UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
4 päivänä heinäkuuta 2023 (*)
Sisällysluettelo
Asiaa koskevat oikeussäännöt
Unionin oikeus
Asetus N:o 1/2003
Yleinen tietosuoja-asetus
Saksan oikeus
Pääasia ja ennakkoratkaisukysymykset
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen ja seitsemäs kysymys
Toinen kysymys
Toisen kysymyksen a kohta
Toisen kysymyksen b kohta
Kolmas, neljäs ja viides kysymys
Alustavat huomautukset
Kolmas ja neljäs kysymys
Viides kysymys
Kuudes kysymys
Oikeudenkäyntikulut
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – Verkkoyhteisöpalvelut – Tällaisen yhteisön ylläpitäjän määräävän aseman väärinkäyttö – Kyseisen verkon yleisten käyttöehtojen mukaisesta sen käyttäjien henkilötietojen käsittelystä muodostuva väärinkäyttö – Jäsenvaltion kilpailuviranomaisen toimivalta todeta kyseisen käsittelyn olevan tämän asetuksen vastaista – Yhteys henkilötietojen suojasta vastaavien kansallisten valvontaviranomaisten toimivaltuuksiin – SEU 4 artiklan 3 kohta – Vilpittömän yhteistyön periaate – Asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan a–f alakohta – Käsittelyn lainmukaisuus – 9 artiklan 1 ja 2 kohta – Erityisiä henkilötietoryhmiä koskeva käsittely – 4 artiklan 11 kohta – Suostumuksen käsite
Asiassa C‑252/21,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Oberlandesgericht Düsseldorf (Düsseldorfissa sijaitseva osavaltion ylioikeus, Saksa) on esittänyt 24.3.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 22.4.2021, saadakseen ennakkoratkaisun asiassa
Meta Platforms Inc., aiemmin Facebook Inc.,
Meta Platforms Ireland Ltd, aiemmin Facebook Ireland Ltd, ja
Facebook Deutschland GmbH
vastaan
Bundeskartellamt,
jossa asian käsittelyyn osallistuu
Verbraucherzentrale Bundesverband eV,
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti L. Bay Larsen, jaostojen puheenjohtajat A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L. S. Rossi (esittelevä tuomari), D. Gratsias ja M. L. Arastey Sahún sekä tuomarit J.-C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi ja O. Spineanu-Matei,
julkisasiamies: A. Rantos,
kirjaaja: yksikönpäällikkö D. Dittert,
ottaen huomioon kirjallisessa käsittelyssä ja 10.5.2022 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Meta Platforms Inc., aiemmin Facebook Inc., Meta Platforms Ireland Ltd, aiemmin Facebook Ireland Ltd, ja Facebook Deutschland GmbH, edustajinaan M. Braun, M. Esser, L. Hesse, J. Höft ja H.-G. Kamann, Rechtsanwälte,
– Bundeskartellamt, asiamiehinään J. Nothdurft, K. Ost, I. Sewczyk ja J. Topel,
– Verbraucherzentrale Bundesverband eV, edustajanaan S. Louven, Rechtsanwalt,
– Saksan hallitus, asiamiehinään J. Möller ja P.-L. Krüger,
– Tšekin hallitus, asiamiehinään M. Smolek ja J. Vláčil,
– Italian hallitus, asiamiehenään G. Palmieri, avustajinaan E. De Bonis ja P. Gentili, avvocati dello Stato,
– Itävallan hallitus, asiamiehinään A. Posch, J. Schmoll ja G. Kunnert,
– Euroopan komissio, asiamiehinään F. Erlbacher, H. Kranenborg ja G. Meessen,
kuultuaan julkisasiamiehen 20.9.2022 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee SEU 4 artiklan 3 kohdan ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus) 6 artiklan 1 kohdan, 9 artiklan 1 ja 2 kohdan, 51 artiklan 1 kohdan ja 56 artiklan 1 kohdan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat yhtäältä Meta Platforms Inc., aiemmin Facebook Inc., Meta Platforms Ireland Ltd, aiemmin Facebook Ireland Ltd, ja Facebook Deutschland GmbH ja toisaalta Bundeskartellamt (liittovaltion kilpailuviranomainen, Saksa) ja jossa on kyse liittovaltion kilpailuviranomaisen tekemästä päätöksestä kieltää kyseisiä yhtiöitä käsittelemästä tiettyjä henkilötietoja Facebook-yhteisöpalvelun yleisten käyttöehtojen (jäljempänä yleiset ehdot) mukaisesti.
Asiaa koskevat oikeussäännöt
Unionin oikeus
Asetus N:o 1/2003
3 [SEUT 101] ja [SEUT 102] artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16.12.2002 annetun neuvoston asetuksen (EY) N:o 1/2003 (EYVL 2003, L 1, s. 1) 5 artiklassa, jonka otsikko on ”Jäsenvaltioiden kilpailuviranomaisten toimivalta”, säädetään seuraavaa:
”Jäsenvaltioiden kilpailuviranomaisilla on toimivalta soveltaa [SEUT 101 ja SEUT 102 artiklaa] yksittäisissä asioissa. Toimiessaan omasta aloitteestaan tai kantelun perusteella ne voivat tässä tarkoituksessa tehdä seuraavat päätökset:
– vaatia lopettamaan rikkominen,
– määrätä välitoimenpiteitä,
– hyväksyä sitoumuksia,
– määrätä sakkoja, uhkasakkoja taikka muita niiden kansallisessa lainsäädännössä säädettyjä seuraamuksia.
Jos viranomaiset katsovat hallussaan olevien tietojen perusteella, että kiellon edellyttämät perusteet eivät täyty, ne voivat myös päättää, ettei niiden ole syytä toteuttaa toimenpiteitä.”
Yleinen tietosuoja-asetus
4 Yleisen tietosuoja-asetuksen johdanto-osan 1, 4, 38, 42, 43, 46, 47, 49 ja 51 perustelukappaleessa todetaan seuraavaa:
”(1) Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan [(jäljempänä perusoikeuskirja)] 8 artiklan 1 kohdan ja [SEUT] 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.
– –
(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen.
– –
(38) Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin lasten henkilötietojen käyttämistä markkinointitarkoituksiin tai henkilö- tai käyttäjäprofiilien luomiseen ja lapsia koskevien henkilötietojen keräämistä, kun käytetään suoraan lapsille tarjottuja palveluja. Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle.
– –
(42) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. – – Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän identiteetti ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.
(43) Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa, tai jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi.
– –
(46) Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelylle ei ole muuta ilmeistä oikeusperustetta. Tietyntyyppinen käsittely voi palvella sekä yleistä etua että rekisteröidyn elintärkeää etua koskevia tärkeitä syitä esimerkiksi silloin, kun tietojenkäsittely on tärkeää humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.
(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja ‑vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. – – Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. – – Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.
– –
(49) On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta – – [voidaan] varmistaa verkko- ja tietoturvallisuu[s] eli verkon tai tietojärjestelmän [kyky] suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden.
– –
(51) Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja ‑vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja ‑vapauksille. Tällaisiin henkilötietoihin olisi sisällyttävä myös henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ’rotu’ käyttäminen tässä asetuksessa ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Tällaisia henkilötietoja ei pitäisi käsitellä, ellei käsittelyä sallita tässä asetuksessa vahvistetuissa erityistapauksissa, ottaen huomioon, että jäsenvaltioiden lainsäädännössä voidaan vahvistaa erityisiä tietosuojasäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi lakisääteisen velvoitteen noudattamista tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Tällaista käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.”
5 Kyseisen asetuksen 4 artiklassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
– –
11) rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,
– –
23) ’rajatylittävällä käsittelyllä’ joko
a) henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai
b) henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,
– –”
6 Mainitun asetuksen 5 artiklan, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:
a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);
b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; – –
c) niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (’tietojen minimointi’);
– –
2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”
7 Saman asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, sanamuoto on seuraava:
”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.
– –
3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko
a) unionin oikeudessa; tai
b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.
– –
– – Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.”
8 Yleisen tietosuoja-asetuksen 7 artiklassa, jonka otsikko on ”Suostumuksen edellytykset”, säädetään seuraavaa:
”1. Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.
– –
4. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.”
9 Kyseisen asetuksen 9 artiklassa, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, säädetään seuraavaa:
”1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:
a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;
– –
e) käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;
f) käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;
– –”
10 Mainitun asetuksen 13 artiklan, jonka aiheena ovat ”toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä”, 1 kohdassa säädetään seuraavaa:
”Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:
– –
c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
d) rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;
– –”
11 Yleisen tietosuoja-asetuksen VI lukuun, jonka aiheena ovat riippumattomat valvontaviranomaiset, sisältyvät kyseisen asetuksen 51–59 artikla.
12 Mainitun asetuksen 51 artiklan, jonka otsikko on ”Valvontaviranomainen”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa – –
2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.”
13 Saman asetuksen 55 artiklan, jonka otsikko on ”Toimivalta”, sanamuoto on seuraava:
”1. Jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.
2. Jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa.”
14 Yleisen tietosuoja-asetuksen 56 artiklan, jonka otsikko on ”Johtavan valvontaviranomaisen toimivalta”, 1 kohdassa säädetään seuraavaa:
”Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.”
15 Kyseisen asetuksen 57 artiklan, jonka otsikko on ”Tehtävät”, 1 kohdassa säädetään seuraavaa:
”Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan
a) valvottava tämän asetuksen soveltamista ja täytäntöönpanoa;
– –
g) tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;
– –”
16 Mainitun asetuksen 58 artiklan 1 kohdassa vahvistetaan jokaisella valvontaviranomaisella olevia tutkintavaltuuksia koskeva luettelo, ja sen 5 kohdassa täsmennetään, että ”kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.”
17 Yleisen tietosuoja-asetuksen VII luvun, jonka otsikko on ”Yhteistyö ja yhdenmukaisuus”, 1 jaksoon, jonka otsikko on ”Yhteistyö”, sisältyvät kyseisen asetuksen 60–62 artikla. Kyseisen 60 artiklan, jonka aiheena on johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö, 1 artiklassa säädetään seuraavaa:
”Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.”
18 Yleisen tietosuoja-asetuksen 61 artiklan, jonka otsikko on ”Keskinäinen avunanto”, 1 kohdassa säädetään seuraavaa:
”Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja ‑kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.”
19 Kyseisen asetuksen 62 artiklan, jonka otsikko on ”Valvontaviranomaisten yhteiset operaatiot ”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä selvityksiä ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.
2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. – –”
20 Yleisen tietosuoja-asetuksen VII luvun 2 jaksoon, jonka otsikko on ”Yhdenmukaisuus”, sisältyvät kyseisen asetuksen 63–67 artikla. 63 artiklan, jonka otsikko on ”Yhdenmukaisuusmekanismi”, sanamuoto on seuraava:
”Jotta voidaan edistää tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, valvontaviranomaisten on tehtävä yhteistyötä toistensa ja tarvittaessa komission kanssa tämän jakson mukaisen yhdenmukaisuusmekanismin puitteissa.”
21 Kyseisen asetuksen 64 artiklan 2 kohdan sanamuoto on seuraava:
”Jokainen valvontaviranomainen, [Euroopan] tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä [Euroopan] tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.”
22 Mainitun asetuksen 65 artiklassa, jonka otsikko on ”Euroopan tietosuojaneuvoston kiistanratkaisumenettely”, 1 kohdassa säädetään seuraavaa:
”Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, [Euroopan] tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:
a) jos 60 artiklan 4 kohdassa tarkoitetussa tapauksessa osallistuva valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen ja jos johtava valvontaviranomainen ei ole noudattanut tällaista vastalausetta tai on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen tai perusteltu. Sitova päätös koskee kaikkia niitä seikkoja, joista merkityksellinen ja perusteltu vastalause on esitetty, erityisesti sen suhteen, onko tätä asetusta rikottu vai ei;
b) jos esiintyy eriäviä näkemyksiä siitä, mikä asianomaisista valvontaviranomaisista on toimivaltainen päätoimipaikan osalta;
– –”
Saksan oikeus
23 Kilpailunrajoituksista 26.6.2013 annetun lain (Gesetz gegen Wettbewerbsbeschränkungen, BGBl. 2013 I, s. 1750, 3245), sellaisena kuin sitä on viimeksi muutettu 16.6.2021 annetun lain (BGBl. 2021 I, s. 2959) (jäljempänä GWB) 2 §:llä, 19 §:n 1 momentissa säädetään seuraavaa:
”Määräävän markkina‑aseman käyttäminen väärin yksin tai yhdessä muiden yritysten kanssa on kiellettyä.”
24 GWB:n 32 §:n 1 momentin sanamuoto on seuraava:
”Kilpailuviranomainen voi määrätä yritykset tai yritysten yhteenliittymät lopettamaan jonkin tähän osaan sisältyvän säännöksen tai Euroopan unionin toiminnasta tehdyn sopimuksen 101 tai 102 artiklan rikkomisen.”
25 GWB:n 50f §:n 1 momentissa säädetään seuraavaa:
”Kilpailuviranomaiset, sääntelyviranomaiset, liittovaltion tietosuoja‑ ja tiedonvapausvaltuutettu, osavaltioiden tietosuojavaltuutetut sekä Euroopan unionin kuluttajansuojan täytäntöönpanosta annetun lain (EU‑Verbraucherschutzdurchführungsgesetz) 2 §:ssä tarkoitetut toimivaltaiset viranomaiset voivat valitusta menettelystä riippumatta vaihtaa keskenään tietoja, mukaan lukien henkilötietoja ja liikesalaisuuksia, jos tämä on tarpeen niiden tehtävien hoitamiseksi, sekä käyttää näitä tietoja menettelyissään. – –”
Pääasia ja ennakkoratkaisukysymykset
26 Meta Platforms Ireland Ltd hallinnoi Facebook-verkkoyhteisöpalvelun tarjoamista unionissa ja tarjoaa muun muassa www.facebook.com- osoitteessa palveluita, jotka ovat maksuttomia yksityiskäyttäjille. Muut Meta-konserniin kuuluvat yritykset tarjoavat unionissa muita verkkopalveluita, joihin kuuluvat Instagram, WhatsApp, Oculus ja – 13.3.2020 saakka – Masquerade.
27 Facebook-verkkoyhteisöpalvelun taloudellinen malli perustuu yksittäisille yhteisöpalvelun käyttäjille muun muassa heidän kulutuskäyttäytymisensä, mielenkiinnon kohteidensa, ostovoimansa ja elämäntilanteensa perusteella räätälöidystä verkkomainonnasta saatavaan rahoitukseen. Tällaisen mainonnan tekee teknisesti mahdolliseksi yhteisöpalvelun ja Meta-konsernin tarjoamien verkkopalvelujen käyttäjien yksityiskohtaisten profiilien automatisoitu laatiminen. Tätä tarkoitusta varten kyseisessä yhteisöpalvelussa ja Meta-konsernin tarjoamissa verkkopalveluissa sekä niiden ulkopuolella kerätään niiden tietojen lisäksi, joita kyseiset käyttäjät antavat suoraan rekisteröityessään asianomaisiin verkkopalveluihin, myös muita näitä käyttäjiä ja heidän laitteitaan koskevia tietoja, ja ne liitetään heidän eri käyttäjätileihinsä. Kyseisten tietojen kokonaisuuden perusteella voidaan tehdä yksityiskohtaisia päätelmiä näiden käyttäjien mieltymyksistä ja mielenkiinnon kohteista.
28 Meta Platforms Ireland perustaa näiden henkilötietojen käsittelyn käyttösopimukseen, jonka osapuoleksi Facebookin yhteisöpalvelun käyttäjät liittyvät painamalla rekisteröitymispainiketta ja jolla he hyväksyvät kyseisen yhtiön laatimat yleiset ehdot. Kyseisten ehtojen hyväksyminen on välttämätöntä Facebook-yhteisöpalvelun käyttämiselle. Yleisissä ehdoissa viitataan henkilötietojen käsittelyn osalta tämän yhtiön vahvistamiin tietosuoja- ja evästekäytäntöihin. Meta Platforms Ireland kerää kyseisten käytäntöjen nojalla käyttäjiä ja laitteita koskevia tietoja käyttäjien toiminnasta yhteisöpalvelussa ja sen ulkopuolella ja yhdistää kyseiset tiedot asianomaisten käyttäjien Facebook-tileihin. Näissä yhteisöpalvelun ulkopuolista toimintaa koskevissa tiedoissa (jäljempänä myös off Facebook ‑tiedot) on kyse yhtäältä kolmansien verkkosivustoilla ja sovelluksissa, jotka ovat yhteydessä Facebookiin ohjelmointirajapintojen (Facebook Business Tools) välityksellä, käymistä koskevista tiedoista, ja toisaalta muiden Meta‑konserniin kuuluvien verkkopalvelujen, mukaan luettuna Instagram, WhatsApp, Oculus ja – 13.3.2020 saakka – Masquerade, käyttöä koskevista tiedoista.
29 Bundeskartellamt aloitti Meta Platformsia, Meta Platforms Irelandia ja Facebook Deutschlandia koskeneen menettelyn, jonka päätteeksi 6.2.2019 tehdyllä GWB:n 19 §:n 1 momenttiin ja 32 §:ään perustuvalla päätöksellä se pääasiallisesti kielsi näitä yhtiöitä asettamasta yleisissä ehdoissaan Saksassa asuvien yksityiskäyttäjien Facebook-yhteisöpalvelun käytön edellytykseksi sitä, että heidän off Facebook ‑tietojaan käsitellään, ja käsittelemästä kyseisiä tietoja tällöin voimassa olleiden yleisten ehtojen perusteella ilman heidän suostumustaan. Lisäksi se velvoitti kyseiset yhtiöt muuttamaan yleisiä ehtojaan siten, että niistä käy selkeästi ilmi, että mainittuja tietoja ei kerätä, yhdistetä Facebook-käyttäjätileihin eikä käytetä ilman asianomaisen käyttäjän suostumusta, ja täsmensi, että tällainen suostumus ei ole pätevä, jos se on asetettu yhteisöpalvelun käytön edellytykseksi.
30 Bundeskartellamt perusteli päätöstään sillä seikalla, että yleisten ehtojen mukaista ja Meta Platforms Irelandin toteuttamaa asianomaisten käyttäjien tietojen käsittelyä oli pidettävä GWB:n 19 §:n 1 momentissa tarkoitettuna määräävän aseman, joka tällä yhtiöllä on Saksassa asuvien yksityiskäyttäjien verkkoyhteisöpalvelujen markkinoilla, väärinkäyttönä. Bundeskartellamtin mukaan on tarkemmin ottaen niin, että nämä yleiset ehdot merkitsevät määräävästä asemasta johtuvaa väärinkäyttöä siltä osin kuin niissä määrätty off Facebook ‑tietojen käsittely ei ole yleisen tietosuoja-asetuksen taustalla olevien arvojen mukaista ja erityisesti siltä osin kuin sitä ei voida oikeuttaa kyseisen asetuksen 6 artiklan 1 kohtaan ja 9 artiklan 2 kohtaan nähden.
31 Meta Platforms, Meta Platforms Ireland ja Facebook Deutschland valittivat 11.2.2019 Bundeskartellamtin päätöksestä Oberlandesgericht Düsseldorfiin (Düsseldorfissa sijaitseva osavaltion ylioikeus, Saksa).
32 Meta Platforms Ireland otti 31.7.2019 käyttöön uudet yleiset ehdot, joissa todetaan nimenomaisesti, että käyttäjä antaa suostumuksensa mainontaan sen sijaan, että hän maksaisi Facebook-tuotteiden käyttämisestä.
33 Meta Platforms on lisäksi tarjonnut 28.1.2020 alkaen maailmanlaajuisesti Off‑Facebook‑Activity‑toimintoa, jonka avulla Facebookin käyttäjät voivat saada tiivistelmän heitä koskevista tiedoista, jotka Meta-konsernin yhtiöt saavat heidän toiminnastaan muilla verkkosivustoilla ja sovelluksissa, ja halutessaan erottaa kyseiset tiedot Facebook.com‑tilistään sekä taannehtivasti ja tulevaisuutta varten.
34 Oberlandesgericht Düsseldorfilla on epäilyksiä ensiksi siitä, voivatko kansalliset kilpailuviranomaiset toimivaltansa puitteissa valvoa, onko henkilötietojen käsittely yleisessä tietosuoja-asetuksessa asetettujen vaatimusten mukaista; toiseksi siitä, voiko verkkoyhteisöpalvelun ylläpitäjä käsitellä kyseisen asetuksen 9 artiklan 1 ja 2 kohdassa tarkoitettuja rekisteröityä koskevia arkaluonteisia henkilötietoja; kolmanneksi siitä, onko tällaisen ylläpitäjän suorittama asianomaisen käyttäjän henkilötietojen käsittely lainmukaista tämän asetuksen 6 artiklan 1 kohdan mukaan, ja neljänneksi siitä, onko kansallisilla verkkoyhteisöpalvelujen markkinoilla määräävässä asemassa olevalle yritykselle annettu suostumus pätevä tällaista käsittelyä varten, kun otetaan huomioon yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohta ja 9 artiklan 2 kohdan a alakohta.
35 Oberlandesgericht Düsseldorf arvioi, että pääasian ratkaisu riippuu näihin kysymyksiin annettavasta vastauksesta, ja se on näin ollen päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1. a) Sopiiko yleisen tietosuoja‑asetuksen 51 artiklan ja sitä seuraavien artiklojen kanssa yhteen se, että Bundeskartellamtin kaltainen jäsenvaltion kansallinen kilpailuviranomainen, joka ei ole yleisen tietosuoja‑asetuksen 51 artiklassa ja sitä seuraavissa artikloissa tarkoitettu valvontaviranomainen ja jonka jäsenvaltiossa Euroopan unionin ulkopuolelle sijoittautuneella yrityksellä on toimipaikka, joka tukee mainoksien, viestinnän ja julkisuustyön osalta yrityksen toisessa jäsenvaltiossa sijaitsevaa päätoimipaikkaa, joka on yksin rekisterinpitäjänä vastuussa henkilötietojen käsittelystä koko Euroopan unionin alueella, toteaa kilpailuoikeudellisen väärinkäyttöjen valvonnan yhteydessä, että päätoimipaikan henkilötietojen käsittelyä koskevilla sopimusehdoilla ja niiden soveltamisella rikotaan yleistä tietosuoja‑asetusta, ja antaa päätöksen, jolla se määrää lopettamaan tämän rikkomisen?
b) Jos tähän kysymykseen vastataan myöntävästi: Sopiiko tämä yhteen SEU 4 artiklan 3 kohdan kanssa, jos päätoimipaikan sijoittautumisjäsenvaltion yleisen tietosuoja‑asetuksen 56 artiklan 1 kohdassa tarkoitettu johtava valvontaviranomainen samaan aikaan tutkii päätoimipaikan henkilötietojen käsittelyä koskevia sopimusehtoja tutkimusmenettelyssä?
Jos ensimmäiseen kysymykseen vastataan myöntävästi:
2. a) Onko silloin, kun internetin käyttäjä joko pelkästään käy verkkosivustoilla tai sovelluksissa, joilla on liittymä yleisen tietosuoja‑asetuksen 9 artiklan 1 kohdassa tarkoitettuihin kriteereihin, kuten esimerkiksi flirttailusovelluksissa, homoseksuaaliseen seuranhakuun tarkoitetuissa sovelluksissa tai sivustoilla, poliittisten puolueiden verkkosivustoilla tai terveyteen liittyvillä sivustoilla, tai myös syöttää tietoja näille verkkosivustoille tai näihin sovelluksiin, esimerkiksi rekisteröitymällä tai tekemällä tilauksia, ja toinen, [Meta Platforms Irelandin] kaltainen yritys kerää verkkosivustoille tai sovelluksiin sisältyvien rajapintojen, kuten Facebook Business Toolsin, avulla tai internetin käyttäjän tietokoneelle tai mobiililaitteelle asennettujen evästeiden tai vastaavien tallennusteknologioiden avulla tiedot siitä, että käyttäjä on käynyt verkkosivustoilla tai sovelluksessa, ja siitä, mitä tietoja käyttäjä on sinne syöttänyt, yhdistää ne käyttäjän Facebook.com‑tilin tietoihin ja käyttää niitä, tietojen keräämisessä ja/tai niiden yhdistämisessä ja/tai niiden käytössä kyse mainitussa säännöksessä tarkoitetusta arkaluonteisten tietojen käsittelystä?
b) Jos tähän kysymykseen vastataan myöntävästi: Onko tällaisilla verkkosivustoilla tai sovelluksissa käymistä ja/tai tietojen syöttämistä ja/tai verkkosivustoille tai sovelluksiin sisältyvien [Meta Platforms Irelandin] kaltaisen palveluntarjoajan painikkeiden (yhteisöliitännäiset ’tykkää’ ja ’jaa’ tai ’Facebook Login’ tai ’Account Kit’) käyttämistä pidettävä yleisen tietosuoja‑asetuksen 9 artiklan 2 kohdan e alakohdassa tarkoitettuna käyttäjän suorittamana tietojen nimenomaisesti julkiseksi saattamisena siltä osin kuin on kyse verkkosivustoilla tai sovelluksissa käymistä koskevista tiedoista sellaisinaan tai käyttäjän syöttämistä tiedoista?
3. Voiko [Meta Platforms Irelandin] kaltainen yritys, joka ylläpitää mainosrahoitteista, digitaalista yhteisöpalvelua ja joka tarjoaa käyttöehdoissaan sisältöjen ja mainonnan personointia, verkkoturvallisuutta, tuotteiden parantamista ja kokonaisvaltaista ja saumatonta kaikkien konsernin tuotteiden käyttöä, vedota yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohdassa tarkoitettuun oikeuttamisperusteeseen, joka koskee käsittelyn tarpeellisuutta sopimuksen täytäntöön panemiseksi, tai kyseisen asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettuun oikeuttamisperusteeseen, joka koskee oikeutettujen etujen toteuttamista, kun yritys kerää mainittuja tarkoituksia varten tietoja muista konsernin palveluista ja kolmansien verkkosivustoilta ja sovelluksista kyseisille sivustoille tai sovelluksiin sisältyvien rajapintojen, kuten Facebook Business Toolsin, avulla tai internetin käyttäjän tietokoneelle tai mobiililaitteelle asennettujen evästeiden tai vastaavien tallennusteknologioiden avulla, yhdistää ne käyttäjän Facebook.com‑tiliin ja käyttää tietoja?
4. Jos näin on, voidaanko myös
– sisältöjen ja mainonnan personoinnin, tuotteiden parantamisen, verkkoturvallisuuden ja muun kuin markkinointiin liittyvän käyttäjäviestinnän kannalta käyttäjän alaikäisyyttä
– mittausten tietojen, analytiikan ja muiden yrityspalvelujen tarjoamista mainostaja‑asiakkaille, kehittäjille ja muille yhteistyökumppaneille, jotta kyseiset toimijat voivat arvioida omia palvelujaan ja parantaa niitä
– käyttäjään kohdistuvan markkinointiviestinnän mahdollistamista, jotta yritys voi parantaa tuotteitaan ja harjoittaa suoramarkkinointia
– sosiaalisin tarkoitusperin toteutettua tutkimusta tai innovaatioita, joiden tarkoituksena on tukea tekniikan kehitystä tai tieteellistä ymmärtämystä tärkeistä sosiaalisista teemoista ja vaikuttaa positiivisesti yhteiskuntaan ja maailmaan
– tietojen antamista rikostutkinta‑ ja täytäntöönpanoviranomaisille ja vastaamista oikeudellisiin tiedusteluihin, jotta saadaan estettyä, paljastettua ja tutkittua rikoksia, luvatonta käyttöä, käyttöehtojen ja käytäntöjen rikkomisia ja muita haitallisia käyttäytymistapoja
pitää yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettuina oikeutettuina etuina, kun yritys kerää näitä tarkoituksia varten tietoja muista konsernin palveluista ja kolmansien verkkosivustoilta ja sovelluksista kyseisille sivustoille tai sovelluksiin sisältyvien rajapintojen, kuten Facebook Business Toolsin, avulla tai internetin käyttäjän tietokoneelle tai mobiililaitteelle asennettujen evästeiden tai vastaavien tallennusteknologioiden avulla, yhdistää ne käyttäjän Facebook.com‑tiliin ja käyttää tietoja?
5. Jos näin on, voidaanko tietojen kerääminen muista konsernin palveluista ja kolmansien verkkosivustoilta ja sovelluksista kyseisille sivustoille tai sovelluksiin sisältyvien rajapintojen, kuten Facebook Business Toolsin, avulla tai internetin käyttäjän tietokoneelle tai mobiililaitteelle asennettujen evästeiden tai vastaavien tallennusteknologioiden avulla, tietojen yhdistäminen käyttäjän Facebook.com-tiliin ja tietojen käyttäminen tai jo muuten laillisesti kerättyjen ja yhdistettyjen tietojen käyttäminen oikeuttaa yksittäistapauksittain myös yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c, d tai e alakohdan nojalla, esimerkiksi vastauksen antamisella lailliseen tiettyjen tietojen luovuttamista koskevaan pyyntöön (c alakohta), haitallisen käyttäytymisen estämisellä ja turvallisuuden edistämisellä (d alakohta) tai yhteiskunnan etua edistävällä tutkimuksella tai suojelun, eheyden ja turvallisuuden varmistamisella (e alakohta)?
6. Voidaanko [Meta Platforms Irelandin] kaltaiselle määräävässä markkina‑asemassa olevalle yritykselle antaa pätevällä tavalla, erityisesti yleisen tietoturva‑asetuksen 4 artiklan 11 alakohdassa tarkoitetulla tavalla, vapaaehtoinen kyseisen asetuksen 6 artiklan 1 kohdan a alakohdassa ja 9 artiklan 2 kohdan a alakohdassa tarkoitettu suostumus?
Jos ensimmäiseen kysymykseen vastataan kieltävästi:
7. a) Voiko Bundeskartellamtin kaltainen jäsenvaltion kansallinen kilpailuviranomainen, joka ei ole yleisen tietoturva‑asetuksen 51 artiklassa ja sitä seuraavissa artikloissa tarkoitettu valvontaviranomainen ja joka tutkii kilpailuoikeudellisen väärinkäyttöä koskevan kiellon rikkomista, johon määräävässä markkina‑asemassa olevan yrityksen epäilleen syyllistyneen ja joka ei liity siihen, että yrityksen henkilötietojen käsittelyä koskevilla sopimusehdoilla ja niiden soveltamisella rikottaisiin kyseistä asetusta, esimerkiksi intressipunninnan yhteydessä ottaa kantaa siihen, vastaavatko yrityksen henkilötietojen käsittelyä koskevat sopimusehdot ja niiden soveltaminen yleisessä tietosuoja‑asetuksessa säädettyä?
b) Jos tähän kysymykseen vastataan myöntävästi: Kun otetaan huomioon SEU 4 artiklan 3 kohta, onko näin myös silloin, kun yleisen tietosuoja‑asetuksen 56 artiklan 1 kohdassa tarkoitettu toimivaltainen johtava valvontaviranomainen samaan aikaan tutkii yrityksen henkilötietojen käsittelyä koskevia sopimusehtoja tutkimusmenettelyssä?
Jos seitsemänteen kysymykseen vastataan myöntävästi, kolmanteen, neljänteen ja viidenteen kysymykseen on vastattava siltä osin kuin on kyse tiedoista, jotka kerätään konsernin Instagram‑palvelun käyttämisestä.”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen ja seitsemäs kysymys
36 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä ja seitsemännellä kysymyksellään, joita on käsiteltävä yhdessä, pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 51 artiklaa ja sitä seuraavia artikloita tulkittava siten, että jäsenvaltion kilpailuviranomainen voi todeta tutkittaessa, onko yritys väärinkäyttänyt määräävää asemaa SEUT 102 artiklassa tarkoitetussa merkityksessä, että kyseisen yrityksen henkilötietojen käsittelyä koskevat yleiset käyttöehdot ja niiden soveltaminen eivät ole yleisen tietosuoja-asetuksen mukaisia, ja jos vastaus on myöntävä, onko SEU 4 artiklan 3 kohtaa tulkittava siten, että kilpailuviranomainen voi tehdä tällaisen liitännäisen toteamuksen myös silloin, kun johtava valvontaviranomainen tutkii näitä ehtoja samaan aikaan yleisen tietosuoja-asetuksen 56 artiklan 1 kohdan nojalla.
37 Tähän kysymykseen vastaamiseksi aluksi on palautettava mieleen, että yleisen tietosuoja-asetuksen 55 artiklan 1 kohdassa vahvistetaan jokaisen valvontaviranomaisen sille kyseisen asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva lähtökohtainen toimivalta oman jäsenvaltionsa alueella (tuomio 15.6.2021, Facebook Ireland ym., C‑645/19, EU:C:2021:483, 47 kohta oikeuskäytäntöviittauksineen).
38 Yleisen tietosuoja-asetuksen 51 artiklan 1 kohdan ja 57 artiklan 1 kohdan a alakohdan mukaan näiden valvontaviranomaisten tehtäviin kuuluu muun muassa valvoa kyseisen asetuksen soveltamista ja täytäntöönpanoa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi heidän henkilötietojensa käsittelyssä ja tällaisten tietojen vapaan liikkuvuuden varmistamiseksi unionissa. Lisäksi mainitun asetuksen 51 artiklan 2 kohdan ja 57 artiklan 1 kohdan g alakohdan mukaan mainitut valvontaviranomaiset tekevät yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjoavat keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän saman asetuksen johdonmukainen soveltaminen ja täytäntöönpano.
39 Näiden tehtävien hoitamiseksi valvontaviranomaisille annetaan yleisen tietosuoja-asetuksen 58 artiklan 1 kohdassa tutkintavaltuudet, sen 2 kohdassa korjaavat toimivaltuudet ja sen 5 kohdassa valtuudet saattaa kyseisen asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille oikeustoimet kyseisen asetuksen säännösten täytäntöönpanemiseksi.
40 Jollei yleisen tietosuoja-asetuksen 55 artiklan 1 kohdassa säädetystä toimivaltasäännöstä muuta johdu, kyseisen asetuksen 56 artiklan 1 kohdassa säädetään sen 4 artiklan 23 alakohdassa tarkoitetun rajatylittävän käsittelyn osalta ”yhden luukun” järjestelmästä, joka perustuu toimivallan jakoon johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välillä sekä kaikkien näiden viranomaisten väliseen yhteistyöhön tämän asetuksen 60 artiklassa säädetyn yhteistyömenettelyn mukaisesti.
41 Lisäksi yleisen tietosuoja-asetuksen 61 artiklan 1 kohdassa valvontaviranomaiset velvoitetaan muun muassa antamaan toisilleen tarvittavat tiedot ja keskinäistä apua kyseisen asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi kaikkialla unionissa. Yleisen tietosuoja-asetuksen 63 artiklassa täsmennetään, että saman asetuksen 64 ja 65 artiklassa käyttöön otetusta yhdenmukaisuusmekanismista on säädetty juuri tässä tarkoituksessa (tuomio 15.6.2021, Facebook Ireland ym., C‑645/19, EU:C:2021:483, 52 kohta oikeuskäytäntöviittauksineen).
42 On kuitenkin huomautettava, että yleisen tietosuoja-asetuksen yhteistyötä koskevia sääntöjä ei ole osoitettu kansallisille kilpailuviranomaisille, vaan ne sääntelevät osallistuvien kansallisten valvontaviranomaisten ja johtavan valvontaviranomaisen välistä yhteistyötä sekä tarvittaessa kyseisten viranomaisten yhteistyötä Euroopan tietosuojaneuvoston ja komission kanssa.
43 Yleisessä tietosuoja-asetuksessa eikä muissa unionin oikeuden toimissa anneta nimenomaisia sääntöjä kansallisen kilpailuviranomaisen yhteistyöstä osallistuvien kansallisten valvontaviranomaisten tai johtavan valvontaviranomaisen kanssa. Lisäksi missään yleisen tietosuoja-asetuksen säännöksessä ei kielletä kansallisia kilpailuviranomaisia toteamasta tehtäviensä hoitamisen yhteydessä, että tietojenkäsittely, jota suorittaa määräävässä asemassa oleva yritys ja joka voi merkitä kyseisen aseman väärinkäyttöä, ei ole yhteensopivaa kyseisen asetuksen kanssa.
44 Tältä osin on täsmennettävä ensiksi, että yhtäältä valvontaviranomaiset ja toisaalta kansalliset kilpailuviranomaiset hoitavat eri tehtäviä ja tavoittelevat omia päämääriään ja suorittavat omia tehtäviään.
45 Nimittäin yhtäältä, kuten edellä 38 kohdassa on todettu, yleisen tietosuoja-asetuksen 51 artiklan 1 ja 2 kohdan sekä 57 artiklan 1 kohdan a ja g alakohdan mukaan valvontaviranomaisen pääasiallisena tehtävänä on valvoa kyseisen asetuksen soveltamista ja täytäntöönpanoa myötävaikuttaen sen johdonmukaiseen soveltamiseen unionissa, ja tämä tehdään luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi heidän henkilötietojensa käsittelyssä ja tällaisten tietojen vapaan liikkuvuuden helpottamiseksi unionissa. Kuten edellä 39 kohdassa on palautettu mieleen, valvontaviranomaisella on tätä varten eri valtuuksia, jotka sille on annettu yleisen tietosuoja-asetuksen 58 artiklassa.
46 Toisaalta asetuksen N:o 1/2003 5 artiklan mukaan kansallisilla kilpailuviranomaisilla on toimivalta antaa muun muassa päätöksiä, joissa todetaan yrityksen väärinkäyttäneen määräävää asemaa, SEUT 102 artiklassa tarkoitetussa merkityksessä; tämän artiklan tarkoituksena on sellaisen järjestelmän aikaansaaminen, jolla varmistetaan, että kilpailu sisämarkkinoilla ei vääristy, ottaen huomioon myös tällaisen väärinkäytön vaikutukset kuluttajille tällä markkinalla.
47 Kuten julkisasiamies pääasiallisesti toteaa ratkaisuehdotuksensa 23 kohdassa, kilpailuviranomaisen on tällaisen päätöksen antamisen yhteydessä arvioitava kaikki asian erityiset olosuhteet huomioon ottaen, onko määräävässä asemassa olevan yrityksen käyttäytyminen esteenä markkinoilla vielä olemassa olevan kilpailuasteen säilymiselle tai tämän kilpailun kehittymiselle siksi, että tämä yritys käyttää muita keinoja kuin niitä, joita käytetään tavaroiden tai palvelujen normaalissa kilpailussa (ks. vastaavasti tuomio 25.3.2021, Deutsche Telekom v. komissio, C‑152/19 P, EU:C:2021:238, 41 ja 42 kohta). Tältä osin se, onko tällainen käyttäytyminen yleisen tietosuoja-asetuksen säännösten mukaista, voi tarvittaessa olla tärkeä viite käsiteltävän asian kannalta merkityksellisten seikkojen joukossa sen toteamiseksi, turvaudutaanko kyseisessä käyttäytymisessä keinoihin, joita käytetään normaalissa kilpailussa, sekä sen arvioimiseksi, mitä seurauksia tietyllä menettelytavalla on markkinoille tai kuluttajille.
48 Tästä seuraa, että yrityksen määräävän aseman väärinkäyttöä määrätyllä markkinalla koskevan tutkinnan yhteydessä asianomaisen jäsenvaltion kilpailuviranomaisen voi olla välttämätöntä tutkia myös, onko kyseisen yrityksen käyttäytyminen yhteensopivaa muiden kuin kilpailuoikeuden alaan kuuluvien normien kanssa, kuten yleisessä tietosuoja-asetuksessa säädettyjen henkilötietojen suojaa koskevien sääntöjen kanssa.
49 Kun otetaan huomioon yhtäältä kilpailusäännöillä ja erityisesti SEUT 102 artiklalla ja toisaalta yleisessä tietosuoja-asetuksessa säädetyillä henkilötietojen suojelua koskevilla säännöillä tavoitellut eri päämäärät, on todettava, että kun kansallinen kilpailuviranomainen toteaa määräävän aseman väärinkäytön toteamisen yhteydessä, että yleistä tietosuoja-asetusta on rikottu, se ei korvaa valvontaviranomaisia. Erityisesti on niin, että tällainen kansallinen kilpailuviranomainen ei valvo yleisen tietosuoja-asetuksen soveltamista ja täytäntöönpanoa sen 51 artiklan 1 kohdalla tavoiteltua päämäärää varten eli luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa. Lisäksi on niin, että kun tällainen viranomainen vain toteaa tietojenkäsittelyn olevan yleisen tietosuoja-asetuksen vastaista yksinomaan määräävän aseman väärinkäytön toteamiseksi ja määrää kilpailuoikeuteen perustuvan oikeusperustan nojalla toimenpiteitä, joiden tarkoituksena on kyseisen väärinkäytön lopettaminen, se ei hoida mitään yleisen tietosuoja-asetuksen 57 artiklassa säädettyä tehtävää eikä käytä valtuuksia, jotka on varattu valvontaviranomaiselle yleisen tietosuoja-asetuksen 58 artiklan nojalla.
