UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
15 päivänä kesäkuuta 2021 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – Henkilötietojen rajatylittävä käsittely – ”Yhden luukun” järjestelmä – Valvontaviranomaisten lojaali ja tehokas yhteistyö – Toimivalta ja valtuudet – Valtuudet panna vireille tai käynnistää muulla tavoin oikeustoimet
Asiassa C-645/19,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka hof van beroep te Brussel (Brysselin ylioikeus, Belgia) on esittänyt 8.5.2019 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 30.8.2019, saadakseen ennakkoratkaisun asiassa
Facebook Ireland Ltd,
Facebook Inc. ja
Facebook Belgium BVBA
vastaan
Gegevensbeschermingsautoriteit,
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti R. Silva de Lapuerta, jaostojen puheenjohtajat A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič ja N. Wahl sekä tuomarit E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb ja L. S. Rossi (esittelevä tuomari),
julkisasiamies: M. Bobek,
kirjaaja: johtava hallintovirkamies M. Ferreira,
ottaen huomioon kirjallisessa käsittelyssä ja 5.10.2020 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Facebook Ireland Ltd, Facebook Inc. ja Facebook Belgium BVBA, edustajinaan S. Raes, P. Lefebvre ja D. Van Liedekerke, advocaten,
– Gegevensbeschermingsautoriteit, edustajinaan F. Debusseré ja R. Roex, advocaten,
– Belgian hallitus, asiamiehinään J.-C. Halleux, P. Cottin ja C. Pochet, avustajanaan P. Paepe, advocaat,
– Tšekin hallitus, asiamiehinään M. Smolek, O. Serdula ja J. Vláčil,
– Italian hallitus, asiamiehenään G. Palmieri, avustajanaan G. Natale, avvocato dello Stato,
– Puolan hallitus, asiamiehenään B. Majczyna,
– Portugalin hallitus, asiamiehinään L. Inez Fernandes, A. C. Guerra, P. Barros da Costa ja L. Medeiros,
– Suomen hallitus, asiamiehinään A. Laine ja M. Pere,
– Euroopan komissio, asiamiehinään H. Kranenborg, D. Nardi ja P. J. O. Van Nuffel,
kuultuaan julkisasiamiehen 13.1.2021 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1, ja oikaisut EUVL 2018, L 127, s. 2 ja EUVL 2021, L 74, s. 35) 55 artiklan 1 kohdan, 56–58 artiklan ja 60–66 artiklan, luettuina yhdessä Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7, 8 ja 47 artiklan kanssa, tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat yhtäältä Facebook Ireland Ltd, Facebook Inc. ja Facebook Belgium BVBA ja toisaalta Gegevensbeschermingsautoriteit (tietosuojaviranomainen, Belgia; jäljempänä GBA), joka on Commissie ter bescherming van de persoonlijke levenssfeerin (yksityisyydensuojakomissio, Belgia) seuraaja, ja jossa on kyse viimeksi mainitun elimen puheenjohtajan nostamasta kieltokanteesta, jossa vaadittiin verkkoyhteisö Facebookia lopettamaan evästeiden (cookies), yhteisöliitännäisten (social plug-ins) ja jäljitteiden (pixels) kaltaisten tekniikoiden avulla suorittama internetin käyttäjien henkilötietojen käsitteleminen Belgian alueella.
Asiaa koskevat oikeussäännöt
Unionin oikeus
3 Asetuksen 2016/679 1, 4, 10, 11, 13, 22, 123, 141 ja 145 perustelukappaleessa todetaan seuraavaa:
”(1) Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. [Perusoikeuskirjan] 8 artiklan 1 kohdan ja [SEUT] 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.
– –
(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen.
– –
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet [Euroopan] unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –
(11) Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa.
– –
(13) Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys taloudellisille toimijoille, mukaan lukien mikroyritykset sekä pienet ja keskisuuret yritykset, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet sekä rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, jotta varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. – –
– –
(22) Tätä asetusta olisi noudatettava kaikessa henkilötietojen käsittelyssä, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella. Sijoittautuminen edellyttää tosiasiallista toimintaa ja pysyviä järjestelyjä. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.
– –
(123) Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyn yhteydessä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja [Euroopan] komission kanssa ilman, että tarvitaan mitään jäsenvaltioiden välistä sopimusta keskinäisen avunannon antamisesta tai tällaisesta yhteistyöstä.
– –
(141) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä kantelu yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus turvautua tehokkaisiin oikeussuojakeinoihin perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele kantelua, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. – –
– –
(145) Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan niiden jäsenvaltioiden tuomioistuimissa, joihin rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.”
4 Tämän asetuksen 3 artiklan, jonka otsikko on ”Alueellinen soveltamisala”, 1 kohdassa säädetään seuraavaa:
”Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.”
5 Mainitun asetuksen 4 artiklan 16 alakohdassa määritellään päätoimipaikan käsite ja 4 artiklan 23 alakohdassa rajatylittävän käsittelyn käsite siten, että tässä asetuksessa tarkoitetaan
”16) ’päätoimipaikalla’
a) kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;
b) kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,
– –
23) ’rajatylittävällä käsittelyllä’ joko
a) henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai
b) henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin”.
6 Saman asetuksen 51 artiklassa, jonka otsikko on ”Valvontaviranomainen”, säädetään seuraavaa.
”1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa – –
2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.
– –”
7 Asetuksen 2016/679 55 artiklassa, jonka otsikko on ”Toimivalta” ja joka kuuluu kyseisen asetuksen VI lukuun, jonka otsikko puolestaan on ”Riippumattomat valvontaviranomaiset”, säädetään seuraavaa:
”1. Jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.
2. Jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa.”
8 Mainitun asetuksen 56 artiklassa, jonka otsikko on ”Johtavan valvontaviranomaisen toimivalta”, säädetään seuraavaa:
”1. Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.
2. Poiketen siitä, mitä 1 kohdassa säädetään, jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin.
3. Edellä tämän artiklan 2 kohdassa tarkoitetuissa tapauksissa valvontaviranomaisen on ilmoitettava johtavalle valvontaviranomaiselle viipymättä tästä asiasta. Johtavan valvontaviranomaisen on kolmen viikon kuluessa ilmoituksen saatuaan päätettävä, käsitteleekö se asian 60 artiklassa säädetyn menettelyn mukaisesti, ja otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon vai ei.
4. Jos johtava viranomainen päättää käsitellä asiaa, sovelletaan 60 artiklassa säädettyä menettelyä. Johtavalle valvontaviranomaiselle asiasta ilmoittanut valvontaviranomainen voi toimittaa johtavalle valvontaviranomaiselle päätösehdotuksen. Johtavan valvontaviranomaisen on otettava ehdotus huomioon mahdollisimman suuressa määrin laatiessaan 60 artiklan 3 kohdassa tarkoitettua päätösehdotusta.
5. Jos johtava viranomainen päättää olla käsittelemättä asiaa, johtavalle valvontaviranomaiselle ilmoituksen tehnyt valvontaviranomainen käsittelee asiaa 61 ja 62 artiklan mukaisesti.
6. Johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta.”
9 Asetuksen N:o 2016/679 57 artiklan, jonka otsikko on ”Tehtävät”, 1 kohdassa säädetään seuraavaa:
”Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan
a) valvottava tämän asetuksen soveltamista ja täytäntöönpanoa;
– –
g) tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;
– –”
10 Saman asetuksen 58 artiklan, jonka otsikko on ”Valtuudet”, 1, 4 ja 5 kohdassa säädetään seuraavaa:
”1. Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:
a) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;
– –
d) ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;
– –
4. Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.
5. Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.”
11 Asetuksen 2016/679 VII luvun, jonka otsikko on ”Yhteistyö ja yhdenmukaisuus”, I jaksoon, jonka otsikko on ”Yhteistyö”, sisältyvät kyseisen asetuksen 60–62 artikla. Kyseisessä 60 artiklassa, jonka otsikko on ”Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö”, säädetään seuraavaa:
”1. Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyr[ittävä] näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.
2. Johtava valvontaviranomainen voi milloin tahansa pyytää muilta osallistuvilta valvontaviranomaisilta 61 artiklassa tarkoitettua keskinäistä avunantoa ja toteuttaa 62 artiklassa tarkoitettuja yhteisiä operaatioita etenkin toteuttaakseen tutkimuksia tai valvoakseen toisen jäsenvaltion alueelle sijoittautunutta rekisterinpitäjää tai henkilötietojen käsittelijää koskevan toimenpiteen toteuttamista.
3. Johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.
4. Jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai se katsoo, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille.
5. Jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.
6. Jos yksikään muista osallistuvista valvontaviranomaisista ei ole vastustanut johtavan valvontaviranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä.
7. Johtavan valvontaviranomaisen on tehtävä päätös ja annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille asianomaisille valvontaviranomaisille ja tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto asiaan liittyvistä tosiseikoista ja perustelut. Valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava päätöksestä valituksen tekijälle.
8. Jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on 7 kohdasta poiketen tehtävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle.
9. Jos johtava valvontaviranomainen ja osallistuvat valvontaviranomaiset ovat yhtä mieltä siitä, että valitus jätetään tutkimatta tai hylätään tietyiltä osin mutta tutkitaan kyseisen valituksen muilta osin, kustakin tällaisesta asian osasta on annettava erillinen päätös. – –
10. Sen jälkeen kun johtavan valvontaviranomaisen päätös on annettu tiedoksi 7 ja 9 kohdan mukaisesti, rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet varmistaakseen, että päätöstä noudatetaan sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava johtavalle valvontaviranomaiselle tiedoksi päätöksen noudattamiseksi toteutetut toimenpiteet, ja johtavan valvontaviranomaisen on ilmoitettava asiasta muille asianomaisille valvontaviranomaisille.
11. Jos asianomaisella valvontaviranomaisella on poikkeuksellisissa olosuhteissa syytä katsoa, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, sovelletaan 66 artiklassa tarkoitettua kiireellistä menettelyä.
– –”
12 Mainitun asetuksen 61 artiklan, jonka otsikko on ”Keskinäinen avunanto”, 1 kohdassa säädetään seuraavaa:
”Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja ‑kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.”
13 Saman asetuksen 62 artiklassa, jonka otsikko on ”Valvontaviranomaisten yhteiset operaatiot”, säädetään
”1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä selvityksiä ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.
