JULKISASIAMIEHEN RATKAISUEHDOTUS
ATHANASIOS RANTOS
20 päivänä syyskuuta 2022 ( 1 )
Asia C‑252/21
Meta Platforms Inc., aiemmin Facebook Inc.,
Meta Platforms Ireland Limited, aiemmin Facebook Ireland Ltd. ja
Facebook Deutschland GmbH
vastaan
Bundeskartellamt,
jossa asian käsittelyyn osallistuu
Verbraucherzentrale Bundesverband e.V.
(Ennakkoratkaisupyyntö – Oberlandesgericht Düsseldorf (Düsseldorfissa sijaitseva osavaltion ylioikeus, Saksa))
Ennakkoratkaisupyyntö – Asetus (EU) 2016/679 – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Yhteisöpalvelut – 4 artiklan 11 alakohta – Rekisteröidyn antaman suostumuksen käsite – Määräävässä markkina‑asemassa olevalle yritykselle annettu suostumus – 6 artiklan 1 kohdan b–f alakohta – Käsittelyn lainmukaisuus – Tarpeellinen käsittely sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi – Tarpeellinen käsittely rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi taikka yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi – 9 artiklan 1 kohta ja 2 kohdan e alakohta – Erityiset henkilötietoryhmät – Henkilötieto, jonka rekisteröity on nimenomaisesti saattanut julkiseksi – 51–66 artikla – Kansallisen kilpailuviranomaisen toimivaltuudet – Yhteys henkilötietojen suojasta vastaavien kansallisten valvontaviranomaisten toimivaltuuksiin – Tietosuojan valvontaa koskevien toimenpiteiden toteuttaminen kilpailulainsäädännön nojalla muussa jäsenvaltiossa kuin johtavan viranomaisen sijaintijäsenvaltiossa sijaitsevan viranomaisen toimesta
Johdanto
|
1. |
Oberlandesgericht Düsseldorf (Düsseldorfissa sijaitseva osavaltion ylioikeus, Saksa) on esittänyt nyt käsiteltävän ennakkoratkaisupyynnön asiassa, jossa asianosaisina ovat Meta Platforms ‑konserniin kuuluvat yhtiöt ( 2 ) ja Bundeskartellamt (liittovaltion kilpailuviranomainen, Saksa) ja joka koskee päätöstä, jolla viimeksi mainittu kielsi pääasian valittajaa käsittelemästä tietoja Facebookin yhteisöpalvelun käyttöehtojen mukaisesti ja panemasta näitä ehtoja täytäntöön sekä velvoitti sen toteuttamaan toimenpiteitä tämän toiminnan lopettamiseksi. ( 3 ) |
|
2. |
Ennakkoratkaisukysymykset koskevat pääasiallisesti yhtäältä Bundeskartellamtin kaltaisen kansallisen kilpailuviranomaisen toimivaltaa tutkia ensisijaisesti tai liitännäisesti yrityksen käyttäytymistä asetuksen (EU) 2016/679 ( 4 ) tiettyjen säännösten perusteella ja toisaalta näiden tulkintaa tarkasteltaessa muun muassa arkaluonteisten henkilötietojen käsittelyä, henkilötietojen käsittelyn laillisuuden kannalta merkityksellisiä edellytyksiä sekä määräävässä markkina‑asemassa olevalle yritykselle annettavan vapaaehtoisen suostumuksen ilmaisemista. |
Asiaa koskevat oikeussäännöt
Unionin oikeus
|
3. |
Yleisen tietosuoja‑asetuksen 4 artiklassa säädetään seuraavaa: ”Tässä asetuksessa tarkoitetaan – –
– –” |
|
4. |
Kyseisen asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdassa säädetään seuraavaa: ”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.” |
|
5. |
Kyseisen asetuksen 9 artiklan, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, 1 ja 2 kohdassa säädetään seuraavaa: ”1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. 2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:
– –
– –” |
|
6. |
Saman asetuksen VI lukuun ”Riippumattomat valvontaviranomaiset” sisältyvässä 51 artiklassa, jonka otsikko on ”Valvontaviranomainen”, säädetään seuraavaa: ”1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa – –. 2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti. – –” |
Saksan oikeus
|
7. |
Kilpailunrajoituksista annetun lain (Gesetz gegen Wettbewerbsbeschränkungen, jäljempänä GWB) 19 §:n 1 momentissa säädetään seuraavaa: ”Määräävän markkina‑aseman käyttäminen väärin yksin tai yhdessä muiden yritysten kanssa on kiellettyä.” ( 5 ) |
|
8. |
GWB:n 50f §:ssä säädetään seuraavaa: ”(1) Kilpailuviranomaiset, sääntelyviranomaiset, liittovaltion tietosuoja‑ ja tiedonvapausvaltuutettu, osavaltioiden tietosuojavaltuutetut sekä Euroopan unionin kuluttajansuojan täytäntöönpanosta annetun lain (EU‑Verbraucherschutzdurchführungsgesetz) 2 §:ssä tarkoitetut toimivaltaiset viranomaiset voivat valitusta menettelystä riippumatta vaihtaa keskenään tietoja, mukaan lukien henkilötietoja ja liikesalaisuuksia, jos tämä on tarpeen niiden tehtävien hoitamiseksi, sekä käyttää näitä tietoja menettelyissään. – –” |
Pääasia, ennakkoratkaisukysymykset ja asian käsittelyn vaiheet unionin tuomioistuimessa
|
9. |
Meta Platforms hallinnoi Facebook‑nimisen verkkoyhteisöpalvelun (osoitteessa www.facebook.com) sekä muiden verkkopalvelujen, muun muassa Instagramin ja WhatsAppin, tarjoamista Euroopan unionissa. Meta Platformsin hallinnoima yhteisöpalvelujen taloudellinen malli koostuu lähinnä yhtäältä ilmaisten yhteisöpalvelujen tarjoamisesta yksityisille käyttäjille ja toisaalta yksittäisille yhteisöpalvelun käyttäjille räätälöidyn sellaisen verkkomainonnan myymisestä, jonka tarkoituksena on, että tällaisille käyttäjälle näytetään juuri ne tavarat ja palvelut, joista hän saattaa olla kiinnostunut muun muassa kulutuskäyttäytymisensä, mielenkiinnon kohteidensa, ostovoimansa ja elämäntilanteensa perusteella. Tällainen mainonta perustuu teknisesti palvelun käyttäjien ja konsernin tasolla tarjottavien verkkopalvelujen erittäin yksityiskohtaisten automatisoitujen profiilien laatimiseen. ( 6 ) |
|
10. |
Käyttäjätietojen keräämiseksi ja käsittelemiseksi Meta Platforms tukeutuu käyttäjiensä kanssa tekemäänsä käyttösopimukseen, joka tehdään rekisteröitymispainikkeella, jolla kyseiset käyttäjät hyväksyvät Facebookin käyttöehdot. Kyseisten käyttöehtojen hyväksyminen on olennainen edellytys Facebookin yhteisöpalvelun käytölle. ( 7 ) Käsiteltävän asian keskeinen osa koskee käytäntöä, jossa ensinnäkin kerätään tietoja, jotka on saatu konsernin muilta palveluilta sekä kolmansilta verkkosivuilta ja kolmansista sovelluksista niihin liitettyjen rajapintojen tai käyttäjän tietokoneelle tai mobiililaitteelle asennettujen evästeiden kautta, toiseksi yhdistetään nämä tiedot asianomaisen käyttäjän Facebook‑tiliin ja kolmanneksi käytetään kyseisiä tietoja (jäljempänä riidanalainen käytäntö). |
|
11. |
Bundeskartellamt aloitti Meta Platformsia vastaan menettelyn, jonka seurauksena se kielsi riidanalaisella päätöksellä tätä käsittelemästä tietoja Facebookin käyttöehtojen mukaisesti ja soveltamasta kyseisiä käyttöehtoja sekä velvoitti Meta Platformsin toteuttamaan toimenpiteitä tällaisen toiminnan lopettamiseksi. Bundeskartellamt perusteli päätöstään erityisesti sillä, että kyseinen käsittely on GWB:n 19 §:ssä tarkoitettua määräävän markkina‑aseman väärinkäyttöä Saksassa asuville yksityiskäyttäjille tarjottavien yhteisöpalvelujen markkinoilla. ( 8 ) |
|
12. |
Meta Platforms valitti 11.2.2019 riidanalaisesta päätöksestä ennakkoratkaisua pyytäneeseen Oberlandesgericht Düsseldorfiin, ( 9 ) joka on lähinnä epävarma yhtäältä kansallisten kilpailuviranomaisten mahdollisuudesta valvoa, onko tietojenkäsittely yleisessä tietosuoja‑asetuksessa säädettyjen edellytysten mukaista, todeta sen säännösten rikkominen ja määrätä siitä seuraamuksia, sekä toisaalta kyseisen asetuksen tiettyjen säännösten tulkinnasta ja soveltamisesta. |
|
13. |
Oberlandesgericht Düsseldorf on tässä tilanteessa päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
Jos seitsemänteen kysymykseen vastataan myöntävästi, kolmanteen, neljänteen ja viidenteen kysymykseen on vastattava siltä osin kuin on kyse tiedoista, jotka kerätään konsernin Instagram‑palvelun käyttämisestä.” |
|
14. |
Kirjallisia huomautuksia ovat esittäneet Meta Platforms, Saksan, Tšekin, Italian ja Itävallan hallitukset, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (kuluttajayhdistys, Saksa) sekä Euroopan komissio. Nämä osapuolet esittivät myös suullisia huomautuksia 10.5.2022 asianosaisten kuulemiseksi pidetyssä istunnossa. |
Asian tarkastelu
|
15. |
Käsiteltävän asian kohteena olevat ennakkoratkaisukysymykset, jotka koskevat yleisen tietosuoja‑asetuksen useiden säännösten tulkintaa, liittyvät lähinnä ensinnäkin kilpailuviranomaisen toimivaltaan todeta henkilötietojen käsittelyä koskevien sääntöjen rikkominen ja määrätä siitä seuraamuksia sekä sen velvoitteisiin tehdä yhteistyötä yleisessä tietosuoja‑asetuksessa tarkoitetun johtavan viranomaisen kanssa (ensimmäinen ja seitsemäs ennakkoratkaisukysymys), toiseksi arkaluonteisten henkilötietojen käsittelyn kieltämiseen ja niiden käyttöä koskevaan suostumukseen sovellettaviin ehtoihin (toinen ennakkoratkaisukysymys), kolmanneksi henkilötietojen käsittelyn lainmukaisuuteen tiettyjen oikeuttamisperusteiden perusteella (kolmas, neljäs ja viides ennakkoratkaisukysymys) sekä neljänneksi määräävässä markkina‑asemassa olevalle yritykselle annetun henkilötietojen käsittelyä koskevan suostumuksen pätevyyteen (kuudes ennakkoratkaisukysymys). |
|
16. |
Seuraavissa kohdissa käsittelen ensin ensimmäistä ja seitsemättä kysymystä ja sen jälkeen muita kysymyksiä siinä järjestyksessä, jossa ne on esitetty, ja yhdistän kolmannen, neljännen ja viidennen kysymyksen. |
Ensimmäinen ennakkoratkaisukysymys
|
17. |
Ensimmäisessä ennakkoratkaisukysymyksessään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä sitä, voiko kilpailuviranomainen kilpailusääntöjen rikkomista tutkiessaan yhtäältä lausua ensisijaisesti ( 10 ) siitä, onko yritys, jonka henkilötietojen käsittelystä yksin koko unionin alueella vastuussa oleva päätoimipaikka sijaitsee toisessa jäsenvaltiossa, rikkonut henkilötietojen käsittelyä koskevia yleisen tietosuoja‑asetuksen säännöksiä, ja toisaalta määrätä lopettamaan tämän rikkomisen (ensimmäisen kysymyksen a kohta), ja jos tähän kysymykseen vastataan myöntävästi, voiko yleisen tietosuoja‑asetuksen 56 artiklan 1 kohdan nojalla toimivaltainen johtava valvontaviranomainen tutkia kyseisen yrityksen henkilötietojen käsittelyä koskevia sopimusehtoja tutkimusmenettelyssä (ensimmäisen kysymyksen b kohta). |
|
18. |
Jollei ennakkoratkaisua pyytäneen tuomioistuimen suorittamasta tarkistuksesta muuta johdu, Bundeskartellamt ei mielestäni kuitenkaan määrännyt seuraamuksia Meta Platformsin syyllistymisestä yleisen tietosuoja‑asetuksen rikkomiseen vaan tutki pelkästään kilpailusääntöjä soveltaessaan Meta Platformsin väitettyä määräävän markkina‑aseman väärinkäytön kiellon rikkomista ottamalla huomioon muun muassa sen, ettei kyseisen yrityksen menettely ole yleisen tietosuoja‑asetuksen säännösten mukaista. |
|
19. |
Ensimmäisen kysymyksen a kohta on siksi mielestäni tehoton siltä osin kuin se koskee kilpailuviranomaisen mahdollisuutta lausua ensisijaisesti yleisen tietosuoja‑asetuksen säännösten rikkomisesta ja määrätä lopettamaan tämä rikkominen kyseisessä asetuksessa tarkoitetulla tavalla. ( 11 ) |
|
20. |
Tästä seuraa, että myös ensimmäisen kysymyksen b kohta, joka edellyttää, että ensimmäisen kysymyksen a kohtaan vastataan myöntävästi, on tehoton. ( 12 ) |
Seitsemäs ennakkoratkaisukysymys
|
21. |
Seitsemännessä ennakkoratkaisukysymyksessään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä sitä, voiko kilpailuviranomainen kilpailusääntöjen rikkomista tutkiessaan liitännäisesti ( 13 ) ottaa kantaa siihen, vastaavatko henkilötietojen käsittelyä koskevat sopimusehdot ja niiden soveltaminen yleisessä tietosuoja‑asetuksessa säädettyä (seitsemännen kysymyksen a kohta), ja jos tähän kysymykseen vastataan myöntävästi, onko kilpailuviranomaisen suorittama tutkinta mahdollista myös silloin, kun toimivaltainen johtava valvontaviranomainen tutkii näitä ehtoja samaan aikaan tutkimusmenettelyssä (seitsemännen kysymyksen b kohta). |
|
22. |
Seitsemännen kysymyksen a kohdasta on todettava ensinnäkin, että vaikka kilpailuviranomainen ei ole toimivaltainen toteamaan yleisen tietosuoja‑asetuksen rikkomista, ( 14 ) kyseinen asetus ei lähtökohtaisesti ole esteenä sille, että muut viranomaiset kuin valvontaviranomaiset voivat omia toimivaltuuksiaan käyttäessään ottaa liitännäisesti huomioon menettelyn yhteensopivuuden yleisen tietosuoja‑asetuksen säännösten kanssa. Tämä pätee mielestäni erityisesti silloin, kun kilpailuviranomainen käyttää sille SEUT 102 artiklassa ja asetuksen (EY) N:o 1/2003 ( 15 ) 5 artiklan ensimmäisessä kohdassa tai vastaavassa kansallisessa oikeussäännössä ( 16 ) annettua toimivaltaa. |
|
23. |
Kilpailuviranomaisen on nimittäin toimivaltaansa käyttäessään arvioitava muun muassa sitä, turvaudutaanko tutkittavassa toiminnassa muihin menetelmiin kuin ansioihin perustuvaan kilpailuun, kun otetaan huomioon kyseisen toiminnan oikeudellinen ja taloudellinen asiayhteys. ( 17 ) Se, onko kyseinen toiminta yleisen tietosuoja‑asetuksen säännösten mukaista – ei sellaisenaan mutta kaikki käsiteltävän asian olosuhteet huomioon ottaen – voi olla tässä yhteydessä tärkeä viite osoitettaessa, käytetäänkö kyseisessä toiminnassa normaalista kilpailusta poikkeavia keinoja, mutta on täsmennettävä, että se, onko toiminta SEUT 102 artiklan kannalta väärinkäyttöä, ei johdu siitä, onko toiminta yleisen tietosuoja‑asetuksen tai muiden oikeussääntöjen mukaista. ( 18 ) |
|
24. |
Katson näin ollen, että määräävän markkina‑aseman väärinkäytön tutkiminen voi oikeuttaa kilpailuviranomaisen tulkitsemaan yleisen tietosuoja‑asetuksen säännösten kaltaisia kilpailuoikeuteen sisältymättömiä säännöksiä ( 19 ), ja täsmennän, että tällainen tutkimus tehdään liitännäisesti ( 20 ) eikä se vaikuta siihen, miten toimivaltaiset valvontaviranomaiset soveltavat kyseistä asetusta. ( 21 ) |
|
25. |
Seitsemännen kysymyksen b kohdasta on toiseksi todettava, että ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, mitä velvoitteita kilpailuviranomaisella on yleisessä tietosuoja‑asetuksessa tarkoitettuun toimivaltaiseen johtavaan valvontaviranomaiseen nähden sovellettaessa SEU 4 artiklan 3 kohdassa määrättyä vilpittömän yhteistyön periaatetta, kun kilpailuviranomainen tulkitsee kyseisen asetuksen säännöksiä ja tarkemmin sanottuna kun myös toimivaltainen johtava valvontaviranomainen tutkii samaa toimintaa. |
|
26. |
Käsiteltävässä asiassa kilpailuviranomaisen tutkiessa – vaikka vain liitännäisesti – yrityksen toimintaa yleisen tietosuoja‑asetuksen säännösten perusteella vaarana on, että se tulkitsee kyseistä asetusta eri tavoin kuin valvontaviranomaiset, mikä on lähtökohtaisesti omiaan haittaamaan yleisen tietosuoja‑asetuksen yhdenmukaista tulkintaa. ( 22 ) |
|
27. |
Unionin oikeudessa ei ole yksityiskohtaisia sääntöjä kilpailuviranomaisen ja yleisessä tietosuoja‑asetuksessa tarkoitettujen valvontaviranomaisten välisestä yhteistyöstä tällaisessa tilanteessa. Tarkemmin sanottuna käsiteltävässä asiassa ei voida soveltaa yleisessä tietosuoja‑asetuksessa tarkoitettujen toimivaltaisten valvontaviranomaisten yhteistyömenettelyä kyseisen asetuksen soveltamisessa ( 23 ) eikä muita hallintoviranomaisten välistä yhteistyötä koskevia täsmällisiä sääntöjä, kuten niitä, jotka koskevat kilpailuviranomaisten välistä yhteistyötä sekä niiden ja komission välistä yhteistyötä kilpailusääntöjen soveltamisessa. ( 24 ) |
|
28. |
Kun kilpailuviranomainen tulkitsee yleistä tietosuoja‑asetusta, sitä sitoo kuitenkin SEU 4 artiklan 3 kohdassa vahvistettu vilpittömän yhteistyön periaate, jonka mukaan unioni ja jäsenvaltiot, myös niiden hallintoviranomaiset, ( 25 ) kunnioittavat ja avustavat toisiaan perussopimuksista johtuvia tehtäviä täyttäessään. Kyseisen määräyksen kolmannessa alakohdassa määrätään erityisesti, että jäsenvaltiot tukevat unionia sen täyttäessä tehtäviään ja pidättäytyvät kaikista toimenpiteistä, jotka voisivat vaarantaa unionin tavoitteiden toteutumisen. ( 26 ) Lisäksi kilpailuviranomainen on kaikkien unionin oikeuden soveltamisesta vastaavien hallintoviranomaisten tavoin velvollinen noudattamaan hyvän hallinnon periaatetta, joka on unionin oikeuden yleinen periaate ja joka käsittää kansallisten viranomaisten laajan huolellisuus‑ ja huolenpitovelvoitteen. ( 27 ) |
|
29. |
Koska siis ei ole olemassa yhteistyömenettelyjä koskevia täsmällisiä sääntöjä, jotka unionin lainsäätäjän on mahdollisesti annettava, kilpailuviranomaisella on yleisen tietosuoja‑asetuksen säännöksiä tulkitessaan ainakin tiedottamis‑, neuvonta‑ ja yhteistyövelvoitteita kyseisessä asetuksessa tarkoitettuja toimivaltaisia viranomaisia kohtaan niiden toimivaltaa koskevien kansallisten sääntöjen nojalla (jäsenvaltioiden menettelyllisen itsemääräämisoikeuden periaate) sekä vastaavuus‑ ja tehokkuusperiaatteiden mukaisesti. ( 28 ) |
|
30. |
Mielestäni tästä seuraa, että kun toimivaltainen johtava valvontaviranomainen on ottanut kantaa yleisen tietosuoja‑asetuksen tiettyjen säännösten soveltamiseen saman tai samankaltaisen käytännön osalta, kilpailuviranomainen ei voi lähtökohtaisesti poiketa tämän kyseisen asetuksen tulkintaan yksin toimivaltaisen viranomaisen tulkinnasta, ( 29 ) ja sen on mahdollisuuksien mukaan muun muassa rekisteröityjen puolustautumisoikeuksia kunnioittaen noudatettava kyseisen viranomaisen tekemiä samaa toimintaa koskevia mahdollisia päätöksiä, ( 30 ) ja jos toimivaltaisen viranomaisen esittämästä tulkinnasta on epäilyjä käsiteltävässä asiassa, kilpailuviranomaisen on kuultava sitä tai kansallista valvontaviranomaista, jos toimivaltainen viranomainen sijaitsee toisessa jäsenvaltiossa. ( 31 ) |
|
31. |
Lisäksi jos toimivaltainen valvontaviranomainen ei ole tehnyt päätöstä, kilpailuviranomaisen on kuitenkin ilmoitettava asiasta sille, ( 32 ) tehtävä yhteistyötä sen kanssa, kun kyseinen viranomainen on aloittanut tai ilmaissut aikovansa aloittaa saman käytännön tutkinnan, ja mahdollisesti odotettava viimeksi mainitun viranomaisen suorittaman tutkimuksen päättymistä ennen oman arviointinsa aloittamista siltä osin kuin se on asianmukaista eikä vaikuta muun muassa siihen, että kilpailuviranomainen noudattaa kohtuullisia käsittelyaikoja ja rekisteröityjen puolustautumisoikeuksia. ( 33 ) |
|
32. |
Käsiteltävässä asiassa se, että on muodollisesti otettu yhteyttä kansallisella tasolla toimivaltaisiin valvontaviranomaisiin ( 34 ) ja epävirallisesti myös Irlannin johtavaan valvontaviranomaiseen, mikä on Bundeskartellamtin mainitsema seikka, joka ennakkoratkaisua pyytäneen tuomioistuimen on tarkistettava, voi nähdäkseni riittää sen toteamiseen, että kyseinen viranomainen on täyttänyt huolellisuutta ja vilpitöntä yhteistyötä koskevat velvoitteensa. ( 35 ) |
|
33. |
Näin ollen ehdotan, että seitsemänteen ennakkoratkaisukysymykseen vastataan, että yleisen tietosuoja‑asetuksen 51–66 artiklaa on tulkittava siten, että kilpailuviranomainen voi kilpailusäännöissä tarkoitetun toimivaltansa puitteissa tutkia liitännäisesti, ovatko tutkitut käytännöt yleisen tietosuoja‑asetuksen säännösten mukaisia, mutta sen on otettava huomioon kaikki yleisen tietosuoja‑asetuksen nojalla toimivaltaisen valvontaviranomaisen tekemät päätökset tai tutkimukset sekä ilmoitettava asiasta kansalliselle valvontaviranomaiselle ja tarvittaessa kuultava sitä. |
Toinen ennakkoratkaisukysymys
|
34. |
Toisella ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja‑asetuksen 9 artiklan 1 kohtaa tulkittava siten, että koska riidanalainen käytäntö koskee kolmansien verkkosivuilla ja sovelluksissa käymistä, ( 36 ) se kuuluu lueteltujen arkaluonteisten henkilötietojen ( 37 ) käsittelyyn, joka on kielletty ( 38 ) (toisen kysymyksen a kohta), ja jos näin on, onko kyseisen asetuksen 9 artiklan 2 kohdan e alakohtaa tulkittava siten, että käyttäjä saattaa nimenomaisesti julkiseksi kyseisessä säännöksessä tarkoitetulla tavalla tiedot, jotka yhtäältä ilmaistaan vierailemalla verkkosivuilla ja sovelluksissa, tai toisaalta tiedot, jotka syötetään käyttämällä kyseisiin verkkosivuihin tai sovelluksiin sisältyviä painikkeita tai jotka ilmenevät tällaisten painikkeiden ( 39 ) käyttämisestä (toisen kysymyksen b kohta). |
|
35. |
Toisen kysymyksen a kohdasta muistutan ensinnäkin, että yleisen tietosuoja‑asetuksen 9 artiklan 1 kohdan nojalla arkaluonteisten henkilötietojen käsittely on kielletty. Kuten kyseisen asetuksen johdanto‑osan 51 perustelukappaleesta ilmenee, näiden tietojen erityistä suojaa perustellaan sillä, että ne ovat erityisen arkaluonteisia perusoikeuksien ja ‑vapauksien kannalta ja että niiden käsittely voisi aiheuttaa huomattavia riskejä perusoikeuksille ja ‑vapauksille. Vaikka kyseisen säännöksen sanamuoto on hieman epäselvä, ( 40 ) siinä ei ennakkoratkaisua pyytäneen tuomioistuimen oletuksesta poiketen nähdäkseni tehdä olennaista eroa sellaisten henkilötietojen, jotka ovat arkaluonteisia, koska niistä ”ilmenee” tietty tilanne, ja itsessään arkaluonteisten tietojen välillä. ( 41 ) |
|
36. |
Käsiteltävässä asiassa on mielestäni ilmeistä, että riidanalainen käytäntö on henkilötietojen käsittelyä, joka voi lähtökohtaisesti kuulua kyseisen säännöksen soveltamisalaan ja olla kiellettyä, jos käsiteltävät tiedot ”ilmaisevat” jonkin siinä luetellun arkaluonteisen tilanteen. On siis selvitettävä, voiko verkkosivustojen ja sovellusten avaaminen tai tietojen syöttäminen niihin ”ilmaista” jonkin kyseisessä säännöksessä tarkoitetun arkaluonteisen tilanteen, ja jos voi, niin missä määrin. |
|
37. |
Epäilen tässä yhteydessä, onko merkityksellistä (ja aina mahdollista) erottaa toisistaan pelkkä rekisteröidyn kiinnostus tiettyihin tietoihin ja rekisteröidyn kuuluminen johonkin kyseisessä säännöksessä tarkoitettuun luokkaan. ( 42 ) Vaikka pääasian asianosaisilla on tästä vastakkaiset näkemykset, ( 43 ) tähän kysymykseen on mielestäni vastattava tapauskohtaisesti ja kunkin riidanalaisen käytännön osatekijän huomioon ottaen. |
|
38. |
Vaikka – kuten Saksan hallitus toteaa – pelkkä verkkosivustolla tai sovelluksessa vierailemiseen liittyvien arkaluonteisten henkilötietojen kerääminen ei sellaisenaan välttämättä ole kyseisessä säännöksessä tarkoitettua arkaluonteisten henkilötietojen käsittelyä, ( 44 ) näiden tietojen yhdistäminen asianomaisen käyttäjän Facebook‑tiliin tai niiden käyttö ovat käyttäytymistä, joka sitä vastoin voi helpommin olla tällaista käsittelyä. Yleisen tietosuoja‑asetuksen 9 artiklan 1 kohdan soveltamisen kannalta ratkaiseva seikka on mielestäni se, että käsitellyt tiedot mahdollistavat käyttäjän profiloinnin niiden ryhmien mukaan, jotka ilmenevät kyseisessä säännöksessä olevasta arkaluonteisten henkilötietojen luettelosta. ( 45 ) |
|
39. |
Jotta tässä yhteydessä voitaisiin määrittää, kuuluuko tietojenkäsittely kyseisen säännöksen soveltamisalaan, voisi olla hyödyllistä erottaa tarvittaessa toisistaan sellaisten tietojen käsittely, jotka voidaan ensi näkemältä luokitella arkaluonteisten henkilötietojen ryhmään ja jotka sellaisenaan mahdollistavat rekisteröidyn profiloinnin, sekä sellaisten tietojen käsittely, jotka eivät itsessään ole arkaluonteisia mutta edellyttävät myöhempää yhdistämistä, jotta rekisteröidyn profilointia varten voidaan tehdä uskottavia päätelmiä. |
|
40. |
On kuitenkin täsmennettävä, ettei kyseisessä säännöksessä tarkoitetun luokittelun olemassaolo riipu siitä, kuvaako luokittelu todellisuutta. ( 46 ) Ratkaisevaa on se, että tällainen luokittelu voi aiheuttaa rekisteröidyn perusvapauksiin ja ‑oikeuksiin kohdistuvan merkittävän riskin, kuten yleisen tietosuoja‑asetuksen johdanto‑osan 51 perustelukappaleessa muistutetaan, eikä tämä mahdollisuus riipu sen todenperäisyydestä. |
|
41. |
Ennakkoratkaisua pyytäneen tuomioistuimen tiedustelusta, onko käytön tarkoituksella merkitystä kyseessä olevan arvioinnin kannalta, ( 47 ) totean lopuksi, että toisin kuin pääasian valittaja väittää, rekisterinpitäjän ei lähtökohtaisesti edellytetä käsittelevän näitä tietoja ”tietoisena ja aikomalla päätellä niistä suoraan erityisiä tietoryhmiä”. Kyseessä olevan säännöksen tarkoituksena on nimittäin lähinnä ehkäistä objektiivisesti rekisteröityjen perusvapauksille ja ‑oikeuksille aiheutuvia merkittäviä riskejä, jotka johtuvat arkaluonteisten henkilötietojen käsittelystä, riippumatta kaikista subjektiivisista seikoista, kuten rekisterinpitäjän tarkoituksesta. |
|
42. |
Toisen kysymyksen b kohdasta muistutan toiseksi, että yleisen tietosuoja‑asetuksen 9 artiklan 2 kohdan e alakohdan mukaan arkaluonteisten henkilötietojen käsittelyä koskevaa kieltoa ei sovelleta, jos käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi. Lisäksi tämän säännöksen sanamuotoon sisältyvä adverbi ”nimenomaisesti” ja se, että kyseinen säännös on poikkeus periaatteesta, jonka mukaan arkaluonteisten henkilötietojen käsittely on kielletty, ( 48 ) edellyttävät, että tätä poikkeusta sovelletaan erityisen tiukasti rekisteröityjen perusoikeuksiin ja ‑vapauksiin kohdistuvien merkittävien riskien vuoksi. ( 49 ) Jotta tätä poikkeusta voidaan soveltaa, käyttäjän on mielestäni oltava täysin tietoinen siitä, että hän saattaa nimenomaisella toimella ( 50 ) henkilötietoja julkisiksi. ( 51 ) |
|
43. |
Käsiteltävässä asiassa vaikuttaa siltä, ettei toimintaa, jossa käytetään verkkosivustoja ja sovelluksia, syötetään niihin tietoja sekä käytetään niihin sisältyviä valintapainikkeita, voida lähtökohtaisesti rinnastaa toimintaan, jossa käyttäjän arkaluonteiset henkilötiedot saatetaan nimenomaisesti julkisiksi yleisen tietosuoja‑asetuksen 9 artiklan 2 kohdan e alakohdassa tarkoitetulla tavalla. |
|
44. |
Korostan erityisesti, että verkkosivustojen ja sovellusten käyttäminen johtaa lähtökohtaisesti siihen, että käyttöä koskevat tiedot ovat ainoastaan kyseessä olevan internetsivuston tai sovelluksen ylläpitäjän ja kolmansien osapuolten, joille tämä välittää kyseiset tiedot, kuten pääasian valittajan, saatavilla. ( 52 ) Huomautan lisäksi, että vaikka rekisteröity voi syöttämällä tietoja verkkosivustoille ja sovelluksiin antaa suoraan ja vapaaehtoisesti tietoja tietyistä arkaluonteisista henkilötiedoista, nämä tiedot ovat ainoastaan kyseisen sivuston tai sovelluksen ylläpitäjän ja kolmansien osapuolten, joille tämä välittää kyseiset tiedot, saatavilla. Tällainen käyttäytyminen ei siis nähdäkseni voi olla osoitus tahdosta saattaa nämä tiedot yleisesti saataville. ( 53 ) Vaikka lisäksi on selvää, että rekisteröity ilmaisee verkkosivustoihin tai sovelluksiin sisältyviä valintapainikkeita ( 54 )käyttämällä selvästi haluavansa jakaa tietyt tiedot kyseessä olevan internetsivuston tai sovelluksen ulkopuolisen yleisön kanssa, katson, kuten Bundeskartellamt korostaa, että kyseinen henkilö jakaa tällä käyttäytymisellään tietoisesti tietoja käyttäjän usein itse määrittelemän tietyn henkilöryhmän ( 55 ) eikä koko yhteisön kanssa. ( 56 ) |
|
45. |
Tarkasteltaessa sen merkitystä, että käyttäjä antaa ennakkoratkaisua pyytäneen tuomioistuimen mainitseman, direktiivin 2002/58 5 artiklan 3 kohdassa tarkoitetun mahdollisen suostumuksen henkilötietojen keräämiseen evästeiden (cookies) tai vastaavien teknologioiden avulla, totean lopuksi, ettei näillä keinoilla kerättyjen arkaluonteisten henkilötietojen käsittelyä voida perustella pelkästään tällä suostumuksella sen erityisen tavoitteen vuoksi. ( 57 ) Kyseinen suostumus, jota tarvitaan käyttäjän tiettyjen toimintojen tallentamiseen käytettävän teknisen välineen ( 58 ) asentamiseksi, ei nimittäin koske arkaluonteisten henkilötietojen käsittelyä, eikä sitä voida rinnastaa tahtoon saattaa nämä tiedot nimenomaisesti julkisiksi yleisen tietosuoja‑asetuksen 9 artiklan 2 kohdan e alakohdassa tarkoitetulla tavalla. ( 59 ) |
|
46. |
Näin ollen ehdotan, että toiseen ennakkoratkaisukysymykseen vastataan, että yleisen tietosuoja‑asetuksen 9 artiklan 1 kohtaa on yhtäältä tulkittava siten, että arkaluonteisten henkilötietojen käsittelyä koskeva kielto voi sisältää verkkoyhteisöpalvelun ylläpitäjän suorittaman tietojenkäsittelyn, joka koostuu käyttäjän tietojen keräämisestä, kun tämä vierailee muilla verkkosivustoilla tai sovelluksissa tai syöttää niille kyseiset tiedot, näiden tietojen yhdistämisestä yhteisöpalvelun käyttäjän tiliin ja niiden käytöstä, jos käyttäjä voidaan erikseen tarkasteltavien tai ryhmiteltyjen käsiteltävien tietojen avulla profiloida niiden ryhmien mukaan, jotka ilmenevät kyseisessä säännöksessä olevasta arkaluonteisten henkilötietojen luettelosta, ja että yleisen tietosuoja‑asetuksen 9 artiklan 2 kohdan e alakohtaa on toisaalta tulkittava siten, ettei käyttäjä saata tietoja nimenomaisesti julkisiksi, kun ne ovat tulleet ilmi vierailtaessa verkkosivuilla ja sovelluksissa, ne on syötetty kyseisille verkkosivuille tai sovelluksiin tai kun tiedot on saatu verkkosivuihin tai sovelluksiin sisältyvien valintapainikkeiden käyttämisen ansiosta. |
Kolmas, neljäs ja viides ennakkoratkaisukysymys
|
47. |
Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella, neljännellä ja viidennellä kysymyksellään lähinnä, onko yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b, c, d, e ja f alakohtaa tulkittava siten, että riidanalainen käytäntö ( 60 ) kuuluu jonkin kyseisissä säännöksissä säädetyn oikeuttamisperusteen, erityisesti seuraavien oikeuttamisperusteiden, soveltamisalaan:
|
|
48. |
Aluksi on todettava, että joistakin neljännen ja viidennen kysymyksen tutkittavaksi ottamista koskevista kysymyksistä epäilyistä ( 68 ) ehdotan, että kolmanteen, neljänteen ja viidenteen kysymykseen vastataan yhdessä, koska jäljempänä esittämäni lähinnä kolmatta ennakkoratkaisukysymystä koskevat huomautukset voivat olla ennakkoratkaisua pyytäneelle tuomioistuimelle hyödyllisiä sovellettaessa neljännen ja viidennen ennakkoratkaisukysymyksen kohteena olevia säännöksiä. |
|
49. |
Totean ensisijaisesti, että Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 8 artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista, ja sen on tapahduttava tiettyä tarkoitusta varten ja laissa säädetyn oikeuttavan perusteen nojalla. Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdassa täsmennetään tältä osin, että tällaisten tietojen käsittely on lainmukaista ainoastaan, jos vähintään yksi kyseisessä säännöksessä säädetyistä kuudesta edellytyksestä täyttyy. ( 69 ) |
|
50. |
Katson ensinnäkin, että käsiteltävässä asiassa kolmas, neljäs ja viides ennakkoratkaisukysymys edellyttävät riidanalaisen käytännön yhteydessä Facebookin käyttöehtojen eri lausekkeiden tarkkaa tapauskohtaista analyysia, koska on mahdotonta määrittää, voiko ”[Meta Platformsin] kaltainen yritys” kokonaisuudessaan vedota tämän käytännön yhteydessä kaikkiin (tai tiettyihin) yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdassa mainittuihin oikeuttamisperusteisiin, vaikka ei voidakaan sulkea pois sitä, että kyseinen käytäntö tai tietyt sen toiminnot voivat tietyissä tapauksissa kuulua kyseisen artiklan soveltamisalaan. ( 70 ) |
|
51. |
Seuraavaksi totean, että mainituissa säännöksissä tarkoitettu käsittely suoritetaan käsiteltävässä asiassa rekisterinpitäjän asettamien yleisten sopimusehtojen perusteella ilman rekisteröidyn suostumusta ( 71 ) tai jopa vastoin hänen tahtoaan, minkä vuoksi kyseessä olevia oikeuttamisperusteita on mielestäni tulkittava suppeasti erityisesti suostumusta koskevan edellytyksen kiertämisen estämiseksi. ( 72 ) |
|
52. |
Muistutan lopuksi, että yleisen tietosuoja‑asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjän velvollisuutena on osoittaa, että henkilötietoja käsitellään kyseisen asetuksen mukaisesti, ja että saman asetuksen 13 artiklan 1 kohdan c alakohdan mukaan henkilötietojen käsittelystä vastaavan rekisterinpitäjän on täsmennettävä henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste. |
Kolmas ennakkoratkaisukysymys
|
53. |
Ensinnäkin yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohdan mukaan henkilötietojen käsittely on lainmukaista, jos se on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena. ( 73 ) |
|
54. |
Muistutan tässä yhteydessä, ettei tarpeellisuuden käsitettä ole määritelty unionin lainsäädännössä mutta se on oikeuskäytännön mukaan unionin oikeuden itsenäinen käsite. ( 74 ) Jotta käsittely on tarpeen sopimuksen täytäntöön panemiseksi, ei riitä, että käsittely suoritetaan sopimuksen täytäntöönpanon yhteydessä, että se mainitaan sopimuksessa ( 75 ) tai että se on yksinkertaisesti hyödyllistä sopimuksen täytäntöönpanon kannalta. ( 76 ) Unionin tuomioistuimen oikeuskäytännön mukaan käsittelyn on oltava objektiivisesti tarpeen sopimuksen täytäntöön panemiseksi siten, ettei ole realistisia, vähemmän tunkeilevia ratkaisuja, ( 77 ) kun otetaan huomioon myös rekisteröidyn kohtuulliset odotukset. ( 78 ) Tämä merkitsee myös sitä, että kun sopimus koostuu useista erillisistä palveluista tai palvelun osista, jotka voidaan kohtuudella suorittaa toisistaan riippumatta, yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohdan soveltamista on arvioitava kunkin kyseessä olevan palvelun osalta erikseen. ( 79 ) |
|
55. |
Tämän oikeuttamisperusteen yhteydessä ennakkoratkaisua pyytänyt tuomioistuin mainitsee sisältöjen personoinnin sekä konsernin tuotteiden (tai pikemminkin palvelujen) kokonaisvaltaisen ja saumattoman käytön. |
|
56. |
Vaikka sisällön personointi voi tietyssä määrin olla käyttäjän edun mukaista, koska sen avulla voidaan esittää muun muassa Newsfeedissä sisältöjä, joista käyttäjä on automatisoidun arvioinnin perusteella kiinnostunut, mielestäni ei ole kuitenkaan selvää, että personointi on tarpeen myös kyseisen yhteisöpalvelun tarjoamiseksi siten, ettei henkilötietojen käsittely näitä tarkoituksia varten edellytä kyseisen käyttäjän suostumusta. ( 80 ) Tässä tarkastelussa on myös otettava huomioon, että riidanalaisessa käytännössä ei ole kyse käyttäjän käyttäytymistä Facebook‑sivulla tai ‑sovelluksessa koskevien tietojen käsittelystä vaan ulkopuolisista lähteistä peräisin olevien ja siten mahdollisesti rajoittamattomien tietojen käsittelystä. Pohdin siis, missä määrin tämä käsittely voisi vastata keskivertokäyttäjän odotuksia, ja yleisemmin, mitä ”personoinnin astetta” hän voi odottaa palvelusta, johon hän rekisteröityy. ( 81 ) |
|
57. |
Konsernin palvelujen kokonaisvaltaisesta ja saumattomasta käytöstä huomautan, että käyttäjä voi hyötyä pääasian valittajan tarjoamien eri palvelujen, esimerkiksi Facebookin ja Instagramin, välisestä yhteydestä tai joskus jopa toivoa sitä. Epäilen kuitenkin sitä, onko muista konsernin palveluista (erityisesti Instagramista) saatavien henkilötietojen käsittely tarpeen Facebookin palvelujen tarjoamiseksi. ( 82 ) |
|
58. |
Toiseksi yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohdan mukaan henkilötietojen käsittely on lainmukaista, jos se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. |
|
59. |
