Väliaikainen versio
JULKISASIAMIEHEN RATKAISUEHDOTUS
JEAN RICHARD DE LA TOUR
25 päivänä tammikuuta 2024 (1)
Asia C‑757/22
Meta Platforms Ireland Limited
vastaan
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(Ennakkoratkaisupyyntö – Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa))
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 12 artiklan 1 kohdan ensimmäinen virke – Läpinäkyvä informointi – 13 artiklan 1 kohdan c ja e alakohta – Rekisterinpitäjän tiedonantovelvollisuus – 80 artiklan 2 kohta – Kuluttajansuojayhdistyksen toimiminen rekisteröityjen edustajana – Edustajakanne, joka on nostettu ilman valtuutusta ja riippumatta rekisteröidyn tosiasiallisten oikeuksien loukkaamisesta – Kanne, joka perustuu rekisterinpitäjän tiedonantovelvollisuuden laiminlyöntiin – Rekisteröidyn oikeuksien loukkaamista ”käsittelyssä” koskeva käsite
I Asian tausta, pääasian tosiseikat ja uusi ennakkoratkaisukysymys
1. Tässä asiassa Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa) esittää uudelleen ennakkoratkaisukysymyksen luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus)(2) 80 artiklan 2 kohdan tulkinnasta.
2. Tämän säännöksen mukaan jäsenvaltiot voivat säätää, että elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu tämän asetuksen 77 artiklan nojalla valvontaviranomaiselle ja oikeus käyttää sen 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyssä.
3. Ennakkoratkaisupyyntö on esitetty asiassa, jossa asianosaisina ovat Meta Platforms Ireland Limited, aiemmin Facebook Ireland Limited, jonka kotipaikka on Irlannissa, ja Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (liittovaltion kuluttajakeskusten ja ‑yhdistysten keskusjärjestö, Saksa; jäljempänä keskusjärjestö) ja joka koskee sitä, että Meta Platforms Ireland on oletettavasti rikkonut henkilötietojen suojaa koskevaa Saksan lainsäädäntöä, mikä merkitsee samanaikaisesti sopimatonta kaupallista menettelyä, kuluttajansuojalain rikkomista ja pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomista.
4. Kyseessä on sama oikeusriita kuin asiassa, joka johti 28.4.2022 annettuun tuomioon Meta Platforms Ireland(3) ja jonka tosiseikat voidaan esittää tiivistäen seuraavasti.(4)
5. Meta Platforms Ireland, joka hallinnoi verkkoyhteisöpalvelu Facebookin palvelujen tarjoamista Euroopan unionissa, on tämän yhteisöpalvelun käyttäjien henkilötietojen rekisterinpitäjä unionissa. Facebook Germany GmbH, jonka kotipaikka on Saksassa, myy osoitteessa www.facebook.de mainostilaa. Facebookin verkkoalusta sisältää muun muassa internetosoitteessa www.facebook.de sovelluskeskuksen (App-Zentrum), jossa Meta Platforms Ireland asettaa käyttäjiensä saataville kolmansien osapuolten tarjoamia maksuttomia pelejä. Tiettyjä pelejä sovelluskeskuksessa avattaessa käyttäjä näkee maininnan, jonka mukaan kyseessä olevan sovelluksen käyttäjä sallii peliyhtiön saada tiettyjä henkilötietoja ja antaa tälle luvan julkaista käyttäjän nimissä tiettyjä tietoja, kuten hänen pistetilanteensa ja muita tietoja. Tästä käytöstä seuraa, että mainittu käyttäjä hyväksyy sovelluksen yleiset sopimusehdot ja sen politiikan tietosuoja-alalla. Lisäksi tietyn pelin osalta mainitaan, että sovellus saa julkaista sen käyttäjän nimissä tilapäivityksiä, valokuvia ja muita tietoja.
