UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)
28 päivänä huhtikuuta 2022 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 80 artikla – Voittoa tavoittelemattoman yhdistyksen toimiminen rekisteröityjen edustajana – Edustajakanne, jonka on nostanut kuluttajansuojayhdistys ilman valtuutusta ja riippumatta rekisteröidyn tosiasiallisten oikeuksien loukkaamisesta – Kanne, joka perustuu sopimattomien kaupallisten menettelyjen kieltoon, kuluttajansuojalain rikkomiseen tai pätemättömien yleisten sopimusehtojen käyttämisen kieltoon
Asiassa C-319/20,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa) on esittänyt 28.5.2020 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 15.7.2020, saadakseen ennakkoratkaisun asiassa
Meta Platforms Ireland Limited, aiemmin Facebook Ireland Limited,
vastaan
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,
UNIONIN TUOMIOISTUIN (kolmas jaosto),
toimien kokoonpanossa: toisen jaoston puheenjohtaja A. Prechal, joka hoitaa kolmannen jaoston puheenjohtajan tehtäviä, sekä tuomarit J. Passer, F. Biltgen, L. S. Rossi (esittelevä tuomari) ja N. Wahl,
julkisasiamies: J. Richard de la Tour,
kirjaaja: hallintovirkamies M. Krausenböck,
ottaen huomioon kirjallisessa käsittelyssä ja 23.9.2021 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Meta Platforms Ireland Limited, edustajinaan H.-G. Kamann, M. Braun ja H. Frey, Rechtsanwälte, ja V. Wettner, Rechtsanwältin,
– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., edustajanaan P. Wassermann, Rechtsanwalt,
– Saksan hallitus, asiamiehinään D. Klebs ja J. Möller,
– Itävallan hallitus, asiamiehinään A. Posch, G. Kunnert ja J. Schmoll,
– Portugalin hallitus, asiamiehinään L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa ja L. Medeiros,
– Euroopan komissio, asiamiehinään aluksi F. Erlbacher, H. Kranenborg ja D. Nardi, sittemmin F. Erlbacher ja H. Kranenborg,
kuultuaan julkisasiamiehen 2.12.2021 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä tietosuoja-asetus) 80 artiklan 1 ja 2 kohdan ja 84 artiklan 1 kohdan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat Meta Platforms Ireland Limited, aiemmin Facebook Ireland Limited, jonka kotipaikka on Irlannissa, ja Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (liittovaltion kuluttajakeskusten ja ‑yhdistysten keskusjärjestö, Saksa; jäljempänä keskusjärjestö) ja joka koskee sitä, että Meta Platforms Ireland on rikkonut henkilötietojen suojaa koskevaa Saksan lainsäädäntöä, mikä merkitsee samanaikaisesti sopimatonta kaupallista menettelyä, kuluttajansuojalain rikkomista ja pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomista.
Asiaa koskevat oikeussäännöt
Unionin oikeus
Tietosuoja-asetus
3 Tietosuoja-asetuksen 9, 10, 13 ja 142 perustelukappaleessa todetaan seuraavaa:
”(9) [Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston] direktiivin 95/46/EY [(EYVL 1995, L 281, s. 31)] tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy luonnollisten henkilöiden suojelun kannalta huomattavia riskejä. Jäsenvaltioiden väliset eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun, erityisesti oikeudessa henkilötietojen suojaan, voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi unionin taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Tällaiset suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin [95/46] täytäntöönpanossa ja soveltamisessa esiintyvistä eroista.
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –
– –
(13) Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys talouden toimijoille, kuten mikroyrityksille sekä pienille ja keskisuurille yrityksille, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet ja rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, joilla varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. – –
– –
(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta. Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta. Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.”
4 Kyseisen asetuksen 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 1 kohdassa säädetään seuraavaa:
”Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.”
5 Tietosuoja-asetuksen 4 artiklan 1 alakohdassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.
6 Tietosuoja-asetuksen III luvun, joka sisältää 12–23 artiklan, otsikko on ”Rekisteröidyn oikeudet”.
7 Kyseisen asetuksen 12 artiklan, jonka otsikko on ”Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten”, 1 kohdassa säädetään seuraavaa:
”Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.”
8 Tietosuoja-asetuksen 13 artiklan, jonka otsikko on ”Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä”, 1 kohdan c ja e alakohdassa säädetään seuraavaa:
”Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:
– –
c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
– –
e) mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät – –”
9 Mainitun asetuksen VIII luvun, joka sisältää 77–84 artiklan, otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”.
10 Tietosuoja-asetuksen 77 artiklan, jonka otsikko on ”Oikeus tehdä kantelu valvontaviranomaiselle”, 1 kohdassa säädetään seuraavaa:
”Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.”
11 Tietosuoja-asetuksen 78 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”, 1 kohdassa säädetään seuraavaa:
”Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.”
12 Tietosuoja-asetuksen 79 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, 1 kohdassa säädetään seuraavaa:
”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”
13 Tietosuoja-asetuksen 80 artiklassa, jonka otsikko on ”Rekisteröityjen edustaminen”, säädetään seuraavaa:
”1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan sekä käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.
2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.”
14 Kyseisen asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, 1 kohdassa säädetään seuraavaa:
”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”
15 Tietosuoja-asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”
Direktiivi 2005/29/EY
16 Sopimattomista elinkeinonharjoittajien ja kuluttajien välisistä kaupallisista menettelyistä sisämarkkinoilla ja neuvoston direktiivin 84/450/ETY, Euroopan parlamentin ja neuvoston direktiivien 97/7/EY, 98/27/EY ja 2002/65/EY sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 2006/2004 muuttamisesta 11.5.2005 annetun Euroopan parlamentin ja neuvoston direktiivin 2005/29/EY (sopimattomia kaupallisia menettelyjä koskeva direktiivi) (EUVL 2005, L 149, s. 22) tarkoituksena on sen 1 artiklan mukaan tukea sisämarkkinoiden moitteetonta toimintaa ja saavuttaa korkeatasoinen kuluttajansuoja lähentämällä jäsenvaltioiden lait, asetukset ja hallinnolliset määräykset, jotka koskevat kuluttajien taloudellisia etuja vahingoittavia sopimattomia kaupallisia menettelyjä.
17 Direktiivin 2005/29 5 artiklassa, jonka otsikko on ”Sopimattomien kaupallisten menettelyjen kieltäminen”, säädetään seuraavaa:
”1. Sopimattomat kaupalliset menettelyt ovat kiellettyjä.
2. Kaupallinen menettely on sopimaton, mikäli:
a) se on huolellisen ammatinharjoittamisen vaatimusten vastainen;
ja
b) se vääristää olennaisesti tai on omiaan vääristämään olennaisesti menettelyn saavutettavissa tai kohteena olevan keskivertokuluttajan tai, kun kaupallinen menettely on suunnattu tietylle kuluttajaryhmälle, ryhmään kuuluvan keskivertohenkilön taloudellista käyttäytymistä tuotteeseen nähden.
– –
5. Liitteessä I on luettelo niistä kaupallisista menettelyistä, joita pidetään kaikissa olosuhteissa sopimattomina. – –”
18 Kyseisen direktiivin 11 artiklan, jonka otsikko on ”Täytäntöönpano”, 1 kohdassa säädetään seuraavaa:
”1. Jäsenvaltioiden on huolehdittava, että käytettävissä on riittävät ja tehokkaat keinot sopimattomien kaupallisten menettelyjen torjumiseksi, jotta tämän direktiivin säännöksiä noudatetaan kuluttajien edun edellyttämällä tavalla.
Näihin keinoihin kuuluvat säännökset, joiden mukaisesti sellaiset henkilöt tai yhteisöt, joiden etua sopimattomien kaupallisten menettelyjen torjuminen kansallisen lainsäädännön mukaisesti koskee, kilpailijat mukaan luettuina, voivat
a) ryhtyä oikeudellisiin toimiin tällaisten sopimattomien kaupallisten menettelyjen suhteen;
ja/tai
b) saattaa tällaiset sopimattomat kaupalliset menettelyt sellaisen hallintoviranomaisen käsiteltäväksi, jolla on toimivalta joko ratkaista valitukset tai panna vireille asianmukainen oikeudenkäynti asiassa.
Kunkin jäsenvaltion on ratkaistava, kumpi näistä mahdollisuuksista on käytettävissä ja onko tuomioistuimilla tai hallintoviranomaisilla oikeus vaatia, että valituksen käsittelyssä on turvauduttava muihin olemassa oleviin keinoihin, joihin luetaan myös 10 artiklassa tarkoitetut menettelyt, ennen asian ottamista ratkaistavaksi. Keinot ovat käytettävissä riippumatta siitä, ovatko asianomaiset kuluttajat sen jäsenvaltion alueella, jossa elinkeinonharjoittaja sijaitsee, vai jossakin toisessa jäsenvaltiossa.
– –”
19 Direktiivin 2005/29 liitteessä I, joka sisältää kaupalliset menettelyt, joita pidetään kaikissa olosuhteissa sopimattomina, olevassa 26 kohdassa mainitaan tällaisena menettelynä seuraavaa:
”Sinnikkäät ja ei-toivotut myyntiyhteydenotot puhelimitse, faksitse, sähköpostitse tai muuta etävälinettä käyttäen lukuun ottamatta perusteltavissa olevia tilanteita, jotka liittyvät sopimusvelvoitteen täyttämiseen kansallisen lainsäädännön mukaisesti. Tällä ei rajoiteta – – [direktiivin] 95/46/EY – – soveltamista.”
Direktiivi 2009/22/EY
20 Kuluttajien etujen suojaamista tarkoittavista kieltokanteista 23.4.2009 annetun Euroopan parlamentin ja neuvoston direktiivin 2009/22/EY (EUVL 2009, L 110, s. 30) 1 artiklassa, jonka otsikko on ”Soveltamisala”, säädetään seuraavaa:
”1. Tämän direktiivin tarkoituksena on lähentää niitä jäsenvaltioiden lakeja, asetuksia ja hallinnollisia määräyksiä, jotka liittyvät 2 artiklassa tarkoitettuihin, liitteeseen I sisältyvien direktiivien soveltamisalaan kuuluvien, kuluttajien yhteisten etujen suojaamista tarkoittaviin kieltokanteisiin, jotta voitaisiin varmistaa sisämarkkinoiden moitteeton toiminta.
2. Tässä direktiivissä oikeudenloukkauksella tarkoitetaan mitä hyvänsä liitteessä I lueteltujen direktiivien, sellaisina kuin ne ovat saatettuina osaksi jäsenvaltioiden kansallista lainsäädäntöä, vastaista tointa, joka vahingoittaa 1 kohdassa tarkoitettuja yhteisiä etuja.”
21 Direktiivin 2009/22 7 artiklassa, jonka otsikko on ”Laajempaa kanneoikeutta koskevat säännökset”, säädetään seuraavaa:
”Tämä direktiivi ei estä jäsenvaltioita antamasta tai pitämästä voimassa säännöksiä, joilla annetaan kansallisella tasolla 3 artiklassa tarkoitetuille oikeutetuille yksiköille sekä mille hyvänsä muulle asianosaiselle henkilölle laajemmat oikeudet nostaa kanne.”
22 Direktiivin 2009/22 liite I sisältää luettelon sen 1 artiklassa tarkoitetuista unionin direktiiveistä. Kyseisessä liitteessä olevassa 11 kohdassa mainitaan direktiivi 2005/29.
Direktiivi (EU) 2020/1828
23 Kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista ja direktiivin 2009/22/EY kumoamisesta 25.11.2020 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 (EUVL 2020, L 409, s. 1) 11, 13 ja 15 perustelukappaleessa todetaan seuraavaa:
”(11) Tämä direktiivi ei saisi korvata voimassa olevia kansallisia menettelymekanismeja, joiden tavoitteena on suojella kuluttajien yhteisiä etuja tai yksittäisten kuluttajien etuja. Kun otetaan huomioon jäsenvaltioiden oikeusperinteet, direktiivissä olisi jätettävä jäsenvaltioiden harkintaan, olisiko tässä direktiivissä edellytetty edustajakanteita koskeva menettelymekanismi otettava osaksi voimassa olevaa tai uutta kollektiivista kielto- tai hyvitystoimenpiteitä koskevaa menettelymekanismia vai olisiko se otettava käyttöön erillisenä menettelymekanismina, edellyttäen että ainakin yksi edustajakanteita koskeva kansallinen menettelymekanismi on tämän direktiivin mukainen. – – Jos tässä direktiivissä vaaditun menettelymekanismin lisäksi kansallisella tasolla on käytössä menettelymekanismeja, oikeutetun yksikön olisi voitava valita käytettävä menettelymekanismi.