Unionin tuomioistuimen oikeuskäytännön mukaan kyseisessä säännöksessä säädetään kolmesta kumulatiivisesta edellytyksestä henkilötietojen käsittelyn laillisuudelle, eli edellytetään ensinnäkin, että tietojen käsittely tapahtuu rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, toiseksi, että käsittely on tarpeen oikeutetun intressin toteuttamiseksi, ja kolmanneksi, että henkilön, jota tietosuoja koskee, perusoikeudet ja ‑vapaudet eivät syrjäytä tätä intressiä. ( 83 ) |
|
60. |
Muistutan aluksi oikeutetun edun tavoittelusta, että yleisessä tietosuoja‑asetuksessa ja oikeuskäytännössä tunnustetaan lukuisia oikeutettuina pidettäviä etuja ( 84 ) ja täsmennetään, että yleisen tietosuoja‑asetuksen 13 artiklan 1 kohdan c alakohdan mukaan rekisterinpitäjän on ilmoitettava yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohdan yhteydessä tavoitellut oikeutetut edut. ( 85 ) |
|
61. |
Henkilötietojen käsittelyn tarpeellisuutta oikeutetun edun toteuttamiseksi koskevasta edellytyksestä on seuraavaksi todettava, että unionin tuomioistuimen oikeuskäytännön mukaan henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa. ( 86 ) Käsittelyn ja tavoitellun edun välillä on siksi oltava läheinen yhteys silloin, kun ei ole vaihtoehtoja, joissa henkilötietoja suojattaisiin paremmin, sillä ei riitä, että käsittelystä on hyötyä ainoastaan rekisterinpitäjälle. |
|
62. |
Tasapainon löytämisestä rekisterinpitäjän etujen ja rekisteröidyn etujen tai perusoikeuksien ja ‑vapauksien välillä on lopuksi todettava, että unionin tuomioistuimen oikeuskäytännön mukaan ennakkoratkaisua pyytäneen tuomioistuimen on punnittava kyseessä olevia etuja keskenään. ( 87 ) Kuten yleisen tietosuoja‑asetuksen johdanto‑osan 47 perustelukappaleessa todetaan, tämän punninnan yhteydessä on lisäksi välttämätöntä ottaa huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen, sekä arvioida, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tiettyä tarkoitusta varten. |
|
63. |
Ennakkoratkaisua pyytänyt tuomioistuin mainitsee tämän oikeuttamisperusteen yhteydessä mainonnan personoinnin, verkkoturvallisuuden ja tuotteiden parantamisen. |
|
64. |
Yleisen tietosuoja‑asetuksen johdanto‑osan 47 perustelukappaleesta ilmenee aluksi mainosten personoinnista, että henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää rekisterinpitäjän oikeutetun edun toteuttamiseksi suoritettuna. Käsittelyn tarpeellisuudesta on kuitenkin todettava, että kyseessä olevat tiedot ovat peräisin Facebookin ulkopuolisista lähteistä, joten herää kysymys siitä, mikä on tässä yhteydessä objektiivisesti tarpeellisen mainonnan ”personoinnin aste”. Vertailtavien etujen punninnassa on mielestäni otettava huomioon kyseessä olevan oikeutetun edun luonne (käsiteltävässä asiassa puhtaasti taloudellinen etu) sekä käsittelyn vaikutus käyttäjään sen kohtuulliset odotukset mukaan luettuina ja rekisterinpitäjän mahdollisesti toteuttamat suojatoimenpiteet. ( 88 ) |
|
65. |
Verkkoturvallisuudesta voidaan seuraavaksi esittää samankaltaisia toteamuksia. Vaikka tällainen perustelu voi olla rekisterinpitäjän oikeutettu etu, ( 89 ) on nimittäin vähemmän selvää, että käsittely on tarpeen käsiteltävässä asiassa, kun otetaan huomioon myös se, että kyseessä olevat tiedot ovat peräisin Facebookin ulkopuolisista lähteistä. ( 90 ) Muistutan joka tapauksessa, että rekisterinpitäjän on täsmennettävä ne turvallisuustarkoitukset, joihin kukin käsittelytilanne mahdollisesti perustuu. |
|
66. |
Tuotteiden parantamisesta on lopuksi todettava, että vaikka suljettaisiin pois turvallisuuteen liittyvät parannukset, jotka kuuluvat edellä tarkasteltuun erityiseen oikeuttamisperusteeseen, tällaisen perusteen pitäisi mielestäni olla pikemminkin käyttäjän kuin rekisterinpitäjän edun mukainen. Tästä näkökulmasta tarkasteltuna on vaikea ymmärtää, missä määrin se voisi olla rekisterinpitäjän oikeutettu etu ja ettei se edellyttäisi käyttäjän suostumusta. Tarpeellisuutta koskevan edellytyksen sekä kyseessä olevien oikeuksien ja etujen punnitsemisen osalta viittaan edellä esitettyihin toteamuksiin. |
Neljäs ja viides ennakkoratkaisukysymys
|
67. |
Neljännessä ennakkoratkaisukysymyksessä, jossa lähinnä laajennetaan kolmannen ennakkoratkaisukysymyksen toista osaa, tiedustellaan, merkitseekö tiettyjen lueteltujen tilanteiden toistuminen yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitetun oikeutetun edun olemassaoloa, ja viidennellä ennakkoratkaisukysymyksellään kansallinen tuomioistuin pyrkii selvittämään, voidaanko riidanalainen käytäntö oikeuttaa vastauksen antamisella lailliseen tiettyjen tietojen luovuttamista koskevaan pyyntöön, haitallisen käyttäytymisen estämisellä ja turvallisuuden edistämisellä tai yhteiskunnan etua edistävällä tutkimuksella sekä suojelun, eheyden ja turvallisuuden varmistamisella. ( 91 ) |
|
68. |
Riippumatta näiden kysymysten tutkittavaksi ottamisesta ( 92 ) katson yleisesti, ettei neljännen ennakkoratkaisukysymyksen yhteydessä voida sulkea pois sitä, että tietyt riidanalaista käytäntöä luonnehtivat lausekkeet voidaan ennakkoratkaisua pyytäneen tuomioistuimen mainitsemissa olosuhteissa perustella oikeutetuilla eduilla, ( 93 ) ja viidennestä ennakkoratkaisukysymyksestä totean, että riidanalainen käytäntö voi tietyissä tilanteissa olla oikeutettua mainittujen säännösten perusteella. |
|
69. |
Ennakkoratkaisupyynnöstä ei kuitenkaan ilmene, onko Meta Platforms Ireland ilmoittanut kunkin käsiteltyjen tietojen käsittelyä ja tyypittelyä koskevan tarkoituksen osalta konkreettisesti tavoitellut oikeutetut edut tai muut käsiteltävän asian kannalta mahdollisesti merkitykselliset perustelut, ja jos on, niin missä määrin. ( 94 ) Ennakkoratkaisua pyytäneen tuomioistuimen on siten edellä esitetyt seikat huomioon ottaen tutkittava, missä määrin riidanalainen käytäntö on kyseisen tuomioistuimen mainitsemissa olosuhteissa oikeutettu sillä perusteella, että Meta Platforms Irelandilla on yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettuja tietojen käsittelyyn liittyviä oikeutettuja etuja, tai jonkin muun kyseisen asetuksen 6 artiklan 1 kohdan c, d ja e alakohdassa säädetyn edellytyksen perusteella. |
Kolmanteen, neljänteen ja viidenteen ennakkoratkaisukysymykseen annettava vastaus
|
70. |
Ehdotan näin ollen, että kolmanteen, neljänteen ja viidenteen ennakkoratkaisukysymykseen vastataan, että yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b, c, d, e ja f alakohtaa on tulkittava siten, että riidanalainen käytäntö tai osa sen muodostavista toiminnoista voi kuulua kyseisissä säännöksissä säädettyjen poikkeusten soveltamisalaan, jos kukin tarkasteltu tietojenkäsittelytapa täyttää rekisterinpitäjän esittämän konkreettisen perustelun edellytykset ja jos siten
|
Kuudes ennakkoratkaisukysymys
|
71. |
Kuudennella ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan a alakohtaa ja 9 artiklan 2 kohdan a alakohtaa tulkittava siten, että yksityiskäyttäjille tarjottavien yhteisöpalvelujen kansallisilla markkinoilla määräävässä markkina‑asemassa olevalle yritykselle voidaan antaa pätevällä tavalla yleisen tietoturva‑asetuksen 4 artiklan 11 alakohdassa tarkoitettu vapaaehtoinen suostumus. |
|
72. |
Muistutan aluksi, että yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan a alakohdassa ja 9 artiklan 2 kohdan a alakohdassa säädetään velvoitteesta, jonka mukaan rekisteröidyn on annettava suostumus henkilötietojen käsittelyyn yleisesti ja arkaluonteisten henkilötietojen käsittelyyn. Lisäksi tietosuoja‑asetuksen 4 artiklan 11 alakohdan mukaan rekisteröidyn suostumuksella tarkoitetaan kyseisessä asetuksessa mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. ( 95 ) |
|
73. |
Erityisesti suostumuksen vapaaehtoisuutta koskevasta edellytyksestä, joka on ainoa käsiteltävässä asiassa riitautettu edellytys, totean, että yleisen tietosuoja‑asetuksen johdanto‑osan 42 perustelukappaleen mukaan suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ( 96 ) ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. ( 97 ) Kuten yleisen tietosuoja‑asetuksen 7 artiklan 1 kohdassa säädetään (ja sen johdanto‑osan 42 perustelukappaleessa muistutetaan), jos käsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi lisäksi kyettävä osoittamaan, että kyseinen henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn. |
|
74. |
Käsiteltävässä asiassa merkityksellisistä seikoista muistutan aluksi, että – kuten yleisen tietosuoja‑asetuksen johdanto‑osan 43 perustelukappaleen ensimmäisessä virkkeessä korostetaan – suostumus ei ole pätevä oikeudellinen peruste henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on ”selkeä epäsuhta”, ( 98 ) seuraavaksi, että yleisen tietosuoja‑asetuksen 7 artiklan 4 kohdan mukaan suostumuksen vapaaehtoisuutta arvioitaessa on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten, ( 99 ) ja lopuksi, että yleisen tietosuoja‑asetuksen johdanto‑osan 43 perustelukappaleen toisen virkkeen mukaan suostumusta ei katsota myöskään vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa. ( 100 ) |
|
75. |
Yhteisöpalvelua ylläpitävän henkilötiedoista vastaavan rekisterinpitäjän mahdollisella määräävällä markkina‑asemalla on nähdäkseni merkitystä käsiteltävässä asiassa arvioitaessa sitä, antaako kyseisen palvelun käyttäjä suostumuksen vapaaehtoisesti. Henkilötiedoista vastaavan rekisterinpitäjän markkinavoimatilanne voi nimittäin johtaa voimasuhteiden selvään epätasapainoon edellä tämän ratkaisuehdotuksen 74 kohdassa tarkoitetulla tavalla. ( 101 ) On kuitenkin täsmennettävä yhtäältä, että jotta tällainen markkinavoimatilanne olisi merkityksellinen yleisen tietosuoja‑asetuksen soveltamisen kannalta, sitä ei tarvitse välttämättä rinnastaa SEUT 102 artiklassa tarkoitettuun määräävään asemaan, ( 102 ) ja toisaalta, että pelkästään tämä seikka ei lähtökohtaisesti voi tehdä suostumuksesta täysin pätemätöntä. ( 103 ) |
|
76. |
Näin ollen suostumuksen pätevyyttä on tutkittava tapauskohtaisesti tämän ratkaisuehdotuksen 73 ja 74 kohdassa mainittujen muiden tekijöiden perusteella ottaen huomioon kaikki käsiteltävän asian olosuhteet ja se, että rekisterinpitäjä on velvollinen osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. |
|
77. |
Näin ollen ehdotan, että kuudenteen ennakkoratkaisukysymykseen vastataan, että yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan a alakohtaa ja 9 artiklan 2 kohdan a alakohtaa on tulkittava siten, että pelkästään se seikka, että yhteisöpalvelua ylläpitävällä yrityksellä on määräävä markkina‑asema yksityiskäyttäjille tarjottavien verkkoyhteisöpalvelujen kansallisilla markkinoilla, ei voi merkitä sitä, että kyseisen palvelun käyttäjän henkilötietojensa käsittelyyn antama suostumus menettää tietosuoja‑asetuksen 4 artiklan 11 alakohdassa tarkoitetun pätevyytensä. Tällaisella seikalla on kuitenkin merkitystä arvioitaessa kyseisessä säännöksessä tarkoitetun suostumuksen vapaaehtoisuutta, joka rekisterinpitäjän on osoitettava, kun otetaan tarvittaessa huomioon rekisteröidyn ja rekisterinpitäjän voimasuhteiden selkeä epätasapaino, mahdollinen velvollisuus antaa suostumus muiden kuin kyseessä olevien palvelujen tarjoamisen kannalta ehdottoman välttämättömien henkilötietojen käsittelyyn sekä se, että suostumuksen on oltava yksilöity kuhunkin käsittelytarkoitukseen ja ettei suostumuksen peruuttamisesta saa aiheutua vahinkoa sopimuksensa peruuttaneelle käyttäjälle. |
Ratkaisuehdotus
|
78. |
Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Oberlandesgericht Düsseldorfin esittämiin ennakkoratkaisukysymyksiin seuraavasti:
|
( 1 ) Alkuperäinen kieli: ranska.
( 2 ) Meta Platforms Inc., aiemmin Facebook Inc., Meta Platforms Ireland Limited, aiemmin Facebook Ireland Ltd., ja Facebook Deutschland GmbH (jäljempänä Meta Platforms tai pääasian valittaja).
( 3 ) 6.12.2019 tehty päätös B6‑22/16 (jäljempänä riidanalainen päätös).
( 4 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja‑asetus).
( 5 ) 18.1.2021 saakka voimassa olleessa versiossa.
( 6 ) Niiden tietojen lisäksi, joita käyttäjät antavat suoraan asianomaisiin verkkopalveluihin rekisteröityessään, Meta Platforms kerää tätä tarkoitusta varten muita käyttäjä‑ ja laitekohtaisia tietoja yhteisöpalvelussa ja konsernin tarjoamissa verkkopalveluissa sekä niiden ulkopuolella ja liittää nämä tiedot asianomaisten käyttäjien eri tileihin. Kaikkien näiden tietojen perusteella voidaan tehdä yksityiskohtaisia päätelmiä käyttäjien mieltymyksistä ja mielenkiinnon kohteista.
( 7 ) Erityisesti henkilötietojen käsittelyn osalta käyttöehdot viittaavat Meta Platformsin vahvistamiin tietosuojaa ja evästeitä (cookies) koskeviin käytäntöihin. Meta Platforms kerää niiden mukaisesti käyttäjä‑ ja laitekohtaisia tietoja käyttäjien toiminnasta yhteisöpalvelussa ja sen ulkopuolella ja liittää ne heidän Facebook‑tileilleen. Yhteisöpalvelun ulkopuolella tapahtuvalla käyttäjän toiminnalla viitataan yhtäältä sellaisten kolmansien verkkosivustojen ja sovellusten käyttämiseen, joilla on ohjelmointirajapintojen (Facebook Business Tools) välityksellä yhteys Facebookiin, ja toisaalta muiden Meta Platforms ‑konsernille kuuluvien verkkopalvelujen, kuten Instagramin ja WhatsAppin, käyttämiseen.
( 8 ) Bundeskartellamtin mukaan tällä markkinavoiman mahdollistamalla tietojen käsittelyllä rikotaan yleisen tietosuoja‑asetuksen säännöksiä, eikä se ole oikeutettua kyseisen asetuksen 6 artiklan 1 kohdan ja 9 artiklan 2 kohdan perusteella.
( 9 ) Meta Platforms otti lisäksi 31.7.2019 Euroopan komission ja jäsenvaltioiden kansallisten kuluttajansuojajärjestöjen aloitteesta käyttöön uudet käyttöehdot, joissa nimenomaisesti todetaan, että Facebook‑tuotteiden käyttämisestä maksamisen sijaan käyttäjä ilmoittaa hyväksyvänsä sen, että hänelle näytetään mainoksia. Facebook on lisäksi tarjonnut 28.1.2020 alkaen Facebookin ulkopuolella maailmanlaajuisesti ns. Off‑Facebook‑Activity‑toimintoa, jonka avulla Facebook‑käyttäjät voivat saada nähdäkseen tiivistelmän heidän toiminnastaan muilla verkkosivuilla ja muissa sovelluksissa saaduista tiedoista, ja he voivat halutessaan erottaa kyseiset tiedot Facebook‑tilistään sekä taannehtivasti ja tulevaa varten.
( 10 ) Ensimmäiseen ennakkoratkaisukysymykseen sisältyvää ilmaisua ”toteaa – –, että – – rikotaan yleistä tietosuoja‑asetusta, ja – – määrää lopettamaan tämän rikkomisen” on nähdäkseni tulkittava tällä tavoin.
( 11 ) Koska yleisessä tietosuoja‑asetuksessa säädetään henkilötietojen suojaa koskevan oikeuden, jonka keskeinen osa on kyseisen asetuksen 51–67 artiklassa säädettyyn ”yhden luukun” periaatteeseen perustuva yhdenmukaistettu täytäntöönpanomekanismi, täydellisestä yhdenmukaistamisesta, mielestäni on joka tapauksessa selvää, että muu viranomainen kuin kyseisessä asetuksessa tarkoitetut valvontaviranomaiset (kuten kilpailuviranomainen) ei ole toimivaltainen toteamaan ensisijaisesti kyseisen asetuksen rikkomista eikä soveltamaan säädettyjä seuraamuksia.
( 12 ) Kun otetaan huomioon, että kilpailuviranomaisella ei ole toimivaltaa todeta ensisijaisesti kyseisen asetuksen rikkomista eikä soveltaa säädettyjä seuraamuksia, katson joka tapauksessa, ettei tällainen kilpailuviranomaisen mahdollisesti tekemä päätös voi vaikuttaa yleisessä tietosuoja‑asetuksessa tarkoitettuun valvontaviranomaisten toimivaltaan.
( 13 ) Seitsemänteen ennakkoratkaisukysymykseen sisältyvää ilmaisua ”voiko [se] esimerkiksi intressipunninnan yhteydessä ottaa kantaa siihen, vastaavatko yrityksen henkilötietojen käsittelyä koskevat sopimusehdot ja niiden soveltaminen yleisessä tietosuoja‑asetuksessa säädettyä” on nähdäkseni tulkittava tällä tavoin.
( 14 ) Ks. edellä tämän ratkaisuehdotuksen alaviite 11.
( 15 ) [SEUT 101 ja SEUT 102] artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16.12.2002 annettu neuvoston asetus (EYVL 2003, L 1, s. 1).
( 16 ) Esimerkiksi GWB:n 19 §:ssä, johon riidanalainen päätös perustuu.
( 17 ) Ks. esim. tuomio 6.9.2017, Intel v. komissio (C‑413/14 P, EU:C:2017:632, 136 kohta oikeuskäytäntöviittauksineen). Unionin tuomioistuin on lisäksi täsmentänyt, että SEUT 102 artiklan soveltamisala on yleinen eikä sitä voida rajoittaa unionin lainsäätäjän toteuttamalla sääntelyllä, käsiteltävässä asiassa sähköisen viestinnän alan sääntelyllä (ks. vastaavasti tuomio 10.7.2014, Telefónica ja Telefónica de España v. komissio, C‑295/12 P, EU:C:2014:2062, 128 kohta).
( 18 ) Näiden kahden normiryhmän erilaisten tavoitteiden perusteella on nimittäin selvää, että tietojenkäsittelytoiminnassa saatetaan rikkoa kilpailusääntöjä, vaikka toiminta on yleisen tietosuoja‑asetuksen mukaista, ja että siinä tarkoitetusta lainvastaisesta toiminnasta ei taas välttämättä voida päätellä, että siinä rikotaan kilpailusääntöjä. Unionin tuomioistuin on täsmentänyt tässä yhteydessä, ettei se, että toiminta on tietyn lainsäädännön mukaista, tarkoita sitä, ettei samaan toimintaan voitaisi soveltaa SEUT 101 ja SEUT 102 artiklaa (ks. mm. tuomio 6.12.2012, AstraZeneca v. komissio,C‑457/10 P, EU:C:2012:770, 132 kohta, jossa unionin tuomioistuin muistutti lisäksi, että määräävän markkina‑aseman väärinkäyttö muodostuu useimmissa tapauksissa muiden oikeudenalojen kuin kilpailuoikeuden kannalta laillisesta toiminnasta). Jos nimittäin ainoastaan menettelytapoja, joilla rajoitetaan objektiivisesti kilpailua ja jotka ovat oikeudellisesti lainvastaisia, pidettäisiin SEUT 102 artiklassa tarkoitettuna väärinkäyttönä, tämä merkitsisi, että pelkästään laillisuutensa vuoksi menettelyä ei voitaisi – vaikka se mahdollisesti vahingoittaa kilpailua – todeta SEUT 102 artiklan vastaiseksi, mikä vaarantaisi tämän määräyksen tavoitteen, joka on sellaisen järjestelmän perustaminen, jolla taataan, ettei kilpailu sisämarkkinoilla vääristy (ks. vastaavasti ratkaisuehdotukseni Servizio Elettrico Nazionale ym., C‑377/20, EU:C:2021:998, 37 kohta). Oikeuskäytännön mukaan ainoastaan silloin, kun yritysten on kansallisen lainsäädännön noudattamiseksi meneteltävä kilpailua rajoittavalla tavalla tai jos kansallisessa lainsäädännössä luodaan sellaiset oikeudelliset puitteet, jotka itsessään poistavat mahdollisuuden yritysten väliseen kilpailuun, SEUT 101 ja SEUT 102 artiklaa ei sovelleta, mutta kyseisiä artikloja voidaan soveltaa, jos osoittautuu, että kansallisessa lainsäädännössä jätetään mahdollisuus siihen, että yritykset estävät kilpailun tai rajoittavat tai vääristävät sitä itsenäisellä menettelyllään (ks. vastaavasti tuomio 14.10.2010, Deutsche Telekom v. komissio,C‑280/08 P, EU:C:2010:603, 80 kohta oikeuskäytäntöviittauksineen).
( 19 ) Tulkinta, jonka mukaan kilpailuviranomaiset eivät voisi toimivaltaansa käyttäessään tulkita yleisen tietosuoja‑asetuksen säännöksiä, kyseenalaistaisi unionin kilpailuoikeuden tehokkaan soveltamisen.
( 20 ) Lisäksi se, että kilpailuviranomainen tulkitsee tietosuoja‑asetusta liitännäisesti, ei ole esteenä tämän tulkinnan saattamiselle tuomioistuinvalvonnan piiriin kilpailuasioissa toimivaltaisissa kansallisissa tuomioistuimissa, jotka voivat tulkintavaikeuksissa joutua esittämään unionin tuomioistuimelle ennakkoratkaisupyynnön, kuten käsiteltävässä asiassa toisen, kolmannen, neljännen, viidennen ja kuudennen ennakkoratkaisukysymyksen osalta.
( 21 ) Se, miten kilpailuviranomainen tulkitsee yleistä tietosuoja‑asetusta ainoastaan kilpailuoikeudessa säädettyjen sääntöjen (ja mahdollisesti seuraamusten määräämisen) soveltamiseksi, ei nimittäin voi poistaa valvontaviranomaisilla kyseisen asetuksen yhteydessä olevaa toimivaltaa. Kilpailuviranomaisen mahdollisuus tulkita kyseistä asetusta liitännäisesti ei myöskään aiheuta vaikeuksia sen soveltamisessa, joka on valvontaviranomaisten tehtävä, eikä korjaavien toimenpiteiden tai seuraamusten määräämisessä, koska kilpailuviranomaisen mahdollisesti määräämät toimenpiteet tai seuraamukset perustuvat eri sääntöihin, tavoitteisiin ja oikeutettuihin etuihin kuin ne, joita kyseisellä asetuksella suojataan (kilpailuviranomaisen ja yleisessä tietosuoja‑asetuksessa tarkoitetun valvontaviranomaisen toteuttama seuraamusten määrääminen ei nähdäkseni siksi kuulu ne bis in idem ‑periaatteen alaan (ks. analogisesti tuomio 22.3.2022, bpost,C‑117/20, EU:C:2022:202, 42–50 kohta)).
( 22 ) Lisäksi erilaisen tulkinnan riski on ominaista kaikille aloille, joita koskevan säännöstön kilpailuviranomainen joutuu ottamaan tai voi ottaa huomioon arvioidessaan tietyn toiminnan lainmukaisuutta kilpailuoikeuden kannalta.
( 23 ) Yleisen tietosuoja‑asetuksen VI ja VII luvussa otetaan käyttöön muun muassa valvontaviranomaisten välistä tietojenvaihtoa ja keskinäistä avunantoa koskevat yhden luukun järjestelmät.
( 24 ) Ks. asetus N:o 1/2003 sekä jäsenvaltioiden kilpailuviranomaisten täytäntöönpanovalmiuksien parantamiseksi ja sisämarkkinoiden moitteettoman toiminnan varmistamiseksi 11.12.2018 annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1 (EUVL 2019, L 11, s. 3).
( 25 ) Ks. vastaavasti mm. tuomio 14.11.1989, Italia v. komissio (14/88, EU:C:1989:421, 20 kohta) ja tuomio 11.6.1991, Athanasopoulos ym. (C‑251/89, EU:C:1991:242, 57 kohta).
( 26 ) Lisäksi yleisellä tietosuoja‑asetuksella käyttöön otettua valvontaviranomaisten yhteistyömenettelyä voidaan itsessään pitää erityissäännöksenä, jolla täydennetään ja täsmennetään SEU 4 artiklan 3 kohdassa vahvistettua vilpittömän yhteistyön yleistä periaatetta (ks. mm. oikeuskirjallisuudessa Hijmans, H., ”Article 51 Supervisory authority”, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, s. 869). Sama koskee muita yleisessä tietosuoja‑asetuksessa säädettyä yhteistyövälinettä edeltäneitä yhteistyövälineitä, kuten kilpailuviranomaisten välistä yhteistyöjärjestelmää (ks. mm. asetuksen N:o 1/2003 IV luku).
( 27 ) Ks. vastaavasti julkisasiamies Trstenjakin ratkaisuehdotus Gorostiaga Atxalandabaso v. parlamentti (C‑308/07 P, EU:C:2008:498, 89 kohta).
( 28 ) Ks. mm. tuomio 2.6.2022, Skeyes (C‑353/20, EU:C:2022:423, 52 kohta oikeuskäytäntöviittauksineen). Yleisellä tietosuoja‑asetuksella käyttöön otetusta yhteistyöjärjestelmästä ja kilpailualalla käyttöön otetusta yhteistyöjärjestelmästä voidaan nähdäkseni tarvittaessa johtaa ohjeita, ja on täsmennettävä, että erityissäännösten puuttuessa kilpailuviranomaisen huolellisuusvelvollisuus ei ulotu niin pitkälle, että sillä olisi muun muassa yleisen tietosuoja‑asetuksen VII luvussa säädettyjen yhteistyömenettelyn ja yhdenmukaisuusmekanismin yhteydessä asetettuja yksityiskohtaisia velvoitteita (kilpailuviranomaisen ei esimerkiksi voida odottaa toimittavan päätösluonnosta kyseisessä asetuksessa tarkoitetulle toimivaltaiselle valvontaviranomaiselle saadakseen tältä lausunnon).
( 29 ) Ks. unionin lääkealan säännöstön kattamasta alasta analogisesti mm. tuomio 23.1.2018, F. Hoffmann‑La Roche ym. (C‑179/16, EU:C:2018:25, 58–64 kohta).
( 30 ) Toisin sanoen tällainen päätös itsessään on osa niitä oikeudellisia seikkoja ja tosiseikkoja, jotka kilpailuviranomaisen on tutkittava, mutta se on edelleen vapaa tekemään niistä päätelmänsä kilpailuoikeuden soveltamisen näkökulmasta (ks. edellä tämän ratkaisuehdotuksen alaviite 18).
( 31 ) Kun otetaan huomioon kansallisten valvontaviranomaisten rooli ja tehtävät yleisellä tietosuoja‑asetuksella käyttöön otetussa yhteistyöjärjestelmässä, vuorovaikutus kansallisen valvontaviranomaisen kanssa voi nähdäkseni itsessään riittää täyttämään kilpailuviranomaisen huolellisuutta ja vilpitöntä yhteistyötä koskevat velvoitteet erityisesti silloin, kun sillä ei ole mahdollisuutta (sovellettavien kansallisen oikeuden menettelyjen vuoksi) tai (erityisesti kielitaitoon liittyviä) keinoja toimia tyydyttävällä tavalla yhteistyössä toisen jäsenvaltion johtavan valvontaviranomaisen kanssa.
( 32 ) Tai kansalliselle valvontaviranomaiselle, jos kyseinen viranomainen sijaitsee toisessa jäsenvaltiossa (ks. edellä tämän ratkaisuehdotuksen alaviite 31).
( 33 ) On muistutettava, että vaikka kilpailuviranomainen tulkitsee tiettyjä yleisen tietosuoja‑asetuksen säännöksiä toimivaltaansa käyttäessään, tämä ei vaikuta siihen, miten kyseisessä asetuksessa tarkoitetut toimivaltaiset valvontaviranomaiset tulkitsevat ja soveltavat niitä (ks. edellä tämän ratkaisuehdotuksen alaviite 21).
( 34 ) Bundeskartellamt väittää tässä yhteydessä nojautuneensa Saksan kilpailuoikeuteen, jonka perusteella se voi käydä yleisessä tietosuoja‑asetuksessa tarkoitettua yhteydenpitoa kansallisten valvontaviranomaisten kanssa.
( 35 ) Näin on varsinkin, jos – kuten Bundeskartellamt väittää – Saksan liittovaltion valvontaviranomainen ja Irlannin johtava valvontaviranomainen ovat vahvistaneet sille, ettei viimeksi mainittu ollut aloittanut mitään menettelyä sen tarkastelemien samojen käytäntöjen osalta.
( 36 ) Ennakkoratkaisua pyytänyt tuomioistuin viittaa erityisesti tilanteeseen, jossa käyttäjä avaa verkkosivuja tai sovelluksia ja syöttää tietoja tällaisille sivuille tai tällaisiin sovelluksiin (esimerkiksi flirttailusovelluksia, homoseksuaaliseen seuranhakuun tarkoitettuja sovelluksia, poliittisten puolueiden sivustoja tai terveyteen liittyviä sivustoja), jotka luovat kyseessä olevassa säännöksessä suojattuja tietoja.
( 37 ) Jäljempänä arkaluonteiset henkilötiedot. Kyse on sellaisten henkilötietojen käsittelystä, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tai biometristen tietojen käsittelystä henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittelystä.
( 38 ) Totean sivumennen, että Bundeskartellamt on epävarma siitä, onko tällä kysymyksellä merkitystä asian ratkaisun kannalta, koska se on päätöksessään ottanut huomioon yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen eikä sen 9 artiklan 2 kohdan a alakohdassa tarkoitettua suostumusta.
( 39 ) Ennakkoratkaisua pyytänyt tuomioistuin viittaa tässä yhteydessä yhteisöliitännäisiin (plugins), esimerkiksi ”tykkää”‑ tai ”jaa”‑painikkeisiin, tai Facebook Login ‑toimintoon (eli mahdollisuuteen tunnistautua käyttämällä Facebook‑tiliin liitettyjä yhteystietoja) ja ”account kit” ‑toimintoon (eli mahdollisuuteen tunnistautua sovellukseen tai sivustolle, joka ei välttämättä liity Facebookiin, puhelinnumerolla tai sähköpostiosoitteella ilman salasanaa).
( 40 ) Havaitsen lisäksi huomattavan epäjohdonmukaisuuden yleisen tietosuoja‑asetuksen ranskankielisen version, jossa kyseisen säännöksen ensimmäisessä virkkeessä viitataan henkilötietojen käsittelyyn, ”josta” ilmenevät (un traitement des données à caractère personnel qui ”révèle”) tietyt arkaluonteiset tilanteet, ja saksankielisen version (sekä muun muassa kreikan‑ ja italiankielisten versioiden), jossa viitataan sellaisten henkilötietojen käsittelyyn, ”joista” ilmenevät tällaiset tilanteet, välillä. Tämän säännöksen ranskankielinen versio on käsittääkseni ristiriidassa useimpien muiden kieliversioiden kanssa. Lisäksi kyseisen säännöksen asiayhteydessä verbi ”ilmetä” on mielestäni loogisempaa sitoa tietoihin, koska siinä tarkastellaan jäljempänä tietoja eikä käsittelyä. Tämä ilmenee myös yleisen tietosuoja‑asetuksen johdanto‑osan 51 perustelukappaleen ranskankielisestä tekstistä, jossa täsmennetään, että arkaluonteisiin henkilötietoihin ”olisi sisällyttävä myös henkilötiedot, joista ilmenee rotu tai etninen alkuperä” (kursivointi tässä).
( 41 ) Olisi mielestäni vastoin yleisen tietosuoja‑asetuksen 9 artiklan 1 kohdan (ja koko kyseisen asetuksen) tarkoitusta, joka on suojella tiettyjä arkaluonteisia henkilötietoja, erottaa toisistaan esimerkiksi rotu tai etninen alkuperä, mihin sisältyy kielto käsitellä paitsi tietoja, joista se ilmenee suoraan, myös sellaisia tietoja, joista ilmenee tämä tilanne, sekä geneettiset tiedot, joiden käsittelykielto ei kata tiettyjä tämän tilanteen ilmaisevia tietoja, eikä ole aina yksiselitteistä erottaa toisistaan tiedot, joista ilmenevät tietyt tilanteet (esimerkiksi rotu tai etninen alkuperä), ja tiedot, jotka koskevat muita tilanteita (esimerkiksi terveyttä). Huomautan tässä yhteydessä, että vaikka tietosuoja‑asetuksen 9 artiklan 1 kohdassa viitataan muun muassa terveyttä koskeviin tietoihin, ”terveystiedot” määritellään sen 4 artiklan 15 alakohdassa siten, että niillä tarkoitetaan ”luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa” (kursivointi tässä). Kuten Saksan hallitus antaa ymmärtää, tämä kyseisen säännöksen sanamuodon epäjohdonmukaisuus saattaa johtua vain hieman epäonnistuneesta yrityksestä erottaa toisistaan puhtaat tiedot, joilla on suoraan informatiivinen sisältö, ja ”metatiedot”, joiden vastaava tietosisältö ilmenee vain konkreettisessa asiayhteydessä arvioinnin tai liitynnän avulla.
( 42 ) Kuten pääasian valittaja väittää, nämä ovat lähtökohtaisesti kaksi eri näkökohtaa. Pelkästään siitä, että käyttäjä on vieraillut verkkosivustolla tai ollut sen kanssa vuorovaikutuksessa, ei nimittäin välttämättä sellaisenaan ilmene tietoja, jotka koskevat esimerkiksi hänen uskoaan, terveyttään tai poliittisia mielipiteitään, sillä kiinnostuksesta verkkosivustoon ei automaattisesti ilmene, että kyseinen henkilö kannattaa kyseisen sivuston edustamia ideoita tai kuuluu niiden edustamiin ryhmiin. Tämä pätee erityisesti poliittisen puolueen sivustolla tai tiettyä poliittista ideologiaa edustavalla sivustolla vierailemiseen, joka ei välttämättä tarkoita kyseisen ideologian kannattamista, vaan se voi johtua uteliaisuudesta tai jopa kriittisestä suhtautumisesta kyseiseen ideologiaan.
( 43 ) Meta Platformsin mukaan siitä, että käyttäjä on avannut internetsivuston tai ollut sen kanssa vuorovaikutuksessa, ei itsessään ilmene arkaluonteisia tietoja, sillä vaikka kiinnostus verkkosivustoon pannaan merkille tai sitä hyödynnetään, se ei ole arkaluonteisten henkilötietojen käsittelyä. Näin on vain silloin, kun käyttäjät ryhmitellään näiden tietojen avulla. Meta Platformsin mukaan riidanalaisen käytännön kohteena olevat tiedot kuuluvat siis yleisen tietosuoja‑asetuksen 9 artiklan 1 kohdassa säädetyn suojan piiriin vain, jos ne liittyvät johonkin kyseisessä säännöksessä tarkoitettuun ryhmään ja jos niitä käsitellään subjektiivisesti tietoisena asiaan vaikuttavista seikoista ja tarkoituksena erottaa niistä nämä tietoluokat. Bundeskartellamtin mielestäni liian suppean tulkinnan mukaan sitä vastoin jo se, että rekisteröity käyttää tiettyä verkkosivustoa tai sovellusta, jonka pääasiallinen kohde kuuluu yleisen tietosuoja‑asetuksen 9 artiklan 1 kohdassa lueteltuihin aloihin, johtaa kyseisessä säännöksessä säädetyn suojan soveltamiseen. Bundeskartellamtin mukaan arkaluonteisten henkilötietojen suoja ei riipu rekisterinpitäjän aikomuksesta käyttää näitä tietoja, koska rekisteröidyn oikeuksiin vaikuttaa jo se, että nämä tiedot jäävät hänen vaikutuspiirinsä ulkopuolelle.
( 44 ) Kuten Euroopan tietosuojaneuvosto (EDPB, jäljempänä tietosuojaneuvosto) on myöntänyt, pelkästään se, että sosiaalisen median palveluntarjoaja käsittelee suuria tietomääriä, joita voitaisiin mahdollisesti käyttää erityisten henkilötietoryhmien päättelemiseen, ei kuitenkaan automaattisesti tarkoita, että käsittely kuuluu yleisen tietosuoja‑asetuksen 9 artiklan soveltamisalaan (ks. 13.4.2021 annetut tietosuojaneuvoston ohjeet 8/2020 sosiaalisen median käyttäjiin suunnatusta kohdentamisesta (jäljempänä tietosuojaneuvoston ohjeet 8/2020), 124 kohta).
( 45 ) Tällaisen tulkinnan ansiosta voitaisiin nähdäkseni välttää pääasian valittajan esiin tuoma tilanne, jossa rekisterinpitäjä lähtökohtaisesti rikkoisi tietosuoja‑asetusta, koska se ei voisi estää sellaisten tietojen mahdollista saantia (erityisesti automaattisilla keinoilla), jotka liittyvät välillisesti arkaluonteisten tietojen luokkiin, sanotun kuitenkaan rajoittamatta rekisterinpitäjän velvollisuutta toteuttaa riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet yleisen tietosuoja‑asetuksen 32 artiklan mukaisesti.
( 46 ) Ks. vastaavasti tietosuojaneuvoston ohjeet 8/2020, 125 kohta.
( 47 ) Ennakkoratkaisua pyytänyt tuomioistuin mainitsee tässä yhteydessä yhteisöpalvelun ja mainosten personoinnin, verkkoturvallisuuden, palvelujen parantamisen, mittaus‑ ja analytiikkapalvelujen tarjoamisen mainostajakumppaneille, sosiaalisin tarkoitusperin toteutettavan tutkimuksen, oikeudellisiin tiedusteluihin vastaamisen ja oikeudellisten velvoitteiden täyttämisen, käyttäjien ja kolmansien elintärkeiden etujen suojaamisen sekä yleistä etua koskevan tehtävän suorittamisen.
( 48 ) Ks. analogisesti tuomio 21.12.2016, Tele2 Sverige ja Watson ym. (C‑203/15 ja C‑698/15, EU:C:2016:970, 89 kohta oikeuskäytäntöviittauksineen), joka koskee henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11), 15 artiklan 1 kohdan tulkintaa.
( 49 ) Ks. myös 29 artiklan mukaisen tietosuojatyöryhmän lausunto 6/2014, s. 10 ja 11; kyseinen ryhmä on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) 29 artiklan perusteella perustettu riippumaton neuvoa‑antava elin, joka on yleisen tietosuoja‑asetuksen antamisesta alkaen korvattu tietosuojaneuvostolla.
( 50 ) Tämä edellytys on nähdäkseni hyvin lähellä rekisteröidyn suostumusta koskevaa edellytystä.
( 51 ) Muistutan, että yleisen tietosuoja‑asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjän velvollisuutena on osoittaa, että henkilötietoja käsitellään yleisen tietosuoja‑asetuksen mukaisesti.
( 52 ) Vaikka tarkkaavainen käyttäjä on luultavasti tietoinen siitä, että yhteystiedot ovat kyseessä olevan internetsivuston tai sovelluksen ylläpitäjän saatavilla, ei mielestäni ole niin selvää, että hän on tietoinen myös siitä, että nämä tiedot ovat myös hänen Facebook‑tilinsä ylläpitäjän saatavilla.
( 53 ) Käyttäjä on enintään tietoinen ”suhteestaan” sivuston tai sovelluksen ylläpitäjään ja kolmansiin osapuoliin, joille tämä välittää nämä tiedot, mutta on mahdollista, ettei hän edes tiedä tästä suhteesta, sillä joissakin olosuhteissa käyttäjä voi saada vaikutelman siitä, että hän paljastaa tietoja, mahdollisesti anonyymisti, pelkälle laitteelle.
( 54 ) Esimerkiksi ”tykkää”‑ ja ”jaa”‑painikkeita (ks. edellä tämän ratkaisuehdotuksen alaviite 39).
( 55 ) Facebook esimerkiksi tarjoaa määrityksissään käyttäjälle useita mahdollisuuksia jakaa Facebook‑tilillä saatavilla olevia tietoja.
( 56 ) Ei tosin voida sulkea pois sitä, että erityistapauksissa käyttäjä haluaa toimillaan tosiasiallisesti välittää itseään koskevia tietoja määrittelemättömälle määrälle henkilöitä. On esimerkiksi mahdollista, että käyttäjä on muokannut Facebook‑tilinsä jakovaihtoehtoja siten, että kaikki kyseisen yhteisöpalvelun käyttäjät voivat tutustua hänen profiilissaan oleviin sisältöihin, ja että hän on tästä tietoinen. Edes tällaisessa tilanteessa ei kuitenkaan ole itsestään selvää, että käyttäjä olisi tällaisella toiminnalla halunnut ilman mitään epäilystä ilmaista aikomuksensa saattaa kyseessä olevat henkilötiedot nimenomaisesti julkisiksi, kun otetaan huomioon kyseessä olevan poikkeuksen tiukka luonne (ks. edellä tämän ratkaisuehdotuksen 42 kohta).
( 57 ) Ks. mm. tuomio 29.7.2019, Fashion ID (C‑40/17, EU:C:2019:629, 87–89 kohta oikeuskäytäntöviittauksineen).
( 58 ) Muun muassa evästeiden (cookies) (ks. direktiivin 2002/58 johdanto‑osan 25 perustelukappale).
( 59 ) Tätä suostumusta ei voida rinnastaa myöskään yleisen tietosuoja‑asetuksen 9 artiklan 2 kohdan a alakohdassa tarkoitettuun kyseisten henkilötietojen käsittelyä koskevaan nimenomaiseen suostumukseen. Yleisen tietosuoja‑asetuksen 22 artiklan 1 kohdan c alakohdassa tarkoitettu profilointia koskeva suostumus, jonka kohteena on tietenkin ainoastaan profilointi, ei voi myöskään olla merkityksellinen.
( 60 ) Viidennestä kysymyksestä on todettava, että ennakkoratkaisua pyytänyt tuomioistuin on sisällyttänyt riidanalaiseen käytäntöön – tietojen keräämisen, niiden yhdistämisen käyttäjän Facebook‑tiliin sekä muista konsernin palveluista sekä kolmansien internetsivustoilta ja sovelluksista saatujen tietojen käytön (ks. edellä tämän ratkaisuehdotuksen 10 kohta) lisäksi – ”jo muuten laillisesti kerättyjen ja käyttäjän Facebook‑tiliin yhdistettyjen tietojen käyttämisen”.
( 61 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohta.
( 62 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohta.
( 63 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohta.
( 64 ) Käyttäjien alaikäisyys, mittausten, analytiikan ja muiden yrityspalvelujen tarjoaminen, markkinointiyhteyksien tarjoaminen käyttäjille, tutkimus ja innovointi sosiaalisiin tarkoituksiin sekä tietojen jakaminen lainvalvontaviranomaisten kanssa ja lakisääteisiin pyyntöihin vastaaminen.
( 65 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan c alakohta.
( 66 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan d alakohta.
( 67 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan e alakohta.
( 68 ) Vaikuttaa nimittäin siltä, että neljännellä ennakkoratkaisukysymyksellä unionin tuomioistuinta pyydetään lausumaan yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohdan soveltamisesta eikä tulkinnasta, eikä viidennessä ennakkoratkaisukysymyksessä täsmennetä syitä, miksi ennakkoratkaisua pyytäneellä tuomioistuimella on epäilyjä kyseisen asetuksen 6 artiklan 1 kohdan c, d ja e alakohdan tulkinnasta.
( 69 ) Ks. 8.10.2019 annetut tietosuojaneuvoston ohjeet 2/2019 yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohdan perusteella tapahtuvasta henkilötietojen käsittelystä rekisteröidyille tarjottavien verkkopalvelujen yhteydessä (jäljempänä tietosuojaneuvoston ohjeet 2/2019), 1 kohta.
( 70 ) Tältä osin on todettava, että pääasian asianosaiset ovat pääasiallisesti samaa mieltä oletuksesta, jonka mukaan kyseessä olevien oikeuttamisperusteiden soveltaminen edellyttää tapauskohtaista analyysia, mutta niillä on erilaiset näkemykset tämän oletuksen käytännön seurauksista. Bundeskartellamt korostaa, että rekisterinpitäjän on osoitettava yksityiskohtaisesti, mitä tietoja käsitellään konkreettisesti missäkin käyttöskenaariossa, ja väittää erityisesti pääasian valittajan esittäneen ainoastaan, että Facebookin ulkopuolisista lähteistä peräisin olevien tietojen koko käsittely on tarpeen kutakin käyttöehdoissa mainitun tietojen käsittelyn tarkoitusta varten. Meta Platforms Ireland katsoo sitä vastoin, ettei Bundeskartellamt voinut kunkin käsittelyn erityispiirteitä tutkimatta sulkea pois sitä, että riidanalainen käytäntö voi perustua kyseessä oleviin oikeuttamisperusteisiin, eikä se näin ollen voinut päätellä, että tämä käytäntö on yleisen tietosuoja‑asetuksen vastainen.
( 71 ) Käyttäjän suostumuksesta säädetään yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan a alakohdassa.
( 72 ) Tietosuojaneuvoston ohjeiden 2/2019 16 kohdassa täsmennetään tältä osin muun muassa, että sekä käyttötarkoitussidonnaisuus (yleisen tietosuoja‑asetuksen 5 artiklan 1 kohdan b alakohta) että tietojen minimointi (yleisen tietosuoja‑asetuksen 5 artiklan 1 kohdan c alakohta) ovat erityisen merkityksellisiä sellaisten verkkopalveluita koskevien sopimusten kannalta, joista ei tyypillisesti neuvotella tapauskohtaisesti, koska on olemassa akuutti riski siitä, että rekisterinpitäjät saattavat pyrkiä sisällyttämään sopimuksiin ehtoja voidakseen enimmäistää tietojen keruumahdollisuudet ja käytön ilman, että kyseisiä käyttötarkoituksia määritetään riittävästi tai tietojen minimointia koskevia velvoitteita otetaan huomioon.
( 73 ) Tietosuojaneuvoston ohjeiden 2/2019 2 kohdan mukaan kyseisellä säännöksellä tuetaan elinkeinovapautta, joka taataan perusoikeuskirjan 16 artiklassa, ja huomioidaan se seikka, että toisinaan rekisteröityä koskevia sopimusvelvoitteita ei voida täyttää, ellei rekisteröity toimita tiettyjä henkilötietoja. Täsmennän, ettei kyseisessä säännöksessä säädetty toinen esimerkkitapaus, joka koskee käsittelyn tarpeellisuutta sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä, ole merkityksellinen käsiteltävässä asiassa. Sama koskee kysymystä pätevän sopimuksen olemassaolosta sekä sovellettavan sopimusoikeuden että muiden lakiin perustuvien vaatimusten, kuluttajasopimuksia koskevat vaatimukset mukaan lukien, kannalta (ks. erityisesti kuluttajasopimusten kohtuuttomista ehdoista 5.4.1993 annettu neuvoston direktiivi 93/13/ETY (EYVL 1993, L 95, s. 29)), joka ei ole ennakkoratkaisupyynnön kohteena.
( 74 ) Ks. yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohtaa vastaavasta säännöksestä, joka sisältyy direktiivin 95/46 7 artiklan e alakohtaan, tuomio 16.12.2008, Huber (C‑524/06, EU:C:2008:724, 52 kohta).
( 75 ) Pelkkä sopimuksessa oleva viittaus tai maininta henkilötietojen käsittelyyn ei riitä siihen, että kyseinen käsittely kuuluu yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan b alakohdan soveltamisalaan, mutta käsittely voi olla objektiivisesti tarpeen, vaikka sitä ei nimenomaisesti mainita sopimuksessa, sanotun kuitenkaan rajoittamatta läpinäkyvyyttä koskevia rekisterinpitäjän velvoitteita (ks. tietosuojaneuvoston ohjeet 2/2019, 27 kohta).
( 76 ) Ks. tietosuojaneuvoston ohjeet 2/2019, 25 kohta.
( 77 ) Ks. vastaavasti tuomio 9.11.2010, Volker ja Markus Schecke ja Eifert (C‑92/09 ja C‑93/09, EU:C:2010:662, 86 kohta) ja tietosuojaneuvoston ohjeet 2/2019, 25 kohta. Tässä yhteydessä kyseisten ohjeiden 27–32 kohdassa viitataan muun muassa siihen, että käsittely on objektiivisesti tarpeen sellaisen käyttötarkoituksen kannalta, joka on olennainen kyseisen sopimusperusteisen palvelun toimittamiseksi rekisteröidylle, ja rekisterinpitäjän on voitava osoittaa, kuinka rekisteröidyn kanssa tehdyn kyseisen sopimuksen pääsisältöä ei voida tosiasiallisesti panna täytäntöön, ellei kyseessä olevia henkilötietoja käsitellä. Kyseisten ohjeiden 33 kohdassa esitetään tätä koskevia ohjaavia kysymyksiä.
( 78 ) Ks. tietosuojaneuvoston ohjeet 2/2019, 32 kohta.
( 79 ) Ks. tietosuojaneuvoston ohjeet 2/2019, 37 kohta.
( 80 ) Itävallan hallitus huomauttaa tästä asiaankuuluvalla tavalla, että pääasian valittaja oli aiemmin antanut Facebookin käyttäjille mahdollisuuden valita Newsfeedin sisältöjen kronologisen tai personoidun esittämisen välillä, mikä osoittaa, että vaihtoehtoinen tapa on mahdollinen.
( 81 ) Jollei ennakkoratkaisua pyytäneen tuomioistuimen arvioinnista muuta johdu, en usko, että henkilötietoja voi olla tarpeen kerätä ja käyttää Facebookin ulkopuolella palvelujen tarjoamiseksi Facebook‑profiilin yhteydessä ja että yhteisöpalveluun pääsyyn (eli Facebook‑profiilin avaamiseen) alun perin annettu suostumus voisi siten pätevästi kattaa käyttäjän henkilötietojen käsittelyn Facebookin ulkopuolella. Tällaisessa tilanteessa kyseessä olevien palvelujen käyttö edellyttää nimittäin suostumusta, joka ei ole tarpeen sopimuksen täytäntöön panemiseksi, ja yleisen tietosuoja‑asetuksen 7 artiklan 4 kohdan mukaan ennakkoratkaisua pyytäneen tuomioistuimen on otettava mahdollisimman kattavasti huomioon tämä seikka (joka yleisen tietosuoja‑asetuksen johdanto‑osan 43 perustelukappaleen mukaan muodostaa suostumuksen pätemättömyyttä koskevan oletuksen, joka rekisterinpitäjän on kumottava yleisen tietosuoja‑asetuksen 7 artiklan 1 kohdassa tarkoitetulla tavalla). Tällaisessa suostumuksessa ei mielestäni myöskään noudateta sääntöä, jonka mukaan eri henkilötietojen käsittelytoimiin on annettava erillinen suostumus (ks. jäljempänä tämän ratkaisuehdotuksen 74 kohdan kolmas osa), koska mikään ei sido käyttäjän alun perin Facebook‑tilin avaamiseen antamaa suostumusta hänen henkilötietojen käsittelyyn Facebookin ulkopuolella antamaansa mahdolliseen suostumukseen. Lisäksi siinäkin tapauksessa, että kyse on mahdollisesta myöhemmästä suostumuksesta, joka on annettu nimenomaisesti tietojen käyttämiseen Facebookin ulkopuolella, on tutkittava, tarjoaako rekisterinpitäjä mahdollisuuden valita vastaavan palvelun, johon ei sisälly suostumuksen antamista henkilötietojen käsittelyyn lisätarkoituksia varten (ks. tietosuojaneuvoston 4.5.2020 antamat asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020 (jäljempänä tietosuojaneuvoston suuntaviivat 5/2020) (37 kohta), joiden 38 kohdassa lisäksi täsmennetään, ettei rekisterinpitäjä voi viitata toisen toimijan tarjoamaan vastaavaan palveluun).
( 82 ) Tässä yhteydessä on mielestäni ratkaisevaa todeta Itävallan hallituksen tavoin, että konsernin eri tuotteita voidaan käyttää toisistaan riippumatta ja että kunkin palvelun käyttö perustuu erilliseen käyttösopimukseen. Kuten Bundeskartellamt huomauttaa, konsernin palvelujen kokonaisvaltaisen ja saumattoman käytön olisi lisäksi katsottava olevan pikemminkin käyttäjän etu kuin tarpeen konsernin palvelujen toiminnan kannalta, joten lähtökohtaisesti vaikuttaa tarkoituksenmukaisemmalta jättää asia käyttäjän harkintaan.
( 83 ) Ks. analogisesti tuomio 4.5.2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, 28 kohta), joka koskee yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohtaa vastaavaa säännöstä, joka sisältyy direktiivin 95/46 7 artiklan f alakohtaan.
( 84 ) Kuten julkisasiamies Bobek totesi ratkaisuehdotuksessaan Fashion ID (C‑40/17, EU:C:2018:1039, 122 kohta), oikeutetun intressin käsite vaikuttaa olevan direktiivissä 95/46 melko joustava ja avoin. Kuten pääasian valittaja väittää, unionin tuomioistuin on nimittäin pitänyt useita etuja oikeutettuina (ks. mm. tuomio 13.5.2014, Google Spain ja Google, C‑131/12, EU:C:2014:317, 81 kohta; tuomio 19.10.2016, Breyer,C‑582/14, EU:C:2016:779, 55 kohta; tuomio 4.5.2017, Rīgas satiksme,C‑13/16, EU:C:2017:336, 29 kohta; tuomio 24.9.2019, GC ym. (Arkaluonteisten tietojen poistaminen hakutulosten luettelosta),C‑136/17, EU:C:2019:773, 53 kohta; tuomio 11.12.2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, 59 kohta ja tuomio 17.6.2021, M.I.C.M.,C‑597/19, EU:C:2021:492, 108 ja 109 kohta). Sama päätelmä on nähdäkseni tehtävä yleisestä tietosuoja‑asetuksesta, jonka johdanto‑osan 47 perustelukappaleessa mainitaan esimerkinomaisesti muun muassa tilanne, jossa rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa, sekä henkilötietojen käsittely petosten estämistarkoituksissa tai suoramarkkinointitarkoituksissa ja jonka johdanto‑osan 49 perustelukappaleessa mainitaan verkko‑ ja tietoturvallisuus sekä tarjottavien palvelujen turvallisuus.
( 85 ) Tässä yhteydessä on mielestäni täsmennettävä, mikä käsittelytoimi perustuu mihinkin oikeutettuun etuun.
( 86 ) Ks. tuomio 4.5.2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, 30 kohta) ja tuomio 17.6.2021, M.I.C.M. (C‑597/19, EU:C:2021:492, 110 kohta).
( 87 ) Ks. vastaavasti tuomio 4.5.2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, 31 kohta) ja tuomio 17.6.2021, M.I.C.M. (C‑597/19, EU:C:2021:492, 111 kohta). Unionin tuomioistuin muistutti tässä yhteydessä, että direktiivin 95/46 7 artiklan f alakohta (joka vastaa yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan f alakohtaa) on esteenä sille, että jäsenvaltio sulkee ehdottomasti ja yleisesti pois mahdollisuuden käsitellä tiettyihin tietoryhmiin kuuluvia henkilötietoja sallimatta niiden oikeuksien ja intressien punnitsemista, joista on kyse tietyssä yksittäisessä tapauksessa, ja täsmensi, että jäsenvaltio ei voi siis näiden ryhmien osalta vahvistaa lopullisesti, mikä vastakkaisten oikeuksien ja intressien punnitsemisen tulos on, sallimatta muunlaista tulosta tiettyjen konkreettisessa tapauksessa vallitsevien erityisten olosuhteiden perusteella (tuomio 19.10.2016, Breyer,C‑582/14, EU:C:2016:779, 62 kohta oikeuskäytäntöviittauksineen).
( 88 ) 29 artiklan mukaisen tietosuojatyöryhmän lausunnossa 6/2014 olevassa III.3.4 kohdassa esitetään tätä koskevia kiinnostavia toteamuksia.
( 89 ) Yleisen tietosuoja‑asetuksen johdanto‑osan 49 perustelukappaleen mukaan on asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta voidaan varmistaa verkko‑ ja tietoturvallisuus. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen. Yleisen tietosuoja‑asetuksen 32 artiklassa säädetään lisäksi muun muassa, että rekisterinpitäjän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, ja kyseisen asetuksen 5 artiklan 1 kohdan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus.
( 90 ) On siis selvitettävä, missä määrin Facebook‑sivujen tai ‑sovelluksen ulkopuolisten henkilötietojen käsittely osoittautuu tarpeelliseksi Facebookin turvallisuuden kannalta. Ennakkoratkaisua pyytänyt tuomioistuin viittaa tässä yhteydessä mahdollisuuteen käyttää WhatsApp‑tietoja roskaviestien estämiseen (käyttämällä tietoja WhatsApp‑tileistä, joilta lähetetään roskaviestejä, vastaavien Facebook‑tilien käyttämisen estämiseksi) ja Instagramin tietoja epäilyttävien tai laittomien menettelyjen havaitsemiseksi, mutta en usko, että pääasian valittaja voi omia itselleen oikeuden käsitellä henkilötietoja ”poliisitarkoituksia” varten sanan laajassa merkityksessä, kun unionin tuomioistuimen oikeuskäytännön mukaan sähköiseen viestintään liittyvien tietojen alalla (joka on eri mutta samankaltainen ala) jopa lainsäädännölliset toimenpiteet, joissa säädetään ennakoivasti liikenne‑ ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä, ovat ristiriidassa direktiivin 2002/58 kanssa (ks. tuomio 6.10.2020, La Quadrature du Net ym.,C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 168 kohta). Rekisterinpitäjä voi lisäksi vedota yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan c alakohdassa säädettyyn erityiseen oikeuttamisperusteeseen, jos tarve taata verkkoturvallisuus on lakisääteinen vaatimus.
( 91 ) Yleisen tietosuoja‑asetuksen 6 artiklan 1 kohdan c, d ja e alakohdan mukaisesti.
( 92 ) Ks. edellä tämän ratkaisuehdotuksen 48 kohta.
( 93 ) Ottaen huomioon oikeuskäytännössä tunnustetut lukuisat oikeutetut edut (ks. tämän ratkaisuehdotuksen 60 kohta). Mielestäni on esimerkiksi lähtökohtaisesti selvää, että alaikäisten suojelulla voidaan perustella sellaisten tarkoituksenmukaisten suojelutoimenpiteiden toteuttaminen, joilla estetään heitä pääsemästä epäasianmukaisiin tai vaarallisiin sisältöihin.
( 94 ) Yleisen tietosuoja‑asetuksen 13 artiklan 1 kohdan c ja d alakohdan mukaan rekisterinpitäjän on nimittäin ilmoitettava kunkin käsittelytarkoituksen osalta muun muassa omat oikeutetut etunsa tai kolmannen osapuolen oikeutetut edut.
( 95 ) Unionin tuomioistuin täsmensi 11.11.2020 antamassaan tuomiossa Orange Romania (C‑61/19, EU:C:2020:901, 35 ja 36 kohta oikeuskäytäntöviittauksineen), että yleisen tietosuoja‑asetuksen 4 artiklan 11 alakohdan, jossa määritellään ”rekisteröidyn suostumus”, sanamuoto on tiukempi kuin direktiivin 95/46 2 artiklan h alakohdan sanamuoto, koska siinä edellytetään rekisteröidyn ”vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä” tahdonilmaisua antamalla sellainen lausuma tai toteuttamalla sellainen ”selkeästi suostumusta ilmaiseva toimi”, joka ilmaisee rekisteröidyn hyväksyvän henkilötietojen käsittelyn.
( 96 ) Kuten tietosuojaneuvosto korostaa, osatekijä ”vapaaehtoinen” edellyttää rekisteröityjen todellista vapaan valinnan ja valvonnan mahdollisuutta (ks. tietosuojaneuvoston suuntaviivat 5/2020, 13 kohta). Samassa kohdassa täsmennetään muun muassa, että suostumusta ei ole annettu vapaaehtoisesti, jos rekisteröity yhtäältä tuntee olevansa pakotettu antamaan suostumuksensa tai jos hänelle aiheutuu kielteisiä seurauksia siitä, ettei hän anna suostumusta, ja jos suostumus toisaalta liitetään sellaiseksi ehtojen osaksi, josta ei voida neuvotella. Näin ollen suostumusta ei pidetä vapaaehtoisena, jos kyseinen henkilö ei voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Kuten pääasian valittaja korostaa, tässä tapauksessa ainoa haitta, joka rekisteröidyn on hyväksyttävä, on se, ettei palvelussa ole välttämättä samoja toimintoja tai ettei se ole yhtä laadukas siltä osin kuin tekniseltä kannalta edellytetään tietojen, joita varten suostumusta ei ole annettu, käsittelyä.
( 97 ) Tietosuojaneuvoston suuntaviivoissa 5/2020 mainitaan tässä yhteydessä pelottelu, harhaanjohtaminen, pakottaminen tai merkittävät kielteiset vaikutukset, jos rekisteröity ei anna suostumusta, ja muistutetaan, että rekisterinpitäjän on osoitettava, että rekisteröidyllä on todellinen valinnanvapaus suostumuksen antamisessa ja peruuttamisessa (47 kohta).
( 98 ) Niiden tilanteiden lisäksi, jotka koskevat suhteita viranomaisten kanssa ja työsuhteita, jotka mainitaan johdanto‑osan 43 perustelukappaleessa ja joilla ei ole merkitystä käsiteltävässä asiassa, tietosuojaneuvoston suuntaviivojen 5/2020 24 kohdassa mainitaan muun muassa tilanteet, joissa rekisteröity ei pysty tekemään aitoa valintaa, joissa on pelottelun, harhaanjohtamisen tai pakottamisen riski tai joissa hänelle aiheutuu merkittävää haittaa (esimerkiksi huomattavia lisäkustannuksia) suostumuksen epäämisestä.
( 99 ) Tämä kysymys on osittain päällekkäinen kolmannen ennakkoratkaisukysymyksen ensimmäisen osan kohteena olevan kysymyksen kanssa (ks. edellä tämän ratkaisuehdotuksen 53–57 kohta). Yleisen tietosuoja‑asetuksen johdanto‑osan 43 perustelukappaleen toisessa virkkeessä täsmennetään, että tällaisessa tilanteessa suostumusta ei katsota vapaaehtoisesti annetuksi (tietosuojaneuvoston suuntaviivojen 5/2020 26 kohdan mukaan näin yleisessä tietosuoja‑asetuksessa varmistetaan, ettei henkilötietojen käsittelystä, johon suostumusta pyydetään, voi tulla suoraan tai epäsuoraan sopimuksen vastiketta), sillä ilmaisu ”ei katsota” osoittaa selvästi, että tapaukset, joissa suostumus on pätevä, ovat äärimmäisen poikkeuksellisia (ks. kyseisten suuntaviivojen 35 kohta). Yleisen tietosuoja‑asetuksen 7 artiklan 4 kohta ei lisäksi ole tyhjentävä, sillä siinä käytetään ilmaisua ”muun muassa”, mikä tarkoittaa, että kyseistä säännöstä voidaan soveltaa moniin muihinkin tilanteisiin, kuten mihin tahansa rekisteröityyn kohdistuvaan epäasianmukaiseen painostukseen tai vaikuttamiseen, joka estää häntä käyttämästä vapaata tahtoaan (tietosuojaneuvoston suuntaviivat 5/2020, 14 kohta).
( 100 ) Yleisen tietosuoja‑asetuksen johdanto‑osan 32 perustelukappaleessa täsmennetään muun muassa, että suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten, ja että jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Tietosuojaneuvoston suuntaviivoissa 5/2020 viitataan tässä yhteydessä suostumuksen ”tarkkuuteen” sen vapaaehtoisuuden estävänä tekijänä (44 kohta).
( 101 ) Tällainen tilanne edistää erityisesti sellaisten ehtojen asettamista, jotka eivät ole tarpeen sopimuksen täytäntöön panemiseksi (ks. edellä tämän ratkaisuehdotuksen 53–57 kohta).
( 102 ) Toisin sanoen, kuten komissio toteaa, yrityksen suhteellista markkinavoimaa, jolla on ratkaiseva merkitys yleisen tietosuoja‑asetuksen nojalla annettavan suostumuksen pätevyyden kannalta, ei välttämättä voida rinnastaa SEUT 102 artiklassa tarkoitettuun määräävään markkina‑asemaan.
( 103 ) Vaikka määräävän markkina‑aseman olemassaolo ei sinänsä estä antamasta vapaaehtoista suostumusta henkilötietojen käsittelyyn, tällaisen aseman puuttuminen ei tietenkään yksinään riitä takaamaan kaikissa olosuhteissa sitä, että suostumus on annettu pätevästi.