6. Keskusjärjestö, jolla on kieltokanteista kuluttajan oikeuksien loukkausten ja muiden rikkomisten yhteydessä 26.11.2001 annetun lain (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG)(5) 4 §:n mukainen asiavaltuus, katsoo, että kyseessä olevissa sovelluskeskuksen peleissä annetut tiedot ovat sopimattomia muun muassa siitä syystä, että käyttäjän pätevän suostumuksen saamista koskevia tietosuojalainsäädännön mukaisia lakisääteisiä edellytyksiä ei ole noudatettu. Lisäksi se katsoo, että maininta, jonka mukaan sovellus saa julkaista käyttäjän nimissä tiettyjä tämän henkilökohtaisia tietoja, on yleinen sopimusehto, joka on kohtuuttomalla tavalla epäedullinen käyttäjän kannalta.
7. Keskusjärjestö on tässä asiayhteydessä nostanut Landgericht Berlinissä (Berliinin alueellinen tuomioistuin, Saksa) Meta Platforms Irelandia vastaan sopimattoman kilpailun estämisestä 3.7.2004 annetun lain (Gesetz gegen den unlauteren Wettbewerb)(6) 3a §:ään, kieltokanteista annetun lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaan ja siviililakiin (Bürgerliches Gesetzbuch) perustuvan kieltokanteen. Tämä kanne on nostettu riippumatta siitä, onko rekisteröidyn oikeutta tietosuojaan tosiasiallisesti loukattu, ja ilman tällaisen henkilön valtuutusta.
8. Landgericht Berlin tuomitsi Meta Platforms Irelandin keskusjärjestön vaatimusten mukaisesti. Kammergericht Berlin (Berliinin osavaltion ylioikeus, Saksa) hylkäsi Meta Platforms Irelandin tekemän valituksen. Meta Platforms Ireland teki tämän jälkeen ennakkoratkaisua pyytäneeseen tuomioistuimeen Revision-valituksen toisen asteen tuomioistuimen antamasta hylkäävästä ratkaisusta.
9. Kyseisessä asiassa ennakkoratkaisua pyytänyt tuomioistuin katsoi, että keskusjärjestön kanne oli perusteltu, koska Meta Platforms Ireland oli rikkonut sopimattoman kilpailun estämisestä annetun lain 3a §:ää ja kieltokanteista annetun lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaa ja käyttänyt kieltokanteista annetun lain 1 §:ssä tarkoitettua pätemätöntä yleistä sopimusehtoa.
10. Kyseinen tuomioistuin oli kuitenkin epävarma siitä, voidaanko keskusjärjestön kanne ottaa tutkittavaksi. Se pohti erityisesti, voiko keskusjärjestön asiavaltuus perustua yleisen tietosuoja-asetuksen 80 artiklan 2 kohtaan. Tästä syystä se esitti unionin tuomioistuimelle ennakkoratkaisukysymyksen tämän säännöksen tulkinnasta.
11. Unionin tuomioistuin katsoi vastatessaan tähän kysymykseen tuomiossa Meta Platforms Ireland, että yleisen tietosuoja-asetuksen 80 artiklan 2 kohtaa on tulkittava siten, että se ei ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistyksen nostaa kanne tuomioistuimessa sille tätä varten annetun valtuutuksen puuttuessa ja riippumatta rekisteröityjen tosiasiallisten oikeuksien loukkaamisesta henkilötietojen suojan oletettua loukkaajaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kiellon, kuluttajansuojalain tai pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomiseen, kun kyseisten tietojen käsittely voi vaikuttaa yksilöityjen tai yksilöitävissä olevien luonnollisten henkilöiden kyseiseen asetukseen perustuviin oikeuksiin.(7)
12. Unionin tuomioistuin täsmensi siten henkilötietojen suojan oletettua loukkaajaa vastaan sovellettavan, yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa säädetyn edustajakannemekanismin aineellista soveltamisalaa.