50 Lisäksi on todettava, että pääsy henkilötietoihin sekä niiden hyödyntäminen ovat erittäin tärkeitä digitaalitaloudessa. Tätä merkitystä kuvaa pääasian yhteydessä Facebook-yhteisöpalvelun perustana oleva taloudellinen malli, jossa – kuten edellä 27 kohdassa on palautettu mieleen – rahoitus saadaan myymällä mainosviestejä, jotka on personoitu Meta Platforms Irelandin keräämien henkilötietojen perusteella laadittujen käyttäjäprofiilien avulla.
51 Kuten muun muassa komissio korostaa, pääsystä henkilötietoihin ja mahdollisuudesta käsitellä niitä on tullut digitaalitalouden yritysten välisen kilpailun huomattava parametri. Näin ollen henkilötietojen suojelua koskevien sääntöjen jättämisellä sen oikeudellisen kehyksen ulkopuolelle, joka kilpailuviranomaisten on otettava huomioon tutkiessaan määräävän aseman väärinkäyttöä, sivuutettaisiin kyseinen taloudellinen kehitys ja voitaisiin heikentää kilpailuoikeuden tehokkuutta unionissa.
52 Kuitenkin on huomautettava toiseksi, että siinä tapauksessa, että kansallinen kilpailuviranomainen pitää välttämättömänä lausua määräävän aseman väärinkäyttöä koskevan päätöksen yhteydessä siitä, onko kyseessä olevan yrityksen suorittama henkilötietojen käsittely yleisen tietosuoja-asetuksen mukaista, kyseisen viranomaisen ja tässä asetuksessa tarkoitetun osallistuvan valvontaviranomaisen tai tarvittaessa johtavan valvontaviranomaisen on tehtävä keskinäistä yhteistyötä, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen.
53 Kuten edellä 42 ja 43 kohdassa on todettu, yleisessä tietosuoja-asetuksessa eikä muissa unionin oikeuden toimissa anneta tätä koskevia nimenomaisia sääntöjä, mutta on kuitenkin niin, kuten julkisasiamies huomauttaa ratkaisuehdotuksensa 28 kohdassa, että kaikkien asiaan osallistuvien eri kansallisten viranomaisten on yleistä tietosuoja-asetusta soveltaessaan noudatettava SEU 4 artiklan 3 kohdassa vahvistettua vilpittömän yhteistyön periaatetta. Vakiintuneen oikeuskäytännön mukaan on niin, että kyseisen periaatteen mukaisesti unionin oikeuteen kuuluvilla aloilla jäsenvaltioiden, mukaan luettuna niiden hallintoviranomaiset, on kunnioitettava ja avustettava toisiaan perussopimuksista johtuvia tehtäviä täyttäessään, toteutettava kaikki toimenpiteet, joilla voidaan varmistaa muun muassa unionin toimielinten säädöksistä johtuvien velvoitteiden täyttäminen, ja pidättäydyttävä kaikista toimenpiteistä, jotka voisivat vaarantaa unionin tavoitteiden toteutumisen (ks. vastaavasti tuomio 7.11.2013, UPC Nederland, C‑518/11, EU:C:2013:709, 59 kohta ja tuomio 1.8.2022, Sea Watch, C‑14/21 ja C‑15/21, EU:C:2022:604, 156 kohta).
54 Tämän periaatteen huomioon ottaen on siis niin, että kun kansallisten kilpailuviranomaisten on tehtäviensä hoitamisen yhteydessä tutkittava, onko yrityksen käyttäytyminen yleisen tietosuoja-asetuksen säännösten mukaista, niiden on sovitettava toimintansa yhteen osallistuvien kansallisten valvontaviranomaisten tai johtavan valvontaviranomaisen kanssa ja tehtävä vilpitöntä yhteistyötä niiden kanssa, jolloin kaikkien näiden viranomaisten on tässä yhteydessä toimittava omien valtuuksiensa ja toimivaltansa puitteissa, jotta sekä yleisestä tietosuoja-asetuksesta johtuvia velvoitteita että kyseisen asetuksen tavoitteita noudatetaan ja niiden tehokas vaikutus säilytetään.
55 Siihen, että kilpailuviranomainen tutkii yrityksen käyttäytymistä yleisen tietosuoja-asetuksen normien valossa, voi sisältyä vaara kyseisen asetuksen tulkintaa koskevista eroavaisuuksista kyseisen viranomaisen ja valvontaviranomaisten välillä.
56 Tästä seuraa, että jos kansallinen kilpailuviranomainen katsoo tutkinnan, jonka tarkoituksena on todeta, onko yritys väärinkäyttänyt määräävää asemaa SEUT 102 artiklassa tarkoitetussa merkityksessä, yhteydessä, että on välttämätöntä tutkia, onko mainitun yrityksen käyttäytyminen yleisen tietosuoja-asetuksen säännösten mukaista, tämän viranomaisen on selvitettävä, onko toimivaltainen kansallinen valvontaviranomainen tai johtava valvontaviranomainen taikka unionin tuomioistuin jo tutkinut kyseistä käyttäytymistä tai samankaltaista käyttäytymistä tai tehnyt tällaista käyttäytymistä koskevan ratkaisun. Jos asia on näin, kansallinen kilpailuviranomainen ei voi poiketa siitä, mutta se voi vapaasti tehdä sen perusteella omat päätelmänsä kilpailuoikeuden soveltamisen näkökulmasta.
57 Jos kansallisella kilpailuviranomaisella on epäilyjä toimivaltaisen kansallisen valvontaviranomaisen tai johtavan valvontaviranomaisen toteuttaman arvioinnin ulottuvuudesta, jos kyseiset viranomaiset tutkivat samaan aikaan asianomaista käyttäytymistä tai samankaltaista käyttäytymistä tai jos mainittujen viranomaisten tutkinnan puuttuessa kansallinen kilpailuviranomainen katsoo, että yrityksen käyttäytyminen ei ole yleisen tietosuoja-asetuksen säännösten mukaista, kansallisen kilpailuviranomaisen on kuultava kyseistä viranomaista ja pyydettävä niitä tekemään yhteistyötä epäilyjensä poistamiseksi tai sen määrittämiseksi, onko odotettava asianomaisen valvontaviranomaisen päätöstä ennen kuin se tekee oman arviointinsa.
58 Valvontaviranomaisen on puolestaan silloin, jos kansallinen kilpailuviranomainen pyytää sitä tekemään yhteistyötä, vastattava tieto- tai yhteistyöpyyntöön kohtuullisen ajan kuluessa antamalla kyseiselle viranomaiselle käytettävissään olevat tiedot, jotka voivat poistaa sen epäilyt valvontaviranomaisen tekemän arvioinnin ulottuvuudesta, tai tarvittaessa antamalla kansalliselle kilpailuviranomaiselle tiedon siitä, aikooko se aloittaa yleisen tietosuoja-asetuksen 60 artiklassa ja sitä seuraavissa artikloissa tarkoitetun yhteistyömenettelyn muiden osallistuvien valvontaviranomaisten tai johtavan valvontaviranomaisen kanssa tehdäkseen päätöksen, jossa todetaan, onko kyseessä oleva käyttäytyminen tämän asetuksen mukaista.
59 Jos valvontaviranomainen, jolle pyyntö on esitetty, ei vastaa kohtuullisen määräajan kuluessa, kansallinen kilpailuviranomainen voi jatkaa omaa tutkintaansa. Sama koskee tilannetta, jossa toimivaltainen kansallinen valvontaviranomainen ja johtava valvontaviranomainen eivät vastusta sitä, että tällaista tutkintaa jatketaan odottamatta sitä, että ne tekevät päätöksensä.
60 Käsiteltävässä asiassa unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta käy ilmi, että vuoden 2018 lokakuussa ja marraskuussa, eli ennen 6.2.2019 tehdyn päätöksen tekemistä, Bundeskartellamt otti yhteyttä Bundesbeauftragte für den Datenschutz und die Informationsfreiheitiin (BfDI) (liittovaltion tietosuoja- ja tiedonvapausvaltuutettu, Saksa) ja Hamburgische Beauftragte für Datenschutz und Informationsfreiheitiin (Hampurin tietosuoja- ja tiedonvapausvaltuutettu, Saksa), jotka ovat toimivaltaisia Facebook Deutschlandin osalta, sekä Data Protection Commissioniin (DPC) (tietosuojaviranomainen, Irlanti) antaakseen kyseisille viranomaisille tiedon toiminnastaan. Lisäksi on selvää, että Bundeskartellamt sai vahvistuksen siitä, että nämä viranomaiset eivät sillä hetkellä tutkineet pääasiassa kyseessä olevan kaltaisia tekoja eivätkä ne vastustaneet sen toimintaa. Lopuksi Bundeskartellamt viittaa 6.2.2019 tekemänsä päätöksen 555 ja 556 kohdassa nimenomaisesti kyseiseen yhteistyöhön.
61 Jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä olevista selvityksistä muuta johdu, näissä olosuhteissa on katsottava, että Bundeskartellamt näyttää täyttäneen osallistuvien kansallisten valvontaviranomaisten ja johtavan valvontaviranomaisen kanssa tehtävää vilpitöntä yhteistyötä koskevat velvollisuutensa.
62 Edellä esitetyn perusteella ensimmäiseen ja seitsemänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 51 artiklaa ja sitä seuraavia artikloita sekä SEU 4 artiklan 3 kohtaa on tulkittava siten, että jäsenvaltion kilpailuviranomainen voi sillä edellytyksellä, että se noudattaa valvontaviranomaisten kanssa tehtävää vilpitöntä yhteistyötä koskevaa velvollisuuttaan, todeta tutkittaessa, onko yritys väärinkäyttänyt määräävää asemaa SEUT 102 artiklassa tarkoitetulla tavalla, että kyseisen yrityksen henkilötietojen käsittelyä koskevat yleiset käyttöehdot ja niiden soveltaminen eivät ole yleisen tietosuoja-asetuksen mukaisia, jos tällainen toteamus on tarpeen tällaisen väärinkäytön toteamiseksi.
63 Kun otetaan huomioon tämä vilpitöntä yhteistyötä koskevan periaate, kansallinen kilpailuviranomainen ei voi poiketa toimivaltaisen kansallisen valvontaviranomaisen tai toimivaltaisen johtavan valvontaviranomaisen tekemästä päätöksestä, joka koskee kyseisiä yleisiä ehtoja tai samankaltaisia yleisiä ehtoja. Jos sillä on epäilyjä tällaisen päätöksen ulottuvuudesta, jos kyseiset viranomaiset tutkivat samaan aikaan mainittuja ehtoja tai samankaltaisia ehtoja tai jos mainittujen viranomaisten tutkinnan tai päätöksen puuttuessa kilpailuviranomainen katsoo, että kyseessä olevat ehdot eivät ole yleisen tietosuoja-asetuksen mukaisia, sen on kuultava näitä valvontaviranomaisia ja pyydettävä niitä tekemään yhteistyötä epäilyjensä poistamiseksi tai sen määrittämiseksi, onko odotettava niiden päätöstä ennen kuin se tekee oman arviointinsa. Jos ne eivät vastusta asiaa tai eivät vastaa kohtuullisen määräajan kuluessa, kansallinen kilpailuviranomainen voi jatkaa omaa tutkintaansa.
Toinen kysymys
64 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisen kysymyksensä a kohdassa pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaa tulkittava siten, että tilanteessa, jossa verkkoyhteisöpalvelun käyttäjä käy verkkosivustoilla tai sovelluksissa, joilla on liittymä tässä säännöksessä tarkoitettuun yhteen tai useampaan henkilötietoryhmään, ja tarvittaessa syöttää niihin tietoja rekisteröitymällä tai tekemällä verkkotilauksia, tämän verkkoyhteisöpalvelun ylläpitäjän suorittamaa henkilötietojen käsittelyä, joka muodostuu rajapintojen, evästeiden tai vastaavien tallennusteknologioiden avulla toteutettavasta kyseisillä sivustoilla ja sovelluksissa käymisestä lähtöisin olevien tietojen sekä käyttäjän syöttämien tietojen keräämisestä, kaikkien näiden tietojen yhdistämisestä hänen yhteisöpalvelutiliinsä ja kyseisen ylläpitäjän toteuttamasta näiden tietojen käyttämisestä, on pidettävä tässä säännöksessä tarkoitettuna erityisiä henkilötietoryhmiä koskevana käsittelynä, joka on lähtökohtaisesti kiellettyä kyseisen 9 artiklan 2 kohdassa säädetyin poikkeuksin.
65 Jos kysymykseen vastataan myöntävästi, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisen kysymyksensä b kohdassa pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohtaa tulkittava siten, että kun verkkoyhteisöpalvelun käyttäjä käy verkkosivustoilla tai sovelluksissa, jotka liittyvät yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa todettuihin henkilötietoryhmiin, syöttää näille sivustoille tai näihin sovelluksiin tietoja tai käyttää niihin sisältyviä valintapainikkeita, kuten ”tykkää”- ja ”jaa”-painikkeita tai painikkeita, joiden avulla käyttäjä voi rekisteröityä kyseisille sivustoille tai kyseisiin sovelluksiin käyttämällä verkkoyhteisöpalvelun käyttäjätiliinsä, puhelinnumeroonsa tai sähköpostiosoitteeseensa liittyviä kirjautumistunnuksia, on katsottava, että hän on nimenomaisesti saattanut julkiseksi 9 artiklan 2 kohdan e alakohdassa tarkoitetulla tavalla tiedot, joita kyseisen verkkoyhteisöpalvelun ylläpitäjä on kerännyt tässä yhteydessä evästeiden tai vastaavien tallennusteknologioiden avulla.
Toisen kysymyksen a kohta
66 Yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleessa todetaan, että henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja ‑vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä kyseisille oikeuksille ja vapauksille. Kyseisessä perustelukappaleessa täsmennetään, että tällaisia henkilötietoja ei pitäisi käsitellä, ellei käsittelyä sallita kyseisessä asetuksessa vahvistetuissa erityistapauksissa.
67 Tässä yhteydessä yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa asetetaan siinä mainittujen erityisten henkilötietoryhmien lähtökohtainen käsittelykielto. Kyse on muun muassa tiedoista, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen vakaumus, sekä tiedoista, jotka koskevat luonnollisen henkilön terveyttä tai seksuaalista käyttäytymistä ja suuntautumista.
68 Yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan soveltamista varten on selvitettävä tilanteessa, jossa verkkoyhteisöpalvelun ylläpitäjä suorittaa henkilötietojen käsittelyä, voiko kyseisistä tiedoista ilmetä johonkin tässä säännöksessä tarkoitettuun ryhmään kuuluvia tietoja riippumatta siitä, koskevatko kyseiset tiedot kyseisen palvelun käyttäjää tai ketä tahansa muuta luonnollista henkilöä. Jos näin on, tällainen henkilötietojen käsittely on siis kiellettyä yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyin poikkeuksin.
69 Kuten julkisasiamies pääasiallisesti toteaa ratkaisuehdotuksensa 40 ja 41 kohdassa, kyseiseen yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa säädettyyn lähtökohtaiseen kieltoon ei vaikuta se, onko kyseessä olevasta käsittelystä ilmenevä tieto paikkansapitävä, eikä se, onko rekisterinpitäjän toiminnan tarkoituksena ollut saada johonkin kyseisessä asetuksessa tarkoitettuun erityiseen ryhmään kuuluvia tietoja.
70 Kun nimittäin otetaan huomioon huomattavat riskit, joita kaikki yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettujen erityisten henkilötietoryhmien käsittely aiheuttaa rekisteröityjen perusoikeuksille ja ‑vapauksille, kyseisen säännöksen tarkoituksena on kieltää tämä käsittely riippumatta tavoitteesta, joka sillä on ilmoitettu olevan.
71 Käsiteltävässä asiassa pääasiassa kyseessä oleva Meta Platforms Ireland suorittama käsittely muodostuu ensiksi Facebook-yhteisöpalvelun käyttäjien henkilötietojen keräämisestä heidän käydessään verkkosivustoilla tai sovelluksissa – mukaan luettuna ne, joista voi ilmetä yhteen tai useampaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuun ryhmään kuuluvia tietoja – ja tarvittaessa syöttäessään niihin tietoja rekisteröitymällä tai tekemällä verkkotilauksia, seuraavaksi näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutiliin ja lopuksi näiden tietojen käyttämisestä.
72 Tältä osin ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä, voiko näin kerätyistä tiedoista yksinään tai asianomaisten käyttäjien Facebook-tileihin yhdistettynä tosiasiallisesti ilmetä tällaisia tietoja riippumatta siitä, koskevatko nämä tiedot kyseisen palvelun käyttäjää tai ketä tahansa muuta luonnollista henkilöä. On kuitenkin täsmennettävä, kun otetaan huomioon ennakkoratkaisua pyytäneen tuomioistuimen pohdinnat, että on selvää, ellei sen tehtävänä olevista selvityksistä muuta johdu, että tietojen, jotka liittyvät kyseessä olevilla verkkosivustoilla tai kyseessä olevissa sovelluksissa käymiseen, käsittelystä voi tietyissä tapauksissa ilmetä tällaisia tietoja ilman, että käyttäjien olisi syötettävä niihin tietoja rekisteröitymällä tai tekemällä verkkotilauksia.
73 Edellä esitetyn perusteella toisen kysymyksen a kohtaan on vastattava, että yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaa on tulkittava siten, että tilanteessa, jossa verkkoyhteisöpalvelun käyttäjä käy verkkosivustoilla tai sovelluksissa, joilla on liittymä yhteen tai useampaan tässä säännöksessä tarkoitettuun henkilötietoryhmään, ja tarvittaessa syöttää niihin tietoja rekisteröitymällä tai tekemällä verkkotilauksia, tämän verkkoyhteisöpalvelun ylläpitäjän suorittamaa henkilötietojen käsittelyä, joka muodostuu rajapintojen, evästeiden tai vastaavien tallennusteknologioiden avulla toteutettavasta kyseisillä sivustoilla ja kyseisissä sovelluksissa käymisestä lähtöisin olevien tietojen sekä käyttäjän syöttämien tietojen keräämisestä, kaikkien näiden tietojen yhdistämisestä hänen yhteisöpalvelutiliinsä ja kyseisen ylläpitäjän toteuttamasta näiden tietojen käyttämisestä, on pidettävä tässä säännöksessä tarkoitettuna erityisiä henkilötietoryhmiä koskevana käsittelynä, joka on lähtökohtaisesti kiellettyä kyseisen 9 artiklan 2 kohdassa säädetyin poikkeuksin, kun kyseisestä henkilötietojen käsittelystä voi ilmetä johonkin näistä ryhmistä kuuluvia tietoja, riippumatta siitä, koskevatko kyseiset tiedot palvelun käyttäjää tai ketä tahansa muuta luonnollista henkilöä.
Toisen kysymyksen b kohta
74 Toisen kysymyksen b kohdasta, sellaisena kuin se on muotoiltuna uudelleen edellä 65 kohdassa ja liittyen yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohdassa säädettyyn poikkeukseen, on palautettava mieleen, että tämän säännöksen mukaan kyseisen 9 artiklan 1 kohdassa asetettua kaikkea erityisten henkilötietoryhmien käsittelyä koskevaa lähtökohtaista kieltoa ei sovelleta tilanteessa, jossa käsittely koskee henkilötietoja, jotka ”rekisteröity on nimenomaisesti saattanut julkisiksi”.
75 Aluksi on todettava yhtäältä, että tätä poikkeusta sovelletaan ainoastaan henkilötietoihin, jotka ”rekisteröity” on nimenomaisesti saattanut julkisiksi. Sitä ei näin ollen sovelleta henkilötietoihin, jotka koskevat muita henkilöitä kuin sitä, joka on saattanut kyseiset tiedot julkisiksi.
76 Toisaalta on todettava, että koska yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetään poikkeus erityisten henkilötietoryhmien käsittelyn kieltoa koskevaan periaatteeseen, sitä on tulkittava suppeasti (ks. vastaavasti tuomio 17.9.2014, Baltic Agro, C‑3/13, EU:C:2014:2227, 24 kohta oikeuskäytäntöviittauksineen ja tuomio 6.6.2019, Weil, C‑361/18, EU:C:2019:473, 43 kohta oikeuskäytäntöviittauksineen).
77 Tästä seuraa, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyn poikkeuksen soveltamiseksi on selvitettävä, onko rekisteröity tarkoittanut nimenomaisesti ja toteuttamalla selkeästi suostumusta ilmaisevan toimen saattaa kyseessä olevat henkilötiedot suuren yleisön saataville.
78 Tältä osin on yhtäältä todettava käymisestä verkkosivustoilla tai sovelluksissa, jolla on liittymä yhteen tai useampaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuun henkilötietoryhmään, että asianomainen käyttäjä ei näin tehdessään millään tapaa tarkoita saattaa julkiseksi sitä seikkaa, että hän on käynyt näillä sivustoilla tai näissä sovelluksissa, eikä kyseiseen vierailuun liittyviä tietoja, jotka voidaan liittää hänen henkilöönsä. Käyttäjä voi nimittäin korkeintaan odottaa, että kyseinen sivuston tai sovelluksen ylläpitäjä saa pääsyn näihin tietoihin ja jakaa ne tarvittaessa ja edellyttäen, että kyseinen käyttäjä on antanut nimenomaisen suostumuksensa, tietyille kolmansille mutta ei suurelle yleisölle.
79 Näin ollen yksinomaan siitä, että käyttäjä käy tällaisilla verkkosivustoilla tai tällaisissa sovelluksissa, ei voida päätellä, että hän olisi nimenomaisesti saattanut nämä henkilötiedot julkisiksi yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohdassa tarkoitetussa merkityksessä.
80 Toisaalta on todettava toiminnasta, johon sisältyy tietojen syöttäminen näille verkkosivustoille tai näihin sovelluksiin sekä niihin sisältyvien valintapainikkeiden, kuten ”tykkää”- ja ”jaa”-painikkeiden tai painikkeiden, joiden avulla käyttäjä voi tunnistautua kyseisille sivustoille tai kyseisiin sovelluksiin käyttämällä Facebook-käyttäjätiliinsä, puhelinnumeroonsa tai sähköpostiosoitteeseensa liittyviä kirjautumistunnuksia, käyttäminen, että siihen liittyy tämän käyttäjän ja kyseessä olevan verkkosivuston tai sovelluksen sekä tarvittaessa verkkoyhteisöpalvelun sivuston välinen vuorovaikutus, jonka julkisuuden muodot voivat vaihdella, koska kyseinen käyttäjä voi säätää niitä koskevia yksilöllisiä asetuksia.
81 Näin ollen ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä, onko asianomaisilla käyttäjillä mahdollisuus päättää tietoisesti tehdyn asetusten säätämisen avulla saattaa kyseessä oleville verkkosivustoille tai kyseessä oleviin sovelluksiin syötetyt henkilötiedot sekä niihin sisältyvien valintapainikkeiden käyttämisestä lähtöisin olevat tiedot suuren yleisön saataville tai sitä vastoin määrältään enemmän tai vähemmän rajattujen valittujen henkilöiden saataville.
82 Kun asianomaisilla käyttäjillä on tosiasiallisesti tällainen valintamahdollisuus, voidaan katsoa, että he syöttäessään vapaaehtoisesti tietoja verkkosivustolle tai sovellukseen tai käyttäessään niihin sisältyviä valintapainikkeita nimenomaisesti saattavat heitä koskevat tiedot julkisiksi yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohdassa tarkoitetussa merkityksessä ainoastaan siinä tapauksessa, että he ovat täysin tietoisesti tehdyn yksilöllisten asetusten säätämisen avulla selkeästi ilmaisseet valintansa saattaa kyseiset tiedot rajoittamattoman henkilöjoukon saataville, mikä ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä.
83 Sitä vastoin jos tällaista yksilöllisten asetusten säätämistä ei tarjota, on katsottava, kun otetaan huomioon edellä 77 kohdassa todettu, että kun käyttäjät syöttävät vapaaehtoisesti tietoja verkkosivustolle tai sovellukseen tai käyttävät niihin sisältyviä valintapainikkeita, heidän on, jotta heidän voidaan katsoa nimenomaisesti saattaneen kyseiset tiedot julkisiksi, annettava kyseisellä sivustolla tai kyseisessä sovelluksessa ennen tällaista tietojen syöttämistä tai näppäimen käyttämistä annettujen eksplisiittisten tietojen perusteella nimenomaisesti suostumuksensa siihen, että kaikki henkilöt, joilla on pääsy tähän sivustoon tai sovellukseen, voivat nähdä mainitut tiedot.
84 Edellä esitetyn perusteella toisen kysymyksen b kohtaan on vastattava, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohtaa on tulkittava siten, että kun verkkoyhteisöpalvelun käyttäjä käy verkkosivustoilla tai sovelluksissa, joilla on liittymä yhteen tai useampaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuun henkilötietoryhmään, hän ei nimenomaisesti saata julkiseksi tämän artiklan 2 kohdan e alakohdassa tarkoitetussa merkityksessä kyseiseen vierailuun liittyviä tietoja, jotka kyseisen verkkoyhteisöpalvelun ylläpitäjä kerää evästeiden tai vastaavien tallennusteknologioiden avulla.
85 Kun käyttäjä syöttää tietoja tällaisille verkkosivustoille tai tällaisiin sovelluksiin tai kun hän käyttää niihin sisältyviä valintapainikkeita, kuten ”tykkää”- ja ”jaa”-painikkeita tai painikkeita, joiden avulla hän voi tunnistautua näille sivustoille tai sovelluksiin käyttämällä verkkoyhteisöpalvelun käyttäjätiliinsä, puhelinnumeroonsa tai sähköpostiosoitteeseensa liittyviä kirjautumistunnuksia, hän nimenomaisesti saattaa julkiseksi tässä 9 artiklan 2 kohdan e alakohdassa tarkoitetussa merkityksessä näin syötetyt tai näiden painikkeiden käyttämisestä lähtöisin olevat tiedot ainoastaan siinä tapauksessa, että hän on nimenomaisesti ilmaissut etukäteen, tarvittaessa täysin tietoisesti tehdyn yksilöllisten asetusten säätämisen avulla, valintansa saattaa häntä koskevat tiedot rajoittamattoman henkilöjoukon saataville julkisesti.
Kolmas, neljäs ja viides kysymys
86 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella ja neljännellä kysymyksellään, joita on tarkasteltava yhdessä, pääasiallisesti sitä, onko, ja millä edellytyksin, yleisen tietosuoja-asetuksen 6 artikla 1 kohdan ensimmäisen alakohdan b ja f alakohtaa tulkittava siten, että verkkoyhteisöpalvelun ylläpitäjän suorittaman henkilötietojen käsittelyn, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, voidaan katsoa olevan b alakohdassa tarkoitetulla tavalla tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai f alakohdassa tarkoitetulla tavalla tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Kyseinen tuomioistuin tiedustelee erityisesti, onko sen nimenomaisesti mainitsemia etuja pidettävä tässä yhteydessä f alakohdassa tarkoitettuina oikeutettuina etuina.
87 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee viidennellä kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c–e alakohtaa tulkittava siten, että tällaisen henkilötietojen käsittelyn voidaan katsoa olevan tarpeen c alakohdassa tarkoitetulla tavalla rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, d alakohdassa tarkoitetulla tavalla rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi tai e alakohdassa tarkoitetulla tavalla yleistä etua koskevan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen kuuluvan tehtävän suorittamiseksi tapauksessa, jossa käsittely suoritetaan joko vastauksen antamiseksi lailliseen tiettyjen tietojen luovuttamista koskevaan pyyntöön, haitallisen käyttäytymisen estämiseksi ja turvallisuuden edistämiseksi taikka yhteiskunnan etua edistävää tutkimusta varten tai suojelun, eheyden ja turvallisuuden varmistamiseksi.
