Väliaikainen versio

UNIONIN TUOMIOISTUIMEN TUOMIO (viides jaosto)

14 päivänä maaliskuuta 2024 (*)

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 58 artiklan 2 kohdan d ja g alakohta – Jäsenvaltion valvontaviranomaisen toimivalta – 17 artiklan 1 kohta – Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) – Lainvastaisesti käsiteltyjen henkilötietojen poistaminen – Kansallisen valvontaviranomaisen toimivalta määrätä rekisterinpitäjä tai henkilötietojen käsittelijä poistamaan kyseiset tiedot ilman rekisteröidyn tätä edeltävää pyyntöä

Asiassa C‑46/23,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Fővárosi Törvényszék (Budapestin alioikeus, Unkari) on esittänyt 8.12.2022 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 31.1.2023, saadakseen ennakkoratkaisun asiassa

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

vastaan

Nemzeti Adatvédelmi és Információszabadság Hatóság,

UNIONIN TUOMIOISTUIN (viides jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja E. Regan sekä tuomarit Z. Csehi, M. Ilešič (esittelevä tuomari), I. Jarukaitis ja D. Gratsias,

julkisasiamies: L. Medina,

kirjaaja: A. Calot Escobar,

ottaen huomioon kirjallisessa käsittelyssä esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        Nemzeti Adatvédelmi és Információszabadság Hatóság, edustajanaan G. J. Dudás, ügyvéd,

–        Unkarin hallitus, asiamiehinään Zs. Biró-Tóth ja M. Z. Fehér,

–        Espanjan hallitus, asiamiehenään A. Ballesteros Panizo,

–        Itävallan hallitus, asiamiehinään A. Posch, J. Schmoll ja C. Gabauer,

–        Puolan hallitus, asiamiehenään B. Majczyna,

–        Portugalin hallitus, asiamiehinään P. Barros da Costa, J. Ramos ja C. Vieira Guerra,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, C. Kovács ja H. Kranenborg,

päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 58 artiklan 2 kohdan c, d ja g alakohdan tulkintaa.

2        Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Újpestin kunnallishallinto – Budapestin neljäs hallintoalue, Unkari) (jäljempänä Újpestin hallinto) ja Nemzeti Adatvédelmi és Információszabadság Hatóság (tietosuojasta ja tiedonvälityksen vapaudesta vastaava kansallinen viranomainen, Unkari) (jäljempänä Unkarin valvontaviranomainen) ja joka koskee päätöstä, jolla viimeksi mainittu velvoitti Újpestin hallinnon poistamaan lainvastaisesti käsitellyt henkilötiedot.

 Asiaa koskevat oikeussäännöt

3        Yleisen tietosuoja‑asetuksen 1, 10 ja 129 perustelukappaleessa todetaan seuraavaa:

”(1)      Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan – – 8 artiklan 1 kohdan ja [SEUT] 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

– –

(10)      Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet [Euroopan] unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –

– –

(129)      Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja, rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet. – –”

4        Yleisen tietosuoja-asetuksen I lukuun, jonka otsikko on ”Yleiset säännökset”, sisältyvät se 1–4 artikla.

5        Kyseisen asetuksen 1 artikla, jonka otsikko on ”Kohde ja tavoitteet”, sanamuoto on seuraava:

”1.      Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.

2.      Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

– –”

6        Kyseisen asetuksen 4 artiklan, jonka otsikko on ”Määritelmät”, 2, 7 ja 21 alakohdassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan:

– –

2)      ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –

7)      ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

– –

21)      ’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

– –”

7        Yleisen tietosuoja-asetuksen II luvussa, jonka otsikko on ”Periaatteet”, on muun muassa 5 artikla, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet” ja jossa säädetään seuraavaa:

”1.      Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)      niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);

b)      ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; – – (’käyttötarkoitussidonnaisuus’);

c)      niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (’tietojen minimointi’);

– –

2.      Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

8        Yleisen tietosuoja-asetuksen III luvussa, jonka otsikko on ”Rekisteröidyn oikeudet”, on 17 artikla, jonka otsikko on puolestaan ”Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”), ja sen 1 kohdassa säädetään seuraavaa:

”Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)      henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)      rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)      rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelylle ole olemassa ensisijaista perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla;

d)      henkilötietoja on käsitelty lainvastaisesti;

– –”

9        Yleisen tietosuoja-asetuksen VI lukuun, jonka otsikko on ”Riippumattomat valvontaviranomaiset”, sisältyvät sen 51–59 artikla.