13. Unionin tuomioistuin totesi erityisesti, että tällaisen edustajakanteen nostamiseksi yleisen tietosuoja-asetuksen 80 artiklan 1 kohdassa mainitut edellytykset täyttävältä yksiköltä ei voida edellyttää, että se yksilöi etukäteen henkilön, jonka tietoja on väitetysti erityisesti käsitelty tämän asetuksen säännösten vastaisesti.(8) Näin ollen sellaisen henkilöluokan tai henkilöryhmän nimeäminen, jota tällainen kohtelu koskee, voi myös riittää edustajakanteen nostamiseen.(9)
14. Unionin tuomioistuin totesi myös, että yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan perusteella edustajakanteen nostaminen ei myöskään edellytä niiden oikeuksien tosiasiallista loukkaamista, joita henkilöllä on tietosuojaa koskevien sääntöjen perusteella.(10) Unionin tuomioistuimen mukaan edustajakanteen nostaminen edellyttää ainoastaan, että tässä säännöksessä tarkoitettu yksikkö ”katsoo”, että kyseisessä asetuksessa säädettyjä rekisteröidyn oikeuksia on loukattu hänen henkilötietojensa käsittelyssä, ja näin ollen väittää, että tietoja on käsitelty kyseisen asetuksen säännösten vastaisesti.(11) Tästä seuraa, että jotta tällaisen yksikön asiavaltuus tunnustettaisiin yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan nojalla, riittää, että vedotaan siihen, että kyseinen tietojen käsittely voi vaikuttaa niihin oikeuksiin, joita tunnistetuilla tai tunnistettavissa olevilla luonnollisilla henkilöillä on mainitun asetuksen nojalla, ilman että on tarpeen näyttää toteen tosiasiallista vahinkoa, joka rekisteröidylle on tietyssä tilanteessa aiheutunut hänen oikeuksiensa loukkaamisesta.(12)
15. Vaikka ennakkoratkaisua pyytänyt tuomioistuin on siten jo saanut unionin tuomioistuimelta ohjeita voidakseen ratkaista, voidaanko keskusjärjestön nostama kieltokanne ottaa tutkittavaksi yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa säädettyjen edellytysten perusteella, se katsoo, että vielä on poistettava epäselvyys siitä, miten tätä säännöstä on tulkittava. Kyseinen tuomioistuin korostaa, että keskusjärjestön asiavaltuus riippuu siitä, vetoaako tämä yksikkö kanteessaan kyseisen säännöksen mukaisesti siihen, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu ”käsittelyssä”.
16. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan ei ole selvää, täyttyykö tämä yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan aineellista soveltamisalaa koskeva vaatimus tässä asiassa.
17. Kyseinen tuomioistuin toteaa, että keskusjärjestö vetoaa kanteensa tueksi yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä, luettuna yhdessä tämän asetuksen 13 artiklan 1 kohdan c ja e alakohdan kanssa, tarkoitetun tietojenkäsittelyn tarkoitusta ja henkilötietojen vastaanottajaa koskevan tiedonantovelvollisuuden laiminlyöntiin. Kyseisen tuomioistuimen mukaan on selvitettävä, voidaanko keskusjärjestön siten katsoa vetoavan kyseisen asetuksen 80 artiklan 2 kohdassa tarkoitettuun ”käsittelyssä” tapahtuneeseen oikeuksien loukkaamiseen.
18. Tarkemmin sanoen ennakkoratkaisua pyytänyt tuomioistuin pitää edelleen epäselvänä, kuuluuko tässä tapauksessa yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisestä virkkeestä ja 13 artiklan 1 kohdan c ja e alakohdasta johtuvan tiedonantovelvollisuuden laiminlyönti tämän asetuksen 4 artiklan 2 alakohdassa tarkoitetun käsittelyn käsitteen piiriin ja kattaako tämä käsite myös tilanteet, jotka edeltävät henkilötietojen keräämisen aloittamista.(13)
19. Ennakkoratkaisua pyytänyt tuomioistuin katsoo myös, ettei ole selvää, onko pääasiassa kyseessä olevan kaltaisessa tapauksessa tiedonantovelvollisuus laiminlyöty yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitetun henkilötietojen käsittelyn seurauksena. Kyseinen tuomioistuin korostaa, että ilmaisu ”käsittelyssä” [80 artiklan 2 kohdan saksankielisessä versiossa ”infolge einer Verarbeitung” eli käsittelyn seurauksena] voi viitata siihen, että jotta edustajakanne voitaisiin ottaa tutkittavaksi, tämän kanteen nostaneen yksikön on vedottava tähän asetukseen perustuvien rekisteröidyn oikeuksien loukkaamiseen, joka johtuu asetuksen 4 artiklan 2 alakohdassa tarkoitetusta tietojenkäsittelytoimesta ja joka tapahtuu siis tällaisen käsittelytoimen jälkeen.(14)
20. Tässä tilanteessa Bundesgerichtshof on päättänyt uudelleen lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:
”Onko kyseessä yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitettu [rekisteröidyn oikeuksien loukkaaminen] ’käsittelyssä’, kun kuluttajansuojayhdistys vetoaa kanteessaan rekisteröidyn oikeuksien loukkaamiseen sillä perusteella, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä, luettuna yhdessä yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan c ja e alakohdan kanssa, säädettyjä tietojenkäsittelyn tarkoitusta ja henkilötietojen vastaanottajaa koskevia tiedonantovelvollisuuksia ei ole noudatettu?”