Alustavat huomautukset
88 Alustavasti on huomautettava ensiksi, että kolmas, neljäs ja viides kysymys esitetään siksi, että Bundeskartellamtin 6.2.2019 tehdyssä päätöksessä olevien toteamusten mukaan Facebook-yhteisöpalvelun käyttäjien ei voida katsoa antaneen yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohdan ja 9 artiklan 2 kohdan a alakohdan mukaista suostumustaan pääasiassa kyseessä olevaan heidän tietojaan koskevaan käsittelyyn. Ennakkoratkaisua pyytänyt tuomioistuin, joka esittää unionin tuomioistuimelle kuudennen kysymyksen tämän oletuksen perusteella, arvioi juuri tässä yhteydessä, että sen on selvitettävä, täyttyykö tämän käsittelyn osalta jokin muu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b–f alakohdassa asetettu lainmukaisuuden edellytys.
89 Tässä yhteydessä on todettava, että kolmannessa, neljännessä ja viidennessä kysymyksessä tarkoitetut tietojen kerääminen, yhdistäminen ja käyttäminen voivat koskea yhtä aikaa sekä yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja arkaluonteisia tietoja että muita kuin arkaluonteisia tietoja. On täsmennettävä, että tilanteessa, jossa sekä arkaluonteisia tietoja että muita kuin arkaluonteisia tietoja sisältävään tietojoukkoon kohdistetaan tällaisia toimenpiteitä ja jossa se erityisesti kerätään kokonaisuutena eikä tietoja voida niitä kerättäessä erotella, on katsottava, että tämän tietojoukon käsittely on yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaisesti kiellettyä silloin, kun siihen sisältyy vähintäänkin yksi arkaluonteinen tieto eikä mitään yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa olevaa poikkeusta voida soveltaa.
90 Toiseksi kolmanteen, neljänteen ja viidenteen kysymykseen vastaamiseksi on palautettava mieleen, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisessä alakohdassa vahvistetaan tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan lainmukaista. Jotta käsittelyn voidaan siis katsoa olevan oikeutettua, sen on kuuluttava johonkin näissä säännöksissä säädetyistä tapauksista (tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 99 kohta oikeuskäytäntöviittauksineen).
91 Kyseisen asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan mukaan henkilötietojen käsittely on lainmukaista jos ja siltä osin kuin rekisteröity on antanut sitä koskevan suostumuksensa yhtä tai useampaa erityistä tarkoitusta varten.
92 Jos tällainen suostumus puuttuu tai sitä ei ole annettu yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan mukaisesti vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti, tällainen käsittely on kuitenkin oikeutettua, jos sen osalta täyttyy jonkin 6 artiklan 1 kohdan ensimmäisen alakohdan b–f alakohdassa mainituista edellytyksistä.
93 Tässä yhteydessä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b–f alakohdassa olevia oikeuttamisperusteita on tulkittava suppeasti, koska niiden perusteella ilman rekisteröidyn suostumusta suoritettavasta henkilötietojen käsittelystä tulee lainmukaista (ks. vastaavasti tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 73 kohta oikeuskäytäntöviittauksineen).
94 Lisäksi on niin, kuten unionin tuomioistuin on todennut, että kun henkilötietojen käsittelyn voidaan todeta olevan tarpeen johonkin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b–f alakohdassa olevan oikeuttamisperusteen vuoksi, ei ole määritettävä, kuuluuko tämä käsittely myös jonkin muun oikeuttamisperusteen piiriin (ks. vastaavasti tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 71 kohta).
95 On myös täsmennettävä, että yleisen tietosuoja-asetuksen 5 artiklan mukaan juuri rekisterinpitäjällä on todistustaakka siitä, että nämä tiedot muun muassa kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten ja että niitä käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lisäksi kyseisen asetuksen 13 artiklan 1 kohdan c alakohdan mukaan silloin, kun henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on annettava hänelle tiedoksi näiden tietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste.
96 Ennakkoratkaisua pyytäneen tuomioistuimen on määritettävä, ovatko pääasiassa kyseessä olevan käsittelyn eri elementit oikeutettuja sillä perusteella, että ne ovat tarpeen jotakin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b–f alakohdassa mainittua tarkoitusta varten, mutta unionin tuomioistuin voi kuitenkin antaa sille hyödyllisiä tietoja, joiden perusteella se voi ratkaista käsiteltävänään olevan asian.
Kolmas ja neljäs kysymys
97 Ensiksi on todettava yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohdasta, että sen mukaan henkilötietojen käsittely on lainmukaista, jos se ”on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä”.
98 Jotta henkilötietojen käsittelyn voidaan katsoa olevan tarpeen sopimuksen täytäntöön panemiseksi tässä säännöksessä tarkoitetussa merkityksessä, sen on oltava objektiivisesti välttämätöntä sellaisen tarkoituksen toteuttamiseksi, joka on rekisteröidylle tarkoitetun sopimusperusteisen suorituksen olennainen osa. Rekisterinpitäjän on siis voitava osoittaa, miltä osin sopimuksen pääkohdetta ei voitaisi toteuttaa ilman kyseessä olevaa käsittelyä.
99 Tällaisen käsittelyn mainitseminen sopimuksessa tai se, että käsittely on pelkästään hyödyllistä sopimuksen täyttämisen kannalta, on itsessään merkityksetöntä tässä yhteydessä. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohdassa tarkoitetun oikeuttamisperusteen soveltamisen kannalta ratkaisevaa on nimittäin se, että rekisterinpitäjän suorittama henkilötietojen käsittely on olennaisen tärkeää tämän rekisterinpitäjän ja rekisteröidyn välisen sopimuksen asianmukaista täyttämistä varten, eikä näin ollen ole muita vähemmän intrusiivisia vaihtoehtoja.
100 Tältä osin on niin, kuten julkisasiamies toteaa ratkaisuehdotuksensa 54 kohdassa, että kun sopimus muodostuu useista palveluista tai useista saman palvelun erillisistä osista, jotka voidaan suorittaa toisistaan riippumatta, yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohdan sovellettavuutta on arvioitava erikseen kunkin palvelun asiayhteydessä.
101 Käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin mainitsee kyseisen säännöksen soveltamisalaan mahdollisesti kuuluvien oikeuttamisperusteiden yhteydessä tekijöinä, joiden tarkoituksena on varmistaa Meta Platforms Irelandin ja sen käyttäjien välillä tehdyn sopimuksen asianmukainen täyttäminen, sisältöjen personoinnin sekä Meta-konsernin omien palveluiden kokonaisvaltaisen ja saumattoman käyttämisen.
102 Ensiksi on todettava sisältöjen personointia koskevasta oikeuttamisperusteesta, että vaikka tällainen personointi on hyödyllistä käyttäjälle, koska sen avulla hän voi nähdä kiinnostuksenkohteitaan pitkälti vastaavia sisältöjä, on kuitenkin niin, että jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä olevista selvityksistä muuta johdu, sisältöjen personointi ei ole tarpeen verkkoyhteisöpalvelujen tarjoamiseksi tälle käyttäjälle. Hänelle voidaan tarvittaessa tarjota näitä palveluita vastaavalla vaihtoehtoisella tavalla, johon ei sisälly tällaista personointia, joten personointi ei ole objektiivisesti välttämätöntä näihin palveluihin olennaisena osana kuuluvaa tarkoitusta varten.
103 Toiseksi unionin tuomioistuimelle toimitetusta asiakirja-aineistosta käy ilmi oikeuttamisperusteesta, joka koskee Meta-konsernin omien palveluiden kokonaisvaltaista ja saumatonta käyttämistä, että henkilön ei tarvitse kirjautua Meta-konsernin tarjoamien eri palvelujen käyttäjäksi voidakseen luoda käyttäjätilin Facebook-yhteisöpalveluun. Konsernin tarjoamia eri tuotteita ja palveluita voidaan nimittäin käyttää toisistaan riippumatta ja jokaisen tuotteen ja palvelun käyttö perustuu erillisen käyttösopimuksen solmimiselle.
104 Näin ollen ja jollei ennakkoratkaisua pyytäneen tuomioistuimen suorittamista selvityksistä muuta johdu, muista Meta-konsernin tarjoamista palveluista kuin verkkoyhteisöpalvelusta lähtöisin olevien henkilötietojen käsittely ei vaikuta olevan tarpeen kyseisen verkkoyhteisöpalvelun tarjoamista varten.
105 Toiseksi on todettava yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdasta, että sen mukaan henkilötietojen käsittely on lainmukaista, jos se ”on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi”.
106 Kuten unionin tuomioistuin on jo todennut, kyseisessä säännöksessä säädetään kolmesta kumulatiivisesta edellytyksestä henkilötietojen käsittelyn lainmukaisuudelle, eli siinä edellytetään ensinnäkin, että tavoitellaan rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua, toiseksi, että henkilötietojen käsittely on tarpeen oikeutetun edun toteuttamiseksi, ja kolmanneksi, että henkilön, jota tietosuoja koskee, edut tai perusoikeudet ja ‑vapaudet eivät syrjäytä rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua (tuomio 17.6.2021, M.I.C.M., C‑597/19, EU:C:2021:492, 106 kohta oikeuskäytäntöviittauksineen).
107 Ensiksi on täsmennettävä edellytyksestä, joka koskee oikeutetun edun tavoittelemista, että tietosuoja-asetuksen 13 artiklan 1 kohdan d alakohdan mukaan rekisterinpitäjän on ilmoitettava rekisteröidylle silloin, kun häneltä kerätään häntä koskevia henkilötietoja, tavoitellut oikeutetut edut, kun kyseinen käsittely perustuu tämän asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohtaan.
108 Toiseksi on todettava edellytyksestä, joka koskee henkilötietojen käsittelyn tarpeellisuutta oikeutetun edun toteuttamiseksi, että ennakkoratkaisua pyytäneen tuomioistuimen on sen nojalla selvitettävä, että henkilötietojen käsittelyllä tavoiteltua oikeutettua etua ei voida kohtuudella saavuttaa yhtä tehokkaasti muilla rekisteröityjen perusoikeuksia ja ‑vapauksia, erityisesti perusoikeuskirjan 7 ja 8 artiklassa taattuja yksityiselämän kunnioitusta ja henkilötietojen suojaa koskevia oikeuksia, vähemmän rajoittavilla keinoilla (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 110 kohta oikeuskäytäntöviittauksineen).
109 Tässä yhteydessä on myös muistutettava, että henkilötietojen käsittelyn tarpeellisuutta koskevaa edellytystä on tarkasteltava yhdessä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa vahvistetun tietojen minimoinnin periaatteen kanssa, jonka mukaan henkilötietojen on ”oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään” (ks. vastaavasti tuomio 11.12.2019, Asociația de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, 48 kohta).
110 Kolmanneksi unionin tuomioistuin on jo todennut edellytyksestä, jonka mukaan henkilön, jota tietosuoja koskee, edut tai perusoikeudet ja ‑vapaudet eivät syrjäytä rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua, että se merkitsee kyseessä olevien vastakkaisten oikeuksien ja etujen punnintaa, joka riippuu lähtökohtaisesti kunkin tapauksen konkreettisista olosuhteista, ja näin ollen ennakkoratkaisua pyytäneen tuomioistuimen on suoritettava tämä punninta ottaen huomioon nämä erityiset olosuhteet (tuomio 17.6.2021, M.I.C.M., C‑597/19, EU:C:2021:492, 111 kohta oikeuskäytäntöviittauksineen).
111 Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdan sanamuodosta käy tältä osin ilmi, että tällaisessa punninnassa on kiinnitettävä erityistä huomiota siihen, että rekisteröity on lapsi. Tämän asetuksen johdanto-osan 38 perustelukappaleen mukaan nimittäin erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä tällaiseen henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin käsiteltäessä lasten henkilötietoja markkinointitarkoituksiin tai henkilö- tai käyttäjäprofiilien luomiseen ja kun tarjotaan suoraan lapsille tarjottuja palveluja.
112 Lisäksi on niin, kuten yleisen tietosuoja-asetuksen johdanto-osan 47 perustelukappaleesta käy ilmi, että etenkin rekisteröidyn edut ja perusoikeudet voivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa tällaista käsittelyä.
113 Käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin mainitsee oikeuttamisperusteiden, jotka voivat kuulua yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdan soveltamisalaan, yhteydessä mainonnan personoinnin, verkkoturvallisuuden, tuotteiden parantamisen, tietojen antamisen rikostutkinta‑ ja täytäntöönpanoviranomaisille, käyttäjän alaikäisyyden, sosiaalisin tarkoitusperin toteutetun tutkimuksen tai innovaatiot sekä mainostajille ja muille liikekumppaneille tarjottavat kuluttajaan kohdistuvan markkinointiviestinnän palvelut ja arviointivälineet, joiden avulla he voivat arvioida suoritustaan.
114 Tältä osin on todettava aluksi, että ennakkoratkaisupyyntöön ei sisälly selityksiä, joiden perusteella voitaisiin ymmärtää, miten sosiaalisin tarkoitusperin toteutettu tutkimus tai innovaatiot tai käyttäjän alaikäisyys voisivat oikeuttaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdassa tarkoitettuina oikeutettuina päämäärinä kyseessä olevien tietojen keräämisen ja käyttämisen. Näin ollen unionin tuomioistuin ei voi lausua asiasta tältä osin.
115 Ensinnäkin mainonnan personoinnista on todettava, että tämän asetuksen johdanto-osan 47 perustelukappaleen mukaan henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää rekisterinpitäjän oikeutetun edun toteuttamiseksi suoritettuna.
116 Kuitenkin edellytetään lisäksi, että tällainen käsittely on tarpeen tämän edun toteuttamiseksi ja että rekisteröidyn edut tai perusoikeudet ja ‑vapaudet eivät syrjäytä tätä etua. Kyseessä olevien vastakkaisten – eli yhtäältä rekisterinpitäjän ja toisaalta rekisteröidyn – oikeuksien ja etujen punninnassa on otettava huomioon, kuten edellä 112 kohdassa on todettu, muun muassa rekisteröidyn kohtuulliset odotukset sekä kyseessä olevan käsittelyn laajuus ja vaikutus, joka sillä on tähän henkilöön.