– –
(13) Tämän direktiivin soveltamisalassa olisi otettava huomioon kuluttajansuojan alan viimeaikainen kehitys. Kuluttajat toimivat nyt laajemmilla ja yhä digitalisoidummilla markkinoilla, joten korkean tason kuluttajansuojan saavuttaminen edellyttää, että yleisen kuluttajalainsäädännön lisäksi tämän direktiivin soveltamisalaan kuuluvat esimerkiksi tietosuoja, rahoituspalvelut, matkailu, energia-ala sekä televiestintä. – –
– –
(15) Tämä direktiivi ei saisi rajoittaa liitteessä I lueteltuja säädöksiä, ja sen vuoksi se ei saisi muuttaa tai laajentaa kyseisissä säädöksissä vahvistettuja määritelmiä tai korvata mitään kyseisten säädösten mahdollisesti sisältämiä täytäntöönpanomekanismeja. Esimerkiksi [tietosuoja-asetuksessa] säädettyjä tai siihen perustuvia täytäntöönpanomekanismeja voitaisiin soveltuvin osin edelleen käyttää kuluttajien yhteisten etujen suojaamiseen.”
24 Tämän direktiivin 2 artiklan, jonka otsikko on ”Soveltamisala”, 1 kohdassa säädetään seuraavaa:
”Tätä direktiiviä sovelletaan elinkeinonharjoittajia vastaan nostettaviin edustajakanteisiin, jotka perustuvat siihen, että elinkeinonharjoittajat ovat rikkoneet liitteessä I tarkoitettuja unionin oikeuden säännöksiä, mukaan lukien säännökset sellaisina kuin ne ovat saatettuina osaksi kansallista lainsäädäntöä, ja kyseiset rikkomiset aiheuttavat haittaa tai saattavat aiheuttaa haittaa kuluttajien yhteisille eduille. Tällä direktiivillä ei rajoiteta liitteessä I tarkoitetun unionin lainsäädännön säännösten soveltamista. – –”
25 Mainitun direktiivin 24 artiklan, jonka otsikko on ”Saattaminen osaksi kansallista lainsäädäntöä”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on annettava ja julkaistava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 25 päivänä joulukuuta 2022. Niiden on viipymättä ilmoitettava tästä komissiolle.
Niiden on sovellettava näitä säännöksiä 25 päivästä kesäkuuta 2023.
– –”
26 Direktiivin 2020/1828 liitteessä I, joka sisältää luettelon sen 2 artiklan 1 kohdassa tarkoitetuista unionin oikeuden säännöksistä, olevassa 56 kohdassa mainitaan tietosuoja-asetus.
Saksan oikeus
Kieltokanteista annettu laki
27 Kieltokanteista kuluttajan oikeuksien loukkausten ja muiden rikkomisten yhteydessä 26.11.2001 annetun lain (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG); BGBl. 2001 I, s. 3138), sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä kieltokanteista annettu laki), 2 §:ssä säädetään seuraavaa:
”(1) Sitä vastaan, joka rikkoo kuluttajien suojaamiseksi annettuja säännöksiä (kuluttajansuojalainsäädäntö) muutoin kuin yleisten sopimusehtojen soveltamisen tai niitä koskevien suositusten osalta, voidaan vaatia kielto- ja lopettamismääräystä kuluttajien suojaamisen nimissä. – –
(2) Tässä säännöksessä ’kuluttajansuojalainsäädännöllä’ tarkoitetaan erityisesti
– –
11. säännöksiä, joilla säännellään sen hyväksyttävyyttä,
a) että yritys kerää kuluttajan henkilötietoja tai
b) että yritys käsittelee ja hyödyntää kuluttajasta kerättyjä henkilötietoja,
jos tietoja kerätään, käsitellään tai hyödynnetään mainontaa, markkina- ja mielipidetutkimusta, luottotietojen keräämistä, henkilö- ja käyttöprofiilien laadintaa, osoitetietojen myyntiä tai muiden tietojen myyntiä varten taikka vastaaviin kaupallisiin tarkoituksiin.”
28 Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa) toteaa, että kieltokanteista annetun lain 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan nojalla kyseisen lain 4 §:ssä tarkoitetut elimet, joilla on asiavaltuus, voivat yhtäältä vaatia mainitun lain 1 §:n mukaisesti siviililain (Bürgerliches Gesetzbuch) 307 §:n mukaan pätemättömien yleisten sopimusehtojen käytön lopettamista ja toisaalta vaatia saman lain 2 §:n 2 momentissa tarkoitetun kuluttajansuojalainsäädännön rikkomisen lopettamista.
Sopimattoman kilpailun estämisestä annettu laki
29 Sopimattoman kilpailun estämisestä 3.7.2004 annetun lain (Gesetz gegen den unlauteren Wettbewerb – UWG; BGBl. 2004 I, s. 1414), sellaisena kuin sitä sovelletaan pääasiassa, 3 §:n 1 momentissa säädetään seuraavaa:
”Sopimattomat kaupalliset menettelytavat ovat kiellettyjä.”
30 Sopimattoman kilpailun estämisestä annetun lain 3a §:ssä säädetään seuraavaa:
”Sopimattomaan menettelyyn syyllistyy henkilö, joka menettelee sellaisen lainsäädännön vastaisesti, jolla on tarkoitus säännellä myös markkinakäyttäytymistä markkinatoimijoiden edun mukaisesti, jos rikkominen on omiaan vahingoittamaan tuntuvasti kuluttajien, kilpailijoiden tai muiden markkinatoimijoiden etuja.”
31 Sopimattomasta kilpailusta annetun lain 8 §:ssä säädetään seuraavaa:
”(1) Kaikki 3 §:n tai 7 §:n nojalla lainvastaiset kaupalliset menettelyt voidaan määrätä lopetettaviksi, ja mikäli on olemassa uusimisen vaara, niiden toteuttaminen tulevaisuudessa voidaan kieltää. – –
– –
(3) Edellä 1 momentissa tarkoitettuja määräyksiä voivat hakea
– –
3. oikeutetut yksiköt, jotka osoittavat, että ne on merkitty [kieltokanteista annetun lain] 4 §:ssä tarkoitettuun oikeutettujen yksiköiden luetteloon – –”
Sähköisistä tieto- ja viestintäpalveluista annettu laki
32 Bundesgerichtshof toteaa, että sähköisistä tieto- ja viestintäpalveluista 26.2.2007 annetun lain (Telemediengesetz; BGBl. 2007 I, s. 179) 13 §:n 1 momenttia sovellettiin tietosuoja-asetuksen voimaantuloon asti. Kyseisestä päivästä lähtien tämä säännös on korvattu tietosuoja-asetuksen 12–14 artiklalla.