21. Meta Platforms Ireland, keskusjärjestö, Saksan ja Portugalin hallitukset sekä Euroopan komissio ovat esittäneet kirjallisia huomautuksia.
22. Asiassa pidettiin 23.11.2023 istunto, johon osallistuivat Meta Platforms Ireland, Saksan hallitus ja komissio.
II Asian tarkastelu
23. Kuten olen edellä todennut, ennakkoratkaisua pyytänyt tuomioistuin pitää epäselvänä, täyttääkö tässä tapauksessa keskusjärjestön nostama edustajakanne yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa asetetun edellytyksen siitä, että tällaisen kanteen nostava yksikkö katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen ”käsittelyssä”.
24. Jotta ymmärrettäisiin kunnolla se asiayhteys, jossa tämä tuomioistuin pyytää unionin tuomioistuimelta lisäselvitystä kyseisen säännöksen aineellisesta soveltamisalasta, on huomattava, että keskusjärjestö vetoaa kanteensa tueksi siihen, että Meta Platforms Ireland ei ole noudattanut velvollisuuttaan antaa tietoja käyttäjän henkilötietojensa käsittelyyn antaman suostumuksen tarkoituksesta ja laajuudesta. Erityisesti riidan kohteena on pelien esitystapa Meta Platforms Irelandin verkkoalustalla sijaitsevassa sovelluskeskuksessa ja maininta, jonka mukaan kukin sovellus saa julkaista käyttäjän nimissä tiettyjä tämän henkilökohtaisia tietoja. Keskusjärjestö on nostanut kanteen riippumatta siitä, onko rekisteröidyn tosiasiallisia oikeuksia loukattu, ja ilman tällaisen henkilön valtuutusta, mikä on kyseisen säännöksen mukaista, kuten unionin tuomioistuin totesi tuomiossa Meta Platforms Ireland.(15)
25. Näkemyserot sen suhteen, onko keskusjärjestöllä yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan mukainen asiavaltuus, koskevat nyt lähinnä ennakkoratkaisua pyytäneen tuomioistuimen esittämää toteamusta, jonka mukaan tämän yksikön nostama edustajakanne ei koske sitä, loukkaako Meta Platforms Ireland käyttäjän oikeutta tietosuojaan sillä hetkellä, kun käyttäjä napsauttaa sovelluskeskuksessa painiketta ”Pelaa nyt” tai ”Pelaa”, jolloin hänen henkilötietojensa käsittely mahdollisesti käynnistyy. Lisäksi on selvää, ettei keskusjärjestön nostama kanne koske myöskään sitä, loukataanko tällaisen painikkeen käyttämisen jälkeen suoritettavilla automatisoiduilla toiminnoilla, jotka liittyvät käyttäjän henkilötietoihin, hänen tietosuojaa koskevia oikeuksiaan.
26. Kaiken kaikkiaan oikeusriita kiteytyy kysymykseen siitä, riittääkö tällaisen yhdistyksen asiavaltuuteen yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan perusteella se, että se vetoaa tiedonantovelvollisuuden laiminlyöntiin kyseenalaistamatta sellaisenaan tietojenkäsittelyä, joka seuraa painikkeen ”Pelaa nyt” tai ”Pelaa” napsauttamisesta, vaikka kyseisessä säännöksessä edellytetään rekisteröidyn oikeuksien loukkaamista ”käsittelyssä”.
