–

CK, edustajanaan C. Wirthensohn, Rechtsanwalt,

–

Dun & Bradstreet Austria GmbH, edustajinaan D. Cooper, solicitor, A.-S. Oberschelp de Meneses, avocate, sekä K. Van Quathem ja B. Van Vooren, advocaten,

–

Espanjan hallitus, asiamiehenään A. Ballesteros Panizo,

–

Alankomaiden hallitus, asiamiehinään M. K. Bulterman ja C. S. Schillemans,

–

Puolan hallitus, asiamiehenään B. Majczyna,

–

Euroopan komissio, asiamiehinään A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

1

Tämä ennakkoratkaisupyyntö koskee yhtäältä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 15 artiklan 1 kohdan h alakohdan ja 22 artiklan ja toisaalta julkistamattoman taitotiedon ja liiketoimintatiedon (liikesalaisuuksien) suojaamisesta laittomalta hankinnalta, käytöltä ja ilmaisemiselta 8.6.2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/943 (EUVL 2016, L 157, s. 1) 2 artiklan 1 alakohdan tulkintaa.

2

Tämä pyyntö on esitetty oikeusriidassa, jossa vastakkain ovat CK ja Magistrat der Stadt Wien (Wienin kaupunginhallitus, Itävalta) ja jossa on kyse sellaisen tuomioistuinratkaisun pakkotäytäntöönpanosta, jolla Bisnode Austria GmbH, josta on tullut Dun & Bradstreet Austria GmbH (jäljempänä D & B), joka on luottoluokitusyritys, velvoitetaan toimittamaan CK:lle merkityksellisiä tietoja hänen henkilötietojaan koskevaan profilointiin liittyvästä logiikasta.

3

Yleisen tietosuoja-asetuksen johdanto-osan 4, 11, 58, 63 ja 71 perustelukappaleessa todetaan seuraavaa:

– –

– –

– –

– –

4

Kyseisen asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

– –

5

Kyseisen asetuksen 12 artiklan, jonka otsikko on ”Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten”, 1 kohdassa säädetään seuraavaa:

” Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. – –”

6

Asetuksen 13 artiklan, joka koskee toimitettavia tietoja, kun henkilötietoja kerätään rekisteröidyltä, 2 kohdan f alakohdassa ja 14 artiklan, joka koskee toimitettavia tietoja, kun henkilötietoja ei ole saatu rekisteröidyltä, 2 kohdan g alakohdassa säädetään, että rekisterinpitäjän on toimitettava rekisteröidylle hänen kannaltaan asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi tiedot kyseisen asetuksen 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin, olemassaolosta sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyydestä ja mahdollisista seurauksista rekisteröidylle.

7

Yleisen tietosuoja-asetuksen 15 artiklassa, jonka otsikko on ”Rekisteröidyn oikeus saada tutustua tietoihin”, säädetään seuraavaa:

”1.   Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot:

– –

– –

3.   Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

4.   Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.”

8

Tämän asetuksen 22 artiklassa, jonka otsikko on ”Automatisoidut yksittäispäätökset, profilointi mukaan luettuna”, säädetään seuraavaa:

”1.   Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

2.   Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

3.   Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

4.   Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.”

9

Kyseisen asetuksen 23 artiklassa, jonka otsikko on ”Rajoitukset”, säädetään seuraavaa:

”1.   Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

– –

i) rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

– –

2.   Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin

10

Yleisen tietosuoja-asetuksen 54 artiklan, jonka otsikko on ”Valvontaviranomaisen perustamista koskevat säännöt”, 2 kohdassa säädetään seuraavaa:

”Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän asetuksen rikkomisista.”

11

Yleisen tietosuoja-asetuksen 58 artiklan, jonka otsikko on ”Valtuudet”, 1 kohdan e alakohdassa säädetään seuraavaa:

”Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

12

Direktiivin 2016/943 johdanto-osan 35 perustelukappaleessa todetaan seuraavaa:

”– – Tämä direktiivi ei – – saisi vaikuttaa [yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetussa] direktiivissä 95/46/EY [(EYVL 1995, L 281, s. 31)] säädettyihin oikeuksiin ja velvollisuuksiin, etenkään rekisteröidyn oikeuteen päästä tutustumaan omiin käsiteltävänä oleviin henkilötietoihinsa ja saada oikaistuksi, poistetuksi tai suojatuksi puutteelliset tai virheelliset tiedot – –”

13

Kyseisen direktiivin 2 artiklan 1 alakohdassa säädetään seuraavaa:

”Tässä direktiivissä tarkoitetaan

14

Mainitun direktiivin 9 artiklassa, jonka otsikko on ”Liikesalaisuuksien luottamuksellisuuden säilyttäminen oikeudenkäynnin aikana”, säädetään seuraavaa:

”1.   Jäsenvaltioiden on varmistettava, että asianosaiset, heidän asianajajansa tai muut edustajansa, tuomioistuimen henkilöstö, todistajat, asiantuntijat ja muut henkilöt, jotka osallistuvat liikesalaisuuden laittomaan hankintaan, käyttöön tai ilmaisemiseen liittyvään oikeudenkäyntiin tai joilla on oikeus tutustua kyseiseen oikeudenkäyntiin liittyviin asiakirjoihin, eivät saa käyttää tai ilmaista liikesalaisuuksia tai väitettyjä liikesalaisuuksia, jotka toimivaltaiset oikeusviranomaiset ovat asiaan osallisen asianmukaisesti perustellun pyynnön nojalla katsoneet luottamuksellisiksi ja joista he ovat saaneet tiedon oikeudenkäyntiin osallistumisen tai asiakirjoihin tutustumisen seurauksena. Jäsenvaltiot voivat myös sallia, että toimivaltaiset oikeusviranomaiset toimivat tältä osin omasta aloitteestaan.

