, tulkittava siten, että siinä tapauksessa, että valvontaviranomainen toteaa, että tietojenkäsittely loukkaa rekisteröidyn oikeuksia, valvontaviranomainen on aina velvollinen ryhtymään kyseisen asetuksen 58 artiklan 2 kohdassa tarkoitettuihin toimenpiteisiin?”

IV Menettely unionin tuomioistuimessa

22. Ennakkoratkaisupyynnön esittämistä koskeva päätös, joka on päivätty 10.12.2021, saapui unionin tuomioistuimen kirjaamoon 14.12.2021.

23. Pääasian asianosaiset, Itävallan, Portugalin, Romanian ja Norjan hallitukset ja Euroopan komissio toimittivat kirjallisia huomautuksia Euroopan unionin tuomioistuimen perussäännön 23 artiklassa asetetussa määräajassa.

24. Unionin tuomioistuin päätti 16.1.2024 pidetyssä yleiskokouksessa olla pitämättä istuntoa asianosaisten kuulemiseksi.

V Oikeudellinen arviointi

A Alustavat toteamukset

25. Yleisen tietosuoja-asetuksen voimaantulon jälkeen monet elimet ovat joutuneet ottamaan käyttöön useita toimenpiteitä noudattaakseen henkilötietojen käsittelyä koskevaa uutta lainsäädäntöä. Jos elimet eivät noudata näitä toimenpiteitä, niille saatetaan määrätä seuraamuksia, joiden ankaruus vaihtelee rikkomisen vakavuudesta riippuen. Hallinnolliset seuraamusmaksut ovat keskeinen osa yleisellä tietosuoja-asetuksella käyttöön otettua järjestelmää. Ne ovat tehokas osa valvontaviranomaisten käytettävissä olevaa keinovalikoimaa, jolla ne varmistavat lainsäädännön noudattamisen, yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettujen muiden korjaavien toimenpiteiden ohella. Koska tällä asetuksella annetaan valvontaviranomaisille oikeus määrätä toisinaan hyvinkin korkeita seuraamusmaksuja, oikeusvarmuuden vuoksi on aiheellista täsmentää, missä olosuhteissa tätä korjaavaa toimenpidettä on perusteltua käyttää. Tällä ratkaisuehdotuksella on siten nähtävä edistettävän osaltaan kyseisen tavoitteen toteuttamista.

26. Tässä asiassa esittämässäni ratkaisuehdotuksessa jatketaan siitä, mihin yhdistetyissä asioissa C‑26/22 ja C‑64/22 (SCHUFA Holding) (jäljempänä asiat SCHUFA) esittämäni ratkaisuehdotus(3) jäi. Kun kyseisissä asioissa selitin, mitkä ovat valvontaviranomaisen velvollisuudet sen tutkiessa yleisen tietosuoja-asetuksen 77 artiklan nojalla tehtyä kantelua, tässä asiassa taas käsittelen sen velvollisuuksia henkilötietojen tietoturvaloukkauksen paljastamisen yhteydessä sekä sen korjaavia toimivaltuuksia, muun muassa hallinnollisten seuraamusmaksujen määräämistä koskevia valtuuksia. Tämän jälkeen tarkastelen sitä, säädetäänkö yleisessä tietosuoja-asetuksessa valvontaviranomaisen velvollisuudesta määrätä tällainen seuraamusmaksu kaikissa tapauksissa tai ainakin silloin, kun kantelun tekijä sitä nimenomaisesti vaatii. Tarkasteluni yhteenvedon perusteella vastaan ennakkoratkaisua pyytäneen tuomioistuimen esittämään kysymykseen, joka koskee valvontaviranomaisen mahdollisuutta luopua korjaavien toimenpiteiden toteuttamisesta.

B Ennakkoratkaisupyynnön tutkittavaksi ottaminen

27. Ennen kaikkien näiden seikkojen tarkastelua on kuitenkin käsiteltävä TR:n väite, jonka mukaan ennakkoratkaisupyyntö on jätettävä tutkimatta. Tarkemmin ottaen TR väittää, että vastaus esitettyyn kysymykseen ei ole tarpeen pääasian ratkaisemiseksi. Hänen kanteessaan vaaditaan ainoastaan, että ennakkoratkaisua pyytänyt tuomioistuin velvoittaa HBDI:n lausumaan sen käsiteltäväksi saatetussa kantelussa esitetyistä väitteistä, eikä sitä, että HBDI velvoitettaisiin käyttämään yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia toimivaltuuksiaan.

28. Tässä yhteydessä on huomattava, että SEUT 267 artiklalla käyttöön otetussa unionin tuomioistuimen ja kansallisten tuomioistuinten välisessä yhteistyössä yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta. Kun esitetyt kysymykset koskevat unionin oikeuden tulkintaa, unionin tuomioistuimella on näin ollen periaatteessa velvollisuus antaa ennakkoratkaisu.(4)

29. Tästä seuraa, että olettamana on, että kansallisen tuomioistuimen sen säännöstön ja niiden tosiseikkojen perusteella, joiden määrittämisestä se vastaa ja joiden paikkansapitävyyden selvittäminen ei ole unionin tuomioistuimen tehtävä, esittämillä unionin oikeuden tulkintaan liittyvillä kysymyksillä on merkitystä asian ratkaisun kannalta. Unionin tuomioistuin voi jättää tutkimatta kansallisen tuomioistuimen esittämän pyynnön ainoastaan, jos on ilmeistä, että pyydetyllä unionin oikeuden tulkitsemisella ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, jos kyseinen ongelma on luonteeltaan hypoteettinen tai jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin.(5)

30. Tässä asiassa ennakkoratkaisua pyytänyt tuomioistuin on selvästi esittänyt syyt, joiden vuoksi se pohtii ennakkoratkaisukysymyksessään tarkoitettujen unionin oikeuden säännösten tulkintaa, ja täsmentänyt, että vastauksella tähän kysymykseen on ratkaiseva merkitys pääasian ratkaisemiseksi, koska TR on vaatinut HBDI:tä ryhtymään toimenpiteisiin Sparkassea vastaan. Kuten ennakkoratkaisupyynnön esittämistä koskevan päätöksen perusteluista ilmenee, TR on vedonnut ”oikeuteen” vaatia tällaista toimenpiteisiin ryhtymistä. TR:n mukaan ”HBDI:n olisi pitänyt määrätä Sparkasselle hallinnollinen seuraamusmaksu”. Tässä yhteydessä ennakkoratkaisua pyytänyt tuomioistuin viittaa laskelmiin, jotka TR on tehnyt määrättävän seuraamusmaksun suuruuden määrittämiseksi.

31. Kaikki nämä ennakkoratkaisua pyytäneen tuomioistuimen itse toimittamat tiedot ovat selvästi ristiriidassa niiden TR:n väitteiden kanssa, joiden mukaan ennakkoratkaisupyyntö pitäisi jättää tutkimatta. Näiden seikkojen vuoksi mielestäni ei ole epäilystäkään, etteikö vastaus ennakkoratkaisua pyytäneen tuomioistuimen esittämään kysymykseen olisi tarpeen riidan ratkaisemiseksi. On nimittäin olennaisen tärkeää määrittää valvontaviranomaisen toimivaltuuksien ulottuvuus ja sen velvollisuudet kantelun tekijää kohtaan. Ennakkoratkaisupyynnön on näin ollen katsottava täyttävän tutkittavaksi ottamisen edellytykset.

C Ennakkoratkaisukysymyksen tarkastelu

32. Asiasisällön osalta ennakkoratkaisukysymyksellä pyritään selvittämään, mitkä ovat valvontaviranomaisen velvollisuudet silloin, kun henkilötietojen tietoturvaloukkaus on paljastettu. Tällainen tilanne edellyttää yleensä, että kyseinen tietoturvaloukkaus on näytetty toteen kantelun johdosta aloitetun tutkinnan yhteydessä.

33. Ennakkoratkaisua pyytäneen tuomioistuimen toteamuksiin, jotka koskevat yleisessä tietosuoja-asetuksessa valvontaviranomaiselle asetettuja velvollisuuksia kantelun tutkimisen yhteydessä, liittyy joitakin epätarkkuuksia, mikä selittyy nähdäkseni sillä, että ennakkoratkaisupyyntö on esitetty ennen tuomiota SCHUFA,(6) jossa unionin tuomioistuin vahvisti joukon merkittäviä kantelumenettelyä koskevia periaatteita. Näin ollen voidaan perustellusti olettaa, ettei kyseisellä tuomioistuimella ole ollut mahdollisuutta tutustua tähän oikeuskäytäntöön.

34. Jotta yleisellä tietosuoja-asetuksella käyttöön otettua valvontajärjestelmää koskevat oikeussäännöt voidaan esittää mahdollisimman kattavasti ja jotta ennakkoratkaisua pyytäneelle tuomioistuimelle voidaan antaa hyödyllinen vastaus, on mielestäni välttämättä palautettava mieleen kantelumenettelyyn sovellettavat periaatteet(7) ja sen jälkeen selitettävä, miten valvontaviranomaisen on meneteltävä, kun se on todennut henkilötietojen tietoturvaloukkauksen.(8)

1. Valvontaviranomaisen velvollisuudet kantelun käsittelyn yhteydessä

35. Kuten unionin tuomioistuin totesi tuomiossa SCHUFA, perusoikeuskirjan 8 artiklan 3 kohdan ja yleisen tietosuoja-asetuksen 51 artiklan 1 kohdan ja 57 artiklan 1 kohdan a alakohdan mukaan kansalliset valvontaviranomaiset ovat vastuussa niiden unionin säännösten noudattamisen valvonnasta, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä.(9)

36. Erityisesti yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdan nojalla jokaisen valvontaviranomaisen on alueellaan käsiteltävä kantelut, joita tämän asetuksen 77 artiklan 1 kohdan mukaan jokaisella rekisteröidyllä on oikeus tehdä, jos hän katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, ja tutkittava siinä määrin kuin se on asianmukaista kantelun kohdetta.(10)

37. Valvontaviranomaisen asiana on tutkia tällainen kantelu kaikkea asianmukaista huolellisuutta noudattaen. Unionin tuomioistuin totesi myös, että yleisen tietosuoja-asetuksen 58 artiklan 1 kohdassa annetaan kullekin valvontaviranomaiselle kanteluiden käsittelemistä varten merkittävät tutkintavaltuudet.(11)

38. Tässä yhteydessä on huomattava, että unionin tuomioistuin kannatti ratkaisuehdotuksessa SCHUFA esittämääni tulkintaa, jonka mukaan kantelumenettely, joka ei ole vetoomusmenettely, on tarkoitettu mekanismiksi, jolla suojellaan tehokkaasti rekisteröityjen oikeuksia ja etuja.(12)

39. Lisäksi on huomattava, että unionin tuomioistuin kannatti myös esittämääni yleisen tietosuoja-asetuksen 78 artiklan 1 kohdan tulkintaa ja katsoi, että valvontaviranomaisen tekemän kantelua koskevan päätöksen on oltava täysimääräisen tuomioistuinvalvonnan kohteena.(13)

2. Valvontaviranomaisen velvollisuudet henkilötietojen tietoturvaloukkauksen toteamisen yhteydessä

40. Kun valvontaviranomainen toteaa kantelua tutkiessaan henkilötietojen tietoturvaloukkauksen, tulee esiin kysymys siitä, miten sen on meneteltävä. Kuten selitän jäljempänä, tällainen toteamus merkitsee valvontaviranomaiselle velvollisuutta ryhtyä toimenpiteisiin laillisuusperiaatteen turvaamiseksi. Yleisesti ottaen tämä tarkoittaa sitä, että sen on määritettävä kaikkein asianmukaisin korjaava toimenpide tai korjaavat toimenpiteet tietoturvaloukkaukseen puuttumiseksi.(14) Tämä on mielestäni järkevä tulkinta, kun otetaan huomioon, että yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan a alakohdassa annetaan valvontaviranomaisen tehtäväksi ”valvoa asetuksen soveltamista ja täytäntöönpanoa”. Se, että valvontaviranomaisella olisi mahdollisuus yksinkertaisesti jättää todettu tietoturvaloukkaus huomiotta, olisi ristiriidassa tämän tehtävän kanssa.(15)

41. Lisäksi valvontaviranomaisen yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan mukaisilla tutkintavaltuuksilla ei olisi juurikaan merkitystä, jos valvontaviranomaisen olisi rajoituttava tutkinnan suorittamiseen henkilötietojen tietoturvaloukkauksen toteamisesta huolimatta. Henkilötietojen suojaa koskevan unionin oikeuden täytäntöönpano on nimittäin olennainen osa SEUT 16 artiklan 2 kohdassa ja perusoikeuskirjan 8 artiklan 3 kohdassa tarkoitettua valvonnan käsitettä.(16) Tässä yhteydessä ei pidä unohtaa, että valvontaviranomainen toimii myös sen henkilön tai yhteisön intressissä, jonka oikeuksia on loukattu. On syytä tuoda esille, että yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdassa ja 77 artiklan 2 kohdassa asetetaan tiettyjä velvollisuuksia kantelun tekijää kohtaan, nimittäin velvollisuus ilmoittaa hänelle ”tutkinnan etenemisestä sekä tutkinnan tuloksista”.

42. Tämä viimeksi mainittu lauseen osa merkitsee sitä, että valvontaviranomaisen on myös raportoitava toimenpiteistä, jotka se on toteuttanut toteamansa henkilötietojen tietoturvaloukkauksen johdosta. On selvää, että kantelumenettelystä ei olisi mitään hyötyä, jos valvontaviranomainen voisi jäädä passiiviseksi unionin oikeuden vastaisessa oikeudellisessa tilanteessa. Juuri tästä syystä, jotta valvontaviranomaisella olisi tehokas keino puuttua tällaisiin tietoturvaloukkauksiin, yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa on luettelo korjaavista toimenpiteistä, jotka on porrastettu toimenpiteen intensiteetin mukaan. Velvollisuus ryhtyä toimenpiteisiin kaikissa tapauksissa tietoturvaloukkauksen vakavuudesta riippumatta merkitsee sitä, että valvontaviranomaisen on turvauduttava tähän korjaavien toimenpiteiden luetteloon unionin oikeuden mukaisen tilanteen palauttamiseksi.(17)

3. Valvontaviranomaisen korjaavat toimivaltuudet

43. On kuitenkin täsmennettävä, että kysymys siitä, pitäisikö viranomaisen ryhtyä toimenpiteisiin henkilötietojen tietoturvaloukkauksen tapauksessa, on erotettava selvästi kysymyksestä, joka koskee sitä, miten sen on konkreettisesti toimittava. Tämän jälkimmäisen kysymyksen osalta monet seikat viittaavat siihen, että valvontaviranomaisella on harkintavaltaa, jota on kuitenkin käytettävä yleisen tietosuoja-asetuksen tavoitteiden mukaisesti ja siinä asetetuissa rajoissa. Vaikka esitin jo joitakin perusteluja tälle tulkinnalle asioissa SCHUFA,(18) tätä kysymystä on kuitenkin tarpeen käsitellä perusteellisesti tässä ratkaisuehdotuksessa.

44. Aluksi on huomattava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan valvontaviranomaisella ”on” kaikki tässä säännöksessä luetellut korjaavat ”toimivaltuudet”, mikä tarkoittaa mahdollisuutta, kuten ennakkoratkaisua pyytänyt tuomioistuin aivan oikein huomauttaa. Tämä konnotaatio myös esiintyy kaikissa niissä kieliversioissa, joita olen tarkasteluni yhteydessä tutkinut.(19)

45. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohtaa on tulkittava tämän asetuksen johdanto-osan 129 perustelukappaleen valossa, ja tästä perustelukappaleesta ilmenee, että ”jokaisen toimenpiteen [on] – – oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet” (kursivointi tässä). Toisin sanoen valvontaviranomaiselle annetulle ”toimivaltuudelle”, jonka perusteella se voi turvautua tässä säännöksessä tarkoitettuun korjaavien toimenpiteiden luetteloon, on asetettu useita edellytyksiä, erityisesti se, että tämän viranomaisen toteuttaman toimenpiteen on oltava ”tarkoituksenmukainen”. Tulkitsen tätä määrittelemätöntä oikeudellista käsitettä, jolla viranomaiselle annetaan harkintavaltaa, siten että valitulla toimenpiteellä on voitava sen ominaispiirteiden ja toimintatavan perusteella palauttaa unionin oikeuden mukainen tilanne.(20)

46. Tämä tulkinta vastaa suoraan unionin tuomioistuimen oikeuskäytäntöä, jossa on katsottu, että jos valvontaviranomainen toteaa, että henkilötietojen käsittelyssä on rikottu yleistä tietosuoja-asetusta, ”sen on reagoitava asianmukaisesti todetun puutteellisuuden korjaamiseksi”.(21) Kuten komissio huomauttaa, valvontaviranomaiselle asetettu velvollisuus koskee siis ennen kaikkea saavutettavaa tulosta eli todetun rikkomisen korjaamista toteuttamalla sitä varten ”tarkoituksenmukainen” toimenpide. Lisäksi on pantava merkille, että toteutettavaa toimenpidettä koskeva päätös riippuu kunkin yksittäisen tapauksen konkreettisista olosuhteista, kuten yleisen tietosuoja-asetuksen edellä mainitusta 129 perustelukappaleesta käy selvästi ilmi. Näin ollen valvontaviranomaisen hallintokäytännössään tekemät päätökset voivat tilanteesta riippuen vaihdella huomattavasti tapauksesta toiseen.

47. Koska yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa todetaan ainoastaan, että jokaisella valvontaviranomaisella ”on” kaikki tässä säännöksessä luetellut korjaavat ”toimivaltuudet”, valvontaviranomaisella on liikkumavaraa, sillä se voi periaatteessa vapaasti valita minkä tahansa näistä korjaavista toimenpiteistä todetun rikkomisen korjaamiseksi. Kuten unionin tuomioistuin korosti asiassa C‑311/18 antamassaan tuomiossa (Facebook Ireland ja Schrems), ”asianmukaisen ja tarpeellisen keinon valinta on valvontaviranomaisen tehtävä”, ja sen on tehtävä tämä valinta kaikki yksittäistapauksen olosuhteet huomioon ottaen.(22)

48. Harkintavallan tunnustaminen merkitsee mielestäni myös oikeutta olla toteuttamatta mitään yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitetuista korjaavista toimenpiteistä, jos tällainen lähestymistapa on perusteltua kyseisen tapauksen erityisten olosuhteiden vuoksi. Koska korjaavien toimenpiteiden luetteloon turvautumisen edellytyksenä on myös se, että toimenpide on ”tarpeellinen”, jotta voidaan varmistaa tämän asetuksen noudattaminen, ei voida pitää poissuljettuna, että valvontaviranomaisen konkreettinen toimenpiteisiin ryhtyminen ei täytä tätä edellytystä, esimerkiksi jos ongelma on tällä välin ratkaistu tai korjattu ja rikkominen lakannut. On selvää, ettei tällaisessa tilanteessa valvontaviranomaisen toimenpiteisiin ryhtymisessä olisi mieltä.

49. Kuten Portugalin hallitus aivan oikein huomauttaa, korjaaviin toimenpiteisiin turvautuminen ei välttämättä ole myöskään enää perusteltua, jos rekisterinpitäjän tai henkilötietojen käsittelijän menettelyn moitittavuus on ilmeisen vähäistä tai jos tapauksen olosuhteet ovat itsessään lieventäviä, muun muassa siksi, että vastuu jakautuu jossain määrin kantelun tekijän kanssa. Tämä edellyttää sitä, että valvontaviranomaisella on mahdollisuus vahvistaa raja, jonka alittuessa toimenpiteisiin ryhtymistä ei pidetä yleisessä tietosuoja-asetuksessa tarkoitetulla tavalla ”tarpeellisena”.

50. Tässä yhteydessä haluan kiinnittää huomiota yleisen tietosuoja-asetuksen johdanto-osan 141 perustelukappaleeseen, jossa viitataan nimenomaisesti mahdollisuuteen, että valvontaviranomainen päättää olla ryhtymättä toimenpiteisiin tapauksissa, joissa se katsoo, että toimenpiteet eivät ole ”tarpeen” rekisteröidyn oikeuksien suojaamiseksi (”jos se ei ryhdy toimiin, jotka ovat tarpeen”) rekisteröidyn oikeuksien suojaamiseksi (kursivointi tässä). Tässä perustelukappaleessa täsmennetään, että valvontaviranomaisen päätös voidaan saattaa tuomioistuimen käsiteltäväksi myös tapauksessa, jossa kantelun tekijä ei yhdy valvontaviranomaisen arviointiin toimenpiteisiin ryhtymisen ”tarpeellisuudesta”, muiden siinä lueteltujen tapausten lisäksi, eli silloin jos hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele kantelua tai hylkää sen kokonaan tai osittain.

51. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa valvontaviranomaiselle annettu harkintavalta merkitsee sitä, että vähäiset tietoturvaloukkaukset on myös mahdollista korjata rekisterinpitäjän itsensä toteuttamilla muilla toimenpiteillä. Kuten käsiteltävän asian olosuhteet osoittavat, korjaavat toimenpiteet, jotka vastuulliset yritykset toteuttavat ”itsenäisesti”, voivat muodostua säännöksiä rikkoneisiin työntekijöihin kohdistuvien kurinpitotoimien toteuttamisesta. Tilanteessa, jossa vastuu rikkomisesta on myönnetty ja jossa on vakuutettu, ettei uusia tietoturvaloukkauksia tapahdu, valvontaviranomaisen määräämät korjaavat lisätoimenpiteet voivat vaikuttaa tarpeettomilta.

52. Joissakin tapauksissa korjaavien toimivaltuuksien käyttäminen rekisterinpitäjää vastaan voi toimia jopa vastoin tarkoitustaan, jos se ei ole asianmukaista eikä tarpeellista. Jos valvontaviranomaisen olisi pakko käyttää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja korjaavia toimivaltuuksia kaikissa tietoturvaloukkaustapauksissa, tämä johtaisi siihen, että tietosuojan kannalta enemmän huomiota edellyttävien muiden tapausten ja tehtävien seurantaan olisi käytettävissä vähemmän resursseja. Tästä syystä katson, että rekisterinpitäjän itsensä toteuttamiin ”itsenäisiin” toimenpiteisiin turvautuminen antaisi valvontaviranomaiselle mahdollisuuden keskittyä etusijalle asetettaviin vakaviin tapauksiin, ja samalla taattaisiin henkilötietojen tietoturvaloukkausten jatkuva torjunta mutta hajautetusti eli delegoimalla osa valvontaviranomaisen tehtävistä.

53. Jos valvontaviranomainen päättää olla toteuttamatta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja korjaavia toimenpiteitä ja suosii rekisterinpitäjän toteuttamia ”itsenäisiä” toimenpiteitä, mielestäni on kuitenkin välttämättä noudatettava tiettyjä oikeudellisia vaatimuksia. Ensinnäkin valvontaviranomaisen pitäisi antaa nimenomainen suostumuksensa tällaiselle toimenpiteelle, jotta vältetään yleisellä tietosuoja-asetuksella käyttöön otetun valvontajärjestelmän kiertäminen. Toiseksi tätä suostumusta pitäisi edeltää tilanteen perusteellinen tarkastelu yleisen tietosuoja-asetuksen johdanto-osan 129 perustelukappaleessa tarkoitettujen edellytysten valossa, jotta valvontaviranomainen ei vapautuisi vastuustaan varmistaa tämän asetuksen noudattaminen. Kolmanneksi ”itsenäisen” toimenpiteen toteuttavan yksikön kanssa tehdyssä sopimuksessa pitäisi määrätä valvontaviranomaisen oikeudesta ryhtyä toimenpiteisiin, jos sen ohjeita ei noudateta. Jos unionin tuomioistuin noudattaa tätä tulkintaa ja katsoo, että tällaiset ”itsenäiset” toimenpiteet ovat periaatteessa yleisen tietosuoja-asetuksen mukaisia, mielestäni unionin tuomioistuimen pitäisi myös korostaa tarvetta noudattaa edellä mainittuja vaatimuksia valvontajärjestelmän johdonmukaisuuden varmistamiseksi.

54. Koska yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa annetaan valvontaviranomaiselle harkintavaltaa sen valitessa yksittäistapauksessa ”tarkoituksenmukaisen” korjaavan toimenpiteen, on loogista sulkea pois kantelun tekijän oikeus vaatia tietyn toimenpiteen toteuttamista. Vaikka kantelun tekijällä on tässä menettelyssä tiettyjä oikeuksia valvontaviranomaiseen nähden, muun muassa oikeus saada kohtuullisessa ajassa tietoa tutkinnan etenemisestä ja tutkinnan tuloksista, näihin oikeuksiin ei kuitenkaan kuulu oikeus vaatia tietyn toimenpiteen toteuttamista.

55. Tällaista oikeutta ei voida myöskään päätellä siitä, että kantelun tekijällä on tämän asetuksen 78 artiklan nojalla oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan, sillä kantelumenettelyssä tämän viranomaisen tärkein velvollisuus kantelun tekijää kohtaan on perustella riittävän täsmällisesti ja yksityiskohtaisesti päätös siitä, ryhtyykö se asiassa toimenpiteisiin vai ei, kun otetaan huomioon valvontaviranomaisen tutkinnassa esitetyt toteamukset.

56. On myös huomattava, että yleisen tietosuoja-asetuksen 78 artiklan 2 kohdan mukaan oikeussuojakeinoja voidaan käyttää sillä perusteella, että toimivaltainen valvontaviranomainen ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa yleisen tietosuoja-asetuksen 77 artiklan nojalla tehdyn kantelun etenemisestä tai ratkaisusta. On kuitenkin todettava, ettei mikään mainituista perusteista viittaa siihen, että rekisteröidyllä olisi oikeussuojakeinon yhteydessä subjektiivinen oikeus vaatia tietyn toimenpiteen toteuttamista.

57. Sama koskee yleisen tietosuoja-asetuksen johdanto-osan 141 perustelukappaleessa tarkoitettua mahdollisuutta riitauttaa oikeussuojakeinolla valvontaviranomaisen arviointi siitä, onko rekisteröidyn oikeuksien suojaamiseksi ”tarpeen” ryhtyä toimenpiteisiin. Vaikka toimivaltainen tuomioistuin lopulta toteaisi, että tietyssä tapauksessa toimenpiteisiin ryhtyminen on ”tarpeen”, tämä ei välttämättä tarkoita, että valvontaviranomaisen pitäisi toteuttaa tietty toimenpide. Valvontaviranomaisella on pikemminkin velvollisuus käyttää harkintavaltaansa, tarvittaessa tämän tuomioistuimen suorittaman arvioinnin huomioon ottaen.

58. On kuitenkin syytä täsmentää, että on myös mahdollista, että valvontaviranomainen voi hallintoelimenä joutua toteuttamaan nimenomaan tietyn toimenpiteen käsiteltävän asian erityisten olosuhteiden vuoksi, esimerkiksi silloin, kun on vakava vaara rekisteröidyn perusoikeuksien loukkaamisesta. Viittasin juuri tähän tilanteeseen ratkaisuehdotuksessani SCHUFA.(23) Nyt käsiteltävä ennakkoratkaisupyyntö antaa näin ollen tilaisuuden jatkaa tämän aiheen tarkastelua.

59. Tältä osin on ensinnäkin palautettava mieleen asiassa C‑311/18 (Facebook Ireland ja Schrems) annettu tuomio, jossa unionin tuomioistuin viittasi siihen, että tällainen tilanne voi todella olla olemassa. Konkreettisemmin unionin tuomioistuin totesi, että valvontaviranomaisen on tarvittaessa toteutettava joitakin yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa luetelluista toimenpiteistä, erityisesti jos se katsoo, että unionin oikeudessa edellytettyä suojaa ei voida varmistaa muilla keinoilla. Näin ollen valvontaviranomaisen harkintavalta rajoittuu tässä suhteessa joihinkin tai mahdollisesti vain yhteen tässä säännöksessä tarkoitetuista toimenpiteistä.(24)

60. Kuten Itävallan hallitus perustellusti toteaa, voi olla lukuisia samankaltaisia tilanteita, jotka edellyttävät tietyn korjaavan toimenpiteen toteuttamista, kuten esimerkiksi silloin, kun valvontaviranomainen toteaa kantelumenettelyn yhteydessä tietojen poistamista koskevan velvollisuuden eikä rekisterinpitäjä ole vielä poistanut tietoja. Kuvatussa tilanteessa valvontaviranomaisen on joka tapauksessa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan g alakohdan mukaisesti määrättävä tietojen poistamisesta.

61. Edellisissä kohdissa mainitut esimerkit osoittavat, että yksittäistapauksen erityisten olosuhteiden perusteella ei voida sulkea pois mahdollisuutta, että unionin oikeuden mukainen tilanne voidaan saada palautettua vain toteuttamalla tietty korjaava toimenpide. Nähdäkseni erityisesti olosuhteissa, joissa muutoin olisi vaarana, että rekisteröidyn oikeuksia loukataan vakavasti, valvontaviranomaisen harkintavalta voitaisiin rajoittaa ainoastaan tarkoituksenmukaisen toimenpiteen toteuttamiseen rekisteröidyn oikeuksien suojaamiseksi.

62. Mikä tahansa muu tulkinta olisi mielestäni ristiriidassa sen kanssa, että jäsenvaltioiden viranomaisilla on velvollisuus varmistaa perusoikeuskirjan mukaisten perusoikeuksien kunnioittaminen silloin, kun ne soveltavat unionin oikeutta perusoikeuskirjan 51 artiklan 1 kohdan mukaisesti. Tämä velvollisuus koskee myös valvontaviranomaisia, kuten yleisen tietosuoja-asetuksen 58 artiklan 4 kohdasta ilmenee.(25) Tältä kannalta katsottuna on perusteltua kannattaa näkemystä, jonka mukaan unionin oikeudessa annetaan rekisteröidylle subjektiivinen oikeus vaatia, että viranomainen toteuttaa kyseessä olevan toimenpiteen. Korostan kuitenkin, että nähdäkseni nyt käsiteltävässä asiassa ei ole mitään viitteitä siitä, että edellytykset tällaiselle valvontaviranomaisen harkintavallan rajoittamiselle täyttyisivät.

63. Yhteenvetona on todettava, että valvontaviranomaisen, jolle on tehty kantelu yleisen tietosuoja-asetuksen 77 artiklan nojalla, on silloin, jos se toteaa rekisteröidyn oikeuksia loukatun, reagoitava asianmukaisesti todettujen ja jatkuvien puutteellisuuksien korjaamiseksi ja rekisteröidyn oikeuksien suojaamisen varmistamiseksi. Kun valvontaviranomainen ryhtyy tältä osin toimenpiteisiin, sen on valittava tämän asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimivaltuuksia käyttäessään tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen toimenpide. Tämä keinojen valintaan liittyvä harkintavalta on näin ollen rajattu, jos vaadittu suoja voidaan varmistaa vain tietyillä toimenpiteillä.

4. Valvontaviranomaisella ei ole velvollisuutta määrätä hallinnollisia seuraamusmaksuja kaikissa tapauksissa

64. Tämän valvontaviranomaisen korjaavia toimivaltuuksia koskevan yleisen esityksen jälkeen on syytä tutkia, onko valvontaviranomaisella velvollisuus määrätä hallinnollisia seuraamusmaksuja kaikissa tapauksissa. Vaikka joitakin tämän kysymyksen näkökohtia voidaan selventää edellä esitettyjen toteamusten perusteella, mielestäni muutama lisäselvitys on tarpeen. Vaikka unionin lainsäätäjä on sisällyttänyt hallinnolliset seuraamusmaksut yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuihin korjaaviin toimenpiteisiin, niillä on kuitenkin joitakin erityispiirteitä muihin toimenpiteisiin verrattuna. Tästä syystä tarkastelun tässä osassa keskitytään tämän asetuksen 58 artiklan 2 kohdan i alakohdassa ja 83 artiklassa tarkoitettuihin erityissäännöksiin.

65. Kuten unionin tuomioistuin on äskettäin todennut, hallinnollinen seuraamusmaksu on osa yleisellä tietosuoja-asetuksella käyttöön otettua seuraamusjärjestelmää, joka merkitsee rekisterinpitäjille ja henkilötietojen käsittelijöille kannustinta noudattaa kyseistä asetusta. Kun hallinnolliset seuraamusmaksut ovat varoittavia, niillä vahvistetaan osaltaan luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä ja ne muodostavat näin ollen keskeisen tekijän, jolla taataan luonnollisten henkilöiden oikeuksien noudattaminen, sen kyseisen asetuksen tarkoituksen mukaisesti, jona on varmistaa luonnollisten henkilöiden korkeatasoinen suojelu henkilötietojen käsittelyssä.(26)

66. Yleisen tietosuoja-asetuksen 83 artiklassa säädetään kaksitasoisesta järjestelmästä ja todetaan nimenomaisesti, että toiset rikkomiset ovat vakavampia kuin toiset. Ensimmäinen taso käsittää eri toimijoiden (rekisterinpitäjä, henkilötietojen käsittelijä, sertifiointielimet jne.) vastuualueita koskevien artiklojen rikkomiset. Toinen taso koskee tällä asetuksella suojattujen yksittäisten oikeuksien, kuten perusoikeuksien, käsittelyn perusperiaatteiden ja rekisteröityjen tiedonsaantioikeuksien loukkaukset ja siirtosääntöjen rikkomiset. Molemmilla tasoilla on tehtävä kaksi arviointia: ensinnäkin on päätettävä hallinnollisen seuraamusmaksun määräämisestä ja toiseksi päätettävä hallinnollisen seuraamusmaksun määrä. Molemmissa arvioinneissa valvontaviranomaisten on arvioitava kaikkia kyseisen asetuksen 83 artiklan 2 kohdassa lueteltuja yksittäisiä tekijöitä. Ensimmäisessä vaiheessa tehtyjä päätelmiä voidaan kuitenkin käyttää seuraamusmaksun määrää koskevassa toisessa vaiheessa, jotta toista arviointia tehtäessä ei tarvitse käyttää samoja kriteerejä.(27)

67. Näiden alustavien selitysten jälkeen tarkastelen jäljempänä kysymystä mahdollisesta velvollisuudesta määrätä hallinnollisia seuraamusmaksuja kaikissa tapauksissa. Aluksi on huomattava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdassa säädetään, että valvontaviranomainen voi määrätä hallinnollisen seuraamusmaksun ”kunkin yksittäisen tapauksen olosuhteista riippuen”. Tämä säännös on luettava yhdessä asetuksen 83 artiklan 2 kohdan kanssa, jossa ei ainoastaan säädetä samasta rajoituksesta tällaisen korjaavan toimenpiteen soveltamiseen vaan annetaan ymmärtää, että valvontaviranomainen voi myös olla määräämättä seuraamusmaksua (”kun päätetään hallinnollisen seuraamusmaksun määräämisestä”) (kursivointi tässä), jos tällainen lähestymistapa on asian olosuhteissa perusteltua. Tämä sanamuoto esiintyy – enemmän tai vähemmän samankaltaisena – muissa kieliversioissa.(28) Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan sanamuoto itsessään siis osoittaa, että hallinnollisen seuraamusmaksun määrääminen ei ole pakollista kaikissa tapauksissa.

68. Lisäksi on huomattava, että tässä säännöksessä valvontaviranomainen velvoitetaan ottamaan kussakin yksittäistapauksessa huomioon useita tekijöitä, kun se päättää hallinnollisen seuraamusmaksun määräämisestä. Kyse on lähinnä raskauttavista ja lieventävistä olosuhteista, jotka vaikuttavat valvontaviranomaisen päätökseen, kuten rikkomisen luonne, vakavuus ja kesto, mutta myös rekisterinpitäjän toimintaan liittyvistä olosuhteista, kuten siitä, onko rikkominen ollut tahallista tai tuottamuksellista.(29)

69. Tässä yhteydessä yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleen toinen ja kolmas virke ovat mielestäni merkityksellisiä asetuksen 83 artiklan 2 kohtaa tulkittaessa, koska niissä annetaan ohjeita päätöksenteossa huomioon otettavista seikoista. Tässä perustelukappaleessa otetaan käyttöön vähäisen rikkomisen käsite, ja sillä on merkittäviä seurauksia valvontaviranomaisen hallintokäytännölle.(30) Siinä todetaan muun muassa, että ”jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus” (kursivointi tässä).

70. Mielestäni tästä toteamuksesta voidaan päätellä, että unionin lainsäätäjä oli tietoinen siitä, että hallinnollinen seuraamusmaksu on erityisen ankara korjaava toimenpide, johon ei pidä turvautua kaikissa tapauksissa, sillä muutoin sen tehokkuus voisi heikentyä, vaan ainoastaan yksittäistapauksen olosuhteiden sitä edellyttäessä. Yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa viitataan suhteellisuusperiaatteeseen, jota valvontaviranomaisten on noudatettava, kun ne soveltavat tätä asetusta seuraamusten, myös hallinnollisten seuraamusmaksujen, erityisessä asiayhteydessä. Kuten olen jo todennut tarkastelussani, tämä periaate näkyy kyseisen asetuksen johdanto-osan 129 perustelukappaleessa, joka koskee korjaavien toimenpiteiden toteuttamista yleensä.(31) Seuraamusjärjestelmä, jonka lainsäätäjä on tarkoittanut säätää, on siis joustava ja eriytetty.(32)

71. Kyseisen 83 artiklan 2 kohdan, luettuna yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleen valossa, tulkinnasta ilmenee, että silloinkin, kun valvontaviranomainen toteaa rikkomisen, se voi tässä säännöksessä tarkoitettujen kriteerien arvioinnin perusteella esimerkiksi katsoa, että rikkominen ei tapauksen konkreettisissa olosuhteissa muodosta huomattavaa riskiä rekisteröityjen oikeuksille eikä vaikuta kyseisen velvollisuuden keskeiseen sisältöön. Tällaisissa tapauksissa seuraamusmaksu voidaan toisinaan – mutta ei aina – korvata huomautuksella.(33)

72. On kuitenkin täsmennettävä, että tässä 148 perustelukappaleessa ei velvoiteta valvontaviranomaista omasta aloitteestaan korvaamaan seuraamusmaksua huomautuksella, jos kyse on vähäisestä rikkomisesta, vaan annetaan sille mahdollisuus tehdä niin kaikkien kyseessä olevan tapauksen olosuhteiden konkreettisen arvioinnin perusteella. Kyseisestä 148 perustelukappaleesta ilmenee, että valvontaviranomainen voi jättää seuraamusmaksun määräämättä, vaikka tällaiseen korjaavaan toimenpiteeseen turvautuminen on lähtökohtaisesti tarpeen sen suorittaman arvioinnin perusteella, jos seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle.(34)

73. Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitetut kunkin yksittäisen tapauksen olosuhteet ratkaisevat siten viime kädessä, onko seuraamusmaksu määrättävä, ja jos on, mikä on sen suuruus. Kaikki nämä seikat tukevat näkemystäni siitä, että tämä päätös on viime kädessä valvontaviranomaisen harkintavaltaan kuuluva päätös.(35) Valvontaviranomaisen on käytettävä sille annettua harkintavaltaa huolellisesti ja yleisen tietosuoja-asetuksen vaatimusten mukaisesti. Tämän harkintavallan rajat perustuvat unionin oikeuden yleisiin periaatteisiin ja jäsenvaltioiden lainsäädäntöön, muun muassa yhdenvertaisen kohtelun periaatteeseen. Tämän vuoksi on tarpeen kehittää seuraamusmaksujen määräämistä koskeva hallintokäytäntö, jossa samankaltaisia tapauksia kohdellaan toisiinsa rinnastettavalla tavalla.

74. Haluan myös tuoda esille, että tilanteessa, jossa määrätään kumulatiivisesti rikosoikeudellisia rahamääräisiä seuraamuksia, on jopa vaarana, että ne bis in idem ‑periaatetta, sellaisena kuin unionin tuomioistuin on sitä tulkinnut, loukataan, kuten yleisen tietosuoja-asetuksen johdanto-osan 149 perustelukappaleesta ilmenee. Tämä periaate on perusoikeus, jota suojataan perusoikeuskirjan 50 artiklalla ja jota voidaan rajoittaa vain perusoikeuskirjan 52 artiklassa tarkoitetuin tiukoin edellytyksin. Toisin sanoen myös oikeudelliset esteet voivat olla esteenä hallinnollisten seuraamusmaksujen määräämiselle.

5. Valvontaviranomaisella ei ole velvollisuutta määrätä hallinnollisia seuraamusmaksuja kantelun tekijän sitä nimenomaisesti vaatiessa

75. Viimeinen tarkasteltava seikka koskee sitä, onko valvontaviranomaisella velvollisuus määrätä hallinnollisia seuraamusmaksuja kantelun tekijän sitä nimenomaisesti vaatiessa. Kuten toin esille ennakkoratkaisupyynnön tutkittavaksi ottamisen edellytyksiä tarkastellessani, asiakirja-aineistosta ilmenee, että TR on vaatinut HBDI:tä ryhtymään toimenpiteisiin Sparkassea vastaan ja määräämään sille hallinnollisen seuraamusmaksun. Vaatimuksensa tueksi TR on tehnyt laskelmia määrättävän seuraamusmaksun suuruuden määrittämiseksi.(36) Tämä vaatimus perustuu ilmeisesti näkemykseen, jonka mukaan kantelun tekijällä olisi subjektiivinen oikeus vaatia valvontaviranomaiselta tietyn toimenpiteen toteuttamista. Kuten selitän jäljempänä, katson kuitenkin, ettei tällä näkemyksellä ole oikeusperustaa.

76. Ensinnäkin tarkasteluni on osoittanut, että valvontaviranomaisella on harkintavaltaa valita kussakin yksittäistapauksessa tarkoituksenmukainen toimenpide. Valvontaviranomaisella säilyy tämä harkintavalta, elleivät erityiset olosuhteet, kuten henkilötietojen tietoturvaloukkauksen vakavuus tai jatkuva vaikutus – joista ei näytä olevan kyse tässä tapauksessa –, johda sen rajoittamiseen. Kun otetaan huomioon, että hallinnolliset seuraamusmaksut kuuluvat niihin korjaaviin toimenpiteisiin, joita valvontaviranomainen voi toteuttaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan nojalla, on loogista päätellä, että tämä harkintavalta ulottuu myös niihin. Tästä seuraa, ettei valvontaviranomaisella ole velvollisuutta ryhtyä toimenpiteisiin kantelun tekijän edun mukaisesti toteuttamalla tietty korjaava toimenpide.

77. Vaikka kyseessä olevan asian olosuhteet olisivatkin niin erilaiset, että olisi perusteltua toteuttaa jokin tietty korjaava toimenpide, mielestäni ei voitaisi perustellusti väittää, että hallinnollisen seuraamusmaksun määrääminen olisi tarpeellista. Katson Itävallan hallituksen tavoin, että huomioon on otettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa lueteltujen eri korjaavien toimenpiteiden ja erityisesti hallinnollisen seuraamusmaksun tavoitteet. Nähdäkseni seuraamusmaksun oikeudellinen luonne on esteenä sille, että rekisteröidyllä voitaisiin katsoa olevan edellä tarkoitettu subjektiivinen oikeus, sillä yksi tämän toimenpiteen tavoitteista on seuraamuksen määrääminen unionin oikeuden vastaiseksi katsotusta toiminnasta. Katson, että koska hallinnollisella seuraamusmaksulla on ainakin joissakin tilanteissa rangaistustarkoitus(37) ja koska se voi olla hyvinkin ankara, sitä voidaan pitää rikosoikeudellisena seuraamuksena.(38) On kuitenkin muistettava, että rangaistusvalta (ius puniendi) kuuluu yksinomaan valtiolle ja sen elimille.

78. Tässä yhteydessä on huomattava, että yleisen tietosuoja-asetuksen 83 artiklan 1 kohdassa edellytetään muun muassa, että seuraamusmaksujen määrääminen on kussakin yksittäisessä tapauksessa ”tehokasta, oikeasuhteista ja varoittavaa”. Arviointi siitä, täyttääkö suunniteltu seuraamusmaksu nämä edellytykset tietyssä tapauksessa, kuuluu valvontaviranomaiselle, joka toimii omalla vastuullaan. Sen on ratkaistava, onko tietyssä yksittäistapauksessa turvauduttava hallinnollisen seuraamusmaksun määräämiseen. Tässä tarkoituksessa unionin lainsäätäjä on antanut sen sovellettavaksi yksityiskohtaiset oikeussäännöt. Yleisen tietosuoja-asetuksen 83 artiklassa vahvistetaan seuraamusmaksujen määräämistä koskevat yleiset edellytykset, joita on täydennetty tietosuojaneuvoston tämän asetuksen 70 artiklan 1 kohdan k alakohdan mukaisesti laatimilla yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevilla suuntaviivoilla. On syytä panna merkille, ettei minkään näiden sääntöjen ja suuntaviivojen perusteella voida päätellä, että kantelun tekijällä, jonka oikeuksia on loukattu, olisi erityinen oikeudellinen asema, jonka perusteella hän voisi vaatia valvontaviranomaista määräämään oikeudenloukkaajalle hallinnollisen seuraamusmaksun.

79. Jotkin yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitetuista kriteereistä – kuten aiheutuneen vahingon suuruus – viittaavat kylläkin siihen, että valvontaviranomaisen on päätöstä tehdessään otettava huomioon myös rekisteröidyn tilanne. Nämä kriteerit eivät kuitenkaan yksinään ole riittävä osoitus subjektiivisesta oikeudesta vaatia seuraamusmaksun määräämistä. Kuten tämän säännöksen, luettuna yhdessä tämän asetuksen johdanto-osan 75 perustelukappaleen kanssa, tulkinnasta ilmenee, kyseisten kriteerien tarkoituksena on antaa valvontaviranomaiselle hyödyllistä tietoa, jonka avulla se voi arvioida rikkomisen luonnetta, vakavuutta ja kestoa ja valita tarkoituksenmukaisen korjaavan toimenpiteen.(39) Näin ollen valvontaviranomainen voi kussakin yksittäistapauksessa harkita erilaisia korjaavia toimenpiteitä – eikä pelkästään hallinnollista seuraamusmaksua – ilman, että rekisteröity voisi vaatia tietyn toimenpiteen toteuttamista. On yksin valvontaviranomaisen tehtävänä päättää, onko jokin toimenpide toteutettava sääntöjenmukaisuuden palauttamiseksi tai sääntöjenvastaisesta toiminnasta rankaisemiseksi.

80. Myöskään siitä, että unionin lainsäätäjä on määritellyt valvontaviranomaisen tehtävän yleisellä tietosuoja-asetuksella käyttöön otetussa seuraamusmaksujen järjestelmässä komission kilpailuoikeuden alalla käyttämän toimivallan pohjalta, ei voida tehdä toisenlaista johtopäätöstä.(40) Tässä yhteydessä on muistettava, että komission toimivalta määrätä sakkoja yrityksille, jotka rikkovat kilpailusääntöjä SEUT 101 ja SEUT 102 artiklassa tarkoitetulla tavalla, on yksi niistä komissiolle annetuista keinoista, joiden avulla sen on mahdollista täyttää sille unionin oikeudessa annettu valvontatehtävä.(41) On kuitenkin huomattava, että komissiolla on harkintavaltaa, jonka käyttämistä rajoittaa ainoastaan se, että sen on otettava huomioon unionin oikeuden yleiset periaatteet, mukaan lukien suhteellisuusperiaate ja yhdenvertaisen kohtelun periaate.(42) On myös huomattava, että kilpailusääntöjen täytäntöönpanosta annetun asetuksen (EY) N:o 1/2003(43) 23 artiklassa ei anneta kantelijoille tai kolmansille osapuolille, joiden etua komission aloittamassa hallintomenettelyssä tehty päätös saattaa koskea, oikeutta vaatia sakkojen määräämistä,(44) sillä komission on tämän asetuksen 27 artiklan nojalla pelkästään hyväksyttävä näiden esittämät mahdolliset pyynnöt tulla kuulluiksi ennen seuraamuksen määräämistä.

81. Edellä esitetyn perusteella katson, että unionin oikeuden nykyisessä kehitysvaiheessa ei ole mahdollista päätellä, että kantelun tekijällä, jonka oikeuksia on loukattu, olisi subjektiivinen oikeus vaatia hallinnollisen seuraamusmaksun määräämistä. Tämä ei kuitenkaan vaikuta mahdollisuuteen ehdottaa tällaista korjaavaa toimenpidettä ja esittää perusteluja ja näyttöä näkemyksensä tueksi. Lopullinen päätös kuuluu kuitenkin valvontaviranomaisen harkintavaltaan.

D Yhteenveto ennakkoratkaisukysymyksen tarkastelusta

82. Edellä esitetystä tarkastelusta ilmenee, että valvontaviranomaisen on ryhdyttävä toimenpiteisiin, jos se kantelua tutkiessaan toteaa henkilötietojen tietoturvaloukkauksen. Sen on erityisesti määritettävä kaikkein asianmukaisin korjaava toimenpide tai korjaavat toimenpiteet tietoturvaloukkaukseen puuttumiseksi ja rekisteröidyn oikeuksien kunnioittamisen varmistamiseksi. Yleisessä tietosuoja-asetuksessa edellytetään, että nämä toimenpiteet ovat tarkoituksenmukaisia, tarpeellisia ja oikeasuhteisia, samalla kun valvontaviranomaiselle jätetään tiettyä harkintavaltaa. Valvontaviranomainen voi tietyin edellytyksin luopua tämän asetuksen 58 artiklan 2 kohdassa tarkoitetuista toimenpiteistä rekisterinpitäjän itsensä toteuttamien ”itsenäisten” toimenpiteiden hyväksi. Rekisteröidyllä ei missään tapauksessa ole oikeutta vaatia tietyn toimenpiteen toteuttamista. Näitä periaatteita sovelletaan myös hallinnollisten seuraamusmaksujen järjestelmään.

VI Ratkaisuehdotus

83. Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Verwaltungsgericht Wiesbadenin esittämään ennakkoratkaisukysymykseen seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 57 artiklan 1 kohdan a ja f alakohtaa, 58 artiklan 2 kohdan a–j alakohtaa ja 77 artiklan 1 kohtaa

on tulkittava siten, että

jos valvontaviranomainen toteaa, että tietojenkäsittely loukkaa rekisteröidyn oikeuksia, se on velvollinen ryhtymään asetuksen 2016/679 58 artiklan 2 kohdassa tarkoitettuihin toimenpiteisiin siinä määrin kuin se on tarpeen tämän asetuksen täysimääräisen noudattamisen varmistamiseksi. Sen on valittava kunkin tapauksen konkreettiset olosuhteet huomioon ottaen tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen keino erityisesti tietoturvaloukkaukseen puuttumiseksi ja rekisteröidyn oikeuksien kunnioittamisen varmistamiseksi.

1 Alkuperäinen kieli: ranska.

2 EUVL 2016, L 119, s. 1.

3 Ratkaisuehdotus SCHUFA Holding (Jäännösveloista vapauttaminen) (C‑26/22 ja C‑64/22, EU:C:2023:222).

4 Ks. tuomio 10.12.2020, J & S Service (C‑620/19, EU:C:2020:1011, 31 kohta oikeuskäytäntöviittauksineen).

5 Ks. tuomio 14.7.2022, Sense Visuele Communicatie en Handel vof (C‑36/21, EU:C:2022:556, 22 kohta oikeuskäytäntöviittauksineen).

6 Tuomio 7.12.2023, SCHUFA Holding (Jäännösveloista vapauttaminen) (C‑26/22 ja C‑64/22, EU:C:2023:958; jäljempänä tuomio SCHUFA).

7 Ks. tämän ratkaisuehdotuksen 35–39 kohta.

8 Ks. tämän ratkaisuehdotuksen 40 kohta ja sitä seuraavat kohdat.

9 Tuomio SCHUFA (55 kohta).

10 Tuomio SCHUFA (56 kohta).

11 Tuomio SCHUFA (56 ja 57 kohta).

12 Tuomio SCHUFA (58 kohta).

13 Tuomio SCHUFA (70 kohta).

14 Ks. 29 artiklan mukaisen tietosuojatyöryhmän 3.10.2017 antamat [yleisessä tietosuoja-asetuksessa] tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (jäljempänä yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevat suuntaviivat), s. 5. Tämä työryhmä on sittemmin korvattu Euroopan tietosuojaneuvostolla. Sen suuntaviivat ovat kuitenkin edelleen voimassa.

15 Ks. vastaavasti Chamberlain, J./Reichel, J., ”The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, Mississippi law journal, 2020, osa 89(4), s. 686, jossa tukeudutaan edellä mainittuihin suuntaviivoihin.

16 Hijmans, H., ”Article 57. Tasks”, Kuner, C., Bygrave, L. A. Docksey, C., (toim.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, s. 934.

17 Ks. vastaavasti Härting, N., Flisek, C., Thiess, L., DSGVO: ”Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, Computer und Recht, 5/2018, s. 299.

18 Ks. ratkaisuehdotukseni SCHUFA, 41 kohta ja sitä seuraavat kohdat.

19 Ks. espanjankielinen versio (”dispondrá de – – los – – poderes correctivos”), tanskankielinen versio (”har – – korrigerende beføjelser”), saksankielinen versio (”verfügt über – – Abhilfebefugnisse, die es ihr gestatten”), vironkielinen versio (”on – – parandusvolitused”), englanninkielinen versio (”shall have – – corrective powers”), italiankielinen versio (”ha – – i poteri correttivi”), hollanninkielinen versio (”heeft – – bevoegdheden tot het nemen van corrigerende maatregelen”), puolankielinen versio (”przysługują – – uprawnienia naprawcze”), portugalinkielinen versio (”dispõe dos – – poderes de correção”) ja ruotsinkielinen versio (”ska ha – – korrigerande befogenheter”).

20 Ks. vastaavasti Härting, N., Flisek, C., Thiess, L., DSGVO: ”Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, Computer und Recht, 5/2018, s. 299.

21 Ks. tuomio SCHUFA (57 kohta) ja tuomio 16.7.2020, Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559, 111 kohta). Kursivointi tässä.

22 Tuomio 16.7.2020, Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559, 112 kohta). Kursivointi tässä.

23 Ks. kyseisen ratkaisuehdotuksen 42 kohta.

24 Tuomio 16.7.2020, Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559, 113 kohta). Unionin tuomioistuin totesi, että valvontaviranomaisen on yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f ja j alakohdan nojalla keskeytettävä tai kiellettävä henkilötietojen siirto kolmanteen maahan, jos se katsoo tämän siirron kaikkien olosuhteiden valossa, että tietosuojaa koskevia vakiolausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa edellytettyä siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.

25 Ks. vastaavasti Georgieva, L./Schmidl, M., ”Article 58. Powers”, Kuner, C., Bygrave, L. A., Docksey, C. (toim.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, s. 945.

26 Ks. tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 78 kohta).

27 Ks. yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevat suuntaviivat, s. 9.

28 Ks. espanjankielinen versio (”Al decidir la imposición”), tanskankielinen versio (”Når der træffes afgørelse om, hvorvidt der skal pålægges”), saksankielinen versio (”Bei der Entscheidung über die Verhängung”), vironkielinen versio (”Otsustades igal konkreetsel juhul”), englanninkielinen versio (”When deciding whether to impose”), italiankielinen versio (”Al momento di decidere se infliggere”), hollanninkielinen versio (”Bij het besluit over de vraag of – – wordt opgelegd”), puolankielinen versio (” Decydując, czy nałożyć”), portugalinkielinen versio (”Ao decidir sobre a aplicação”) ja ruotsinkielinen versio (”Vid beslut om huruvida – – ska påföras”).

29 Ks. tästä tuomio 5.12.2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, 61 kohta ja sitä seuraavat kohdat).

30 Tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, 76 kohta).

31 Ks. tämän ratkaisuehdotuksen 45 kohta.

32 Ks. julkisasiamies Emilioun ratkaisuehdotus Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, 78 kohta), jossa hän selittää, että unionin lainsäätäjä ei yleistä tietosuoja-asetusta antaessaan tarkoittanut, että jokaisesta tietosuojasääntöjen rikkomisesta on määrättävä hallinnollinen seuraamusmaksu.

33 Ks. yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevat suuntaviivat, s. 9.

34 Ks. yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevat suuntaviivat, s. 9.

35 Holländer, C., Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), 46. painos, München 2017, yleisen tietosuoja-asetuksen 83 artikla, 22 kohta; Frenzel, E. Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3. painos, München 2021, yleisen tietosuoja-asetuksen 83 artikla, 8–12 kohta, joissa selitetään, että valvontaviranomaisella on harkintavaltaa ja ettei se siten ole velvollinen määräämään hallinnollista seuraamusmaksua kaikissa tapauksissa.

36 Ks. tämän ratkaisuehdotuksen 30 kohta.

37 Yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevissa suuntaviivoissa, s. 6, todetaan, että hallinnolliset seuraamusmaksut ovat ”korjaavia toimenpiteitä”, joiden tavoitteena voi olla ”sääntöjenmukaisuuden palauttaminen tai sääntöjenvastaisesta toiminnasta rankaiseminen (tai molemmat)” (kursivointi tässä).

38 Muistutan, että seuraamusten rikosoikeudellisen luonteen arvioimisessa kolmella kriteerillä on merkitystä: ensimmäinen kriteereistä koskee rikkomisen oikeudellista luonnehdintaa kansallisessa oikeudessa, toinen rikkomisen luonnetta ja kolmas sen seuraamuksen ankaruutta, joka tekijälle voidaan määrätä (ks. tuomio 5.6.2012, Bonda, C‑489/10, EU:C:2012:319, 37 kohta ja tuomio 2.2.2021, Consob, C‑481/19, EU:C:2021:84, 42 kohta); ks. myös Euroopan ihmisoikeustuomioistuimen tuomio 8.6.1976, Engel ym. v. Alankomaat, CE:ECHR:1976:0608JUD000510071, 82 kohta). Seuraamusmaksun rikosoikeudellisena pitäminen ei edellytä, että kaikki nämä kriteerit täyttyvät (ks. tästä julkisasiamies Botin ratkaisuehdotus ThyssenKrupp Nirosta v. komissio (C‑352/09 P, EU:C:2010:635, 50 kohta oikeuskäytäntöviittauksineen).

39 Ks. yleisessä tietosuoja-asetuksessa tarkoitettujen hallinnollisten seuraamusmaksujen soveltamista ja määräämistä koskevat suuntaviivat, s. 11, josta ilmenee, että vahingon määrä pitäisi ottaa huomioon ”korjaavaa toimenpidettä valittaessa”, mikä ei sulje pois muiden korjaavien toimenpiteiden kuin hallinnollisten seuraamusmaksujen määräämistä. Toisaalta suuntaviivoissa todetaan, että ”[seuraamusmaksun] määrääminen ei ole riippuvainen siitä, kykeneekö valvontaviranomainen vahvistamaan syy-yhteyden rikkomisen ja aineellisen menetyksen välillä”. Tästä seuraa, että päätös hallinnollisen seuraamusmaksun määräämisestä riippuu kustakin yksittäistapauksesta eikä pelkästään vahingon aiheutumisesta.

40 Ks. tästä julkisasiamies Emilioun ratkaisuehdotus Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, 84 kohta), jossa kiinnitetään huomiota näiden kahden järjestelmän samankaltaisuuksiin. Ks. myös tuomio 5.12.2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, 55 kohta ja sitä seuraavat kohdat).

41 Ks. vastaavasti tuomio 11.6.2009, X (C‑429/07, EU:C:2009:359, 35 kohta oikeuskäytäntöviittauksineen).

42 Julkisasiamies Kokottin ratkaisuehdotus Alliance One International ja Standard Commercial Tobacco v. komissio ja komissio v. Alliance One International ym. (C‑628/10 P ja C‑14/11 P, EU:C:2012:11, 48 kohta oikeuskäytäntöviittauksineen).

43 Perustamissopimuksen 81 ja 82 artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16.12.2002 annettu neuvoston asetus (EUVL 2003, L 1, s. 1).

44 Ks. vastaavasti Wils W., ”Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission”, Concurrence, nro 2-2022, s. 50.