27. Tämän vuoksi ennakkoratkaisua pyytäneen tuomioistuimen kysymyksissä keskitytään kahteen seikkaan: yhtäältä käsittelyn käsitteen laajuuteen ja toisaalta kyseiseen säännökseen sisältyvän ilmaisun ”käsittelyssä” merkitykseen.
28. Kyseinen tuomioistuin pohtii, kuuluuko yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisestä virkkeestä ja 13 artiklan 1 kohdan c ja e alakohdasta johtuva velvollisuus antaa rekisteröidylle henkilötietojen käsittelyn tarkoitusta ja niiden vastaanottajaa koskevat tiedot täsmällisessä, läpinäkyvässä, helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tämän asetuksen 4 artiklan 2 alakohdassa tarkoitetun käsittelyn käsitteen piiriin.
29. Kyseisen asetuksen 4 artiklan 2 alakohdan mukaan ”käsittelyllä” tarkoitetaan jokaista ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista”.
30. Kyseisen säännöksen sanamuodosta ja erityisesti ilmaisusta jokaista toimintoa ilmenee, että unionin lainsäätäjän tarkoituksena on ollut antaa käsittelyn käsitteelle laaja ulottuvuus. Tätä tulkintaa tukee se, että kyseisessä säännöksessä mainittujen toimintojen luettelo ei ole tyhjentävä, mikä ilmenee ilmaisusta ”kuten”.(16) Unionin tuomioistuimen mukaan tämä vastaa yleisen tietosuoja-asetuksen johdanto-osan ensimmäisessä perustelukappaleessa mainittua tavoitetta varmistaa luonnollisten henkilöiden suojelua henkilötietojen käsittelyn yhteydessä koskevan perusoikeuden tehokkuus, joka on kyseisen asetuksen soveltamisen lähtökohta.(17)
31. Tukeakseen kantaansa, jonka mukaan yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäiseen virkkeeseen ja 13 artiklan 1 kohdan c ja e alakohtaan perustuva tiedonantovelvollisuus voisi kuulua tämän asetuksen 4 artiklan 2 alakohdassa tarkoitetun käsittelyn käsitteen piiriin, ennakkoratkaisua pyytänyt tuomioistuin viittaa siihen, mitä unionin tuomioistuin totesi 24.2.2022 antamassaan tuomiossa Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten).(18)
32. Valsts ieņēmumu dienests (verohallinto, Latvia) vaati kyseiseen tuomioon johtaneessa asiassa kyseessä ollutta talouden toimijaa palauttamaan tämän verohallinnon yksiköiden pääsyn kyseisen yhtiön internetportaalissa julkaistun ilmoituksen kohteena olevien ajoneuvojen valmistenumeroihin sekä myyjien puhelinnumeroihin ja toimittamaan sille tietoja kyseisessä portaalissa julkaistuista ilmoituksista.
33. Tässä yhteydessä unionin tuomioistuin katsoi, että tällaisella pyynnöllä, jolla jäsenvaltion verohallinto pyytää talouden toimijalta henkilötietojen, jotka tämän on kyseisen jäsenvaltion kansallisen säännöstön nojalla toimitettava ja asetettava sen saataville, luovuttamista ja saataville asettamista, käynnistyy yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettu näiden tietojen ”kerääminen”.(19) Ennakkoratkaisua pyytänyt tuomioistuin päättelee tästä, että kyseisessä säännöksessä tarkoitettu käsittelyn käsite kattaa toiminnot, joilla pelkästään ”käynnistetään” henkilötietojen kerääminen, ja näin ollen unionin lainsäätäjän nimenomaisesti esimerkkinä käsittelystä pitämää toimintoa edeltäviä toimintoja, ja rinnastaa tilanteen pääasiassa kyseessä olevaan tilanteeseen.
34. Mielestäni tämä tilanne eroaa kuitenkin selvästi 24.2.2033 annetun tuomion Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten)(20) taustalla olleesta tilanteesta. Tässä tapauksessa ei nimittäin ole kyse siitä, että todettaisiin toiminnon, jolla käsittely aloitetaan, olevan osa käsittelyä, vaan pikemminkin tiedonantovelvollisuuden, sellaisena kuin se seuraa yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisestä virkkeestä ja 13 artiklan 1 kohdan c ja e alakohdasta, ja tietyn käsittelyn välisen yhteyden toteamisesta.
35. Tässä yhteydessä katson, että yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyn käsitettä, olipa se miten laaja hyvänsä, ei voida ulottaa koskemaan tällaista tiedonantovelvollisuutta. Tämä velvollisuus ei nimittäin edellytä mitään suoraa tai välillistä henkilötietoja koskevaa toimintaa. Tiedonantovelvollisuus on pikemminkin edellytys näiden tietojen käsittelyn lainmukaisuudelle.
36. On syytä korostaa, että tämän asetuksen 12 artiklassa asetetaan rekisterinpitäjälle yleisiä velvollisuuksia, jotka koskevat läpinäkyvää informointia ja viestintää, sekä yksityiskohtaisia sääntöjä rekisteröidyn oikeuksien käyttöä varten.
37. Erityisesti kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä säädetään, että ”rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle”.
38. Yleisen tietosuoja-asetuksen 13 artiklan, jonka otsikkona on ”Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä”, 1 kohdan c ja e alakohdassa säädetään seuraavaa:
”Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:
– –
c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
– –
e) mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät”.
39. On palautettava mieleen, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisessä alakohdassa vahvistetaan tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan lainmukaista. Jotta käsittelyn voidaan siis katsoa olevan oikeutettua, sen on kuuluttava johonkin tässä säännöksessä säädetyistä tapauksista.(21)
40. Kyseisen asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohdan mukaan henkilötietojen käsittely on lainmukaista, jos ja siltä osin kuin rekisteröity on antanut sitä koskevan suostumuksensa yhtä tai useampaa erityistä tarkoitusta varten.(22)
41. Jos tällainen suostumus puuttuu tai sitä ei ole annettu yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan mukaisesti vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti ja jos jokin tämän asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b–f alakohdassa mainituista edellytyksistä ei täyty kyseisen käsittelyn osalta, käsittely on lainvastaista.(23)
42. Yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdasta ilmenevästä vaatimuksesta, jonka mukaan suostumuksen on oltava ”tietoinen”, on todettava, että kyseinen vaatimus merkitsee tämän asetuksen 13 artiklan, tarkasteltuna sen johdanto-osan 42 perustelukappale huomioiden, mukaan sitä, että rekisterinpitäjä toimittaa rekisteröidylle tiedot kaikista tietojen käsittelyyn liittyvistä seikoista helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä, koska kyseisen henkilön on muun muassa voitava saada selville se, minkä tyyppisiä tietoja käsitellään, rekisterinpitäjän henkilöllisyys, kyseisen käsittelyn kesto ja tavat sekä sillä tavoitellut päämäärät. Rekisteröidyn on voitava tällaisten tietojen avulla helposti määrittää mahdollisesti antamansa suostumuksen seuraukset, ja näillä tiedoilla on taattava se, että tämä suostumus annetaan täysin tietoisena asiasta.(24)
43. Totean ennakkoratkaisua pyytäneen tuomioistuimen tavoin,(25) että keskusjärjestö väittää sovelluskeskuksen ”Pelaa nyt” ‑painikkeen alla esitettyjen tietojen olevan esitystavaltaan sopimattomia muun muassa sillä perusteella, että käyttäjän pätevän suostumuksen saamista koskevia tietosuojalainsäädännön mukaisia lakisääteisiä edellytyksiä ei ole noudatettu.
44. Keskusjärjestön nostaman kanteen taustalla on toisin sanoen se, että kun otetaan huomioon sovelluskeskuksen puutteellinen esitystapa, johon keskusjärjestö vetoaa, henkilö voisi napsauttaa ”Pelaa nyt” ‑painiketta ilman, että hänellä olisi käytettävissään tarvittavia tietoja, joiden avulla hän voi helposti määrittää tämän painikkeen käyttämisen seurauksena henkilötietojensa käsittelyyn mahdollisesti antamansa suostumuksen seuraukset, ja ilman takeita siitä, että tämä suostumus annetaan täysin tietoisena asiasta.
45. Tässä tilanteessa katson, että keskusjärjestö vetoaa kanteessaan yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa säädetyn mukaisesti siihen, että ”tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä”.
46. Yleisen tietosuoja-asetuksen sekä 12 artikla että 13 artikla kuuluvat tämän asetuksen III lukuun, jonka otsikkona on ”Rekisteröidyn oikeudet”. Kun otetaan huomioon näihin artikloihin perustuva rekisterinpitäjän tiedonantovelvollisuus, rekisteröidylle tästä johtuvat oikeudet kuuluvat niihin oikeuksiin, joita asetuksen 80 artiklan 2 kohdassa säädetyllä edustajakanteella on tarkoitus suojata.
47. Se, että rekisteröityjen oikeutta saada riittävästi tietoa kaikista henkilötietojen käsittelyyn liittyvistä seikoista, kuten käsittelyn tarkoituksesta ja tietojen vastaanottajasta, väitetysti loukataan, voi olla esteenä yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa tarkoitetun ”tietoisen” suostumuksen ilmaisemiselle, mikä voi tehdä tästä käsittelystä lainvastaisen.
48. Näin ollen tämän asetuksen 80 artiklan 2 kohdan mukaisen edustajakanteen nostamiseksi riittää, että yksikkö vetoaa rekisterinpitäjälle asetetun tiedonantovelvollisuuden laiminlyöntiin ja täsmentää kyseessä olevan käsittelyn, joka tässä tapauksessa on se, joka tapahtuu henkilön napsauttaessa ”Pelaa nyt” ‑painiketta. Kyseessä on oltava tietojen käsittely, joka voi vaikuttaa yksilöityjen tai yksilöitävissä olevien luonnollisten henkilöiden kyseiseen asetukseen perustuviin oikeuksiin,(26) mikä merkitsee sitä, että käsittelyn on todellisuudessa tapahduttava, eikä se siis voi olla pelkästään hypoteettista.
49. Lisäksi mielestäni on merkityksetöntä, vetoaako tämä yksikkö henkilötietojen käsittelyä edeltävän velvollisuuden laiminlyöntiin. Tämä koskee tiedonantovelvollisuutta, joka on täytettävä viimeistään tietojen keräämisen ajankohtana yleisen tietosuoja-asetuksen 13 artiklan 1 kohdassa säädetyn mukaisesti.
50. Asetuksen 80 artiklassa 2 kohdassa mainittu ilmaisu ”käsittelyssä” ei siis missään tapauksessa merkitse sitä, että oikeuden, jonka loukkaamisen toteamista tässä artiklassa tarkoitetulla kanteella vaaditaan, pitäisi välttämättä koskea tämän asetuksen 4 artiklan 2 alakohdassa tarkoitettua ”käsittelyä” merkitsevän toimen jälkeen seuraavaa vaihetta. Tähän ilmaisuun ei toisin sanoen voida tulkita sisältyvän minkäänlaista ajallista järjestystä koskevaa vaatimusta, joka tarkoittaisi, että yleisessä tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien loukkaamisen pitäisi tapahtua käsittelyä seuraavassa vaiheessa.
51. Merkitystä on pikemminkin sillä, että kyseisten oikeuksien kunnioittamisen ja käsittelyn välillä on yhteys. Näin on silloin, kun näiden oikeuksien loukkaaminen johtaa siihen, että käsittely on lainvastaista. Käsittelyn lainvastaisuus perustuu tiedonantovelvollisuuden laiminlyöntiin. Näitä kahta ei voida erottaa toisistaan.
52. Tästä seuraa, että vaatimus, jonka mukaan yksikkö voi nostaa yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan mukaisen edustajakanteen, jos se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu ”käsittelyssä”, ei nähdäkseni edellytä, että kyseinen yksikkö vetoaa tällaisten oikeuksien loukkaamiseen, joka johtuu asetuksen 4 artiklan 2 alakohdassa tarkoitetusta tietojenkäsittelytoimesta ja tapahtuu siis tällaisen käsittelytoimen jälkeen. Riittää, että se vetoaa henkilötietojen käsittelyn ja yleisellä tietosuoja-asetuksella suojattujen oikeuksien loukkaamisen väliseen yhteyteen.
53. Tässä tapauksessa ei siis ole merkitystä sillä, että keskusjärjestö vetoaa tiedonantovelvollisuuden laiminlyöntiin riippumatta siitä, napsauttaako henkilö sovelluskeskuksessa ”Pelaa nyt” ‑painiketta vai ei, koska tällä velvollisuudella, siltä osin kuin se voi vaikuttaa tämän painikkeen käyttämisestä seuraavan käsittelyn laillisuuden edellytyksiin, on kiistatta yhteys kyseiseen käsittelyyn.
54. Tämä tulkinta on yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitetun edustajakanteen ennalta ehkäisevän tehtävän mukainen,(27) ja siltä osin kuin se edesauttaa rekisteröityjen oikeuksien vahvistamista,(28) se vastaa myös tämän asetuksen johdanto-osan kymmenennestä perustelukappaleesta ilmenevää tavoitetta turvata unionissa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien korkeatasoinen suoja henkilötietojen käsittelyssä.(29)
55. Lisään vielä, että mielestäni olisi epäjohdonmukaista hyväksyä yleisen tietosuoja-asetuksen 80 artiklan 2 kohdan aineellista soveltamisalaa koskeva suppea tulkinta, kun sen 79 artiklan 1 kohdassa säädetään vastaavin sanamuodoin jokaisen rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin, eikä ole mitään syytä jättää tällaisen oikeussuojakeinon aineellisen soveltamisalan ulkopuolelle oikeuksia, jotka johtuvat kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä, luettuna yhdessä sen 13 artiklan 1 kohdan c ja e alakohdan kanssa, säädetystä tiedonantovelvollisuudesta.
56. Näin ollen katson, että yleisen tietosuoja-asetuksen 80 artiklan 2 kohtaa on tulkittava siten, että edellytys, jonka mukaan oikeutetun yksikön on voidakseen nostaa tämän säännöksen mukaisen edustajakanteen vedottava siihen, että se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä, merkitsee sitä, että tämän yksikön on väitettävä, että henkilötietoja on käsitelty ja että näiden oikeuksien loukkaamisen ja käsittelyn välillä on yhteys. Tämä edellytys täyttyy, jos kanne perustuu henkilötietojen käsittelyn yhteydessä siihen, että rekisterinpitäjä on laiminlyönyt kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä, luettuna yhdessä sen 13 artiklan 1 kohdan c ja e alakohdan kanssa, tarkoitetun tiedonantovelvollisuuden, koska tämä laiminlyönti voi tehdä käsittelystä lainvastaisen.
III Ratkaisuehdotus
57. Kaiken edellä esitetyn perusteella ehdotan, että Bundesgerichtshofin esittämään ennakkoratkaisukysymykseen vastataan seuraavasti:
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 80 artiklan 2 kohtaa
on tulkittava siten, että
edellytys, jonka mukaan oikeutetun yksikön on voidakseen nostaa tämän säännöksen mukaisen edustajakanteen vedottava siihen, että se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä, merkitsee sitä, että tämän yksikön on väitettävä, että henkilötietoja on käsitelty ja että näiden oikeuksien loukkaamisen ja käsittelyn välillä on yhteys. Tämä edellytys täyttyy, jos kanne perustuu henkilötietojen käsittelyn yhteydessä siihen, että rekisterinpitäjä on laiminlyönyt kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä, luettuna yhdessä sen 13 artiklan 1 kohdan c ja e alakohdan kanssa, tarkoitetun tiedonantovelvollisuuden, koska tämä laiminlyönti voi tehdä käsittelystä lainvastaisen.