33 Sähköisistä tieto- ja viestintäpalveluista annetun lain 13 §:n 1 momentin ensimmäisessä virkkeessä säädetään seuraavaa:
”Palveluntarjoajan on ilmoitettava käyttäjälle käyttökerran alkaessa yleisesti ymmärrettävässä muodossa henkilötietojen keräämisen ja hyödyntämisen luonteesta, laajuudesta ja tarkoituksesta sekä hänen tietojensa käsittelystä valtioissa, jotka eivät kuulu [direktiivin 95/46] soveltamisalaan, ellei tällaista ilmoitusta ole jo tehty.”
Pääasia ja ennakkoratkaisukysymys
34 Meta Platforms Ireland, joka hallinnoi verkkoyhteisöpalvelu Facebookin palvelujen tarjoamista unionissa, on tämän verkkoyhteisön käyttäjien henkilötietojen rekisterinpitäjä unionissa. Facebook Germany GmbH, jonka kotipaikka on Saksassa, myy osoitteessa www.facebook.de mainostilaa. Facebookin verkkoalusta sisältää muun muassa internetosoitteessa www.facebook.de sovelluskeskuksen (App-Zentrum), jossa Meta Platforms Ireland asettaa käyttäjiensä saataville kolmansien osapuolten tarjoamia maksuttomia pelejä. Tiettyjä pelejä sovelluskeskuksessa avattaessa käyttäjä näkee maininnan, jonka mukaan kyseessä olevan sovelluksen käyttäjä sallii peliyhtiön saada tiettyjä henkilötietoja ja antaa tälle luvan julkaista käyttäjän nimissä tiettyjä tietoja, kuten hänen pistetilanteensa ja muita tietoja. Tästä käytöstä seuraa, että mainittu käyttäjä hyväksyy sovelluksen yleiset sopimusehdot ja sen politiikan tietosuoja-alalla. Lisäksi tietyn pelin osalta mainitaan, että sovellus saa julkaista sen käyttäjän nimissä tilapäivityksiä, valokuvia ja muita tietoja.
35 Keskusjärjestö, jolla on kieltokanteista annetun lain 4 §:n mukainen asiavaltuus, katsoo, että kyseessä olevissa sovelluskeskuksen peleissä annetut tiedot ovat sopimattomia muun muassa siitä syystä, että käyttäjän pätevän suostumuksen saamista koskevia tietosuojalainsäädännön mukaisia lakisääteisiä edellytyksiä ei ole noudatettu. Lisäksi se katsoo, että maininta, jonka mukaan sovellus saa julkaista käyttäjän nimissä tiettyjä tämän henkilökohtaisia tietoja, on yleinen sopimusehto, joka on kohtuuttomalla tavalla epäedullinen käyttäjän kannalta.
36 Keskusjärjestö on tässä asiayhteydessä nostanut Landgericht Berlinissä (Berliinin alueellinen tuomioistuin, Saksa) Meta Platforms Irelandia vastaan sopimattoman kilpailun estämisestä annetun lain 3a §:ään, kieltokanteista annetun lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaan ja siviililakiin perustuvan kieltokanteen. Tämä kanne on nostettu riippumatta siitä, onko rekisteröidyn oikeutta tietosuojaan tosiasiallisesti loukattu, ja ilman tällaisen henkilön valtuutusta.
37 Landgericht Berlin tuomitsi Meta Platforms Irelandin keskusjärjestön vaatimusten mukaisesti. Kammergericht Berlin (Berliinin osavaltion ylioikeus, Saksa) hylkäsi Meta Platforms Irelandin tekemän valituksen. Meta Platforms Ireland teki tämän jälkeen ennakkoratkaisua pyytäneeseen tuomioistuimeen Revision-valituksen toisen asteen tuomioistuimen antamasta hylkäävästä ratkaisusta.
38 Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että keskusjärjestön kanne on perusteltu, koska Meta Platforms Ireland on rikkonut sopimattoman kilpailun estämisestä annetun lain 3a §:ää ja kieltokanteista annetun lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaa ja käyttänyt kieltokanteista annetun lain 1 §:ssä tarkoitettua pätemätöntä yleistä sopimusehtoa.
39 Kyseinen tuomioistuin on kuitenkin epävarma siitä, voidaanko keskusjärjestön kanne ottaa tutkittavaksi. Se katsoo nimittäin, ettei ole suljettu pois, että keskusjärjestö, jolla oli kanteen nostamisajankohtana – sopimattoman kilpailun estämisestä annetun lain 8 §:n 3 momentin ja kieltokanteista annetun lain 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan perusteella – asiavaltuus, on tietosuoja-asetuksen ja erityisesti sen 80 artiklan 1 ja 2 kohdan sekä 84 artiklan 1 kohdan voimaantulon johdosta menettänyt tämän asemansa oikeudenkäynnin aikana. Jos näin olisi, ennakkoratkaisua pyytäneen tuomioistuimen pitäisi hyväksyä Meta Platforms Irelandin tekemä Revision-valitus ja hylätä keskusjärjestön kanne, koska Saksan oikeuden merkityksellisten menettelysäännösten mukaan asiavaltuuden on jatkuttava viimeisessä oikeusasteessa käytävän menettelyn päättymiseen saakka.
40 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan vastaus tähän kysymykseen ei käy selvästi ilmi tietosuoja-asetuksen säännösten sanamuodon, rakenteen eikä tarkoituksen arvioinnista.
41 Tietosuoja-asetuksen säännösten sanamuodosta ennakkoratkaisua pyytänyt tuomioistuin toteaa, että sellaisten voittoa tavoittelemattomien elinten, järjestöjen tai yhdistysten, jotka on perustettu pätevästi jäsenvaltion lainsäädännön mukaisesti, asiavaltuus tietosuoja-asetuksen 80 artiklan 1 kohdan nojalla edellyttää, että rekisteröity on valtuuttanut elimen, järjestön tai yhdistyksen käyttämään nimissään yleisen tietosuoja-asetuksen 77–79 artiklassa tarkoitettuja oikeuksia ja tietosuoja-asetuksen 82 artiklassa tarkoitettua oikeutta korvauksen saamiseen, jos jäsenvaltion lainsäädännössä säädetään tästä.
42 Ennakkoratkaisua pyytänyt tuomioistuin korostaa, että sopimattoman kilpailun estämisestä annetun lain 8 §:n 3 momentin 3 kohtaan perustuva asiavaltuus ei koske tällaista rekisteröidyn toimeksiannosta ja nimissä suoritettua tämän henkilökohtaisten oikeuksien ajamista. Sitä vastoin sillä annetaan yhdistykselle sopimattoman kilpailun estämisestä annetun lain 3 §:n 1 momenttiin ja 3a §:ään perustuvana omana oikeutenaan objektiivinen asiavaltuus toimia tietosuoja-asetuksen säännösten rikkomista vastaan riippumatta rekisteröityjen tosiasiallisten oikeuksien loukkaamisesta ja näiden antamasta valtuutuksesta.
43 Ennakkoratkaisua pyytänyt tuomioistuin huomauttaa lisäksi, että tietosuoja-asetuksen 80 artiklan 2 kohdassa ei säädetä yhdistyksen asiavaltuudesta henkilötietojen suojaa koskevan oikeuden objektiiviseksi soveltamiseksi, koska kyseisessä säännöksessä edellytetään, että tietosuoja-asetuksessa säädettyjä rekisteröidyn oikeuksia on tosiasiallisesti loukattu tietojen käsittelyssä.
44 Tämän lisäksi sopimattoman kilpailun estämisestä annetun lain 8 §:n 3 momentissa säädetyn kaltainen yhdistyksen asiavaltuus ei ennakkoratkaisua pyytäneen tuomioistuimen mukaan voi perustua tietosuoja-asetuksen 84 artiklan 1 kohtaan, jonka mukaan jäsenvaltioiden on säädettävä muista kyseisen asetuksen rikkomisista aiheutuvista seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Sopimattoman kilpailun estämisestä annetun lain 8 §:n 3 momentissa tarkoitetun kaltaista yhdistyksen asiavaltuutta ei nimittäin voida pitää tietosuoja-asetuksen kyseisessä säännöksessä tarkoitettuna seuraamuksena.
45 Tietosuoja-asetuksen säännösten rakenteen osalta ennakkoratkaisua pyytänyt tuomioistuin katsoo, että siitä, että sillä on yhdenmukaistettu muun muassa valvontaviranomaisten valtuudet, voidaan päätellä, että ensisijaisesti näiden viranomaisten tehtävänä on varmistaa tämän asetuksen säännösten soveltaminen. Tietosuoja-asetuksen 77 artiklan 1 kohdassa, 78 artiklan 1 ja 2 kohdassa sekä 79 artiklan 1 kohdassa oleva maininta ”sanotun kuitenkaan rajoittamatta muita – – oikeussuojakeinoja” saattaa kuitenkin puhua sitä käsitystä vastaan, että kyseisellä asetuksella säänneltäisiin tyhjentävästi oikeuden soveltamisen valvontaa.
46 Tietosuoja-asetuksen tavoitteesta ennakkoratkaisua pyytänyt tuomioistuin toteaa, että asetuksen tehokas oikeusvaikutus voisi puoltaa sitä, että yhdistyksillä on sopimattoman kilpailun estämisestä annetun lain 8 §:n 3 momentin 3 kohdan mukainen kilpailuoikeuteen perustuva asiavaltuus riippumatta siitä, onko rekisteröityjen tosiasiallisia oikeuksia loukattu, sikäli kuin tällä säilytettäisiin lisämahdollisuus valvoa oikeuden soveltamista, jotta voidaan varmistaa mahdollisimman korkea henkilötietojen suojan taso tietosuoja-asetuksen johdanto-osan kymmenennen perustelukappaleen mukaisesti. Kilpailuoikeuteen perustuvan yhdistysten asiavaltuuden tunnustamisen voitaisiin kuitenkin katsoa olevan ristiriidassa tietosuoja-asetuksella tavoitellun yhdenmukaistamistavoitteen kanssa.
47 Näissä olosuhteissa Bundesgerichtshof on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:
”Ovatko [tietosuoja-asetuksen] VIII luvun ja erityisesti sen 80 artiklan 1 ja 2 kohdan sekä 84 artiklan 1 kohdan säännökset esteenä kansalliselle lainsäädännölle, jonka mukaan – asetuksen valvonnasta ja täytäntöönpanosta vastaavien valvontaviranomaisten toimintavallan ja rekisteröityjen käytettävissä olevien oikeussuojakeinojen ohella – yhtäältä kilpailijoilla ja toisaalta kansallisen lainsäädännön nojalla oikeutetuilla järjestöillä, yhdistyksillä ja kamareilla on [tietosuoja-asetuksen] rikkomisen perusteella oikeus nostaa loukkaajaa vastaan siviilituomioistuimessa kanne riippumatta siitä, onko yksittäisten rekisteröityjen tosiasiallisia oikeuksia loukattu, ja ilman rekisteröidyltä saatua valtuutusta, vetoamalla sopimattomien kaupallisten menettelyjen kieltoon, kuluttajansuojalainsäädännön rikkomiseen tai pätemättömien yleisten sopimusehtojen käytön kieltoon?”
Ennakkoratkaisukysymyksen tarkastelu
48 Aluksi on todettava, että – kuten muun muassa tämän tuomion 36 kohdasta ja 41–44 kohdasta ilmenee – pääasiassa ovat vastakkain keskusjärjestön kaltainen kuluttajansuojayhdistys ja Meta Platforms Ireland ja se koskee sitä, voiko tällainen yhdistys nostaa kanteen kyseistä yhtiötä vastaan ilman sille tätä varten annettua valtuutusta ja riippumatta siitä, onko rekisteröityjen tosiasiallisia oikeuksia loukattu.
49 Kuten komissio on perustellusti todennut kirjallisissa huomautuksissaan, vastaus ennakkoratkaisukysymykseen riippuu yksinomaan tietosuoja-asetuksen 80 artiklan 2 kohdan tulkinnasta, koska tietosuoja-asetuksen 80 artiklan 1 kohdan ja 84 artiklan säännöksillä ei ole merkitystä nyt käsiteltävässä asiassa. Yhtäältä tietosuoja-asetuksen 80 artiklan 1 kohdan soveltaminen edellyttää, että rekisteröity on valtuuttanut tässä säännöksessä tarkoitetun voittoa tavoittelemattoman elimen, järjestön tai yhdistyksen ryhtymään omissa nimissään tietosuoja-asetuksen 77–79 artiklassa säädettyihin oikeudellisiin toimenpiteisiin. On selvää, ettei näin ole pääasiassa, koska keskusjärjestö toimii rekisteröidyn valtuutuksesta riippumatta. Toisaalta on selvää, että tietosuoja-asetuksen 84 artikla koskee tämän asetuksen rikkomisesta määrättäviä hallinnollisia ja rikosoikeudellisia seuraamuksia, mistä ei myöskään ole kyse pääasiassa.