10      Kyseisen asetuksen 51 artiklan, jonka otsikko on ”Valvontaviranomainen”, 1 ja 2 kohdassa säädetään seuraavaa:

”1.      Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, – –

2.      Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja [Euroopan] komission kanssa VII luvun mukaisesti.”

11      Kyseisen asetuksen 57 artiklan, jonka otsikko on ”Tehtävät”, 1 kohdassa säädetään seuraavaa:

”1.      Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)      valvottava tämän asetuksen soveltamista ja täytäntöönpanoa;

– –

h)      suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

– –”

12      Saman asetuksen 58 artiklan, jonka otsikko on ”Valtuudet”, 2 kohdassa säädetään seuraavaa:

”Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

– –

c)      määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

d)      määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

– –

g)      määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 17 artiklan 2 kohdan ja 19 artiklan mukaisesti;

– –

i)      määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

– –”

 Pääasia ja ennakkoratkaisukysymykset

13      Vuoden 2020 helmikuussa Újpestin hallinto päätti antaa taloudellista tukea asukkaille, jotka kuuluivat sellaisten henkilöiden ryhmään, joiden tilannetta covid-19-pandemia oli heikentänyt ja jotka täyttivät tietyt tuen saamisen edellytykset.

14      Se kääntyi tässä tarkoituksessa Magyar Államkincstárin (Unkarin valtionkassa) ja Budapest Főváros Kormányhivatala IV. Kerületi Hivatalan (Budapestin neljännen hallintoalueen hallintovirasto, Unkari) (jäljempänä hallintovirasto) puoleen saadakseen tarvittavat henkilötiedot tuen saamisen edellytysten tarkistamiseksi. Kyseisiin tietoihin kuuluivat muun muassa luonnollisten henkilöiden perushenkilötiedot ja sosiaaliturvatunnukset. Unkarin valtionkassa ja hallintovirasto toimittivat pyydetyt tiedot.

15      Taloudellisen tuen maksamiseksi Újpestin hallinto teki Újpest+ Megbecsülés ‑ohjelman käyttöön ottamista koskevan kunnallisen viranomaisen päätöksen nro 16/2020. (IV. 30.) (az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet), jota muutettiin ja täydennettiin kunnallisen viranomaisen päätöksellä nro 30/2020. (VII. 15.) (30/2020. (VII. 15.) önkormányzati rendelet). Kyseiset päätökset sisälsivät näin vahvistetun tuen saamisen edellytykset. Újpestin hallinto kokosi saadut tiedot tietokantaan, joka perustettiin sen tukiohjelman täytäntöönpanemiseksi, ja loi tunnuksen ja erityisen viivakoodin kutakin tietojoukkoa varten.

16      Saamansa vihjeen perusteella Unkarin valvontaviranomainen aloitti oma-aloitteisesti 2.9.2020 tutkinnan, joka koski henkilötietojen käsittelyä, johon edellä mainittu tukiohjelma perustui. Kyseinen viranomainen totesi 22.4.2021 tekemässään päätöksessä, että Újpestin hallinto oli rikkonut useita yleisen tietosuoja-asetuksen 5 ja 14 artiklan säännöksiä ja sen 12 artiklan 1 kohtaa. Se totesi muun muassa, että Újpestin hallinto ei ollut ilmoittanut rekisteröidyille kuukauden kuluessa kyseisen ohjelman puitteissa käsitellyistä henkilötietojen luokista, kyseisen käsittelyn tarkoituksesta eikä tavoista, joilla mainitut henkilöt voivat käyttää oikeuksiaan tämän osalta.

17      Unkarin valvontaviranomainen velvoitti Újpestin hallinnon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla poistamaan niiden rekisteröityjen henkilötiedot, joilla hallintoviraston ja Unkarin valtionkassan toimittamien tietojen perusteella olisi ollut oikeus mainittuun tukeen mutta jotka eivät kuitenkaan olleet sitä hakeneet. Se katsoi, että sekä Unkarin valtionkassa että hallintovirasto olivat rikkoneet kyseisten henkilöiden henkilötietojen käsittelyä koskevia säännöksiä. Se velvoitti lisäksi Újpestin hallinnon ja Unkarin valtionkassan maksamaan seuraamusmaksun tietosuojaloukkauksen vuoksi.

18      Fővárosi Törvényszékissä, joka on ennakkoratkaisua pyytänyt tuomioistuin, tekemällään hallintovalituksella Újpestin hallinto valittaa Unkarin valvontaviranomaisen päätöksestä ja väittää, että viimeksi mainitulla ei ole toimivaltaa määrätä poistamaan henkilötietoja yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla, jos rekisteröity ei ole esittänyt kyseisen asetuksen 17 artiklassa tarkoitettua pyyntöä. Se tukeutuu tämän osalta Kúrian (ylin tuomioistuin, Unkari) antamaan tuomioon Kfv.II.37.001/2021/6., jossa viimeksi mainittu sen mukaan katsoi, että Unkarin valvontaviranomaisella ei ole tällaista toimivaltaa, ja pysytti näin ollen ennakkoratkaisua pyytäneen tuomioistuimen antaman tuomion. Pääasian valittajan mukaan kyseisen asetuksen 17 artiklassa säädetty oikeus tietojen poistamiseen ymmärretään yksinomaan asianomaisen henkilön oikeudeksi.

19      Unkarin valvontaviranomaisen tehtyä perustuslainvastaisuutta koskevan valituksen Alkotmánybíróság (Unkarin perustuslakituomioistuin) kumosi edellä mainitun Kúrian antaman tuomion ja katsoi, että kyseinen viranomainen voi oma-aloitteisesti määrätä lainvastaisesti käsiteltyjen henkilötietojen poistamisesta myös ilman rekisteröidyn esittämää pyyntöä. Alkotmánybíróság tukeutui tämän osalta Euroopan tietosuojaneuvoston lausuntoon nro 39/2021, jonka mukaan yleisen tietosuoja-asetuksen 17 artiklassa säädetään kahdesta erillisestä tietojen poistamista koskevasta tilanteesta, joista yksi on poistaminen rekisteröidyn pyynnöstä ja toinen muodostuu rekisterinpitäjän itsenäisestä velvollisuudesta, joten yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan g alakohtaa on pidettävä asianmukaisena oikeusperustana lainvastaisesti käsiteltyjen henkilötietojen oma-aloitteiselle poistamiselle.

20      Edellisessä kohdassa tarkoitetun Alkotmánybíróságin ratkaisun jälkeen ennakkoratkaisua pyytäneellä tuomioistuimella on edelleen epäilyjä yleisen tietosuoja-asetuksen 17 artiklan ja 58 artiklan 2 kohdan tulkinnasta. Se katsoo, että oikeus henkilötietojen poistamiseen määritellään yleisen tietosuoja-asetuksen 17 artiklan 1 kohdassa rekisteröidyn oikeudeksi ja että kyseinen säännös ei sisällä kahta erillistä poistamistilannetta.

21      Kyseinen tuomioistuin lisää, että henkilöllä saattaa olla intressi siihen, että häntä koskevia henkilötietoja käsitellään, mukaan lukien tilanteessa, jossa kansallinen valvontaviranomainen määrää rekisterinpitäjän poistamaan kyseiset tiedot siitä syystä, että niitä on käsitelty lainvastaisesti. Tällaisessa tapauksessa kyseinen viranomainen käyttäisi kyseisen henkilön oikeutta hänen tahtonsa vastaisesti.

22      Ennakkoratkaisua pyytänyt tuomioistuin pyrkii näin ollen määrittämään, voiko jäsenvaltion valvontaviranomainen – riippumatta siitä, onko rekisteröity käyttänyt oikeuksiaan –, vaatia rekisterinpitäjää tai henkilötietojen käsittelijää poistamaan lainvastaisesti käsitellyt henkilötiedot, ja jos voi, millä oikeusperustalla, kun otetaan muun muassa huomioon se, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdassa säädetään nimenomaisesti, että rekisteröity tekee pyynnön oikeuksiensa käyttämiseksi, ja että kyseisen asetuksen 58 artiklan 2 kohdan d alakohdassa säädetään yleisesti käsittelytoimien saattamisesta kyseisen asetuksen säännösten mukaisiksi, kun taas asetuksen 58 artiklan 2 kohdan g alakohdassa viitataan suoraan sen 17 artiklaan, jonka soveltaminen edellyttää kyseisen tuomioistuimen mukaan rekisteröidyn nimenomaista pyyntöä.

23      Jos kansallinen valvontaviranomainen voisi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan lainvastaisesti käsitellyt henkilötiedot, vaikka rekisteröity ei ole sitä pyytänyt, ennakkoratkaisua pyytänyt tuomioistuin pohtii myös, voidaanko tähän velvoitettaessa tehdä ero sen mukaan, onko henkilötiedot saatu rekisteröidyltä, kun otetaan huomioon yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan b alakohdassa mainittu rekisterinpitäjän velvollisuus, vai muilta henkilöiltä, kun otetaan huomioon kyseisen asetuksen 14 artiklan 2 kohdan c alakohdassa säädetty velvollisuus.

24      Tässä tilanteessa Fővárosi Törvényszék on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Onko [yleisen tietosuoja-asetuksen] 58 artiklan 2 kohtaa ja erityisesti c, d ja g alakohtaa tulkittava siten, että kansallinen valvontaviranomainen voi korjaavien toimivaltuuksiensa nojalla määrätä rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan henkilötiedot, joita on käsitelty lainvastaisesti, silloinkin, kun rekisteröity ei ole sitä nimenomaisesti pyytänyt tämän asetuksen 17 artiklan 1 kohdan mukaisesti?

2)      Jos ensimmäiseen ennakkoratkaisukysymykseen vastataan siten, että valvontaviranomainen voi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan henkilötiedot, joita on käsitelty lainvastaisesti, silloinkin, kun rekisteröity ei ole tätä pyytänyt, päteekö tämä riippumatta siitä, onko henkilötiedot saatu rekisteröidyltä itseltään vai ei?”

 Ennakkoratkaisukysymysten tarkastelu

 Ensimmäinen kysymys

25      Ensimmäisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c, d ja g alakohtaa tulkittava siten, että jäsenvaltion valvontaviranomainen voi kyseisissä säännöksissä säädettyjä korjaavia toimivaltuuksiansa käyttäessään määrätä rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan lainvastaisesti käsitellyt henkilötiedot, vaikka rekisteröity ei olisi sitä nimenomaisesti pyytänyt kyseisen asetuksen 17 artiklan 1 kohdan mukaisten oikeuksiensa käyttämiseksi.

26      Tämä kysymys on esitetty asiassa, joka koskee Unkarin valvontaviranomaisen sellaisen päätöksen laillisuutta, jossa Újpestin hallinto velvoitettiin yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla poistamaan lainvastaisesti käsitellyt henkilötiedot tämän tuomion 13–15 kohdassa kuvaillun tukiohjelman yhteydessä.

27      Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa kyseiset tiedot ilman aiheetonta viivytystä muun muassa kyseisen säännöksen d alakohdan nojalla, jos asianomaisia tietoja on ”käsitelty lainvastaisesti”.

28      Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan sanamuodon mukaan valvontaviranomainen voi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän saattamaan käsittelytoimet kyseisen asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa. Lisäksi kyseisen asetuksen 58 artiklan 2 kohdan g alakohdassa säädetään, että valvontaviranomainen voi määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta sen 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu saman asetuksen 17 artiklan 2 kohdan ja 19 artiklan mukaisesti.