117 Tältä osin on huomautettava, että huolimatta Facebookin kaltaisen verkkoyhteisöpalvelun palvelujen maksuttomuudesta, sen käyttäjä ei voi kohtuudella odottaa, että yhteisöpalvelun ylläpitäjä käsittelee hänen henkilötietojaan ilman hänen suostumustaan mainonnan personointia varten. Näin ollen on katsottava, että tällaisen käyttäjän edut ja perusoikeudet syrjäyttävät ylläpitäjän edun, joka liittyy tällaiseen sen toiminnan rahoituslähteenä olevan mainonnan personointiin, joten sen tällaista tarkoitusta varten suorittama käsittely ei voi kuulua yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdan soveltamisalaan.
118 Lisäksi on todettava, että pääasiassa kyseessä oleva käsittely on erityisen laaja-alaista, koska se koskee mahdollisesti rajoittamattomia tietoja ja sillä on huomattava vaikutus käyttäjään, jonka verkossa tapahtuvan toiminnan suurta osaa tai jopa miltei koko toimintaa Meta Platforms Ireland tarkkailee, mistä hänelle voi syntyä tunne, että hänen yksityiselämäänsä valvotaan jatkuvasti.
119 Toiseksi verkkoturvallisuuden takaamista koskevasta päämäärästä on todettava, että se on, kuten yleisen tietosuoja-asetuksen johdanto-osan 49 perustelukappaleessa todetaan, Meta Platforms Irelandin oikeutettu etu, jolla voidaan oikeuttaa pääasiassa kyseessä oleva käsittely.
120 Siltä osin kuin kyse on kyseisen käsittelyn tarpeellisuudesta tämän oikeutetun edun toteuttamiseksi, ennakkoratkaisua pyytäneen tuomioistuimen on kuitenkin selvitettävä, onko, ja missä laajuudessa, Facebook-yhteisöpalvelun ulkopuolisista lähteistä kerättyjen henkilötietojen käsittely tosiasiallisesti tarpeen sen varmistamiseksi, että kyseisen palvelun sisäinen turvallisuus ei vaarannu.
121 Kuten edellä 108 ja 109 kohdassa on todettu, tässä yhteydessä sen on myös selvitettävä yhtäältä, eikö henkilötietojen käsittelyllä tavoiteltua oikeutettua etua voida kohtuudella saavuttaa yhtä tehokkaasti muilla rekisteröityjen perusoikeuksia ja ‑vapauksia, erityisesti perusoikeuskirjan 7 ja 8 artiklassa taattuja yksityiselämän kunnioitusta ja henkilötietojen suojaa koskevia oikeuksia, vähemmän rajoittavilla keinoilla, ja toisaalta, onko yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin periaatetta on noudatettu.
122 Kolmanneksi tuotteiden parantamista koskevasta tavoitteesta on todettava, että lähtökohtaisesti ei voida sulkea pois sitä, että rekisterinpitäjän etu, joka liittyy kyseisen rekisterinpitäjän tuotteen tai palvelun parantamiseen sen suorituskyvyn ja siten houkuttelevuuden lisäämiseksi, voi olla oikeutettu etu, jolla henkilötietojen käsittely voidaan oikeuttaa, eikä sitä, että tällainen käsittely voi olla tarpeellista kyseisen edun toteuttamiseksi.
123 Kuitenkin, ja jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä olevasta tätä koskevasta lopullisesta arvioinnista muuta johdu, on kyseenalaista, että pääasiassa kyseessä olevan tietojenkäsittelyn yhteydessä tuotteiden parantamista koskeva tavoite voisi, kun otetaan huomioon tämän käsittelyn laajuus ja sillä käyttäjään oleva huomattava vaikutus sekä se, että käyttäjä ei voi kohtuudella odottaa Meta Platforms Irelandin käsittelevän näitä tietoja, syrjäyttää tällaisen käyttäjän edut ja perusoikeudet erityisesti tilanteessa, jossa käyttäjä on lapsi.
124 Neljänneksi on todettava ennakkoratkaisua pyytäneen tuomioistuimen mainitsemasta tavoitteesta, joka liittyy tietojen antamiseen rikostutkinta‑ ja täytäntöönpanoviranomaisille, jotta saadaan estettyä, paljastettua ja tutkittua rikoksia, että kyseisessä tavoitteessa ei lähtökohtaisesti voi olla kyse yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdassa tarkoitetusta rekisterinpitäjän oikeutetusta edusta. Meta Platforms Irelandin kaltainen yksityinen ylläpitäjä ei voi vedota tällaiseen oikeutettuun etuun, joka ei liity sen taloudelliseen ja kaupalliseen toimintaan. Sitä vastoin mainitulla tavoitteella voidaan oikeuttaa tällaisen ylläpitäjän suorittama käsittely silloin, kun se on objektiivisesti tarpeen tämän ylläpitäjän lakisääteisen velvoitteen noudattamiseksi.
125 Edellä esitetyn perusteella kolmanteen ja neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohtaa on tulkittava siten, että verkkoyhteisöpalvelun ylläpitäjän suorittaman henkilötietojen käsittelyn, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, voidaan katsoa olevan tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tässä säännöksessä tarkoitetussa merkityksessä ainoastaan sillä edellytyksellä, että tämä käsittely on objektiivisesti välttämätöntä sellaisen tarkoituksen toteuttamiseksi, joka on näille käyttäjille tarkoitetun sopimusperusteisen suorituksen olennainen osa, joten sopimuksen pääkohdetta ei voida toteuttaa ilman tätä käsittelyä.
126 Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohtaa on tulkittava siten, että tällaisen käsittelyn voidaan katsoa olevan tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi tässä säännöksessä tarkoitetussa merkityksessä ainoastaan sillä edellytyksellä, että kyseinen ylläpitäjä on ilmoittanut tietojen keräämisen kohteena olleille käyttäjille niiden käsittelyllä tavoiteltavasta oikeutetusta edusta, että käsittely suoritetaan tämän oikeutetun edun toteuttamiselle täysin välttämättömän rajoissa ja että vastakkaisten etujen punninnasta käy ilmi, kun otetaan huomioon kaikki merkitykselliset olosuhteet, että näiden käyttäjien edut tai perusoikeudet- ja vapaudet eivät syrjäytä kyseistä rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua.
Viides kysymys
127 Ensiksi on palautettava mieleen siltä osin kuin tämä kysymys koskee yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c ja e alakohtaa, että tämän c alakohdan nojalla henkilötietojen käsittely on lainmukaista, jos se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Lisäksi 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdan mukaan käsittely on lainmukaista myös silloin, kun se on tarpeen yleistä etua koskevan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen kuuluvan tehtävän suorittamiseksi.
128 Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa täsmennetään muun muassa näiden kahden lainmukaisuustilanteen osalta, että käsittelyn on perustuttava unionin oikeuteen tai rekisterinpitäjään sovellettavaan jäsenvaltion lainsäädäntöön ja että tämän oikeusperustan on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.
129 Käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin haluaa tietää, voidaanko pääasiassa kyseessä olevan kaltaisen henkilötietojen käsittelyn katsoa olevan oikeutettua yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohtaan nähden, kun sen tarkoituksena on ”vastauksen antaminen lailliseen tiettyjen tietojen luovuttamista koskevaan pyyntöön”, tai 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdan nojalla, kun se tapahtuu ”yhteiskunnan etua edistävää tutkimusta varten” tai ”suojelun, eheyden ja turvallisuuden varmistamiseksi”.
130 On kuitenkin todettava, että ennakkoratkaisua pyytänyt tuomioistuin ei ole toimittanut unionin tuomioistuimelle tietoja, joiden perusteella se voisi lausua konkreettisesti tästä seikasta.
131 Näin ollen ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä ottaen huomioon edellä 128 kohdassa todetut edellytykset, voidaanko käsittelyn katsoa olevan oikeutettua näiden tavoitteiden perusteella.
132 Kun otetaan huomioon edellä 124 kohdassa todettu, ennakkoratkaisua pyytäneen tuomioistuimen on erityisesti selvitettävä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohdan soveltamiseksi, onko Meta Platforms Irelandilla lakisääteinen velvollisuus kerätä ja säilyttää henkilötietoja ennakoivasti, jotta se voi antaa vastauksen kaikkiin kansallisen viranomaisen pyyntöihin, joiden tarkoituksena on saada sen käyttäjiä koskevia tiettyjä tietoja.
133 Ennakkoratkaisua pyytäneen tuomioistuimen on myös arvioitava yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen e alakohdan huomioon ottaen, onko Meta Platforms Irelandilla yleistä etua koskeva tehtävä tai julkisen vallan käyttämiseen kuuluva tehtävä erityisesti yhteiskunnan etua edistävän tutkimuksen tai suojelun, eheyden ja turvallisuuden varmistamiseksi; kun otetaan huomioon kyseisen yksityisen ylläpitäjän toiminnan luonne ja se, että sen toiminta on pääasiallisesti taloudellista ja kaupallista, vaikuttaa epätodennäköiseltä, että kyseisellä yksityisellä ylläpitäjällä olisi tällainen tehtävä.
134 Lisäksi ennakkoratkaisua pyytäneen tuomioistuimen on tarvittaessa selvitettävä, kun otetaan huomioon Meta Platforms Irelandin suorittaman tietojenkäsittelyn laajuus ja huomattava vaikutus, joka sillä on Facebook-yhteisöpalvelun käyttäjiin, suoritetaanko tämä käsittely täysin välttämättömän rajoissa.
135 Toiseksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan d alakohdasta on todettava, että sen mukaan henkilötietojen käsittely on lainmukaista, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.
136 Kuten kyseisen asetuksen johdanto-osan 46 perustelukappaleesta käy ilmi, kyseinen säännös koskee erityistilannetta, jossa henkilötietojen käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi, ja siinä mainitaan esimerkkeinä humanitaariset syyt, kuten epidemioiden ja niiden leviämisen seuraaminen, sekä humanitaariset hätätilanteet, kuten luonnonkatastrofit ja ihmisen aiheuttamat katastrofit.
137 Näistä esimerkeistä sekä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan d alakohdalle annettavasta suppeasta tulkinnasta käy ilmi, että kun otetaan huomioon verkkoyhteisöpalvelun ylläpitäjän tarjoamien palvelujen luonne, tällainen ylläpitäjä, jonka toiminta on pääasiallisesti taloudellista ja kaupallista, ei voi vedota käyttäjiensä tai muiden henkilöiden hengen kannalta olennaisiin etuihin osoittaakseen ehdottomasti sekä täysin abstraktisti ja ennakoivasti, että pääasiassa kyseessä olevan kaltainen tietojenkäsittely on lainmukaista.
138 Edellä esitetyn perusteella viidenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 6 artikla 1 kohdan ensimmäisen alakohdan c alakohtaa on tulkittava siten, että verkkoyhteisöpalvelun ylläpitäjän suorittama henkilötietojen käsittely, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, on oikeutettua tämän säännöksen nojalla, kun se on tosiasiallisesti tarpeen, jotta tämä ylläpitäjä voi noudattaa unionin oikeussäännökseen tai asianomaisen jäsenvaltion oikeuteen perustuvaa lakisääteistä velvoitettaan, kun tämä oikeusperusta täyttää yleisen edun mukaisen tavoitteen ja on oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden ja kun tämä käsittely suoritetaan täysin välttämättömän rajoissa.
139 Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan d ja e alakohtaa on tulkittava siten, että tällaisen henkilötietojen käsittelyn ei lähtökohtaisesti, ja jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä olevasta selvityksestä muuta johdu, voida katsoa olevan tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi d alakohdassa tarkoitetussa merkityksessä tai yleistä etua koskevan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen kuuluvan tehtävän suorittamiseksi e alakohdassa tarkoitetussa merkityksessä.
Kuudes kysymys
140 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kuudennella kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen kohdan a alakohtaa ja 9 artiklan 2 kohdan a alakohtaa tulkittava siten, että verkkoyhteisöpalvelun käyttäjän tällaisen palvelun ylläpitäjälle antaman suostumuksen voidaan katsoa täyttävän kyseisen asetuksen 4 artiklan 11 kohdassa asetetut pätevyyttä koskevat edellytykset ja erityisesti edellytyksen, jonka mukaan suostumuksen on oltava vapaaehtoinen, kun tällä ylläpitäjällä on määräävää asema verkkoyhteisöpalvelujen markkinoilla.
141 Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohdan mukaan rekisteröidyn suostumus on edellytyksenä yhtä tai useampaa erityistä tarkoitusta varten suoritettavalle häntä koskevien henkilötietojen käsittelylle ja 9 artiklan 2 kohdan a alakohdan mukaan rekisteröidyn suostumus on edellytyksenä kyseisen 9 artiklan 1 kohdassa mainittujen erityisten henkilötietoryhmien käsittelylle.
142 Yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan mukaan suostumuksen käsitteellä tarkoitetaan ”mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”.
143 Ennakkoratkaisua pyytäneen tuomioistuimen pohdinnoista on palautettava mieleen ensiksi, että yleisen tietosuoja-asetuksen johdanto-osan 42 perustelukappaleen mukaan suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.
144 Toiseksi kyseisen asetuksen johdanto-osan 43 perustelukappaleessa todetaan, että jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle, kun rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Kyseisessä perustelukappaleessa täsmennetään myös, että suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa.
145 Kolmanneksi yleisen tietosuoja-asetuksen 7 artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.
146 Kuudenteen kysymykseen on vastattava näiden näkökohtien perusteella.
147 Tältä osin on todettava, että se, että rekisterinpitäjänä toimiva verkkoyhteisöpalvelun ylläpitäjä on määräävässä asemassa yhteisöpalvelujen markkinoilla, ei tosin estä sellaisenaan sitä, että kyseisen yhteisöpalvelun käyttäjät voivat pätevästi antaa yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa tarkoitetun suostumuksensa tämän ylläpitäjän suorittamaan heitä koskevien henkilötietojen käsittelyyn.
