1.

Koostuuko koe henkilötiedoista, jolloin kokeeseen osallistuja voi mahdollisesti vaatia tietosuojadirektiivin nojalla ( 2 ) kokeen pitäjältä oikeutta tutustua omaan kokeeseensa? Tästä on kyse nyt käsiteltävässä Irlannin Supreme Courtin (ylin tuomioistuin) esittämässä ennakkoratkaisupyynnössä. Pääasian oikeudenkäynnissä ei kuitenkaan ole kyse suoraan oikeudesta tutustua kokeeseen, vaan se koskee entisen Irlannin tietosuojavaltuutetun päätöstä kieltäytyä käsittelemästä tutustumisoikeuden epäämisestä tehtyä kantelua.

2.

Keskeinen kysymys tässä asiassa on se, voivatko kokeeseen sisältyvät kokeeseen osallistujan vastaukset olla henkilötietoja. Tässä yhteydessä voidaan kuitenkin myös tarkastella lyhyesti sitä, onko sillä merkitystä, että koe tehtiin käsin, ja ovatko myös tarkastajan kokeeseen tekemät korjausmerkinnät kokeeseen osallistujan henkilötietoja.

3.

Tietosuojadirektiivi kumotaan tosin kohta tietosuojan perusasetuksella, ( 3 ) jota ei voida vielä soveltaa tässä asiassa, mutta tämä ei vaikuta henkilötietojen käsitteeseen. Tämä ennakkoratkaisupyyntö on siksi merkityksellinen myös unionin tietosuojalainsäädännön tulevan soveltamisen kannalta.

4.

Tietosuojadirektiivin 2 artiklan a alakohdassa määritellään eri käsitteitä ja etenkin se, mitä henkilötiedoilla tarkoitetaan:

”Tässä direktiivissä tarkoitetaan

5.

Direktiivin soveltamisala ilmenee sen 3 artiklasta seuraavasti:

”1.   Tätä direktiiviä sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.   – –”

6.

Tietosuojadirektiivin 12 artiklassa säädetään tiedonsaantioikeudesta seuraavaa:

”Jäsenvaltioiden on taattava rekisteröidylle oikeus saada rekisterinpitäjältä

7.

Tietosuojadirektiivin johdanto-osan 41 perustelukappaleessa todetaan tiedonsaantioikeuden tavoitteesta seuraavaa:

”kenellä tahansa henkilöllä on oltava oikeus tutustua itseään koskeviin käsiteltäviin tietoihin voidakseen varmistua erityisesti tietojen paikkansapitävyydestä ja niiden käsittelyn laillisuudesta – –”

8.

Tietosuojadirektiivin 13 artiklan 1 kohta on perusta poikkeuksille tietyistä säännöksistä:

”1.   Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla pyritään rajoittamaan 6 artiklan 1 kohdassa, 10 artiklassa, 11 artiklan 1 kohdassa sekä 12 ja 21 artiklassa säädettyjen oikeuksien ja velvoitteiden alaa, jos tällaiset rajoitukset ovat välttämättömiä, jotta varmistettaisiin

9.

Peter Nowak työskenteli kirjanpitäjäharjoittelijana ja oli osallistunut Institute of Chartered Accountants of Irelandin (Irlannin tilintarkastajien ammattijärjestö, jäljempänä CAI) järjestämiin eri kokeisiin ja läpäissyt ne. Hän kuitenkin epäonnistui neljä kertaa Strategic Finance and Management Accounting ‑kokeessa (SFMA). Kyse oli kokeesta, jossa oli mahdollista käyttää kirjallista materiaalia (”open book exam”).

10.

Neljännen kerran jälkeen syksyllä 2009 Nowak aikoi ensin riitauttaa koetuloksen, mutta päätti lopulta toukokuussa 2010 esittää Irlannin tietosuojalainsäädännön mukaisen tietoihin tutustumista koskevan pyynnön, joka koski kaikkia CAI:n hallussa olevia hänestä tallennettuja ”henkilötietoja”.

11.

CAI luovutti Nowakille 1.6.2010 päivätyllä kirjeellään 17 tietokokonaisuutta mutta kieltäytyi luovuttamasta tämän koepapereita sillä perusteella, että CAI:n saaman tiedon mukaan vastauspaperi ei ollut tietosuojalainsäädännössä tarkoitettu ”henkilötieto”.

12.

Nowak otti tämän jälkeen yhteyttä Office of the Data Protection Commissioneriin (Irlannin tietosuojavaltuutetun toimisto), pyysi siltä apua ja katsoi, että hänen koepaperinsa sisältää henkilötietoja. Tietosuojavaltuutettu lähetti kesäkuussa 2010 Nowakille sähköpostiviestin, jossa muun muassa todettiin, että ”koepapereita ei tarkastella yleensä [tietosuojan yhteydessä] – – sillä tällaisen aineiston ei yleensä voida katsoa muodostavan henkilötietoja”.

13.

Nowakin ja silloisen tietosuojavaltuutetun välinen kirjeenvaihto jatkui ja päättyi lopulta siihen, että Nowak teki 1.7.2010 muodollisen kantelun. Tietosuojavaltuutettu ilmoitti 21.7.2010 Nowakille kirjallisesti, ettei hän ole havainnut tietojen tarkastelun perusteella, että tietosuojalainsäädäntöä olisi rikottu aineellisesti. Kyseisessä kirjeessä ilmoitettiin lisäksi, että aineisto, jonka osalta Nowak halusi käyttää ”oikaisemisoikeutta, ei ole henkilötieto, johon sovellettaisiin [tietosuojalainsäädäntöä]”. Tietosuojavaltuutettu ei tästä syystä tutkinut kantelua lähemmin.

14.

Nowak on riitauttanut tietosuojavaltuutetun päätöksen Irlannin tuomioistuimissa, ja asia on nyt vireillä Supreme Courtissa. Se esittää unionin tuomioistuimelle seuraavat kysymykset:

15.

Kirjallisia huomautuksia unionin tuomioistuimen menettelyssä esittivät Nowak ja Irlannin nykyinen tietosuojavaltuutettu pääasian asianosaisina sekä Helleenien tasavalta, Irlanti, Puolan tasavalta, Portugalin tasavalta, Itävallan tasavalta, Unkari, Tšekin tasavalta ja Euroopan komissio. Nowakin ja Irlannin tietosuojavaltuutetun lisäksi 22.6.2017 pidettyyn istuntoon osallistuivat myös Irlanti ja komissio.

16.

Ennakkoratkaisupyynnössä keskeinen on kysymys, onko kokeen vastauspapereita pidettävä henkilötietoina (jäljempänä A). Sen lisäksi jotkin menettelyn osapuolet tarkastelevat sitä, ovatko mahdolliset tarkastajien korjausmerkinnät kokeeseen osallistujan henkilötietoja (jäljempänä B). Erityisesti komissio on myös lausunut tietosuojalainsäädännön mukaisen tiedonsaantioikeuden muista edellytyksistä (jäljempänä C).

17.

Molemmilla kysymyksillään, joihin on vastattava yhdessä, Supreme Court tiedustelee, kuuluuko kirjallinen koevastaus tietosuojadirektiivin 2 artiklan a alakohtaan sisältyvään henkilötietojen määritelmään. Tämän kysymyksen taustalla on se, että kyseiseen kokeeseen osallistunut Nowak oli vaatinut tietosuojalainsäädännössä, tarkemmin sanoen tietosuojadirektiivin 12 artiklassa, vahvistetun tiedonsaantioikeuden perusteella oikeutta tutustua kokeeseensa ja oli tehnyt tältä osin tuloksettoman kantelun silloiselle Irlannin tietosuojavaltuutetulle.

18.

Tietosuojadirektiivin soveltamisala on erittäin laaja, ja direktiivissä tarkoitetut henkilötiedot ovat erilaisia. ( 4 ) Tietosuojadirektiivin 2 artiklan a alakohdan mukaan henkilötiedoilla tarkoitetaan kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevia tietoja.

19.

Irlannin nykyisen tietosuojavaltuutetun näkemyksen mukaan koevastaus ei sisällä henkilötietoja, etenkin jos siinä on sallittua käyttää kirjallista materiaalia. Tämä näkemys lienee pääsääntöisesti oikea, kun koetehtävien ratkaisuja tarkastellaan erillisinä. Koska koetehtävät on tavallisesti muotoiltu abstraktisti tai koskevat kuvitteellisia tilanteita, ( 5 ) myöskään vastausten ei pitäisi sisältää tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevia tietoja.

20.

Vaikka Supreme Courtin kysymykset vaikuttavat koskevan tosiasiallisesti ainoastaan koevastauksia, nimittäin ”osallistujan – – tallennettuja tietoja”, ei olisi mielekästä lopettaa arviointia tähän.

21.

Kuten lähes kaikki muut menettelyn osapuolet perustellusti esittävät, koevastaus ei nimittäin sisällä ainoastaan tietoja tiettyjen tehtävien ratkaisemisesta, vaan se yhdistää nämä tiedot kokeeseen osallistujan henkilöön. Vastauspaperi osoittaa kyseisen henkilön osallistuneen tiettyyn kokeeseen ja sen, miten hän on siitä suoriutunut. Tämän suorituksen yhteys henkilöön ilmenee myös siinä, että kokeeseen osallistujat mainitsevat tärkeimmät koetulokset yleensä ansioluetteloissaan.

22.

Sillä, onko vastauspaperissa kyse itse laadituista vastauksista vai tiettyjen vastausten valitsemisesta monivalintakysymyksissä, on kokeen henkilötietojen ilmentymänä pitämisen kannalta yhtä vähän merkitystä kuin käsiteltävässä asiassa kokeeseen osallistuneilla olleella mahdollisuudella käyttää kokeessa tiettyä materiaalia (”open book exam”).

23.

Suorituksen yhteys kokeeseen osallistujaan on tosin sitä tiiviimpi, mitä enemmän osallistujan on keksittävä itse vastaukset. Ratkaisun itsenäinen kehittäminen ei nimittäin koostu pelkästään opitun tiedon toistamisesta vaan osoittaa myös, miten kokeeseen osallistuja ajattelee ja toimii.

24.

Kaikissa tapauksissa kokeella ei kuitenkaan pyritä – esimerkiksi erotuksena edustavasta kyselystä – saamaan tietoa, joka on henkilöstä riippumatonta. Sillä on pikemminkin tarkoitus todeta ja dokumentoida tietyn henkilön, nimittäin kokeeseen osallistujan, suorituskyky. Jokaisella kokeella pyritään selvittämään kokeeseen osallistujan henkilökohtaista ja yksilöllistä suorituskykyä. Toisten suoritusten luvattomasta käytöstä (lunttaamisesta) ei suotta rangaista ankarasti vilpin yrityksenä.

25.

Koevastaus ilmentää siten tietoja kokeeseen osallistujasta ja on tältä osin yhdistelmä yhteen kietoutuneita henkilötietoja.

26.

Osoituksena tämän päätelmän oikeellisuudesta on myös se, että kokeeseen osallistujalla on yksityisyytensä suojaan perustuva oikeutettu intressi vastustaa kokeensa käsittelyä muualla kuin koemenettelyssä. Kokeeseen osallistujan ei nimittäin tarvitse suvaita sitä, että hänen vastauksensa esitetään kolmansille tai jopa julkaistaan ilman hänen lupaansa.

27.

Toisin kuin Irlannin tietosuojavaltuutettu esittää, koevastauksen ilmentämät henkilötiedot eivät koostu pelkästään kokeen tuloksesta, saadusta arvosanasta tai myöskään pisteistä, joita on annettu tietyistä kokeen osista. Ne yhdessä muodostavat koesuorituksen, joka on dokumentoitu yksityiskohtaisesti itse vastauspaperissa.

28.

Siihen, että koevastauksen voidaan katsoa ilmentävän henkilötietoja, ei vaikuta mitenkään se, jos vastauspaperiin on merkitty kokeeseen osallistujan nimen sijasta tunnusnumero tai viivakoodi. Tietosuojadirektiivin 2 artiklan a alakohdan mukaan henkilötietojen osalta nimittäin riittää, että henkilö voidaan tunnistaa ainakin epäsuorasti. ( 6 ) Ainakin sikäli kuin kokeeseen osallistuja vaatii koevastausta nähtäväksi kokeen järjestäjältä, viimeksi mainittu voi tunnistaa osallistujan tunnusnumeron avulla.

29.

Nowak, Puola ja Tšekin tasavalta katsovat myös perustellusti, että käsin kirjoitetut vastaukset sisältävät lisätietoa kokeeseen osallistujasta, nimittäin hänen käsialastaan. Käsin kirjoitettu koe on siten käytännössä käsialanäyte, jota voitaisiin ainakin mahdollisesti käyttää myöhempänä ajankohtana sen tutkimiseen, onko jokin toinen teksti laadittu myös kokeeseen osallistujan käsialalla. Se voi siis antaa tietoa kokeen tekijän henkilöllisyydestä.

30.

Sillä, soveltuuko tällainen käsialanäyte kirjoittajan tunnistamiseen kiistattomasti, ei voi olla merkitystä koevastauksen henkilötiedoiksi luokittelemisen kannalta. Myöskään monet muut henkilötiedot eivät nimittäin erikseen mahdollista henkilön kiistatonta tunnistamista. Tästä syystä ei myöskään ole tarpeen ratkaista, onko käsialaa pidettävä biometrisenä tietona.

31.

Irlannin näkemyksestä poiketen myöskään tietosuojadirektiivin johdanto-osan 41 perustelukappaleessa esitetty henkilötietoja koskevan tiedonsaantioikeuden tarkoitus ei puhu koevastauksen tällaista luokittelua vastaan. Kyseisen perustelukappaleen mukaan kenellä tahansa henkilöllä on oltava oikeus tutustua itseään koskeviin käsiteltäviin tietoihin voidakseen varmistua erityisesti tietojen paikkansapitävyydestä ja niiden käsittelyn laillisuudesta. Irlanti pelkää, että kokeeseen osallistunut vaatii kyseisen perustelukappaleen ja 12 artiklan b alakohdassa vahvistetun oikaisuoikeuden perusteella virheellisten koevastausten oikaisemista.

32.

Aluksi on syytä muistuttaa, että käsiteltävässä asiassa on vasta toissijaisesti kyse tiedonsaantioikeudesta ja sen sijaan ensisijaisesti henkilötietojen käsitteen tulkinnasta. Kuten komissio on istunnossa perustellusti esittänyt, tähän käsitteeseen liittyy monia muita tietosuojadirektiivin vaatimuksia. Tietosuojadirektiivin 6 artiklan 1 kohdan a alakohdassa edellytetäänkin, että henkilötietoja käsitellään asianmukaisesti ja laillisesti, ja sen b alakohdan mukaan henkilötiedot kerätään tiettyä tarkoitusta varten.

33.

Käsiteltävän asian yhteydessä erityisen kiintoisaa on se, että perusoikeuskirjan 8 artiklan 3 kohdan, SEUT 16 artiklan 2 kohdan ja tietosuojadirektiivin 28 artiklan mukaan valvontaviranomaisten tehtävänä on valvoa täysin itsenäisesti yksilöiden suojelua henkilötietojen käsittelyssä koskevien unionin sääntöjen noudattamista. ( 7 ) Tässä yhteydessä perusoikeuskirjan 8 artiklan 1 ja 3 kohta sekä tietosuojadirektiivin 28 artiklan 4 kohta takaavat henkilöille, joita kyseiset tiedot koskevat, oikeuden esittää valvontaviranomaiselle perusoikeuksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen. ( 8 )

34.

Edellytykseksi tietojen luonnehtimiselle henkilötiedoiksi ei siten voida asettaa sitä, onko oikeudesta tutustua näihin tietoihin annettu erityisiä säännöksiä, joita voitaisiin mahdollisesti soveltaa tiedonsaantioikeuden ohella tai sen sijasta. Myöskään oikaisuvaatimukseen liittyvät ongelmat eivät voi olla merkityksellisiä sen toteamisen kannalta, onko kyse henkilötiedoista. Jos nämä tekijät nimittäin otettaisiin ratkaisevasti huomioon, tietyt henkilötiedot voitaisiin rajata tietosuojadirektiivin koko suojajärjestelmän ulkopuolelle, vaikka sen sijasta sovellettavissa säännöksissä ei taata samantasoista suojaa vaan korkeintaan pirstaleinen suoja.

35.

Kun keskitytään kuitenkin tiedonsaantioikeuteen ja kysymykseen tietojen oikaisemisesta, on myönnettävä, ettei tähän oikeuteen voida ilmeisestikään vedota koevastauksen osalta siinä tarkoituksessa, että sen jälkeen, kun koe on saatu tiedoksi, vaaditaan koevastauksen sisällön, toisin sanoen kokeeseen osallistujan paperille kirjoittaman vastauksen, oikaisemista tietosuojadirektiivin 12 artiklan b alakohdan nojalla. ( 9 ) Kuten Puola nimittäin perustellusti korostaa, 6 artiklan 1 kohdan d alakohdan mukaista henkilötietojen oikeellisuutta ja täydellisyyttä on arvioitava sen tarkoituksen kannalta, johon tiedot kerättiin ja jonka mukaisesti niitä käsitellään. Kokeen tarkoitus on selvittää koehetkellä kokeeseen osallistujan tiedot ja taidot, jotka ilmenevät nimenomaisesti hänen koesuorituksestaan ja etenkin siihen sisältyvistä virheistä. Virheet vastauksessa eivät siksi tarkoita, että koevastauksen ilmentämät henkilötiedot ovat virheellisiä.

36.

Oikaiseminen tulisi kuitenkin kyseeseen, jos osoittautuisi, että kyseessä olevan henkilön koesuoritus on dokumentoitu koevastauksessa virheellisesti tai puutteellisesti. Näin olisi esimerkiksi silloin, jos – kuten Kreikka huomauttaa – jonkun toisen kokeeseen osallistuneen vastaukset olisi merkitty kyseisen henkilön nimiin, mikä voitaisiin todistaa muun muassa käsialan avulla, tai jos osia kokeesta olisi hävinnyt.

37.

Muilta osin ei voida sulkea pois, että kokeeseen osallistujalla on myöhempänä ajankohtana oikeutettu intressi siihen, että koevastauksen ilmentämät henkilötiedot poistetaan tietosuojadirektiivin 12 artiklan b alakohdan mukaisesti, toisin sanoen että koe tuhotaan. Tällainen intressi voisi kaiketi olla viimeistään silloin, kun koevastaus on menettänyt määräaikojen päättymisen seurauksena kaiken todistusvoimansa koetuloksen tarkastamisen yhteydessä. Myös tämä poistamista koskeva vaade edellyttää sen tunnustamista, että koe ilmentää henkilötietoja.

38.

Oikaiseminen ja muut tietosuojadirektiivin 12 artiklan b alakohdan mukaiset oikeudet eli suojaaminen ja poistaminen eivät ole tiedonsaantioikeuden ainoa tarkoitus.

39.

Tietosuojadirektiivin johdanto-osan 41 perustelukappaleessa kuvataan tosin tiedonsaannin tarkoitusta siten, että henkilö voi varmistua erityisesti tietojen paikkansapitävyydestä ja niiden käsittelyn laillisuudesta. Käyttämällä useimmissa kieliversioissa ( 10 ) ilmaisua ”erityisesti” unionin lainsäätäjä on kuitenkin jo osoittanut, että tarkoitus on tätä laajempi. Myös riippumatta oikaisemisesta, poistamisesta tai suojaamisesta asianomaisilla on nimittäin yleensä oikeutettu intressi saada tietää, mitä tietoja heistä rekisterinpitäjä käsittelee.

40.

On tosin niin, että koevastauksen osalta kokeeseen osallistujan vastaava tiedontarve lienee aluksi hyvin rajallinen. Hän nimittäin muistaa yleensä vielä verrattain hyvin vastaustensa sisällön ja myös luottaa siihen, että kokeen järjestäjä säilyttää vielä hänen koettaan.

41.

Muutamia vuosia myöhemmin vastaukset kuitenkin muistetaan varmasti paljon huonommin, joten mahdollisen tiedonsaantipyynnön perustana on tosiasiallinen tiedontarve – sen syistä riippumatta. Ajan kulumisen myötä – etenkin mahdollisten muutoksenhakua ja tarkastamista koskevien määräaikojen umpeuduttua – lisääntyy myös epävarmuus siitä, säilytetäänkö koevastausta vielä. Tässä tilanteessa kokeeseen osallistujan on ainakin voitava saada tietää, onko hänen kokeensa vielä tallessa. Myös tämä oikeus edellyttää, että koevastauksen tunnustetaan ilmentävän kokeeseen osallistujan henkilötietoja.

42.

Täydentävästi on tarkasteltava kysymystä tietosuojalainsäädännön mukaisten oikeuksien väärinkäytöstä, koska tietosuojavaltuutettu on katsonut kansallisessa menettelyssä, että Nowakin kantelu on tehty väärinkäytöstarkoituksessa, ja Tšekin tasavalta on esittänyt esillä olevassa menettelyssä, että Nowak vetoaa tiedonsaantioikeuteen väärinkäytöstarkoituksessa. Tämä väite vaikuttaa liittyvän siihen, ettei Nowak ole käyttänyt koetuloksen tarkastusmenettelyä vaan on vedonnut tietosuojalainsäädännön mukaiseen tiedonsaantioikeuteen.

43.

Tältä osin on todellakin niin, että yksityiset eivät saa käyttää unionin oikeussääntöjä väärin tai vedota niihin vilpillisesti. ( 11 )

44.

Väärinkäytösluonteisen menettelytavan toteamisen edellytyksenä on sekä objektiivisen että subjektiivisen osatekijän olemassaolo. Yhtäältä objektiivisesta osatekijästä on todettava, että sen olemassaolon toteaminen edellyttää sitä, että kaikista objektiivisista olosuhteista ilmenee, että vaikka unionin säännöstössä vahvistettuja edellytyksiä on muodollisesti noudatettu, kyseisellä säännöstöllä tavoiteltua päämäärää ei ole saavutettu. Toisaalta väärinkäytösluonteisen menettelytavan toteamisen edellytyksenä on subjektiivinen osatekijä, eli objektiivisten osatekijöiden kokonaisuuden on osoitettava, että kyseisten toimien keskeinen päämäärä on perusteettoman edun saaminen. Väärinkäytösluonteisten menettelytapojen kiellolla ei nimittäin ole merkitystä, kun kyseessä oleville toimille on jokin muu peruste kuin pelkkä (perusteettomien) etujen saaminen. ( 12 )

45.

Jos koevastaukset ilmentävät henkilötietoja, tietosuojavaltuutetun ja Irlannin väitteen mukaan tietosuojadirektiivin tavoitteen vastaista olisi se, että tietosuojalainsäädännön mukainen tiedonsaantioikeus mahdollistaisi koemenettelyä ja koetulosten riitauttamista koskevien säännösten kiertämisen.

46.

Koemenettelyä ja koetulosten riitauttamista koskevien säännösten väitettyä kiertämistä tietosuojalainsäädännön mukaisella tiedonsaantioikeudella olisi kuitenkin ehkäistävä tietosuojadirektiiviin sisältyvillä välineillä. Tältä osin on otettava huomioon etenkin sen 13 artikla, jonka nojalla jäsenvaltiot voivat säätää tiettyjen, siinä mainittujen etujen suojelemiseksi poikkeuksista tiedonsaantioikeuteen.

47.

Sikäli kuin poikkeusta ei voida tietyissä tilanteissa, kuten mahdollisesti kokeiden yhteydessä, perustaa näihin syihin, on niin, että lainsäätäjä on antanut perusoikeuksiin pohjautuville tietosuojalainsäädännön vaatimuksille etusijan muihin konkreettisessa tapauksessa kyseessä oleviin etuihin nähden.

48.

On kuitenkin syytä huomauttaa, että tulevaisuudessa sovellettava tietosuojan perusasetus purkaa tämän jännitteen. Ensinnäkin kyseisen asetuksen 15 artiklan 4 kohdan mukaan oikeus saada jäljennös käsiteltävistä henkilötiedoista ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Toiseksi sen 23 artiklassa säädetään perusteista tietosuojalainsäädännön mukaisten oikeuksien rajoittamiselle hieman laajemmin kuin vielä tietosuojadirektiivin 13 artiklassa, koska ensiksi mainitun artiklan 1 kohdan e alakohdan mukaan etenkin muiden unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvien tärkeiden tavoitteiden suojelu voi oikeuttaa tällaiset rajoitukset.

49.

Sitä vastoin muiden kansallisten säännösten, jotka koskevat myös koevastausten saamista tiedoksi, pelkkä olemassaolo ei vielä riitä siihen, että direktiivin tavoitteen voitaisiin katsoa vaarantuvan.

50.

Vaikka kyseisen tavoitteen katsottaisiinkin vaarantuvan, ei ole kuitenkaan nähtävissä, mistä perusteeton etu muodostuu, jos kokeeseen osallistuja saa tiedonsaantioikeuden perusteella mahdollisuuden tutustua koevastaukseensa. Väärinkäytöksenä ei voida etenkään pitää sitä, että tiedonsaantioikeuden avulla saadaan tietoja, joihin ei muuten olisi mahdollisuutta tutustua. Jos henkilöllä nimittäin on jo mahdollisuus tutustua henkilötietoihin, tietosuojalainsäädäntöön sisältyvää tiedonsaantioikeutta ei olisi tarvinnut ottaa käyttöön. Tämän tiedonsaantioikeuden tehtävä on pikemminkin antaa kyseiselle henkilölle – jollei tietosuojadirektiivin 13 artiklaan perustuvista poikkeuksista muuta johdu – mahdollisuus tutustua omiin tietoihinsa, joihin hänellä ei muutoin ole pääsyä.

51.

Yhteenvetona on todettava, että käsin kirjoitetussa koevastauksessa, joka voidaan yhdistää kokeeseen osallistujaan, on kyse tietosuojadirektiivin 2 artiklan a alakohdassa tarkoitetuista henkilötiedoista.

52.

Osa menettelyn osapuolista ja etenkin Nowak ottavat esille kysymyksen siitä, ovatko mahdolliset koevastaukseen tehdyt korjausmerkinnät myös kokeeseen osallistujan henkilötietoja.

53.

Tähän kysymykseen ei kuitenkaan ole tarpeen vastata pääasian ratkaisemiseksi, koska pääasiassa ei ole kyse siitä, ovatko mahdolliset korjausmerkinnät Nowakia koskevia tietoja. Pääasian kohteena on pikemminkin se, saattoiko Irlannin silloinen tietosuojavaltuutettu hylätä perustellusti Nowakin kantelun sillä perusteella, ettei hänen koevastauksessaan ole alun perinkään kyse henkilötiedoista. Sen ratkaiseminen, missä määrin korjausmerkintöjä on myös pidettävä kokeeseen osallistujaa koskevina tietoina, ei ole Supreme Courtin vaan – jos kanne hyväksytään – Irlannin nykyisen tietosuojavaltuutetun tehtävä. Tarkastelen tätä kuitenkin siltä varalta, että unionin tuomioistuin käsittelee tätä näkökohtaa.

54.

Toisin kuin koko koevastauksen tapauksessa, on vaikea kuvitella, että tietosuojalainsäädännön mukainen oikeus virheellisten tietojen oikaisemiseen, poistamiseen tai suojaamiseen koskisi korjausmerkintöjä. Vaikuttaa nimittäin poissuljetulta, että koevastaukseen tehdyt merkinnät koskevat tosiasiassa toista koevastausta tai eivät ilmennä tarkastajan näkemystä. Juuri tarkastajan näkemystähän niiden on tarkoitus osoittaa. Ne eivät siten olisi tietosuojadirektiivissä tarkoitetulla tavalla virheellisiä eivätkä edellyttäisi oikaisemista myöskään silloin, kun merkintöjen ilmentämä arviointi ei olisi objektiivisesti tarkasteltuna perusteltu.

55.

Mahdollisia merkintöjä koskevia väitteitä olisi siksi käsiteltävä kokeen arvioinnin riitauttamisen yhteydessä.

56.

On kuitenkin mahdollista, että edellä mainittu kokeen poistamista koskeva vaatimus käsittää myös korjausmerkinnät.

57.

Korjausmerkintöjä koskevan tiedonsaantioikeuden tarkoituksena olisi kuitenkin ensisijaisesti antaa kokeeseen osallistujalle tietoa hänen koevastauksensa tiettyjen kohtien arvioinnista.

58.

Tältä osin käsiteltävä asia muistuttaa sitä, jossa unionin tuomioistuin torjui tiedonsaantioikeuden ulottamisen koskemaan turvapaikanhakijan oleskelulupahakemusta koskevaan hallinnolliseen asiakirjaan sisältyvää oikeudellista arviointia, koska se ei tosiasiassa palvelisi direktiivin tavoitetta vaan sillä pyrittäisiin takaamaan oikeus tutustua hallinnollisiin asiakirjoihin. ( 13 ) Käsiteltävässä asiassa voitaisiin katsoa, että oikeus tutustua kokeen arviointiin liittyviin tietoihin olisi saatava ensisijaisesti koemenettelyn tai koepäätösten riitauttamista koskevan erityisen menettelyn yhteydessä eikä tietosuojalainsäädännön perusteella. Siltä osin kuin koemenettelystä ei säädetä unionin oikeudessa, siihen liittyvät mahdolliset tiedonsaantioikeudet määräytyisivät pelkästään kansallisen lainsäädännön perusteella.

59.

Unionin tuomioistuin totesi mainitussa tuomiossa myös, että tällainen oikeudellinen arviointi ei ole oleskeluluvan hakijaan liittyvää tietoa, vaan enintään tietoa, joka koskee sitä, millä tavoin toimivaltainen viranomainen arvioi ja soveltaa tätä oikeutta kyseisen hakijan tilanteeseen. ( 14 ) Myös tätä toteamusta voitaisiin ensi näkemältä soveltaa korjausmerkintöihin. Tämän perusteella merkinnät osoittaisivat ainoastaan, miten tarkastaja arvioi vastauksia.

60.

Itse asiassa ei ole suinkaan tarpeen, että koetta tarkastaessaan tarkastaja tietää, kuka sen on tehnyt. Päinvastoin monissa kirjallisissa koemenettelyissä, kuten pääasiassa kyseessä olevassakin, pidetään tärkeänä, etteivät tarkastajat tiedä kokeeseen osallistujien henkilöllisyyttä, jotta suljetaan pois eturistiriidat tai ennakkoasenteet. Tarkastajien huomautuksilla ei siinä tapauksessa ole – kuten ei kaiketi myöskään riidanalaisen kokeen tapauksessa – mitään yhteyttä kokeeseen osallistujan henkilöön.

61.

Tällaisilla merkinnöillä pyritään kuitenkin arvioimaan koesuoritusta, ja ne koskevat tältä osin epäsuorasti kokeeseen osallistujaa. Kokeen järjestäjä voi myös tunnistaa kokeeseen osallistujan ongelmitta ja yhdistää hänet korjausmerkintöihin saatuaan korjatun kokeen takaisin tarkastajalta.