Ensimmäisessä alakohdassa tarkoitettu velvoite pysyy voimassa oikeudenkäynnin päätyttyä. Tällaisen velvoitteen voimassaolo päättyy kuitenkin seuraavissa olosuhteissa:

2.   Jäsenvaltioiden on myös varmistettava, että toimivaltaiset oikeusviranomaiset voivat asianosaisen perustellusta pyynnöstä määrätä erityisiä toimenpiteitä, jotka ovat tarpeen liikesalaisuuden luvattomaan hankintaan, käyttöön tai ilmaisemiseen liittyvän oikeudenkäynnin aikana esille tuodun tai mainitun liikesalaisuuden tai väitetyn liikesalaisuuden luottamuksellisuuden säilyttämiseksi. Jäsenvaltiot voivat myös sallia, että toimivaltaiset oikeusviranomaiset määräävät tällaisia toimenpiteitä omasta aloitteestaan.

Ensimmäisessä alakohdassa tarkoitettuihin toimenpiteisiin on sisällytettävä ainakin mahdollisuus

Toisen alakohdan a ja b alakohdassa tarkoitettujen henkilöiden määrä ei saa olla suurempi, kuin mikä on tarpeen sen varmistamiseksi, että noudatetaan oikeudenkäynnin asianosaisten oikeutta tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin, ja tähän määrään on sisällyttävä kunkin asianosaisen osalta vähintään yksi luonnollinen henkilö sekä asianosaisten asianajajat tai muut edustajat.

3.   Päättäessään 2 kohdassa tarkoitetuista toimenpiteistä ja arvioidessaan niiden oikeasuhteisuutta toimivaltaisten oikeusviranomaisten on otettava huomioon tarve varmistaa oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin, asianosaisten ja tapauksen mukaan kolmansien osapuolten oikeutetut edut sekä jommallekummalle asianosaiselle ja tarvittaessa kolmansille osapuolille mahdollisesti aiheutuva vahinko, joka johtuu tällaisten toimenpiteiden määräämisestä tai määräämättä jättämisestä.

4.   Kaikki 1, 2 tai 3 kohdan nojalla tapahtuva henkilötietojen käsittely on suoritettava [direktiivin 95/46] mukaisesti.”

15

Tietosuojalain (Datenschutzgesetz), joka on annettu 17.8.1999 (BGBl. I, 165/1999), sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä tietosuojalaki), 4 §:n 6 momentissa suljetaan pois lain 15 §:ssä säädetty rekisteröidyn oikeus saada tutustua häntä koskeviin henkilötietoihin lähtökohtaisesti silloin, jos näihin tietoihin tutustuminen johtaisi rekisterinpitäjän tai kolmannen osapuolen liikesalaisuuden vaarantumiseen.

16

Matkapuhelinoperaattori kieltäytyi tekemästä tai jatkamasta CK:n kanssa matkapuhelinsopimusta, joka olisi edellyttänyt kymmenen euron kuukausittaista maksua, sillä perusteella, että D & B:n toteuttaman CK:n luottokelpoisuutta koskevan automaattisen arvioinnin perusteella CK:lla ei ollut riittävää maksukykyä.

17

CK saattoi asian Itävallan tietosuojaviranomaisen käsiteltäväksi, joka määräsi D & B:n toimittamaan CK:lle merkitykselliset tiedot CK:n henkilötietoihin perustuvaan automaattiseen päätökseen liittyvästä logiikasta.

18

D & B teki kyseisen viranomaisen päätöksestä valituksen Bundesverwaltungsgerichtissä (liittovaltion ylin hallintotuomioistuin, Itävalta) ja väitti, ettei sen tarvinnut suojatun liikesalaisuuden vuoksi toimittaa CK:lle muita tietoja tälle jo toimitettujen tietojen lisäksi.

19

Kyseinen tuomioistuin katsoi 23.10.2019 antamassaan ratkaisussa (jäljempänä 23.10.2019 annettu ratkaisu), että D & B oli rikkonut yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohtaa, kun se ei ollut toimittanut CK:lle merkityksellisiä tietoja hänen henkilötietojaan koskevaan automaattiseen päätöksentekoon liittyvästä logiikasta, tai ei ainakaan ollut riittävästi perustellut sitä, minkä vuoksi sen oli mahdotonta toimittaa kyseiset tiedot.

20

Bundesverwaltungsgericht totesi kyseisessä ratkaisussa erityisesti, että D & B ei ollut toimittanut CK:lle riittäviä selityksiä, joiden avulla CK olisi voinut ymmärtää, miten hänen osaltaan oli laadittu ennuste hänen tulevan käyttäytymisensä todennäköisyydestä (”pistemäärä”), jonka kyseinen yritys oli toimittanut hänelle täsmennyksellä, että tämän pistemäärän saamiseksi tiettyjä CK:n sosiodemografisia tietoja oli ”painotettu vastaavalla tavalla”.

21

Kyseinen 23.10.2019 annettu ratkaisu on lopullinen ja Itävallan oikeuden mukaan täytäntöönpanokelpoinen. Ratkaisun pakkotäytäntöönpanoa koskeva pyyntö, jonka CK esitti täytäntöönpanoviranomaiselle eli Wienin kaupunginhallitukselle, kuitenkin hylättiin sillä perusteella, että D & B oli täyttänyt riittävällä tavalla tiedonantovelvollisuutensa, vaikka kyseinen yhtiö ei ollut toimittanut mitään lisätietoja mainitun ratkaisun tekemisen jälkeen.

22

CK haki muutosta tähän Wienin kaupunginhallituksen päätökseen Verwaltungsgericht Wienissä (Wienin hallintotuomioistuin, Itävalta), joka on ennakkoratkaisua pyytänyt tuomioistuin, 23.10.2019 annetun ratkaisun pakkotäytäntöönpanoa varten.

23

Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että Itävallan oikeuden mukaan sen on pantava viimeksi mainittu ratkaisu täytäntöön, mikä edellyttää niiden konkreettisten toimien määrittämistä, jotka D &B:n on sen nojalla toteutettava.

24

Koska ennakkoratkaisua pyytänyt tuomioistuin katsoi, että tämän määrityksen saattoi tehdä vain asiantuntija, jolla on vaadittu pätevyys, se nimesi asiantuntijan, joka totesi, että D &B:n oli toimitettava CK:ta koskevien velvoitteidensa täyttämiseksi seuraavat vähimmäistiedot:

25

Sen varmistamiseksi, että CK voi tarkistaa näiden vähimmäistietojen paikkansapitävyyden niiden ilmoittamisen jälkeen, D & B:n olisi myös toimitettava luettelo henkilöiden pistemääristä (pisteytys), jotka on saatu ajanjaksolta, joka kattaa kuusi kuukautta ennen CK:n pistemäärän vahvistamista ja kuusi kuukautta sen jälkeen ja joihin on päädytty saman laskentasäännön perusteella.

26

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan ainoastaan kyseisen asiantuntijan yksilöimien vähimmäistietojen toimittaminen mahdollistaa rekisterinpitäjän yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan nojalla toimittamien tietojen johdonmukaisuuden ja paikkansapitävyyden tarkistamisen.

27

Nyt käsiteltävässä asiassa useat seikat osoittavat selvästi, että D & B:n toimittamat tiedot ovat ristiriidassa tosiseikkojen kanssa. Vaikka CK:lle toimitetut tiedot, joihin kuului muun muassa saatu pistemäärä, näyttivät, että CK:n luottokelpoisuus oli erittäin hyvä, tosiasiallisen profiloinnin perusteella voitiin katsoa, ettei CK ollut maksukykyinen, mukaan lukien 10 euron suuruisen summan maksaminen kuukaudessa matkapuhelinsopimuksen perusteella.

28

Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että näin ollen herää kysymys siitä, taataanko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa rekisteröidylle mahdollisuus tarkistaa rekisterinpitäjän toimittamien tietojen paikkansapitävyys.

29

Siinä tapauksessa, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa ei taata tätä tarkistamista, oikeus saada tutustua rekisteröidyn henkilötietoihin ja muihin siinä säädettyihin tietoihin menettää merkityksensä ja tekee siitä tarpeettoman, varsinkin kun jokainen rekisterinpitäjä voisi tässä tapauksessa antaa virheellisiä tietoja.

30

Esiin nousee myös kysymys siitä, onko – ja jos on, niin missä määrin – liikesalaisuuden olemassaoloa koskeva poikkeus omiaan rajoittamaan tätä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa, luettuna yhdessä sen 22 artiklan kanssa, taattua oikeutta saada pääsy tietoihin.

31

Direktiivin 2016/943 9 artiklassa säädettyjen sääntöjen valossa on arvioitava, onko mahdollista toimittaa ainoastaan asiaa käsittelevälle viranomaiselle tai tuomioistuimelle tiedot, jotka on luokiteltu kyseisen direktiivin 2 artiklan 1 alakohdassa tarkoitetuiksi liikesalaisuuksiksi, jotta tämä viranomainen tai tuomioistuin voi itsenäisesti tarkistaa, onko katsottava, että tällainen liikesalaisuus tosiasiallisesti on olemassa, ja vastaavatko nämä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut rekisterinpitäjän toimittamat tiedot kyseessä olevaa tosiasiallista tilannetta.

32

Lopuksi on tutkittava, voidaanko katsoa, että tietosuojalain 4 §:n 6 momentin kaltainen säännös, jossa suljetaan lähtökohtaisesti pois yleisen tietosuoja-asetuksen 15 artiklassa säädetty rekisteröidyn oikeus saada tutustua tietoihin, jos näihin tietoihin tutustuminen vaarantaisi rekisterinpitäjän tai kolmannen osapuolen liikesalaisuuden tai yrityssalaisuuden, on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan ja 22 artiklan 3 kohdan säännösten mukainen.

33

Näissä olosuhteissa Verwaltungsgericht Wien on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

34

Unionin tuomioistuimen presidentti lykkäsi 8.12.2022 tekemällään päätöksellä tämän asian käsittelyä, kunnes asiassa C‑634/21, SCHUFA Holding ym. (Pisteytys) annetaan lopullinen ratkaisu.

35

Unionin tuomioistuimen presidentin 13.12.2023 tekemän päätöksen mukaisesti unionin tuomioistuimen kirjaamo antoi 7.12.2023 annetun tuomion SCHUFA Holding ym. (Pisteytys) (C‑634/21, EU:C:2023:957) tiedoksi ennakkoratkaisua pyytäneelle tuomioistuimelle ja kehotti tätä ilmoittamaan, halusiko se pysyttää ennakkoratkaisupyyntönsä, kun otettiin huomioon kyseinen tuomio.

36

Kyseinen tuomioistuin ilmoitti unionin tuomioistuimen kirjaamoon 29.1.2024 saapuneessa kirjeessä pysyttävänsä ennakkoratkaisupyyntönsä, koska 7.12.2023 annetun tuomion SCHUFA Holding ym. (Pisteytys) (C‑634/21, EU:C:2023:957) perusteella ei voitu vastata sen nyt käsiteltävässä asiassa esittämiin kysymyksiin.

37

Näin ollen unionin tuomioistuimen presidentti määräsi 14.2.2024 tekemällään päätöksellä, että nyt käsiteltävän asian käsittelyä jatketaan.

38

Ensimmäisellä ja toisella kysymyksellään sekä kolmannen kysymyksen a kohdalla, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohtaa tulkittava siten, että kun on kyse automaattisesta päätöksenteosta, mukaan lukien kyseisen asetuksen 22 artiklan 1 kohdassa tarkoitettu profilointi, rekisteröity voi vaatia rekisterinpitäjältä, että tämä selittää ”merkityksellisinä tietoina käsittelyyn liittyvästä logiikasta” tyhjentävästi menettelyn ja periaatteet, joita tosiasiallisesti sovelletaan kyseisen henkilön henkilötietojen hyödyntämiseen automaattisesti tietyn tuloksen, kuten luottokelpoisuusprofiilin, saavuttamiseksi kyseisten henkilötietojen perusteella.

39

Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin oikeuden määräyksen tai säännöksen tulkitsemiseksi on otettava huomioon sen sanamuodon lisäksi sen asiayhteys sekä sillä säännöstöllä tavoitellut päämäärät, jonka osa se on (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 19 kohta oikeuskäytäntöviittauksineen).

40

Ensinnäkin yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan sanamuodosta on todettava yhtäältä, että kyseisessä säännöksessä tarkoitetun merkityksellisten tietojen käsitteen merkitykset sen eri kieliversioissa eroavat toisistaan, koska tietyt asettavat ranskankielisen version tavoin etusijalle toiminnallisuuden (hollanninkielinen ”nuttige”, portugalinkielinen ”úteis”) tai tietojen asiaankuuluvuuden (romaniankielinen ”pertinente”), kun taas toiset korostavat enemmän tietojen tärkeyttä (espanjankielinen ”significativa” puolankielinen ”istotne”). Lopuksi on todettava, että sekä kyseisen säännöksen saksan- että englanninkielisessä versiossa käytetty ilmaisu (”aussagekräftig” ja ”meaningful”) voidaan ymmärtää niin, että sillä viitataan sekä mainittujen tietojen ymmärrettävyyteen että niiden tiettyyn laatuun.

41

Eri kieliversioiden erilaiset merkitykset on ymmärrettävä siten, että edellisessä kohdassa esitetyt merkitykset täydentävät toisiaan, mikä on otettava huomioon tulkittaessa yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa tarkoitettua käsitettä ”merkitykselliset tiedot käsittelyyn liittyvästä logiikasta”, kuten julkisasiamies on todennut ratkaisuehdotuksensa 65 kohdassa.

42

Toisaalta on niin, että kun otetaan huomioon kyseisen säännöksen yleinen sanamuoto, siinä oleva viittaus automaattisen päätöksenteon taustalla olevaan logiikkaan, joka on mainittujen merkityksellisten tietojen kohteena, voi kattaa laajan valikoiman henkilötietojen ja muiden tietojen hyödyntämisessä käytettävää logiikkaa tietyn tuloksen saavuttamiseksi kyseisten tietojen perusteella automatisoidusti. Tätä tulkintaa tukevat tietyt mainitun säännöksen kieliversiot, joissa käytetään ilmaisuja, joilla tarkoitetaan toisiaan täydentävästi logiikan käsitteen yleisen merkityksen eri näkökohtia. Niinpä esimerkiksi tšekin- ja puolankielisissä versioissa viitataan ilmaisuihin ”postupu” ja ”zasady”, jotka voidaan kääntää termeiksi ”menettely” ja ”periaatteet”.

43

On siis katsottava, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan sanamuoto viittaa kaikkiin asiaankuuluviin tietoihin, jotka liittyvät menettelyyn ja periaatteisiin, jotka koskevat henkilötietojen hyödyntämistä automaattisesti tietyn tuloksen aikaansaamiseksi kyseisten henkilötietojen perusteella.

44

Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa olevan käsitteen ”merkitykselliset tiedot käsittelyyn liittyvästä logiikasta” asiayhteydestä on korostettava ensinnäkin, että nämä tiedot ovat vain osa niistä tiedoista, joita kyseisessä artiklassa säädetty tietoihin pääsyä koskeva oikeus koskee, sillä se koskee myös tietoja, jotka koskevat kyseessä olevan käsittelyn merkittävyyttä ja mahdollisia seurauksia rekisteröidylle.

45

Vaikka ennakkoratkaisua pyytäneen tuomioistuimen esittämät kysymykset eivät koske viimeksi mainittuja tietoja, joihin direktiivin 95/46 29 artiklalla perustetun työryhmän automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöönpanemiseksi 3.10.2017 antamien suuntaviivojen, sellaisina kuin ne ovat tarkistettuina ja hyväksyttyinä 6.2.2018, mukaan olisi liitettävä ”todellisia konkreettisia esimerkkejä”, jotta ne olisivat hyödyllisiä ja ymmärrettäviä, ne on kuitenkin otettava huomioon osana asiayhteyttä, johon käsittelyyn liittyvää logiikkaa koskevien merkityksellisten tietojen käsite kuuluu.

46

Toiseksi unionin tuomioistuin on jo todennut siitä, että käsite ”merkitykselliset tiedot käsittelyyn liittyvästä logiikasta” sisältyy myös yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohtaan ja 14 artiklan 2 kohdan g alakohtaan, että kun kyse on mainitun asetuksen 22 artiklan 1 kohdassa tarkoitetusta automaattisesta päätöksenteosta, kyseisen asetuksen 15 artiklan 1 kohdan h alakohdassa vahvistettu oikeus saada tutustua tällaisiin tietoihin muodostaa kokonaisuuden rekisterinpitäjällä tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdan ja 14 artiklan 2 kohdan g alakohdan nojalla olevien, tietojen toimittamista koskevien lisävelvollisuuksien kanssa (ks. vastaavasti tuomio 7.12.2023, SCHUFA Holding ym. (Pisteytys), C‑634/21, EU:C:2023:957, 56 kohta).

47

Kolmanneksi, kuten julkisasiamies on todennut ratkaisuehdotuksensa 58–60 kohdassa, automaattisen päätöksenteon tapauksessa säädettyjen tietoihin pääsyä koskevien oikeuksien asiayhteyteen perustuvassa tulkinnassa on otettava huomioon unionin tuomioistuimen oikeuskäytäntö, joka koskee vaatimuksia, joita rekisterinpitäjän on noudatettava yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan nojalla.

48

On siis otettava huomioon muun muassa se, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa säädettyä toimitettujen tietojen läpinäkyvyyttä koskevaa vaatimusta sovelletaan kaikkiin mainitussa 15 artiklassa tarkoitettuihin tietoihin, automaattiseen päätöksentekoon liittyvät tiedot mukaan lukien.

49

Sen varmistamiseksi, että rekisteröity kykenee ymmärtämään täysimääräisesti rekisterinpitäjän hänelle toimittamat tiedot, 12 artiklan 1 kohdassa säädetään, että rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet muun muassa toimittaakseen rekisteröidylle nämä tiedot tiiviisti esitetyssä, läpinäkyvässä sekä ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 38 kohta).

50

Sen asiayhteyden tarkastelu, johon yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohta kuuluu, tukee siten kyseisen säännöksen sanamuodon tarkastelusta ilmenevää tulkintaa, jonka mukaan tässä säännöksessä tarkoitetuilla merkityksellisillä tiedoilla automaattiseen päätöksentekoon liittyvästä logiikasta tarkoitetaan kaikkia asiaankuuluvia tietoja, jotka koskevat menettelyä ja periaatteita, jotka koskevat henkilötietojen hyödyntämistä tietyn tuloksen saavuttamiseksi automatisoidusti kyseisten henkilötietojen perusteella, ja avoimuusvelvoite edellyttää lisäksi, että tiedot toimitetaan tiiviisti esitetyssä, läpinäkyvässä sekä ymmärrettävässä ja helposti saatavilla olevassa muodossa.

51

Lopuksi yleisen tietosuoja-asetuksen tavoitteista on huomautettava, että kyseisen asetuksen tavoitteena on muun muassa taata luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien ja erityisesti heidän henkilötietojensa suojaa koskevan oikeutensa korkeatasoinen suoja; tämä oikeus on vahvistettu SEUT 16 artiklassa ja taattu perusoikeutena perusoikeuskirjan 8 artiklassa, ja se täydentää perusoikeuskirjan 7 artiklassa taattua oikeutta yksityiselämän kunnioitukseen (ks. vastaavasti tuomio 4.10.2024, Schrems (Tietojen luovuttaminen suurelle yleisölle), C‑446/21, EU:C:2024:834, 45 kohta oikeuskäytäntöviittauksineen).

52

Kuten yleisen tietosuoja-asetuksen johdanto-osan 11 perustelukappaleessa täsmennetään, kyseisen asetuksen tarkoituksena on siis vahvistaa ja täsmentää rekisteröityjen oikeuksia (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 33 kohta oikeuskäytäntöviittauksineen).

53

Erityisesti yleisen tietosuoja-asetuksen 15 artiklassa säädetystä oikeudesta saada tutustua tietoihin on todettava, että unionin tuomioistuimen oikeuskäytännöstä ilmenee, että tämän oikeuden on mahdollistettava se, että rekisteröity voi varmistua henkilötietojensa paikkansapitävyydestä ja siitä, että niitä käsitellään lainmukaisesti (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 34 kohta ja tuomio 26.10.2023, FT (Jäljennökset potilasasiakirjoista), C‑307/22, EU:C:2023:811, 73 kohta).

54

Tämä oikeus saada tutustua tietoihin on tarpeen, jotta rekisteröity voi tarvittaessa käyttää hänelle yleisen tietosuoja-asetuksen 16, 17 ja 18 artiklalla annettuja oikeuksia tietojen oikaisemiseen, tietojen poistamiseen (”oikeus tulla unohdetuksi”) ja käsittelyn rajoittamiseen, yleisen tietosuoja-asetuksen 21 artiklassa säädettyä henkilötietojen käsittelyn vastustamista koskevaa oikeuttaan sekä kyseisen asetuksen 79 artiklassa säädettyä oikeutta oikeussuojakeinoihin ja 82 artiklassa säädettyä oikeutta vahingonkorvaukseen (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 35 kohta).