2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. – –
– –”
14 Asetuksen 2016/679 VII luvun 2 jakso, jonka otsikko on ”Yhdenmukaisuus”, sisältää kyseisen asetuksen 63–67 artiklan. Kyseisen 63 artiklan, jonka otsikko on ”Yhdenmukaisuusmekanismi”, sanamuoto on seuraava:
”Jotta voidaan edistää tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, valvontaviranomaisten on tehtävä yhteistyötä toistensa ja tarvittaessa komission kanssa tämän jakson mukaisen yhdenmukaisuusmekanismin puitteissa.”
15 Mainitun asetuksen 64 artiklan 2 kohdassa säädetään seuraavaa:
”Jokainen valvontaviranomainen, [Euroopan] tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä [Euroopan] tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.”
16 Saman asetuksen 65 artiklassa, jonka otsikko on ”Euroopan tietosuojaneuvoston kiistanratkaisumenettely”, 1 kohdassa säädetään seuraavaa:
”Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, [Euroopan] tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:
a) jos 60 artiklan 4 kohdassa tarkoitetussa tapauksessa asianomainen valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen ja jos johtava valvontaviranomainen ei ole noudattanut tällaista vastalausetta tai on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen tai perusteltu. Sitova päätös koskee kaikkia niitä seikkoja, joista merkityksellinen ja perusteltu vastalause on esitetty, erityisesti sen suhteen, onko tätä asetusta rikottu vai ei;
b jos esiintyy eriäviä näkemyksiä siitä, mikä asianomaisista valvontaviranomaisista on toimivaltainen päätoimipaikan osalta;
– –”
17 Asetuksen 2016/679 66 artiklan, jonka otsikko on ”Kiireellinen menettely”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Jos asianomainen valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi 63, 64 ja 65 artiklassa tarkoitetusta yhdenmukaisuusmekanismista tai 60 artiklassa tarkoitetusta menettelystä poiketen välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja perustelut niiden hyväksymiselle viipymättä tiedoksi muille asianomaisille valvontaviranomaisille, [Euroopan] tietosuojaneuvostolle ja komissiolle.
2. Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää [Euroopan] tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle.”
18 Asetuksen 2016/679 77 artiklassa, jonka otsikko on ”Oikeus tehdä kantelu valvontaviranomaiselle”, säädetään seuraavaa:
”1. Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.
2. Valvontaviranomaisen, jolle kantelu on tehty, on ilmoitettava kantelun tekijälle sen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.”
19 Mainitun asetuksen 78 artiklassa, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”, säädetään seuraavaa:
”1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn kantelun etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
3. Oikeudellinen menettely valvontaviranomaista vastaan on pantava vireille sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.
4. Jos oikeudellisen menettelyn kohteena on sellainen valvontaviranomaisen päätös, jota edelsi [Euroopan] tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antama lausunto tai päätös, valvontaviranomaisen on toimitettava kyseinen lausunto tai päätös tuomioistuimelle.”
20 Saman asetuksen 79 artiklassa, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, säädetään seuraavaa.
”1. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.
2. Oikeudellinen menettely rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on pantava vireille sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti menettely voidaan panna vireille sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä tai henkilötietojen käsittelijä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.”
Belgian oikeus
21 Yksityisyyden suojasta henkilötietojen käsittelyssä 8.12.1992 annetulla lailla (wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens; Belgisch Staatsblad 18.3.1993, s. 5801), sellaisena kuin se on muutettuna 11.12.1998 annetulla lailla (Belgisch Staatsblad 3.2.1999, s. 3049) (jäljempänä 8.12.1992 annettu laki), saatettiin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (EYVL 1995, L 281, s. 31) osaksi Belgian oikeusjärjestystä.
22 Yksityisyydensuojakomissio, joka on riippumaton elin, jonka tehtävänä on valvoa, että henkilötietoja käsitellään tätä lakia noudattaen kansalaisten yksityiselämän suojaamiseksi, perustettiin 8.12.1992 annetulla lailla.
23 8.12.1992 annetun lain 32 §:n 3 momentissa säädettiin seuraavaa:
”[Yksityisyydensuojakomission] puheenjohtaja voi saattaa kaikki tämän lain ja sen täytäntöönpanotoimien soveltamista koskevat riidat ensimmäisen oikeusasteen tuomioistuimen käsiteltäväksi, sanotun kuitenkaan rajoittamatta yleisillä tuomioistuimilla yksityisyyden suojaa koskevien yleisten periaatteiden soveltamisessa olevaa toimivaltaa.”
24 Tietosuojaviranomaisen perustamisesta 3.12.2017 annetulla lailla (wet tot oprichting van de Gegevensbeschermingsautoriteit; Belgisch Staatsblad 10.1.2018, s. 989; jäljempänä 3.12.2017 annettu laki), joka tuli voimaan 25.5.2018, perustettiin GBA asetuksessa 2016/679 tarkoitetuksi valvontaviranomaiseksi.
25 Mainitun 3.12.2017 annetun lain 3 §:ssä säädetään seuraavaa:
”Edustajainhuoneen yhteyteen perustetaan ’tietosuojaviranomainen’. Se seuraa [yksityisyydensuojakomissiota].”
26 Mainitun 3.12.2017 annetun lain 6 §:ssä säädetään seuraavaa:
”[GBA:]lla on valtuudet saattaa tämän lain ja henkilötietojen käsittelyssä annettavaa suojaa koskevia säännöksiä sisältävien lakien yhteydessä tapahtuneet henkilötietojen suojaa koskevien perusperiaatteiden loukkaamiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille oikeustoimia kyseisten perusperiaatteiden täytäntöönpanemiseksi.”
27 Lakiin ei sisälly erityisiä säännöksiä tuomioistuinmenettelyistä, jotka yksityisyydensuojakomission puheenjohtaja on jo 25.5.2018 mennessä pannut vireille 8.12.1992 annetun lain 32 §:n 3 momentin nojalla. Ainoastaan GBA:lle itselleen tehtyjen kantelujen tai hakemusten osalta 3.12.2017 annetun lain 112 §:ssä säädetään seuraavaa:
”Tätä VI lukua ei sovelleta kanteluihin tai hakemuksiin, jotka ovat vielä vireillä [GBA:ssa] tämän lain tullessa voimaan. [GBA] käsittelee 1 momentissa tarkoitetut kantelut tai hakemukset [yksityisyydensuojakomission] oikeudellisena seuraajana noudattaen ennen tämän lain voimaantuloa sovellettua menettelyä.”
28 Kyseinen 8.12.1992 annettu laki kumottiin luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä 30.7.2018 annetulla lailla (wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens; Belgisch Staatsblad 5.9.2018, s. 68616; jäljempänä 30.7.2018 annettu laki). Viimeksi mainitulla lailla on tarkoitus panna Belgian oikeudessa täytäntöön asetuksen 2016/679 säännökset, joissa jäsenvaltiot velvoitetaan antamaan tai niiden sallitaan antaa yksityiskohtaisempia sääntöjä kyseisen asetuksen täydentämiseksi.
Pääasia ja ennakkoratkaisukysymykset
29 Yksityisyydensuojakomission puheenjohtaja oli nostanut 11.9.2015 kieltokanteen Facebook Irelandia, Facebook Inc:tä ja Facebook Belgiumia vastaan Nederlandstalige rechtbank van eerste aanleg Brusselissa (Brysselin hollanninkielinen alioikeus, Belgia). Koska yksityisyydensuojakomissiolla ei ole oikeushenkilöyttä, sen puheenjohtajan tehtävänä oli panna vireille kanteet henkilötietojen suojaa koskevan lainsäädännön noudattamisen takaamiseksi. Yksityisyydensuojakomissio teki kuitenkin itse vapaaehtoista väliintuloa koskevan hakemuksen puheenjohtajansa vireille panemassa menettelyssä.
30 Tämän kieltokanteen tarkoituksena oli saada lopetetuksi se, minkä yksityisyydensuojakomissio kuvaa olevan muun muassa ”vakavaa ja laajamittaista, Facebookin toimesta tapahtuvaa yksityisyyden suojaa koskevan lainsäädännön rikkomista”, joka muodostuu siitä, että kyseinen verkkoyhteisö kerää tietoja sekä Facebook-tilin haltijoiden että henkilöiden, jotka eivät käytä Facebookin palveluja, selailukäyttäytymisestä evästeiden, yhteisöliitännäisten (esim. ”tykkää” tai ”jaa”) tai jäljitteiden kaltaisten tekniikoiden avulla. Näiden elementtien avulla kyseinen verkkoyhteisö voi saada niitä sisältävän verkkosivuston sivulla vierailevan internetin käyttäjän tiettyjä tietoja, kuten tämän sivun osoitteen, sivulla kävijän IP-osoitteen sekä sivulla käynnin päivämäärän ja kellonajan.
31 Nederlandstalige rechtbank van eerste aanleg Brussel totesi 16.2.2018 antamassaan tuomiossa olevansa toimivaltainen ratkaisemaan mainitun kieltokanteen siltä osin kuin se koski Facebook Irelandia, Facebook Inc:tä ja Facebook Belgiumia ja jätti yksityisyydensuojakomission esittämän vapaaehtoista väliintuloa koskevan hakemuksen tutkimatta.
32 Kyseinen tuomioistuin katsoi asiakysymyksen osalta, että kyseessä oleva verkkoyhteisö ei tiedottanut riittävällä tavalla belgialaisille internetin käyttäjille kyseessä olevien tietojen keräämisestä ja näiden tietojen käytöstä. Internetin käyttäjien kyseisten tietojen keräämiseen ja käsittelyyn antama suostumus katsottiin lisäksi pätemättömäksi. Facebook Ireland, Facebook Inc. ja Facebook Belgium määrättiin näin ollen ensinnäkin lopettamaan kaikkien Belgian alueelle sijoittautuneiden internetin käyttäjien kohdalla ilman heidän suostumustaan tapahtuva sellaisten evästeiden sijoittaminen, jotka pysyvät kahden vuoden ajan aktiivisina laitteilla, joita kyseiset henkilöt käyttävät tullessaan Facebook.com-palvelimen verkkosivulle tai kolmannen osapuolen sivustolle, sekä evästeiden sijoittaminen ja tietojen kerääminen yhteisöliitännäisten, jäljitteiden tai samankaltaisten teknologisten keinojen avulla kolmannen osapuolen verkkosivustoilla tavalla, joka on liiallinen Facebook-verkkoyhteisön näin tavoittelemiin päämääriin nähden, toiseksi lopettamaan sellaisten tietojen antaminen, jotka voivat kohtuudella katsoen johtaa asianomaisia henkilöitä harhaan siltä osin kuin kyse on tämän verkkoyhteisön käyttöön asettamien evästeiden käyttöä koskevien järjestelyjen todellisesta ulottuvuudesta, ja kolmanneksi hävittämään kaikki evästeiden ja yhteisöliitännäisten avulla saadut henkilötiedot.
33 Facebook Ireland, Facebook Inc. ja Facebook Belgium valittivat tästä tuomiosta 2.3.2018 hof van beroep te Brusseliin (Brysselin ylioikeus, Belgia). GBA toimii kyseisessä tuomioistuimessa sekä kieltokanteen nostaneen yksityisyydensuojakomission puheenjohtajan laillisena seuraajana että yksityisyydensuojakomission itsensä laillisena seuraajana.
34 Ennakkoratkaisua pyytänyt tuomioistuin totesi olevansa toimivaltainen ratkaisemaan valituksen ainoastaan Facebook Belgiumia koskevilta osin. Se totesi sitä vastoin, ettei sillä ollut toimivaltaa käsitellä tätä valitusta Facebook Irelandin ja Facebook Inc:n osalta.
35 Ennakkoratkaisua pyytänyt tuomioistuin pohtii ennen pääasian ratkaisemista, onko GBA:lla vaadittava asiavaltuus ja oikeussuojan tarve. Facebook Belgiumin mukaan kieltokanne on jätettävä tutkimatta siltä osin kuin se koskee 25.5.2018 edeltäneitä tosiseikkoja, koska 3.12.2017 annetun lain ja asetuksen 2016/679 voimaantulon jälkeen kumottiin 8.12.1992 annetun lain 32 §:n 3 momentti, joka oli tällaisen kanteen nostamisen oikeusperusta. Facebook Belgium väittää 25.5.2018 jälkeen tapahtuneista tosiseikoista, ettei GBA ole toimivaltainen eikä sillä ole oikeutta nostaa tätä kannetta, kun otetaan huomioon ”yhden luukun” järjestelmä, josta nyt säädetään asetuksen 2016/679 säännöksissä. Näiden säännösten perusteella nimittäin ainoastaan Data Protection Commissioner (tietosuojavaltuutettu, Irlanti) on toimivaltainen nostamaan kieltokanteen Facebook Irelandia vastaan, koska viimeksi mainittu on ainoa kyseisen verkkoyhteisön käyttäjien henkilötietojen rekisterinpitäjä unionissa.
36 Ennakkoratkaisua pyytänyt tuomioistuin katsoi, ettei GBA:lla ollut vaadittua oikeussuojan tarvetta kieltokanteen nostamiseksi, koska kanne koski ennen 25.5.2018 tapahtuneita tosiseikkoja. Kyseisen päivämäärän jälkeisten tosiseikkojen osalta ennakkoratkaisua pyytäneellä tuomioistuimella on kuitenkin epäilyjä asetuksen 2016/679 voimaantulon vaikutuksesta ja erityisesti kyseisessä asetuksessa säädetyn ”yhden luukun” järjestelmän soveltamisen vaikutuksesta GBA:n toimivaltaan sekä viimeksi mainitun oikeuteen nostaa tällainen kieltokanne.
37 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan nyt tulee esiin erityisesti kysymys siitä, voiko GBA 25.5.2018 jälkeen tapahtuneiden tosiseikkojen osalta nostaa kanteen Facebook Belgiumia vastaan, kun Facebook Ireland on yksilöity kyseisten tietojen osalta rekisterinpitäjäksi. Kyseisestä ajankohdasta lähtien ja ”yhden luukun” periaatteen nojalla vaikuttaa siltä, että asetuksen 2016/679 56 artiklan mukaan ainoastaan Irlannin tietosuojavaltuutettu olisi toimivaltainen, yksinomaan Irlannin tuomioistuinten valvonnassa.
38 Ennakkoratkaisua pyytänyt tuomioistuin muistuttaa, että unionin tuomioistuin katsoi 5.6.2018 antamassaan tuomiossa Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), että ”Saksan valvontaviranomaisella” oli toimivalta ratkaista henkilötietojen suojaa koskeva riita-asia, vaikka kyseisten tietojen rekisterinpitäjän kotipaikka oli Irlannissa ja vaikka sen tytäryhtiö, jonka kotipaikka oli Saksassa, eli Facebook Germany GmbH, vastasi ainoastaan mainospaikkojen myynnistä ja muusta markkinoinnista Saksan alueella.
39 Kyseiseen tuomioon johtaneessa asiassa unionin tuomioistuimen käsiteltäväksi oli kuitenkin saatettu ennakkoratkaisupyyntö direktiivin 95/46, joka kumottiin asetuksella 2016/679, säännösten tulkinnasta. Ennakkoratkaisua pyytänyt tuomioistuin pohtii, missä määrin unionin tuomioistuimen mainitussa tuomiossa esittämä tulkinta on edelleen merkityksellinen asetuksen 2016/679 soveltamisen kannalta.
40 Ennakkoratkaisua pyytänyt tuomioistuin mainitsee myös Bundeskartellamtin (liittovaltion kilpailuviranomainen, Saksa) 6.2.2019 tekemän päätöksen (ns. Facebook-päätös), jossa tämä kilpailuviranomainen katsoi lähinnä, että kyseinen yritys käytti väärin asemaansa keskittämällä eri lähteistä peräisin olevia tietoja, mikä pitäisi enää olla mahdollista tehdä vain käyttäjien nimenomaisella suostumuksella, eikä käyttäjää, joka ei anna suostumustaan, voida sulkea pois Facebookin palveluista. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että kyseinen kilpailuviranomainen on selvästi katsonut olevansa toimivaltainen ”yhden luukun” järjestelmästä huolimatta.
41 Ennakkoratkaisua pyytänyt tuomioistuin katsoo lisäksi, että 3.12.2017 annetun lain 6 §, jossa sallitaan lähtökohtaisesti se, että GBA tarvittaessa ajaa kannetta, ei merkitse sitä, että se voisi kaikissa olosuhteissa nostaa kanteen Belgian tuomioistuimissa, koska ”yhden luukun” järjestelmä näyttäisi edellyttävän, että tällainen kanne nostetaan sen paikkakunnan tuomioistuimessa, jossa tietoja käsitellään.
42 Hof van beroep te Brussel päätti tässä tilanteessa lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko [asetuksen 2016/679] 55 artiklan 1 kohtaa, 56–58 artiklaa ja 60–66 artiklaa, luettuina yhdessä [perusoikeuskirjan] 7, 8 ja 47 artiklan kanssa, tulkittava siten, että valvontaviranomainen, jolla on kyseisen asetuksen 58 artiklan 5 kohdan täytäntöönpanemiseksi annetun kansallisen lain perusteella valtuudet panna jäsenvaltionsa tuomioistuimessa vireille oikeustoimet kyseisen asetuksen rikkomisen vuoksi, ei voi käyttää näitä valtuuksia rajatylittävän tietojenkäsittelyn yhteydessä, jos se ei ole tällaista rajatylittävää käsittelyä koskevissa kysymyksissä johtava valvontaviranomainen?
2) Onko tässä yhteydessä merkitystä sillä, että tällaista rajatylittävää käsittelyä harjoittavan rekisterinpitäjän päätoimipaikka ei ole kyseisessä jäsenvaltiossa, mutta sillä on siellä toinen toimipaikka?
3) Onko tässä yhteydessä merkitystä sillä, paneeko kansallinen valvontaviranomainen oikeustoimet vireille rekisterinpitäjän päätoimipaikkaa vastaan vai kyseisen valvontaviranomaisen omassa jäsenvaltiossa olevaa toimipaikkaa vastaan?
4) Onko tässä yhteydessä merkitystä sillä, että kansallinen valvontaviranomainen on pannut oikeustoimet vireille jo ennen ajankohtaa, jolloin [asetusta 2016/679] alettiin soveltaa (25.5.2018)?
5) Jos ensimmäiseen kysymykseen vastataan myöntävästi, onko asetuksen 2016/679 58 artiklan 5 kohdalla välitön oikeusvaikutus, niin että kansallinen valvontaviranomainen voi vedota mainittuun artiklaan pannakseen vireille oikeudenkäyntimenettelyn yksityisiä osapuolia vastaan tai jatkaakseen tällaista menettelyä, jopa siinä tapauksessa, että asetuksen 2016/679 58 artiklan 5 kohtaa ei ole nimenomaisesti saatettu osaksi jäsenvaltioiden lainsäädäntöä, vaikka näin edellytetään?
6) Jos edellisiin kysymyksiin vastataan myöntävästi, voiko tällaisten menettelyjen tulos estää johtavaa valvontaviranomaista tekemästä vastakkaista ratkaisua siinä tapauksessa, että se tutkii samoja tai samankaltaisia rajatylittäviä käsittelytoimia asetuksen 2016/679 56 ja 60 artiklassa säädetyn järjestelmän mukaisesti?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäisen kysymyksen tarkastelu
43 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko asetuksen N:o 2016/679 55 artiklan 1 kohtaa, 56–58 artiklaa ja 60–66 artiklaa, luettuina yhdessä perusoikeuskirjan 7, 8 ja 47 artiklan kanssa, tulkittava siten, että jäsenvaltion valvontaviranomainen, jolla on kyseisen asetuksen 58 artiklan 5 kohdan nojalla annetun kansallisen lainsäädännön nojalla valtuudet saattaa kaikki tämän asetuksen väitetyt rikkomiset jäsenvaltionsa tuomioistuimen tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavalla oikeustoimet, voi käyttää näitä valtuuksia siltä osin kuin kyse on rajatylittävästä tietojenkäsittelystä, vaikka se ei ole saman asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen tällaisen tietojenkäsittelyn osalta.
