1.

Asetus (EU) 2016/679 ( 2 ) (jäljempänä yleinen tietosuoja-asetus) ei ole mikään kapea-alainen säädös. Sen laajasti määritelty soveltamisala, kaikkien sen poikkeusten merkityksen poistaminen oikeuskäytännössä ( 3 ) ja sen määritelmälähtöinen, abstrakti ja siten melko yleistävä tulkinta ( 4 ) ovat kaikki osaltaan johtaneet siihen, että yleisen tietosuoja-asetuksen soveltamisalasta on tullut lähes rajaton. Jos asiaa lähestytään tällä tavoin, on nykyään vaikea kuvitella tilannetta, jossa kukaan ei koskaan käsittelisi jonkinlaisia henkilötietoja.

2.

Tämä lähestymistapa, joka perustuu siihen, että Euroopan unionin perusoikeuskirjan 8 artiklassa henkilötietojen suojasta tehtiin kaikenkattava, perustavanlaatuinen (super)oikeus, on kuitenkin johtanut siihen, että muilla oikeudenaloilla ja näiden alojen oikeusriidoissa on alkanut esiintyä erilaisia keskihakuisia vaikutuksia henkilötietojen suojan seurauksena. Lukuisia oikeustapauksia on yllättäen alettu luokitella henkilötietojen suojaa koskeviksi asioiksi ja saatettu (muun muassa) unionin tuomioistuimen käsiteltäväksi yleisen tietosuoja-asetuksen tulkintaa koskevina asioina. Tällaisissa oikeusriidoissa esiin tulevat kysymykset eivät kuitenkaan aina ole sellaisia, että niihin voitaisiin olettaa sovellettavan yleisen tietosuoja-asetuksen kaltaista lainsäädäntöä, vaikka sillä onkin laaja soveltamisala.

3.

Luultavasti harva olisi osannut ennustaa, että yleisen tietosuoja-asetuksen tai sen edeltäjän, direktiivin 95/46/EY, ( 5 ) voitaisiin ajatella koskevan tilintarkastajaharjoittelijoiden oikeutta tutustua korjattuihin koevastauksiinsa ja mahdollisesti myös heidän oikeuttaan oikaista näitä henkilötietoja kokeen pitämisen jälkeen ( 6 ) tai estävän poliisia luovuttamasta liikenneonnettomuudesta vastuussa olevan henkilön henkilötietoja, minkä seurauksena vahingon kärsinyt henkilö ei voi nostaa siviilituomioistuimessa kannetta vaatiakseen korvaamaan ajoneuvolleen aiheutuneen vahingon, ( 7 ) tai rajoittavan konkurssin tehneen yhtiön aiempien verotustietojen antamista kyseisen yhtiön konkurssipesän selvittäjälle epäyhdenvertaisen kohtelun poistamiseksi yksityis- ja julkisoikeudellisten velkojien väliltä sellaisissa vaateissa, jotka koskevat takaisinsaantia maksukyvyttömyysmenettelyssä, ( 8 ) vain muutamia kiinnostavia esimerkkejä mainitakseni.

4.

Käsiteltävä asia on jälleen yksi esimerkki tällaisista yleisen tietosuoja-asetuksen keskihakuisista vaikutuksista. SIA ”SS” tarjoaa ilmoituspalveluja internetissä. Tämän kaupallisen toiminnan yhteydessä se saa henkilötietoja henkilöiltä, jotka julkaisevat ilmoituksia sen internetsivustolla. Toimivaltainen kansallinen veroviranomainen on pyytänyt kyseistä yritystä luovuttamaan sille tietyn määrän mainitulla internetsivustolla julkaistuihin käytettyjen autojen myynti-ilmoituksiin liittyviä tietoja sen varmistamiseksi, että myydyistä autoista on kannettu asianmukaisesti veroa. Kyseinen veroviranomainen on määrittänyt yksityiskohtaisesti, missä muodossa se haluaa nämä tiedot saada. Se on myös tehnyt selväksi, että tiedonsiirtojen on tarkoitus jatkua pysyvästi, eikä niistä ilmeisesti makseta taloudellista korvausta.

5.

Tässä tilanteessa ennakkoratkaisua pyytänyt tuomioistuin haluaa selvittää, missä laajuudessa tällaiset tiedonsiirtopyynnöt ovat hyväksyttäviä. Kuten aikaisemmissa asioissa, käsiteltävässä asiassa voidaan nähdäkseni soveltaa yleistä tietosuoja-asetusta. Joku jossakin käsittelee tai aikoo käsitellä henkilötietoja, varmasti ainakin myöhemmin niitä siirrettäessä. Tällaisessa käsittelyssä on suojattava niin rekisteröityjen oikeudet kuin käsiteltävät henkilötiedotkin. Tämä ei kuitenkaan tarkoita sitä, että yleisessä tietosuoja-asetuksessa säädetään nimenomaisesti tulevan rekisterinpitäjän (viranomainen) ja nykyisen rekisterinpitäjän (yksityinen yritys) välisestä suhteesta. Yleinen tietosuoja-asetus seuraa aina tietojen mukana ja suojaa niitä siellä, minne ne kulloinkin siirretään, ja sitä kautta sääntelee mahdollisten toisiaan seuraavien rekisterinpitäjien velvollisuuksia niin käsiteltäviin tietoihin kuin rekisteröityihinkin nähden. Yleisessä tietosuoja-asetuksessa ei sitä vastoin säädetä näiden toisiaan seuraavien rekisterinpitäjien välisen suhteen konkreettisista yksityiskohdista, joitakin nimenomaisia poikkeuksia lukuun ottamatta. Yleiseen tietosuoja-asetukseen ei etenkään sisälly yksityiskohtaisia sääntöjä rekisterinpitäjien välisistä sopimus- tai julkisoikeudellisista järjestelyistä, joiden nojalla ne voivat pyytää ja saada tietoja toisiltaan.

6.

Yleisen tietosuoja-asetuksen johdanto-osan 31 perustelukappaleessa todetaan seuraavaa:

”Viranomaisia, kuten vero- ja tulliviranomaisia, talousrikosten tutkintayksiköitä, riippumattomia hallintoviranomaisia tai rahoitusmarkkinaviranomaisia, joille luovutetaan henkilötietoja lakisääteisen velvoitteen mukaisesti niiden julkisen tehtävän suorittamiseksi ja jotka vastaavat arvopaperimarkkinoiden sääntelystä ja valvonnasta, ei olisi pidettävä tietojen vastaanottajina niiden vastaanottaessa tietoja, jotka ovat tarpeen jonkin tietyn yleisen edun vuoksi tehtävän tutkimuksen toteuttamiseksi unionin tai jäsenvaltion lainsäädännön mukaisesti. Viranomaisten lähettämien luovutuspyyntöjen olisi aina oltava kirjallisia, perusteltuja ja satunnaisia, eikä niiden pitäisi koskea kokonaista rekisteriä tai johtaa rekisterien yhteenliittämiseen. Näiden viranomaisten olisi käsiteltävä henkilötietoja sovellettavien tietosuojasääntöjen ja tietojenkäsittelyn tarkoitusten mukaisesti.”

7.

Yleisen tietosuoja-asetuksen johdanto-osan 45 perustelukappaleessa todetaan seuraavaa:

”Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan suorittamiseksi tai julkisen vallan käyttämiseksi. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Kyseisessä oikeudessa tai lainsäädännössä voitaisiin myös täsmentää tässä asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat henkilötietojen käsittelyn lainmukaisuutta sekä tarkat vaatimukset, joilla määritetään rekisterinpitäjä, käsiteltävien henkilötietojen tyyppi, asianomaiset rekisteröidyt, yhteisöt, joille henkilötietoja voidaan luovuttaa, tarkoituksen rajoitukset, säilyttämisaika ja muut toimenpiteet, joilla varmistetaan laillinen ja asianmukainen käsittely. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä, kun se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten.”

8.

Yleisen tietosuoja-asetuksen 2 artiklassa säädetään seuraavaa:

”1.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn:

– –

– –”

9.

Sen 4 artiklassa määritellään joitakin yleisessä tietosuoja-asetuksessa käytettyjä käsitteitä. Kyseisessä asetuksessa tarkoitetaan

”1)   ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –

2)   ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –

7)   ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)   ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

9)   ’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,

– –”

10.

Yleisen tietosuoja-asetuksen 5 artiklassa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet seuraavasti:

”1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

11.

Yleisen tietosuoja-asetuksen 6 artiklassa säädetään seuraavaa:

”1.   Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

– –

– –

– –

2.   Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.

3.   Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja ‑menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.”

12.

Yleisen tietosuoja-asetuksen III lukuun, jonka otsikko on ”Rekisteröidyn oikeudet”, sisältyvissä 12–22 artiklassa vahvistetaan rekisterienpitäjien oikeudet ja vastaavat velvollisuudet. Kyseinen luku päättyy 23 artiklaan. Sen otsikko on ”Rajoitukset”, ja siinä säädetään seuraavaa:

”1.   Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

– –

– –

2.   Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin

13.

Vero- ja maksulain (Likums par nodokļiem un nodevām), sellaisena kuin se oli voimassa käsiteltävän asian tosiseikkojen tapahtuma-aikaan, 15 §:n 6 momentin mukaan internetin ilmoituspalvelujen tarjoajat ovat velvollisia luovuttamaan valtion verohallinnon pyynnöstä tiedot, jotka niillä on hallussaan mainittujen palvelujen kautta ilmoituksia julkaisseista verovelvollisista ja näiden julkaisemista ilmoituksista.

14.

Valsts ieņēmumu dienestsin (valtion verohallinto, Latvia) (jäljempänä vastaaja) alaisen Nodokļu kontroles pārvalden (valtion verotarkastusvirasto, Latvia) johtaja lähetti 28.8.2018 SIA ”SS”:lle (jäljempänä kantaja) vero- ja maksulain 15 §:n 6 momentin mukaisen tietojen luovutuspyynnön.

15.

Siinä kantajaa pyydettiin luovuttamaan vastaajalle tiedot kantajan internetsivulla (www.ss.com) ilmoituksia julkaisseiden henkilöiden puhelinnumeroista ja julkaistuissa ilmoituksissa mainittujen ajoneuvojen valmistenumeroista. Vastaaja pyysi kantajaa toimittamaan viimeistään 3.9.2018 myös tiedot kyseisen portaalin Moottoriajoneuvot-osiossa 14.7.–31.8.2018 julkaistuista ilmoituksista. Tiedot pyydettiin toimittamaan sähköisessä muodossa, joka soveltuu tietojen suodattamiseen ja valikoimiseen. Kantajaa pyydettiin myös sisällyttämään tiedostoon seuraavat tiedot: linkki ilmoitukseen, ilmoituksen teksti, ajoneuvon merkki, malli, valmistenumero ja hinta sekä myyjän puhelinnumerot.

16.

Jos tietoja ei olisi enää jatkossa mahdollista luovuttaa, kantajaa pyydettiin ilmoittamaan syy siihen. Sitä pyydettiin myös toimittamaan säännöllisesti tiedot edellisenä kalenterikuukautena julkaistuista ilmoituksista viimeistään kunkin kalenterikuukauden kolmantena päivänä.

17.

Kantaja teki kyseisestä tietojen luovutuspyynnöstä oikaisuvaatimuksen vastaajan virkaa tekevälle pääjohtajalle. Kantaja väitti, ettei pyyntö ole laajuudeltaan oikeudellisesti perusteltu, koska siinä pyydetään luovuttamaan yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa tarkoitettuja henkilötietoja. Pyynnössä ei mainita mitään tiettyä rekisteröityjen ryhmää eikä suunnitellun käsittelyn tarkoitusta ja laajuutta eikä myöskään sitä, miten kauan tietojen luovutusvelvollisuus on voimassa. Vastaaja ei siten ole toiminut yleisestä tietosuoja-asetuksesta johtuvan suhteellisuusperiaatteen ja henkilötietojen käsittelyn minimoinnin periaatteen mukaisesti, vaikka sen rekisterinpitäjänä kuuluu noudattaa näitä periaatteita.

18.

Vastaaja hylkäsi oikaisuvaatimuksen 30.10.2018 tekemällään päätöksellä (jäljempänä riidanalainen päätös) ja pysytti luovutuspyynnön voimassa.

19.

Päätöksensä perusteluissa vastaaja lähinnä totesi, että käsitellessään kyseisiä tietoja verohallinto hoitaa lakiin perustuvia tehtäviään ja käyttää sille lailla annettuja valtuuksia. Verohallinto vastaa verojen ja muiden maksujen kannosta ja valvonnasta. Näitä tehtäviä hoitaessaan sillä on lakiin perustuva velvollisuus valvoa luonnollisten henkilöiden ja oikeushenkilöiden taloudellista toimintaa ja rahoitustoimintaa sen varmistamiseksi, että kyseiset maksut tilitetään valtion kassaan, josta rahoitetaan valtion ja unionin talousarviota. Edellä mainittujen tehtävien hoitamiseksi laissa annetaan vastaajalle valtuudet hankkia verotettavien tapahtumien kirjanpitoon tai rekisteröintiin tai verojen ja maksujen valvontaan tarvittavat asiakirjat ja tiedot. Maksu- ja verolain 15 §:n 6 momentin mukaan internetin ilmoituspalvelujen tarjoajat ovat velvollisia luovuttamaan valtion verohallinnon pyynnöstä tiedot, jotka niillä on hallussaan mainittujen palvelujen kautta ilmoituksia julkaisseista verovelvollisista ja näiden julkaisemista ilmoituksista. Vastaajan hallussa olevat luottamukselliset tiedot on suojattu laissa erityisesti verohallinnon työntekijöille asetetulla kiellolla luovuttaa näitä tietoja. Tästä seuraa, että luovutuspyyntö on lainmukainen.

20.

Kantaja nosti riidanalaisesta päätöksestä Administratīvā rajona tiesassa (alueellinen hallintotuomioistuin, Latvia) kumoamiskanteen, jossa se väitti, että riidanalaisen päätöksen perusteluissa ei mainittu tietojenkäsittelyn konkreettista tarkoitusta eikä määritelty perusteita, joiden mukaisesti tietystä tunnistettavissa olevien henkilöiden ryhmästä pyydetyt tiedot on valikoitava.

21.

Administratīvā rajona tiesa hylkäsi kanteen 21.5.2019 antamallaan tuomiolla. Se oli olennaisin osin samaa mieltä vastaajan kanssa siitä, että kenestäkään henkilöstä verohallinnolle luovutettavien tietojen määrää ei voida rajoittaa, paitsi jos todetaan, etteivät tiedot vastaa mitään verohallinnollista tarkoitusta. Tuomion mukaan pyydettyjä tietoja tarvittiin ilmoittamatta jätetyn taloudellisen toiminnan tunnistamiseksi. Yleisen tietosuoja-asetuksen säännöksiä sovelletaan yksinomaan kantajaan palvelujen tarjoajana, mutta ei veroviranomaiseen.

22.

Kantaja valitti tästä tuomiosta Administratīvā apgabaltiesaan (maakunnallinen hallintotuomioistuin, Latvia). Kantajan mukaan käsiteltävään asiaan on sovellettava yleistä tietosuoja-asetusta. Koska kyse on luovutuspyynnöllä kerätyistä henkilötiedoista, vastaajaa on pidettävä yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä, ja sen on siten noudatettava kyseisessä asetuksessa säädettyjä vaatimuksia. Kantajan mukaan vastaaja kuitenkin loukkasi luovutuspyynnöllä suhteellisuusperiaatetta, koska kyseisessä pyynnössä velvoitettiin toimittamaan vastaajalle kuukausittain huomattavia määriä tietoa määräämättömästä määrästä ilmoituksia yksilöimättä kuitenkaan niitä verovelvollisia, joiden kohdalla vastaaja oli aloittanut verotarkastuksen. Kantaja väittää, ettei luovutuspyynnössä mainita, miten kauan sille asetettu velvollisuus toimittaa vastaajalle kyseisessä pyynnössä mainittuja tietoja kestää. Näin ollen se katsoo, että vastaaja on loukannut yleisen tietosuoja-asetuksen 5 artiklassa mainittuja henkilötietojen käsittelyä koskevia periaatteita (lainmukaisuus, kohtuullisuus ja läpinäkyvyys). Kantaja väittää, että luovutuspyynnössä sen paremmin kuin riidanalaisen päätöksen perusteluissakaan ei täsmennetä sitä erityistä asiayhteyttä (käyttötarkoitus), johon vastaajan suunnittelema tietojenkäsittely liittyy, eikä myöskään tarvittavien tietojen määrää (tietojen minimointi). Se väittää, että viranomaisen on esitettävä luovutuspyynnössä selkeästi määritellyt perusteet, joiden mukaan viranomaisen tietystä tunnistettavissa olevien henkilöiden ryhmästä pyytämät tiedot on valikoitava.

23.

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan ei voida yksiselitteisesti todeta, että luovutuspyyntö on ”perusteltu” ja ”satunnainen” ja ettei se koske kaikkia kantajan internetsivuston Moottoriajoneuvot-osioon sisältyviä tietoja, koska verohallinnon tarkoituksena on tehdä jatkuvia ja perusteellisia tarkastuksia. Ennakkoratkaisua pyytänyt tuomioistuin on epävarma siitä, voidaanko vastaajan suunnittelemaa henkilötietojen käsittelyä pitää sovellettavien tietosuojasääntöjen ja tietojenkäsittelyn tarkoitusten mukaisena yleisen tietosuoja-asetuksen johdanto-osan 31 perustelukappaleessa tarkoitetulla tavalla. Näin ollen on tarpeen määrittää perusteet, joiden mukaisesti on arvioitava, kunnioitetaanko vastaajan lähettämässä luovutuspyynnössä perusoikeuksia ja ‑vapauksia ja voidaanko kyseistä luovutuspyyntöä pitää demokraattisessa yhteiskunnassa välttämättömänä ja oikeasuhteisena toimenpiteenä, jolla pyritään turvaamaan unionin ja Latvian julkiseen etuun liittyviä tärkeitä tavoitteita verotuksen ja talousarvion alalla.

24.

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan luovutuspyynnössä ei viitata mihinkään ”tiettyyn tutkimukseen”, jonka vastaaja olisi tehnyt yleisen tietosuoja-asetuksen säännöksissä tarkoitetulla tavalla. Kyseisessä luovutuspyynnössä ei pyydetä toimittamaan tietoja yksittäisistä henkilöistä vaan kaikista niistä rekisteröidyistä, jotka ovat julkaisseet ilmoituksia internetsivuston Moottoriajoneuvot-osiossa. Lisäksi veroviranomainen pyytää toimittamaan tiedot viimeistään kunkin kalenterikuukauden kolmantena päivänä (mikä tarkoittaa, että kantajan on toimitettava vastaajalle kaikki edellisenä kalenterikuukautena julkaistuja ilmoituksia koskevat tiedot). Edellä esitetyn huomioon ottaen ennakkoratkaisua pyytänyt tuomioistuin on epävarma siitä, voidaanko kansallisen viranomaisen kyseistä menettelytapaa pitää yleisessä tietosuoja-asetuksessa säädettyjen vaatimusten mukaisena.

25.

Näiden tosiseikkojen ja oikeudellisten seikkojen perusteella Administratīvā apgabaltiesa on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

26.

Kirjallisia huomautuksia ovat esittäneet Belgian, Kreikan, Espanjan ja Latvian hallitukset sekä Euroopan komissio. Kantaja, Belgian, Espanjan ja Latvian hallitukset sekä komissio vastasivat unionin tuomioistuimen työjärjestyksensä 61 artiklan 1 kohdan mukaisesti esittämiin kirjallisiin kysymyksiin.

27.

Tämän ratkaisuehdotuksen rakenne on seuraavanlainen. Tutkin aluksi, sovelletaanko yleistä tietosuoja-asetusta luovutuspyyntöön, jossa viranomainen pyytää rekisterinpitäjää siirtämään sille tietyn määrän henkilötietoja. Ennakkoratkaisua pyytäneen tuomioistuimen esittämien kysymysten osalta on aluksi tarpeen selvittää seuraavat kaksi seikkaa: kuka on kukin pääasiassa, ja mitä erityisiä säännöksiä yleisessä tietosuoja-asetuksessa annetaan tällaisia tapauksia varten (A). Tämän jälkeen tarkastelen yleiseen tietosuoja-asetukseen perustuvaa (melko yksinkertaista) sääntelykehystä, jota viranomaisten yksityisille yrityksille esittämiin tiedonsiirtopyyntöihin on sovellettava (B). Lopuksi esitän useita huomautuksia siitä, mitä ainakin minun nähdäkseni on pidettävä käsiteltävän asian ydinongelmana, vaikkei ennakkoratkaisua pyytänyt tuomioistuin sitä ole nimenomaisesti tuonut esiin (C).

28.

Kansallinen tuomioistuin on esittänyt kaikkiaan yhdeksän ennakkoratkaisukysymystä, joista jokainen koskee tavalla tai toisella sitä, voidaanko yksityiselle yritykselle esitettyä erityistä henkilötietojen siirtopyyntöä, jonka veroviranomainen on esittänyt veronkannon ja veronkierron valvontatarkoituksessa, pitää lainmukaisena. Kyseinen yksityinen yritys on saanut nämä henkilötiedot rekisteröidyiltä tavanomaisen liiketoimintansa yhteydessä.

29.

Näistä yhdeksästä ennakkoratkaisukysymyksestä ei kuitenkaan ilmene selvästi, ketä mikäkin velvoite tarkkaan ottaen koskee ja minkä yleisen tietosuoja-asetuksen säännöksen perusteella. Tämä sekavuus on melko hyvä osoitus siitä, että käsiteltävän asian rajaukseen liittyy huomattavaa epävarmuutta ainakin seuraavilla kahdella tavalla.

30.

Ensinnäkin on selvitettävä, mihin yleisessä tietosuoja-asetuksessa määritetyistä ryhmistä kukin toimija on käsiteltävässä asiassa luokiteltava. Käsiteltävä asia koskee tiettyjen yksityisen yrityksen keräämästä ja hallitsemasta laajemmasta tietojoukosta valikoitujen tietojen siirtoa kyseiseltä yritykseltä viranomaiselle. Tämä on yleisen tietosuoja-asetuksen 4 artiklan 2 kohdassa tarkoitettu käsittelytoimi, johon unionin tuomioistuimelle esitetyt ennakkoratkaisukysymykset perustuvat.

31.

Ennakkoratkaisua pyytänyt tuomioistuin näyttää kuitenkin katsovan, että veroviranomaista (vastaajaa) on pidettävä rekisterinpitäjänä jo kyseisen tietojen siirron osalta. ( 9 ) Tämä olettama, joka on koko käsiteltävän ennakkoratkaisupyynnön perusta, ilmaistaan nimenomaisesti kuudennessa ja yhdeksännessä ennakkoratkaisukysymyksessä. Sen vuoksi on ensin syytä selventää, kenen tarkkaan ottaen on noudatettava yleistä tietosuoja-asetusta nyt käsiteltävässä asiassa. Ketä on pidettävä rekisterinpitäjänä kyseisen käsittelytoimen osalta? (2)

32.

Toiseksi tämän epävarmuuden vuoksi on ratkaistava toinenkin tärkeä kysymys: mitä yleisen tietosuoja-asetuksen säännöksiä sovelletaan tiedonsiirtopyyntöihin, ja mitkä näistä säännöksistä koskevat erityisesti sitä, minkä tyyppisiä tietoja – ja kuinka paljon tietoja – viranomainen voi yksityiseltä yritykseltä pyytää? Tältä osin on melko kuvaavaa, että kansallisen tuomioistuimen esittämistä ennakkoratkaisukysymyksistä ainoastaan kolmessa viitataan yleisen tietosuoja-asetuksen 5 artiklan 1 kohtaan, joka on poikittaissäännös, jossa vahvistetaan periaatteet, joita kaikkien rekisterinpitäjien on noudatettava henkilötietojen käsittelyssä. Muissa ennakkoratkaisukysymyksissä sitä vastoin viitataan pelkästään ”yleisessä tietosuoja-asetuksessa asetettuihin vaatimuksiin” täsmentämättä, mihin nimenomaisiin säännöksiin näiden vaatimusten pitäisi sisältyä.

33.

Sen vuoksi on syytä vielä selventää, mitkä ovat sovellettavat yleisen tietosuoja-asetuksen säännökset erityisesti siltä osin kuin on kyse kantajana olevan yrityksen ja vastaajana olevan viranomaisen välisestä suhteesta. Miten yleisellä tietosuoja-asetuksella tarkkaan ottaen säännellään tällaisia tiedonsiirtopyyntöjä ja yksityisten yritysten ja viranomaisten vastavuoroisia oikeuksia ja velvollisuuksia? (3)

34.

Ennen näiden kahden seikan selvittämistä palautan kuitenkin mieleen, miksi yleisen tietosuoja-asetuksen soveltamista ja noudattamista ei mielestäni voida tarkastella abstraktisti tulkitsemalla määritelmiä, jotka eivät liity mitenkään siihen erityiseen käsittelytoimeen, joka on otettava tarkastelun lähtökohdaksi. Vasta tämän selittämisen jälkeen voidaan asianmukaisesti määrittää kukin toimija ja sille kuuluvat velvoitteet (1).

35.

Käsiteltävässä asiassa kaikki osapuolet, Latvian hallitus mukaan luettuna, ovat sitä mieltä, että jos tarkastelun lähtökohdaksi otetaan yleisen tietosuoja-asetuksen 4 artiklassa annetut henkilötietojen ja käsittelyn oikeudelliset määritelmät, silloin pääasiaan on todellakin sovellettava kyseistä oikeusvälinettä.

36.

Ensinnäkin tietojen luovutuspyynnössä tarkoitetut tiedot ovat yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa tarkoitettuja henkilötietoja. Pyydetyt tiedot, kuten rekisteröityjen puhelinnumerot tai ajoneuvojen valmistenumerot, ovat ”tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja”. Kyseisistä tiedoista voidaan todellakin tunnistaa ajoneuvojen myyjät ja siten mahdolliset verovelvolliset.

37.

Toiseksi vakiintuneesta oikeuskäytännöstä ilmenee, että tietojen luovuttaminen ( 10 ) tai henkilötietojen luovuttaminen siirtämällä on, samoin kuin tietojen säilyttäminen tai asettaminen muutoin saataville, käsittelyä. ( 11 )”Luovuttaminen siirtämällä” nimittäin mainitaan yleisen tietosuoja-asetuksen 4 artiklan 2 kohdassa vahvistetussa käsittelytoimien luettelossa.

38.

Kolmanneksi henkilötietojen käsittely on yleisen tietosuoja-asetuksen 2 artiklan 1 kohdassa tarkoitetulla tavalla automaattista.

39.

Lisäksi mitään yleisen tietosuoja-asetuksen poikkeuksista, joita on joka tapauksessa tulkittava suppeasti, ( 12 ) ei sovelleta käsiteltävään asiaan. Tuomion Österreischischer Rundfunk ym. ( 13 ) valossa on todettava, kuten tuomiossa Penalty Points Case ( 14 ) äskettäin vahvistettiin, ettei voida väittää, että kyseessä olevaa henkilötietojen käsittelyä suoritetaan yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan a alakohdassa tarkoitetulla tavalla ”sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan”.

40.

Lisäksi vaikuttaa siltä, että myöskään yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan d alakohdassa vahvistettua poikkeusta ei voida soveltaa. Kyseisessä säännöksessä mainitut ”toimivaltaiset viranomaiset” näyttävät olevan poliisin ja syyttäjän kaltaisia viranomaisia. ( 15 ) Niihin eivät kuulu veronkantotarkoituksessa toimivat veroviranomaiset eivätkä varsinkaan internetin ilmoituspalvelujen tarjoajat. Vaikka toimivaltaisten veroviranomaisten suorittama tietojenkäsittely voi joissakin tapauksissa johtaa myös veropetoksen kaltaisten rikosten paljastamiseen, tämä mahdollisuus on tässä vaiheessa pelkästään hypoteettinen. ( 16 )

41.

Jos yleistä tietosuoja-asetusta lähestytään tältä kannalta, on pakostikin todettava, että sitä sovelletaan: kyse on henkilötiedoista, joiden käsittely on automaattista. Kuten jo edellä tämän ratkaisuehdotuksen johdannossa totesin, tällainen lähestymistapa, joka perustuu yleisen tietosuoja-asetuksen 4 artiklan asiaankuuluviin käsitteisiin, kuten käsittelyn, ( 17 ) henkilötietojen ( 18 ) tai rekisterinpitäjän ( 19 ) käsitteisiin, joita tulkitaan laajasti ja irrallaan tietystä käsittelytoimesta, tarkoittaa, että yleistä tietosuoja-asetusta sovelletaan minkä tahansa tietojen mihin tahansa luovuttamiseen.

42.

Jotta käsittelyyn osallistuville eri toimijoille kuuluvia velvoitteita voitaisiin tulkita asianmukaisesti, yleisen tietosuoja-asetuksen mukainen arviointi on aloitettava määrittämällä selkeästi tietty käsittelytoimi. Vasta sen jälkeen voidaan arvioida, mitkä velvoitteet käsittelyyn osallistuville eri toimijoille kuuluvat yleisen tietosuoja-asetuksen nojalla tämän käsittelytoimen osalta. ( 20 ) Kyseinen käsittelytoimi – tietojen käsitteleminen ja työstäminen – on nimenomaan se, mitä kyseisellä asetuksella säännellään. Yleisen tietosuoja-asetuksen sääntelylogiikka on suoritusperusteista ja prosessisuuntautunutta ja siten väistämättä dynaamista, ja sama koskee sääntelyn painotusta.

43.

Mitä on pidettävä käsiteltävässä asiassa kyseessä olevana erityisenä käsittelytoimena? Pääasiassa kyseessä olevien luovutuspyyntöjen täyttäminen edellyttää kiistatta henkilötietojen käsittelyä, johon lähtökohtaisesti sovelletaan yleistä tietosuoja-asetusta. Käsiteltävässä asiassa on kyse kahdesta eri yksiköstä, jotka kumpikin käsittelevät tietoja jossakin vaiheessa. Ennakkoratkaisukysymyksissään kansallinen tuomioistuin keskittyy vastaajan eli kansallisen veroviranomaisen toteuttamaan käsittelyyn. Asian tosiseikoista kuitenkin ilmenee, että sitä ennen kantajan, joka on yksityinen yritys, on täytynyt käsitellä kyseisiä tietoja.

44.

Tuomiossa Fashion ID ( 21 ) unionin tuomioistuin tarkasteli kyseessä olleeseen henkilötietojen käsittelyyn sisältyneitä erityisiä toimintoja sen määrittämiseksi, ketä oli pidettävä rekisterinpitäjänä. Unionin tuomioistuin totesi, että rekisterinpitäjän käsitteellä ei välttämättä viitata yhteen ainoaan elimeen ja se voi koskea useita toimijoita, jotka osallistuvat mainittuun käsittelyyn, jolloin kuhunkin niistä on sovellettava tietosuojan alalla sovellettavia säännöksiä. ( 22 ) Kyseistä luonnollista henkilöä tai oikeushenkilöä ei sen sijaan voida pitää vastuussa mainitussa säännöksessä tarkoitetulla tavalla käsittelyketjun edeltävistä vaiheista tai sen myöhemmistä vaiheista, joiden osalta se ei määrittele tarkoitusta eikä keinoja. ( 23 )

45.

Käsiteltävässä asiassa vastaajaa voidaan todennäköisesti pitää rekisterinpitäjänä heti, kun se on vastaanottanut pyydetyt tiedot kantajalta ja ryhtyy käsittelemään niitä yleisen tietosuoja-asetuksen 4 artiklan 2 kohdassa tarkoitetulla tavalla. ( 24 ) Tässä vaiheessa vastaaja paitsi aloittaa tietojen käsittelyn myös todennäköisesti määrittelee suorittamansa henkilötietojen käsittelyn keinot ja tarkoituksen yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaisesti. Kun vastaaja myöhemmin itse käsittelee kyseisiä tietoja, sen on silloin noudatettava – edellyttäen, ettei jäsenvaltio ole asettanut yleisen tietosuoja-asetuksen 23 artiklassa tarkoitettuja rajoituksia – yleisen tietosuoja-asetuksen 5 artiklassa vahvistettuja tietojen laatua koskevia periaatteita, ja käsittelytoimien on täytettävä vähintään yksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa tarkoitetuista edellytyksistä. ( 25 )

46.

Ennakkoratkaisupyynnöstä kuitenkin ilmenee, että käsiteltävässä asiassa ei ole vielä edetty kyseiseen vaiheeseen. Pyydetyt tiedot eivät ole veroviranomaisen hallussa. Näin ollen se ei ole voinut aloittaa kyseisten tietojen käsittelytoimia. Unionin tuomioistuimelle ei myöskään ole toimitettu mitään tietoja siitä, mitä vastaaja aikoo tiedoilla tehdä tai miten se aikoo niitä käsitellä.

47.

Tähän mennessä veroviranomainen on ainoastaan pyytänyt yksityistä yritystä toimittamaan sille tietyn tietojoukon. Tämä ei sinänsä ole henkilötietojen käsittelyä etenkään, kun kyseisiä tietoja ei ole vielä edes saatu. Tässä tosiasiallisessa skenaariossa kantaja, joka on yksityinen yritys, on tietojen rekisterinpitäjä, koska se on alun perin hankkinut tiedot omassa liiketoiminnassaan ja siten itse määrittelemillään keinoilla ja itse määrittelemiinsä tarkoituksiin. Siltä osin kuin kantaja käsittelee hallussaan olevia tietoja luovuttaakseen ne vastaajalle tältä saatujen ehtojen mukaisesti, sitä on pidettävä rekisterinpitäjänä myös tämän myöhemmän käsittelytoimen osalta. Tästä myöhemmästä käsittelystä ( 26 ) huolehtii kantaja.

48.

Tässä asiayhteydessä ja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisesti kantajan on siten varmistettava, että se noudattaa sille rekisterinpitäjänä kuuluvaa lakisääteistä velvoitetta eli maksu- ja verolain 15 §:n 6 momenttia. Rekisterinpitäjänä kantajan on noudatettava myös yleistä tietosuoja-asetusta silloin, kun se käsittelee henkilötietoja ja luovuttaa niitä vastaajalle. Ennakkoratkaisua pyytäneen tuomioistuimen kysymykset eivät kuitenkaan koske sen tietojenkäsittelyn laajuutta, jota kantajalta edellytetään kyseessä olevan tietopyynnön täyttämiseksi. Ennakkoratkaisua pyytänyt tuomioistuin ei itse asiassa ole kysynyt mitään niistä yleiseen tietosuoja-asetukseen perustuvista velvoitteista, joita kantajan on mahdollisesti noudatettava huolehtiessaan tästä käsittelystä.

49.

Määrittäessään vastaajan toimijaksi, jolle yleisessä tietosuoja-asetuksessa tarkoitetut velvoitteet oletetusti kuuluvat, ennakkoratkaisua pyytänyt tuomioistuin näyttää pohtivan yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa tarkoitettua käsittelyn (oikeudellista) perustetta, joka on maksu- ja verolain 15 §:n 6 momentti, sellaisena kuin se pantiin täytäntöön vastaajan esittämillä luovutuspyynnöillä.

50.

Kaikkien yhdeksän ennakkoratkaisukysymyksen taustalla oleva keskeinen kysymys näyttää siten liittyvän kahden toisiaan seuraavan rekisterinpitäjän välillä tapahtuvien henkilötietojen siirtojen laajuuteen ja edellytyksiin. ( 27 ) Sovelletaanko yleisen tietosuoja-asetuksen säännöksiä toisiaan seuraavien rekisterinpitäjien väliseen suhteeseen, ja jos sovelletaan, mitkä nämä säännökset ovat? Sisältyykö yleiseen tietosuoja-asetukseen (aineellisia tai ajallisia) rajoituksia, jotka koskisivat kahden rekisterinpitäjän, tässä tapauksessa yksityisen yrityksen ja viranomaisen, välisten henkilötietojen siirtojen laajuutta ja tyyppiä? Kaikki nämä kysymykset liittyvät henkilötietojen saannin oikeusperusteeseen, eivätkä ne oikeastaan koske käsittelytoimea.

51.

Yleinen tietosuoja-asetus koskee ensisijaisesti rekisteröityjen henkilötietojen suojaa sekä rekisteröityjen ja heidän tietojaan käsittelevien yksiköiden välistä suhdetta. Tätä varten yleisessä tietosuoja-asetuksessa vahvistetaan rekisteröityjen oikeudet ja asianomaisten rekisterinpitäjien velvollisuudet henkilötietojen käsittelyssä.

52.

Tällainen sääntelylogiikka painottuu itse tietoihin ja näitä tietoja saaviin ja niitä työstäviin yksiköihin. Yleisessä tietosuoja-asetuksessa on hyvin vähän säännöksiä, joilla suoraan ja nimenomaisesti säännellään tietoja käsittelevien yksiköiden välisiä suhteita. ( 28 ) Pitää paikkansa, että yleistä tietosuoja-asetusta sovelletaan epäsuorasti myös näihin suhteisiin. Siinä velvoitetaan kaikki yksiköt, jotka saavat myöhemmin käsiteltäväkseen kyseiset henkilötiedot, suojaamaan ne ja rekisteröityjen oikeudet. Tällä tavoin yleisessä tietosuoja-asetuksessa todellakin asetetaan tiettyjä edellytyksiä tietojen luovuttamiselle ja tiedonsiirroille. Tämä ei kuitenkaan tarkoita sitä, että yleisellä tietosuoja-asetuksella säänneltäisiin suoraan näiden yksiköiden välisiä suhteita.

53.

Jos tietoa pidettäisiin esineenä, yleisen tietosuoja-asetuksen sääntelylogiikkaa voitaisiin tavallaan verrata tietyntyyppisiä (arvo-, taide-, historiallisia) esineitä koskevaan julkisoikeudelliseen erityissääntelyyn. Tällaisella erityissääntelyllä asetetaan esineille tiettyjä rajoituksia: miten niitä voidaan valmistaa, miten niitä on käytettävä ja millä edellytyksillä niitä voidaan muuntaa, varastoida, jälleenmyydä tai hävittää. Sillä suojataan kyseisiä esineitä, ja näin ollen se sitoo epäsuorasti niiden vaihtuvia omistajia tai haltijoita. Tällainen erityissääntely pysyy kuitenkin sidoksissa itse esineisiin. Sillä ei säännellä yksityisiä järjestelyjä, joiden mukaisesti nämä esineet voidaan myydä yksityiseltä toiselle, eikä edellytyksiä, joiden täyttyessä ne voidaan siirtää tai on siirrettävä yksityiseltä julkiselle yksikölle. Itse esineiden sääntely siis poikkeaa niiden omistusoikeuden ja niiden kaupan sääntelystä.

54.

Yleistä tietosuoja-asetusta voidaan tulkita järkevästi vain selvittämällä tämä sääntelylogiikka ja ottamalla kyseisestä asetuksesta johtuvien mahdollisten velvoitteiden määrittämisen lähtökohdaksi tietty käsittelytoimi. Muuten yleistä tietosuoja-asetusta jouduttaisiin soveltamaan aina, vaikka siinä ei – edes luovasti tulkittuna – yksinkertaisesti ole sellaisia säännöksiä, jotka koskisivat kyseisessä tapauksessa esiin tuotua nimenomaista kysymystä. Tällaisissa tapauksissa olisi väistämättä päädyttävä siihen, ettei yleinen tietosuoja-asetus ole esteenä kyseessä olevalle kansalliselle lainsäädännölle tai käytännölle. Tämä ristiriidan puuttuminen ei kuitenkaan olisi välttämättä seurausta siitä, että kansalliset järjestelmät ovat yleisesti ottaen lainmukaisia, vaan pikemminkin siitä, että kyseiseen kysymykseen ei yksinkertaisesti sovelleta yleistä tietosuoja-asetusta, vaikka se tavalla tai toisella liittyykin henkilötietoihin.

55.

Tällaiset ”väärät positiiviset” tapaukset tunnetaan jo siinä unionin tuomioistuimen oikeuskäytännössä, joka koskee kansallisessa oikeudessa eri syistä asetettuja tietojen luovuttamista koskevia velvollisuuksia. Jälleen on todettava, että useimmat näistä tapauksista eivät koske käynnissä olevaa käsittelytoimea sinänsä vaan käsittelytoimen oikeusperustetta, joka on tätä edeltävä kysymys. Kyseisten tapaukset vaihtelevat tekijänoikeuksien täytäntöön panemista koskevista riita-asioista ( 29 ) julkisten varojen asianmukaista hoitoa ( 30 ) ja kansallisen turvallisuuden takaamista koskeviin asioihin. ( 31 ) Muina esimerkkeinä voitaisiin mainita tuomio Rigas satiksme, ( 32 ) tuomio Promusicae, ( 33 ) tuomio Bonnier ( 34 ) ja tuomio J & S Service. ( 35 )

56.

Kaikissa näissä tilanteissa yleistä tietosuoja-asetusta sovellettiin rekisteröityjen oikeuksiin rekisterinpitäjiin nähden sellaisten käsittelytoimien yhteydessä, jotka oli äskettäin toteutettu tai aiottiin piakkoin toteuttaa. Korostan kuitenkin jälleen, että yleisen tietosuoja-asetuksen sääntelylogiikka ja asianmukainen soveltamisala pätevät kaikkialla, minne tiedot menevät, ja henkilötietojen suoja on varmistettava kaikissa käsittelytoimissa. Yleisellä tietosuoja-asetuksella ei ole tarkoitus säännellä kaikkia käsittelytoimea edeltäviä suhteita niiden eri yksiköiden välillä, joiden hallussa tiedot mahdollisesti ovat, eikä myöskään sitä, miksi ja miten ne ovat saaneet haltuunsa nämä tiedot. Toisin sanoen yleisellä tietosuoja-asetuksella ei taata minkään yksittäisen rekisterinpitäjän ”oikeuksia” suhteessa toiseen rekisterinpitäjään.

57.

Tällä en tarkoita sitä, etteikö näitä kysymyksiä säänneltäisi lailla. Toki niitä säännellään, mutta muilla, ensisijaisesti lain täytäntöönpanoa koskevilla välineillä. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa alun perin edellytetty käsittelyn oikeusperuste löytyy kyseisistä oikeusvälineistä. Henkilötietojen pakollisista siirroista ymmärrettävästikin säädetään yleensä joko unionin oikeuteen ( 36 ) tai kansalliseen oikeuteen sisältyvissä täytäntöönpanoalan välineissä. Henkilötietojen vapaaehtoisten siirtojen perusta on – mahdollisuuksien mukaan ja yleisen tietosuoja-asetuksen kaltaisen julkisoikeudellisen järjestelmän salliessa – kansallisessa yritys- tai sopimusoikeudessa sen mukaan, minkätyyppisiä järjestelyjä toisiaan seuraavien rekisterinpitäjien välillä on käytössä.

58.

Nämä selvennykset huomioon ottaen käsiteltävässä asiassa ei mielestäni ole (vielä) kyse mistään käsittelytoimesta. Siinä on kyse käsittelyn oikeusperusteesta, ja tämä on kysymys, johon yleisessä tietosuoja-asetuksessa ainoastaan viitataan mutta jota sillä ei suoraan säännellä. Avustaakseni täysimääräisesti ennakkoratkaisua pyytänyttä tuomioistuinta esitän kuitenkin tämän ratkaisuehdotuksen seuraavassa osassa yleisestä tietosuoja-asetuksesta johtamani oikeudellisen peruskehyksen, jota käsittelytoimeen sovelletaan sen jälkeen, kun rekisterinpitäjä eli yksityinen yritys on sen toteuttanut (B). Yleisen tietosuoja-asetuksen tavoitteena on suojella rekisteröityä. Sen tavoitteena ei ole suojella yksityistä yritystä julkishallinnon puuttumiselta sen elinkeinovapauteen tai omistusoikeuteen yrityksen hallussa olevia tietoja hyödyntämällä. Tällä en suinkaan tarkoita sitä, etteikö tämä kysymys herättäisi perusteltua huolta, vaan tarkoitan sitä, että sitä tuskin voidaan säännellä yleisellä tietosuoja-asetuksella (C).

59.

Tarkastelen seuraavaksi melko yleisesti sen tietojenkäsittelyn oikeusperustetta, joka kantajan olisi toteutettava voidakseen täyttää vastaajalta saamansa tietojen luovutuspyynnön. Tältä osin merkityksellinen säännös on todennäköisesti yleisen tietosuoja-asetuksen 6 artikla ja erityisesti sen 1 ja 3 kohta, luettuina yhdessä sen johdanto-osan 45 perustelukappaleen kanssa.

60.

Aluksi on syytä mainita, ettei unionin tuomioistuimelle ole toimitettu tarkempia tietoja siitä, onko voimassa muita tietosuojaa koskevia kansallisia oikeussääntöjä, joita sovellettaisiin pääasiassa kyseessä olevan kaltaisiin tilanteisiin. Unionin tuomioistuin ei myöskään ole saanut mitään tietoa siitä, onko maksu- ja verolain 15 §:n 6 momentin lisäksi olemassa muita yleisesti sovellettavia kansallisia säännöksiä (esimerkiksi asetuksia tai soveltamisohjeita), joilla säänneltäisiin tarkemmin kyseessä olevaa (internetin ilmoitus-)palvelujen tarjoajille asetettua velvoitetta luovuttaa tietyt tiedot veroviranomaisille. Myös kansallisesta lainsäädännöstä, jolla yleinen tietosuoja-asetus pantiin täytäntöön yleisesti, on hyvin vähän tietoja.

61.

Ei myöskään ole tehty selväksi, onko yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan e alakohta saatettu osaksi kansallista lainsäädäntöä jollakin tavoin. Se, onko tietty unionin oikeuden säännös pantu täytäntöön vai ei, ei sinänsä vaikuta tietojensiirtopyynnön lainmukaisuuteen. Sillä on kuitenkin merkitystä määritettäessä niiden velvoitteiden laajuutta ja luonnetta, joita myöhemmällä rekisterinpitäjällä (viranomainen) voi olla rekisteröityihin nähden, sekä määritettäessä alkuperäisen rekisterinpitäjän velvoitteita ja tietoja, jotka sen on annettava rekisteröidyille.

62.

Seuraava analyysi on siten auttamatta melko yleisluonteinen. Tarkastelen aluksi yleisen tietosuoja-asetuksen 6 artiklasta johtuvia periaatteita, joita sovelletaan käsittelyyn, jonka yksityinen yritys suorittaa viranomaisen lähettämän tietojen luovutuspyynnön täyttämiseksi, kyseisten tiedonsiirtojen tarkoituksen (1) ja niiden ulottuvuuden ja keston (2) kannalta. Sen jälkeen käsittelen kyseisten siirtojen oikeusperustetta, sillä sitä koskevat vaatimukset selkiytyvät, kun on ensin ratkaistu edellä mainitut esikysymykset (3).

63.

Yleisesti ottaen sitä yleistä tarkoitusta, jota varten veroviranomainen on pääasiassa pyytänyt henkilötietoja luovuttamaan, on kiistatta pidettävä hyväksyttävänä. Asianmukaisen veronkannon varmistaminen ja veronmaksuvelvollisuuden mahdollisten laiminlyöntien havaitseminen kuuluvat varmasti yleisen tietosuoja-asetuksen 6 artiklan 1 ja 3 kohdassa tarkoitetun kaltaisiin tietojenkäsittelyn oikeutettuihin päämääriin. ( 37 )

64.

Käsiteltävässä asiassa esiin tuotujen kysymysten avain on siinä, miten abstraktisti tällainen päämäärä voidaan ilmaista. Seuraavien erityisten päämäärien välillä näyttää olevan jonkin verran sekaannusta: i) tietyntyyppisten tietojen etsiminen (lainrikkomusten havaitsemiseksi) ja ii) sen todentaminen, onko tietty rikkomus tapahtunut (ja tarkempien tietojen pyytäminen tämän oletuksen vahvistamiseksi).

65.

Nämä kaksi tiedonsiirtotyyppiä ovat väistämättä erilaisia luonteeltaan (ja siten myös laajuudeltaan). Etsiminen ja havaitseminen on logiikaltaan ennakoivaa ja laaja-alaista, ja siinä jää pitkälti määrittelemättä, keistä rekisteröidyistä tarkkaan ottaen on kyse. Jos päämääränä on havaita mahdollisia rikkomuksia, vertauskuvallinen verkko on levitettävä melko laajalle. Mahdollisten rikkomusten todentaminen luovutettujen tietojen perusteella voi sitä vastoin olla logiikaltaan paljon monisyisempää ja kohdennetumpaa. Se tapahtuu vasta jälkikäteen, ja siinä yleensä keskitytään jo yksilöitävissä olevaan rekisteröityyn liittyvien epäilysten todentamiseen.

66.

Mielestäni yleisen tietosuoja-asetuksen 6 artikla sallii molemmat skenaariot. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohta kuitenkin edellyttää, että molemmille tiedonsiirroille on selkeä oikeudellinen peruste.

67.

Ennakkoratkaisua pyytäneen tuomioistuimen epäröinti nyt käsiteltävässä asiassa on silti hyvin ymmärrettävää, kun otetaan huomioon maksu- ja verolain 15 §:n 6 momentin sanamuoto. Kyseisessä momentissa, sellaisena kuin se oli voimassa silloin, kun kansallinen tuomioistuin esitti ennakkoratkaisupyyntönsä, säädettiin, että internetin ilmoituspalvelujen tarjoajat ovat velvollisia veroviranomaisen pyynnöstä luovuttamaan tietoja (kyseisistä) verovelvollisista.

68.

Vaikuttaa siten siltä, että käsiteltävässä asiassa merkityksellisessä oikeusperusteessa mainittu tietojen luovuttamisen tarkoitus vastaa edellä kuvatuista skenaarioista jälkimmäistä: tiettyjen yksittäisiin verovelvollisiin liittyvien tietojen todentamista. Kansallinen veroviranomainen näyttää kuitenkin käyttäneen tätä oikeusperustetta pyytääkseen ilmeisesti (rajoittamattomia) tiedonsiirtoja tai suoranaista tiedonharavointia sellaista yleistä etsintä- ja havaitsemistyötä varten, joka vastaa pikemminkin ensimmäistä edellä kuvattua skenaariota. Tässä nimenomaan piilee se käsiteltävän asian taustalla kansallisella tasolla oleva looginen ristiriita, joka aiheuttaa hämmennystä sekä kyseisen toimenpiteen oikeasuhteisuudesta (2) että sen asianmukaisesta oikeusperusteesta (3).

69.

Oikeasuhteisuus ja yleensäkin minimointi edellyttää (asetettujen) tavoitteiden ja niiden saavuttamiseksi (valittujen) keinojen välisen suhteen tarkastelua. Käsiteltävässä asiassa ongelmana on se, että oikeasuhteisuuden arviointi johtaa todennäköisesti eri tulokseen sen mukaan, kummassa (teoreettisessa ( 38 )) skenaariossa asetettujen päämäärien kannalta se tehdään.

70.

Etsintä- ja havaitsemistavoitteen puitteissa viranomaiset levittävät verkkonsa niin kauas kuin suinkin voivat sen varmistamiseksi, että asiaankuuluvat tiedot löytyvät. Tämä voi edellyttää hyvinkin suuren tietomäärän käsittelyä. Tarve hankkia ja käsitellä suuria tietojoukkoja on todellakin hyvin luonteenomaista tämänkaltaiselle yleiselle ja määrittämättömälle tiedonhaulle. Kyseisessä skenaariossa oikeasuhteisuus ja tietojenkäsittelyn minimointi voivat oikeastaan koskea vain niiden luovutettavaksi pyydettyjen tietojen tyyppiä, joiden joukosta tarvittavat tiedot voivat mahdollisesti löytyä. ( 39 )

71.

Todentamistavoitteen puitteissa eli tilanteessa, jossa viranomaisten on hankittava näyttöä jonkin tietyn liiketoimen tai liiketoimien joukon sisällöstä, oikeasuhteisuuden arviointi voi luonnollisestikin olla haastavampaa. Tällöin veroviranomainen voi pyytää tietoja ainoastaan tietyistä yksittäisistä liiketoimista ja tietyltä aikaväliltä suorittaakseen jälkikäteistarkastuksia, jotka tavallisesti kohdistuvat vain tiettyihin verovelvollisiin. Sen vuoksi luovutuspyyntö todennäköisesti rajataan erityisiin tietoihin, jotka sisältävät tämänluonteista informaatiota.

72.

Sikäli kuin voin havaita, yleisen tietosuoja-asetuksen johdanto-osan 31 perustelukappaleen logiikka näyttää liittyvän ainoastaan jälkimmäiseen skenaarioon. Kyseisen perustelukappaleen toisessa virkkeessä, johon käsiteltävän asian osapuolet ovat vedonneet ja josta ne ja erityisesti komissio keskustelivat pitkällisesti, todetaan, että viranomaisten lähettämien luovutuspyyntöjen olisi aina oltava kirjallisia, perusteltuja ja satunnaisia eikä niiden pitäisi koskea kokonaista rekisteriä tai johtaa rekisterien yhteenliittämiseen.

73.

Mielestäni mitään asetuksen johdanto-osan perustelukappaletta (tai sen osaa) ei kuitenkaan voida irrottaa asiayhteydestään eikä käsitellä itsenäisenä ja sitovana säännöksenä, jos siihen ei millään tavoin viitata muualla kyseisen säädöksen oikeudellisesti sitovassa osassa, ( 40 ) eikä sillä perusteella väittää, että henkilötietojen siirto viranomaisille voi tapahtua ainoastaan näillä edellytyksillä. En yksinkertaisesti voi hyväksyä väitettä siitä, että johdanto-osan 31 perustelukappaleen osa irrallaan tarkasteltuna estää kaikki laajamittaiset tiedonsiirrot viranomaisille ja jopa siirrot, joille on asianmukainen oikeusperuste (kansallisessa ja/tai unionin oikeudessa) ja jotka täyttävät kaikkien yleisen tietosuoja-asetuksen sitovien säännösten vaatimukset.

74.

Käsiteltävässä asiassa Latvian hallitus väitti, että luovutettavaksi pyydettyjen tietojen määrää voidaan pitää kohtuullisena sikäli kuin luovutuspyyntö sisältää ainoastaan Moottoriajoneuvot-osiossa, joka on yksi kantajan ylläpitämän sivuston 112 osiosta, julkaistut ilmoitukset. Belgian ja Espanjan hallitukset täsmensivät, että niiden mielestä ongelmana ei ole pyydettyjen tietojen määrä vaan niiden tyyppi.

75.

Olen näistä huomautuksista samaa mieltä.

76.

Ennakoivassa etsimisessä ja havaitsemisessa oikeasuhteisuus tarkoittaa eräänlaista pyydettyjen tietojen tyypin ”laadunvarmistusta”, ja ”määränvarmistus” voidaan toteuttaa täysimääräisesti vain tarkastettaessa jälkikäteen tiettyjä tosiseikkoja. Muuten useimmat tietojen seuranta- tai valvontakeinot olisivat käytännössä poissuljettuja.

77.

Jos tälle on unionin oikeudessa tai kansallisessa oikeudessa asianmukainen oikeusperuste, kansallinen veroviranomainen voi lähtökohtaisesti pyytää luovuttamaan kaikki tiedot, joita se tarvitsee tutkimukseen, joka sen on tehtävä, ja ilman mitään ajallisia rajoituksia. Ainoa yleisestä tietosuoja-asetuksesta johtuva rajoitus on se, että tietojenkäsittelyn on oltava luovutettavaksi pyydettyjen tietojen tyyppiin nähden oikeasuhteista. Kuten Kreikan hallitus perustellusti huomauttaa, luovutuspyynnöt olisi rajattava ainoastaan sen tyyppisiin tietoihin, jotka koskevat veronmaksajien elinkeinotoimintaa, mutta eivät saa koskea heidän yksityiselämäänsä.

78.

Jos esimerkiksi käsittelylle määritetty tarkoitus on selvittää, onko käytettyjen autojen myynnistä saatu ilmoittamattomia tuloja, veroviranomaisella ei ole oikeutta pyytää samassa yhteydessä tietoja siitä, onko auton myyjä punatukkainen, noudattaako hän jotakin tiettyä ruokavaliota tai omistaako hän uima-altaan. Näin ollen luovutettavaksi pyydettyjen tietojen tyypin on liityttävä selkeästi tiettyyn yksilöityyn tiedonhakuun ja tutkimukseen.

79.

Muilta osin oikeasuhteisuuden arviointi kummassakin edellä mainitussa skenaariossa kuuluu ennakkoratkaisua pyytäneelle tuomioistuimelle, jonka on otettava huomioon käsiteltävän asian tosiseikan ja oikeudelliset seikat. ( 41 ) Siinä on selvitettävä, soveltuvatko luovutettavaksi pyydetyt tiedot siihen, että vastaaja kykenee hankkimaan käsittelylle määrittelemänsä päämäärän saavuttamiseksi tarvittavat tiedot.

80.

Käsiteltävän asian keskeistä kysymystä, joka koskee oikeusperustetta, voidaan vasta nyt arvioida edellä esittämieni selvennysten kannalta. Kummallekin tämän ratkaisuehdotuksen edellisissä osissa kuvatulle skenaariolle (”etsiminen ja havaitseminen” ja ”todentaminen”) on luonnollisestikin oltava yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa tarkoitettu oikeusperuste, jotta kantaja voisi toteuttaa käsittelyn. Kyseisessä säännöksessä sallitaan nimenomaisesti yleisen tietosuoja-asetuksen yleisten sääntöjen soveltamisen mukauttaminen joko unionin oikeudessa tai jäsenvaltion lainsäädännössä.

81.

Säädetystä oikeusperusteesta on tietenkin joka tapauksessa käytävä ilmi käsittelyn erityinen tarkoitus ja tässä tarkoituksessa suoritetun käsittelyn tyyppi. Siitä, miten tämä tarkkaan ottaen tapahtuu, on säädettävä jäsenvaltion tai unionin yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti antamissa erityisissä mukauttamissäännöksissä. Yleisesti ottaen voidaan sanoa, että mitä yleisluonteisempia, laajempia ja pysyvämpiä tiedonsiirrot ovat, sitä vankempi, yksityiskohtaisempi ja nimenomaisempi lainsäädännöllisen perustan on oltava, koska tällaisilla tiedonsiirroilla puututaan laajemmin tietosuojaan. Mitä hillitympiä ja rajoitetumpia luovutuspyynnöt sitä vastoin ovat – ja koskevat ainoastaan yhtä tai harvaa rekisteröityä tai vain rajallista määrää tietoja –, sitä todennäköisemmin ne voidaan täyttää yksittäisten hallinnollisten pyyntöjen tasolla, kun lainsäädäntöön sisältyvä valtuutuslauseke on suhteellisen laaja ja yleispätevä.

82.

Toisin sanoen nämä kaksi sääntelyn tasoa, joista tietojenkäsittelyn mahdollinen oikeusperuste muodostuu, eli lainsäädännöllinen ja hallinnollinen taso, toimivat yhdessä. Ainakin toisen niistä on oltava riittävän yksityiskohtainen ja räätälöity tietyntyyppisille henkilötiedoille tai tietylle määrälle henkilötietoja. Mitä pidemmälle tällaiset tiedonsiirrot on määritelty lainsäädännöllisellä, rakenteellisella tasolla, sitä vähemmän niitä tarvitsee määritellä yksittäisessä hallinnollisessa pyynnössä. Lainsäädännöllisellä tasolla sääntely saattaa jopa olla niin yksityiskohtaista ja tyhjentävää, että siitä tulee täysin itsenäistä ja sellaisenaan sovellettavaa. Mitä yleispätevämpää ja epämääräisempää lainsäädännöllisen tason sääntely sitä vastoin on, sitä yksityiskohtaisempi yksittäisen hallinnollisen luovutuspyynnön on oltava, ja käsittelyn tarkoitus on mainittava selvästi pyynnön ulottuvuuden rajaamiseksi.

83.

Tämä näkökohta antaa epäsuorasti vastauksen ennakkoratkaisua pyytäneen tuomioistuimen oikeasuhteisuudesta esittämään kysymykseen, jota käsiteltävässä asiassa voitaisiin parhaiten tarkastella määrittämällä, voivatko veroviranomaiset esittää luovutuspyyntöjä, joita ei ole rajoitettu ajallisesti. Yleisen tietosuoja-asetuksen nojalla ne nähdäkseni voivat näin tehdä. Tätäkin merkityksellisempi kysymys on kuitenkin se, onko niillä kansallisessa oikeudessa asianmukainen oikeusperuste tällaisille olennaisin osin jatkuville ja pysyville tiedonsiirroille. Niin kauan kuin niille on selkeä perusta ja niiden kesto on määritetty selkeästi kansallisessa lainsäädännössä, yleinen tietosuoja-asetus ei ole esteenä niille. Yleisen tietosuoja-asetuksen johdanto-osan 31 perustelukappale ei taaskaan muuta tilannetta tältä osin. ( 42 ) Mielestäni kyseistä perustelukappaletta ei ole kovinkaan käytännöllistä tulkita siten, että siinä tosiasiallisesti velvoitettaisiin hallintoviranomaiset lähettämään yhä uudestaan ja uudestaan (päivittäin, kuukausittain tai vuosittain) samanlaisia yksittäisiä luovutuspyyntöjä saadakseen jotakin, jonka ne olisivat voineet saada jo kansallisen lainsäädännön perusteella.

84.

Käsiteltävässä asiassa käsittelyn oikeusperusteena näyttävät olevan sekä maksu- ja verolain 15 §:n 6 momentti että veroviranomaisen esittämät erityiset luovutuspyynnöt. Kyseessä vaikuttaa siis olevan kaksinkertainen oikeusperuste, joka muodostuu yleisestä valtuutuslausekkeesta ja sen yksityiskohtaisesti ja kohdennetusti tapahtuvasta hallinnollisesta soveltamisesta.

85.

Kaiken kaikkiaan tällainen kaksinkertainen oikeusperuste vaikuttaa riittävältä oikeuttaakseen kantajan käsittelemään henkilötietoja niiden siirtämiseksi viranomaiselle yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan ja 6 artiklan 3 kohdan mukaisesti. Vaikka kansallinen lainsäädäntö, jolla veroviranomaiset valtuutetaan pyytämään tietoja, on melko yleisluonteista, erityiset luovutuspyynnöt näyttävät pitkälti kohdistuvan ainoastaan tietyntyyppisiin tietoihin, vaikka niitä voi olla määrällisesti paljon.

86.

Viime kädessä on kuitenkin kansallisen tuomioistuimen tehtävä arvioida, täyttääkö kantajalta pääasiassa pyydetty käsittely tämän ratkaisuehdotuksen tässä osassa mainitut vaatimukset, koska se tuntee täysin kansallisen lainsäädännön ja sen myöhemmät kansalliset soveltamissäännökset, joita tässä ennakkoratkaisumenettelyssä ei ole tuotu esiin.

87.

Kysymys, johon kyseisessä arvioinnissa on kiinnitettävä erityistä huomiota oikeusperustetta tutkittaessa, on se, täyttääkö maksu- ja verolain 15 §:n 6 momentti yhdessä erityisten luovutuspyyntöjen kanssa lain ennakoitavuuden vaatimuksen. ( 43 ) Lainsäädännössä, jossa kyseiset tiedonsiirrot on sallittu, on säädettävä selvistä ja täsmällisistä asianomaisen toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden henkilötiedoista on kyse, on riittävät takeet, joiden avulla heidän henkilötietojaan voidaan tehokkaasti suojata väärinkäytön vaaroilta. ( 44 )

88.

Näin ollen oikeusperuste on kokonaisuudessaan (sekä lainsäädännöllisellä että hallinnollisella tasolla) muotoiltava riittävän täsmällisesti, ja tämä koskee kaikkia asianomaisia henkilöitä: viranomaisia siltä osin, mitä tietoja ne voivat pyytää, yrityksiä siltä osin, mitä tietoja ne voivat luovuttaa, ja ennen muuta rekisteröityjä, jotta he tietävät, ketkä kaikki voivat saada käyttöönsä heidän tietojaan ja mihin tarkoituksiin. On syytä muistaa, että tietojen antaminen tietojenkäsittelystä kuuluu todellakin yleisen tietosuoja-asetuksen keskeisiin vaatimuksiin. Rekisteröidyillä on oikeus tietää tällaisesta käsittelystä, ja tämä tiedonsaanti on edellytys sille, että he voivat käyttää muita oikeuksiaan, kuten oikeutta saada itseään koskevia tietoja tai oikeutta poistaa tai oikaista niitä. ( 45 )

89.

Jollei yleisen tietosuoja-asetuksen 23 artiklaa ole millään tavoin saatettu osaksi kansallista oikeutta rajoittamalla rekisteröityjen oikeuksia yleisen tietosuoja-asetuksen III luvun mukaisesti, yleisen tietosuoja-asetuksen 13 ja 14 artiklasta seuraa, että käsittelystä vastaavan rekisterinpitäjän on annettava rekisteröidylle tietoja. Peräkkäisten tiedonsiirtojen yhteydessä voi olla vaikea määrittää, kenelle tiedonantovelvollisuus kuuluu. ( 46 ) Jollei kansallisessa lainsäädännössä ole asetettu yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa tarkoitettuja rajoituksia, joiden täytettävä yleisen tietosuoja-asetuksen 23 artiklan 2 kohdan vaatimukset, tiedot saanut viranomainen voi käytännössä olla velvollinen antamaan yleisen tietosuoja-asetuksen 14 artiklassa tarkoitetut asianmukaiset tiedot kaikille asianomaisille rekisteröidyille. Jollei ole olemassa selkeää ja ennakoitavaa oikeusperustetta, jonka nojalla tällaiset tiedonsiirrot voidaan viime kädessä toteuttaa, henkilötiedot keränneen rekisterinpitäjän voidaan tuskin odottaa jo toimittaneen rekisteröidylle yleisen tietosuoja-asetuksen 13 artiklan mukaisia tietoja.

90.

Mielestäni yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta ja 6 artiklan 3 kohta eivät siten ole esteenä kansallisille säännöksille, joilla internetin ilmoituspalvelujen tarjoajat velvoitetaan siirtämään veroviranomaiselle tiettyjä henkilötietoja ilman mitään ajallisia rajoituksia, kunhan kansallisessa lainsäädännössä on tällaisille tiedonsiirroille selkeä oikeusperuste ja kunhan pyydetyt tiedot soveltuvat veroviranomaisen virallisten tehtävien hoitamiseen ja ovat tarpeen niiden hoitamiseksi.

91.

Minun tehtäväni ei ole pohtia, mitkä ovat asianosaisten todelliset motiivit kansallisessa tuomioistuimessa käsiteltävässä asiassa. Siksi elän edelleen siinä toivossa, että on olemassa laupiaita samarialaisia, jotka epäitsekkäästi astuvat esiin puolustaakseen muita. Miksi yksityiset yritykset eivät yksinkertaisesti voisi puolustaa niiden rekisteröityjen oikeuksia, joilta ne ovat keränneet henkilötietoja?

92.

Vaikka minusta on pelkästään ilahduttavaa, että kaupalliset yritykset lähtevät tietosuojan asialle, oletan, että joillakin näistä yrityksistä saattaa olla muitakin syitä pyrkiä vastustamaan viranomaisten niille määräämiä henkilötietojen siirtoja. Yksi syy voivat olla tällaisten siirtojen kustannukset. Olisiko viranomaisten käytännössä annettava ulkoistaa osa julkishallinnon tehtävistä yksityisille yrityksille ja siten pakottaa nämä yritykset vastaamaan sellaisen toiminnan kustannuksista, joka on pohjimmiltaan julkishallintoa? Tästä kysymyksestä tulee merkityksellinen silloin, kun kyse on pysyvistä, laajamittaisista tiedonsiirroista, joita yksityisten yritysten odotetaan suorittavan yhteiseksi hyväksi ilman minkäänlaista korvausta. ( 47 ) Toinen syy voi olla ennemminkin liiketoiminnallinen. Jos oletetaan – tietenkin täysin hypoteettisesti –, etteivät ihmiset tavallisesti pidä veronmaksusta, ei kenties ole kovin kaukaa haettua myös olettaa, että jotkut näistä ihmisistä haluavat valita käytettyjen ajoneuvojensa myymiseksi jonkin muun kanavan kuin internetsivuston, joka myöhemmin luovuttaa heidän tietonsa veroviranomaisille.

93.

Tällaisessa tilanteessa ei suinkaan ole helppoa löytää tasapainoa kyseessä olevien eri intressien välillä. Yhtäältä se, että viranomainen voisi pyytää yksityisiltä yrityksiltä tietoja, jotka on laadittava ja toimitettava tarkalleen viranomaisen asettamien vaatimusten mukaisesti, voi olla vaarallisen lähellä julkisen hallintotehtävän väkinäistä ulkoistamista. Näin on erityisesti silloin, jos tiedot ovat muutoin vapaasti saatavilla ja jos viranomaiset olisivat voineet itse kerätä ne vähäisellä teknisellä vaivalla. Toisaalta, kuten Belgian hallitus perustellusti toi esiin viitatessaan pääasiassa kyseessä olevan tilanteen laajempaan merkitykseen, erilaisten jakamistalouden palvelualustojen tapauksessa tai muissa tilanteissa, joissa viranomaiset pyytävät tietoja, jotka ovat välttämättömiä niiden ilmoittamaan hyväksyttävään julkiseen tarkoitukseen mutta jotka eivät ole vapaasti saatavilla, jolloin viranomaiset eivät myöskään itse pysty keräämään niitä, tarvitaan ehkä hieman monisyisempää ratkaisua. Kysymys mahdollisen korvauksen saamisesta jää kuitenkin avoimeksi tällaisissakin tilanteissa.

94.

Pääasian taustalla näyttää todellakin häälyvän tämänkaltaisia kysymyksiä. Tällaisissa tapauksissa järkevän tasapainon hakemisen pitäisi tapahtua ensisijaisesti siinä vaiheessa, kun annetaan kansallisen tai unionin tason lainsäädäntöä, jossa säädetään tämänkaltaisten siirtojen oikeusperusteesta. Tuomioistuinten ei tulisi puuttua asiaan etenkään tilanteessa, jossa ennakkoratkaisua pyytänyt tuomioistuin ei ole edes tuonut nimenomaisesti esiin tällaisia kysymyksiä. Lisäksi on ainakin kaksi muuta syytä, miksi käsiteltävä asia ei sovellu tämänkaltaisen keskustelun käynnistämiseen.

95.

Ensinnäkään yleisellä tietosuoja-asetuksella ei yksinkertaisesti säännellä tällaisia kysymyksiä, kuten ei monia muitakaan kysymyksiä, joilla tosin on jonkinlainen yhteys henkilötietojen kulkuun mutta jotka eivät oikeastaan koske rekisteröityjen oikeuksien suojaa. Yleisessä tietosuoja-asetuksessa ei säädetä rekisterinpitäjien oikeudellisesta suojasta, siis yksityisten yritysten suojaamisesta mahdollisesti lainvastaiselta tai suhteettomalta puuttumiselta niiden elinkeinovapauteen, mahdolliseen omistusoikeuteen ( 48 ) tai mahdolliseen oikeuteen saada kohtuullinen korvaus siirretyistä tiedoista.

96.

Toiseksi, niin kauan kuin unionin oikeudessa ei ole säädetty oikeusperustetta tällaisille tiedonsiirroille, ( 49 ) myöskään kysymys tällaisten pakollisten tiedonsiirtojen mahdollisesta korvaamisesta ei voi kuulua unionin oikeuteen. Tällä en suinkaan tarkoita sitä, etteikö tällaisia kysymyksiä voisi tulla esiin, ja vieläpä (kyseisten rekisterinpitäjien) perusoikeuksien suojaa koskevina kysymyksinä. Jos näin käy, ne pitäisi ratkaista niiden jäsenvaltioiden tuomioistuimissa, jotka alun perin määräsivät nämä siirrot. Kaikki tämänkaltaiset asiat olisi siten saatettava kansallisen (perustuslaki-)tuomioistuimen käsiteltäviksi.

97.

Ehdotan, että unionin tuomioistuin vastaa Administratīvā apgabaltiesan esittämiin ennakkoratkaisukysymyksiin seuraavasti: