–

Meta Platforms Ireland Ltd, edustajinaan M. Braun, H.-G. Kamann ja V. Wettner, Rechtsanwälte,

–

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, edustajanaan P. Wassermann, Rechtsanwalt,

–

Saksan hallitus, asiamiehinään J. Möller ja P.-L. Krüger,

–

Portugalin hallitus, asiamiehinään P. Barros da Costa, J. Ramos ja C. Vieira Guerra,

–

Euroopan komissio, asiamiehinään A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

1

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä tietosuoja-asetus) 80 artiklan 2 kohdan, luettuna yhdessä sen 12 artiklan 1 kohdan ensimmäisen virkkeen ja 13 artiklan 1 kohdan c ja e alakohdan kanssa, tulkintaa.

2

Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat Meta Platforms Ireland Ltd, aiemmin Facebook Ireland Ltd, jonka kotipaikka on Irlannissa, ja Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (liittovaltion kuluttajakeskusten ja ‑yhdistysten keskusjärjestö, Saksa; jäljempänä keskusjärjestö) ja jossa on kyse siitä, että Meta Platforms Ireland on rikkonut henkilötietojen suojaa koskevaa Saksan lainsäädäntöä, mikä merkitsee samanaikaisesti sopimatonta kaupallista menettelyä, kuluttajansuojalain rikkomista ja pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomista.

3

Tietosuoja-asetuksen johdanto-osan 10, 13, 39, 58, 60 ja 142 perustelukappaleessa todetaan seuraavaa:

– –

– –

– –

– –

– –

4

Asetuksen 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 1 kohdassa säädetään seuraavaa:

”Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.”

5

Asetuksen 4 artiklan 1, 2, 9 ja 11 alakohdan sanamuoto on seuraava:

”Tässä asetuksessa tarkoitetaan

– –

– –

6

Asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:

”1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

– –

2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

7

Tietosuoja-asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdan a alakohdassa säädetään seuraavaa:

”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

8

Tietosuoja-asetuksen III luvun, joka sisältää sen 12–23 artiklan, otsikko on ”Rekisteröidyn oikeudet”.

9

Kyseisen asetuksen 12 artiklan, jonka otsikko on ”Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten”, 1 kohdassa säädetään seuraavaa:

”Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.”

10

Tietosuoja-asetuksen 13 artiklan, jonka otsikko on ”Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä”, 1 kohdan c ja e alakohdassa säädetään seuraavaa:

”Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

– –

– –

11

Mainitun asetuksen VIII luvun, joka sisältää sen 77–84 artiklan, otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”.

12

Tietosuoja-asetuksen 77 artiklan, jonka otsikko on ”Oikeus tehdä kantelu valvontaviranomaiselle”, 1 kohdassa säädetään seuraavaa:

”Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.”

13

Kyseisen asetuksen 78 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”, 1 kohdassa säädetään seuraavaa:

”Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.”

14

Mainitun asetuksen 79 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, 1 kohdan sanamuoto on seuraava:

”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”

15

Saman asetuksen 80 artiklassa, jonka otsikko on ”Rekisteröityjen edustaminen”, säädetään seuraavaa:

”1.   Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan sekä käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.

2.   Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.”

16

Tietosuoja-asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, 1 kohdassa säädetään seuraavaa:

”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”

17

Tietosuoja-asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”

18

Kieltokanteista kuluttajan oikeuksien loukkausten ja muiden rikkomisten yhteydessä 26.11.2001 annetun lain (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen) (Unterlassungsklagengesetz – UKlaG) (BGBl. 2001 I, s. 3138), sellaisena kuin sitä sovelletaan pääasiaan (jäljempänä kieltokanteista annettu laki), 2 §:ssä säädetään seuraavaa:

”(1)   Sitä vastaan, joka rikkoo kuluttajien suojaamiseksi annettuja säännöksiä (kuluttajansuojalainsäädäntö) muutoin kuin yleisten sopimusehtojen soveltamisen tai niitä koskevien suositusten osalta, voidaan vaatia kielto- ja lopettamismääräystä kuluttajien suojaamisen nimissä. – –

(2)   Tässä säännöksessä kuluttajansuojalainsäädännöllä tarkoitetaan erityisesti

– –

11. sääntöjä, joissa määritellään sen lainmukaisuus,

19

Bundesgerichtshof (liittovaltion ylin yleinen tuomioistuin, Saksa) toteaa, että kieltokanteista annetun lain 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan nojalla kyseisen lain 4 §:ssä tarkoitetut elimet, joilla on asiavaltuus, voivat yhtäältä vaatia mainitun lain 1 §:n mukaisesti siviililain (Bürgerliches Gesetzbuch) 307 §:n mukaan pätemättömien yleisten sopimusehtojen käytön lopettamista ja toisaalta vaatia saman lain 2 §:n 2 momentissa tarkoitetun kuluttajansuojalainsäädännön rikkomisen lopettamista.

20

Sopimattoman kilpailun estämisestä 3.7.2004 annetun lain (Gesetz gegen den unlauteren Wettbewerb – UWG; BGBl. 2004 I, s. 14414), sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä sopimattoman kilpailun estämisestä annettu laki), 3 §:n 1 momentissa säädetään seuraavaa:

”Sopimattomat kaupalliset menettelytavat ovat kiellettyjä.”

21

Sopimattoman kilpailun estämisestä annetun lain 3a §:ssä säädetään seuraavaa:

”Sopimattomaan menettelyyn syyllistyy henkilö, joka menettelee sellaisen lainsäädännön vastaisesti, jolla on tarkoitus säännellä myös markkinakäyttäytymistä markkinatoimijoiden edun mukaisesti, jos rikkominen on omiaan vahingoittamaan tuntuvasti kuluttajien, kilpailijoiden tai muiden markkinatoimijoiden etuja.”

22

Kyseisen lain 8 §:n sanamuoto on seuraava:

”(1)   Kaikki 3 §:n tai 7 §:n nojalla lainvastaiset kaupalliset menettelyt voidaan määrätä lopetettaviksi, ja mikäli on olemassa uusimisen vaara, niiden toteuttaminen tulevaisuudessa voidaan kieltää. – –

– –

(3)   Edellä 1 momentissa tarkoitettuja määräyksiä voivat hakea

– –

23

Bundesgerichtshof toteaa, että sähköisistä tieto- ja viestintäpalveluista 26.2.2007 annetun lain (Telemediengesetz; BGBl. 2007 I, s. 179) 13 §:n 1 momenttia sovellettiin tietosuoja-asetuksen voimaantuloon asti. Kyseisestä päivästä lähtien tämä säännös on korvattu kyseisen asetuksen 12–14 §:llä.

24

Sähköisistä tieto- ja viestintäpalveluista annetun lain 13 §:n 1 momentin ensimmäisessä virkkeessä säädettiin seuraavaa:

”Palveluntarjoajan on ilmoitettava käyttäjälle käyttökerran alkaessa yleisesti ymmärrettävässä muodossa henkilötietojen keräämisen ja hyödyntämisen luonteesta, laajuudesta ja tarkoituksesta sekä hänen tietojensa käsittelystä valtioissa, jotka eivät kuulu yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun direktiivin 95/46/EY [(EYVL 1995, L 281, 23.11.1995, s. 31)] soveltamisalaan, ellei tällaista ilmoitusta ole jo tehty.”

25

Meta Platforms Ireland, joka hallinnoi verkkoyhteisöpalvelu Facebookin palvelujen tarjoamista unionissa, on tämän verkkoyhteisön käyttäjien henkilötietojen rekisterinpitäjä unionissa. Facebook Germany GmbH, jonka kotipaikka on Saksassa, myy internetosoitteessa www.facebook.de mainostilaa. Facebookin verkkoalusta sisälsi muun muassa internetosoitteessa www.facebook.de sovelluskeskuksen (App-Zentrum), jossa Meta Platforms Ireland asetti käyttäjiensä saataville kolmansien osapuolten tarjoamia maksuttomia pelisovelluksia. Käyttäjän vieraillessa kyseisessä keskuksessa hän sai ilmoituksen, että käyttämällä tiettyjä näistä sovelluksista hän salli niiden kerätä erilaisia henkilötietoja ja että hän antoi näille sovelluksille luvan julkaista käyttäjän nimissä tiettyjä näistä tiedoista, kuten hänen pistetilanteensa ja yhden kyseessä olevan pelin osalta hänen tilapäivityksensä ja valokuvansa. Hänelle ilmoitettiin myös, että käyttämällä kyseisiä sovelluksia hän hyväksyi näiden sovellusten yleiset sopimusehdot ja tietosuojapolitiikan.