29      Tässä asiayhteydessä ennakkoratkaisua pyytänyt tuomioistuin pohtii, voiko jäsenvaltion valvontaviranomainen – yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c, d ja g alakohdassa säädetyn kaltaisia korjaavia toimivaltuuksia käyttäessään – määräämään oma-aloitteisesti eli ilman, että rekisteröity on tätä ennalta pyytänyt, rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan lainvastaisesti käsitellyt henkilötiedot.

30      Vakiintuneen oikeuskäytännön mukaan unionin oikeuden säännöksen tai määräyksen tulkitsemiseksi on otettava huomioon paitsi sen sanamuoto myös asiayhteys ja sillä säännöstöllä tavoitellut päämäärät, jonka osa säännös tai määräys on (tuomio 13.7.2023, G GmbH, C‑134/22, EU:C:2023:567, 25 kohta oikeuskäytäntöviittauksineen).

31      Aluksi on todettava, että tämän tuomion 27 ja 28 kohdassa mainittuja unionin oikeuden asian kannalta merkityksellisiä säännöksiä on tarkasteltava yhdessä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan kanssa, jossa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet, joihin kuuluu muun muassa sen a alakohdassa periaate, jonka mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

32      Kyseisen 5 artiklan 2 kohdan sanamuodon mukaan kyseisessä säännöksessä vahvistetun osoitusvelvollisuuden periaatteen mukaisesti rekisterinpitäjä vastaa siitä, että 5 artiklan 1 kohtaa noudatetaan, ja sen on pystyttävä osoittamaan, että se noudattaa kutakin siinä vahvistettua periaatetta, ja todistustaakka tästä on lisäksi sillä (tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 53 kohta oikeuskäytäntöviittauksineen).

33      Kun henkilötietojen käsittely ei ole muun muassa yleisen tietosuoja-asetuksen 5 artiklassa säädettyjen periaatteiden mukaista, jäsenvaltioiden valvontaviranomaisilla on toimivalta puuttua asiaan niiden kyseisen asetuksen 57 ja 58 artiklassa säädettyjen tehtävien ja valtuuksien mukaisesti. Näihin tehtäviin kuuluu muun muassa kyseisen asetuksen soveltamisen ja täytäntöönpanon valvonta sen 57 artiklan 1 kohdan a alakohdan nojalla (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, 108 kohta).

34      Unionin tuomioistuin on jo täsmentänyt tämän osalta, että jos kansallinen valvontaviranomainen katsoo tutkintansa päätteeksi, että rekisteröity ei saa hyväkseen riittävää tietosuojan tasoa, sen on unionin oikeuden mukaisesti reagoitava asianmukaisesti todetun puutteellisuuden korjaamiseksi ja näin on riippumatta tämän puutteellisuuden alkuperästä tai luonteesta. Tätä varten yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa luetellaan erilaiset korjaavat toimenpiteet, jotka valvontaviranomainen voi toteuttaa. Kyseisen valvontaviranomaisen on valittava asianmukainen keino, jotta se voi kaikkea vaadittavaa huolellisuutta noudattaen suorittaa tehtävänsä, joka muodostuu kyseisen asetuksen täysimääräisen noudattamisen valvonnasta (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559, 111 ja 112 kohta).

35      Kun on täsmällisemmin todettuna kyse siitä, voiko asianomainen valvontaviranomainen toteuttaa oma-aloitteisesti tällaisia korjaavia toimenpiteitä, on aluksi todettava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan sanamuoto huomioiden siinä tehdään ero sellaisten korjaavien toimenpiteiden, joihin voidaan velvoittaa oma-aloitteisesti ja joihin kuuluvat muun muassa 58 artiklan 2 kohdan d ja g alakohdassa tarkoitetut toimenpiteet, ja sellaisten korjaavien toimenpiteiden välillä, jotka voidaan toteuttaa vasta rekisteröidyn esitettyä pyynnön kyseisen asetuksen mukaisten oikeuksiensa käyttämiseksi ja joihin kuuluvat esimerkiksi kyseisen asetuksen 58 artiklan 2 kohdan c alakohdassa tarkoitetut toimenpiteet.

36      Yhtäältä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan sanamuodosta ilmenee nimenomaisesti, että kyseisessä säännöksessä tarkoitetun korjaavan toimenpiteen toteuttaminen eli se, että ”määrätä[än] rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä”, edellyttää sitä, että rekisteröity on vaatinut ennalta oikeuksiaan esittämällä tätä koskevan pyynnön ja että pyyntöä ei ole hyväksytty ennen valvontaviranomaisen kyseisessä säännöksessä säädettyä päätöstä. Toisaalta mainitusta säännöksestä poiketen kyseisen asetuksen 58 artiklan 2 kohdan d ja g alakohdan sanamuodon perusteella ei voida katsoa, että jäsenvaltion valvontaviranomaisen toiminta siinä tarkoitettujen toimenpiteiden soveltamiseksi rajoittuisi yksinomaan tapauksiin, joissa rekisteröity on tehnyt tätä koskevan pyynnön, koska kyseisessä sanamuodossa ei mainita tällaista pyyntöä.

37      Kyseisten säännösten asiayhteydestä on seuraavaksi todettava, että mainitun asetuksen 17 artiklan 1 kohdassa tehdään rinnastuskonjunktiota ”ja” käyttämällä ero yhtäältä ilmaisun ”rekisteröidyn oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat tiedot ilman aiheetonta viivytystä” ja toisaalta ilmaisun ”rekisterinpitäjän velvollisuus poistaa kyseiset henkilötiedot ilman aiheetonta viivytystä” välillä. Tästä on pääteltävä, että kyseisessä säännöksessä säädetään kahdesta erillisestä tilanteesta eli yhtäältä tietojen poistamisesta rekisteröidyn pyynnöstä ja toisaalta tietojen poistamisesta, joka perustuu rekisterinpitäjällä olevaan itsenäiseen velvollisuuteen rekisteröidyn pyynnöistä riippumatta.

38      Kuten Euroopan tietosuojaneuvosto totesi lausunnossaan nro 39/2021, tällainen erottelu on tarpeen, koska jotkut 17 artiklan 1 kohdassa mainituista esimerkkitapauksista kattavat tilanteet, joissa rekisteröidylle ei välttämättä ilmoiteta häntä koskevien henkilötietojen käsittelystä, joten rekisterinpitäjä on ainoa, joka voi todeta, että käsittelyä tapahtuu. Tilanne on tämä erityisesti silloin, kun kyseisiä tietoja on käsitelty lainvastaisesti, mistä edellä mainitussa 17 artiklan 1 kohdan d alakohdassa säädetään.

39      Tämä tulkinta saa vahvistuksen yleisen tietosuoja-asetuksen 5 artiklan 2 kohdasta – tarkasteltuna yhdessä 5 artiklan 1 kohdan a alakohdan kanssa –, jonka nojalla rekisterinpitäjän on varmistuttava muun muassa suorittamansa tietojen käsittelyn lainmukaisuudesta (ks. vastaavasti tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 54 kohta).

40      Lopuksi on todettava, että tällainen tulkinta saa myös vahvistuksen yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan tavoitteesta, joka ilmenee sen johdanto-osan 129 perustelukappaleesta ja joka on sen varmistaminen, että henkilötietoja käsitellään kyseisen asetuksen mukaisesti ja että asetuksen rikkomista koskevat tilanteet palautetaan unionin oikeuden mukaisiksi kansallisten valvontaviranomaisten toimilla.

41      Tämän osalta on täsmennettävä, että vaikka asianmukaisen ja tarpeellisen keinon valinta on kansallisen valvontaviranomaisen tehtävä ja vaikka sen on tehtävä tämä valinta kaikki käsiteltävän asian olosuhteet huomioon ottaen, kyseisen viranomaisen on kuitenkin suoritettava kaikkea vaadittavaa huolellisuutta noudattaen tehtävänsä, joka koskee tietosuoja-asetuksen täysimääräisen noudattamisen valvontaa (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, 112 kohta). Yleisen tietosuoja-asetuksen tehokkaan soveltamisen varmistamiseksi on näin ollen erityisen tärkeää, että kyseisellä viranomaisella on tehokkaat valtuudet toimia tehokkaasti kyseisen asetuksen rikkomisia vastaan ja muun muassa päättää ne, mukaan lukien tapauksissa, joissa rekisteröidyille ei ilmoiteta heidän henkilötietojensa käsittelystä tai he eivät ole siitä tietoisia tai he eivät ainakaan ole pyytäneet kyseisten tietojen poistamista.

42      Tässä tilanteessa on katsottava, että jäsenvaltion valvontaviranomainen voi käyttää oma-aloitteisesti toimivaltaa toteuttaa tiettyjä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja korjaavia toimenpiteitä ja muun muassa kyseisen säännöksen d ja g alakohdassa mainittuja toimenpiteitä, sikäli kuin tämän toimivallan oma-aloitteinen käyttäminen on tarpeen, jotta se voi suorittaa tehtävänsä. Näin ollen on niin, että kun kyseinen viranomainen katsoo tutkintansa päätteeksi, että käsittely ei täyttänyt kyseisen asetuksen vaatimuksia, sen on unionin oikeuden mukaan toteutettava asiamukaiset toimenpiteet todetun rikkomisen korjaamiseksi riippumatta siitä, onko rekisteröity tehnyt tätä edeltävän pyynnön käyttääkseen kyseisen asetuksen 17 artiklan 1 kohdan mukaisia oikeuksiaan.

43      Tällainen tulkinta saa lisäksi vahvistuksen yleisen tietosuoja-asetuksen tavoitteista, jotka ilmenevät muun muassa sen 1 artiklasta sekä sen johdanto-osan ensimmäisestä ja kymmenennestä perustelukappaleesta, joissa viitataan korkeatasoisen suojan takaamiseen, kun on kyse luonnollisten henkilöiden perusoikeudesta, joka koskee heitä koskevien henkilötietojen suojelua ja josta määrätään perusoikeuskirjan 8 artiklan 1 kohdassa ja SEUT 16 artiklan 1 kohdassa (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 207 kohta ja tuomio 28.4.2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73 kohta).

44      Tämän tuomion 42 kohdassa hyväksytyn tulkinnan vastainen tulkinta, jonka mukaan tällaisella valvontaviranomaisella olisi toimivalta toimia ainoastaan sen jälkeen, kun rekisteröity on esittänyt tätä koskevan pyynnön, vaarantaisi tämän tuomion 40 ja 43 kohdassa mieleen palautettujen tavoitteiden toteuttamisen erityisesti pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa lainvastaisesti käsiteltyjen henkilötietojen poistaminen koskee potentiaalisesti suurta sellaisten henkilöiden määrää, jotka eivät ole vedonnet tietojen poistamista koskevaan oikeuteensa yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan mukaisesti.

45      Kuten komissio lähinnä toteaa kirjallisissa huomautuksissaan, vaatimus yleisen tietosuoja-asetuksen 17 artiklan 1 kohdassa tarkoitetusta rekisteröityjen ennalta esittämästä pyynnöstä merkitsisi nimittäin sitä, että rekisterinpitäjä voisi säilyttää kyseiset henkilötiedot ja jatkaa niiden lainvastaista käsittelyä, jos tällaista pyyntöä ei tehtäisi. Tällainen tulkinta vahingoittaisi asetuksessa säädetyn suojelun tehokkuutta, koska se johtaisi siihen, että henkilöitä, jotka eivät tee pyyntöä, vaikka heidän henkilötietojaan on käsitelty lainvastaisesti, ei suojeltaisi.

46      Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d ja g alakohtaa on tulkittava siten, että jäsenvaltion valvontaviranomainen voi kyseisissä säännöksissä säädettyjä korjaavia toimivaltuuksiaan käyttäessään määrätä rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan lainvastaisesti käsitellyt henkilötiedot, vaikka rekisteröity ei olisi sitä nimenomaisesti pyytänyt kyseisen asetuksen 17 artiklan 1 kohdan mukaisten oikeuksiensa käyttämiseksi.

 Toinen kysymys

47      Toisella kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen 58 artiklan 2 kohtaa tulkittava siten, että jäsenvaltion valvontaviranomaisen toimivalta määrätä lainvastaisesti käsiteltyjen henkilötietojen poistamisesta voi koskea sekä rekisteröidyltä kerättyjä että muusta lähteestä peräisin olevia tietoja.

48      Tämän osalta on todettava ensiksi, että edellisessä kohdassa mainitun säännöksen sanamuodossa ei ole mitään viitteitä, jotka antaisivat ymmärtää, että valvontaviranomaisen toimivalta toteuttaa siinä lueteltuja korjaavia toimenpiteitä riippuisi asianomaisten tietojen alkuperästä ja muun muassa siitä, onko ne kerätty rekisteröidyltä.

49      Myöskään yleisen tietosuoja-asetuksen 17 artiklan 1 kohdassa, jossa – kuten tämän tuomion 37 kohdasta ilmenee – vahvistetaan rekisterinpitäjälle itsenäinen velvollisuus poistaa lainvastaisesti käsitellyt henkilötiedot, ei ole minkäänlaista vaatimusta, joka koskisi kerättyjen tietojen alkuperää.

50      Kuten tämän tuomion 41 ja 42 kohdasta ilmenee, yleisen tietosuoja-asetuksen tehokkaan ja yhdenmukaisen soveltamisen varmistamiseksi kansallisella valvontaviranomaisella on oltava tehokkaat valtuudet, jotta se voi puuttua tehokkaasti kyseisen asetuksen rikkomisiin. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d ja g alakohdassa vahvistetun kaltainen toimivalta toteuttaa korjaavia toimenpiteitä ei näin ollen voi riippua asianomaisten tietojen alkuperästä eikä muun muassa siitä, että ne on kerätty rekisteröidyltä.

51      Kaikkien kirjallisia huomautuksia esittäneiden hallitusten ja komission tavoin on näin ollen katsottava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d ja g alakohdassa tarkoitettujen korjaavien toimenpiteiden toteuttamista koskevan toimivallan käyttäminen ei voi riippua siitä, onko kyseiset henkilötiedot kerätty suoraan rekisteröidyltä vai ei.

52      Tällainen tulkinta saa myös vahvistuksen yleisen tietosuoja-asetuksen – ja erityisesti sen 58 artiklan 2 kohdan – tavoitteista, jotka palautettiin mieleen tämän tuomion 40 ja 43 kohdassa.

53      Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohtaa on tulkittava siten, että jäsenvaltion valvontaviranomaisen toimivalta määrätä lainvastaisesti käsiteltyjen henkilötietojen poistamisesta voi koskea sekä rekisteröidyltä kerättyjä että muusta lähteestä peräisin olevia tietoja.

 Oikeudenkäyntikulut

54      Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (viides jaosto) on ratkaissut asian seuraavasti:

1)      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 58 artiklan 2 kohdan d ja g alakohtaa

on tulkittava siten, että

jäsenvaltion valvontaviranomainen voi kyseisissä säännöksissä säädettyjä korjaavia toimivaltuuksiaan käyttäessään määrätä rekisterinpitäjän tai henkilötietojen käsittelijän poistamaan lainvastaisesti käsitellyt henkilötiedot, vaikka rekisteröity ei olisi sitä nimenomaisesti pyytänyt kyseisen asetuksen 17 artiklan 1 kohdan mukaisten oikeuksiensa käyttämiseksi.

2)      Asetuksen 2016/679 58 artiklan 2 kohtaa

on tulkittava siten, että

jäsenvaltion valvontaviranomaisen toimivalta määrätä lainvastaisesti käsiteltyjen henkilötietojen poistamisesta voi koskea sekä rekisteröidyltä kerättyjä että muusta lähteestä peräisin olevia tietoja.

Allekirjoitukset

*      Oikeudenkäyntikieli: unkari.