Asia C-645/19

Facebook Ireland Limited,

Facebook Inc.

ja

Facebook Belgium BVBA

vastaan

Gegevensbeschermingsautoriteit

(Hof van beroep te Brusselin esittämä ennakkoratkaisupyyntö)

Unionin tuomioistuimen tuomio (suuri jaosto) 15.6.2021

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – Henkilötietojen rajatylittävä käsittely – ”Yhden luukun” järjestelmä – Valvontaviranomaisten lojaali ja tehokas yhteistyö – Toimivalta ja valtuudet – Valtuudet panna vireille tai käynnistää muulla tavoin oikeustoimet

1. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Yhden luukun järjestelmä – Kansalliset valvontaviranomaiset – Valtuudet – Jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, valtuudet panna vireille tai käynnistää muulla tavoin oikeustoimet – Rajatylittävä tietojenkäsittely – Käyttämisen edellytykset – Kansallisen valvontaviranomaisen tätä käsittelyä koskeva toimivalta – Valvontaviranomaisten lojaali ja tehokas yhteistyö

   (Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artikla; Euroopan parlamentin ja neuvoston asetuksen 2016/679 55 artiklan 1 kohta, 56-58 artikla ja 60-66 artikla)

   (ks. 50, 53, 56–59 ja 63–69 kohta ja 75 kohta sekä tuomiolauselman 1 kohta)

2. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Yhden luukun järjestelmä – Kansalliset valvontaviranomaiset – Valtuudet – Jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, valtuudet panna vireille tai käynnistää muulla tavoin oikeustoimet – Rajatylittävä tietojenkäsittely – Käyttämisen edellytykset – Asianomaisella rekisterinpitäjällä tai henkilötietojen käsittelijällä ei tarvitse olla päätoimipaikkaa tai muuta toimipaikkaa tämän jäsenvaltion alueella

   (Euroopan parlamentin ja neuvoston direktiivin 2016/679 3 artiklan 1 kohta, 56 artiklan 1 kohta ja 58 artiklan 5 kohta)

   (ks. 79–84 kohta ja tuomiolauselman 2 kohta)

3. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Yhden luukun järjestelmä – Kansalliset valvontaviranomaiset – Valtuudet – Jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, valtuudet panna vireille tai käynnistää muulla tavoin oikeustoimet – Rajatylittävä tietojenkäsittely – Valtuuksia käytetään sekä rekisterinpitäjän päätoimipaikkaa, joka sijaitsee tämän viranomaisen omassa jäsenvaltiossa, vastaan että tämän rekisterinpitäjän muuta toimipaikkaa vastaan – Käyttämisen edellytykset

   (Euroopan parlamentin ja neuvoston direktiivin 2016/679 56 artiklan 1 kohdan a alakohta ja 58 artiklan 5 kohta)

   (ks. 88–91 ja 94–96 kohta sekä tuomiolauselman 3 kohta)

4. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Yhden luukun järjestelmä – Kansalliset valvontaviranomaiset – Valtuudet – Jäsenvaltion valvontaviranomainen, joka ei ole johtava valvontaviranomainen – Rajatylittävä tietojenkäsittely – Tätä käsittelyä koskeva kanne, jonka tämä valvontaviranomainen on pannut vireille ennen asetuksen voimaantuloa – Vaikutus oikeustoimien vireillepanoa tai muilla tavoin käynnistämistä koskevien valtuuksien käyttämisedellytyksiin – Kanteen ajamisen jatkaminen – Edellytykset

   (Euroopan parlamentin ja neuvoston direktiivin 2016/679 56 artiklan 1 kohta ja 58 artiklan 5 kohta; Euroopan parlamentin ja neuvoston direktiivi 95/46)

   (ks. 99–105 kohta sekä tuomiolauselman 4 kohta)

5. Yksilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Kansalliset valvontaviranomaiset – Valtuudet – Säännös, jolla jäsenvaltion valvontaviranomaiselle annetaan valtuudet panna vireille tai käynnistää muilla tavoin oikeustoimet – Välitön oikeusvaikutus

   (SEUT 288 artiklan toinen kohta; Euroopan parlamentin ja neuvoston asetuksen 2016/679 58 artiklan 5 kohta)

   (ks. 109–113 kohta sekä tuomiolauselman 5 kohta)

Tiivistelmä

Yleinen tietosuoja-asetus: Unionin tuomioistuin täsmentää kansallisten valvontaviranomaisten valtuuksien käyttämisen edellytykset rajatylittävässä tietojenkäsittelyssä

Kansallinen valvontaviranomainen voi tietyin edellytyksin käyttää valtuuksiaan saattaa yleisen tietosuoja-asetuksen rikkomiset jäsenvaltion tuomioistuimeen, vaikka se ei ole johtava valvontaviranomainen tämän käsittelyn osalta

Belgian yksityisyydensuojakomission puheenjohtaja nosti 11.9.2015 kieltokanteen Facebook Irelandia, Facebook Inc:tä ja Facebook Belgiumia vastaan Nederlandstalige rechtbank van eerste aanleg Brusselissa (Brysselin hollanninkielinen alioikeus, Belgia). Kanteen tarkoituksena oli saada lopetetuksi Facebookin väitetyt tietosuojalainsäädännön rikkomiset. Nämä rikkomiset muodostuivat erityisesti belgialaisten internetin käyttäjien – sekä Facebook-tilin haltijoiden että henkilöiden, joilla ei tällaista tiliä ole – selailukäyttäytymistä koskevien tietojen keräämisestä ja käyttämisestä evästeiden, yhteisöliitännäisten ( 1 ) tai jäljitteiden kaltaisten tekniikoiden avulla.

Kyseinen tuomioistuin totesi 16.2.2018 olevansa toimivaltainen ratkaisemaan mainitun kanteen ja totesi asiakysymyksen osalta, että verkkoyhteisö Facebook ei ollut tiedottanut riittävällä tavalla belgialaisille internetin käyttäjille kyseessä olevien tietojen keräämisestä ja käytöstä. Internetin käyttäjien kyseisten tietojen keräämiseen ja käsittelyyn antama suostumus katsottiin lisäksi pätemättömäksi.

Facebook Ireland, Facebook Inc. ja Facebook Belgium valittivat tästä tuomiosta 2.3.2018 hof van beroep te Brusseliin (Brysselin ylioikeus, Belgia), joka on tässä asiassa ennakkoratkaisupyynnön esittänyt tuomioistuin. Belgian tietosuojaviranomainen (GBA) toimi kyseisessä tuomioistuimessa kieltokanteen nostaneen yksityisyydensuojakomission puheenjohtajan laillisena seuraajana. Ennakkoratkaisua pyytänyt tuomioistuin totesi olevansa toimivaltainen ratkaisemaan valituksen ainoastaan Facebook Belgiumia koskevilta osin.

Ennakkoratkaisua pyytäneellä tuomioistuimella on epäilyjä yleisessä tietosuoja-asetuksessa ( 2 ) säädetyn ”yhden luukun” järjestelmän soveltamisen vaikutuksesta GBA:n toimivaltaan, ja se pohtii erityisesti kysymystä siitä, voiko GBA 25.5.2018 jälkeen tapahtuneiden tosiseikkojen osalta nostaa kanteen Facebook Belgiumia vastaan, kun Facebook Ireland on yksilöity kyseisten tietojen osalta rekisterinpitäjäksi. Kyseisestä ajankohdasta lähtien ja yleisessä tietosuoja-asetuksessa säädetyn ”yhden luukun” periaatteen nojalla vaikuttaa näet siltä, että ainoastaan Irlannin tietosuojavaltuutettu olisi toimivaltainen nostamaan kieltokanteen Irlannin tuomioistuinten valvonnassa.

Unionin tuomioistuimen suuri jaosto täsmentää tuomiossaan kansallisten valvontaviranomaisten valtuudet yleisen tietosuoja-asetuksen puitteissa. Se katsoo erityisesti, että tässä asetuksessa sallitaan tietyin edellytyksin se, että jäsenvaltion valvontaviranomainen käyttää valtuuksiaan saattaa kaikki yleisen tietosuoja-asetuksen väitetyt rikkomiset tämän valtion tuomioistuimen tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet siltä osin kuin kyse on rajatylittävästä tietojenkäsittelystä, ( 3 ) vaikka se ei ole johtava valvontaviranomainen tämän käsittelyn osalta.

Unionin tuomioistuimen arviointi asiasta

Unionin tuomioistuin täsmentää ensiksi edellytykset, joita noudattaen kansallisen valvontaviranomaisen, joka ei ole johtava valvontaviranomainen rajatylittävän tietojenkäsittelyn osalta, on käytettävä valtuuksiaan saattaa kaikki yleisen tietosuoja-asetuksen väitetyt rikkomiset jäsenvaltion tuomioistuimen tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen soveltamisen varmistamiseksi. Niinpä yhtäältä yleisessä tietosuoja-asetuksessa on annettava tälle valvontaviranomaiselle toimivalta tehdä päätös, jossa todetaan mainitun käsittelyn olevan asetuksen sääntöjen vastaista, ja toisaalta näitä valtuuksia on käytettävä mainitussa asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmenettelyjä noudattaen. ( 4 )

Yleisessä tietosuoja-asetuksessa säädetään nimittäin ”yhden luukun” järjestelmästä, ( 5 ) joka perustuu toimivallan jakoon johtavan valvontaviranomaisen ja muiden osallistuvien kansallisten valvontaviranomaisten välillä. Tämä järjestelmä edellyttää näiden viranomaisten välistä tiivistä, lojaalia ja tehokasta yhteistyötä henkilötietojen suojelua koskevien sääntöjen johdonmukaisen ja yhtenäisen soveltamisen varmistamiseksi ja tämän järjestelyn tehokkaan vaikutuksen säilyttämiseksi. Yleisessä tietosuoja-asetuksessa annetaan johtavalle valvontaviranomaiselle lähtökohtainen toimivalta tehdä päätös, jossa todetaan, että rajatylittävällä käsittelyllä rikotaan tässä asetuksessa vahvistettuja sääntöjä, ( 6 ) kun taas poikkeuksena on muiden osallistuvien valvontaviranomaisten toimivalta tehdä tällainen päätös, edes väliaikainen. ( 7 ) Johtava valvontaviranomainen ei toimivaltaansa käyttäessään kuitenkaan voi laiminlyödä välttämätöntä vuoropuhelua sekä lojaalia ja tehokasta yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa. Näin ollen johtava valvontaviranomainen ei voi tämän yhteistyön puitteissa jättää muiden osallistuvien valvontaviranomaisten näkemyksiä huomiotta, ja jos jokin viimeksi mainituista viranomaisista esittää merkityksellisen ja perustellun vastalauseen, johtavan valvontaviranomaisen päätösehdotuksen hyväksyminen estyy ainakin väliaikaisesti.

Unionin tuomioistuin täsmentää lisäksi, että se, että jäsenvaltion valvontaviranomainen, joka ei ole rajatylittävän tietojenkäsittelyn osalta johtava valvontaviranomainen, voi käyttää valtuuksiaan saattaa kaikki tämän asetuksen väitetyt rikkomiset tämän valtion tuomioistuimen tietoon ja panna vireille oikeustoimet vain sillä edellytyksellä, että noudatetaan johtavan valvontaviranomaisen ja muiden valvontaviranomaisten välisen päätöksentekotoimivallan jakamista koskevia sääntöjä, ( 8 ) on yhteensopivaa Euroopan unionin perusoikeuskirjan 7, 8 ja 47 artiklan kanssa, joissa taataan rekisteröidylle oikeus henkilötietojensa suojaan ja oikeus tehokkaisiin oikeussuojakeinoihin.

Unionin tuomioistuin katsoo toiseksi, että rajatylittävän tietojenkäsittelyn tilanteessa jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, oikeudellisen menettelyn vireille panemista koskevien valtuuksien käyttäminen ( 9 ) ei edellytä, että henkilötietojen rajatylittävää käsittelyä suorittavan rekisterinpitäjän tai henkilötietojen käsittelijän, jota vastaan kyseinen oikeudellinen menettely pannaan vireille, päätoimipaikka tai muu toimipaikka on tämän jäsenvaltion alueella. Näiden valtuuksien käyttämisen on kuitenkin kuuluttava yleisen tietosuoja-asetuksen alueelliseen soveltamisalaan, ( 10 ) mikä edellyttää, että rajatylittävää käsittelyä suorittavalla rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka unionin alueella.

Unionin tuomioistuin toteaa kolmanneksi, että rajatylittävän tietojenkäsittelyn tilanteessa jäsenvaltion valvontaviranomaisen, joka ei ole johtava valvontaviranomainen, valtuuksia, jotka koskevat yleisen tietosuoja-asetuksen väitettyjen rikkomisten saattamista tämän valtion tuomioistuimen tietoon ja tarvittaessa oikeustoimien vireille panemista tai muulla tavoin käynnistämistä, voidaan käyttää sekä rekisterinpitäjän päätoimipaikkaa, joka sijaitsee tämän viranomaisen omassa jäsenvaltiossa, vastaan että tämän rekisterinpitäjän muuta toimipaikkaa vastaan, jos oikeudellinen menettely koskee tietojenkäsittelyä, joka suoritetaan tässä toimipaikassa tapahtuvan toiminnan yhteydessä, ja mainitulla viranomaisella on toimivalta käyttää näitä valtuuksia.

Unionin tuomioistuin täsmentää, että näiden valtuuksien käyttäminen edellyttää kuitenkin, että yleinen tietosuoja-asetus on sovellettavissa. Käsiteltävässä asiassa Facebook-konsernin Belgiassa sijaitsevan toimipaikan toimintojen on katsottava liittyvän erottamattomasti pääasiassa kyseessä olevaan henkilötietojen käsittelyyn, jonka osalta Facebook Ireland on unionin alueella rekisterinpitäjä. On siis katsottava, että tällainen käsittely suoritetaan rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä ja se kuuluu siis yleisen tietosuoja-asetuksen soveltamisalaan.

Unionin tuomioistuin katsoo neljänneksi, että kun jäsenvaltion valvontaviranomainen, joka ei ole johtava valvontaviranomainen, on pannut vireille henkilötietojen rajatylittävää käsittelyä koskevan oikeudellisen menettelyn ennen kuin yleinen tietosuoja-asetus tuli voimaan, tätä menettelyä voidaan unionin oikeuden näkökulmasta jatkaa niiden säännösten perusteella, joista säädetään tietosuojadirektiivissä, ( 11 ) jota sovelletaan edelleen siinä säädettyjen sääntöjen rikkomisiin, jotka on tehty kyseisen direktiivin kumoamisajankohtaan mennessä. Tämä viranomainen voi lisäksi panna vireille mainitun menettelyn yleisen tietosuoja-asetuksen voimaantuloajankohdan jälkeen tehdyistä rikkomisista, jos kyseessä on jokin niistä tilanteista, joissa kyseisessä asetuksessa poikkeuksellisesti annetaan tälle samalle viranomaiselle toimivalta tehdä päätös, jossa todetaan kyseessä olevan tietojenkäsittelyn olevan vastoin mainitun asetuksen sääntöjä, ja edellyttäen, että samassa asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmenettelyjä noudatetaan.

Unionin tuomioistuin toteaa viidenneksi ja viimeiseksi, että yleisen tietosuoja-asetuksen säännöksellä, jonka mukaan kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet, on välitön oikeusvaikutus. Näin ollen kansallinen valvontaviranomainen voi vedota mainittuun säännökseen pannakseen vireille oikeudellisen menettelyn yksityisiä vastaan tai jatkaakseen sitä, vaikka tätä säännöstä ei olisi nimenomaisesti pantu täytäntöön asianomaisen jäsenvaltion lainsäädännössä.

( 1 ) Esimerkiksi painikkeet ”tykkää” tai ”jaa”.

( 2 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus). Yleisen tietosuoja-asetuksen 56 artiklan 1 kohdassa säädetään seuraavaa: ”Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta – –, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.”

( 3 ) Yleisen tietosuoja-asetuksen 4 artiklan 23 kohta.

( 4 ) Yleisen tietosuoja-asetuksen 56 ja 60 artikla.

( 5 ) Yleisen tietosuoja-asetuksen 56 artiklan 1 kohta.

( 6 ) Yleisen tietosuoja-asetuksen 60 artiklan 7 kohta.

( 7 ) Yleisen tietosuoja-asetuksen 56 artiklan 2 kohdassa ja 66 artiklassa säädetään johtavan valvontaviranomaisen päätöksentekotoimivallan periaatteesta tehtävistä poikkeuksista.

( 8 ) Yleisen tietosuoja-asetuksen 55 ja 56 artikla, luettuina yhdessä asetuksen 60 artiklan kanssa.

( 9 ) Yleisen tietosuoja-asetuksen 58 artiklan 5 kohdan nojalla.

( 10 ) Yleisen tietosuoja-asetuksen 3 artiklan 1 kohdassa säädetään, että ”tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei”.

( 11 ) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (EYVL 1995, L 281, s. 31).