26

Keskusjärjestö, jolla on kieltokanteista annetun lain 4 §:n mukainen asiavaltuus, katsoi, että kyseessä olevissa sovelluskeskuksen pelisovelluksissa annetut tiedot ovat sopimattomia muun muassa siltä osin kuin niillä ei noudatettu käyttäjän pätevän suostumuksen saamista koskevia, henkilötietojen suojaa koskevan lainsäädännön mukaisia lakisääteisiä edellytyksiä. Lisäksi se katsoi, että ilmoitukset, joiden mukaan nämä sovellukset saivat julkaista käyttäjien nimissä tiettyjä heidän henkilötietojaan, olivat yleisiä sopimusehtoja, jotka olivat kohtuuttomalla tavalla epäedullisia heidän kannaltaan.

27

Keskusjärjestö on tässä asiayhteydessä nostanut Landgericht Berlinissä (Berliinin alueellinen tuomioistuin, Saksa) sopimattoman kilpailun estämisestä annetun lain 3a §:ään, kieltokanteista annetun lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaan ja siviililakiin perustuvan kieltokanteen, jotta Meta Platforms Irelandia kiellettäisiin esittämästä sovelluskeskuksessa kyseessä olevien sovellusten kaltaisia pelisovelluksia. Tämä kanne nostettiin riippumatta siitä, onko rekisteröidyn oikeutta tietosuojaan tosiasiallisesti loukattu, ja ilman tällaisen henkilön valtuutusta.

28

Landgericht Berlin hyväksyi keskusjärjestön vaatimukset. Kammergericht Berlin (Berliinin osavaltion ylioikeus, Saksa) hylkäsi Meta Platforms Irelandin tekemän valituksen. Meta Platforms Ireland teki tämän jälkeen ennakkoratkaisua pyytäneeseen tuomioistuimeen Revision-valituksen toisen asteen tuomioistuimen antamasta hylkäävästä ratkaisusta.

29

Ennakkoratkaisua pyytänyt tuomioistuin katsoi, että keskusjärjestön kanne oli perusteltu, koska Meta Platforms Ireland oli rikkonut sopimattoman kilpailun estämisestä annetun lain 3a §:ää ja kieltokanteista annetun lain 2 §:n 2 momentin ensimmäisen virkkeen 11 kohtaa ja käyttänyt kieltokanteista annetun lain 1 §:ssä tarkoitettua pätemätöntä yleistä sopimusehtoa.

30

Kyseinen tuomioistuin oli kuitenkin epävarma siitä, voidaanko keskusjärjestön kanne ottaa tutkittavaksi. Se katsoo nimittäin, ettei ole suljettu pois, että keskusjärjestö, jolla oli kanteen nostamisajankohtana – sopimattoman kilpailun estämisestä annetun lain 8 §:n 3 momentin ja kieltokanteista annetun lain 3 §:n 1 momentin ensimmäisen virkkeen 1 kohdan perusteella – asiavaltuus, oli tietosuoja-asetuksen ja erityisesti sen 80 artiklan 1 ja 2 kohdan sekä 84 artiklan 1 kohdan voimaantulon johdosta menettänyt tämän asemansa oikeudenkäynnin aikana. Jos näin olisi ollut, ennakkoratkaisua pyytäneen tuomioistuimen olisi pitänyt hyväksyä Meta Platforms Irelandin tekemä Revision-valitus ja hylätä keskusjärjestön kieltokanne, koska Saksan oikeuden merkityksellisten menettelysäännösten mukaan asiavaltuuden on jatkuttava viimeisessä oikeusasteessa käytävän menettelyn päättymiseen saakka.

31

Bundesgerichtshof päätti 28.5.2020 tekemällään päätöksellä lykätä asian käsittelyä ja esittää unionin tuomioistuimelle ennakkoratkaisukysymyksen tietosuoja-asetuksen 80 artiklan 1 ja 2 kohdan ja 84 artiklan 1 kohdan tulkinnasta.

32

Unionin tuomioistuin vastasi tähän kysymykseen 28.4.2022 antamassaan tuomiossa Meta Platforms Ireland (C‑319/20, EU:C:2022:322), että tietosuoja-asetuksen 80 artiklan 2 kohtaa on tulkittava siten, että se ei ole esteenä kansalliselle säännöstölle, jossa sallitaan kuluttajansuojayhdistyksen nostaa kanne tuomioistuimessa sille tätä varten annetun valtuutuksen puuttuessa ja riippumatta rekisteröityjen tosiasiallisten oikeuksien loukkaamisesta henkilötietojen suojan oletettua loukkaajaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kiellon, kuluttajansuojalain tai pätemättömien yleisten sopimusehtojen käyttöä koskevan kiellon rikkomiseen, kun kyseisten tietojen käsittely voi vaikuttaa yksilöityjen tai yksilöitävissä olevien luonnollisten henkilöiden kyseiseen asetuksiin perustuviin oikeuksiin.

33

Ennakkoratkaisua pyytänyt tuomioistuin katsoo tämän tuomion perusteella, että tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitetun yksikön asiavaltuuden edellytyksenä ei ole, että tällainen yksikkö yksilöi etukäteen henkilön, jonka tietoja on oletetusti käsitelty tietosuoja-asetuksen säännösten vastaisesti. Tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettu rekisteröidyn käsite kattaa sen mukaan paitsi tunnistetun luonnollisen henkilön myös tunnistettavissa olevan luonnollisen henkilön eli luonnollisen henkilön, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen, kuten erityisesti nimen, henkilötunnuksen, sijaintitiedon tai verkkotunnistetietojen, perusteella. Näin ollen sellaisen henkilöluokan tai henkilöryhmän nimeäminen, jota tällainen kohtelu koskee, voi riittää edustajakanteen nostamiseen. Käsiteltävässä asiassa keskusjärjestö on väitetysti yksilöinyt tällaisen luokan tai ryhmän.

34

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan edellä mainitussa unionin tuomioistuimen tuomiossa ei kuitenkaan tutkittu tietosuoja-asetuksen 80 artiklan 2 kohdassa asetettua edellytystä, jonka mukaan voidakseen käyttää tietosuoja-asetuksessa säädettyjä oikeussuojakeinoja kuluttajansuojayhdistyksen on katsottava, että kyseisessä asetuksessa säädettyjä rekisteröidyn oikeuksia on loukattu käsittelyssä.

35

Kyseinen tuomioistuin katsoo yhtäältä, ettei kyseisestä tuomiosta ilmene selvästi, merkitseekö tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisestä virkkeestä ja 13 artiklan 1 kohdan c ja e alakohdasta johtuvan sen velvollisuuden laiminlyönti, jonka mukaan rekisteröidylle on annettava tiedoksi tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tiedot, jotka koskevat henkilötietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa, loukkaamista käsittelyssä ja kattaako kyseisen asetuksen 4 artiklan 2 alakohdassa tarkoitettu käsittelyn käsite tilanteet, jotka edeltävät henkilötietojen keräämistä.

36

Ennakkoratkaisua pyytänyt tuomioistuin katsoo myös, ettei ole selvää, onko käsiteltävässä asiassa kyseessä olevan kaltaisessa tapauksessa tiedonantovelvollisuus laiminlyöty yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitetun henkilötietojen käsittelyn seurauksena. Se korostaa tältä osin, että vaikka tällainen ilmaisu voi viitata siihen, että jotta edustajakanne voitaisiin ottaa tutkittavaksi, tämän kanteen nostaneen yksikön on vedottava rekisteröidyn oikeuksien loukkaamiseen, joka johtuu tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitetusta tietojen käsittelyn toiminnosta ja joka siis on tapahtunut tällaisen toiminnon jälkeen, kyseisen asetuksen tavoite varmistaa muun muassa henkilötietojen korkeatasoinen suoja voi puoltaa sitä, että kyseisen yksikön edustajakannetta koskeva asiavaltuus ulottuu tiedonantovelvollisuuden rikkomiseen, vaikka tämä velvollisuus on täytettävä ennen henkilötietojen käsittelytoimenpiteitä.

37

Näissä olosuhteissa Bundesgerichtshof on päättänyt uudelleen lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavan ennakkoratkaisukysymyksen:

”Onko kyseessä yleisen tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitettu [rekisteröidyn oikeuksien loukkaaminen] ’käsittelyssä’, kun kuluttajansuojayhdistys vetoaa kanteessaan rekisteröidyn oikeuksien loukkaamiseen sillä perusteella, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäisessä virkkeessä, luettuna yhdessä yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan c ja e alakohdan kanssa, säädettyjä tietojenkäsittelyn tarkoitusta ja henkilötietojen vastaanottajaa koskevia tiedonantovelvollisuuksia ei ole noudatettu?”

38

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kysymyksellään lähinnä, onko tietosuoja-asetuksen 80 artiklan 2 kohtaa tulkittava siten, että edellytys, jonka mukaan oikeutetun yksikön on voidakseen nostaa tämän säännöksen mukaisen edustajakanteen vedottava siihen, että se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu kyseisessä säännöksessä tarkoitetulla tavalla käsittelyssä, täyttyy, jos tällainen kanne perustuu siihen, että rekisterinpitäjä on laiminlyönyt kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisen virkkeen ja 13 artiklan 1 kohdan c ja e alakohdan mukaisen velvollisuuden, jonka mukaan rekisteröidylle on annettava tiedoksi tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tiedot, jotka koskevat tämän tietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa, viimeistään näiden tietojen keräämisen yhteydessä.

39

Tähän kysymykseen vastaamista varten on aluksi muistutettava siitä, että tietosuoja-asetuksessa säännellään muun muassa oikeussuojakeinoja rekisteröidyn oikeuksien suojaamiseksi silloin, kun häntä koskevia henkilötietoja on käsitelty väitetysti tämän asetuksen säännösten vastaisesti. Näiden oikeuksien suojaa voi siten vaatia joko suoraan rekisteröity, jolla on oikeus itse tehdä kantelu jäsenvaltion valvontaviranomaiselle tietosuoja-asetuksen 77 artiklan mukaisesti tai nostaa kanne kansallisissa tuomioistuimissa kyseisen asetuksen 78 ja 79 artiklan nojalla, tai sitä voi vaatia tietosuoja-asetuksen 80 artiklan nojalla oikeutettu yksikkö joko valtuutuksen perusteella tai ilman sitä.

40

Erityisesti tietosuoja-asetuksen 80 artiklan 2 kohdassa annetaan jäsenvaltioille mahdollisuus säätää edustajakannemekanismista henkilötietojen suojan oletettua loukkaajaa vastaan silloin, kun rekisteröity ei ole antanut valtuutusta, mutta siinä asetetaan tiettyjä henkilöllistä ja aineellista soveltamisalaa koskevia vaatimuksia, joita on noudatettava tässä tarkoituksessa (tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 63 kohta).

41

Tältä osin on todettava ensinnäkin tämän mekanismin henkilöllisestä soveltamisalasta, että asiavaltuus myönnetään elimelle, järjestölle tai yhdistykselle, joka täyttää tietosuoja-asetuksen 80 artiklan 1 kohdassa luetellut edellytykset. Kuten unionin tuomioistuin on jo todennut, keskusjärjestön kaltainen kuluttajansuojayhdistys voi kuulua tämän käsitteen soveltamisalaan siltä osin kuin se pyrkii yleisen edun mukaiseen tavoitteeseen, joka on rekisteröityjen oikeuksien ja vapauksien turvaaminen heidän kuluttajan ominaisuudessaan, koska tällaisen tavoitteen saavuttaminen voi liittyä heidän henkilötietojensa suojaan (tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 64 ja 65 kohta).

42

Toiseksi kyseisen mekanismin aineellisesta soveltamisalasta on todettava, että tietosuoja-asetuksen 80 artiklan 2 kohdassa säädetyn edustajakanteen voi nostaa yksikkö, joka täyttää tämän artiklan 1 kohdassa mainitut edellytykset, vain, jos kyseinen yksikkö katsoo sille annetusta valtuutuksesta riippumatta, ”että kyseiseen asetukseen perustuvia rekisteröidyn oikeuksia on loukattu [henkilötietojen] käsittelyssä” (tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 67 kohta).

43

Tältä osin unionin tuomioistuin on selventänyt, että edustajakanteen nostaminen ei edellytä muun muassa niiden oikeuksien tosiasiallista loukkaamista, joita henkilöllä on tietosuojaa koskevien sääntöjen perusteella, joten jotta tällaisen yksikön asiavaltuus tunnustettaisiin, riittää, että vedotaan siihen, että kyseinen tietojen käsittely voi vaikuttaa niihin oikeuksiin, joita tunnistetuille tai tunnistettavissa oleville luonnollisille henkilöille on mainitun asetuksen nojalla annettu, ilman että on tarpeen näyttää toteen tosiasiallista vahinkoa, joka rekisteröidylle on tietyssä tilanteessa aiheutunut hänen oikeuksiensa loukkaamisesta (tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 70 ja 72 kohta).

44

Kuten unionin tuomioistuin on jo todennut, edustajakanteen nostaminen edellyttää kuitenkin, että kyseessä oleva yksikkö katsoo, että tietosuoja-asetuksessa säädettyjä rekisteröidyn oikeuksia on loukattu hänen henkilötietojensa käsittelyssä, ja näin ollen väittää, että tietoja on käsitelty kyseisen asetuksen säännösten vastaisesti (ks. vastaavasti tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 71 kohta), koska tällainen käsittely ei voi olla pelkästään hypoteettista, kuten julkisasiamies on todennut ratkaisuehdotuksensa 48 kohdassa.

45

Kuten tietosuoja-asetuksen 80 artiklan 2 kohdan sanamuodosta ilmenee, tähän säännökseen perustuvan edustajakanteen nostaminen edellyttää konkreettisesti, että rekisteröidyn tähän asetukseen perustuvia oikeuksia loukataan henkilötietojen käsittelyn yhteydessä.

46

Tätä tulkintaa tukee tietosuoja-asetuksen 80 artiklan 2 kohdan eri kieliversioiden vertailu sekä sen johdanto-osan 142 perustelukappale, jossa todetaan, että kyseisen asetuksen 80 artiklan 1 kohdassa mainitut edellytykset täyttävillä yksiköillä on oltava syytä katsoa, että kyseisessä asetuksessa säädettyjä rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta.

47

Tämän selvennyksen jälkeen ennakkoratkaisukysymykseen vastaamiseksi on vielä selvitettävä, merkitseekö tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäiseen virkkeeseen ja 13 artiklan 1 kohdan c ja e alakohtaan perustuvan rekisterinpitäjän sen velvollisuuden laiminlyönti, jonka mukaan rekisteröidylle on annettava tiedoksi tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tiedot, jotka koskevat henkilötietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa, viimeistään näiden tietojen keräämisen yhteydessä, kyseisen henkilön oikeuksien loukkaamista käsittelyssä tietosuoja-asetuksen 80 artiklan 2 kohdassa tarkoitetulla tavalla.

48

Aluksi on muistutettava, että tietosuoja-asetuksen tavoite, sellaisena kuin se ilmenee sen 1 artiklasta ja sen johdanto-osan kymmenennestä perustelukappaleesta, on erityisesti se, että turvataan luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien ja erityisesti heidän yksityisyyttä koskevan oikeutensa korkeatasoinen suoja henkilötietojen käsittelyssä (ks. vastaavasti tuomio 7.3.2024, IAB, C‑604/22, EU:C:2024:214, 53 kohta).

49

Tätä varten kyseisen asetuksen II ja III luvussa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet ja rekisteröidyn oikeudet, joita henkilötietojen käsittelyssä on noudatettava. Erityisesti, jollei mainitun asetuksen 23 artiklassa säädetyistä poikkeuksista muuta johdu, henkilötietojen käsittelyssä on yhtäältä noudatettava kyseisen asetuksen 5 artiklassa mainittuja henkilötietojen käsittelyä koskevia periaatteita, ja sen on täytettävä asetuksen 6 artiklassa luetellut laillisuuden edellytykset, ja toisaalta noudatettava tietosuoja-asetuksen 12–22 artiklassa vahvistettuja rekisteröidyn oikeuksia (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 208 kohta ja tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 50 ja 61 kohta oikeuskäytäntöviittauksineen).