148 Kuten julkisasiamies pääasiallisesti toteaa ratkaisuehdotuksensa 75 kohdassa, tällainen seikka on kuitenkin otettava huomioon arvioitaessa, onko mainitun palvelun käyttäjä antanut suostumuksensa pätevästi ja etenkin vapaaehtoisesti, kun kyseinen seikka voi vaikuttaa kyseisellä käyttäjällä, joka ei välttämättä voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa, olevaan vapaan valinnan mahdollisuuteen, kuten yleisen tietosuoja-asetuksen johdanto-osan 42 perustelukappaleessa todetaan.
149 Lisäksi tällaisesta määräävästä asemasta voi syntyä yleisen tietosuoja-asetuksen johdanto-osan 43 perustelukappaleessa tarkoitettu rekisteröidyn ja rekisterinpitäjän välinen selkeä epäsuhta, joka edesauttaa erityisesti sellaisten ehtojen asettamista, jotka eivät ole ehdottoman välttämättömiä sopimuksen täyttämisen kannalta, mikä on otettava huomioon tämän asetuksen 7 artiklan 4 kohdan mukaisesti. Tässä yhteydessä on muistutettava, että – kuten edellä 102–104 kohdassa on todettu – pääasiassa kyseessä oleva tietojenkäsittely, jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä olevista selvityksistä muuta johdu, ei vaikuta olevan ehdottoman välttämätöntä Meta Platforms Irelandin ja Facebook-yhteisöpalvelun käyttäjien välisen sopimuksen täyttämiseksi.
150 Näin ollen näillä käyttäjillä on oltava sopimusmenettelyn yhteydessä vapaus kieltäytyä tapauskohtaisesti antamasta suostumustaan erityisiin tietojenkäsittelytoimiin, jotka eivät ole välttämättömiä sopimuksen täyttämiseksi, ilman, että heidän on samalla luovuttava kokonaan verkkoyhteisöpalvelun ylläpitäjän tarjoaman palvelun käyttämisestä, mikä tarkoittaa, että näille käyttäjille on tarjolla, tarvittaessa asianmukaista korvausta vastaan, vastaava vaihtoehto, johon ei liity tällaisia tietojenkäsittelytoimia.
151 Lisäksi on niin, että kun otetaan huomioon kyseessä olevan tietojenkäsittelyn laajuus ja sillä tämän palvelun käyttäjiin oleva huomattava vaikutus sekä se seikka, että käyttäjät eivät voi kohtuudella odottaa yhteisöpalvelun ylläpitäjän käsittelevän muita tietoja kuin niitä, jotka liittyvät heidän toimintaansa kyseisessä yhteisöpalvelussa, on pidettävä johdanto-osan 43 perustelukappaleessa tarkoitetulla tavalla asianmukaisena, että yhtäältä viimeksi mainittujen tietojen ja toisaalta off Facebook ‑tietojen käsittelyyn voidaan antaa erilliset suostumukset. Ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä on selvittää, onko tällainen mahdollisuus olemassa, ja jos tämä mahdollisuus puuttuu, on oletettava, että nämä käyttäjät eivät ole vapaaehtoisesti antaneet suostumustaan off Facebook-tietojen käsittelyyn.
152 Lopuksi on palautettava mieleen, että yleisen tietosuoja-asetuksen 7 artiklan 1 kohdan mukaan silloin, kun tietojenkäsittely perustuu suostumukseen, näyttötaakka siitä, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn, on rekisterinpitäjällä.
153 Ennakkoratkaisua pyytäneen tuomioistuimen on määritettävä näiden edellytysten ja kaikkien tapaukseen liittyvien seikkojen yksityiskohtaisen tarkastelun perusteella, ovatko Facebook-yhteisöpalvelun käyttäjät pätevästi ja erityisesti vapaaehtoisesti antaneet suostumuksensa pääasiassa kyseessä olevaan käsittelyyn.
154 Edellä esitetyn perusteella kuudenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen kohdan a alakohtaa ja 9 artiklan 2 kohdan a alakohtaa on tulkittava siten, että se, että verkkoyhteisöpalvelun ylläpitäjä on määräävässä asemassa verkkoyhteisöpalvelujen markkinoilla, ei estä sellaisenaan sitä, että tällaisen palvelun käyttäjät voivat pätevästi antaa yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa tarkoitetun suostumuksensa tämän ylläpitäjän suorittamaan heitä koskevien henkilötietojen käsittelyyn. Tämä seikka on kuitenkin tärkeä tekijä määritettäessä, onko suostumus tosiasiallisesti annettu pätevästi ja erityisesti vapaaehtoisesti, mikä tämän ylläpitäjän on osoitettava.
Oikeudenkäyntikulut
155 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 51 artiklaa ja sitä seuraavia artikloita
on tulkittava siten, että
jäsenvaltion kilpailuviranomainen voi sillä edellytyksellä, että se noudattaa valvontaviranomaisten kanssa tehtävää vilpitöntä yhteistyötä koskevaa velvollisuuttaan, todeta tutkittaessa, onko yritys väärinkäyttänyt määräävää asemaa SEUT 102 artiklassa tarkoitetulla tavalla, että kyseisen yrityksen henkilötietojen käsittelyä koskevat yleiset käyttöehdot ja niiden soveltaminen eivät ole yleisen tietosuoja-asetuksen mukaisia, jos tällainen toteamus on tarpeen tällaisen väärinkäytön toteamiseksi.
Kun otetaan huomioon tämä vilpitöntä yhteistyötä koskevan periaate, kansallinen kilpailuviranomainen ei voi poiketa toimivaltaisen kansallisen valvontaviranomaisen tai toimivaltaisen johtavan valvontaviranomaisen tekemästä päätöksestä, joka koskee kyseisiä yleisiä ehtoja tai samankaltaisia yleisiä ehtoja. Jos sillä on epäilyjä tällaisen päätöksen ulottuvuudesta, jos kyseiset viranomaiset tutkivat samaan aikaan mainittuja ehtoja tai samankaltaisia ehtoja tai jos mainittujen viranomaisten tutkinnan tai päätöksen puuttuessa kilpailuviranomainen katsoo, että kyseessä olevat ehdot eivät ole asetuksen 2016/679 mukaisia, sen on kysyttävä neuvoa näiltä valvontaviranomaisilta ja pyydettävä niitä tekemään yhteistyötä epäilystensä poistamiseksi tai sen määrittämiseksi, onko odotettava niiden päätöstä ennen kuin se tekee oman arviointinsa. Jos ne eivät vastusta asiaa tai eivät vastaa kohtuullisen määräajan kuluessa, kansallinen kilpailuviranomainen voi jatkaa omaa tutkintaansa.
2) Asetuksen 2016/679 9 artiklan 1 kohtaa
on tulkittava siten, että
tilanteessa, jossa verkkoyhteisöpalvelun käyttäjä käy verkkosivustoilla tai sovelluksissa, joilla on liittymä yhteen tai useampaan tässä säännöksessä tarkoitettuun henkilötietoryhmään, ja tarvittaessa syöttää niihin tietoja rekisteröitymällä tai tekemällä verkkotilauksia, tämän verkkoyhteisöpalvelun ylläpitäjän suorittamaa henkilötietojen käsittelyä, joka muodostuu rajapintojen, evästeiden tai vastaavien tallennusteknologioiden avulla toteutettavasta kyseisillä sivustoilla ja sovelluksissa käymisestä lähtöisin olevien tietojen sekä käyttäjän syöttämien tietojen keräämisestä, kaikkien näiden tietojen yhdistämisestä hänen yhteisöpalvelutiliinsä ja kyseisen ylläpitäjän toteuttamasta näiden tietojen käyttämisestä, on pidettävä tässä säännöksessä tarkoitettuna erityisiä henkilötietoryhmiä koskevana käsittelynä, joka on lähtökohtaisesti kiellettyä kyseisen 9 artiklan 2 kohdassa säädetyin poikkeuksin, kun kyseisestä henkilötietojen käsittelystä voi ilmetä johonkin näistä ryhmistä kuuluvia tietoja riippumatta siitä, koskevatko kyseiset tiedot palvelun käyttäjää tai ketä tahansa muuta luonnollista henkilöä.
3) Asetuksen 2016/679 9 artiklan 2 kohdan e alakohtaa
on tulkittava siten, että
kun verkkoyhteisöpalvelun käyttäjä käy verkkosivustoilla tai sovelluksissa, joilla on liittymä yhteen tai useampaan kyseisen asetuksen 9 artiklan 1 kohdassa tarkoitettuun henkilötietoryhmään, hän ei nimenomaisesti saata julkiseksi tämän artiklan 2 kohdan e alakohdassa tarkoitetussa merkityksessä kyseiseen vierailuun liittyviä tietoja, jotka kyseisen verkkoyhteisöpalvelun ylläpitäjä kerää evästeiden tai vastaavien tallennusteknologioiden avulla.
Kun käyttäjä syöttää tietoja tällaisille verkkosivustoille tai sovelluksiin tai kun hän käyttää niihin sisältyviä valintapainikkeita, kuten ”tykkää”- ja ”jaa”-painikkeita tai painikkeita, joiden avulla hän voi tunnistautua näille sivustoille tai sovelluksiin käyttämällä verkkoyhteisöpalvelun käyttäjätiliinsä, puhelinnumeroonsa tai sähköpostiosoitteeseensa liittyviä kirjautumistunnuksia, hän nimenomaisesti saattaa julkiseksi tässä 9 artiklan 2 kohdan e alakohdassa tarkoitetussa merkityksessä näin syötetyt tai näiden painikkeiden käyttämisestä lähtöisin olevat tiedot ainoastaan siinä tapauksessa, että hän nimenomaisesti ilmaisee etukäteen, tarvittaessa täysin tietoisesti tehdyn yksilöllisten asetusten säätämisen avulla, valintansa saattaa häntä koskevat tiedot rajoittamattoman henkilöjoukon saataville julkisesti.
4) Asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohtaa
on tulkittava siten, että
verkkoyhteisöpalvelun ylläpitäjän suorittaman henkilötietojen käsittelyn, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai muissa sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, voidaan katsoa olevan tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tässä säännöksessä tarkoitetussa merkityksessä ainoastaan sillä edellytyksellä, että tämä käsittely on objektiivisesti välttämätöntä sellaisen tarkoituksen toteuttamiseksi, joka on näille käyttäjille tarkoitetun sopimusperusteisen suorituksen olennainen osa, joten sopimuksen pääkohdetta ei voida toteuttaa ilman tätä käsittelyä.
5) Asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohtaa
on tulkittava siten, että
verkkoyhteisöpalvelun ylläpitäjän suorittaman henkilötietojen käsittelyn, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai muissa sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, voidaan katsoa olevan tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi tässä säännöksessä tarkoitetussa merkityksessä ainoastaan sillä edellytyksellä, että kyseinen ylläpitäjä on ilmoittanut tietojen keräämisen kohteena oleville käyttäjille niiden käsittelyllä tavoiteltavasta oikeutetusta edusta, että käsittely suoritetaan tämän oikeutetun edun toteuttamiselle täysin välttämättömän rajoissa ja että vastakkaisten etujen punninnasta käy ilmi, kun otetaan huomioon kaikki merkitykselliset olosuhteet, että näiden käyttäjien edut tai perusoikeudet- ja vapaudet eivät syrjäytä kyseistä rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua.
6) Asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan c alakohtaa
on tulkittava siten, että
verkkoyhteisöpalvelun ylläpitäjän suorittama henkilötietojen käsittely, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai muissa sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, on oikeutettua tämän säännöksen nojalla, kun se on tosiasiallisesti tarpeen, jotta tämä ylläpitäjä voi noudattaa unionin oikeussäännökseen tai asianomaisen jäsenvaltion oikeuteen perustuvaa lakisääteistä velvoitettaan, kun tämä oikeusperusta täyttää yleisen edun mukaisen tavoitteen ja on oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden ja kun tämä käsittely suoritetaan täysin välttämättömän rajoissa.
7) Asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan d ja e alakohtaa
on tulkittava siten, että
verkkoyhteisöpalvelun ylläpitäjän suorittaman henkilötietojen käsittelyn, joka muodostuu tällaisen palvelun käyttäjien tietojen, jotka ovat lähtöisin ylläpitäjän konsernin muista palveluista, tai tietojen, jotka ovat lähtöisin näiden käyttäjien käymisestä kolmansien verkkosivustoilla tai muissa sovelluksissa, keräämisestä, näiden tietojen yhdistämisestä näiden käyttäjien yhteisöpalvelutileihin ja näiden tietojen käyttämisestä, ei lähtökohtaisesti, ja jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä olevista selvityksistä muuta johdu, voida katsoa olevan tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi d alakohdassa tarkoitetussa merkityksessä tai yleistä etua koskevan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen kuuluvan tehtävän suorittamiseksi e alakohdassa tarkoitetussa merkityksessä.
8) Asetuksen 2016/679 6 artiklan 1 kohdan ensimmäisen alakohdan a alakohtaa ja 9 artiklan 2 kohdan a alakohtaa
on tulkittava siten, että
se, että verkkoyhteisöpalvelun ylläpitäjä on määräävässä asemassa verkkoyhteisöpalvelujen markkinoilla, ei estä sellaisenaan sitä, että tällaisen palvelun käyttäjät voivat pätevästi antaa yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa tarkoitetun suostumuksensa tämän ylläpitäjän suorittamaan heitä koskevien henkilötietojen käsittelyyn. Tämä seikka on kuitenkin tärkeä tekijä määritettäessä, onko suostumus tosiasiallisesti annettu pätevästi ja erityisesti vapaaehtoisesti, mikä tämän ylläpitäjän on osoitettava.
Allekirjoitukset