62.

Kuten Itävalta lisäksi huomauttaa, koevastauksessa olevat merkinnät liittyvät tyypillisesti – toisin kuin esimerkiksi koevastausta koskeva lyhyt lausunto – erottamattomasti kokeeseen, koska korjauksilla ei olisi ilman koetta mielekästä sisältöä. Koevastaus itse kuitenkin ilmentää – kuten edellä on todettu – kokeeseen osallistujan henkilötietoja. Näiden tietojen keräämisen ja käsittelyn tarkoituksena on nimenomaisesti mahdollistaa korjausmerkintöjen ilmentämä kokeeseen osallistujan suorituksen arviointi.

63.

Jo tämän koevastauksen ja siihen tehtyjen korjausmerkintöjen läheisen yhteyden vuoksi myös viimeksi mainitut ovat tietosuojadirektiivin 2 artiklan a alakohdan nojalla kokeeseen osallistujan henkilötietoja.

64.

Mahdollisuus kiertää koetta koskevaa muutoksenhakumenettelyä ei sitä vastoin voi estää tietosuojalainsäädännön soveltamista. Se seikka, että samanaikaisesti on mahdollisesti olemassa muita säännöksiä, jotka koskevat oikeutta tiettyihin tietoihin, ei nimittäin voi syrjäyttää tietosuojalainsäädäntöä. Vaikuttaa enintään mahdolliselta ohjeistaa asianomaisia henkilöitä rinnakkaisista tiedonsaantioikeuksista, sikäli kuin niitä voidaan käyttää tehokkaasti.

65.

Kattavuuden vuoksi on huomautettava, että korjausmerkinnät ovat samalla myös tarkastajan henkilötietoja. Tarkastajan oikeudet ovat lähtökohtaisesti omiaan oikeuttamaan tietosuojadirektiivin 13 artiklan 1 kohdan g alakohdan nojalla tiedonsaantioikeuden rajoitukset, jos näiden oikeuksien painoarvo on suurempi kuin kokeeseen osallistujan oikeutettujen etujen. Tämä mahdollinen eturistiriita voitaneen kuitenkin yleensä ratkaista lopullisesti siten, että korjattu koe tuhotaan sen jälkeen, kun koemenettelyn tarkastaminen jälkikäteen ei ole enää mahdollista ajan kulumisen (määräajan päättymisen) vuoksi.

66.

Komissio viittaa perustellusti siihen, että tietosuojadirektiivin ja henkilötietoja koskevan tiedonsaantioikeuden soveltamiselle on asetettu myös muita edellytyksiä ja että tietosuojadirektiivin soveltaminen mahdollistaa myös tiedonsaantioikeuden rajoittamisen.

67.

Näistä muista edellytyksistä ja rajoitusmahdollisuuksista ei kuitenkaan ole esitetty ennakkoratkaisukysymyksiä, joten unionin tuomioistuimen ei tarvitse käsitellä niitä. Niiden tarkastelu ei vaikuta myöskään tarpeelliselta, jotta Supreme Court voi ratkaista, onko Irlannin silloinen tietosuojavaltuutettu jättänyt perustellusti Nowakin kantelun käsittelemättä.

68.

Siltä varalta, että unionin tuomioistuin kuitenkin haluaa lausua näistä kysymyksistä, ensi näkemältä kiinnostavalta vaikuttaa erityisesti tietosuojadirektiivin 3 artiklan 1 kohta. Sen mukaan direktiiviä sovelletaan ainoastaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

69.

Nähdäkseni Nowakin koetta ei välttämättä käsitelty automatisoidusti esimerkiksi siten, että se olisi syötetty ja tallennettu tietokoneelle. On kuitenkin lähdettävä siitä, että se muodostaa ainakin ”rekisterin” osan. Tietosuojadirektiivin 2 artiklan c alakohdan mukaan rekisterin ei nimittäin tarvitse olla välttämättä tallennettu tietokoneelle. Tällä käsitteellä tarkoitetaan pikemminkin kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein. Paperille tehtyjen kokeiden aakkosten tai muiden perusteiden mukaan järjestetty fyysinen kokoelma täyttää jo nämä vaatimukset.

70.

Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin ratkaisee asian seuraavasti:

Käsin kirjoitetussa koevastauksessa, joka voidaan yhdistää kokeeseen osallistujaan, ¬mukaan luettuna tarkastajan tekemät korjausmerkinnät, on kyse yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46/EY 2 artiklan a alakohdassa tarkoitetuista henkilötiedoista.