Asia C-231/22

Belgian valtio

vastaan

Autorité de protection des données

(cour d’appel de Bruxellesin esittämä ennakkoratkaisupyyntö)

Unionin tuomioistuimen tuomio (kolmas jaosto) 11.1.2024

”Ennakkoratkaisupyyntö – Jäsenvaltioiden lainsäädännön lähentäminen – Yksilöiden suojelu henkilötietojen käsittelyssä sekä näiden tietojen vapaa liikkuvuus (yleinen tietosuoja-asetus) – Asetus (EU) N:o 2016/679 – 4 artiklan 7 alakohta – Rekisterinpitäjän käsite – Jäsenvaltion virallinen lehti – Velvollisuus julkaista sellaisenaan yhtiöiden tai niiden laillisten edustajien valmistelemat yhtiöasiakirjat – 5 artiklan 2 kohta – Useiden erillisten henkilöiden tai yksiköiden suorittama tällaisiin asiakirjoihin sisältyvien henkilötietojen myöhempi käsittely – Vastuiden määrittäminen”

1. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Rekisterinpitäjän käsite – Jäsenvaltion virallinen lehti, joka vastaa kolmansien laatimien virallisten toimien ja asiakirjojen julkaisemisesta ja jolla ei ole toimivaltaa tarkastaa niiden sisältöä – Kuuluminen soveltamisalaan – Edellytys – Tämän virallisen lehden suorittaman henkilötietojen käsittelyn tarkoitusten ja keinojen määrittäminen kansallisessa lainsäädännössä – Yksityiskohtaiset menettelysäännöt – Oikeushenkilöllisyyden puuttumisella ei ole merkitystä

   (Euroopan parlamentin ja neuvoston asetuksen 2016/679 4 artiklan 7 alakohta)

   (ks. 28, 30 ja 34–39 kohta sekä tuomiolauselman 1 kohta)

2. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Käsittelyä koskevat periaatteet – Näiden periaatteiden noudattamisesta vastaavien tahojen määrittäminen samojen tietojen peräkkäisen käsittelyn tapauksessa – Jäsenvaltion virallisen lehden, joka vastaa kolmansien laatimien virallisten toimien ja asiakirjojen julkaisemisesta ja joka on rekisterinpitäjä, vastuu – Ulottuvuus – Virallisen lehden yksinomainen vastuu – Yhteisvastuu muiden yksiköiden kanssa – Edellytys – Eri käsittelytoimia yhdistävien tarkoitusten ja keinojen sekä kansallisen lainsäädännön mukaisten yhteisrekisterinpitäjien vastuualueiden määrittäminen – Yksityiskohtaiset menettelysäännöt

   (Euroopan parlamentin ja neuvoston asetuksen 2016/679 4 artiklan 7 alakohta, 5 artiklan 1 ja 2 kohta ja 26 artiklan 1 kohta)

   (ks. 42– 45, 49, 50 ja 52 kohta sekä tuomiolauselman 2 kohta)

Tiivistelmä

Cour d’appel de Bruxelles (Brysselin ylioikeus, Belgia) on esittänyt ennakkoratkaisupyynnön unionin tuomioistuimelle, joka täsmentää yhtäältä rekisterinpitäjän käsitteen rajoja ja toisaalta rekisterinpitäjän velvollisuuksien rajoja silloin, kun yksiköt käsittelevät peräkkäin samoja henkilötietoja.

Moniteur belge, jonka tehtävänä on Belgiassa tuottaa ja levittää lukuisia virallisia ja julkisia julkaisuja paperilla ja sähköisesti, julkaisi 12.2.2019 otteen erään yhtiön päätöksestä alentaa yhtiön pääomaa. Tämä yhtiön osakkaan notaarin laatima ote, joka toimitettiin toimivaltaiselle tuomioistuimelle, joka puolestaan toimitti sen julkaistavaksi Direction du Moniteur belgelle, sisälsi kyseisen osakkaan henkilötietoja.

Todettuaan, että kohta, johon hänen tietonsa sisältyivät, oli sisällytetty otteeseen notaarin tekemän virheen johdosta, kyseinen henkilö pyysi sen poistamista hänellä olevan tietojen poistamista koskevan oikeuden ( 1 ) perusteella. Liittovaltion oikeusministeriö (jäljempänä oikeusministeriö), jonka alaisuuteen Direction du Moniteur belge kuuluu, kuitenkin hylkäsi hänen pyyntönsä. Tämän hylkäämisen jälkeen kyseinen henkilö teki oikeusministeriöstä kantelun Autorité de protection des données’lle (Belgian tietosuojaviranomainen, jäljempänä tietosuojaviranomainen). Tietosuojaviranomainen kehotti 23.3.2021 tekemällään päätöksellä oikeusministeriötä ryhtymään toimenpiteisiin poistamispyynnön johdosta mahdollisimman pian. Belgian valtio saattoi asian Cour d’appel de Bruxellesin käsiteltäväksi ja vaati tietosuojaviranomaisen päätöksen kumoamista.

Tässä yhteydessä cour d’appel de Bruxelles tiedusteli unionin tuomioistuimelta, voidaanko Moniteur belgeä pitää ”rekisterinpitäjänä” ( 2 ) ja onko sen katsottava vastaavan yksin tietojen käsittelyä koskevien periaatteiden noudattamisesta ( 3 ) vai onko tämä vastuu kumulatiivisesti myös niillä yksiköillä, jotka ovat aluksi käsitelleet kyseisessä kohdassa olevia tietoja.

Unionin tuomioistuimen arviointi asiasta

Ensinnäkin siitä kysymyksestä, voidaanko Moniteur belgen kaltaista virastoa tai elintä, joka vastaa jäsenvaltion virallisesta lehdestä, pitää yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä, unionin tuomioistuin täsmentää, että kun otetaan huomioon tämän käsitteen laaja määritelmä, käsittelyn tarkoitusten ja keinojen määrittäminen ja tarvittaessa rekisterinpitäjän nimittäminen kansallisessa lainsäädännössä voidaan tehdä paitsi nimenomaisesti myös implisiittisesti. Viimeksi mainitussa tapauksessa edellytetään kuitenkin, että määrittäminen ilmenee riittävän varmasti asianomaiselle virastolle tai elimelle annetusta asemasta, tehtävästä ja toimivaltuuksista.

Unionin tuomioistuin toteaa, että tässä tapauksessa Belgian lainsäädännössä on ainakin implisiittisesti määritetty Moniteur belgessä suoritetun henkilötietojen käsittelyn tarkoitukset ja keinot. Tästä seuraa, että viimeksi mainittua voidaan pitää ”rekisterinpitäjänä”.

Unionin tuomioistuin korostaa, että tätä päätelmää ei kyseenalaista se, että Moniteur belge ei ole oikeushenkilö, eikä se, että kansallisen lainsäädännön mukaan se ei tarkasta vastaanottamiinsa toimiin ja asiakirjoihin sisältyviä henkilötietoja ennen niiden julkaisemista.

Vaikka on totta, että tämän elimen on julkaistava kyseinen asiakirja sellaisenaan, se vastaa tästä tehtävästä yksin ja levittää tämän jälkeen kyseisen toimen tai asiakirjan. Yhtäältä tällaisten toimien ja asiakirjojen julkaiseminen ilman mahdollisuutta tarkastaa tai muuttaa niiden sisältöä liittyy erottamattomasti kansallisessa lainsäädännössä määritettyihin käsittelyn tarkoituksiin ja keinoihin. Tämän virallisen lehden tehtävänä on nimittäin ainoastaan tiedottaa yleisölle näistä toimista ja asiakirjoista sellaisina kuin ne on toimitettu sille jäljennöksenä sovellettavan kansallisen lainsäädännön mukaisesti, jotta niihin voidaan vedota kolmansia vastaan. Toisaalta olisi yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdan tavoitteen sulkea rekisterinpitäjän käsitteen ulkopuolelle jäsenvaltion virallinen lehti sillä perusteella, että se ei tarkasta julkaisuihinsa sisältyviä henkilötietoja.

Siltä osin kuin toiseksi on kyse siitä, onko Moniteur belgen kaltaisen elimen katsottava olevan yksin vastuussa yleisessä tietosuoja-asetuksessa tarkoitettujen henkilötietojen käsittelyä koskevien periaatteiden ( 4 ) noudattamisesta, unionin tuomioistuin huomauttaa, että Moniteur belgen tehtäväksi annettu käsittely tapahtuu notaarin ja toimivaltaisen tuomioistuimen kirjaamon suorittaman käsittelyn jälkeen ja on teknisesti erilaista kuin näiden kahden yksikön suorittama käsittely, koska se täydentää sitä. Moniteur belgessä suoritetut toimenpiteet on nimittäin annettu sen tehtäväksi kansallisessa lainsäädännössä, ja niihin kuuluu muun muassa sille toimitettuihin toimiin tai toimien otteisiin sisältyvien tietojen digitointi, julkaiseminen, saattaminen yleisön saataville ja säilyttäminen. Näin ollen sen on katsottava vastaavan kaikkien yleisessä tietosuoja-asetuksessa rekisterinpitäjälle asetettujen velvoitteiden noudattamisesta.

Lisäksi unionin tuomioistuin muistuttaa, että yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa ei säädetä vain, että useat henkilöt voivat yhdessä määrittää rekisterinpitäjinä henkilötietojen käsittelyn tarkoitukset ja keinot, vaan myös, että kansallisessa lainsäädännössä voidaan määrittää nämä tarkoitukset ja keinot ja nimittää rekisterinpitäjä tai vahvistaa tämän nimittämistä koskevat erityiset kriteerit. Näin ollen eri henkilöiden tai yksiköiden suorittamien, samoja henkilötietoja koskevien käsittelytoimien ketjun osalta kansallisessa lainsäädännössä voidaan määrittää näiden eri henkilöiden tai yksikköjen kaikkien peräkkäin suorittamien käsittelytoimien tarkoitukset ja keinot sillä tavoin, että ne ovat yhdessä vastuussa käsittelystä.

Unionin tuomioistuin korostaa, että yleisen tietosuoja-asetuksen nojalla ( 5 ) samoja henkilötietoja koskevien käsittelyjen ketjussa voidaan kansallisessa lainsäädännössä vahvistaa useiden toimijoiden yhteisvastuu edellyttäen, että eri käsittelytoimia yhdistävät kyseisessä lainsäädännössä määritetyt tarkoitukset ja keinot ja että siinä määritellään kunkin yhteisrekisterinpitäjän vastuualueet. Tällainen ketjun useiden toimijoiden suorittamia eri käsittelytoimia yhdistävien tarkoitusten ja keinojen sekä näiden toimijoiden vastuualueiden määrittäminen voidaan tehdä paitsi suoraan myös välillisesti kansallisessa lainsäädännössä edellyttäen, että se voidaan jälkimmäisessä tapauksessa johtaa riittävän yksiselitteisesti niistä säännöksistä, jotka koskevat kyseisiä henkilöitä tai yksikköjä sekä henkilötietojen käsittelyä, jonka ne suorittavat kyseisessä lainsäädännössä säädetyssä käsittelyketjussa.

Unionin tuomioistuin toteaa näin ollen, että jäsenvaltion virallisesta lehdestä vastaava virasto tai elin, jota pidetään ”rekisterinpitäjänä”, vastaa yksin yleisessä tietosuoja-asetuksessa mainittujen periaatteiden noudattamisesta niiden henkilötietojen käsittelytoimien osalta, jotka sen on suoritettava kansallisen lainsäädännön nojalla, jos kyseisestä lainsäädännöstä ei voida johtaa näitä toimia koskevaa yhteisvastuuta muiden yksiköiden kanssa.

( 1 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus).

( 2 ) Yleisen tietosuoja-asetuksen 4 artiklan 7 kohta.

( 3 ) Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan nojalla.

( 4 ) Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa säädetyt velvoitteiden muodossa vahvistetut periaatteet.

( 5 ) Yleisen tietosuoja-asetuksen 26 artiklan 1 kohdan ja 4 artiklan 7 alakohdan yhdessä luettujen säännösten mukaan.