JULKISASIAMIEHEN RATKAISUEHDOTUS

MACIEJ SZPUNAR

4 päivänä maaliskuuta 2020 ( 1 )

Asia C‑61/19

Orange România SA

vastaan

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

(Ennakkoratkaisupyyntö – Tribunalul Bucureşti (Bukarestin alueellinen tuomioistuin, Romania))

Ennakkoratkaisupyyntö – Direktiivi 95/46/EY – Asetus (EU) 2016/679 – Henkilöiden suojelu henkilötietojen käsittelyssä sekä näiden tietojen vapaa liikkuvuus – Matkaviestinpalvelut – Rekisteröidyn suostumuksen käsite – Yksilöity ja tietoinen tahdonilmaisu – Suostumuksen ilmaiseminen merkitsemällä rasti ruutuun – Todistustaakka

1. 

Tribunalul Bucureştin (Bukarestin alueellinen tuomioistuin, Romania) esittämän ennakkoratkaisupyynnön taustalla on matkaviestinpalvelujen tarjoajan ja kansallisen tietosuojaviranomaisen välinen oikeusriita, joka koskee sitä, mitä velvoitteita ensin mainitulle asetetaan asiakkaan kanssa käytävissä sopimusneuvotteluissa siltä osin kuin on kyse henkilöllisyystodistuksen kopioimisesta ja kopion säilyttämisestä.

2. 

Ennakkoratkaisupyyntö tarjoaa unionin tuomioistuimelle tilaisuuden selventää rekisteröidyn ”suostumuksen” käsitettä keskeisenä osana unionin tietosuojalainsäädäntöä, jonka taustalla on viime kädessä perusoikeus tietosuojaan. Tässä yhteydessä unionin tuomioistuimen pitäisi myös ratkaista, kenelle kuuluu todistustaakka siitä, onko rekisteröity antanut suostumuksensa.

Asiaa koskevat oikeussäännöt

Unionin oikeus

Direktiivi 95/46/EY

3.

Direktiivin 95/46/EY ( 2 ) 2 artiklan h alakohdan mukaan ”rekisteröidyn suostumuksella” tarkoitetaan tässä direktiivissä ”kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn”.

4.

Direktiivin II luvussa vahvistetaan yleiset säännöt henkilötietojen käsittelyn laillisuudesta.

5.

Saman direktiivin 6 artiklassa, joka käsittelee ”tietojen laatua koskevia periaatteita”, ( 3 ) säädetään seuraavaa:

”1.   Jäsenvaltioiden on säädettävä siitä, että

a)

henkilötietoja käsitellään asianmukaisesti ja laillisesti,

b)

henkilötiedot kerätään tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myöhempää käsittelyä historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten ei pidetä yhteensopimattomana, sillä edellytyksellä, että jäsenvaltiot toteuttavat tarpeelliset suojatoimet,

(c)

henkilötiedot ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään,

– –

2.   Rekisterinpitäjän on huolehdittava 1 kohdan noudattamisesta.”

6.

Direktiivin 95/46 7 artikla käsittelee ”tietojenkäsittelyn laillisuutta koskevia periaatteita”. ( 4 ) Tämän säännöksen mukaan ”jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,

a)

jos rekisteröity on yksiselitteisesti antanut suostumuksensa tai

b)

jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä, tai

– –”

Asetus (EU) 2016/679

7.

Asetuksen (EU) 2016/679 ( 5 ) 4 artiklan 11 alakohdan mukaan ”suostumuksella” tarkoitetaan tässä asetuksessa ”mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”.

8.

Kyseisen asetuksen 6 artiklan 1 kohdan a ja b alakohdassa säädetään seuraavaa:

”Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)

rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b)

käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä”.

9.

Saman asetuksen 7 artiklan 1 kohdassa säädetään, että ”jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn”.

Romanian lainsäädäntö

10.

Henkilöiden suojasta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetussa laissa nro 677/2001 (legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, jäljempänä laki nro 677/2001) ( 6 ) säädetään direktiivin 95/46 säännösten saattamisesta osaksi kansallista lainsäädäntöä.

11.

Lain nro 677/2011 32 §:ssä säädetään seuraavaa:

”Henkilötietojen käsitteleminen rekisterinpitäjän toimesta tai tämän toimeksiannosta jonkun muun toimesta 4–10 §:n säännösten vastaisesti tai siten, että 12–15 §:ssä tai 17 §:ssä säädettyjä oikeuksia ei oteta huomioon, merkitsee hallinnollista rikkomusta, jos sitä ei ole toteutettu sellaisissa olosuhteissa, että on katsottava sen olevan rikos, ja siitä määrätään seuraamukseksi 10000000 Romanian vanhan lein [1000 Romanian lein (RON)] – 250000000 vanhan Romanian lein [25000 RON] suuruinen sakko.”

Tosiseikat, menettely ja ennakkoratkaisukysymykset

12.

Orange România SA on Romanian markkinoilla toimiva matkaviestinpalvelujen tarjoaja, joka tarjoaa näitä palveluja sekä PrePay-järjestelmällä ( 7 ) että tekemällä palvelusopimuksia. ( 8 )

13.

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (henkilötietojen käsittelyä valvova kansallinen viranomainen, Romania; jäljempänä ANSPDCP) laati 28.3.2018 tarkastuspöytäkirjan, jossa Orange Românialle määrättiin lain nro 677/2001 32 §:n perusteella, luettuna yhdessä saman lain 8 §:n kanssa, hallinnollinen seuraamus siitä syystä, että sen asiakkaiden henkilöllisyystodistuksia oli kopioitu ja niiden kopioita oli säilytetty ilman heidän nimenomaista suostumustaan.

14.

ANSPDCP totesi, että Orange Românian toimipaikassa oli tehty asiakkaiden kanssa paperilomakkeelle sopimuksia matkaviestinpalvelujen tarjoamisesta ja että näihin sopimuksiin oli liitetty kopiot asiakkaiden henkilöllisyystodistuksista. Sopimuksissa mainittiin muun muassa, että asiakkaille oli ilmoitettu, että Orange România kerää ja säilyttää nämä kopiot, ja että asiakkaat olivat antaneet siihen suostumuksensa merkitsemällä rastin sopimusasiakirjassa olevaan ruutuun.

15.

Sopimuksen kyseisessä kohdassa mainittiin seuraavaa:

”Asiakas ilmoittaa, että

(i)

hänelle on ilmoitettu ennen sopimuksen tekemistä valitusta tariffitasosta, sovellettavista tariffeista, sopimuksen vähimmäiskestosta, sopimuksen päättämisen ehdoista ja palvelujen käyttöönoton ja käytön ehdoista, mukaan lukien palvelujen kattama alue, ANCOMin päätöksen nro 158/2015 (Decizia ANCOM nr. 158/2015) 11 §:n ja asetuksen nro 34/2014 (O.U.G. [nr.] 34/2014) säännösten mukaisesti, sekä yksipuolisesta purkamisoikeudesta, jota voidaan käyttää yleisten sopimusehtojen 1.17 kohdan mukaisesti;

(ii)

Orange România on antanut asiakkaan käyttöön kaikki tarvittavat tiedot, jotta hän voisi antaa suostumuksensa sopimuksen tekemiseen ja nimenomaiseen hyväksymiseen virheettömästi, nimenomaisesti, vapaaehtoisesti ja yksilöidysti, mukaan lukien kaikki sopimusasiakirjat, yleiset sopimusehdot sekä tariffi- ja palvelutiedot sisältävän esitteen;

(iii)

hänelle on annettu seuraavat tiedot ja hän on ilmaissut niihin suostumuksensa:

henkilötietojen käsittely yleisten sopimusehtojen 1.15 kohdassa mainittuihin tarkoituksiin;

se, että [Orange România] säilyttää hänen tunnistamisekseen tarvittavat henkilötiedot sisältävien asiakirjojen kopiot;

suostumus henkilötietojen (puhelinnumero, sähköpostiosoite) käsittelyyn suoramarkkinointitarkoituksia varten;

suostumus henkilötietojen (puhelinnumero, sähköpostiosoite) käsittelyyn markkinatutkimuksia varten;

se, että rekisteröity on lukenut ja antanut nimenomaisen suostumuksensa siihen, että hänen terveydentilaansa liittyviä henkilötietoja sisältävien asiakirjojen kopiot säilytetään;

se, että yleisten sopimusehtojen 1.15 kohdan 10 alakohdassa mainitut tiedot eivät sisälly tietopalveluihin, jotka liittyvät tilaajiin ja tilaajarekistereihin.”

16.

ANSPDCP:n mukaan Orange România ei ole osoittanut, että asiakkaat ovat tietoisesti suostuneet henkilöllisyystodistustensa kopioiden keruuseen ja säilyttämiseen.

17.

Orange România nosti 28.3.2018 määrätystä sakosta kanteen ennakkoratkaisua pyytäneessä tuomioistuimessa.

18.

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan on olemassa sekä sopimuksia, joissa merkitään rasti asianomaiseen ruutuun sen ilmaisemiseksi, että asiakas on vapaaehtoisesti valinnut sen, että hänen henkilöllisyystodistuksensa kopio säilytetään, että päinvastaisia tapauksia, joissa asiakkaat ovat kieltäytyneet antamasta tällaista suostumusta. Orange Românian myyntitoiminnassaan noudattamassa ”sisäisestä menettelystä” ilmenee, että tällaisissa tapauksissa Orange România on merkinnyt tarvittavat tiedot siitä, että asiakas on kieltänyt sitä säilyttämästä henkilöllisyystodistuksensa kopiota, tätä tarkoitusta varten laaditulle erityiselle lomakkeelle ja tehnyt tämän jälkeen sopimuksen. Orange Românian yleisiin sopimusehtoihin sisältyvistä maininnoista huolimatta Orange România ei siis ole kieltäytynyt tekemästä asiakkaiden kanssa tilaussopimuksia, vaikka nämä eivät ole suostuneet siihen, että heidän henkilöllisyystodistuksensa kopio säilytetään.

19.

Ennakkoratkaisua pyytänyt tuomioistuin katsoo, että tässä tilanteessa on erityisen tärkeää saada unionin tuomioistuimelta ratkaisu siihen, mitkä ovat perusteet sen määrittämiseksi, onko suostumus ”yksilöity” ja ”tietoinen”, ja tarvittaessa, millainen todistusarvo pääasiassa kyseessä olevan kaltaisten sopimusten allekirjoittamisella on.

20.

Tässä tilanteessa Tribunalul Bucureşti päätti 14.11.2018 antamallaan välipäätöksellä, joka saapui unionin tuomioistuimeen 29.1.2019, esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)

Mitkä ovat [direktiivin 95/46] 2 artiklan h alakohdan nojalla edellytykset, joiden on täytyttävä, jotta voidaan katsoa, että tahdonilmaisu on yksilöity ja tietoinen?

2)

Mitkä ovat [direktiivin 95/46] 2 artiklan h alakohdan nojalla edellytykset, joiden on täytyttävä, jotta voidaan katsoa, että tahdonilmaisu on vapaaehtoinen?”

21.

Kirjallisia huomautuksia ovat esittäneet pääasian asianosaiset, Romanian, Italian, Itävallan ja Portugalin hallitukset sekä Euroopan komissio. Orange România, Romanian hallitus ja komissio osallistuivat 11.12.2019 pidettyyn istuntoon.

Asian tarkastelu

22.

Käsiteltävässä asiassa unionin tuomioistuinta pyydetään täsmentämään, millä edellytyksillä henkilötietojen käsittelyyn annettua suostumusta voidaan pitää pätevänä.

Alustavat huomautukset

Sovellettavat lainsäädäntövälineet

23.

Asetuksella 2016/679, jota on sovellettu 25.5.2018 alkaen, ( 9 ) kumottiin direktiivi 95/46 tästä samasta päivämäärästä alkaen. ( 10 )

24.

Pääasiassa kyseessä oleva ANSPDCP:n päätös tehtiin 28.3.2018 eli ennen päivämäärää, josta alkaen asetusta 2016/679 on sovellettu. ANSPDCP kuitenkin paitsi määräsi Orange Românialle sakon myös velvoitti sen tuhoamaan kyseessä olevien henkilöllisyystodistusten kopiot. Pääasian oikeusriita koskee myös jälkimmäistä velvoitetta. Kyseisellä velvoitteella on vaikutuksia tulevaisuudessa, asetusta 2016/679 voidaan nähdäkseni soveltaa ratione temporis.

25.

Ennakkoratkaisukysymyksiin on näin ollen vastattava sekä direktiivin 95/46 että asetuksen 2016/679 säännösten kannalta. ( 11 ) Lisäksi kyseinen asetus on otettava huomioon direktiivin 95/46 säännösten tarkastelussa. ( 12 )

Ennakkoratkaisukysymysten ulottuvuuden määrittäminen

26.

Ennakkoratkaisua pyytäneen tuomioistuimen esittämät kaksi kysymystä on muotoiltu liian yleisesti ja abstraktisti, joten ne on syytä rajata pääasian tosiseikkojen mukaisesti, jotta ennakkoratkaisua pyytänyttä tuomioistuinta voitaisiin ohjeistaa ja jotta sen kysymyksiin voitaisiin antaa hyödyllinen vastaus. Tätä varten on ensin aiheellista esitellä lyhyesti pääasian tosiseikat, sellaisina kuin ne ilmenevät ennakkoratkaisupyynnöstä sekä asianosaisten erityisesti unionin tuomioistuimessa pidetyn istunnon aikana toimittamista tiedoista.

27.

Romanian kansallinen tietosuojaviranomainen, ANSPDCP, määräsi Orange Românialle seuraamuksen sillä perusteella, että se oli kerännyt ja säilyttänyt kopiot asiakkaidensa henkilöllisyystodistuksista ilman heidän suostumustaan. Kyseinen viranomainen totesi, että yhtiö oli tehnyt sopimuksia matkaviestinpalvelujen tarjoamisesta ja että näihin sopimuksiin oli liitetty kopiot henkilöllisyystodistuksista. Sopimuksissa väitetysti määrättiin, että asiakkaille oli ilmoitettu kopioiden keruusta ja säilyttämisestä ja että he olivat antaneet suostumuksensa siihen, minkä osoituksena oli rastin merkitseminen kyseisessä sopimuksen kohdassa olevaan ruutuun. ANSPDCP:n mukaan Orange România ei kuitenkaan ole esittänyt mitään näyttöä siitä, että kyseiset asiakkaat sopimusten tekohetkellä valitsivat tietoisesti sen, että nämä kopiot kerätään ja säilytetään.

28.

Selvittäessään sopimuksen ehtoja henkilölle, joka haluaa ryhtyä sopimussuhteeseen Orange Românian kanssa, tämän yhtiön edustaja käsittelee tavallisesti tietokoneella sopimuslomaketta, jossa on ruutu, jonka rastittamalla asiakas suostuu henkilöllisyystodistuksensa säilyttämiseen. Asiakkaalle ilmoitetaan, että ruutua ei tarvitse rastittaa. Jos asiakas ei suostu siihen, että hänen henkilöllisyystodistuksensa kopioidaan ja sen kopio säilytetään, hänen on ilmaistava tämä omakäteisellä allekirjoituksellaan sopimuksessa. Allekirjoitusvaatimus näyttää perustuvan Orange Românian myyntitoimintaa koskeviin sisäisiin sääntöihin. Asiakkaalle ilmoitetaan, että hän voi kieltäytyä tästä, mutta vain suullisesti, ei kirjallisesti.

29.

Tätä taustaa vasten ymmärrän nämä kaksi kysymystä, jotka olisi tutkittava yhdessä, siten, että ennakkoratkaisua pyytänyt tuomioistuin haluaa niillä selvittää, antaako rekisteröity, joka aikoo tehdä yrityksen kanssa sopimuksen matkaviestinpalvelujen tarjoamisesta, tälle yritykselle direktiivin 95/46 2 artiklan h alakohdassa ja asetuksen 2016/679 4 artiklan 11 alakohdassa tarkoitetun ”yksilöidyn ja tietoisen” ja ”vapaaehtoisen” suostumuksensa, jos hän joutuu muilta osin vakiomuotoisessa sopimuksessa vahvistamaan omakätisellä allekirjoituksellaan, että hän ei suostu henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen.

30.

Ennakkoratkaisua pyytänyt tuomioistuin näyttää tässä yhteydessä tarvitsevan ohjeita siitä, millainen todistustaakka ja näyttökynnys kyseisellä yrityksellä on.

Suostumus henkilötietojen käsittelyn edellytyksenä

31.

Käsiteltävä asia koskee henkilötietojen käsittelyä siinä yhteydessä, kun tehdään sopimusta matkaviestinpalvelujen tarjoamisesta.

32.

Kaikessa henkilötietojen käsittelyssä ( 13 ) on noudatettava yhtäältä tietojen laatua koskevia periaatteita, jotka mainitaan direktiivin 95/46 6 artiklassa tai asetuksen 2016/679 5 artiklassa, ja toisaalta jotakin tietojenkäsittelyn laillisuutta koskevista periaatteista, jotka luetellaan kyseisen direktiivin 7 artiklassa tai kyseisen asetuksen 6 artiklassa. ( 14 ) Kuten komissio korostaa, direktiivin 95/46 7 artiklassa vahvistetut kuusi periaatetta ovat itse asiassa ilmaus laajemmasta periaatteesta, joka vahvistetaan direktiivin 6 artiklan 1 kohdan a alakohdassa, jonka mukaan henkilötietoja on käsiteltävä asianmukaisesti ja laillisesti.

33.

Direktiivin 95/46 7 artiklassa vahvistetaan tyhjentävä luettelo tapauksista, joissa henkilötietojen käsittelyä voidaan pitää laillisena. ( 15 ) Henkilötietojen käsittely on sallittua ainoastaan, jos vähintään yhtä kuudesta tietojenkäsittelyn laillisuutta koskevasta periaatteesta noudatetaan. Yksi näistä periaatteista on rekisteröidyn yksiselitteisesti antama suostumus.

Suostumuksen käsite

34.

Rekisteröidyn suostumus määritellään direktiivin 95/46 2 artiklan h alakohdassa, jonka mukaan sillä tarkoitetaan kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.

35.

Tämä sanamuoto vastaa pitkälti ( 16 ) asetuksen 2016/679 4 artiklan 11 alakohdan sanamuotoa, jonka mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. ( 17 )

36.

Rekisteröidyn suostumusta koskeva vaatimus on keskeinen osa unionin tietosuojalainsäädäntöä. ( 18 ) Se mainitaan Euroopan unionin perusoikeuskirjassa, jonka 8 artiklan mukaan tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Laajemmassa asiayhteydessä tarkasteltuna suostumuksen käsite mahdollistaa sen, että rekisteröity voi itse päättää, onko hänen oikeuttaan henkilötietojen suojaan perusteltua rajoittaa. ( 19 )

37.

Unionin tietosuojalainsäädännön johtavana periaatteena on ajatus yksityishenkilöstä, joka kykenee itse päättämään henkilötietojensa käytöstä ja käsittelystä itsemääräämisoikeutensa mukaisesti. ( 20 ) Suostumuksen vaatimus mahdollistaa sen, että yksityinen voi tehdä tämän päätöksen, ja samalla suojaa häntä tilanteissa, jotka jo luonnostaan ovat epäsymmetrisiä. ( 21 ) Suostumus täyttää direktiivin 95/46 ja asetuksen 2016/679 edellytykset vain, jos se on vapaaehtoinen, yksilöity ja tietoinen.

38.

Näiden säännösten sanamuotojen näennäisestä erilaisuudesta on vielä esitettävä kolme lyhyttä huomiota.

39.

Ensinnäkin asetuksen 2016/679 4 artiklan 11 alakohdassa, päinvastoin kuin direktiivin 95/46 2 artiklan h alakohdassa, viitataan ”yksiselitteiseen” tahdonilmaisuun. Mielestäni syy tähän on yksinkertainen: edellä jo mainitsemassani direktiivin 7 artiklan a alakohdassa, jossa säädetään tietojenkäsittelyn laillisuutta koskevista periaatteista, edellytetään, että rekisteröity on antanut suostumuksensa ”yksiselitteisesti”, kun taas asetuksen 2016/679 vastaavaan säännökseen – eli 6 artiklan 1 kohdan a alakohtaan – ei sisälly tällaista täsmennystä. Toisin sanoen yksiselitteisen tahdonilmaisun vaatimus on vain sisällytetty asetuksessa 2016/679 olevaan yleisempään säännökseen.

40.

Toiseksi asetuksen 2016/679 4 artiklan 11 alakohdassa täsmennetään, että rekisteröity ilmaisee tahtonsa ”antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”. Tämä asetuksessa tehty selvennys on tosiaankin uusi, eikä sille löydy semanttista vastinetta direktiivistä 95/46.

41.

Kolmanneksi rekisteröidyn suostumuksen ”tietoisesta” luonteesta on todettava, että direktiivin 95/46 ranskankielinen versio poikkeaa asetuksen 2016/679 ranskankielisestä versiosta. Direktiivin 2 artiklan h alakohdassa käytetään ilmausta ”manifestation de volonté – – informée” ja asetuksen 4 artiklan 11 alakohdassa taas ilmausta ”manifestation de volonté – – eclairée”.

42.

Mielestäni tämä sanamuodon muutos hämmentää enemmän kuin selventää, koska ymmärtääkseni ranskankielinen versio on ainoa kieliversio tai ainakin yksi harvoista kieliversioista, joissa tällainen ero on tehty. Monissa kieliversioissa – kuten sattumoisin muiden romaanisten kielten versioissa –, käytetään tässä kohden täsmälleen samaa sanamuotoa, ( 22 ) kun taas muissa kieliversioissa saattaa olla tässä kohden hienoisia eroja, mutta ei sentään niin suuria kuin ranskankielisessä versiossa. ( 23 )

43.

Palaan tietoisen suostumuksen käsitteeseen jäljempänä.

Vapaaehtoinen suostumus

44.

Vaatimus rekisteröidyn tahdon ”ilmaisusta” viittaa selvästikin aktiiviseen eikä passiiviseen toimintaan, ( 24 ) ja se edellyttää, että rekisteröidyllä on laaja autonomia päättäessään suostumuksen antamisesta. ( 25 ) Unionin tuomioistuin on todennut erityisesti tilanteessa, jossa oli kyse internetsivustolla järjestetystä sähköisestä arvonnasta, että valmiiksi rastitetulla ruudulla annettu suostumus ei merkitse internetsivuston käyttäjän aktiivista toimintaa. ( 26 )

45.

Mielestäni tämä toteamus pätee yhtä hyvin analogiseen ympäristöön: valmiiksi rastitetulla ruudulla annettu suostumus ei voi merkitä henkilön aktiivista suostumusta silloinkaan, kun kyseessä on fyysinen asiakirja, jonka kyseinen henkilö lopulta allekirjoittaa. Tällaisessa tilanteessa ei nimittäin voida tietää, onko tällainen valmiiksi laadittu teksti luettu ja sisäistetty. Tilanne ei ole yksiselitteinen. Henkilö on voinut lukea tekstin tai sitten ei. Hän on saattanut jättää sen lukematta pelkkää huolimattomuuttaan, jolloin ei ole mahdollista määrittää, onko suostumus annettu vapaaehtoisesti. ( 27 )

Tietoinen suostumus

46.

Siitä ei saa jäädä mitään epäilystä, että rekisteröity ei ole saanut riittävästi tietoa. ( 28 )

47.

Rekisteröidylle on ilmoitettava kaikista tietojenkäsittelyyn ja sen seurauksiin liittyvistä seikoista. Hänen on erityisesti voitava tietää, mitä tietoja hänestä käsitellään, miten kauan käsittely kestää ja millä tavalla ja mihin tarkoituksiin tietoja käsitellään. Hänen on myös voitava tietää, kuka tietoja käsittelee ja onko niitä tarkoitus siirtää kolmansille osapuolille. Mikä tärkeintä, rekisteröidylle on ilmoitettava, mitä seurauksia on siitä, jos hän kieltäytyy antamasta suostumustaan: edellyttääkö sopimuksen tekeminen suostumista tietojenkäsittelyyn? ( 29 )

Todistustaakka

48.

Jäljelle jää enää kysymys, kenen vastuulla on osoittaa, että rekisteröity oli tilanteessa, jossa hän saattoi antaa edellä esitettyjen periaatteiden mukaisen suostumuksen.

49.

Asetuksen 2016/679 7 artiklan 1 kohta on selvä eikä jätä tilaa epäilykselle: jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. ( 30 ) Tällä säännöksellä täsmennetään asetuksen 2016/679 5 artiklan 2 kohdassa vahvistettua osoitusvelvollisuuden periaatetta. Mielestäni tämän säännöksen tarkoitusta on tulkittava laajasti siten, että rekisterinpitäjän on paitsi osoitettava, että rekisteröity on antanut suostumuksensa, myös näytettävä toteen, että kaikki tehokkuutta koskevat edellytykset on täytetty. ( 31 )

50.

Tietyssä oikeuskirjallisuudessa pidetään kyseenalaisena sitä, koskeeko asetuksen 2016/679 7 artiklan 1 kohta laisinkaan todistustaakkaa, ja tukeudutaan kyseisen asetuksen syntyhistoriaan. ( 32 ) Siinä väitetään, että vaikka sekä komissio että parlamentti ehdottivat sanamuotoa, jossa viitattiin nimenomaisesti ”todistustaakkaan”, tätä sanamuotoa ei käytetä hyväksytyssä tekstissä eikä siten myöskään voimassa olevassa lainsäädännössä.

51.

Tätä väitettä on syytä tutkia lähemmin.

52.

Komission alkuperäisessä ehdotuksessa ( 33 ) todellakin viitataan rekisterinpitäjälle kuuluvaan ”todistustaakkaan”. Parlamentti ei ensimmäisessä käsittelyssä ( 34 ) puuttunut mitenkään tähän sanamuotoon. Vasta neuvosto ( 35 ) korvasi ilmauksen ”todistustaakka” rekisterinpitäjään viittaavalla ilmauksella ”on pystyttävä osoittamaan”. Lopullinen teksti hyväksyttiin myöhemmin tässä muodossa.

53.

En panisi liikaa painoa tälle sanamuodon muutokselle. ( 36 ) Neuvoston yhteisen kannan johdanto-osassa ei nimittäin missään kohden perustella ehdotettua sanamuodon muutosta. ( 37 ) Tämä viittaa siihen, että mainitun toimielimen tarkoituksena oli muuttaa ainoastaan kyseisen säännöksen sanamuotoa muuttamatta kuitenkaan sen merkitystä. Tältä kannalta tarkasteltuna ilmauksella ”on pystyttävä osoittamaan” oikeastaan vain kuvataan ymmärrettävämmässä muodossa, mitä todistustaakalla tarkoitetaan. ( 38 )

54.

Voidaan siten varmasti olettaa, että asetuksen 2016/679 7 artiklan 1 kohdassa todistustaakka sen osoittamisesta, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn, asetetaan rekisterinpitäjälle. ( 39 ) Jos on epäilyksiä siitä, onko rekisteröity antanut suostumuksensa, epäilykset on poistettava rekisterinpitäjän esittämillä todisteilla. ( 40 ) Todistustaakka siitä, että rekisteröity on saatettu tilanteeseen, jossa hän on voinut antaa vapaaehtoisen, yksilöidyn ja tietoisen suostumuksensa, on selvästi tietojenkäsittelystä vastaavalla yksiköllä.

55.

Direktiivin 95/46 mukainen oikeustila ei tässä suhteessa eroa nykyisestä.

56.

Vaikka direktiiviin 95/46 ei sisältynyt asetuksen 2016/679 7 artiklaan verrattavissa olevaa erillistä säännöstä, jossa säädettäisiin suostumuksen edellytyksistä, useimmat kyseisessä artiklassa mainituista edellytyksistä voidaan löytää myös direktiivistä. Vaikka direktiivissä ei nimenomaisesti vahvisteta todistustaakkasääntöä, se ilmenee ainakin epäsuorasti direktiivin säännöksestä ( 41 ), jonka mukaan ”rekisteröity on yksiselitteisesti antanut suostumuksensa”. ( 42 )

Orange Românian tilanne

57.

Sovellan seuraavaksi näitä arviointiperusteita käsiteltävään asiaan.

58.

Aluksi on todettava, että kysymys siitä, voiko Orange România vaatia asiakkaitaan suostumaan heidän henkilöllisyystodistustensa kopiointiin ja niiden kopioiden säilyttämiseen, jää käsiteltävän asian kohteen ulkopuolelle, koska kyseiselle yritykselle tällaisen suostumuksen saaminen ei ole sopimuksen tekemisen edellytys. Käsiteltävä asia ei toisin sanoen koske direktiivin 95/46 7 artiklan b alakohdan ja asetuksen 2016/679 6 artiklan 1 kohdan b alakohdan tulkintaa. Mielestäni on täysin perusteltua, että yritys vaatii asiakkaitaan antamaan henkilötietojaan ja erityisesti todistamaan henkilöllisyytensä sopimuksen tekemistä varten. Asiakkaan vaatiminen suostumaan henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen näyttää kuitenkin menevän pidemmälle kuin on välttämätöntä sopimuksen täytäntöön panemiseksi.

59.

Saatavilla olevien tietojen perusteella vaikuttaa siltä, että Orange Românian asiakkaat eivät ennakkoratkaisua pyytäneen tuomioistuimen kuvaamissa olosuhteissa anna vapaaehtoista, yksilöityä ja tietoista suostumustaan.

60.

Ensinnäkään suostumus ei ole vapaaehtoinen. Asiakkaan velvoittaminen vahvistamaan omakätisellä allekirjoituksellaan, että hän ei suostu henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen, ei mahdollista vapaaehtoisen suostumuksen antamista, koska asiakas saatetaan tilanteeseen, jossa hän näennäisesti poikkeaa sopimuksen tekemiseen johtavasta tavanomaisesta menettelystä. Asiakkaiden ei pidä tässä tilanteessa kokea, että heidän kieltäytymisensä suostumasta henkilöllisyystodistustensa kopiointiin ja niiden kopioiden säilyttämiseen ei ole tavanomaisen menettelyn mukaista. Muistutan, että unionin tuomioistuin on painottanut rekisteröidyn aktiivista menettelyä hänen antaessaan suostumuksensa. ( 43 ) Suostumuksen antaminen edellyttää siis rekisteröidyn aktiivista toimintaa. Käsiteltävässä asiassa näyttää kuitenkin käyvän juuri päinvastoin: siinä suostumuksen kieltäminen edellyttää aktiivista toimintaa. Palatakseni tuomioon Planet49 ( 44 ), jos rastin poistamista internetsivustolla valmiiksi rastitetusta ruudusta pidetään asiakkaan kannalta liian suurena rasitteena, silloin asiakkaan ei a fortiori voida kohtuullisesti odottaa vahvistavan omakätisellä allekirjoituksellaan, että hän ei anna suostumustaan.

61.

Toiseksi suostumus ei ole tietoinen. Asiakkaalle ei tehdä täysin selväksi, että hänen henkilöllisyystodistuksensa kopioinnin ja sen kopion säilyttämisen kieltäminen ei tee sopimuksen tekemistä mahdottomaksi. Asiakas ei voi mitenkään tehdä tietoista päätöstä, jos hän ei ole selvillä päätöksensä seurauksista.

62.

Kolmanneksi – ja ainoastaan hypoteettisesti – mikään ei viittaa siihen, että Orange România on onnistunut osoittamaan, että sen asiakkaat suostuivat henkilötietojensa käsittelyyn. Tässä suhteessa Orange Românian sisäisten menettelyjen ilmeinen epäselvyys ei suinkaan edistä sen toteen näyttämistä, että asiakas on antanut suostumuksensa. Tällaista epäselvyyttä ja myyntihenkilöstölle annettuja ristiriitaisia ohjeita ei luonnollisestikaan pidä hyväksyä asiakkaan – in casu rekisteröidyn – kustannuksella.

Ratkaisuehdotus

63.

Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Tribunalul Bucureştin esittämiin ennakkoratkaisukysymyksiin seuraavasti:

Rekisteröity, joka aikoo tehdä yrityksen kanssa sopimuksen televiestinpalvelujen tarjoamisesta, ei anna tälle yritykselle yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 2 artiklan h alakohdassa ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 11 alakohdassa tarkoitettua ”yksilöityä ja tietoista” ja ”vapaaehtoista” suostumustaan, jos hän joutuu muilta osin vakiomuotoisessa sopimuksessa vahvistamaan omakätisellä allekirjoituksellaan, että hän ei anna suostumustaan henkilöllisyystodistuksensa kopiointiin ja sen kopion säilyttämiseen.


( 1 ) Alkuperäinen kieli: englanti.

( 2 ) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi (EUVL 1995, L 281, s. 31).

( 3 ) 6 artikla on direktiivin 95/46 II luvun I jakson ainoa artikla.

( 4 ) 7 artikla on direktiivin 95/46 II luvun II jakson ainoa artikla.

( 5 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).

( 6 ) Monitorul Oficial al României, osa I, nro 790, 12.12.2001.

( 7 ) Jolloin palvelujen käyttäjät maksavat etukäteen heille suoritettavien palvelujen hinnan.

( 8 ) Jolloin palvelujen käyttäjät maksavat yhtiön heille suorittamien palvelujen hinnan palvelujen suorittamisen jälkeen lähetettävällä laskulla.

( 9 ) Asetuksen 2016/679 99 artiklan 2 kohdan mukaan.

( 10 ) Ks. asetuksen 2016/679 94 artiklan 1 kohta.

( 11 ) Ks. tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801, 3843 kohta), jossa noudatettiin samankaltaista lähestymistapaa vertailukelpoisessa tilanteessa, sekä samassa asiassa esittämäni ratkaisuehdotus (C‑673/17, EU:C:2019:246, 4449 kohta). Ks. myös tuomio 11.12.2018, Weiss ym. (C‑493/17, EU:C:2018:1000, 39 kohta).

( 12 ) Ks. tuomio 24.9.2019, GC ym. (Arkaluonteisten tietojen poistaminen hakutulosten luettelosta) (C‑136/17, EU:C:2019:773, 33 kohta).

( 13 ) Jollei direktiivin 95/46 13 artiklassa ja asetuksen 2016/679 23 artiklassa säädetyistä poikkeuksista ja rajoituksista muuta johdu.

( 14 ) Ks. tuomio 16.1.2019, Deutsche Post (C‑496/17, EU:C:2019:26, 57 kohta). Ks. myös tuomio 13.5.2014, Google Spain ja Google (C‑131/12, EU:C:2014:317, 71 kohta oikeuskäytäntöviittauksineen) ja tuomio 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, 36 kohta).

( 15 ) Ks. tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 ja C‑469/10, EU:C:2011:777, 30 kohta); tuomio 19.10.2016, Breyer (C‑582/14, EU:C:2016:779, 57 kohta) ja tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801, 53 kohta).

( 16 ) Ks. myös Bygrave, L. A., Tosoni, L., teoksessa Kuner, Chr., Bygrave, L. A., Docksey, Chr. (toim.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., s. 181.

( 17 ) Nämä kriteerit ovat ilmeisestikin kumulatiivisia, joten pätevän suostumuksen kynnys on korkea, ks. Bygrave, L. A., Tosoni, L., teoksessa Kuner, Chr., Bygrave, L. A., Docksey, Chr. (toim.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., s. 181.

( 18 ) Ks. ratkaisuehdotukseni Planet49 (C‑673/17, EU:C:2019:246, 57 kohta ja sitä seuraavat kohdat). Ks. myös Heckmann, D., Paschke, A., teoksessa Ehmann, E., Selmayr, M. (toim.), Datenschutz-Grundverordnung, Kommentar, C.H. Beck, München, 2. painos, 2018, Artikel 7, 9 kohta: ”tietosuojan kulmakivi”.

( 19 ) Ks. vastaavasti Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, s. 232, jossa viitataan tässä yhteydessä itsemääräämisoikeuteen henkilötietojen käsittelyssä (sellaisena kuin Saksan perustuslakituomioistuin on sen vahvistanut 15.12.1983 antamastaan tuomiosta 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65,1 lähtien).

( 20 ) Ks. myös Klement, J. H., teoksessa Simitis, S., Hornung, G., Spiecker gen. Döhmann, I. (toim.), Datenschutzrecht, Nomos, Baden-Baden, 2019, Artikel 7, 1 kohta, jossa korostetaan, että ihmisarvoon, yksilönvapauteen ja vastuullisuuteen perustuvassa ja näitä edistämään pyrkivässä oikeusjärjestyksessä henkilötietojen käsittely on oikeutettava rekisteröidyn omaehtoisesti tekemällä päätöksellä.

( 21 ) Ks. myös asetuksen 2016/679 johdanto-osan 43 perustelukappale, jossa viitataan tilanteisiin, joissa ”rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta”.

( 22 ) Ks. esimerkiksi puolan-, espanjan- (”manifestación de voluntad – – informada”), portugalin- (”manifestação de vontade – – informada”), romanian- (”manifestare de voință – – informată”), tanskan- (”informeret viljetilkendegivelse”), ruotsin- (”informerad viljeyttring”) ja maltankielinen (”infurmata”) versio.

( 23 ) Ks. esimerkiksi hollannin- (direktiivissä ”op informatie berustende wilsuiting” ja asetuksessa ”geïnformeerde wilsuiting”), puolan- (direktiivissä ”świadome – – wskazanie” ja asetuksessa ”świadome – – okazanie woli”) ja saksankielinen versio (direktiivissä ”Willensbekundung, die – – in Kenntnis der Sachlage erfolgt” ja asetuksessa ”in informierter Weise – – abgegebene Willensbekundung”).

( 24 ) Ks. tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801, 52 kohta).

( 25 ) Ks. Bygrave, L. A., Tosoni, L., teoksessa Kuner, Chr., Bygrave, L. A., Docksey, Chr. (toim.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.1., s. 182.

( 26 ) Ibid.

( 27 ) Ks. analogisesti ratkaisuehdotukseni Planet49 (C‑673/17, EU:C:2019:246, 62 kohta). Ks. tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801, 55 kohta).

( 28 ) Tietoinen suostumus pohjautuu viime kädessä avoimuusperiaatteeseen, josta säädetään asetuksen 2016/679 5 artiklan 1 kohdan a alakohdassa, ks. Bygrave, L. A., Tosoni, L., teoksessa Kuner, Chr., Bygrave, L. A., Docksey, Chr. (toim.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 4(11), C.4., s. 184.

( 29 ) Joidenkin kirjoittajien mukaan direktiivin 95/46 10 ja 11 artiklassa oleva luettelo tiedoista ei ole tyhjentävä, joten rekisterinpitäjä voi antaa rekisteröidylle myös muita merkityksellisiä tietoja henkilötietojen käytöstä. Ks. esim. Mednis, A., ”Cechy zgody na przetwarzanie danych osobowych w opinii Grupy Roboczej Art. 29 dyrektywy 95/46”, Monitor Prawniczy (dodatek) 2012, No 7, s. 27.

( 30 ) Tämän säännöksen mukaan rekisterinpitäjä on vastuussa siitä, että tietoja käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, ja sen on kyettävä osoittamaan, että se on noudattanut tätä vaatimusta.

( 31 ) Ks. vastaavasti myös Stemmer, B., teoksessa Brink, St., Wolff, H. A., Beck’scher Onlinekommentar Datenschutzrecht, C.H. Beck, München, 30. painos, tilanne 1.11.2019, Artikel 7 DSGVO, 87 kohta ja Buchner, J., Kühling, B., teoksessa Buchner, J., Kühling, B. (toim.), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, München, 2. painos, 2018, Artikel 7 DS-GVO, 22 kohta.

( 32 ) Ks. Klement, J. H., teoksessa Simitis, S., Hornung, G., Spiecker gen. Döhmann, I. (toim.), Datenschutzrecht, Nomos, Baden-Baden, 2019, Artikel 7, 46 kohta.

( 33 ) Komission alkuperäisen ehdotuksen 7 artiklan 1 kohta kuuluu seuraavasti: ”Rekisterinpitäjän on osoitettava, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyjä tarkoituksia varten.” Ks. ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), COM(2012) 11 final, s. 45.

( 34 ) Parlamentti ei ensimmäisessä käsittelyssä ehdottanut, että 7 artiklan 1 kohdan sanamuotoa muutettaisiin ilmauksen ”todistustaakka” osalta. Se ainoastaan täsmensi, että 7 artiklan 1 kohta koskee tilannetta, jossa tietojenkäsittely perustuu suostumukseen. Ks. Euroopan parlamentin 12.3.2014 hyväksymä lainsäädäntöpäätöslauselma ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), COM(2012) 11 (EUVL 2017, C 378, s. 399, erityisesti s. 428).

( 35 ) ”Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.” Ks. neuvoston ensimmäisessä käsittelyssä vahvistama kanta N:o 6/2016 Euroopan parlamentin ja neuvoston asetuksen antamiseksi luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), hyväksytty neuvostossa 8.4.2016 (EUVL 2016, C 159, s. 1, erityisesti s. 36).

( 36 ) Ks. vastaavasti Kosta, E., teoksessa Kuner, Chr., Bygrave, L. A., Docksey, Chr. (toim.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Article 7, C.2., s. 349 ja 350.

( 37 ) Ks. erityisesti johdanto-osan 42 ja 43 perustelukappale, joissa perustellaan 7 artiklaa.

( 38 ) Kiintoisan käsitteellisen selityksen siihen, miksi todistustaakka kuuluu rekisterinpitäjälle, esittää Buchner, B. teoksessa Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, s. 243–245, jossa hän viittaa analogisesti kansallisen oikeuden mukaiseen lääkärin vastuuseen, jonka tilanteessa todistustaakka kuuluu myös niille, jotka ovat panneet täytäntöön kyseisen perustuslain rajoituksen.

( 39 ) Tämä on pitkälti oikeuskirjallisuudessa vallitseva näkemys, ks. Klabunde, A., teoksessa Ehmann, E., Selmayr, M. (toim.), Datenschutz-Grundverordnung, Kommentar, 2. painos, C.H. Beck, München, 2018, Artikel 4, 52 kohta; Stemmer, B., teoksessa Brink, St., Wolff, H. A., Beck’scher Onlinekommentar Datenschutzrecht, C.H. Beck, München, 30. painos, tilanne 1.11.2019, Artikel 7 DSGVO, 87 kohta ja Buchner, J. ja Kühling, B., teoksessa Buchner, J., Kühling, B. (toim.), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, München, 2. painos, 2018, Artikel 7 DS-GVO, 22 kohta; ja Barta, P., Kawecki, M., teoksessa Litwiński, P. (toim.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Warsaw 2018, asetuksen 7 artiklan 1 kohta.

( 40 ) Ks. vastaavasti myös Heckmann, D., Paschke, A., teoksessa Ehmann, E., Selmayr, M. (toim.), Datenschutz-Grundverordnung, Kommentar, 2. painos, C.H. Beck, München, 2018, Artikel 7, 72 kohta.

( 41 ) Ks. direktiivin 95/46 7 artiklan a alakohta. Kursivointi tässä.

( 42 ) Ks. vastaavasti myös Buchner, J., Kühling, B., teoksessa Buchner, J., Kühling, B. (toim.), Datenschutz-Grundverordnung/BDSG, Kommentar, C.H. Beck, München, 2. painos, 2018, Artikel 7 DS-GVO, 5 ja 22 kohta.

( 43 ) Ks. tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801, 54 kohta).

( 44 ) Ks. tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801).