UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
5 päivänä kesäkuuta 2018 (*)
Ennakkoratkaisupyyntö – Direktiivi 95/46/EY – Henkilötiedot – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Määräys, joka koskee sellaisen Facebook-sivun (fan page) poistamista käytöstä, joka mahdollistaa kyseisellä sivulla kävijöihin liittyvien tiettyjen tietojen keräämisen ja käsittelyn – 2 artiklan d alakohta – Henkilötietojen käsittelystä vastuussa oleva taho – 4 artikla – Sovellettava kansallinen oikeus – 28 artikla – Kansalliset valvontaviranomaiset – Mainittujen viranomaisten toimintavaltuudet
Asiassa C‑210/16,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Bundesverwaltungsgericht (liittovaltion ylin hallintotuomioistuin, Saksa) on esittänyt 25.2.2016 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 14.4.2016, saadakseen ennakkoratkaisun asiassa
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
vastaan
Wirtschaftsakademie Schleswig-Holstein GmbH,
Facebook Ireland Ltd:n ja
Vertreter des Bundesinteresses beim Bundesverwaltungsgerichtin
osallistuessa asian käsittelyyn,
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti A. Tizzano (esittelevä tuomari), jaostojen puheenjohtajat M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský ja E. Levits sekä tuomarit E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras ja E. Regan,
julkisasiamies: Y. Bot,
kirjaaja: hallintovirkamies C. Strömholm,
ottaen huomioon kirjallisessa käsittelyssä ja 27.6.2017 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, edustajinaan U. Karpenstein ja M. Kottmann, Rechtsanwälte,
– Wirtschaftsakademie Schleswig-Holstein GmbH, edustajanaan C. Wolff, Rechtsanwalt,
– Facebook Ireland Ltd, edustajinaan C. Eggers, H.-G. Kamann ja M. Braun, Rechtsanwälte, sekä I. Perego, avvocato,
– Saksan hallitus, asiamiehenään J. Möller,
– Belgian hallitus, asiamiehinään L. Van den Broeck, C. Pochet, P. Cottin ja J.-C. Halleux,
– Tšekin hallitus, asiamiehinään M. Smolek, J. Vláčil ja L. Březinová,
– Irlanti, edustajinaan M. Browne, L. Williams, E. Creedon, G. Gilmore ja A. Joyce,
– Italian hallitus, asiamiehenään G. Palmieri, avustajanaan P. Gentili, avvocato dello Stato,
– Alankomaiden hallitus, asiamiehinään C. S. Schillemans ja K. Bulterman,
– Suomen hallitus, asiamiehenään J. Heliskoski,
– Euroopan komissio, asiamiehinään H. Krämer ja D. Nardi,
kuultuaan julkisasiamiehen 24.10.2017 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig-Holsteinin itsenäinen alueellinen tietosuojaviranomainen, Saksa; jäljempänä ULD) ja Wirtschaftsakademie Schleswig-Holstein GmbH, joka on koulutusalaan erikoistunut yksityisoikeudellinen yhtiö (jäljempänä Wirtschaftsakademie), ja jossa on kyse ULD:n viimeksi mainitulle antaman sellaisen määräyksen lainmukaisuudesta, jolla Wirtschaftsakademie on määrätty poistamaan käytöstä fanisivunsa Facebook-nimisen verkkoyhteisön (jäljempänä Facebook) sivustolta.
Asiaa koskevat oikeussäännöt
Unionin oikeus
3 Direktiivin 95/46 johdanto-osan 10, 18, 19 ja 26 perustelukappaleessa todetaan seuraavaa:
”10) henkilötietojen käsittelyä koskevien kansallisten lainsäädäntöjen tavoitteena on taata perusoikeuksien ja ‑vapauksien kunnioittaminen, erityisesti yksityisyyttä koskevan oikeuden kunnioittaminen, joka tunnustetaan myös ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan yleissopimuksen 8 artiklassa ja [unionin] oikeuden yleisissä periaatteissa; tämän vuoksi lainsäädäntöjen lähentäminen ei saa johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen, vaan sillä on päinvastoin varmistettava tietosuojan korkea taso [unionissa],
– –
18) jotta yksilö ei jäisi vaille tämän direktiivin mukaisesti taattavaa tietosuojaa, kaiken [unionissa] tapahtuvan henkilötietojen käsittelyn on tapahduttava jonkin jäsenvaltion lainsäädännön mukaisesti; näin ollen tietyssä maassa toimivan rekisterinpitäjän vastuulla oleva tietojenkäsittely olisi suoritettava kyseisen valtion lainsäädännön mukaisesti,
19) rekisterinpitäjän sijoittautuminen jonkin jäsenvaltion alueelle edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa; tässä suhteessa ei oikeudellisella muodolla ole merkitystä, olkoon kyseessä sitten pelkkä sivuliike tai tytäryhtiö, jolla on oikeushenkilöllisyys; jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, erityisesti tytäryhtiönsä kautta, kyseisen rekisterinpitäjän on mahdollisten väärinkäytösten estämiseksi varmistettava, että kaikki yritykset täyttävät niiden toimintaan sovellettavan kansallisen oikeuden velvoitteet,
– –
26) tietosuojaa koskevia periaatteita on sovellettava kaikkiin tunnistettua tai tunnistettavissa olevaa henkilöä koskeviin tietoihin; sen määrittämiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen henkilön tunnistamiseksi käyttää; tietosuojaa koskevia periaatteita ei sovelleta tietoihin, jotka on tehty anonyymeiksi siten, ettei rekisteröity enää ole tunnistettavissa; – –”
4 Direktiivin 95/46 1 artiklassa, jonka otsikko on ”Direktiivin tavoite”, säädetään seuraavaa:
”1. Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.
2. Jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan.”
5 Direktiivin 2 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”Tässä direktiivissä tarkoitetaan
– –
b) ’henkilötietojen käsittelyllä’ (’käsittely’) kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen,
– –
d) ’rekisterinpitäjällä’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot; jos käsittelyn tarkoitus ja keinot määritellään kansallisilla tai [unionin] laeilla tai asetuksilla, rekisterinpitäjä tai erityiset perusteet rekisterinpitäjän nimeämiseksi voidaan vahvistaa kansallisten tai [unionin] säännösten mukaisesti,
e) ’henkilötietojen käsittelijällä’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
f) ’sivullisella’ luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää,
– –”
6 Mainitun direktiivin 4 artiklan, jonka otsikko on ”Sovellettava kansallinen oikeus”, 1 kohdassa säädetään seuraavaa:
”Kunkin jäsenvaltion on sovellettava henkilötietojen käsittelyyn kansallisia säännöksiä, jotka se antaa tämän direktiivin mukaisesti, jos
a) käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä; jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita,
b) rekisterinpitäjä ei ole sijoittautunut kyseisen jäsenvaltion alueelle, vaan paikkaan, jossa jäsenvaltion kansallista lakia sovelletaan kansainvälisen julkisoikeuden nojalla,
c) rekisterinpitäjä ei ole sijoittautunut [unionin] alueelle, mutta käyttää henkilötietojen käsittelyssä automatisoituja tai muunlaisia välineitä, jotka sijaitsevat kyseisen jäsenvaltion alueella, paitsi jos näitä välineitä käytetään ainoastaan tiedonsiirtoon [unionin] alueen kautta.”
7 Direktiivin 95/46 17 artiklan, jonka otsikko on ”Käsittelyn turvallisuus”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta, erityisesti jos käsittely muodostuu tietojen siirtämisestä verkossa, sekä kaikelta muulta laittomalta käsittelyltä.
Ottaen huomioon kehityksen taso ja toimenpiteiden kustannukset on taattava asianmukainen turvallisuuden taso suhteessa käsittelyn riskeihin ja suojattavien tietojen luonteeseen.
2. Jäsenvaltioiden on säädettävä, että jos käsittely suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet käsittelyyn liittyvistä teknisistä ja organisatorisista turvatoimista, ja huolehdittava siitä, että nämä toimet toteutetaan.”
8 Kyseisen direktiivin 24 artiklassa, jonka otsikko on ”Sanktiot”, säädetään seuraavaa:
”Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet tämän direktiivin säännösten täydellisen soveltamisen varmistamiseksi ja määriteltävä erityisesti sanktiot, joita sovelletaan tämän direktiivin mukaisesti säädettyjen säännösten rikkomistapauksissa.”
9 Mainitun direktiivin 28 artiklassa, jonka otsikko on ”Valvontaviranomainen”, säädetään seuraavaa:
”1. Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden tämän direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen.
Näiden viranomaisten on hoidettava tehtäviään itsenäisesti.
2. Kunkin jäsenvaltion on säädettävä siitä, että valvontaviranomaisia kuullaan henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä koskevia lainsäädännöllisiä ja hallinnollisia toimenpiteitä suunniteltaessa.
3. Kullakin valvontaviranomaisella on erityisesti oltava:
– tutkintavaltuudet, kuten valtuudet saada käsiteltäviä tietoja ja kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot,
– tehokkaat toimintavaltuudet, kuten esimerkiksi valtuudet 20 artiklan mukaisesti antaa lausuntoja ennen käsittelyn toteuttamista ja varmistaa näiden lausuntojen asianmukainen julkistaminen taikka valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta tai kieltää käsittely väliaikaisesti tai lopullisesti taikka valtuudet antaa rekisterinpitäjälle huomautus tai varoitus taikka valtuudet saattaa asioita käsiteltäväksi kansalliselle parlamentille tai muille poliittisille elimille,
– valtuudet olla asianosaisena oikeudenkäynnissä, jos tämän direktiivin mukaisesti toteutettuja kansallisia toimenpiteitä rikotaan, tai valtuudet saattaa nämä rikkomukset lainkäyttöviranomaisten tietoon.
Valvontaviranomaisen päätöksistä, jotka antavat aihetta valituksiin, voi valittaa tuomioistuimeen.
– –
6. Riippumatta kyseessä olevaan käsittelyyn sovellettavasta kansallisesta oikeudesta valvontaviranomainen on toimivaltainen käyttämään jäsenvaltionsa alueella valtuuksia, jotka sille kuuluvat 3 kohdan mukaisesti. Toisen jäsenvaltion viranomainen voi pyytää valvontaviranomaista käyttämään valtuuksiaan.
Valvontaviranomaisten on oltava yhteistyössä keskenään siinä määrin kuin on tarpeen tehtäviensä suorittamiseksi, erityisesti vaihtamalla hyödyllisiä tietoja.
– –”
Saksan oikeus
10 Saksan liittovaltion tietosuojalain (Bundesdatenschutzgesetz; jäljempänä BDSG), sellaisena kuin sitä sovelletaan pääasian tosiseikkoihin, 3 §:n 7 momentissa säädetään seuraavaa:
”Tietojen käsittelystä vastaavalla elimellä tarkoitetaan jokaista henkilöä tai elintä, joka kerää, käsittelee tai käyttää henkilötietoja omaan lukuunsa tai antaa tämän muiden tehtäväksi.”
11 BDSG:n 11 §:n otsikko on ”Henkilötietojen kerääminen, käsittely tai käyttö toisen henkilön lukuun”, ja siinä säädetään seuraavaa:
”(1) Jos henkilötietoja kerätään, käsitellään tai käytetään toisen henkilön lukuun, se, jonka lukuun tehtävä suoritetaan, on vastuussa tämän lain säännösten ja muiden tietosuojaa koskevien säännösten noudattamisesta. – –
(2) Henkilötietojen käsittelijä on valittava huolellisesti ja valinnassa on erityisesti kiinnitettävä huomiota sen toteuttamien teknisten ja organisatoristen toimenpiteiden asianmukaisuuteen. Henkilötietojen käsittelystä toisen lukuun on sovittava kirjallisesti, ja erityisesti on määritettävä yksityiskohtaisesti – –
Sen, jonka lukuun tehtävä suoritetaan, on varmistuttava siitä, että henkilötietojen käsittelijän toteuttamia teknisiä ja organisatorisia toimenpiteitä noudatetaan, ennen tietojenkäsittelyn aloittamista ja sen jälkeen säännöllisesti. Tulokset on tallennettava.
– –”
12 BDSG:n 38 §:n 5 momentissa säädetään seuraavaa:
”Tämän lain ja muiden tietosuojaa koskevien säännösten noudattamisen varmistamiseksi valvontaviranomainen voi määrätä toimenpiteitä henkilötietojen keräämisessä, käsittelyssä tai käytössä todettujen rikkomisten taikka teknisten tai organisatoristen puutteiden korjaamiseksi. Jos rikkomiset tai puutteet ovat vakavia, erityisesti silloin kun niistä aiheutuu erityinen persoonallisuusoikeuden loukkaamisen vaara, valvontaviranomainen voi kieltää tietojen keräämisen, käsittelyn tai käytön ja tiettyjen menetelmien käytön, jos rikkomisia tai puutteita ei ensimmäisessä virkkeessä tarkoitetun määräyksen vastaisesti ja uhkasakon asettamisesta huolimatta korjata ajoissa. Valvontaviranomainen voi vaatia tietosuojavastaavan erottamista, jos tällä ei ole tehtäviensä hoitamisen edellyttämää asiantuntemusta ja luotettavuutta.”
13 Sähköisistä tieto- ja viestintäpalveluista 26.2.2007 annetun lain (BGBl. 2007 I, s. 179; jäljempänä TMG) 12 §:ssä säädetään seuraavaa:
”(1) Palveluntarjoaja saa kerätä ja hyödyntää henkilötietoja sähköisten tieto- ja viestintäpalvelujen tarjoamiseksi vain, kun se on sallittu tässä laissa tai muussa nimenomaisesti sähköisiä tieto- ja viestintäpalveluja koskevassa säännöksessä tai kun käyttäjä on antanut siihen suostumuksensa.
– –
(3) Jollei toisin ole säädetty, sovelletaan kulloinkin voimassa olevia henkilötietojen suojaa koskevia säännöksiä myös silloin, kun tietoja ei käsitellä automaattisesti.”
Pääasia ja ennakkoratkaisukysymykset
14 Wirtschaftsakademie tarjoaa koulutuspalveluja verkkoyhteisöpalvelu Facebookissa olevan fanisivun kautta.
15 Fanisivut ovat käyttäjätilejä, joita yksityishenkilöt tai yritykset voivat perustaa Facebookiin. Tätä tarkoitusta varten fanisivun perustaja voi Facebookiin rekisteröidyttyään käyttää Facebookin luomaa alustaa esittäytyäkseen kyseisen verkkoyhteisön käyttäjille sekä fanisivulla vierailijoille ja esittää kaikentyyppisiä viestejä käyttäen sivua media- ja mielipidevaikuttamisen kanavana. Fanisivujen hallinnoijat voivat saada anonyymejä tilastotietoja, jotka koskevat kyseisillä sivuilla kävijöitä, Facebook Insight ‑välineellä, jonka Facebook antaa heidän käyttöönsä ilmaiseksi käyttöehdoilla, joita ei voi muuttaa. Nämä tiedot kerätään sellaisten tunnistetiedostojen (jäljempänä eväste) avulla, joista kukin sisältää ainutkertaisen käyttäjäkoodin, joka on voimassa kaksi vuotta ja jonka Facebook tallentaa fanisivulla kävijöiden tietokoneen kovalevylle tai mille hyvänsä muulle tallennusvälineelle. Käyttäjäkoodi, joka voidaan yhdistää Facebookin rekisteröityjen käyttäjien sisäänkirjautumistietoihin, noudetaan ja käsitellään, kun käyttäjä avaa fanisivuja. Tältä osin ennakkoratkaisupyynnöstä ilmenee, ettei Wirtschaftsakademie eikä Facebook Ireland Ltd ole ottanut esiin kyseisen evästeen tallentamista ja toimintaa eikä tietojen jatkokäsittelyä, ainakaan pääasiassa merkityksellisen ajanjakson kuluessa.
16 ULD määräsi direktiivin 95/46 28 artiklassa tarkoitettuna valvontaviranomaisena, jonka tehtävä on valvoa Saksan liittotasavallan kyseisen direktiivin nojalla antamien säännösten soveltamista Schleswig-Holsteinin osavaltiossa (Saksa), 3.11.2011 tekemässään päätöksessä (jäljempänä riidanalainen päätös) Wirtschaftsakademien BDSG:n 38 §:n 5 momentin ensimmäisen virkkeen nojalla poistamaan käytöstä Facebookiin osoitteeseen www.facebook.com/wirtschaftsakademie luomansa fanisivun uhkasakon uhalla, mikäli määräystä ei noudatettaisi asetetussa määräajassa, sillä perusteella, ettei Wirtschaftsakademie eikä Facebook kumpikaan ilmoittanut fanisivulla kävijöille, että viimeksi mainittu keräsi evästeiden avulla heitä koskevia henkilötietoja ja sen jälkeen käsitteli kyseisiä tietoja. Wirtschaftsakademie teki tästä päätöksestä oikaisuvaatimuksen ja väitti pääasiallisesti, ettei se ollut sovellettavan tietosuojalainsäädännön mukaan tietojenkäsittelystä vastaava elin sen enempää Facebookin suorittaman tietojenkäsittelyn osalta kuin tämän asettamien evästeiden osaltakaan.
17 ULD hylkäsi oikaisuvaatimuksen 16.12.2011 tekemällään päätöksellä, koska se katsoi, että Wirtschaftsakademien vastuu palveluntarjoajana oli näytetty toteen TMG:n 3 §:n 3 momentin 4 kohdan ja 12 §:n 1 momentin sekä BDSG:n 3 §:n 7 momentin mukaisesti. ULD toi esiin, että fanisivun perustamalla Wirtschaftsakademie osallistui aktiivisesti ja vapaaehtoisesti Facebookin harjoittamaan kyseisellä fanisivulla kävijöitä koskevien henkilötietojen keräämiseen, ja näistä tiedoista se hyötyi siten, että Facebook antoi sen käyttöön tilastotietoja.
18 Wirtschaftsakademie nosti tästä päätöksestä kanteen Verwaltungsgerichtissä (hallintotuomioistuin, Saksa) ja väitti, ettei sen voida katsoa olevan vastuussa Facebookin suorittamista tietojenkäsittelytoimista ja ettei se myöskään ole BDSG:n 11 §:ssä tarkoitetuin tavoin antanut Facebookin tehtäväksi suorittaa tietojenkäsittelyä, johon sillä olisi määräysvalta tai johon se pystyisi vaikuttamaan. Wirtschaftsakademie päätteli tästä, että ULD:n olisi pitänyt ryhtyä toimenpiteisiin suoraan Facebookia vastaan eikä tehdä riidanalaista päätöstä Wirtschaftsakademieta vastaan.
19 Verwaltungsgericht kumosi riidanalaisen päätöksen 9.10.2013 antamallaan tuomiolla ja totesi pääasiallisesti, ettei Facebookissa olevan fanisivun hallinnoija ole BDSG:n 3 §:n 7 momentissa tarkoitettu ”tietojenkäsittelystä vastaava elin” ja ettei Wirtschaftsakademie siten voinut olla BDSG:n 38 §:n 5 momentin nojalla toteutetun toimenpiteen adressaatti.
20 Oberverwaltungsgericht (osavaltion ylempi hallintotuomioistuin, Saksa) hylkäsi ULD:n tästä tuomiosta tekemän valituksen perusteettomana. Mainittu tuomioistuin katsoi pääasiallisesti, että riidanalaisessa päätöksessä asetettu tietojenkäsittelykielto oli lainvastainen, koska BDSG:n 38 §:n 5 momentin toisessa virkkeessä säädetään vaiheittaisesta prosessista, jonka ensimmäisessä vaiheessa saadaan toteuttaa vain toimenpiteitä, joilla on tarkoitus korjata tietojenkäsittelyssä todetut rikkomiset. Välitön tietojenkäsittelykielto on mahdollinen vain, jos tietojenkäsittelymenettely on kokonaisuudessaan lainvastainen ja jos rikkominen voidaan korjata vain keskeyttämällä menettely. Oberverwaltungsgerichtin mukaan näin ei kuitenkaan ole ollut tässä tapauksessa, koska Facebook pystyy lopettamaan rikkomiset, joita ULD väittää tapahtuvan.
21 Oberverwaltungsgericht lisäsi, että riidanalainen päätös on lainvastainen myös sen vuoksi, että BDSG:n 38 §:n 5 momentissa tarkoitettu määräys voidaan antaa vain BDSG:n 3 §:n 7 momentissa tarkoitetulle tietojenkäsittelystä vastaavalle elimelle, joka sen mukaan ei ole Wirtschaftsakademie, kun on kyse Facebookin keräämistä tiedoista. Nimittäin vain Facebook päättää sen mukaan Facebook Insight ‑toiminnon yhteydessä käytettyjen henkilötietojen keräämisen ja käsittelyn tarkoituksen ja keinot, ja Wirtschaftsakademie puolestaan saa vain tilastotietoja, jotka on tehty anonyymeiksi.
22 ULD teki Revision-valituksen Bundesverwaltungsgerichtille (liittovaltion ylin hallintotuomioistuin, Saksa) ja vetoaa siinä muiden perusteiden ohella siihen, että BDSG:n 38 §:n 5 momenttia on rikottu, ja tuo esiin useita toisen asteen tuomioistuimen ratkaisussa olevia menettelyvirheitä. Se katsoo, että rikkominen, johon Wirtschaftsakademie on syyllistynyt, johtuu siitä, että se on antanut internetsivun toteuttamisen, verkkoisännöinnin ja ylläpidon tähän tehtävään soveltumattoman palveluntarjoajan, eli tässä tapauksessa Facebook Irelandin, joka ei noudata tietosuojalainsäädäntöä, hoidettavaksi. Riidanalaisessa päätöksessä Wirtschaftsakademielle annettu määräys poistaa fanisivunsa käytöstä koski siis mainitun rikkomisen korjaamista, koska siinä kiellettiin Wirtschaftsakademieta jatkamasta Facebookin infrastruktuurin käyttämistä internetsivustonsa teknisenä perustana.
23 Bundesverwaltungsgericht katsoo Oberverwaltungsgerichtin tavoin, että Wirtschaftsakademien ei voida itse katsoa olevan BDSG:n 3 §:n 7 momentissa tai direktiivin 95/46 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä. Bundesverwaltungsgericht katsoo kuitenkin, että mainittua käsitettä on lähtökohtaisesti tulkittava laajasti, jotta oikeutta yksityisyyteen suojattaisiin tehokkaasti, kuten unionin tuomioistuin on todennut asiaa koskevassa viimeaikaisessa oikeuskäytännössään. Bundesverwaltungsgerichtillä on lisäksi nyt käsiteltävässä asiassa epäilyksiä ULD:n toimivallasta Facebook Germanyn suhteen, kun otetaan huomioon se, että unionin tasolla Facebook-konsernin sisällä henkilötietojen keräämisestä ja käsittelystä vastaava taho on Facebook Ireland. Lopuksi Bundesverwaltungsgericht pohtii sitä, mitä vaikutusta ULD:n toimintavaltuuksien käytön kannalta on sen valvontaviranomaisen, jonka valvontavallan alaisuuteen Facebook Ireland kuuluu, arviolla kyseisten henkilötietojen käsittelyn lainmukaisuudesta.
24 Bundesverwaltungsgericht päätti tässä tilanteessa lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko direktiivin [95/46] 2 artiklan d alakohtaa tulkittava siten, että sillä säännellään vastuuta tietosuojaloukkauksista lopullisesti ja tyhjentävästi, vai voidaanko [tämän direktiivin] 24 artiklassa tarkoitettujen ’tarvittavien toimenpiteiden’ ja 28 artiklan 3 kohdan toisessa luetelmakohdassa tarkoitettujen ’tehokkaiden toimintavaltuuksien’ yhteydessä katsoa, että monitasoisissa tietojen toimittajien suhteissa elimelle, joka ei ole [mainitun direktiivin] 2 artiklan d alakohdassa tarkoitettu rekisterinpitäjä, syntyy vastuu sen valitessa toimijaa, jota se käyttää tiedottamisessaan?
2) Onko siitä, että direktiivin [95/46] 17 artiklan 2 kohdassa jäsenvaltiot velvoitetaan säätämään rekisterinpitäjän lukuun suoritettavan tietojenkäsittelyn osalta, että rekisterinpitäjän ’on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet käsittelyyn liittyvistä teknisistä ja organisatorisista turvatoimista’, tehtävä vastakohtaispäätelmä, että muissa tietojen käyttöä koskevissa suhteissa, jotka eivät liity [tämän direktiivin] 2 artiklan e alakohdassa tarkoitettuun tietojenkäsittelyyn rekisterinpitäjän lukuun, ei ole mitään velvollisuutta tehdä huolellista valintaa eikä tällaista velvollisuutta voida perustaa myöskään kansalliseen oikeuteen?
3) Kun Euroopan unionin ulkopuolelle sijoittautuneella emoyhtiöllä on oikeudellisesti itsenäisiä toimipaikkoja (tytäryhtiöitä) eri jäsenvaltioissa, onko jäsenvaltion (käsiteltävässä asiassa Saksan) valvontaviranomaisella direktiivin [95/46] 4 artiklan ja 28 artiklan 6 kohdan nojalla toimivalta käyttää sille [tämän direktiivin] 28 artiklan 3 kohdan mukaisesti kuuluvia valtuuksia sen alueella sijaitsevaa toimipaikkaa kohtaan myös silloin, kun tämä toimipaikka vastaa vain tämän jäsenvaltion asukkaisiin kohdistettavasta mainospaikkojen myynninedistämisestä ja myynnistä ja muusta markkinointitoiminnasta, kun taas toiseen jäsenvaltioon (käsiteltävässä asiassa Irlantiin) sijoittautuneella itsenäisellä toimipaikalla (tytäryhtiöllä) on konsernin sisäisen tehtävienjaon mukaan yksinomainen vastuu henkilötietojen keräämisestä ja käsittelystä koko unionin alueella ja siten myös toisessa jäsenvaltiossa (käsiteltävässä asiassa Saksassa), mutta päätöksen tietojenkäsittelystä tekee tosiasiallisesti emoyhtiö?
4) Onko direktiivin [95/46] 4 artiklan 1 kohtaa ja 28 artiklan 3 kohtaa tulkittava siten, että kun rekisterinpitäjällä on toimipaikka jäsenvaltion (käsiteltävässä asiassa Irlannin) alueella ja toisen jäsenvaltion (käsiteltävässä asiassa Saksan) alueella on toinen, oikeudellisesti itsenäinen toimipaikka, joka vastaa muun muassa mainospaikkojen myynnistä ja jonka toiminta kohdistuu kyseisen valtion asukkaisiin, tässä toisessa jäsenvaltiossa (käsiteltävässä asiassa Saksassa) toimivaltainen valvontaviranomainen voi tietosuojalainsäädännön täytäntöön panemiseksi osoittaa toimenpiteitä ja määräyksiä myös toiselle (käsiteltävässä asiassa Saksassa sijaitsevalle) toimipaikalle, joka konsernin sisäisen tehtävien- ja vastuunjaon mukaan ei ole tietojenkäsittelystä vastaava rekisterinpitäjä, vai voiko toimenpiteitä ja määräyksiä osoittaa tällöin ainoastaan sen jäsenvaltion (käsiteltävässä asiassa Irlannin) valvontaviranomainen, jonka alueella on konsernin sisäisessä vastuussa olevan elimen kotipaikka?
5) Onko direktiivin [95/46] 4 artiklan 1 kohdan a alakohtaa ja 28 artiklan 3 ja 6 kohtaa tulkittava siten, että kun jäsenvaltion (käsiteltävässä asiassa Saksan) valvontaviranomainen ryhtyy [tämän direktiivin] 28 artiklan 3 kohdan nojalla toimenpiteisiin sen alueella toimintaa harjoittavaa henkilöä tai elintä kohtaan sen vuoksi, että tämä on valinnut tietojenkäsittelyprosessiin osallistuvan sivullisen (käsiteltävässä asiassa Facebookin) huolimattomasti, koska kyseinen sivullinen rikkoo tietosuojalainsäädäntöä, toimenpiteisiin ryhtyvää (käsiteltävässä asiassa Saksan) valvontaviranomaista sitoo sen toisen jäsenvaltion (käsiteltävässä asiassa Irlannin), jossa rekisterinpitäjänä toimivan sivullisen toimipaikka on, valvontaviranomaisen arviointi tietosuojalainsäädännöstä, jolloin ensin mainittu ei saa tehdä tästä poikkeavaa oikeudellista arviointia, vai saako toimenpiteisiin ryhtyvä (käsiteltävässä asiassa Saksan) valvontaviranomainen tutkia toiseen jäsenvaltioon (käsiteltävässä asiassa Irlantiin) sijoittautuneen sivullisen suorittaman tietojenkäsittelyn laillisuuden itsenäisesti esikysymyksenä ennen toimenpiteisiin ryhtymistä?
6) Jos toimenpiteisiin ryhtyvä (käsiteltävässä asiassa Saksan) valvontaviranomainen saa suorittaa itsenäistä valvontaa, onko direktiivin [95/46] 28 artiklan 6 kohdan toista virkettä tulkittava siten, että tämä valvontaviranomainen saa käyttää sille [tämän direktiivin] 28 artiklan 3 kohdan nojalla kuuluvia tehokkaita toimintavaltuuksia sen alueelle sijoittautunutta henkilöä tai elintä kohtaan sen johdosta, että myös se on vastuussa toiseen jäsenvaltioon sijoittautuneen sivullisen tekemistä tietosuojaloukkauksista, vain jos se on ensin pyytänyt kyseisen toisen jäsenvaltion (käsiteltävässä asiassa Irlannin) valvontaviranomaista käyttämään valtuuksiaan?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen ja toinen kysymys
25 Ensimmäisellä ja toisella kysymyksellään, jotka on tutkittava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään lähinnä, onko direktiivin 95/46 2 artiklan d alakohtaa, 17 artiklan 2 kohtaa, 24 artiklaa ja 28 artiklan 3 kohdan toista luetelmakohtaa tulkittava siten, että niiden mukaan on mahdollista katsoa, että verkkoyhteisössä olevan fanisivun hallinnoijana oleva elin on vastuussa henkilötietojen suojaa koskevien sääntöjen rikkomisesta sen vuoksi, että se on valinnut käyttää kyseistä verkkoyhteisöä tiedotuksessaan.
26 Näihin kysymyksiin vastaamiseksi on muistutettava siitä, että – kuten direktiivin 95/46 1 artiklan 1 kohdasta ja sen johdanto-osan kymmenennestä perustelukappaleesta ilmenee – kyseisellä direktiivillä pyritään turvaamaan luonnollisille henkilöille henkilötietojen käsittelyssä heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän yksityisyyttä koskevan oikeutensa korkeatasoinen suoja (tuomio 11.12.2014, Ryneš, C-212/13, EU:C:2014:2428, 27 kohta oikeuskäytäntöviittauksineen).
27 Mainitun tavoitteen mukaisesti kyseisen direktiivin 2 artiklan d alakohdassa määritellään rekisterinpitäjän käsite laajasti siten, että sillä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot.
28 Kuten unionin tuomioistuin on nimittäin jo todennut, kyseisen säännöksen tavoitteena on varmistaa rekisteröityjen tehokas ja kattava suojelu määrittelemällä rekisterinpitäjän käsite laajasti (tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 34 kohta).
29 Kuten direktiivin 95/46 2 artiklan d alakohdassa nimenomaisesti säädetään, käsite ”rekisterinpitäjä” merkitsee lisäksi elintä, joka ”yksin tai yhdessä toisten kanssa”, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot, joten mainitulla käsitteellä ei välttämättä viitata yhteen ainoaan elimeen ja se voi koskea useita toimijoita, jotka osallistuvat mainittuun käsittelyyn, jolloin kuhunkin niistä sovelletaan tietosuojan alalla sovellettavia säännöksiä.
30 Nyt käsiteltävässä asiassa Facebook Inc:n ja unionin osalta Facebook Irelandin on katsottava pääasiallisesti määrittävän Facebookin käyttäjien sekä Facebookissa olevilla fanisivuilla käyneiden henkilöiden henkilötietojen käsittelyn tarkoituksen ja keinot ja kuuluvan siis direktiivin 95/46 2 artiklan d alakohdassa tarkoitetun rekisterinpitäjän käsitteen alaan, mistä ei ole esitetty epäilyksiä nyt käsiteltävässä asiassa.
31 Esitettyihin kysymyksiin vastaamiseksi on kuitenkin tutkittava, osallistuuko Facebookissa olevan fanisivun hallinnoija, kuten Wirtschaftsakademie, kyseisen fanisivun osalta yhdessä Facebook Irelandin ja Facebook Inc:n kanssa mainitulla fanisivulla kävijöiden henkilötietojen käsittelyn tarkoituksen ja keinojen määrittämiseen ja missä määrin näin on ja voidaanko sitä siis myös pitää direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna ”rekisterinpitäjänä”.
32 Tältä osin on niin, että henkilö, joka haluaa perustaa fanisivun Facebookiin, tekee Facebook Irelandin kanssa erityisen sopimuksen mainitunlaisen sivun avaamisesta ja hyväksyy tätä varten kyseisen sivun käyttöehdot, mukaan lukien siihen liittyvän evästepolitiikan, minkä tarkastaminen on kansallisen tuomioistuimen tehtävä.
33 Kuten unionin tuomioistuimelle esitetystä asiakirja-aineistosta ilmenee, pääasiassa kyseessä oleva tietojenkäsittely tapahtuu lähinnä siten, että Facebook asentaa fanisivulla käyvien henkilöiden tietokoneelle tai mille hyvänsä muulle laitteelle evästeitä, joiden tarkoituksena on varastoida tietoja internetselaimille ja jotka toimivat kahden vuoden ajan, jos niitä ei poisteta. Tästä seuraa myös, että käytännössä Facebook vastaanottaa, tallentaa ja käsittelee evästeiden tietoja muun muassa silloin, kun henkilö käyttää ”Facebookin, muiden Facebook-yhtiöiden tai muiden Facebookin palveluja käyttävien yritysten palveluja”. Lisäksi muut yhteisöt, kuten Facebookin kumppanit tai jopa kolmannet, ”voivat käyttää Facebookin palvelujen evästeitä [ehdottaakseen palveluja suoraan kyseisessä verkkoyhteisössä] sekä yrityksissä, jotka mainostavat Facebookissa”.
34 Mainitun henkilötietojen käsittelyn tarkoituksena on muun muassa mahdollistaa yhtäältä se, että Facebook parantaa verkostonsa kautta levittämänsä mainonnan järjestelmää, ja toisaalta se, että fanisivujen hallinnoija saa toimintansa edistämisen hallinnointia varten Facebookin laatimia sellaisia tilastoja vierailuista kyseisellä sivulla, joiden avulla se saa tietää esimerkiksi sen fanisivusta tykänneiden kävijöiden tai sen sovelluksia käyttäneiden henkilöiden profiilin, jotta se voi tarjota heille merkityksellisempää sisältöä ja kehittää toimintoja, jotka kiinnostaisivat heitä enemmän.
35 Vaikkei pelkkä Facebookin kaltaisen verkkoyhteisön käyttäminen tee Facebookin käyttäjästä yhteisvastuullista rekisterinpitäjää kyseisen yhteisön suorittaman henkilötietojen käsittelyn osalta, on sitä vastoin todettava, että Facebookissa olevan fanisivun hallinnoija tarjoaa tällaisen sivun perustamalla Facebookille mahdollisuuden sijoittaa evästeitä fanisivullaan käyneen henkilön tietokoneelle tai mille hyvänsä muulle laitteelle riippumatta siitä, onko kyseisellä henkilöllä Facebook-tiliä vai ei.
36 Tältä osin unionin tuomioistuimelle esitetyistä tiedoista ilmenee, että fanisivun perustaminen Facebookiin merkitsee kyseisen sivun hallinnoijan kannalta sellaista parametrien valitsemista muun muassa kohdeyleisön sekä toiminnan hallinnoinnin ja edistämisen tavoitteiden suhteen, joka vaikuttaa henkilötietojen käsittelyyn kyseisellä fanisivulla vierailujen pohjalta laadittavien tilastojen laatimisessa. Kyseinen hallinnoija voi Facebookin sen käyttöön asettamien suodattimien avulla määritellä perusteet, joiden mukaan mainitut tilastot on laadittava, ja jopa määritellä henkilöryhmät, joiden henkilötietoja Facebook tulee käyttämään. Näin ollen Facebookissa olevan fanisivun hallinnoija osallistuu fanisivullaan kävijöiden henkilötietojen käsittelyyn.
37 Erityisesti fanisivun hallinnoija voi pyytää – ja siis pyytää, että kyseisiä tietoja käsitellään – kohdeyleisöään koskevia väestötieteellisiä tietoja erityisesti ikää, sukupuolta, parisuhdetta ja ammattia koskevista suuntauksista, tietoja kohdeyleisön elämäntyylistä ja kiinnostuksenkohteista, tietoja sivullaan kävijöiden ostoksista ja erityisesti verkko-ostokäyttäytymisestä, tätä yleisöä eniten kiinnostavista tuote- ja palveluluokista sekä maantieteellisiä tietoja, joiden avulla fanisivun hallinnoija pystyy tietämään, missä sen kannattaa toteuttaa mainoskampanjoita ja järjestää tapahtumia, ja yleisemmin paremmin kohdistamaan tiedottamistaan.
38 Vaikka Facebookin laatimat kävijätilastot toimitetaan fanisivun hallinnoijalle ainoastaan anonyymissä muodossa, on kuitenkin niin, että mainittujen tilastojen laadinta perustuu sitä edeltävään keruuseen Facebookin kyseisellä sivulla kävijöiden tietokoneille tai mille hyvänsä muille laitteille asentamien evästeiden avulla, ja kyseisten kävijöiden henkilötietoja käsitellään mainitunlaisia tilastoja varten. Missään tapauksessa direktiivissä 95/46 ei edellytetä, että silloin kun useampi toimija vastaa yhdessä samasta henkilötietojen käsittelystä, kaikilla niistä on pääsy kyseisiin henkilötietoihin.
39 Näissä olosuhteissa on katsottava, että Facebookissa olevan fanisivun hallinnoija, kuten Wirtschaftsakademie, osallistuu valitsemalla parametrit muun muassa kohdeyleisönsä ja toimintansa hallinnoinnin tai edistämisen tavoitteiden mukaan fanisivullaan kävijöiden henkilötietojen käsittelyn tarkoituksen ja keinojen määrittämiseen. Tästä syystä mainittua hallinnoijaa on nyt käsiteltävässä tapauksessa pidettävä direktiivin 95/46 2 artiklan d alakohdassa tarkoitettuna rekisterinpitäjänä unionissa yhdessä Facebook Irelandin kanssa.
40 Se seikka, että fanisivun hallinnoija käyttää Facebookin tarjoamaa alustaa hyödyntääkseen tähän liittyviä palveluja, ei nimittäin vapauta sitä sen henkilötietojen suojaa koskevien velvollisuuksien noudattamisesta.
41 Muutoinkin on korostettava, että Facebookin fanisivuilla voivat käydä myös henkilöt, jotka eivät ole Facebookin käyttäjiä ja joilla ei siis myöskään ole käyttäjätiliä kyseisessä verkkoyhteisössä. Tällaisessa tilanteessa fanisivun hallinnoijan vastuu kyseisten henkilöiden henkilötietojen käsittelystä on vielä suurempi, sillä pelkästään se, että kävijät käyvät katsomassa fanisivua, johtaa automaattisesti heidän henkilötietojensa käsittelyyn.
42 Näin ollen se, että tunnustetaan verkkoyhteisön ylläpitäjän ja kyseisessä verkkoyhteisössä olevan fanisivun hallinnoijan yhteinen vastuu kyseisellä fanisivulla kävijöiden henkilötiedoista, edistää direktiivin 95/46 vaatimusten mukaisesti niiden oikeuksien kattavamman suojan varmistamista, joita kyseisellä fanisivulla kävijöillä on.
43 Vaikka on näin, on täsmennettävä, kuten julkisasiamies on todennut ratkaisuehdotuksensa 75 ja 76 kohdassa, ettei yhteinen vastuu välttämättä merkitse henkilötietojen käsittelyyn osallistuvien eri toimijoiden samanlaista vastuuta. Kyseiset toimijat voivat päinvastoin osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, joten kunkin niistä vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset olosuhteet.
44 Kun edellä esitetyt näkökohdat otetaan huomioon, ensimmäiseen ja toiseen kysymykseen on vastattava, että direktiivin 95/46 2 artiklan d alakohtaa on tulkittava siten, että mainitussa säännöksessä tarkoitettu käsite ”rekisterinpitäjä” käsittää verkkoyhteisössä olevan fanisivun hallinnoijan.
Kolmas ja neljäs kysymys
45 Kolmannella ja neljännellä kysymyksellään, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään lähinnä, onko direktiivin 95/46 4 ja 28 artiklaa tulkittava siten, että silloin kun unionin ulkopuolelle sijoittautuneella yrityksellä on useita toimipaikkoja eri jäsenvaltioissa, jäsenvaltion valvontaviranomainen on toimivaltainen käyttämään sillä direktiivin 95/46 28 artiklan 3 kohdan mukaan olevia toimivaltuuksia kyseisen jäsenvaltion alueella sijaitsevan toimipaikan osalta, vaikka konsernin sisäisen tehtävänjaon mukaan yhtäältä kyseinen toimipaikka vastaa vain mainospaikkojen myynnistä ja muusta markkinoinnista kyseisen jäsenvaltion alueella ja toisaalta yksinomainen vastuu henkilötietojen keräämisestä ja käsittelystä koko unionin alueella on jonkin toisen jäsenvaltion alueella sijaitsevalla toimipaikalla, vai onko viimeksi mainitun jäsenvaltion valvontaviranomaisen tehtävä käyttää kyseisiä valtuuksia suhteessa jälkimmäiseen toimipaikkaan.
46 ULD:llä ja Italian hallituksella on epäilyksiä siitä, voidaanko mainitut kysymykset ottaa tutkittavaksi, sen vuoksi, ettei niillä mainittujen tahojen mukaan ole merkitystä pääasiassa kyseessä olevan riidan ratkaisussa. Riidanalaisen päätöksen adressaatti on nimittäin Wirtschaftsakademie, eikä se siis koske Facebook Inc:tä eikä mitään sen unionin alueelle sijoittautuneista tytäryhtiöistä.
47 Tästä on muistutettava, että SEUT 267 artiklassa käyttöön otetussa unionin tuomioistuimen ja kansallisten tuomioistuinten välisessä yhteistyössä yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on kunkin asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta. Jos esitetyt kysymykset koskevat unionin oikeuden tulkintaa, unionin tuomioistuimen on siten lähtökohtaisesti ratkaistava ne (tuomio 6.9.2016, Petruhhin, C-182/15, EU:C:2016:630, 19 kohta oikeuskäytäntöviittauksineen).
48 Nyt käsiteltävässä asiassa on todettava, että ennakkoratkaisua pyytänyt tuomioistuin tuo esiin, että unionin tuomioistuimen vastaus kolmanteen ja neljänteen ennakkoratkaisukysymykseen on sille tarpeen pääasian ratkaisemiseksi. Ennakkoratkaisua pyytänyt tuomioistuin selittää nimittäin, että siinä tapauksessa, että mainitun vastauksen perusteella todettaisiin, että ULD saattoi korjata väitetyt henkilötietojen suojaa koskevan oikeuden loukkaukset ryhtymällä toimenpiteisiin Facebook Germanyä vastaan, kyseinen seikka olisi omiaan osoittamaan, että riidanalaisessa päätöksessä on arviointivirhe sen vuoksi, että se on virheellisesti tehty Wirtschaftsakademieta vastaan.
49 Näin ollen kolmas ja neljäs kysymys on otettava tutkittavaksi.
50 Näihin kysymyksiin vastaamiseksi on aluksi muistutettava siitä, että direktiivin 95/46 28 artiklan 1 ja 3 kohdasta seuraa, että valvontaviranomaiset käyttävät kaikkia niille kansallisessa oikeudessa annettuja toimivaltuuksia jäsenvaltionsa alueella sen varmistamiseksi, että tällä alueella noudatetaan tietosuojaa koskevia sääntöjä (ks. vastaavasti tuomio 1.10.2015, Weltimmo, C-230/14, EU:C:2015:639, 51 kohta).
51 Kysymystä siitä, mitä kansallista oikeutta sovelletaan henkilötietojen käsittelyyn, säännellään direktiivin 95/46 4 artiklassa. Mainitun artiklan 1 kohdan a alakohdan mukaan kunkin jäsenvaltion on sovellettava henkilötietojen käsittelyyn kansallisia säännöksiä, jotka se antaa tämän direktiivin mukaisesti, jos käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä. Mainitussa säännöksessä täsmennetään, että jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita.
52 Mainitun säännöksen ja direktiivin 95/46 28 artiklan 1 ja 3 kohdan lukemisesta yhdessä ilmenee siten, että silloin, kun sen jäsenvaltion kansallista oikeutta, jonka valvontaviranomaisesta on kyse, sovelletaan mainitun direktiivin 4 artiklan 1 kohdan a alakohdan nojalla sen vuoksi, että kyseessä oleva käsittely tapahtuu mainitun jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä, mainittu valvontaviranomainen voi käyttää kaikkia sillä kyseisen oikeuden mukaan olevia toimivaltuuksia mainitun toimipaikan suhteen, ja näin on riippumatta siitä, onko rekisterinpitäjällä toimipaikkoja myös muissa jäsenvaltioissa.
53 Näin ollen sen määrittämiseksi, onko valvontaviranomaisella pääasiassa kyseessä olevien kaltaisissa olosuhteissa oikeus käyttää sille kansallisessa oikeudessa annettuja toimivaltuuksia sen jäsenvaltion, jonka viranomainen se on, alueella sijaitsevan toimipaikan suhteen, on tarkastettava, täyttyvätkö kaksi direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa asetettua edellytystä, eli yhtäältä, onko kyseessä mainitussa säännöksessä tarkoitettu ”rekisterinpitäjän toimipaikka”, ja toisaalta, onko mainittu käsittely tapahtunut mainitussa säännöksessä tarkoitetulla tavalla kyseisessä toimipaikassa ”tapahtuvan toiminnan yhteydessä”.
54 Ensiksi edellytyksestä, jonka mukaan henkilötietojen käsittelystä vastuussa olevalla taholla on oltava toimipaikka sen jäsenvaltion alueella, jonka valvontaviranomaisesta on kyse, on palautettava mieleen, että direktiivin 95/46 johdanto-osan 19 perustelukappaleessa todetaan, että rekisterinpitäjän sijoittautuminen jonkin jäsenvaltion alueelle edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa ja ettei oikeudellisella muodolla ole merkitystä, olkoon kyseessä sitten pelkkä sivuliike tai tytäryhtiö, jolla on oikeushenkilöllisyys (tuomio 1.10.2015, Weltimmo, C-230/14, EU:C:2015:639, 28 kohta oikeuskäytäntöviittauksineen).
55 Nyt käsiteltävässä asiassa on selvää, että Facebook Inc:llä henkilötietojen käsittelystä yhdessä Facebook Irelandin kanssa vastuussa olevana on kiinteä toimipaikka Saksassa, eli Hampurissa sijaitseva Facebook Germany, ja että viimeksi mainittu yhtiö harjoittaa tosiasiallista toimintaa mainitussa jäsenvaltiossa. Se on näin ollen direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa tarkoitettu toimipaikka.
56 Toiseksi edellytyksestä, jonka mukaan henkilötietojen käsittelyn on tapahduttava kyseisessä toimipaikassa ”tapahtuvan toiminnan yhteydessä”, on muistutettava ensinnäkin, että kun otetaan huomioon direktiivin 95/46 tavoite, joka on turvata luonnollisille henkilöille henkilötietojen käsittelyssä heidän perusoikeuksiensa ja ‑vapauksiensa ja erityisesti heidän yksityisyyttä koskevan oikeutensa tehokas ja kattava suoja, ilmaisua ”toimipaikassa tapahtuvan toiminnan yhteydessä” ei voida tulkita suppeasti (tuomio 1.10.2015, Weltimmo, C-230/14, EU:C:2015:639, 25 kohta oikeuskäytäntöviittauksineen).
57 Tämän jälkeen on korostettava, että direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa ei edellytetä, että kyseessä oleva toimipaikka itse ”suorittaa” kyseessä olevan henkilötietojen käsittelyn, vaan yksinomaan, että se suoritetaan kyseisessä toimipaikassa ”tapahtuvan toiminnan yhteydessä” (tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 52 kohta).
58 Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ja Facebook Irelandin esittämistä kirjallisista huomautuksista ilmenee, että Facebook Germany on vastuussa mainospaikkojen myynninedistämisestä ja myynnistä ja että se huolehtii Saksassa asuviin henkilöihin kohdistettavasta toiminnasta.
59 Kuten tämän tuomion 33 ja 34 kohdassa on muistutettu, pääasiassa kyseessä olevan henkilötietojen käsittelyn suorittaa Facebook Inc. yhdessä Facebook Irelandin kanssa, ja siinä kerätään mainitunlaisia tietoja Facebookissa olevilla fanisivuilla kävijöiden tietokoneille tai mille hyvänsä muille laitteille asennettujen evästeiden välityksellä tarkoituksena muun muassa mahdollistaa se, että kyseinen verkkoyhteisö voi parantaa mainontaansa kohdentamalla paremmin levittämiään viestejä.
60 Kuten julkisasiamies kuitenkin huomauttaa ratkaisuehdotuksensa 94 kohdassa, koska yhtäältä Facebookin kaltainen verkkoyhteisö saa huomattavan osan tuloistaan mainonnasta, jota levitetään muun muassa käyttäjien laatimien ja käyttämien verkkosivujen ohessa, ja koska toisaalta Facebookin Saksassa sijaitsevan toimipaikan tehtävänä on huolehtia kyseisessä jäsenvaltiossa niiden mainospaikkojen myynninedistämisestä ja myynnistä, joiden avulla Facebookin tarjoamista palveluista tulee kannattavia, kyseisen toimipaikan toiminnan on katsottava erottamattomasti liittyvän pääasiassa kyseessä olevaan henkilötietojen käsittelyyn, jonka osalta Facebook Inc. ja Facebook Ireland ovat yhteisvastuullisia rekisterinpitäjiä. Näin ollen kyseisen henkilötietojen käsittelyn on katsottava tapahtuneen direktiivin 95/46 4 artiklan 1 kohdan a alakohdassa tarkoitetulla tavalla rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä (ks. vastaavasti tuomio 13.5.2014, Google Spain ja Google, C-131/12, EU:C:2014:317, 55 ja 56 kohta).
61 Tästä seuraa, että koska pääasiassa kyseessä olevaan henkilötietojen käsittelyyn sovelletaan direktiivin 95/46 4 artiklan 1 kohdan a alakohdan mukaan Saksan oikeutta, Saksan valvontaviranomainen oli mainitun direktiivin 28 artiklan 1 kohdan mukaan toimivaltainen soveltamaan kyseistä oikeutta mainittuun henkilötietojen käsittelyyn.
62 Näin ollen kyseisellä valvontaviranomaisella oli toimivalta varmistaa henkilötietojen suojaa koskevien sääntöjen noudattaminen Saksan alueella käyttämällä Facebook Germanyä kohtaan kaikkia valtuuksia, joita sillä on direktiivin 95/46 28 artiklan 3 kohdan täytäntöön panemiseksi annettujen kansallisten säännösten nojalla.
63 On vielä täsmennettävä, että se ennakkoratkaisua pyytäneen tuomioistuimen kolmannessa kysymyksessään korostama seikka, jonka mukaan unionin alueella asuvia henkilöitä koskevien henkilötietojen keräämistä ja käsittelyä koskevat strategiset päätökset tekee kolmanteen maahan sijoittautunut emoyhtiö, kuten nyt käsiteltävässä asiassa Facebook Inc., ei ole omiaan saattamaan kyseenalaiseksi jäsenvaltion oikeuden soveltamisalan piiriin kuuluvan valvontaviranomaisen toimivaltaa suhteessa kyseisen valtion alueella sijaitsevaan, mainittujen tietojen käsittelystä vastuussa olevan tahon toimipaikkaan.
64 Kun kaikki edellä esitetty otetaan huomioon, kolmanteen ja neljänteen kysymykseen on vastattava, että direktiivin 95/46 4 ja 28 artiklaa on tulkittava siten, että silloin kun unionin ulkopuolelle sijoittautuneelle yrityksellä on useita toimipaikkoja eri jäsenvaltioissa, jäsenvaltion valvontaviranomainen on toimivaltainen käyttämään sillä kyseisen direktiivin 28 artiklan 3 kohdan mukaan olevia toimivaltuuksia mainitun yrityksen kyseisen jäsenvaltion alueella sijaitsevan toimipaikan osalta, vaikka konsernin sisäisen tehtävänjaon mukaan yhtäältä kyseinen toimipaikka vastaa vain mainospaikkojen myynnistä ja muusta markkinoinnista kyseisen jäsenvaltion alueella ja toisaalta yksinomainen vastuu henkilötietojen keräämisestä ja käsittelystä koko unionin alueella on jonkin toisen jäsenvaltion alueella sijaitsevalla toimipaikalla.
Viides ja kuudes kysymys
65 Viidennellä ja kuudennella kysymyksellään, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään lähinnä, onko direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa ja 28 artiklan 3 ja 6 kohtaa tulkittava siten, että silloin, kun jäsenvaltion valvontaviranomainen aikoo käyttää kyseisen jäsenvaltion alueelle sijoittautuneen elimen suhteen kyseisen direktiivin 28 artiklan 3 kohdassa tarkoitettuja toimintavaltuuksia sen vuoksi, että henkilötietojen käsittelystä vastuussa oleva sivullinen, jonka kotipaikka on jossakin toisessa jäsenvaltiossa, on rikkonut henkilötietojen suojaa koskevia sääntöjä, kyseinen valvontaviranomainen on toimivaltainen arvioimaan viimeksi mainitun jäsenvaltion valvontaviranomaiseen nähden itsenäisesti mainittujen tietojen käsittelyn lainmukaisuutta ja voi käyttää toimintavaltuuksiaan alueelleen sijoittautuneen elimen suhteen pyytämättä ensin kyseisen toisen jäsenvaltion valvontaviranomaista toimimaan.
66 Näihin kysymyksiin vastaamiseksi on muistutettava siitä, että – kuten ensimmäiseen ja toiseen ennakkoratkaisukysymykseen annetusta vastauksesta ilmenee – direktiivin 95/46 2 artiklan d alakohtaa on tulkittava niin, että se mahdollistaa pääasiassa kyseessä olevien kaltaisissa olosuhteissa sen, että Wirtschaftsakademien kaltaista elintä voidaan pitää Facebookissa olevan fanisivun hallinnoijana vastuullisena henkilötietojen suojaa koskevien sääntöjen rikkomisesta.
67 Tästä seuraa, että direktiivin 95/46 4 artiklan 1 kohdan a alakohdan sekä 28 artiklan 1 ja 3 kohdan mukaan sen jäsenvaltion valvontaviranomainen, jonka alueelle kyseinen elin on sijoittautunut, on toimivaltainen soveltamaan kansallista oikeuttaan ja siis käyttämään kyseistä elintä vastaan kaikkia toimivaltuuksia, jotka sille on kyseisessä kansallisessa oikeudessa mainitun direktiivin 28 artiklan 3 kohdan mukaisesti annettu.
68 Kuten mainitun direktiivin 28 artiklan 1 kohdan toisessa alakohdassa säädetään, kunkin jäsenvaltion saman direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvovat valvontaviranomaiset, joiden on hoidettava tehtäviään täysin itsenäisesti. Tällainen vaatimus perustuu myös unionin primaarioikeuteen, muun muassa Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohtaan ja SEUT 16 artiklan 2 kohtaan (ks. vastaavasti tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 40 kohta).
69 Lisäksi on niin, että vaikka direktiivin 95/46 28 artiklan 6 kohdan toisen alakohdan mukaan valvontaviranomaisten on oltava yhteistyössä keskenään siinä määrin kuin on tarpeen tehtäviensä suorittamiseksi, erityisesti vaihtamalla hyödyllisiä tietoja, samassa direktiivissä ei säädetä mistään etusijaa koskevasta arviointiperusteesta, joka sääntelisi kyseisten valvontaviranomaisten toimia suhteessa toisiinsa, eikä aseteta jäsenvaltion valvontaviranomaiselle mitään velvollisuutta noudattaa toisen jäsenvaltion valvontaviranomaisen mahdollisesti ilmaisemaa kantaa.
70 Näin ollen mikään ei velvoita valvontaviranomaista, jonka toimivalta on tunnustettu sen kansallisessa oikeudessa, noudattamaan toisen valvontaviranomaisen vastaavassa tilanteessa tekemää ratkaisua.
71 Tältä osin on muistutettava siitä, että kansallisilla valvontaviranomaisilla on perusoikeuskirjan 8 artiklan 3 kohdan ja direktiivin 95/46 28 artiklan mukaisesti tehtävänä valvoa luonnollisten henkilöiden suojaa henkilötietojen käsittelyssä koskevien unionin sääntöjen noudattamista, joten kukin niistä on toimivaltainen selvittämään, onko henkilötietojen käsittely sen jäsenvaltion alueella, jonka viranomaisesta on kyse, direktiivissä 95/46 säädettyjen vaatimusten mukaista (ks. vastaavasti tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 47 kohta).
72 Koska direktiivin 95/46 28 artiklaa sovelletaan jo sen luonteenkin perusteella kaikkeen henkilötietojen käsittelyyn silloinkin, kun toisen jäsenvaltion valvontaviranomainen on tehnyt päätöksen, valvontaviranomaisen, jonka käsiteltäväksi henkilö on saattanut vaatimuksen oikeuksiensa ja vapauksiensa suojelusta henkilötietojensa käsittelyssä, on voitava tutkia täysin itsenäisesti, noudatetaanko näiden tietojen käsittelyssä kyseisessä direktiivissä säädettyjä vaatimuksia (ks. vastaavasti tuomio 6.10.2015, Schrems, C-362/14, EU:C:2015:650, 57 kohta).
73 Tästä seuraa, että direktiivillä 95/46 vahvistetun järjestelmän mukaan ULD:llä oli nyt käsiteltävässä asiassa toimivalta arvioida itsenäisesti Irlannin valvontaviranomaisen arviointeihin nähden pääasiassa kyseessä olevan tietojen käsittelyn lainmukaisuutta.
74 Näin ollen viidenteen ja kuudenteen kysymykseen on vastattava, että direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa ja 28 artiklan 3 ja 6 kohtaa on tulkittava siten, että silloin, kun jäsenvaltion valvontaviranomainen aikoo käyttää kyseisen jäsenvaltion alueelle sijoittautuneen elimen suhteen kyseisen direktiivin 28 artiklan 3 kohdassa tarkoitettuja toimintavaltuuksia sen vuoksi, että henkilötietojen käsittelystä vastuussa oleva sivullinen, jonka kotipaikka on jossakin toisessa jäsenvaltiossa, on rikkonut henkilötietojen suojaa koskevia sääntöjä, kyseinen valvontaviranomainen on toimivaltainen arvioimaan viimeksi mainitun jäsenvaltion valvontaviranomaiseen nähden itsenäisesti mainittujen tietojen käsittelyn lainmukaisuutta ja voi käyttää toimintavaltuuksiaan alueelleen sijoittautuneen elimen suhteen pyytämättä ensin kyseisen toisen jäsenvaltion valvontaviranomaista toimimaan.
Oikeudenkäyntikulut
75 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 2 artiklan d alakohtaa on tulkittava siten, että mainitussa säännöksessä tarkoitettu käsite ”rekisterinpitäjä” käsittää verkkoyhteisössä olevan fanisivun hallinnoijan.
2) Direktiivin 95/46 4 ja 28 artiklaa on tulkittava siten, että silloin kun Euroopan unionin ulkopuolelle sijoittautuneella yrityksellä on useita toimipaikkoja eri jäsenvaltioissa, jäsenvaltion valvontaviranomainen on toimivaltainen käyttämään sillä kyseisen direktiivin 28 artiklan 3 kohdan mukaan olevia toimivaltuuksia mainitun yrityksen kyseisen jäsenvaltion alueella sijaitsevan toimipaikan osalta, vaikka konsernin sisäisen tehtävänjaon mukaan yhtäältä kyseinen toimipaikka vastaa vain mainospaikkojen myynnistä ja muusta markkinoinnista kyseisen jäsenvaltion alueella ja toisaalta yksinomainen vastuu henkilötietojen keräämisestä ja käsittelystä koko Euroopan unionin alueella on jonkin toisen jäsenvaltion alueella sijaitsevalla toimipaikalla.
3) Direktiivin 95/46 4 artiklan 1 kohdan a alakohtaa ja 28 artiklan 3 ja 6 kohtaa on tulkittava siten, että silloin, kun jäsenvaltion valvontaviranomainen aikoo käyttää kyseisen jäsenvaltion alueelle sijoittautuneen elimen suhteen kyseisen direktiivin 28 artiklan 3 kohdassa tarkoitettuja toimintavaltuuksia sen vuoksi, että henkilötietojen käsittelystä vastuussa oleva sivullinen, jonka kotipaikka on jossakin toisessa jäsenvaltiossa, on rikkonut henkilötietojen suojaa koskevia sääntöjä, kyseinen valvontaviranomainen on toimivaltainen arvioimaan viimeksi mainitun jäsenvaltion valvontaviranomaiseen nähden itsenäisesti mainittujen tietojen käsittelyn lainmukaisuutta ja voi käyttää toimintavaltuuksiaan alueelleen sijoittautuneen elimen suhteen pyytämättä ensin kyseisen toisen jäsenvaltion valvontaviranomaista toimimaan.
Allekirjoitukset