50 Lisäksi on todettava, että pääasiassa ei nouse esiin kysymys kilpailijan asiavaltuudesta. Näin ollen on vastattava ainoastaan siihen kysymyksen osaan, joka koskee tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitettujen kansallisen oikeuden nojalla oikeutettujen yhdistysten, elinten ja järjestöjen asiavaltuutta.
51 Tästä seuraa, että ennakkoratkaisua pyytäneen tuomioistuimen esittämä kysymys on ymmärrettävä siten, että sillä tiedustellaan lähinnä sitä, onko tietosuoja-asetuksen 80 artiklan 2 kohtaa tulkittava siten, että se on esteenä kansalliselle säännöstölle, jonka mukaan kuluttajien etuja puolustava yhdistys voi nostaa kanteen tuomioistuimessa ilman sille tätä varten annettua valtuutusta ja riippumatta siitä, onko rekisteröidyn tosiasiallisia oikeuksia loukattu, henkilötietojen suojan oletettua rikkojaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kiellon, kuluttajansuojalain taikka pätemättömien yleisten sopimusehtojen käyttämiskiellon rikkomiseen.
52 Tähän kysymykseen vastaamiseksi on muistutettava, että – kuten tietosuoja-asetuksen johdanto-osan kymmenennestä perustelukappaleesta ilmenee – kyseisellä asetuksella pyritään muun muassa varmistamaan luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa ja poistamaan henkilötietojen liikkuvuuden esteet siellä.
53 Tässä yhteydessä kyseisen asetuksen VIII luvussa säännellään muun muassa oikeussuojakeinoja rekisteröidyn oikeuksien suojaamiseksi silloin, kun häntä koskevia henkilötietoja on käsitelty väitetysti kyseisen asetuksen säännösten vastaisesti. Näiden oikeuksien suojaa voi siten vaatia joko suoraan rekisteröity tai tietosuoja-asetuksen 80 artiklan nojalla oikeutettu yksikkö joko valtuutuksen perusteella tai ilman sitä.
54 Rekisteröidyllä on siten ensinnäkin itsellään oikeus tehdä kantelu jäsenvaltion valvontaviranomaiselle tai nostaa kanne kansallisissa siviilituomioistuimissa. Tarkemmin sanottuna kyseisellä henkilöllä on oikeus tehdä yleisen tietosuoja-asetuksen 77 artiklan mukaisesti kantelu valvontaviranomaiselle, oikeus tietosuoja-asetuksen 78 artiklan mukaisesti tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan, tietosuoja-asetuksen 79 artiklassa säädetty oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan ja tietosuoja-asetuksen 82 artiklan mukainen oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
55 Tietosuoja-asetuksen 80 artiklan 1 kohdan mukaan rekisteröidyllä on tietyin edellytyksin oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys tekemään puolestaan kantelu tai käyttämään puolestaan edellä mainituissa artikloissa tarkoitettuja oikeuksia.
56 Tietosuoja-asetuksen 80 artiklan 2 kohdan mukaan jäsenvaltiot voivat säätää, että elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu 77 artiklan nojalla valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu rekisteröityjä koskevien henkilötietojen käsittelyssä.
57 Tältä osin on todettava, että – kuten tietosuoja-asetuksen 1 artiklan 1 kohdasta, luettuna erityisesti 9, 10 ja 13 perustelukappaleen valossa, ilmenee – tällä asetuksella pyritään henkilötietojen suojaa koskevan kansallisen lainsäädännön lähtökohtaisesti täydelliseen yhdenmukaistamiseen. Mainitun asetuksen säännöksillä annetaan kuitenkin jäsenvaltioille mahdollisuus säätää tiukemmista tai poikkeavista kansallisista täydentävistä säännöistä, jotka jättävät niille harkintavaltaa sen suhteen, miten nämä säännökset voidaan panna täytäntöön (ns. avoimet lausekkeet).
58 Tässä yhteydessä on palautettava mieleen, että unionin tuomioistuimen hyvin vakiintuneessa oikeuskäytännössä katsotaan, että SEUT 288 artiklan mukaan ja juuri asetusten luonteen ja asetuksilla unionin oikeuslähteiden järjestelmässä olevan tehtävän vuoksi asetusten säännöksillä on yleensä välitön oikeusvaikutus kansallisissa oikeusjärjestyksissä ilman, että kansallisten viranomaisten tarvitsisi ryhtyä täytäntöönpanotoimiin. Asetusten tiettyjen säännösten täytäntöönpano voi kuitenkin edellyttää täytäntöönpanotoimien toteuttamista jäsenvaltioissa (tuomio 15.6.2021, Facebook Ireland ym., C-645/19, EU:C:2021:483, 110 kohta oikeuskäytäntöviittauksineen).
59 Tämä koskee erityisesti tietosuoja-asetuksen 80 artiklan 2 kohtaa, jossa jätetään jäsenvaltioille harkintavaltaa sen täytäntöönpanon osalta. Jotta voidaan nostaa tässä säännöksessä säädetty henkilötietojen suojaa koskeva edustajakanne ilman valtuutusta, jäsenvaltioiden on siis käytettävä kyseisessä säännöksessä niille annettua mahdollisuutta säätää kansallisessa lainsäädännössään tällaisesta rekisteröityjen edustamistavasta.
60 Kuten julkisasiamies on huomauttanut ratkaisuehdotuksensa 51 ja 52 kohdassa, on kuitenkin niin, että kun jäsenvaltiot käyttävät tällaisella avoimella lausekkeella niille annettua mahdollisuutta, niiden on käytettävä harkintavaltaansa tietosuoja-asetuksen säännöksissä säädettyjen edellytysten ja rajoitusten mukaisesti ja niiden on siten annettava lainsäädäntöä tavalla, joka ei loukkaa kyseisen asetuksen sisältöä ja tavoitteita.
61 Kuten Saksan hallitus on vahvistanut nyt käsiteltävässä asiassa pidetyssä istunnossa, Saksan lainsäätäjä ei ole antanut tietosuoja-asetuksen voimaantulon jälkeen erityissäännöksiä, joilla erityisesti olisi tarkoitus panna täytäntöön kyseisen asetuksen 80 artiklan 2 kohta kansallisessa oikeudessa. Pääasiassa kyseessä oleva kansallinen säännöstö, joka on annettu direktiivin 2009/22 täytäntöönpanon varmistamiseksi, mahdollistaa jo sen, että kuluttajien etuja puolustavat järjestöt voivat nostaa kanteen henkilötietojen suojan oletettua loukkaajaa vastaan. Kyseinen hallitus korostaa lisäksi, että unionin tuomioistuin on 29.7.2019 antamassaan tuomiossa Fashion ID (C-40/17, EU:C:2019:629), joka koskee direktiivin 95/46 säännösten tulkintaa, katsonut, etteivät ne ole esteenä kyseiselle kansalliselle lainsäädännölle.
62 Kuten julkisasiamies on todennut ratkaisuehdotuksensa 60 kohdassa, tässä tilanteessa on lähinnä tarkastettava, kuuluvatko pääasiassa kyseessä olevat kansalliset säännöt tietosuoja-asetuksen 80 artiklan 2 kohdassa kullekin jäsenvaltiolle annetun harkintavallan piiriin, ja tätä säännöstä on näin ollen tulkittava siten, että otetaan huomioon sen sanamuoto sekä kyseisen asetuksen rakenne ja tavoitteet.
63 Tältä osin on todettava, että tietosuoja-asetuksen 80 artiklan 2 kohdassa annetaan jäsenvaltioille mahdollisuus säätää edustajakannemekanismista henkilötietojen suojan oletettua loukkaajaa vastaan, mutta siinä asetetaan tiettyjä henkilöllistä ja aineellista soveltamisalaa koskevia vaatimuksia, joita on noudatettava tässä tarkoituksessa.
64 Ensinnäkin tällaisen mekanismin henkilöllisestä soveltamisalasta on todettava, että asiavaltuus myönnetään elimelle, järjestölle tai yhdistykselle, joka täyttää tietosuoja-asetuksen 80 artiklan 1 kohdassa luetellut edellytykset. Kyseisessä säännöksessä mainitaan erityisesti ”voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta”.
65 On todettava, että keskusjärjestön kaltainen kuluttajansuojayhdistys voi kuulua tämän käsitteen soveltamisalaan siltä osin kuin se pyrkii yleisen edun mukaiseen tavoitteeseen, joka on rekisteröityjen oikeuksien ja vapauksien turvaaminen heidän kuluttajan ominaisuudessaan, koska tällaisen tavoitteen saavuttaminen voi liittyä heidän henkilötietojensa suojaan.
66 Sellaisten sääntöjen rikkominen, joiden tarkoituksena on suojata kuluttajia tai torjua sopimattomat kaupalliset menettelyt eli loukkaukset, joita keskusjärjestön kaltainen kuluttajansuojayhdistys pyrkii ehkäisemään ja sanktioimaan muun muassa turvautumalla kansallisessa lainsäädännössä säädettyihin kieltokanteisiin, voi liittyä – kuten nyt käsiteltävässä asiassa – kyseisten kuluttajien henkilötietojen suojaa koskevien sääntöjen rikkomiseen.
67 Toiseksi kyseisen mekanismin aineellisesta soveltamisalasta on todettava, että tietosuoja-asetuksen 80 artiklan 2 kohdassa säädetyn edustajakanteen voi nostaa yksikkö, joka täyttää saman artiklan 1 kohdassa mainitut edellytykset, vain, jos kyseinen yksikkö katsoo sille annetusta valtuutuksesta riippumatta, ”että kyseiseen asetukseen perustuvia rekisteröidyn oikeuksia on loukattu [henkilötietojen] käsittelyssä”.
68 Tältä osin on täsmennettävä ensinnäkin, että tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitetun edustajakanteen nostamiseksi tällaiselta yksiköltä ei voida edellyttää, että se yksilöi etukäteen henkilön, jonka tietoja on väitetysti erityisesti käsitelty tietosuoja-asetuksen säännösten vastaisesti.
69 Riittää, kun todetaan, että kyseisen asetuksen 4 artiklan 1 alakohdassa tarkoitettu rekisteröidyn käsite kattaa paitsi ”tunnistetun luonnollisen henkilön” myös ”tunnistettavissa olevan luonnollisen henkilön” eli luonnollisen henkilön, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon tai verkkotunnistetietojen, perusteella. Näin ollen sellaisen henkilöluokan tai henkilöryhmän nimeäminen, jota tällainen kohtelu koskee, voi myös riittää tällaisen edustajakanteen nostamiseen.
70 Toiseksi tietosuoja-asetuksen 80 artiklan 2 kohdan perusteella edustajakanteen nostaminen ei myöskään edellytä niiden oikeuksien tosiasiallista loukkaamista, joita henkilöllä on tietosuojaa koskevien sääntöjen perusteella.
71 Kuten tämän tuomion 67 kohdassa esiin tuodun säännöksen sanamuodostakin ilmenee, edustajakanteen nostaminen edellyttää ainoastaan, että kyseessä oleva yksikkö ”katsoo”, että kyseisessä asetuksessa säädettyjä rekisteröidyn oikeuksia on loukattu hänen henkilötietojensa käsittelyssä, ja näin ollen väittää, että tietoja on käsitelty kyseisen asetuksen säännösten vastaisesti.
72 Tästä seuraa, että jotta tällaisen yksikön asiavaltuus tunnustettaisiin mainitun säännöksen nojalla, riittää, että vedotaan siihen, että kyseinen tietojen käsittely voi vaikuttaa niihin oikeuksiin, joita tunnistetuille tai tunnistettavissa oleville luonnollisille henkilöille on mainitun asetuksen nojalla annettu, ilman että on tarpeen näyttää toteen tosiasiallista vahinkoa, joka rekisteröidylle on tietyssä tilanteessa aiheutunut hänen oikeuksiensa loukkaamisesta.
73 Tällainen tulkinta on SEUT 16 artiklasta ja Euroopan unionin perusoikeuskirjan 8 artiklasta johtuvien vaatimusten ja siten sen tietosuoja-asetuksen tavoitteen mukainen, että varmistetaan luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien tehokas suoja ja erityisesti se, että jokaisella on oikeus henkilötietojensa korkeatasoiseen suojaan (ks. vastaavasti tuomio 15.6.2021, Facebook Ireland ym., C-645/19, EU:C:2021:483, 44, 45 ja 91 kohta).
74 Se, että keskusjärjestön kaltaisille kuluttajansuojayhdistyksille annetaan edustajakannemekanismilla oikeus nostaa kanteita, joilla pyritään lopettamaan tämän asetuksen säännösten vastainen tietojen käsittely, riippumatta siitä, onko henkilön, johon loukkaaminen vaikuttaa erikseen ja tosiasiallisesti, oikeuksia loukattu, edesauttaa kiistatta rekisteröityjen oikeuksien vahvistamista ja korkeatasoisen suojan varmistamista.
75 Lisäksi on todettava, että tällaisen edustajakanteen nostaminen, siltä osin kuin sen avulla voidaan estää suuri joukko rekisteröityjen oikeuksien loukkaamisia henkilötietojen käsittelyssä, voi osoittautua tehokkaammaksi kuin kanne, jonka nostaa yksi ainoa henkilö, jonka henkilötietojen suojaa on erikseen ja tosiasiallisesti loukattu, loukkaamiseen syyllistynyttä vastaan.
76 Kuten julkisasiamies on ratkaisuehdotuksensa 76 kohdassa huomauttanut, keskusjärjestön kaltaisten kuluttajansuojayhdistysten nostamien kanteiden ennalta ehkäisevää tehtävää ei voitaisi varmistaa, mikäli tietosuoja-asetuksen 80 artiklan 2 kohdassa säädetyssä edustajakanteessa voitaisiin vedota vain sellaisen henkilön oikeuksien loukkaamiseen, jolle kyseinen rikkominen on erikseen ja tosiasiallisesti aiheuttanut vahinkoa.
77 Kolmanneksi on vielä tarkistettava, kuten ennakkoratkaisua pyytänyt tuomioistuin pyytää, onko tietosuoja-asetuksen 80 artiklan 2 kohta esteenä edustajakanteen nostamiselle riippumatta rekisteröidyn oikeuden tosiasiallisesta loukkaamisesta ja tämän antamasta valtuutuksesta, kun tietosuojaa koskevien sääntöjen rikkomiseen on vedottu sellaisen kanteen yhteydessä, jolla pyritään valvomaan kuluttajansuojan varmistamiseen tarkoitettujen muiden oikeussääntöjen soveltamista.
78 Tältä osin on aluksi todettava, että – kuten lähinnä tämän tuomion 66 kohdassa on huomautettu – henkilötietojen suojaa koskevan säännön rikkominen voi samanaikaisesti johtaa kuluttajansuojaa tai sopimattomia kaupallisia menettelyjä koskevien sääntöjen rikkomiseen.
79 Kuten julkisasiamies on todennut ratkaisuehdotuksensa 72 kohdassa, kyseinen säännös ei ole esteenä sille, että jäsenvaltiot käyttävät niille siinä annettua mahdollisuutta siten, että kuluttajansuojayhdistyksillä on valtuus toimia tietosuoja-asetuksessa säädettyjen oikeuksien loukkaamista vastaan tarvittaessa sellaisten direktiivissä 2005/29 ja direktiivissä 2009/22 säädettyjen sääntöjen kaltaisten sääntöjen avulla, joiden tarkoituksena on suojella kuluttajia taikka estää sopimattomat kaupalliset menettelyt.
80 Tietosuoja-asetuksen 80 artiklan 2 kohdan tällaista tulkintaa tukee direktiivi 2020/1828, jolla kumotaan ja korvataan 25.6.2023 alkaen direktiivi 2009/22. Tässä yhteydessä on huomattava, että direktiivin 2020/1828 2 artiklan 1 kohdan mukaan sitä sovelletaan edustajakanteisiin, jotka perustuvat siihen, että elinkeinonharjoittajat ovat rikkoneet kyseisen direktiivin liitteessä I tarkoitettuja unionin oikeuden säännöksiä; kyseisen liitteen 56 kohdassa mainitaan tietosuoja-asetus.
81 Direktiiviä 2020/1828 ei tosin voida soveltaa pääasiassa, eikä sen täytäntöönpanon määräaika ole vielä päättynyt. Se sisältää kuitenkin useita seikkoja, jotka vahvistavat sen, että tietosuoja-asetuksen 80 artikla ei ole esteenä täydentävien edustajakanteiden nostamiselle kuluttajansuojan alalla.
82 Kuten kyseisen direktiivin johdanto-osan 11 perustelukappaleesta ilmenee, on kuitenkin edelleen mahdollista säätää kuluttajansuoja-alalla täydentävästä edustajakannemekanismista, mutta tietosuoja-asetuksen 80 artiklassa säädetyn kaltaisia kyseisessä asetuksessa säädettyjä tai siihen perustuvia soveltamismekanismeja ei voida korvata tai muuttaa, kuten mainitun direktiivin 15 perustelukappaleessa täsmennetään, ja niitä voidaan siten käyttää kuluttajien yhteisten etujen suojaamiseen.
83 Edellä esiin tuotujen näkökohtien perusteella esitettyyn kysymykseen on vastattava, että tietosuoja-asetuksen 80 artiklan 2 kohtaa on tulkittava siten, että se ei ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistyksen nostaa kanne tuomioistuimessa sille tätä varten annetun valtuutuksen puuttuessa ja riippumatta rekisteröityjen tosiasiallisten oikeuksien loukkaamisesta henkilötietojen suojan oletettua loukkaajaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kiellon, kuluttajansuojalain tai pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomiseen, kun kyseisten tietojen käsittely voi vaikuttaa yksilöityjen tai yksilöitävissä olevien luonnollisten henkilöiden kyseiseen asetukseen perustuviin oikeuksiin.
Oikeudenkäyntikulut
84 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 80 artiklan 2 kohtaa on tulkittava siten, että se ei ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistyksen nostaa kanne tuomioistuimessa sille tätä varten annetun valtuutuksen puuttuessa ja riippumatta rekisteröityjen tosiasiallisten oikeuksien loukkaamisesta henkilötietojen suojan oletettua loukkaajaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kiellon, kuluttajansuojalain tai pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomiseen, kun kyseisten tietojen käsittely voi vaikuttaa yksilöityjen tai yksilöitävissä olevien luonnollisten henkilöiden kyseiseen asetukseen perustuviin oikeuksiin.
Allekirjoitukset