50

Tältä osin on korostettava, että tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaisesti henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lisäksi kyseisen 5 artiklan 1 kohdan b alakohdan mukaan nämä tiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

51

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan tulkinnasta unionin tuomioistuin on todennut, että kyseisessä säännöksessä edellytetään muun muassa, että käsittelyn tarkoitukset on ilmaistava selvästi ja ne on yksilöitävä viimeistään henkilötietojen keruun yhteydessä (tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 64 ja 65 kohta).

52

Lisäksi tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjällä on todistustaakka siitä, että nämä tiedot muun muassa kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten ja että niitä käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

53

Tietosuoja-asetuksen 5 artiklasta seuraa siis, että henkilötietojen käsittelyn on muun muassa täytettävä läpinäkyvyyttä koskevat konkreettiset vaatimukset sen rekisteröidyn kannalta, jota tällainen käsittely koskee. Tätä varten tietosuoja-asetuksen III luvussa yhtäältä säädetään rekisterinpitäjän täsmällisistä velvollisuuksista ja toisaalta tunnustetaan useita oikeuksia henkilötietojen käsittelyn kohteena olevalle rekisteröidylle, kuten muun muassa oikeus saada rekisterinpitäjältä tietoja käsittelyn tarkoituksista ja konkreettisista vastaanottajista, joille häntä koskevat henkilötiedot on luovutettu tai luovutetaan (tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 48 kohta).

54

Erityisesti yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan c ja e alakohdassa säädetään, että kun henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjä on velvollinen ilmoittamaan rekisteröidylle näiden tietojen käsittelyn tarkoitukset ja tämän käsittelyn oikeusperustan sekä näiden tietojen vastaanottajat tai vastaanottajaryhmät.

55

Lisäksi kyseisen asetuksen 12 artiklan 1 kohdassa edellytetään, että rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet muun muassa toimittaakseen rekisteröidylle edellisessä kohdassa mainitut tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

56

Kuten unionin tuomioistuin on todennut, tietosuoja-asetuksen 12 artiklan 1 kohdan, joka ilmaisee läpinäkyvyyden periaatteen, tavoitteena on taata, että rekisteröity kykenee ymmärtämään kaikilta osin tiedot, jotka hänelle toimitetaan (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 38 kohta).

57

Tällaisen tiedonantovelvollisuuden noudattamisen merkitys vahvistetaan myös tietosuoja-asetuksen johdanto-osan 60 perustelukappaleessa, jossa todetaan, että asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista, ja siinä korostetaan, että rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 36 kohta).

58

Edellä esitetystä ilmenee ensinnäkin, että rekisterinpitäjän velvollisuus antaa tietoa rekisteröidyille, joiden henkilötietoja käsitellään, on välitön seuraus tiedonsaantioikeudesta, joka näille henkilöille on tunnustettu tietosuoja-asetuksen 12 ja 13 artiklassa ja joka kuuluu siten niihin oikeuksiin, joita kyseisen asetuksen 80 artiklan 2 kohdassa säädetyllä edustajakanteella pyritään suojaamaan. Lisäksi, kuten tämän tuomion 56 ja 57 kohdasta ilmenee, tämän velvollisuuden noudattamisella taataan yleisemmin tietosuoja-asetuksen 5 artiklan 1 kohdassa säädettyjen käsittelyn avoimuuden ja asianmukaisuuden periaatteiden noudattaminen.

59

Toiseksi on todettava, että – kuten julkisasiamies on todennut ratkaisuehdotuksensa 47 kohdassa – se, että rekisteröityjen oikeutta saada riittävästi tietoa kaikista henkilötietojen käsittelyyn liittyvistä seikoista, kuten käsittelyn tarkoituksesta ja tietojen vastaanottajasta, väitetysti loukataan, voi olla esteenä yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa tarkoitetun tietoisen suostumuksen ilmaisemiselle, mikä voi tehdä tästä käsittelystä lainvastaisen kyseisen asetuksen 5 artiklan 1 kohdassa tarkoitetulla tavalla.

60

Rekisteröidyn antaman suostumuksen pätevyys riippuu nimittäin muun muassa siitä, onko kyseinen henkilö saanut ennalta tiedot kaikista kyseessä olevien tietojen käsittelyyn liittyvistä olosuhteista, joihin hänellä oli oikeus yleisen tietosuoja-asetuksen 12 ja 13 artiklan nojalla ja joiden perusteella hän voi antaa suostumuksensa asiasta täysin tietoisena.

61

Siltä osin kuin henkilötietojen käsittely, jolla loukataan rekisteröidyn tietosuoja-asetuksen 12 ja 13 artiklaan perustuvaa tiedonsaantioikeutta, on ristiriidassa tämän asetuksen 5 artiklassa vahvistettujen vaatimusten kanssa, on tämän tiedonsaantioikeuden loukkausta pidettävä rekisteröidyn oikeuksien loukkaamisena käsittelyssä kyseisen asetuksen 80 artiklan 2 kohdassa tarkoitetulla tavalla.

62

Tästä seuraa, että tietosuoja-asetuksen 12 artiklan 1 kohdan ensimmäiseen virkkeeseen ja 13 artiklan 1 kohdan c ja e alakohtaan perustuva henkilötietojen käsittelyn kohteena olevan rekisteröidyn oikeus saada rekisterinpitäjältä tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tiedot, jotka koskevat tällaisen käsittelyn tarkoitusta ja tällaisten tietojen vastaanottajaa, on oikeus, jonka loukkaaminen mahdollistaa turvautumisen kyseisen asetuksen 80 artiklan 2 kohdassa säädettyyn edustajakannemekanismiin.

63

Tätä tulkintaa tukee yhtäältä tietosuoja-asetuksen tavoite, joka on palautettu mieleen tämän tuomion 48 kohdassa ja joka on varmistaa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien tehokas suojelu ja erityisesti se, että jokaisen oikeudelle yksityisyyden suojaan hänen henkilötietojensa käsittelyssä varmistetaan korkeatasoinen suoja.

64

Toisaalta tällainen tulkinta on yhteensopiva myös nyt kyseessä olevan keskusjärjestön kaltaisten kuluttajansuojayhdistysten nostamien, tietosuoja-asetuksen 80 artiklan 2 kohdassa säädettyjen edustajakanteiden ennalta ehkäisevän tehtävän kanssa (tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 76 kohta).

65

Edellä esitetyn perusteella ennakkoratkaisukysymykseen on vastattava, että tietosuoja-asetuksen 80 artiklan 2 kohtaa on tulkittava siten, että edellytys, jonka mukaan oikeutetun yksikön on voidakseen nostaa tämän säännöksen mukaisen edustajakanteen vedottava siihen, että se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu kyseisessä säännöksessä tarkoitetulla tavalla käsittelyssä, täyttyy, jos tämä yksikkö vetoaa siihen, että tämän rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyn yhteydessä ja että se on seurausta siitä, että rekisterinpitäjä on laiminlyönyt kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisen virkkeen ja 13 artiklan 1 kohdan c ja e alakohdan mukaisen velvollisuuden, jonka mukaan rekisteröidylle on annettava tiedoksi tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tiedot, jotka koskevat tämän tietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa, viimeistään näiden tietojen keräämisen yhteydessä.

66

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (neljäs jaosto) on ratkaissut asian seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 80 artiklan 2 kohtaa

on tulkittava siten, että

edellytys, jonka mukaan oikeutetun yksikön on voidakseen nostaa tämän säännöksen mukaisen edustajakanteen vedottava siihen, että se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu kyseisessä säännöksessä tarkoitetulla tavalla käsittelyssä, täyttyy, jos tämä yksikkö vetoaa siihen, että tämän rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyn yhteydessä ja että se on seurausta siitä, että rekisterinpitäjä on laiminlyönyt kyseisen asetuksen 12 artiklan 1 kohdan ensimmäisen virkkeen ja 13 artiklan 1 kohdan c ja e alakohdan mukaisen velvollisuuden, jonka mukaan rekisteröidylle on annettava tiedoksi tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä tiedot, jotka koskevat tämän tietojen käsittelyn tarkoitusta ja henkilötietojen vastaanottajaa, viimeistään näiden tietojen keräämisen yhteydessä.