55

Erityisesti siinä erityisessä asiayhteydessä, jossa tehdään päätös, joka perustuu yksinomaan automaattiseen käsittelyyn, rekisteröidyn yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa säädettyjen tietojen saamista koskevan oikeuden pääasiallisena tarkoituksena on antaa rekisteröidylle mahdollisuus käyttää tehokkaasti hänelle kyseisen asetuksen 22 artiklan 3 kohdassa tunnustettuja oikeuksia eli oikeutta ilmaista kantansa kyseisestä päätöksestä ja oikeutta riitauttaa se.

56

On nimittäin niin, että jos henkilöt, joita automatisoitu päätös, profilointi mukaan lukien, koskee, eivät voisi ymmärtää syitä, jotka johtivat kyseiseen päätökseen, ennen kuin he ilmaisevat kantansa tai riitauttavat päätöksen, nämä oikeudet eivät voi täysin täyttää tavoitettaan, joka on näiden henkilöiden suojaaminen niitä erityisiä vaaroja vastaan, joita heidän henkilötietojensa automatisoitu käsittely aiheuttaa heidän oikeuksilleen ja vapauksilleen (ks. vastaavasti tuomio 7.12.2023, SCHUFA Holding ym. (Pisteytys), C‑634/21, EU:C:2023:957, 57 kohta).

57

Tältä osin yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleesta ilmenee, että jos rekisteröityä koskee päätös, joka tehdään yksinomaan automaattisen tietojenkäsittelyn perusteella ja joka vaikuttaa häneen merkittävällä tavalla, rekisteröidyllä on oltava oikeus saada selitys tästä päätöksestä. Kuten julkisasiamies on todennut ratkaisuehdotuksensa 67 kohdassa, on siis katsottava, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa tarjotaan rekisteröidylle todellinen oikeus saada selitys häneen kohdennetun automaattisen päätöksenteon taustalla toimivan mekanismin toiminnasta ja tuloksesta, johon kyseinen päätös on johtanut.

58

Yleisen tietosuoja-asetuksen ja erityisesti sen 15 artiklan 1 kohdan h alakohdan tarkoitusten tarkastelusta ilmenee, että tässä säännöksessä tarkoitettu oikeus saada merkityksellisiä tietoja automaattiseen päätöksentekoon liittyvästä logiikasta on ymmärrettävä oikeudeksi saada selitys menettelystä ja periaatteista, joita tosiasiallisesti sovelletaan rekisteröidyn henkilötietojen hyödyntämiseen automatisoidusti tietyn tuloksen, kuten luottokelpoisuusprofiilin, saavuttamiseksi kyseisten henkilötietojen perusteella. Jotta rekisteröity voisi käyttää tehokkaasti yleisessä tietosuoja-asetuksessa ja erityisesti sen 22 artiklan 3 kohdassa hänelle annettuja oikeuksia, tämä selitys on annettava asiaankuuluvien tietojen avulla tiiviisti esitetyssä, läpinäkyvässä sekä ymmärrettävässä ja helposti saatavilla olevassa muodossa.

59

Näitä vaatimuksia ei voida täyttää pelkästään algoritmin kaltaisen monimutkaisen matemaattisen kaavan ilmoittamisella eikä automaattisen päätöksenteon kaikkien vaiheiden yksityiskohtaisella kuvauksella, koska kumpikaan näistä ei ole riittävän tiivis ja ymmärrettävä selitys.

60

Kuten tämän tuomion 45 kohdassa mainittujen automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöönpanemiseksi annettujen suuntaviivojen [suomenkielisen version sivulta 27] ilmenee, yhtäältä rekisterinpitäjän olisi löydettävä yksinkertaisia tapoja kertoa rekisteröidylle päätöksen taustalla olevista syistä tai sen tekemisessä käytetyistä perusteista. Toisaalta yleisessä tietosuoja-asetuksessa edellytetään rekisterinpitäjän toimittavan merkityksellisiä tietoja käsittelyyn liittyvästä logiikasta ”mutta monimutkaista selitystä siinä käytettävistä algoritmeista tai koko algoritmin paljastamista ei välttämättä edellytetä”.

61

Näin ollen yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa tarkoitetuissa merkityksellisissä tiedoissa automaattiseen päätöksentekoon liittyvästä logiikasta on kuvattava menettely ja periaatteet, joita tosiasiallisesti sovelletaan, siten, että rekisteröity voi ymmärtää, mitä hänen henkilötietojaan on käytetty ja millä tavoin kyseessä olevassa automaattisessa päätöksenteossa, eikä automaattisen päätöksenteon yhteydessä toteutettavien toimien monimutkaisuus voi vapauttaa rekisterinpitäjää selitysvelvollisuudesta.

62

Ennakkoratkaisua pyytänyt tuomioistuin voisi erityisesti pääasiassa kyseessä olevan kaltaisen profiloinnin osalta katsoa riittävän läpinäkyväksi ja ymmärrettäväksi muun muassa sen, että rekisteröidylle ilmoitetaan, missä määrin huomioon otettujen henkilötietojen muuttuminen olisi johtanut erilaiseen lopputulokseen.