44 Tässä yhteydessä on muistutettava aluksi, että yhtäältä – toisin kuin direktiivin 95/46, jonka oikeudellinen perusta oli EY:n perustamissopimuksen yhteismarkkinoiden harmonisointia koskeva 100 A artikla – asetuksen 2016/679 oikeudellinen perusta on SEUT 16 artikla, jossa vahvistetaan, että jokaisella on oikeus henkilötietojensa suojaan, ja määrätään, että Euroopan parlamentti ja Euroopan unionin neuvosto antavat luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Toisaalta tämän asetuksen johdanto-osan ensimmäisessä perustelukappaleessa todetaan, että ”luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus”, ja siinä muistutetaan, että perusoikeuskirjan 8 artiklan 1 kohdan ja SEUT 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.
45 Kuten asetuksen 2016/679 1 artiklan 2 kohdasta, luettuna yhdessä kyseisen asetuksen johdanto-osan 10, 11 ja 13 perustelukappaleen kanssa, ilmenee, siinä näin ollen asetetaan unionin toimielimille, elimille ja laitoksille sekä jäsenvaltioiden toimivaltaisille viranomaisille tehtäväksi varmistaa SEUT 16 artiklassa ja perusoikeuskirjan 8 artiklassa taattujen oikeuksien suojan korkea taso.
46 Kuten lisäksi kyseisen asetuksen johdanto-osan neljännessä perustelukappaleessa todetaan, asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet.
47 Tätä taustaa vasten asetuksen 2016/679 55 artiklan 1 kohdassa vahvistetaan jokaisen valvontaviranomaisen sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva lähtökohtainen toimivalta oman jäsenvaltionsa alueella (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems, C-311/18, EU:C:2020:559, 147 kohta).
48 Näiden valvontaviranomaisten tehtäviin kuuluu muu muassa valvoa asetuksen 2016/679 soveltamista ja täytäntöönpanoa, mistä säädetään tämän asetuksen 57 artiklan 1 kohdan a alakohdassa, ja tehdä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjota keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano, mistä säädetään saman asetuksen 57 artiklan 1 kohdan g alakohdassa. Kyseisille valvontaviranomaisille näiden tehtävien hoitamiseksi annettuihin valtuuksiin kuuluvat eri tutkintavaltuudet, joista säädetään asetuksen 2016/679 58 artiklan 1 kohdassa, sekä valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi, mistä säädetään viimeksi mainitun 58 artiklan 5 kohdassa.
49 Näiden tehtävien suorittaminen ja näiden valtuuksien käyttäminen edellyttää kuitenkin, että valvontaviranomaisella on toimivalta tietyn tietojenkäsittelyn osalta.
50 Tältä osin on todettava, että jollei muuta johdu asetuksen 2016/679 55 artiklan 1 kohdassa säädetystä toimivaltasäännöstä, kyseisen asetuksen 56 artiklan 1 kohdassa säädetään sen 4 artiklan 23 alakohdassa tarkoitetun rajatylittävän käsittelyn osalta ”yhden luukun” järjestelmästä, joka perustuu toimivallan jakoon johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välillä. Tässä järjestelmässä rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta mainitun asetuksen 60 artiklassa säädetyn menettelyn mukaisesti.
51 Viimeksi mainitussa artiklassa vahvistetaan johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyömenettely. Johtavan valvontaviranomaisen on tässä menettelyssä erityisesti pyrittävä konsensukseen. Tässä tarkoituksessa sen on asetuksen 2016/679 60 artiklan 3 kohdan mukaan viipymättä toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.
52 Etenkin asetuksen 2016/679 56 ja 60 artiklasta seuraa, että kyseisen asetuksen 4 artiklan 23 alakohdassa tarkoitetun rajatylittävän käsittelyn osalta on niin, että jollei tämän asetuksen 56 artiklan 2 kohdasta muuta johdu, eri osallistuvien kansallisten valvontaviranomaisten on tehtävä kyseisissä säännöksissä säädetyn menettelyn mukaisesti yhteistyötä pyrkiäkseen konsensukseen ja tehdäkseen yhden ainoan päätöksen, joka sitoo kaikkia näitä viranomaisia ja jonka noudattaminen rekisterinpitäjän on varmistettava sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Lisäksi kyseisen asetuksen 61 artiklan 1 kohdassa valvontaviranomaiset velvoitetaan lisäksi muun muassa antamaan toisilleen tarvittavat tiedot ja keskinäistä apua kyseisen asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi kaikkialla unionissa. Asetuksen 2016/679 63 artiklassa täsmennetään, että saman asetuksen 64 ja 65 artiklassa käyttöön otetusta yhdenmukaisuusmekanismista on säädetty juuri tässä tarkoituksessa (tuomio 24.9.2019, Google (Hakutulosten luettelosta poistamisen alueellinen ulottuvuus), C-507/17, EU:C:2019:772, 68 kohta).
53 ”Yhden luukun” järjestelmän soveltaminen edellyttää näin ollen, kuten asetuksen 2016/679 johdanto-osan 13 perustelukappaleessa vahvistetaan, johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välistä lojaalia ja tehokasta yhteistyötä. Tästä syystä johtava valvontaviranomainen ei voi, kuten julkisasiamies on todennut ratkaisuehdotuksensa 111 kohdassa, jättää muiden osallistuvien valvontaviranomaisten näkemyksiä huomiotta, ja jos jokin viimeksi mainituista viranomaisista esittää merkityksellisen ja perustellun vastalauseen, johtavan valvontaviranomaisen päätösehdotuksen hyväksyminen estyy ainakin väliaikaisesti.
54 Asetuksen 2016/679 60 artiklan 4 kohdan mukaan on niin, että jos yksikin muista osallistuvista valvontaviranomaisista esittää päätösehdotukseen tällaisen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai se katsoo, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia tämän asetuksen 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille, saadakseen Euroopan tietosuojaneuvostolta mainitun asetuksen 65 artiklan 1 kohdan l alakohdan perusteella annetun sitovan päätöksen.
55 Asetuksen 2016/679 60 artiklan 5 kohdassa säädetään, että jos johtava valvontaviranomainen sen sijaan aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan saman asetuksen 60 artiklan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.
56 Mainitun asetuksen 60 artiklan 7 kohdan mukaan lähtökohtaisesti juuri johtavan valvontaviranomaisen on tehtävä päätös kyseessä olevasta rajatylittävästä tietojenkäsittelystä, annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille osallistuville valvontaviranomaisille ja Euroopan tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto asiaan liittyvistä tosiseikoista ja perustelut.
57 Tämän tultua todetuksi on kuitenkin korostettava, että asetuksessa 2016/679 säädetään johtavan valvontaviranomaisen päätöksentekovallan periaatetta koskevista poikkeuksista mainitun asetuksen 56 artiklan 1 kohdassa säädetyn ”yhden luukun” järjestelmän yhteydessä.
58 Näihin poikkeuksiin kuuluu ensinnäkin asetuksen 2016/679 56 artiklan 2 kohta, jossa säädetään, että valvontaviranomaisella, joka ei ole johtava valvontaviranomainen, on toimivalta käsitellä sille tehtyä kantelua, joka koskee henkilötietojen rajatylittävää käsittelyä tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin.
59 Toiseksi asetuksen 2016/679 66 artiklassa säädetään kyseisen asetuksen 60 ja 63–65 artiklassa tarkoitetuista yhdenmukaisuusmekanismeista poiketen kiireellisestä menettelystä. Tässä kiireellisessä menettelyssä on niin, että jos osallistuva valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta, minkä lisäksi asetuksen 2016/679 66 artiklan 2 kohdassa säädetään, että jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää Euroopan tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle.
60 Tätä valvontaviranomaisten toimivaltaa on kuitenkin käytettävä lojaalissa ja tehokkaassa yhteistyössä johtavan valvontaviranomaisen kanssa asetuksen 2016/679 56 artiklan 3–5 kohdassa tarkoitetun menettelyn mukaisesti. Tässä tapauksessa osallistuvan valvontaviranomaisen on nimittäin kyseisen asetuksen 56 artiklan 3 kohdan mukaisesti ilmoitettava asiasta viipymättä johtavalle valvontaviranomaiselle, jonka on kolmen viikon kuluessa ilmoituksen saatuaan päätettävä, käsitteleekö se asian vai ei.
61 Asetuksen 2016/679 56 artiklan 4 kohdan mukaan on niin, että jos johtava valvontaviranomainen päättää käsitellä asian, sovelletaan kyseisen asetuksen 60 artiklassa säädettyä yhteistyömenettelyä. Tässä yhteydessä johtavalle valvontaviranomaiselle asiasta ilmoittanut valvontaviranomainen voi toimittaa sille päätösehdotuksen, ja johtavan valvontaviranomaisen on otettava ehdotus huomioon mahdollisimman kattavasti laatiessaan kyseisen asetuksen 60 artiklan 3 kohdassa tarkoitettua päätösehdotusta.
62 Sitä vastoin asetuksen 2016/679 56 artiklan 5 kohdan mukaan on niin, että jos johtava viranomainen päättää olla käsittelemättä asiaa, sille ilmoituksen tehnyt valvontaviranomainen käsittelee asiaa tämän asetuksen 61 ja 62 artiklan mukaisesti; kyseisissä säännöksissä edellytetään, että valvontaviranomaiset noudattavat yhteisissä operaatioissa keskinäisen avunannon ja yhteistyön sääntöjä asianomaisten viranomaisten tehokkaan yhteistyön varmistamiseksi.
63 Edellä esitetystä seuraa yhtäältä, että rajatylittävän henkilötietojen käsittelyn alalla sääntönä on johtavan valvontaviranomaisen toimivalta tehdä päätös, jossa todetaan, että tällaisella käsittelyllä rikotaan asetukseen 2016/679 sisältyviä sääntöjä luonnollisten henkilöiden oikeuksien suojasta henkilötietojen käsittelyssä, kun taas poikkeuksena on muiden osallistuvien valvontaviranomaisten toimivalta tehdä tällainen päätös, edes väliaikainen. Toisaalta on niin, että vaikka johtavan valvontaviranomaisen lähtökohtainen toimivalta vahvistetaan asetuksen 2016/679 56 artiklan 6 kohdassa, jonka mukaan johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta, kyseisen viranomaisen on käytettävä tätä toimivaltaa tiiviissä yhteistyössä muiden osallistuvien valvontaviranomaisten kanssa. Johtava valvontaviranomainen ei toimivaltaansa käyttäessään etenkään voi laiminlyödä välttämätöntä vuoropuhelua sekä lojaalia ja tehokasta yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa, kuten tämän tuomion 53 kohdassa on todettu.
64 Tältä osin asetuksen 2016/679 johdanto-osan kymmenennestä perustelukappaleesta ilmenee, että asetuksen tarkoituksena on muun muassa varmistaa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa ja poistaa henkilötietojen liikkuvuuden esteet unionissa.
65 Tämä tavoite ja ”yhden luukun” järjestelmän tehokas vaikutus voitaisiin kuitenkin vaarantaa, jos valvontaviranomainen, joka ei ole johtava valvontaviranomainen rajatylittävän tietojenkäsittelyn osalta, voisi käyttää asetuksen 2016/679 58 artiklan 5 kohdassa säädettyjä valtuuksia muissa kuin niissä tapauksissa, joissa sillä on toimivalta tehdä tämän tuomion 63 kohdassa tarkoitetun kaltainen päätös. Tällaisten valtuuksien käyttämisellä pyritään nimittäin saamaan aikaan oikeudellisesti sitova päätös, ja tällainen päätös on yhtä lailla omiaan horjuttamaan mainittua tavoitetta ja kyseistä järjestelmää kuin valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, tekemä päätös.
66 Toisin kuin GBA väittää, perusoikeuskirjan 7, 8 ja 47 artiklan kanssa yhteensopivaa on se, että jäsenvaltion valvontaviranomainen, joka ei ole johtava valvontaviranomainen, voi käyttää asetuksen 2016/679 58 artiklan 5 kohdassa säädettyjä valtuuksia vain sillä edellytyksellä, että se noudattaa erityisesti saman asetuksen 55 ja 56 artiklassa, luettuina yhdessä sen 60 artiklan kanssa, säädettyjä päätöksentekotoimivallan jakamista koskevia sääntöjä.
67 Yhtäältä perusoikeuskirjan 7 ja 8 artiklan väitettyyn rikkomiseen perustuvasta argumentaatiosta on muistutettava, että tässä 7 artiklassa taataan jokaiselle oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, kun taas perusoikeuskirjan 8 artiklan 1 kohdassa, samoin kuin SEUT 16 artiklan 1 kohdassa, tunnustetaan nimenomaisesti jokaiselle oikeus henkilötietojensa suojaan. Erityisesti asetuksen 2016/679 51 artiklan 1 kohdasta ilmenee, että valvontaviranomaisten tehtävänä on valvoa tämän asetuksen soveltamista erityisesti luonnollisten henkilöiden perusoikeuksien suojaamiseksi heidän henkilötietojensa käsittelyssä. Tästä seuraa, kuten tämän tuomion 45 kohdassa on todettu, että tässä asetuksessa säädetyt johtavan valvontaviranomaisen ja muiden valvontaviranomaisten välistä päätöksentekotoimivallan jakoa koskevat säännöt eivät vaikuta kullakin näistä viranomaisista olevaan vastuuseen myötävaikuttaa näiden oikeuksien suojan korkeaan tasoon siten, että noudatetaan näitä sääntöjä ja tämän tuomion 52 kohdassa mainittuja yhteistyön ja keskinäisen avunannon vaatimuksia.
68 Tämä merkitsee erityisesti sitä, että ”yhden luukun” järjestelmä ei voi missään tapauksessa johtaa siihen, että kansallinen valvontaviranomainen, erityisesti johtava valvontaviranomainen, ei kanna sille asetuksen 2016/679 nojalla kuuluvaa vastuuta myötävaikuttaa luonnollisten henkilöiden tehokkaaseen suojeluun tämän tuomion edellisessä kohdassa mainittujen perusoikeuksien loukkauksilta, sillä muussa tapauksessa se rohkaisee erityisesti rekisterinpitäjiä harjoittamaan forum shopping ‑käytäntöä, jolla pyritään kiertämään nämä perusoikeudet ja tämän asetuksen säännösten, joilla ne pannaan täytäntöön, tehokas soveltaminen.
69 Toisaalta ei voida hyväksyä myöskään argumentaatiota, joka perustuu perusoikeuskirjan 47 artiklassa taatun tehokkaita oikeussuojakeinoja koskevan oikeuden väitettyyn loukkaamiseen. Tämän tuomion 64 ja 65 kohdassa esitetty rajaus, joka koskee muun valvontaviranomaisen kuin johtavan valvontaviranomaisen mahdollisuutta käyttää asetuksen 2016/679 58 artiklan 5 kohdassa säädettyjä valtuuksia, kun kyse on henkilötietojen rajatylittävästä käsittelystä, ei nimittäin rajoita kyseisen asetuksen 78 artiklan 1 ja 2 kohdassa jokaiselle annettua oikeutta tehokkaisiin oikeussuojakeinoihin muun muassa häntä koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan tai sitä vastaan, että valvontaviranomainen, jolla on päätöksentekotoimivalta mainitun asetuksen 55 ja 56 artiklan nojalla, luettuina yhdessä sen 60 artiklan kanssa, ei ole käsitellyt hänen tekemäänsä kantelua.
70 Näin on erityisesti sen tilanteen osalta, joka mainitaan asetuksen 2016/679 56 artiklan 5 kohdassa, jonka mukaan, kuten tämän tuomion 62 kohdassa on todettu, tämän asetuksen 56 artiklan 3 kohdan perusteella ilmoituksen tehnyt valvontaviranomainen voi käsitellä asian asetuksen 61 ja 62 artiklan mukaisesti, jos johtava valvontaviranomainen ilmoituksen saatuaan päättää, ettei se käsittele sitä itse. Tällaisen käsittelyn yhteydessä ei myöskään voida sulkea pois sitä, että osallistuva valvontaviranomainen voi tarvittaessa päättää käyttää sille asetuksen 2016/679 58 artiklan 5 kohdassa annettuja valtuuksia.
71 Tämän tultua täsmennetyksi on korostettava, että jäsenvaltion valvontaviranomaisen toimivaltaa kääntyä oman valtionsa tuomioistuinten puoleen ei voida sulkea pois silloin, kun se on pyytänyt asetuksen 2016/679 61 artiklan nojalla keskinäistä apua johtavalta valvontaviranomaiselta, mutta tämä ei ole toimittanut sille pyydettyjä tietoja. Tässä tapauksessa osallistuva valvontaviranomainen voi kyseisen asetuksen 61 artiklan 8 kohdan nojalla hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella, ja jos se katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi mainitun asetuksen 66 artiklan 2 kohdan mukaan pyytää Euroopan tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä. Lisäksi saman asetuksen 64 artiklan 2 kohdan mukaan valvontaviranomainen voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä Euroopan tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata sille asetuksen 61 artiklassa asetettuja keskinäistä avunantoa koskevia velvollisuuksia. Tällaisen lausunnon antamisen tai tällaisen päätöksen tekemisen jälkeen ja edellyttäen, että Euroopan tietosuojakomissio otettuaan huomioon kaikki merkitykselliset olosuhteet suhtautuu asiaan myönteisesti, osallistuvan valvontaviranomaisen on voitava toteuttaa tarvittavat toimenpiteet varmistaakseen, että asetukseen 2016/679 sisältyviä sääntöjä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä noudatetaan, ja käyttää tätä varten sille asetuksen 58 artiklan 5 kohdassa annettuja valtuuksia.
72 Valvontaviranomaisten välinen valtuuksien ja vastuiden jako perustuu nimittäin välttämättä lähtökohtaan, jonka mukaan näiden viranomaisten on tehtävä lojaalia ja tehokasta yhteistyötä keskenään ja komission kanssa tämän asetuksen asianmukaisen ja johdonmukaisen soveltamisen varmistamiseksi, kuten asetuksen 51 artiklan 2 kohdassa vahvistetaan.
73 Nyt käsiteltävässä asiassa ennakkoratkaisua pyytäneen tuomioistuimen on ratkaistava, onko asetuksessa 2016/679 säädettyjä toimivallan jakoa koskevia sääntöjä ja merkityksellisiä menettelyjä ja mekanismeja sovellettu asianmukaisesti pääasian yhteydessä. Sen on erityisesti tarkistettava, kuuluuko kyseessä oleva tietojenkäsittely, siltä osin kuin se koskee Facebook-verkkoyhteisön menettelytapoja 25.5.2018 jälkeen, erityisesti tämän tuomion 71 kohdassa tarkoitetun tilanteen alaan, vaikka GBA ei ole tässä asiassa johtava valvontaviranomainen.
74 Unionin tuomioistuin huomauttaa tältä osin, että Euroopan tietosuojaneuvosto totesi 12.3.2019 antamassaan lausunnossa 5/2019, joka koski ”sähköisen viestinnän tietosuojadirektiivin” ja [yleisen tietosuoja-asetuksen] vuorovaikutusta erityisesti siltä osin kuin kyse on tietosuojaviranomaisten toimivallasta, tehtävästä ja valtuuksista, että henkilötietojen tallentaminen ja lukeminen evästeiden avulla kuuluu henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37) soveltamisalaan, eikä ”yhden luukun” järjestelmän soveltamisalaan. Sitä vastoin näiden henkilötietojen kaikki aiemmat käsittelytoiminnot ja myöhemmät käsittelytoimet muiden teknologioiden avulla kuuluvat hyvinkin asetuksen 2016/679 soveltamisalaan, ja näin ollen ”yhden luukun” järjestelmän alaan. Koska GBA:n keskinäistä apua koskeva pyyntö koski näitä henkilötietojen myöhempiä käsittelytoimintoja, GBA pyysi huhtikuussa 2019 Irlannin tietosuojavaltuutettua noudattamaan mahdollisimman nopeasti sen esittämää pyyntöä, mutta pyyntöön ei ole saatu vastausta.
75 Kaiken edellä esitetyn perusteella esitettyyn ensimmäiseen kysymykseen on vastattava, että asetuksen 2016/679 55 artiklan 1 kohtaa sekä 56–58 artiklaa ja 60–66 artiklaa, luettuina yhdessä perusoikeuskirjan 7, 8 ja 47 artiklan kanssa, on tulkittava siten, että jäsenvaltion valvontaviranomainen, jolla tämän asetuksen 58 artiklan 5 kohdan täytäntöönpanemiseksi annetun kansallisen lainsäädännön nojalla on valtuudet saattaa kaikki tämän asetuksen väitetyt rikkomiset jäsenvaltionsa tuomioistuimen tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet, voi käyttää näitä valtuuksia siltä osin kuin kyse on rajatylittävästä tietojenkäsittelystä, vaikka se ei ole saman asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen tämän tietojenkäsittelyn osalta, jos se tekee näin jossakin niistä tilanteista, joissa asetuksella 2016/679 annetaan tälle valvontaviranomaiselle toimivalta tehdä päätös, jossa todetaan mainitun käsittelyn olevan asetuksen sääntöjen vastaista, ja edellyttäen, että se noudattaa tässä asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmenettelyjä.
Toisen kysymyksen tarkastelu
76 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään lähinnä, onko asetuksen 2016/679 58 artiklan 5 kohtaa tulkittava siten, että rajatylittävän tietojenkäsittelyn yhteydessä jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, tässä säännöksessä tarkoitettujen oikeustoimien vireille panemista tai muulla tavoin käynnistämistä koskevien valtuuksien käyttäminen edellyttää, että rekisterinpitäjällä, joka suorittaa henkilötietojen rajatylittävää käsittelyä ja jota vastaan nämä oikeustoimet pannaan vireille tai muulla tavalla käynnistetään, on asetuksen 2016/679 4 artiklan 16 alakohdassa tarkoitettu päätoimipaikka tämän jäsenvaltion alueella tai muu toimipaikka tällä alueella.
77 Muistutettakoon tältä osin, että asetuksen 2016/679 55 artiklan 1 kohdassa säädetään, että jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.
78 Asetuksen 2016/679 58 artiklan 5 kohdassa säädetään lisäksi kunkin valvontaviranomaisen valtuuksista saattaa kaikki tämän asetuksen väitetyt rikkomiset jäsenvaltionsa tuomioistuimen tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.
79 On kuitenkin huomattava, että asetuksen 2016/679 58 artiklan 5 kohdan sanamuoto on yleisluonteinen ja että unionin lainsäätäjä ei ole asettanut jäsenvaltion valvontaviranomaisen näiden valtuuksien käyttämisen edellytykseksi sitä, että viimeksi mainittu on pannut vireille tai muulla tavalla käynnistänyt oikeustoimet sellaista rekisterinpitäjää vastaan, jolla on päätoimipaikka, jota tarkoitetaan tämän asetuksen 4 artiklan 16 alakohdassa, tai muu toimipaikka tämän jäsenvaltion alueella.
80 Jäsenvaltion valvontaviranomainen voi kuitenkin käyttää sille asetuksen 2016/679 58 artiklan 5 kohdassa annettuja valtuuksia vain, jos todetaan, että nämä valtuudet kuuluvat kyseisen asetuksen alueelliseen soveltamisalaan.
81 Asetuksen 2016/679 3 artiklan, jossa säännellään asetuksen alueellista soveltamisalaa, 1 kohdassa säädetään tältä osin, että tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa tapahtuvan toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.
82 Tältä osin asetuksen 2016/679 johdanto-osan 22 perustelukappaleessa täsmennetään, että tällainen sijoittautuminen edellyttää tosiasiallista toimintaa ja pysyviä järjestelyjä ja että sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.
83 Tästä seuraa, että asetuksen 2016/679 3 artiklan 1 kohdan mukaan kyseisen asetuksen alueellinen soveltamisala määrittyy, jollei kyseisen artiklan 2 ja 3 kohdassa tarkoitetuista tilanteista muuta johdu, sen edellytyksen perusteella, että rajatylittävää käsittelyä suorittavalla rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka unionin alueella.
84 Esitettyyn toiseen kysymykseen on näin ollen vastattava, että asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että rajatylittävän tietojenkäsittelyn tilanteessa jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, tässä säännöksessä tarkoitettua oikeudellisen menettelyn vireille panemista koskevien valtuuksien käyttäminen ei edellytä, että henkilötietojen rajatylittävää käsittelyä suorittavan rekisterinpitäjän tai henkilötietojen käsittelijän, jota vastaan kyseinen oikeudellinen menettely pannaan vireille, päätoimipaikka tai muu toimipaikka on tämän jäsenvaltion alueella.
Kolmannen kysymyksen tarkastelu
85 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään lähinnä, onko asetuksen 2016/679 58 artiklan 5 kohtaa tulkittava siten, että rajatylittävän tietojenkäsittelyn tilanteessa jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, niiden valtuuksien käyttäminen, jotka koskevat tämän asetuksen väitettyjen rikkomisten saattamista tämän valtion tuomioistuimen tietoon ja tarvittaessa oikeustoimien vireille panemista tai muulla tavoin käynnistämistä tässä säännöksessä tarkoitetuin tavoin, edellyttää, että osallistuva valvontaviranomainen panee oikeudellisen menettelyn vireille rekisterinpitäjän päätoimipaikkaa vastaan, vai siten, että niiden käyttäminen edellyttää, että kyseinen valvontaviranomainen panee sen vireille omassa jäsenvaltiossaan olevaa toimipaikkaa vastaan.
86 Ennakkoratkaisupyynnöstä ilmenee, että tämä kysymys on tullut esiin asianosaisten välisessä keskustelussa siitä, onko ennakkoratkaisua pyytäneellä tuomioistuimella toimivalta tutkia kieltokanne siltä osin kuin se on nostettu Facebook Belgiumia vastaan, kun otetaan huomioon yhtäältä, että unionin sisällä Facebook-konsernin kotipaikka on Irlannissa ja että Facebook Ireland on henkilötietojen keräämisestä ja käsittelystä koko unionin alueella yksinoikeudella vastaava rekisterinpitäjä, ja toisaalta, että tämän konsernin sisäisen jaon mukaan Belgiassa sijaitseva toimipaikka oli perustettu ensisijaisesti sitä varten, että kyseinen konserni voi ylläpitää suhteita unionin toimielimiin, ja toissijaisesti sitä varten, että edistetään saman konsernin mainos- ja markkinointitoimintaa, joka on suunnattu Belgiassa asuville henkilöille.
87 Kuten tämän tuomion 47 kohdassa on todettu, asetuksen 2016/679 55 artiklan 1 kohdassa vahvistetaan jokaisen valvontaviranomaisen tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva lähtökohtainen toimivalta oman jäsenvaltionsa alueella.
88 Siltä osin kuin kyse on jäsenvaltion valvontaviranomaisen valtuuksista panna vireille oikeudellinen menettely asetuksen 2016/679 58 artiklan 5 kohdassa tarkoitetulla tavalla, on muistutettava, kuten julkisasiamies on todennut ratkaisuehdotuksensa 150 kohdassa, että kyseinen säännös on muotoiltu yleisluonteisesti eikä siinä määritellä yhteisöjä, joita vastaan valvontaviranomaisten olisi pantava tai se voisi panna vireille oikeudellisen menettelyn tämän asetuksen rikkomisten osalta.
89 Näin ollen mainitulla säännöksellä ei rajoiteta oikeustoimien vireillepanoa tai muulla tavalla käynnistämistä koskevien valtuuksien käyttöä siinä mielessä, että tällainen menettely voitaisiin panna vireille ainoastaan rekisterinpitäjän päätoimipaikkaa tai muuta toimipaikkaa vastaan. Saman säännöksen nojalla on päinvastoin niin, että jos jäsenvaltion valvontaviranomaisella on tähän tarvittava toimivalta asetuksen 2016/679 55 ja 56 artiklan mukaisesti, se voi käyttää sille tässä asetuksessa annettuja valtuuksia kansallisella alueellaan riippumatta siitä, mihin jäsenvaltioon rekisterinpitäjä tai sen henkilötietojen käsittelijä on sijoittautunut.
90 Kullekin valvontaviranomaiselle asetuksen 2016/679 58 artiklan 5 kohdassa annettujen valtuuksien käyttäminen edellyttää kuitenkin, että tämä asetus on sovellettavissa. Tältä osin ja kuten tämän tuomion 81 kohdassa on korostettu, mainitun asetuksen 3 artiklan 1 kohdassa säädetään, että tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa tapahtuvan toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.
91 Kun otetaan huomioon asetuksen 2016/679 tavoite, joka on turvata luonnollisille henkilöille heidän perusoikeuksiensa ja ‑vapauksiensa tehokas suoja ja erityisesti heidän oikeutensa yksityiselämän ja henkilötietojen suojaan, edellytystä, jonka mukaan henkilötietojen käsittely on suoritettava asianomaisessa toimipaikassa ”tapahtuvan toiminnan yhteydessä”, ei voida tulkita suppeasti (ks. analogisesti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; 56 kohta oikeuskäytäntöviittauksineen).
92 Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ja Facebook Belgiumin esittämistä kirjallisista huomautuksista ilmenee, että Facebook Belgiumin tehtävänä on ensisijaisesti ylläpitää suhteita unionin toimielimiin ja toissijaisesti edistää konserninsa mainos- ja markkinointitoimintaa, joka on suunnattu Belgiassa asuville henkilöille.
93 Pääasiassa kyseessä olevan henkilötietojen käsittelyn, jonka suorittaa yksinomaan Facebook Ireland unionin alueella ja joka käsittää sekä Facebook-tilin haltijoiden että Facebookin palveluja käyttämättömien henkilöiden selailukäyttäytymistä koskevien tietojen keräämisen yhteisöliitännäisten ja jäljitteiden kaltaisten tekniikoiden avulla, tavoitteena on nimenomaan mahdollistaa se, että kyseinen verkkoyhteisö voi tehostaa mainontaansa kohdentamalla viestinsä.
94 On kuitenkin todettava, että yhtäältä Facebookin kaltainen verkkoyhteisö tuottaa huomattavan osan tuloistaan erityisesti verkkoyhteisössä levitettävän mainonnan ansiosta ja että Belgiassa sijaitsevan toimipaikan harjoittaman toiminnan tarkoituksena on varmistaa tässä jäsenvaltiossa, vaikkakin vain toissijaisesti, sellaisten mainospaikkojen mainostaminen ja myynti, joiden avulla Facebookin palvelut saadaan kannattaviksi. Toisaalta Facebook Belgiumin ensisijaisesti harjoittamalla toiminnalla, joka muodostuu suhteiden ylläpitämisestä unionin toimielimiin ja toimimisesta yhteyspisteenä viimeksi mainittuihin, pyritään muun muassa määrittämään Facebook Irelandin harjoittamaa henkilötietojen käsittelypolitiikkaa.
95 Näin ollen Facebook-konsernin Belgiassa sijaitsevan toimipaikan toimintojen on katsottava liittyvän erottamattomasti pääasiassa kyseessä olevaan henkilötietojen käsittelyyn, jonka osalta Facebook Ireland on unionin alueella rekisterinpitäjä. On siis katsottava, että tällainen käsittely suoritetaan asetuksen 2016/679 3 artiklan 1 kohdassa tarkoitetulla tavalla rekisterinpitäjän toimipaikassa toiminnan yhteydessä.
96 Kaiken edellä esitetyn perusteella esitettyyn kolmanteen kysymykseen on vastattava, että asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, valtuuksia, jotka koskevat tämän asetuksen väitettyjen rikkomisten saattamista tämän valtion tuomioistuimen tietoon ja tarvittaessa oikeustoimien vireille panemista tai muulla tavoin käynnistämistä tässä säännöksessä tarkoitetuin tavoin, voidaan käyttää sekä rekisterinpitäjän päätoimipaikkaa, joka sijaitsee tämän viranomaisen omassa jäsenvaltiossa, vastaan että tämän rekisterinpitäjän muuta toimipaikkaa vastaan, jos oikeudellinen menettely koskee tietojenkäsittelyä, joka suoritetaan tässä toimipaikassa toiminnan yhteydessä, ja mainitulla viranomaisella on toimivalta käyttää näitä valtuuksia esitettyyn ensimmäiseen kysymykseen annetussa vastauksessa esitetyn mukaisesti.
Neljännen kysymyksen tarkastelu
97 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee neljännellä kysymyksellään lähinnä, onko asetuksen 2016/679 58 artiklan 5 kohtaa tulkittava siten, että kun jäsenvaltion valvontaviranomainen, joka ei ole tämän asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen, on pannut vireille henkilötietojen rajatylittävää käsittelyä koskevan oikeudellisen menettelyn ennen 25.5.2018 eli ennen kuin mainittu asetus tuli sovellettavaksi, tämä seikka on omiaan vaikuttamaan edellytyksiin, joiden vallitessa kyseinen jäsenvaltion valvontaviranomainen voi käyttää mainittuun 58 artiklan 5 kohtaan perustuvia valtuuksiaan panna vireille tai muulla tavoin käynnistää oikeustoimet.
98 Facebook Ireland, Facebook Inc. ja Facebook Belgium väittävät nimittäin kyseisessä tuomioistuimessa, että siitä, että asetusta 2016/679 sovelletaan 25.5.2018 lukien, seuraa, että ennen tätä ajankohtaa nostetun kanteen ajamisen jatkamisen on johdettava tutkimatta jättämiseen tai kanne on katsottava perusteettomaksi.
99 Aluksi on todettava, että asetuksen 2016/679 99 artiklan 1 kohdassa säädetään, että asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä. Koska tämä asetus julkaistiin kyseisessä virallisessa lehdessä 4.5.2016, se tuli voimaan 25.5.2016. Lisäksi mainitun asetuksen 99 artiklan 2 kohdassa säädetään, että sitä sovelletaan 25 päivästä toukokuuta 2018.
100 Tässä yhteydessä on muistutettava, että uutta oikeussääntöä sovelletaan sen toimen voimaantulosta lukien, jossa siitä säädetään, ja että vaikka tätä sääntöä ei sovelleta aikaisemman lainsäädännön soveltamisaikana syntyneisiin ja lopullisiksi tulleisiin oikeudellisiin tilanteisiin, sitä sovelletaan niiden tuleviin vaikutuksiin samoin kuin uusiin oikeudellisiin tilanteisiin. Toisin on vain – jollei oikeudellisten toimien taannehtivuuskiellon periaatteesta muuta johdu –, jos uuteen sääntöön liittyy erityisiä säännöksiä, joissa nimenomaisesti vahvistetaan sen ajallista soveltamista koskevat edellytykset. Erityisesti on todettava, että menettelysääntöjä katsotaan yleensä voitavan soveltaa sinä päivänä, jona ne tulevat voimaan, toisin kuin aineellisia sääntöjä, joita tavanomaisesti tulkitaan siten, että niitä sovelletaan ennen niiden voimaantuloa toteutuneisiin tilanteisiin ainoastaan siinä tapauksessa, että niiden sanamuodosta, tarkoituksesta tai systematiikasta käy selvästi ilmi, että niille on annettava tällainen vaikutus (tuomio 25.2.2021, Caisse pour l’avenir des enfants (Työskentely syntymähetkellä), C-129/20, EU:C:2021:140, 31 kohta oikeuskäytäntöviittauksineen).
101 Asetukseen 2016/679 ei sisälly mitään siirtymäsääntöä eikä muuta sääntöä sellaisten tuomioistuinmenettelyjen asemasta, jotka on pantu vireille ennen kuin asetusta alettiin soveltaa ja jotka olivat edelleen vireillä ajankohtana, jolloin sitä alettiin soveltaa. Erityisesti on todettava, ettei kyseisen asetuksen missään säännöksessä säädetä, että asetuksen vaikutuksesta kaikki 25.5.2018 vireillä olleet tuomioistuinmenettelyt, jotka koskevat direktiivissä 95/46 säädettyjen, henkilötietojen käsittelyä koskevien sääntöjen väitettyä rikkomista, päättyisivät, ja näin on myös, vaikka tällaisina väitettyinä rikkomisina pidettävät menettelyt jatkuisivat kyseisen ajankohdan jälkeen.
102 Tässä tapauksessa asetuksen 2016/679 58 artiklan 5 kohdassa säädetään säännöistä, jotka koskevat valvontaviranomaisen valtuuksia saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.
103 Tässä tilanteessa on erotettava toisistaan jäsenvaltion valvontaviranomaisen vireille panemat menettelyt henkilötietojen suojaa koskevien sääntöjen rikkomisista, joihin rekisterinpitäjät tai henkilötietojen käsittelijät ovat syyllistyneet ennen ajankohtaa, jolloin asetus 2016/679 tuli sovellettavaksi, ja menettelyt, jotka on pantu vireille tämän ajankohdan jälkeen tehdyistä rikkomisista.
104 Ensimmäisessä tapauksessa unionin oikeuden näkökulmasta pääasiassa kyseessä olevan kaltaisen kanteen ajamista voidaan jatkaa direktiivin 95/46 säännösten perusteella; tätä direktiiviä sovelletaan edelleen aina sen kumoamispäivään eli 25.5.2018 mennessä tehtyihin rikkomisiin. Jälkimmäisessä tapauksessa tällainen kanne voidaan asetuksen 2016/679 58 artiklan 5 kohdan nojalla panna vireille ainoastaan sillä edellytyksellä, että – kuten ensimmäiseen esitettyyn kysymykseen annetussa vastauksessa on korostettu – tämä kanne liittyy tilanteeseen, jossa kyseisellä asetuksella poikkeuksellisesti annetaan jäsenvaltion valvontaviranomaiselle, joka ei ole johtava valvontaviranomainen, toimivalta tehdä päätös, jossa todetaan kyseisen tietojen käsittelyn olevan vastoin mainitun asetuksen sääntöjä, jotka koskevat luonnollisten henkilöiden oikeuksien suojaa henkilötietojen käsittelyssä, ja edellyttäen, että samassa asetuksessa säädettyjä menettelyjä noudatetaan.
105 Kaiken edellä esitetyn perusteella esitettyyn neljänteen kysymykseen on vastattava, että asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että kun jäsenvaltion valvontaviranomainen, joka ei ole kyseisen asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen, on pannut vireille henkilötietojen rajatylittävää käsittelyä koskevan oikeudellisen menettelyn ennen 25.5.2018 eli ennen kuin mainittu asetus tuli sovellettavaksi, tätä menettelyä voidaan unionin oikeuden näkökulmasta jatkaa niiden säännösten perusteella, joista säädetään direktiivissä 95/46, jota sovelletaan edelleen siinä säädettyjen sääntöjen rikkomisiin, jotka on tehty tämän direktiivin kumoamisajankohtaan mennessä. Tämä viranomainen voi lisäksi panna vireille mainitun menettelyn tämän saman ajankohdan jälkeen tehdyistä rikkomisista asetuksen 2016/679 58 artiklan 5 kohdan nojalla, jos kyseessä on jokin niistä tilanteista, joissa kyseisessä asetuksessa poikkeuksellisesti annetaan jäsenvaltion valvontaviranomaiselle, joka ei ole johtava valvontaviranomainen, toimivalta tehdä päätös, jossa todetaan kyseessä olevan tietojenkäsittelyn olevan vastoin mainitun asetuksen sääntöjä, jotka koskevat luonnollisten henkilöiden oikeuksien suojaa henkilötietojen käsittelyssä, ja edellyttäen, että samassa asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmenettelyjä noudatetaan, mikä ennakkoratkaisua pyytäneen tuomioistuimen on tarkistettava.
Viidennen kysymyksen tarkastelu
106 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee viidennellä kysymyksellään lähinnä, että jos esitettyyn ensimmäiseen kysymykseen vastataan myöntävästi, onko asetuksen 2016/679 58 artiklan 5 kohtaa tulkittava siten, että tällä säännöksellä on välitön oikeusvaikutus siten, että kansallinen valvontaviranomainen voi vedota mainittuun säännökseen pannakseen vireille oikeudellisen menettelyn yksityisiä vastaan tai jatkaakseen sitä, vaikka tätä säännöstä ei olisi nimenomaisesti pantu täytäntöön asianomaisen jäsenvaltion lainsäädännössä.
107 Asetuksen 2016/679 58 artiklan 5 kohdassa säädetään, että kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.
108 Aluksi on todettava, että – kuten Belgian hallitus esittää – asetuksen 2016/679 58 artiklan 5 kohta on pantu täytäntöön Belgian oikeusjärjestyksessä 3.12.2017 annetun lain 6 §:llä. Kyseisen lain 6 §:ssä, jonka sanamuoto on olennaisesti sama kuin asetuksen 2016/679 58 artiklan 5 kohdan sanamuoto, säädetään, että GBA:lla on valtuudet saattaa kyseisen lain ja henkilötietojen käsittelyssä annettavaa suojaa koskevia säännöksiä sisältävien lakien yhteydessä tapahtuneet henkilötietojen suojaa koskevien perusperiaatteiden loukkaamiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille oikeustoimia kyseisten perusperiaatteiden täytäntöönpanemiseksi. Näin ollen on katsottava, että GBA voi nojautua 3.12.2017 annetun lain 6 §:n, jolla pannaan täytäntöön asetuksen 2016/679 58 artiklan 5 kohta Belgian oikeudessa, kaltaiseen kansallisen oikeuden säännökseen pannakseen vireille tai käynnistääkseen muulla tavalla oikeustoimia kyseisen asetuksen noudattamisen varmistamiseksi.
109 Täydellisyyden vuoksi on lisäksi todettava, että SEUT 288 artiklan toisen kohdan mukaan asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa, joten sen säännökset eivät lähtökohtaisesti edellytä mitään jäsenvaltioiden täytäntöönpanotoimenpiteitä.
110 Tässä yhteydessä on palautettava mieleen, että unionin tuomioistuimen hyvin vakiintuneessa oikeuskäytännössä katsotaan, että SEUT 288 artiklan mukaan ja juuri asetusten luonteen ja asetuksilla unionin oikeuslähteiden järjestelmässä olevan tehtävän vuoksi asetusten säännöksillä on yleensä välitön oikeusvaikutus kansallisissa oikeusjärjestyksissä ilman, että kansallisten viranomaisten tarvitsisi ryhtyä täytäntöönpanotoimiin. Asetusten tiettyjen säännösten täytäntöönpano voi kuitenkin edellyttää täytäntöönpanotoimien toteuttamista jäsenvaltioissa (tuomio 15.3.2017, Al Chodor, C‑528/15, EU:C:2017:213, 27 kohta oikeuskäytäntöviittauksineen).
111 Kuten julkisasiamies on todennut ratkaisuehdotuksensa 167 kohdassa, asetuksen 2016/679 58 artiklan 5 kohdassa säädetään erityisestä ja välittömästi sovellettavissa olevasta säännöstä, jonka nojalla valvontaviranomaisilla on oltava asiavaltuus kansallisissa tuomioistuimissa ja niille on annettava toimivalta panna vireille tai käynnistää muulla tavalla oikeustoimia kansallisessa oikeudessa.
112 Asetuksen 2016/679 58 artiklan 5 kohdasta ei ilmene, että jäsenvaltioiden olisi säädettävä nimenomaisella säännöksellä siitä, missä olosuhteissa kansalliset valvontaviranomaiset voivat kyseisessä säännöksessä tarkoitetulla tavalla panna vireille tai muulla tavoin käynnistää oikeustoimia. Riittää, että valvontaviranomaisella on kansallisen lainsäädännön mukaisesti mahdollisuus saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavalla oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.
113 Kaiken edellä esitetyn perusteella esitettyyn viidenteen kysymykseen on vastattava, että asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että tällä säännöksellä on välitön oikeusvaikutus, joten kansallinen valvontaviranomainen voi vedota mainittuun säännökseen pannakseen vireille oikeudellisen menettelyn yksityisiä vastaan tai jatkaakseen sitä, vaikka tätä säännöstä ei olisi nimenomaisesti pantu täytäntöön asianomaisen jäsenvaltion lainsäädännössä.
Kuudennen kysymyksen tarkastelu
114 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kuudennella kysymyksellään sen tapauksen varalta, että ensimmäiseen, toiseen, kolmanteen, neljänteen ja viidenteen kysymykseen vastataan myöntävästi, lähinnä sitä, voiko jäsenvaltion valvontaviranomaisen vireille paneman, henkilötietojen rajatylittävää käsittelyä koskevan oikeudellisen menettelyn lopputulos olla esteenä sille, että johtava valvontaviranomainen tekee vastakkaisen toteamuksen, siinä tapauksessa, että se tutkii samoja tai samankaltaisia rajatylittäviä käsittelytoimia asetuksen 2016/679 56 ja 60 artiklassa säädetyn mekanismin mukaisesti.
115 Muistutettakoon tältä osin, että vakiintuneen oikeuskäytännön mukaan unionin oikeutta koskevilla kysymyksillä oletetaan olevan merkitystä asian ratkaisemisen kannalta. Unionin tuomioistuin voi kieltäytyä ratkaisemasta kansallisen tuomioistuimen esittämän ennakkoratkaisukysymyksen ainoastaan silloin, kun on ilmeistä, että pyydetyllä unionin oikeuden säännösten ja määräysten tulkitsemisella ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, jos kyseinen ongelma on luonteeltaan hypoteettinen taikka jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin (tuomio 16.6.2015, Gauweiler ym., C-62/14, EU:C:2015:400, 25 kohta ja tuomio 7.2.2018, American Express, C-304/16, EU:C:2018:66, 32 kohta).
116 Lisäksi niin ikään vakiintuneen oikeuskäytännön mukaan ennakkoratkaisupyynnön esittämisen perusteena ei ole neuvoa-antavien lausuntojen esittäminen yleisistä tai hypoteettisista kysymyksistä vaan riita-asian todelliseen ratkaisemiseen erottamattomasti liittyvä tarve (tuomio 10.12.2018, Wightman ym., C-621/18, EU:C:2018:999, 28 kohta oikeuskäytäntöviittauksineen).
117 Nyt käsiteltävässä asiassa on korostettava, että – kuten Belgian hallitus huomauttaa – kuudes kysymys perustuu seikkoihin, joiden osalta ei ole mitenkään osoitettu, että ne olisivat esillä pääasiassa, eli siihen, että kyseisen riidan kohteena olevaan rajatylittävään käsittelyyn liittyisi johtava valvontaviranomainen, joka paitsi tutkisi samoja henkilötietojen rajatylittävää käsittelyä koskevia toimia kuin ne, jotka ovat kyseisen jäsenvaltion valvontaviranomaisen aloittaman oikeudellisen menettelyn kohteena, tai samankaltaisia toimia, ja vielä lisäksi aikoisi tehdä päätöksen, joka sisältäisi vastakkaisen toteamuksen.
118 Näin ollen on todettava, että kuudennella kysymyksellä ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, ja se koskee hypoteettista ongelmaa. Näin ollen tämä kysymys on jätettävä tutkimatta.
Oikeudenkäyntikulut
119 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 55 artiklan 1 kohtaa sekä 56–58 artiklaa ja 60–66 artiklaa, luettuina yhdessä Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artiklan kanssa, on tulkittava siten, että jäsenvaltion valvontaviranomainen, jolla tämän asetuksen 58 artiklan 5 kohdan täytäntöönpanemiseksi annetun kansallisen lainsäädännön nojalla on valtuudet saattaa kaikki tämän asetuksen väitetyt rikkomiset jäsenvaltionsa tuomioistuimen tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet, voi käyttää näitä valtuuksia siltä osin kuin kyse on rajatylittävästä tietojenkäsittelystä, vaikka se ei ole saman asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen tämän tietojenkäsittelyn osalta, jos se tekee näin jossakin niistä tilanteista, joissa asetuksella 2016/679 annetaan tälle valvontaviranomaiselle toimivalta tehdä päätös, jossa todetaan mainitun käsittelyn olevan asetuksen sääntöjen vastaista, ja edellyttäen, että se noudattaa tässä asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmenettelyjä.
2) Asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että rajatylittävän tietojenkäsittelyn tilanteessa jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, tässä säännöksessä tarkoitettua oikeudellisen menettelyn vireille panemista koskevien valtuuksien käyttäminen ei edellytä, että henkilötietojen rajatylittävää käsittelyä suorittavan rekisterinpitäjän tai henkilötietojen käsittelijän, jota vastaan kyseinen oikeudellinen menettely pannaan vireille, päätoimipaikka tai muu toimipaikka on tämän jäsenvaltion alueella.
3) Asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, valtuuksia, jotka koskevat tämän asetuksen väitettyjen rikkomisten saattamista tämän valtion tuomioistuimen tietoon ja tarvittaessa oikeustoimien vireille panemista tai muulla tavoin käynnistämistä tässä säännöksessä tarkoitetuin tavoin, voidaan käyttää sekä rekisterinpitäjän päätoimipaikkaa, joka sijaitsee tämän viranomaisen omassa jäsenvaltiossa, vastaan että tämän rekisterinpitäjän muuta toimipaikkaa vastaan, jos oikeudellinen menettely koskee tietojenkäsittelyä, joka suoritetaan tässä toimipaikassa toiminnan yhteydessä, ja mainitulla viranomaisella on toimivalta käyttää näitä valtuuksia esitettyyn ensimmäiseen ennakkoratkaisukysymykseen annetussa vastauksessa esitetyn mukaisesti.
4) Asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että kun jäsenvaltion valvontaviranomainen, joka ei ole kyseisen asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen, on pannut vireille henkilötietojen rajatylittävää käsittelyä koskevan oikeudellisen menettelyn ennen 25.5.2018 eli ennen kuin mainittu asetus tuli sovellettavaksi, tätä menettelyä voidaan unionin oikeuden näkökulmasta jatkaa niiden säännösten perusteella, joista säädetään yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY, jota sovelletaan edelleen siinä säädettyjen sääntöjen rikkomisiin, jotka on tehty tämän direktiivin kumoamisajankohtaan mennessä. Tämä viranomainen voi lisäksi panna vireille mainitun menettelyn tämän saman ajankohdan jälkeen tehdyistä rikkomisista asetuksen 2016/679 58 artiklan 5 kohdan nojalla, jos kyseessä on jokin niistä tilanteista, joissa kyseisessä asetuksessa poikkeuksellisesti annetaan jäsenvaltion valvontaviranomaiselle, joka ei ole johtava valvontaviranomainen, toimivalta tehdä päätös, jossa todetaan kyseessä olevan tietojenkäsittelyn olevan vastoin mainitun asetuksen sääntöjä, jotka koskevat luonnollisten henkilöiden oikeuksien suojaa henkilötietojen käsittelyssä, ja edellyttäen, että samassa asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmenettelyjä noudatetaan, mikä ennakkoratkaisua pyytäneen tuomioistuimen on tarkistettava.
5) Asetuksen 2016/679 58 artiklan 5 kohtaa on tulkittava siten, että tällä säännöksellä on välitön oikeusvaikutus, joten kansallinen valvontaviranomainen voi vedota mainittuun säännökseen pannakseen vireille oikeudellisen menettelyn yksityisiä vastaan tai jatkaakseen sitä, vaikka tätä säännöstä ei olisi nimenomaisesti pantu täytäntöön asianomaisen jäsenvaltion lainsäädännössä.
Allekirjoitukset