63

On kuitenkin vielä täsmennettävä, että siltä osin kuin on kyse siitä, onko rekisteröidyn voitava toimitettujen tietojen perusteella tarkistaa häntä koskevien henkilötietojen, joihin automaattinen päätöksenteko perustuu, paikkansapitävyys, oikeus saada tutustua kyseisiin tietoihin ei kuulu yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan vaan saman kohdan johdantolauseen, jossa taataan rekisteröidylle mahdollisuus varmistua näiden tietojen paikkansapitävyydestä, soveltamisalaan, kuten tämän tuomion 53 kohdassa mainitusta oikeuskäytännöstä ilmenee.

64

Lopuksi ennakkoratkaisua pyytäneen tuomioistuimen toteamuksesta, jonka mukaan D & B:n CK:lle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan nojalla toimittamat tiedot ovat ristiriidassa tosiseikkojen kanssa, koska ”tosiasiallinen” profilointi johti siihen, ettei CK:n katsottu olevan maksukykyinen, vaikka kyseiset tiedot antoivat ymmärtää päinvastaista, on todettava, että jos kyseisen tuomioistuimen mukaan näin todettu ristiriita johtuu siitä, ettei D & B ilmoittanut CK:lle matkapuhelinyrityksen lukuun toteutetusta häntä koskevasta profiloinnista, jonka perusteella tämä yritys on kieltäytynyt tekemästä tai uusimasta sopimusta CK:n kanssa, tämä olisi korjattava oikeudella saada tutustua näin vahvistettuun luottokelpoisuusprofiiliin. Tältä osin unionin tuomioistuimen oikeuskäytännöstä ilmenee, että rekisterinpitäjän itsensä tuottamat henkilötiedot kuuluvat yleisen tietosuoja-asetuksen 14 artiklan soveltamisalaan (ks. vastaavasti tuomio 28.11.2024, Másdi, C‑169/23, EU:C:2024:988, 48 kohta).

65

Sitä vastoin tällaisen tosiasiallisen profiloinnin tuloksen, jos se oletetaan toteen näytetyksi, ja D & B:n CK:lle ilmoittaman tuloksen, joka tämän yhtiön mukaan on saatu CK:ta koskevien tietojen ”vastaavalla painotuksella”, välisten erojen selitys olisi hyvinkin merkityksellinen tieto näin tehtyyn profilointiin liittyvästä logiikasta. Kuten tämän tuomion 58 kohdassa on todettu, D & B:n on siis selitettävä tiiviisti, läpinäkyvästi sekä ymmärrettävässä ja helposti saatavilla olevassa muodossa menettely ja periaatteet, joiden mukaisesti tosiasiallisen profiloinnin tulos on saavutettu.

66

Kaikesta edellä esitetystä seuraa, että ensimmäiseen ja toiseen kysymykseen sekä kolmannen kysymyksen a kohtaan on vastattava, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohtaa on tulkittava siten, että kun on kyse automaattisesta päätöksenteosta, mukaan lukien kyseisen asetuksen 22 artiklan 1 kohdassa tarkoitettu profilointi, rekisteröity voi vaatia rekisterinpitäjältä, että tämä selittää sille ”merkityksellisinä tietoina käsittelyyn liittyvästä logiikasta” asiaankuuluvien tietojen avulla ja tiiviisti esitetyssä, läpinäkyvässä sekä ymmärrettävässä ja helposti saatavilla olevassa muodossa menettelyn ja periaatteet, joita tosiasiallisesti sovelletaan kyseisen henkilön henkilötietojen hyödyntämiseen automatisoidusti tietyn tuloksen, kuten luottokelpoisuusprofiilin, saavuttamiseksi kyseisten henkilötietojen perusteella.

67

Kolmannen kysymyksen b ja c kohdalla, neljännen kysymyksen a ja b kohdalla sekä viidennellä ja kuudennella kysymyksellä, jotka on tutkittava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohtaa tulkittava siten, että jos rekisterinpitäjä katsoo, että rekisteröidylle tämän säännöksen mukaisesti toimitettavat tiedot sisältävät kyseisellä asetuksella suojattuja kolmansien osapuolten tietoja tai direktiivin 2016/943 2 artiklan 1 alakohdassa tarkoitettuja liikesalaisuuksia, kyseisen rekisterinpitäjän on toimitettava nämä väitetysti suojatut tiedot toimivaltaiselle valvontaviranomaiselle tai tuomioistuimelle, jonka on punnittava kyseessä olevia oikeuksia ja etuja yleisen tietosuoja-asetuksen 15 artiklassa säädetyn rekisteröidyllä olevan tietoihin pääsyä koskevan oikeuden laajuuden määrittämiseksi.

68

Tässä yhteydessä on syytä todeta, että yleisen tietosuoja-asetuksen johdanto-osan neljännen perustelukappaleen mukaan oikeus henkilötietojen suojaan ei ole absoluuttinen ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Näin ollen yleisessä tietosuoja-asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet, jotka on vahvistettu perussopimuksissa (tuomio 26.10.2023, FT (Jäljennökset potilasasiakirjoista), C‑307/22, EU:C:2023:811, 59 kohta oikeuskäytäntöviittauksineen).

69

Lisäksi kyseisen asetuksen johdanto-osan 63 perustelukappaleessa todetaan, että rekisteröidyn oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet.

70

Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Niinpä yleisen tietosuoja- asetuksen 23 artiklan 1 kohdan i alakohdassa säädetään, että muun muassa kyseisen asetuksen 15 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa voidaan rajoittaa vain, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata muille kuuluvien oikeuksien ja vapauksien suojelu.

71

Unionin tuomioistuin on jo todennut yleisen tietosuoja-asetuksen 15 artiklan 4 kohdassa vahvistetusta lähioikeudesta saada jäljennös, että sen soveltamisen ei pitäisi vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin, mukaan lukien liikesalaisuudet tai teollis- ja tekijänoikeudet ja erityisesti ohjelmistoja suojaavat tekijänoikeudet (ks. vastaavasti tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 43 kohta).

72

Tässä yhteydessä unionin tuomioistuin on katsonut, että mikäli yhtäältä henkilötietoihin tutustumista koskevan täyden ja kattavan oikeuden käyttäminen ja toisaalta muiden oikeudet ja vapaudet ovat ristiriidassa keskenään, kyseisiä oikeuksia on punnittava keskenään. Jos mahdollista, on valittava sellaiset henkilötietojen toimittamistavat, joilla ei vaikuteta haitallisesti muiden oikeuksiin tai vapauksiin, samalla kun huomioidaan, että – kuten yleisen tietosuoja-asetuksen johdanto-osan 63 perustelukappaleesta ilmenee – tällaiset seikat eivät saa ”johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa” (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 44 kohta).

73

Siitä, miten yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa vahvistettu oikeus saada pääsy tietoihin voidaan panna täytäntöön siten, että kunnioitetaan muiden oikeuksia ja vapauksia, on muistutettava, että oikeuskäytännön mukaan kansallinen tuomioistuin voi katsoa, että asianosaisten tai kolmansien henkilöiden henkilötiedot on toimitettava tuomioistuimelle, jotta tämä voi kaikista asiaan vaikuttavista seikoista tietoisena ja suhteellisuusperiaatetta noudattaen punnita kyseessä olevia intressejä. Tämä arviointi voi tapauksesta riippuen johtaa siihen, että tuomioistuin sallii sille näin toimitettujen henkilötietojen ilmaisemisen vastapuolelle kokonaan tai osittain, jos se katsoo, että niiden ilmaisemisella ei ylitetä sitä, mikä on tarpeen niiden oikeuksien tehokkaan hyödyntämisen varmistamiseksi, joita yksityisillä on perusoikeuskirjan 47 artiklan nojalla (tuomio 2.3.2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, 58 kohta).

74

Kuten julkisasiamies on todennut ratkaisuehdotuksensa 94 kohdassa, tätä oikeuskäytäntöä voidaan soveltaa täysimääräisesti tilanteeseen, jossa rekisteröidylle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa taatun tietoihin pääsyä koskevan oikeuden nojalla toimitettavat tiedot voivat loukata muille kuuluvia oikeuksia ja vapauksia erityisesti, koska niihin sisältyy kyseisellä asetuksella suojattuja kolmansien osapuolten henkilötietoja tai direktiivin 2016/943 2 artiklan 1 alakohdassa tarkoitettu liikesalaisuus. Myös tässä tapauksessa kyseiset tiedot on toimitettava toimivaltaiselle valvontaviranomaiselle tai tuomioistuimelle, jonka on punnittava kyseessä olevia oikeuksia ja intressejä sen määrittämiseksi, kuinka laaja rekisteröidyn oikeus saada tutustua itseään koskeviin henkilötietoihin on.

75

Kun otetaan huomioon tällaisen tapauskohtaisen määrittämisen tarve, yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohta on esteenä muun muassa sille, että sovelletaan tietosuojalain 4 §:n 6 momentin kaltaista säännöstä, jossa suljetaan lähtökohtaisesti pois yleisen tietosuoja-asetuksen 15 artiklassa säädetty rekisteröidyn oikeus saada tutustua tietoihin, jos näihin tietoihin tutustuminen vaarantaisi rekisterinpitäjän tai kolmannen osapuolen liikesalaisuuden tai yrityssalaisuuden. Tältä osin on huomautettava, että jäsenvaltio ei voi vahvistaa lopullisesti, mikä unionin oikeudessa edellytetyn vastakkaisten oikeuksien ja intressien punnitsemisen tulos on (ks. vastaavasti tuomio 7.12.2023, SCHUFA Holding ym. (Pisteytys), C‑634/21, EU:C:2023:957, 70 kohta oikeuskäytäntöviittauksineen).

76

Kaiken edellä esitetyn perusteella kolmannen kysymyksen b ja c kohtaan, neljännen kysymyksen a ja b kohtaan sekä viidenteen ja kuudenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohtaa on tulkittava siten, että jos rekisterinpitäjä katsoo, että rekisteröidylle tämän säännöksen mukaisesti toimitettavat tiedot sisältävät kyseisellä asetuksella suojattuja kolmansien osapuolten tietoja tai direktiivin 2016/943 2 artiklan 1 alakohdassa tarkoitettuja liikesalaisuuksia, kyseisen rekisterinpitäjän on toimitettava nämä väitetysti suojatut tiedot toimivaltaiselle valvontaviranomaiselle tai tuomioistuimelle, jonka on punnittava kyseessä olevia oikeuksia ja etuja mainitun asetuksen 15 artiklassa säädetyn rekisteröidyllä olevan tietoihin pääsyä koskevan oikeuden laajuuden määrittämiseksi.

77

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (ensimmäinen jaosto) on ratkaissut asian seuraavasti: