JULKISASIAMIEHEN RATKAISUEHDOTUS
NICHOLAS EMILIOU
4 päivänä toukokuuta 2023 ( 1 )
Asia C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
vastaan
Valstybinė duomenų apsaugos inspekcija,
jossa asian käsittelyyn osallistuvat
”IT sprendimai sėkmei” UAB ja
Lietuvos Respublikos sveikatos apsaugos ministerija
(Ennakkoratkaisupyyntö – Vilniaus apygardos administracinis teismas (Vilnan alueellinen hallintotuomioistuin, Liettua))
Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – 4 artiklan 7 alakohta – Rekisterinpitäjän käsite – Mobiilisovelluksen kehittäminen covid‑19‑pandemian yhteydessä – Toimivaltaisen viranomaisen vastuu, kun sillä on velvollisuus järjestää hankintamenettely mobiilisovelluksen hankkimiseksi – 4 artiklan 2 alakohta – Käsittelyn käsite – Henkilötietojen käyttö mobiilisovelluksen kokeiluvaiheessa – 26 artiklan 1 kohta – Yhteisrekisterin pitäminen – 83 artikla – Hallinnollisten seuraamusmaksujen määrääminen – Edellytykset – Vaatimus siitä, että rikkomus on tahallinen tai tuottamuksellinen – Rekisterinpitäjän vastuu henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä
I Johdanto
|
1. |
Kun elämme maailmassa, jossa henkilötiedoista on tullut pelinappuloita ja vasta löydetty kultakaivos yrityksille, millä edellytyksillä hallinnollisia seuraamusmaksuja voidaan määrätä rekisterinpitäjille ja henkilötietojen käsittelijöille asetuksessa (EU) 2016/679 ( 2 ) säädettyjen tietosuojasääntöjen rikkomisesta? Tarkemmin sanottuna: edellytetäänkö tuottamukseen liittyvää osatekijää, ennen kuin niille voidaan määrätä tällaisia seuraamusmaksuja? Tämä on keskeinen kysymys, jonka Vilniaus apygardos administracinis teismas (Vilnan alueellinen hallintotuomioistuin, Liettua) esittää käsiteltävässä asiassa. |
|
2. |
Tässä tuomioistuimessa käsiteltävänä oleva asia, jonka asianosaiset ovat Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Liettuan terveysministeriön alainen kansanterveyslaitos, jäljempänä NVSC) ja Valstybinė duomenų apsaugos inspekcija (Liettuan tietosuojavirasto, jäljempänä virasto), koskee pääasiallisesti NVSC:n roolia sellaisen mobiilisovelluksen kehittämisessä ja asettamisessa julkisesti saataville, jolla vuoden 2020 huhti‑ ja toukokuussa kerättiin henkilötietoja ihmisiltä, jotka olivat olleet kosketuksissa covid‑19‑tartunnan saaneisiin potilaisiin. |
|
3. |
Käsiteltävä asia antaa unionin tuomioistuimelle tilaisuuden selventää tässä yhteydessä käsitteitä ”rekisterinpitäjä, ”yhteisrekisterinpitäjät” ja ”käsittely”, jotka on määritelty yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa, 26 artiklan 1 kohdassa ja 4 artiklan 2 alakohdassa, ja tarkastella ensimmäisen kerran sitä, voidaanko tämän asetuksen 83 artiklan nojalla määrätä hallinnollinen seuraamusmaksu rekisterinpitäjälle, joka ei ole tahallaan tai tuottamuksellisesti rikkonut yleisen tietosuoja‑asetuksen sääntöjä. Tällä kysymyksellä pyydetään unionin tuomioistuinta selvittämään, sallitaanko kyseisessä säännöksessä seuraamusmaksujen määrääminen ilman minkäänlaista tuottamusta ankaran vastuun perusteella. |
II Asiaa koskevat oikeussäännöt
A Unionin oikeus
|
4. |
Yleisen tietosuoja‑asetuksen 148 perustelukappaleessa todetaan seuraavaa: ”Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja – – Jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. Seuraamusten, kuten hallinnollisten seuraamusmaksujen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan luettuina.” |
|
5. |
Asetuksen 150 perustelukappaleessa todetaan seuraavaa: ”Tämän asetuksen rikkomisen seurauksena määrättävien hallinnollisten seuraamusten vahvistamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia seuraamusmaksuja. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien seuraamusmaksujen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki yksittäisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja sen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. – – Hallinnollisen seuraamusmaksun määräämisellä tai varoituksen antamisella ei ole vaikutusta valvontaviranomaisten muiden valtuuksien soveltamiseen eikä muihin tämän asetuksen mukaisiin seuraamuksiin.” |
|
6. |
Yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdan mukaan ”rekisterinpitäjällä” tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; – –”. |
|
7. |
Asetuksen 26 artiklassa, jonka otsikko on ”Yhteisrekisterinpitäjät”, säädetään merkityksellisin osin seuraavaa: ”1. Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. – – – –” |
|
8. |
Asetuksen 83 artiklassa, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, säädetään seuraavaa: ”1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. 2. Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:
– –
3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua. – –” |
B Liettuan oikeus
|
9. |
Julkisista hankinnoista annetun lain (Viešųjų pirkimų įstatymas, jäljempänä julkisista hankinnoista annettu laki) 72 §:n 2 momentissa säädetään seuraavaa: ”Hankintaviranomaisen on toteutettava neuvottelumenettely, jossa ei julkaista ennakolta hankintailmoitusta, seuraavien vaiheiden mukaisesti:
|
III Tosiseikat, kansallinen menettely ja ennakkoratkaisukysymykset
|
10. |
Jotta olisi voitu vastata covid‑19‑viruksen leviämisestä aiheutuneeseen tilanteeseen, Liettuan tasavallan terveysministeri (jäljempänä terveysministeri) antoi 24.3.2020 tekemällään päätöksellä NVSC:n johtajan tehtäväksi järjestää KARANTINAS-mobiilisovelluksen kehittämisen ja hankinnan. Tämän mobiilisovelluksen tarkoituksena oli kerätä ja seurata sellaisten henkilöiden henkilötietoja, jotka olivat olleet kosketuksissa covid‑19‑tartunnan saaneisiin potilaisiin. ( 3 ) |
|
11. |
Henkilö, joka väitti olevansa NVSC:tä edustava asiamies, ilmoitti 27.3.2020 sähköpostitse IT sprendimai sėkmei UAB ‑nimiselle yritykselle (jäljempänä ITSS), että se oli valittu KARANTINAS-sovelluksen kehittäjäksi. Kyseisen sovelluksen kehittämiseen liittyviä sähköpostiviestejä lähetettiin ITSS:n ja kyseisen henkilön samoin kuin ITSS:n ja NVSC:n useiden työntekijöiden ja johtajan välillä. Tässä vaiheessa laadittiin myös salassapitosopimus, jonka mukaan sekä ITSS että NVSC olivat rekisterinpitäjiä. |
|
12. |
Lopulta kehitetty mobiilisovellus asetettiin yleisön ladattavaksi Google Play Storesta 4.4.2020 ja Apple App Storesta 6.4.2020. Sekä ITSS että NVSC mainittiin jälleen rekisterinpitäjinä KARANTINAS‑versiossa, joka asetettiin yleisön saataville lataamista varten. NVSC ei vielä tuolloin ollut ostanut tätä mobiilisovellusta. |
|
13. |
Terveysministeri antoi 10.4.2020 tekemällään päätöksellä NVSC:n johtajan tehtäväksi toteuttaa KARANTINAS-sovelluksen hankinnan neuvottelumenettelyllä ilman hankintailmoituksen julkaisemista julkisista hankinnoista annetun lain 72 §:n 2 momentin mukaan. |
|
14. |
Menettely aloitettiin, mutta koska tarvittavaa rahoitusta ei saatu, NVSC päätti sen. Hankintasopimusta sovelluksen ostamisesta ei siis tehty. KARANTINAS oli kuitenkin edelleen yleisön ladattavissa. |
|
15. |
NVSC pyysi 15.5.2020 ITSS:ltä, ettei se käyttäisi mobiilisovelluksessa NVSC:n tietoja tai sisällyttäisi sovellukseen linkkejä NVSC:hen. Virasto aloitti 18.5.2020 sekä ITSS:ää että NVSC:tä koskevan tutkinnan yleisen tietosuoja‑asetuksen sääntöjen rikkomisesta. KARANTINAS-sovelluksen toiminnot keskeytettiin viraston 26.5.2020 esittämästä vaatimuksesta. ITSS:n mukaan 3802 käyttäjää oli antanut henkilötietonsa sovelluksen kautta 4.4.–26.5.2020. |
|
16. |
Virasto määräsi 24.2.2021 tekemällään päätöksellä yhteisrekisterinpitäjinä oleville NVSC:lle ja ITSS:lle hallinnolliset seuraamusmaksut yleisen tietosuoja‑asetuksen 5, 13, 24, 32 ja 35 artiklan rikkomisesta. ( 4 ) |
|
17. |
NVSC on riitauttanut tämän päätöksen Vilniaus apygardos administracinis teismasissa. Tämä tuomioistuin pohtii lähinnä, onko yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa tarkoitettua rekisterinpitäjän käsitettä tulkittava laajasti siten, että se kattaa kaikki luonnolliset henkilöt tai oikeushenkilöt tai NVSC:n kaltaisen elimen, joka ei ole mobiilisovelluksen kehittäjä mutta joka tällaisen mobiilisovelluksen hankkimiseksi tarjouskilpailumenettelyn avulla määritteli ”henkilötietojen tarkoitukset ja keinot”, vai onko tätä käsitettä tulkittava suppeammin, jolloin otetaan huomioon julkinen hankintamenettely ja sen lopputulos. |
|
18. |
Erityisesti se haluaa tietää, onko sillä, että tarjouskilpailumenettelystä lopulta luovuttiin eikä NVSC koskaan hankkinut KARANTINAS-sovellusta, merkitystä tältä osin. Kyseinen tuomioistuin tiedustelee myös, vaikuttaako tähän arviointiin se, että NVSC ei virallisesti antanut suostumusta tai lupaa tämän mobiilisovelluksen asettamiseen yleisön saataville. |
|
19. |
Lisäksi se pohtii NVSC:n ja ITSS:n välistä suhdetta. Tältä osin se haluaa tietää, missä olosuhteissa kyseistä yksikköä ja yritystä olisi pidettävä yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa ja 26 artiklan 1 kohdassa tarkoitettuina yhteisrekisterinpitäjinä. Jos NVSC:tä ja ITSS:ää ei voida pitää yleisessä tietosuoja‑asetuksessa tarkoitettuina yhteisrekisterinpitäjinä vaan (vastaavasti) rekisterinpitäjänä ja henkilötietojen käsittelijänä, ( 5 ) se tiedustelee vaihtoehtoisesti, milloin ITSS:n toimet voisivat johtaa NVSC:n vastuuseen. Kyseinen tuomioistuin pohtii tältä osin, onko yleisen tietosuoja‑asetuksen 83 artiklaa tulkittava siten, että hallinnollinen seuraamusmaksu voidaan määrätä NVSC:n kaltaiselle rekisterinpitäjälle, joka ei ole itse rikkonut asetusta tahallaan tai tuottamuksellisesti. |
|
20. |
Edellä esitetyn perusteella Vilniaus apygardos administracinis teismas on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
|
|
21. |
Ennakkoratkaisupyyntö, joka on päivätty 22.10.2021, kirjattiin saapuneeksi unionin tuomioistuimeen 12.11.2021. NVSC, virasto, Liettuan hallitus ja Euroopan komissio ovat esittäneet kirjallisia huomautuksia. |
|
22. |
Liettuan ja Alankomaiden hallitukset sekä komissio ja neuvosto olivat edustettuina 17.1.2023 pidetyssä istunnossa. |
IV Asian tarkastelu
|
23. |
Covid‑19‑pandemian aikana monissa jäsenvaltioissa asetettiin yleisön ladattavaksi mobiilisovelluksia, joiden tarkoituksena oli jäljittää ja paikantaa virustartunnan saaneita henkilöitä ja/tai henkilöitä, jotka olivat olleet kosketuksissa sellaisen henkilön kanssa, jolla oli virustartunta. Tällaiset mobiilisovellukset kehitettiin hätätilanteeseen vastaamiseksi usein monien julkisten ja yksityisten yksiköiden (kuten ministeriöt ja muut julkisyhteisöt sekä yksityiset yritykset) myötävaikutuksella. Käyttäjiä pyydettiin lataamaan henkilötietojaan, erityisesti terveystietojaan, näihin mobiilisovelluksiin. ( 6 ) |
|
24. |
Pääasia koskee nimenomaan tällaista mobiilisovellusta eli KARANTINAS‑sovellusta, jonka ITSS (yksityinen yritys) kehitti NVSC:n (viranomainen) aloitteesta terveysministerin päätöksen perusteella. Asiakirja‑aineistossa olevista ja istunnossa annetuista tiedoista ei käy ilmi, mitkä muut liettualaiset julkisyhteisöt ovat – mahdollisesti – osallistuneet sovelluksen kehittämiseen. ( 7 ) Jossain määrin on myös kyseenalaista, suostuiko NVSC siihen, että KARANTINAS asetettiin yleisön saataville sinä aikana, jona henkilötietojen käsittely tapahtui (vuoden 2020 huhti‑ ja toukokuussa). Vilniaus apygardos administracinis teismas on unionin tuomioistuimelle esittämissään kysymyksissä kuitenkin todennut merkityksellisiksi seuraavat seikat:
|
|
25. |
Tätä taustaa vasten unionin tuomioistuimelle esitetyt kysymykset koskevat yleisen tietosuoja‑asetuksen eri säännösten tulkintaa. Kolme ensimmäistä kysymystä ja viides kysymys edellyttävät asetuksen 4 artiklan 7 alakohdassa tarkoitetun rekisterinpitäjän käsitteen tulkintaa ja selvennystä olosuhteista, joissa kahta tai useampaa yksikköä voidaan pitää tämän säännöksen ja asetuksen 26 artiklan 1 kohdan mukaan yhteisrekisterinpitäjinä. Tarkastelen ensin näitä kysymyksiä yhdessä (A), ennen kuin siirryn neljänteen kysymykseen, joka koskee yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyn käsitettä ja sen soveltamista mobiilisovelluksen kokeiluvaiheen yhteydessä (B). ( 8 ) Tämän jälkeen syvennyn käsiteltävän asian keskeiseen ongelmaan eli kuudenteen kysymykseen, joka on luonteeltaan monialainen, koska se liittyy edellytyksiin, joiden täyttyessä rekisterinpitäjille voidaan yleisen tietosuoja‑asetuksen 83 artiklan nojalla määrätä hallinnollisia seuraamusmaksuja (C). |
A Rekisterinpitäjän käsite ja yhteisrekisterin pitämistä koskevat tilanteet (ensimmäinen, toinen, kolmas ja viides kysymys)
|
26. |
Kolmella ensimmäisellä kysymyksellä ennakkoratkaisua pyytänyt tuomioistuin tiedustelee edellä 24 kohdassa kuvatun tilanteen valossa, onko NVSC:n kaltaista yksikköä pidettävä yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä. Viidennellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin haluaa lisäksi selvennystä siihen, onko NVSC:n ja ITSS:n kaltaista kahta yksikköä tällaisessa tilanteessa pidettävä tässä säännöksessä ja 26 artiklan 1 kohdassa tarkoitettuina yhteisrekisterinpitäjinä, vaikka ne eivät ole tehneet mitään käsittelyn tarkoituksia ja keinoja koskevaa muodollista järjestelyä ja/tai vaikka ne eivät näytä muulla tavoin koordinoineen toimintaansa. |
1. Mikä on rekisterinpitäjä? (ensimmäinen, toinen ja kolmas kysymys)
|
27. |
Muistutan, että yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdan mukaan rekisterinpitäjällä tarkoitetaan henkilöä tai yksikköä, joka ”yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot”. Toisin sanoen rekisterinpitäjän ei tarvitse käsitellä mitään henkilötietoja itse, mutta sen on määritettävä, ”miksi ja miten” kyseiset käsittelytoimet suoritetaan. ( 9 ) Unionin tuomioistuin on katsonut, että tämän kriteerin täyttämiseksi henkilön tai yksikön on tosiasiallisesti vaikutettava henkilötietojen käsittelyyn. ( 10 ) Ei kuitenkaan ole välttämätöntä, että käsittelyn tarkoitukset ja keinot määritellään rekisterinpitäjän kirjallisten suuntaviivojen tai ohjeiden mukaisesti. ( 11 ) Yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa nimittäin edellytetään pikemminkin tosiseikkoihin perustuvaa kuin muodollista arviointia. |
|
28. |
Tässä yhteydessä Euroopan tietosuojaneuvosto on esittänyt, että rekisterinpitäjänä voidaan toimia myös riippumatta siitä, onko laissa annettu erityinen toimivalta tai valtuus valvoa tietoja. Kyky määritellä käsittelyn tarkoitukset ja keinot riippuu nimittäin ennen kaikkea käytetystä vaikutusvallasta, joka voidaan päätellä tosiseikoista. Yksikköä, joka voi tosiasiasiallisesti määritellä käsittelyn tarkoitukset ja keinot, pidetään näin ollen rekisterinpitäjänä riippumatta siitä, onko se muodollisesti (laissa, sopimuksessa tai muulla tavoin) nimetty sellaiseksi. ( 12 ) |
|
29. |
Näiden täsmennysten jälkeen totean, että useat ennakkoratkaisua pyytäneen tuomioistuimen kolmessa ensimmäisessä kysymyksessä kuvailemista seikoista ovat puhtaasti muodollisia, kuten esimerkiksi se, että NVSC ei ole KARANTINAS‑sovelluksen laillinen omistaja, että mobiilisovelluksen hankintamenettelyä ei koskaan saatettu päätökseen tai että NVSC ei virallisesti antanut lupaa sovelluksen julkaisemiseen suurelle yleisölle tai hyväksynyt sovelluksen viimeistä versiota. Mielestäni mikään näistä seikoista ei voi yksinään olla esteenä sen toteamiselle, että NVSC toimi yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä. Ne eivät nimittäin riitä kumoamaan päätelmää, jonka mukaan NVSC kykeni tosiasiallisesti määrittelemään suoritetun henkilötietojen käsittelyn tarkoitukset ja keinot. Mielestäni vaikuttaa myös siltä, että se, että NVSC mainittiin rekisterinpitäjänä yleisön ladattavaksi asetetun KARANTINAS‑sovelluksen salassapitoa koskevissa periaatteissa tai että kyseisessä mobiilisovelluksen versiossa oli linkkejä tähän yksikköön, on merkityksellistä mutta ei ratkaisevaa tämän yksikön tosiasiallisesti käyttämän vaikutusvallan osalta. |
|
30. |
Sitä vastoin ennakkoratkaisua pyytäneelle tuomioistuimelle esitetyt todisteet, joiden mukaan NVSC päätti siitä, minkätyyppisiä henkilötietoja KARANTINAS‑sovelluksen oli kultakin rekisteröidyltä kerättävä, ja/tai muista käsittelyn keskeisistä seikoista, riittävät mielestäni vahvistamaan, että kyseinen yksikkö määritteli käsittelyn ”keinot”. Katson lisäksi, että koska KARANTINAS luotiin NVSC:n asettaman tavoitteen saavuttamiseksi eli covid‑19‑pandemiaan vastaamiseksi ja koska ITSS muokkasi sen toimintoja säännöllisesti vastaamaan NVSC:n määrittelemiä tarpeita tämän yksikön antamien ohjeiden mukaisesti, voidaan riittävästi päätellä, että NVSC määritteli käsittelyn ”tarkoitukset”. |
|
31. |
Mielestäni vaikuttaa kuitenkin siltä, että sen toteamiseksi, voidaanko NVSC:n kaltaista yksikköä pitää yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä, ennakkoratkaisua pyytäneen tuomioistuimen on myös selvitettävä, tehtiinkö NVSC:n KARANTINAS‑sovelluksen kehittämisvaiheessa käyttämästä vaikutusvallasta huolimatta päätös asettaa kyseinen mobiilisovellus yleisön saataville ja siten aloittaa henkilötietojen käsittely tosiasiallisesti kyseisen yksikön (nimenomaisella tai hiljaisella) suostumuksella (riippumatta siitä, että tällaista suostumusta ei virallisesti tai muodollisesti annettu). |
|
32. |
Yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa olevasta rekisterinpitäjän määritelmästä nimittäin käy ilmi, että rekisterinpitäjän käyttämän vaikutusvallan pitää liittyä varsinaiseen henkilötietojen käsittelyyn eikä pelkästään johonkin sitä edeltävään vaiheeseen. Luonnollisesta henkilöstä tai oikeushenkilöstä tai yksiköstä ei tule rekisterinpitäjää pelkästään siksi, että se käynnistää mobiilisovelluksen kehittämisen tai määrittää tämän sovelluksen (tai muun tiedonkeruuvälineen) parametrit. Sen toimien on tosiasiallisesti liityttävä henkilötietojen käsittelyyn, ja tämän vuoksi sen on pitänyt suostua nimenomaisesti tai hiljaisesti siihen, että kyseistä välinettä käytetään tällaisessa käsittelyssä. |
|
33. |
Unionin tuomioistuin korosti tätä vaatimusta tuomiossaan Fashion ID, ( 13 ) jossa se totesi nimenomaisesti, että rekisterinpitäjän vastuu on rajattu henkilötietojen käsittelyä koskevaan toimintoon tai toimintojen kokonaisuuteen, jonka osalta se määrittelee tosiasiassa tarkoitukset ja keinot. ( 14 ) Tästä seuraa, että tarkoitusten ja keinojen määrittelyn pitää liittyä suoraan kyseiseen henkilötietojen käsittelyä koskevaan toimeen tai toimien kokonaisuuteen. |
|
34. |
Näistä toteamuksista seuraa mielestäni, että NVSC:n kaltaista yksikköä, joka käynnistää mobiilisovelluksen kehittämisen, voidaan pitää yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä vain siinä tapauksessa, että pikemminkin riittävien tosiseikkojen kuin muodollisten seikkojen perusteella kansalliset tuomioistuimet voivat päätellä, että tällainen yksikkö on tosiasiallisesti vaikuttanut käsittelyn tarkoituksiin ja keinoihin ja että se on tosiasiallisesti suostunut mobiilisovelluksen julkaisemiseen yleisölle ja sen seurauksena henkilötietojen käsittelyyn. Ennakkoratkaisua pyytäneen tuomioistuimen on tehtävä tätä koskevat tarkastukset; itse uskon, että NVSC täyttää nämä vaatimukset. |
2. Koska kahta yksikköä voidaan pitää yhteisrekisterinpitäjinä? (viides kysymys)
|
35. |
Viides kysymys koskee edellytyksiä, joiden on täytyttävä, jotta kahta (tai useampaa) yksikköä voidaan pitää yhteisrekisterinpitäjinä. Ymmärtääkseni ennakkoratkaisua pyytänyt tuomioistuin haluaa selventää tämän käsitteen tulkintaa, koska se epäilee, että pääasian tilanteessa NVSC:tä ja ITSS:ää voitaisiin pitää yhteisrekisterinpitäjinä, jolloin ne voisivat olla yhteisvastuussa aiheutuneesta vahingosta ( 15 ) ja/tai niille voitaisiin yhdessä määrätä seuraamusmaksut tietosuojasääntöjen rikkomisista, jotka on tehty, kun KARANTINAS asetettiin yleisön saataville lataamista varten. Huomautan tässä yhteydessä, että kuten olen todennut edellä 16 kohdassa, virasto katsoi, että kyseinen yksikkö ja yritys olivat tosiasiassa molemmat vastuussa rikkomisista yhteisrekisterinpitäjinä, ja niille määrättiin seuraamusmaksut yleisen tietosuoja‑asetuksen 83 artiklan nojalla. |
|
36. |
Yleisen tietosuoja‑asetuksen 26 artiklan 1 kohdassa säädetään, että jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Kunkin yhteisrekisterinpitäjän on näin ollen itsenäisesti täytettävä asetuksen 4 artiklan 7 alakohdassa olevassa rekisterinpitäjän määritelmässä luetellut kriteerit. ( 16 ) Lisäksi yhteisrekisterinpitäjillä on oltava tietty suhde toisiinsa, koska heidän on vaikutettava käsittelyyn yhdessä. |
|
37. |
Unionin tuomioistuin on todennut, että yhteisrekisterin pitäminen ei välttämättä merkitse käsittelyyn osallistuvien eri henkilöiden tai yksiköiden samanlaista vastuuta tai osallistumista. Yhteisrekisterinpitäjät voivat päinvastoin osallistua käsittelyyn eri vaiheissa, joten niiden vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset olosuhteet. ( 17 ) Lisäksi se, että useampi yksikkö on yhteisvastuussa samasta henkilötietojen käsittelystä, ei myöskään edellytä, että kaikilla niistä on pääsy kyseisiin henkilötietoihin. ( 18 ) Olennaista on kuitenkin se, että toimijat osallistuvat yhdessä käsittelyn tarkoitusten ja keinojen määrittelemiseen. |
|
38. |
Huomautan tältä osin, että suuntaviivoissa 07/2020 todetaan, että tällainen yhteinen osallistuminen voi tapahtua eri muodoissa. Se voi olla seurausta kahden tai useamman yksikön tekemästä yhteisestä päätöksestä tai pelkästään näiden yksiköiden tekemistä yhdenmukaisista päätöksistä. Jälkimmäisessä tilanteessa merkitystä on ainoastaan sillä, että nämä päätökset täydentävät toisiaan ja ovat käsittelyn suorittamisen kannalta tarpeellisia niin, että ne vaikuttavat konkreettisesti käsittelyn tarkoitusten ja keinojen määrittämiseen, mikä tarkoittaa lähinnä sitä, että käsittely ei olisi mahdollista ilman molempien osapuolten osallistumista. ( 19 ) |
|
39. |
Tätä taustaa vasten ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko se, että kaksi rekisterinpitäjää (tässä tapauksessa NVSC ja ITSS) ei ole tehnyt muodollista järjestelyä käsittelyn tarkoituksista ja keinoista ja/tai että ne eivät näytä muutoin koordinoineen toimintaansa, esteenä sille, että niitä voidaan pitää yhteisrekisterinpitäjinä. |
|
40. |
Ymmärtääkseni ennakkoratkaisua pyytäneen tuomioistuimen tältä osin esittämät epäilyt johtuvat siitä, että yleisen tietosuoja‑asetuksen 26 artiklan 1 kohdan mukaan yhteisrekisterinpitäjien on määriteltävä keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueet tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Lisäksi asetuksen 79 perustelukappaleessa todetaan, että vastuualueet on jaettava selkeästi myös silloin, kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden kanssa. Mielestäni näitä velvoitteita ja vaatimuksia kuitenkin sovelletaan yhteisrekisterinpitäjiin vasta, kun niitä voidaan pitää sellaisina. Ne eivät kuulu kriteereihin, jotka ovat yhteisrekisterinpitäjiksi luokittelun edellytyksenä. |
|
41. |
Kuten olen todennut edellä 36 kohdassa, yhteisrekisterin pitäminen riippuu vain kahden objektiivisen edellytyksen täyttymisestä. Ensinnäkin kunkin yhteisrekisterinpitäjän on täytettävä yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa olevassa rekisterinpitäjän määritelmässä luetellut kriteerit. Asiakirja‑aineistossa ei ole riittävästi tietoja, joiden perusteella voitaisiin päätellä, onko ITSS:ää pääasian tilanteessa pidettävä kyseisessä säännöksessä tarkoitettuna rekisterinpitäjänä. Edellisessä jaksossa tekemieni toteamusten valossa ja edellyttäen, että ennakkoratkaisua pyytänyt tuomioistuin selvittää asian, vaikuttaa mielestäni kuitenkin siltä, että ainakin NVSC, ellei peräti sekä tämä yksikkö että ITSS, täyttää edellytykset, joiden perusteella sitä voidaan pitää tässä säännöksessä tarkoitettuna rekisterinpitäjänä. Toiseksi rekisterinpitäjien on vaikutettava käsittelyyn yhdessä (mikä tarkoittaa, että vaikutusvaltaa on käytettävä edellä 37 ja 38 kohdassa mainitsemieni oikeudellisten kriteerien ja oikeuskäytännön mukaisesti). Tältä osin olen selittänyt, että yhteinen osallistuminen käsittelyyn voi tapahtua eri muodoissa eikä sen tarvitse edes perustua asianomaisten osapuolten yhteiseen päätökseen. Näin ollen aineellista ja toiminnallista lähestymistapaa, jota edellytetään sen määrittämiseksi, onko henkilöä tai yksikköä pidettävä yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä, sovelletaan mielestäni myös yhteisrekisterin pitämiseen. ( 20 ) |
|
42. |
Näiden seikkojen perusteella katson ensinnäkin, että se, ettei NVSC:n ja ITSS:n kaltaisten kahden tai useamman rekisterinpitäjän välillä ole sopimusta, järjestelyä tai edes yhteistä päätöstä, ei voi yksinään olla esteenä sille, että ne ovat yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa, luettuna yhdessä 26 artiklan 1 kohdan kanssa, tarkoitettuja yhteisrekisterinpitäjiä. Lisään tässä yhteydessä, että Euroopan tietosuojaneuvosto on esittänyt, että vaikka sopimusjärjestelyt voivat olla hyödyllisiä yhteisrekisterin pitämistä arvioitaessa, niitä pitäisi aina tarkastella osapuolten välisen suhteen tosiasiallisten olosuhteiden perusteella. ( 21 ) |
|
43. |
Toiseksi katson myös, että pelkästään se, että NVSC ja ITSS eivät sen lisäksi, etteivät ne ole tehneet sopimusta, järjestelyä tai yhteistä päätöstä, näytä koordinoineen toimintaansa tai tehneen yhteistyötä muulla tavoin, ei tarkoita sitä, ettei niitä voitaisi pitää yhteisrekisterinpitäjinä. Vaikka tällaista koordinointia tai yhteistyötä olisikin tehty, sillä ei ole merkitystä sen kannalta, onko näiden kahden yksikön välisessä suhteessa kyse yhteisrekisterin pitämisestä vai ei. Voidaan nimittäin helposti ajatella, että kahden tai useamman yksikön välillä on yhteistyötä tai koordinointia ilman, että ne ovat yhteisrekisterinpitäjiä. Esimerkiksi kaksi erillistä rekisterinpitäjää voisi koordinoida toimintaansa tai tehdä yhteistyötä toistensa kanssa ilman, että niiden välillä on tarkoitus siirtää henkilötietoja. Tämä ei kuitenkaan tekisi niistä yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa ja 26 artiklan 1 kohdassa tarkoitettuja yhteisrekisterinpitäjiä. ( 22 ) Olennaista on, kuten olen selittänyt edellä 38 kohdassa, että käsittely ei olisi mahdollista ilman molempien osapuolten osallistumista, koska molemmat vaikuttavat konkreettisesti kyseisen käsittelyn tarkoitusten ja keinojen määrittämiseen. |
3. Päätelmä rekisterinpitäjän käsitteen ja yhteisrekisterin pitämistä koskevien tilanteiden tulkinnasta
|
44. |
Edellä esitetyn perusteella vaikuttaa mielestäni yhtäältä siltä, että ellei tarkistuksista, jotka ennakkoratkaisua pyytäneen tuomioistuimen on tehtävä, muuta johdu, NVSC:n kaltainen yksikkö täyttää yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa luetellut edellytykset, joiden mukaan sitä voidaan pitää rekisterinpitäjänä. Toisaalta se, voidaanko NVSC:tä ja ITSS:ää edellisessä jaksossa esittämieni kiriteerien nojalla pitää yhteisrekisterinpitäjinä vai onko ne luokiteltava vastaavasti rekisterinpitäjäksi ja henkilötietojen käsittelijäksi, riippuu niiden välisen suhteen luonteesta, joka on ennakkoratkaisua pyytäneen tuomioistuimen arvioitava. |
|
45. |
Lisään tältä osin, että NVSC:n ja ITSS:n välisen suhteen luonne (eli onko niissä kyse yhteisrekisterinpitäjistä vai vastaavasti rekisterinpitäjästä ja henkilötietojen käsittelijästä) on merkityksellinen kuudennen kysymyksen kannalta. Palaan sen vuoksi viidennestä kysymyksestä tekemiini toteamuksiin, kun käsittelen kuudennessa kysymyksessä esiin tuotuja ongelmia. |
B Käsite ”käsittely” (neljäs kysymys)
|
46. |
Neljännellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, kattaako yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdassa oleva käsittelyn määritelmä tilanteen, jossa henkilötietoja käytetään mobiilisovelluksen kokeiluvaiheessa. ( 23 ) Päättelen ennakkoratkaisupyynnöstä, että KARANTINAS‑sovellus kävi läpi kokeiluvaiheen, ennen kuin se asetettiin yleisön saataville lataamista varten. Mielestäni neljäs ennakkoratkaisukysymys koskee siis tilannetta, joka poikkeaa siitä, mikä on keskeistä muissa unionin tuomioistuimelle esitetyissä kysymyksissä, jotka kaikki koskevat henkilötietojen käsittelyä kokeiluvaiheen päätyttyä, kun KARANTINAS oli julkaistu yleisölle. Ennakkoratkaisua pyytänyt tuomioistuin haluaa erityisesti tietää, onko henkilötietojen käyttöä kokeiluvaiheen aikana pidettävä yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdassa tarkoitettuna käsittelynä ja voisiko se näin ollen johtaa asianomaisten rekisterinpitäjien ja/tai henkilötietojen käsittelijöiden mahdolliseen vastuuseen. |
|
47. |
Yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdan mukaan ”käsittelyllä” tarkoitetaan [(asetuksen englanninkielisessä versiossa on käytetty ilmaisua ”any” eli ”mitä tahansa”)] ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai – –”. ( 24 ) |
|
48. |
Tulkitsen tämän sanamuodon (erityisesti [asetuksen englanninkielisessä versiossa olevan ilmaisun ”any” ja] yleiskielisten ilmaisujen ”toiminto” ja ”toimintoja” käytön perusteella) siten, että kyseiselle säännökselle on annettu laaja merkitys, jotta se kattaisi mahdollisimman monet tilanteet, joissa henkilötietoja käytetään. Tässä säännöksessä oleva luettelo, joka ei ole tyhjentävä, vahvistaa tämän tulkinnan, kun otetaan huomioon siihen sisältyvien toimintojen moninaisuus. ( 25 ) |
|
49. |
Lisäksi on niin, että vaikka edellisestä jaksosta ilmenee, että asetuksen 4 artiklan 7 alakohdassa tarkoitettu rekisterinpitäjän määritelmä liittyy läheisesti henkilötietojen käsittelyn tarkoituksiin (eli syihin, ”miksi” henkilötietoja kerätään), näin ei ole 4 artiklan 2 alakohdassa olevan määritelmän osalta. Näin ollen syillä, joiden vuoksi toiminto tai toimintoja suoritetaan, ei periaatteessa ole merkitystä sen kannalta, onko niitä pidettävä kyseisessä säännöksessä tarkoitettuna käsittelynä. Tästä seuraa mielestäni, että sillä, kerätäänkö henkilötietoja mobiilisovellusten sisältämien tietoteknisten järjestelmien testaamiseen vai muuhun tarkoitukseen, ei ole merkitystä sen kannalta, onko kyseistä toimintoa pidettävä käsittelynä. |
|
50. |
Tässä yhteydessä huomautan lisäksi, että henkilötietojen käyttö (ilman täsmennystä ja siten käytön tarkoituksesta riippumatta) on lueteltu niiden toimintojen tai toimintokokonaisuuksien joukossa, joita pidetään käsittelynä. ( 26 ) Yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohtaan ei myöskään sisälly mitään nimenomaista poikkeusta, vapautusta tai poissulkemista sellaisten toimintojen osalta, jotka liittyvät henkilötietojen käyttöön tietoteknisten järjestelmien testaamisen yhteydessä. Tästä seuraa, että mikään ei estä sitä, että henkilötietojen käyttöä tällaisen testaamisen suorittamiseksi pidetään mainitussa säännöksessä tarkoitettuna käsittelynä, päinvastoin. |
|
51. |
Näiden seikkojen perusteella katson, että yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdassa oleva käsittelyn määritelmä kattaa tilanteen, jossa henkilötietoja käytetään mobiilisovelluksen kokeiluvaiheessa. |
|
52. |
Tätä koskevaan päätelmääni ei vaikuta pelkästään se, että mobiilisovelluksen sisältämien tietoteknisten järjestelmien testaamiseksi annetut henkilötiedot saattoivat olla pseudonymisoituja. ( 27 ) Ainoa tilanne, jossa yleistä tietosuoja‑asetusta ei sovellettaisi, on se, että mobiilisovellukseen toimitetut tiedot koostuvat ainoastaan anonyymeista tiedoista, ”jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön”, tai henkilötiedoista, joiden ”tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ole enää mahdollista”. Huomautan kuitenkin, että pääasian tapauksessa kokeiluvaiheessa käytetyt tiedot eivät asiakirja‑aineistossa olevien tietojen perusteella näytä koostuneen tällaisista anonymisoiduista tiedoista. ( 28 ) |
|
53. |
Edellä esitetyn perusteella katson, että yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdassa oleva käsittelyn määritelmä kattaa tilanteen, jossa henkilötietoja käytetään mobiilisovelluksen kokeiluvaiheen aikana, paitsi jos näiden tietojen tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ole enää mahdollista. Sillä, kerätäänkö henkilötietoja mobiilisovelluksen sisältämien tietoteknisten järjestelmien testaamista varten vai muuhun tarkoitukseen, ei ole merkitystä sen kannalta, onko kyseistä toimintoa pidettävä käsittelynä. ( 29 ) |
|
54. |
Näiden täsmennysten jälkeen siirryn käsiteltävän asian ydinkysymykseen, joka koskee edellytyksiä, joiden täyttyessä rekisterinpitäjälle tai henkilötietojen käsittelijälle voidaan yleisen tietosuoja‑asetuksen 83 artiklan nojalla määrätä hallinnollinen seuraamusmaksu. |
C Yleisen tietosuoja‑asetuksen 83 artiklan nojalla määrättävät hallinnolliset seuraamusmaksut (kuudes kysymys)
|
55. |
Ennen yleisen tietosuoja‑asetuksen antamista tietosuojasääntöjen rikkomisesta määrätyt seuraamukset oli suurelta osin jätetty jäsenvaltioiden harkintaan niiden menettelyllisen ja oikeussuojakeinoja koskevan itsemääräämisoikeuden perusteella. ( 30 ) Hallinnolliset seuraamusmaksut, jotka otettiin käyttöön asetuksen 83 artiklalla, ovat siis suhteellisen uusi kehitysaskel unionin tietosuojalainsäädännössä. Niin kutsuttu 29 artiklan mukainen tietosuojatyöryhmä on kuvannut niitä ”uuden täytäntöönpanojärjestelmän keskeisiksi osatekijöiksi”. ( 31 ) Vaikka unionin tuomioistuin ei ole vielä tulkinnut kyseistä säännöstä, valvontaviranomaiset ovat jo soveltaneet sitä ja määränneet toisinaan korkeita seuraamusmaksuja rekisterinpitäjille tai henkilötietojen käsittelijöille. ( 32 ) |
|
56. |
Yleisen tietosuoja‑asetuksen 83 artiklassa säädetään kaksitasoisesta seuraamusjärjestelmästä, jolloin seuraamuksen taso riippuu rikotun säännöksen tyypistä. Kun asetuksen 83 artiklan 4 kohdassa määriteltyä ensimmäistä tasoa sovelletaan tilanteisiin, joissa rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo sille kuuluvia yleisiä velvoitteita sekä tiettyjä erityisiä velvoitteita, toinen taso on 83 artiklan 5 kohdan mukaan varattu vakavammille rikkomuksille, kuten muun muassa rikkomukset, jotka koskevat käsittelyn perusperiaatteita, rekisteröidyn oikeuksia ja sääntöjä, jotka liittyvät henkilötietojen siirtoon kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle. |
|
57. |
Kansallisten toimivaltaisten viranomaisten on molempien tasojen osalta suoritettava kaksi arviointia sen jälkeen, kun ne ovat todenneet, että jotakin yleisen tietosuoja‑asetuksen säännöstä on rikottu. Ensin niiden on päätettävä, onko seuraamusmaksu määrättävä, ja toiseksi, jos seuraamusmaksu määrätään, vahvistettava sen määrä. Nämä arvioinnit on tehtävä kussakin yksittäisessä tapauksessa yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdassa lueteltujen eri seikkojen perusteella. Näihin seikkoihin kuuluu ”rikkomuksen tahallisuus tai tuottamuksellisuus” (83 artiklan 2 kohdan b alakohta). |
|
58. |
Kuudennella kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, voidaanko rekisterinpitäjälle määrätä hallinnollinen seuraamusmaksu, kun rekisterinpitäjä ei ole rikkonut tietosuojasääntöjä tahallaan tai tuottamuksellisesti, ja lainvastaista henkilötietojen käsittelyä ei ole suorittanut rekisterinpitäjä itse vaan henkilötietojen käsittelijä. Palaan edellä viidennestä kysymyksestä tekemiini päätelmiin ja totean, että mielestäni kuudes kysymys esitetään siltä varalta, että NVSC:tä ja ITSS:ää ei pääasian kaltaisessa tilanteessa voitaisi pitää yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa, luettuna yhdessä 26 artiklan 1 kohdan kanssa, tarkoitettuina yhteisrekisterinpitäjinä, vaan niitä olisi pidettävä vastaavasti rekisterinpitäjänä ja henkilötietojen käsittelijänä. Tässä nimenomaisessa yhteydessä ennakkoratkaisua pyytänyt tuomioistuin haluaa selventää olosuhteita, joissa NVSC:lle voidaan määrätä seuraamusmaksu yleisen tietosuoja‑asetuksen 83 artiklan nojalla. |
|
59. |
Huomautan kuitenkin, että kuudennessa kysymyksessä mainitaan merkityksellisenä säännöksenä ainoastaan yleisen tietosuoja‑asetuksen 83 artiklan 1 kohta. Mielestäni tässä kysymyksessä esiin tuodut ongelmat edellyttävät kuitenkin, että asetuksen 83 artiklaa tarkastellaan kokonaisuutena ja erityisesti, kuten olen selittänyt edellä 57 kohdassa, otetaan huomioon 83 artiklan 2 kohdan b alakohta, koska kyseisessä säännöksessä viitataan rikkomuksen tahallisuuteen tai tuottamuksellisuuteen. Tarkastelen näin ollen kuudetta kysymystä siten, että sillä tarkoitetaan yleisen tietosuoja‑asetuksen 83 artiklan tulkintaa kokonaisuutena eikä pelkästään 83 artiklan 1 kohtaa. |
|
60. |
Mielestäni kysymyksessä on kaksi osaa. Ensin unionin tuomioistuinta pyydetään määrittämään, voidaanko yleisen tietosuoja‑asetuksen 83 artiklassa tarkoitettuja hallinnollisia seuraamusmaksuja yleensä määrätä rekisterinpitäjille tai henkilötietojen käsittelijöille subjektiivisen osatekijän (tuottamus) puuttuessa. Ennakkoratkaisua pyytänyt tuomioistuin haluaa lähinnä tietää, voitaisiinko NVSC:lle määrätä seuraamusmaksu pelkästään sillä perusteella, että se on rikkonut sille rekisterinpitäjänä asetettuja velvoitteita (ankara vastuu), vai edellytetäänkö, että kyseiset rikkomukset on tehty tuottamuksellisesti. Toiseksi se pyytää täsmennystä siihen, vaikuttaako se, että henkilötietojen lainvastaista käsittelyä ei suorittanut rekisterinpitäjä vaan henkilötietojen käsittelijä, millään tavalla viranomaisten mahdollisuuteen määrätä seuraamusmaksu rekisterinpitäjälle. |
|
61. |
Käsittelen kumpaakin osaa vuorollaan. |
1. Ensimmäinen osatekijä: tarve osoittaa tuottamus
|
62. |
Yleisen tietosuoja‑asetuksen 83 artiklassa edellytetään, että tietosuojasääntöjen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen on ”tehokasta, oikeasuhteista ja varoittavaa”. Tämä käy selvästi ilmi tämän säännöksen 1 kohdasta. Kyseisessä säännöksessä ei kuitenkaan täsmennetä, voidaanko tällainen seuraamusmaksu määrätä vain, jos myös tuottamus on osoitettu, eli onko tuottamus edellytys sille, että mitään seuraamusmaksuja voidaan määrätä. |
|
63. |
Kyseisen säännöksen 2 kohdan b alakohdassa puolestaan luetellaan ”rikkomuksen tahallisuus tai tuottamuksellisuus” yhtenä niistä seikoista, ( 33 ) jotka valvontaviranomaisten on otettava ”asianmukaisesti huomioon” kussakin yksittäisessä tapauksessa. Asetuksen 83 artiklan 2 kohdan k alakohdan mukaan näitä seikkoja on pidettävä raskauttavina tai lieventävinä tekijöinä, eivätkä ne ole tyhjentäviä. |
|
64. |
Tässä yhteydessä yleisen tietosuoja‑asetuksen 83 artikla voidaan mielestäni ymmärtää kahdella tavalla. |
|
65. |
Yhtäältä voidaan ajatella, että vaikka päätös seuraamusmaksun määräämisestä ja sen määrästä on tehtävä ottamalla asianmukaisesti huomioon kyseessä oleva tuottamuksen aste (niin, että esimerkiksi korkeampi seuraamusmaksu olisi lähtökohtaisesti määrättävä, jos rikkomus perustuu tahalliseen toimintaan, ja päinvastoin tuottamuksellisen toiminnan seurauksena pitäisi olla alhaisempi seuraamusmaksu), mikään ei estä seuraamusmaksun määräämistä myös ilman tuottamusta, mikäli rekisterinpitäjän tai henkilötietojen käsittelijän voidaan katsoa olevan vastuussa rikkomuksesta. Tätä tulkintaa tukee 83 artiklan 2 kohdan b ja k alakohdan tulkinta siten, että erilaisten tuottamustyyppien (tahallisuus tai huolimattomuus) mainitseminen lieventävinä tai raskauttavina tekijöinä voisi kyseisten säännösten mukaan tarkoittaa, että tuottamus ei yleensä ole edellytys seuraamusmaksun määräämiselle. |
|
66. |
Toisaalta voitaisiin myös väittää, kuten komissio tekee käsiteltävässä asiassa, että rikkomuksen tehneen henkilön tai yksikön huolimattomuus on vähimmäisvaatimuksena osoitettava, ennen kuin seuraamusmaksu voidaan määrätä. Tätä lähestymistapaa tukisi yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdan b ja k alakohdan erilainen, varovaisempi tulkinta siten, että näiden säännösten mukaan valvontaviranomaiset velvoitetaan erottamaan lieventävä tekijä (huolimattomuus) raskauttavasta tekijästä (tahallisuus), mutta niissä ei viitata siihen, että seuraamusmaksu voitaisiin määrätä ilman minkäänlaista tuottamusta. |
|
67. |
Komissio on nimenomaisesti valinnut tämän tulkinnan alkuperäisessä ehdotuksessaan, ( 34 ) joka johti yleisen tietosuoja‑asetuksen antamiseen ja jossa se esitti, että sakkojärjestelmä järjestetään kolmitasoiseksi. Komissio ehdotti, että sakkoja voitaisiin määrätä kullakin tasolla vain sille, ”joka tahallaan tai tuottamuksesta” ( 35 ) on tehnyt yhden tai useamman väitetyn rikkomisen. Näin ollen komissio piti selvästi tuottamusta tällaisen sakon määräämisen edellytyksenä. ( 36 ) |
|
68. |
Vaikka molempia lähestymistapoja voidaan mielestäni puolustaa yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdan sanamuodon mukaisen tulkinnan perusteella, koska ne kumpikin vastaavat käsitystä rikkomuksen tahallisuudesta tai tuottamuksellisuudesta raskauttavana tai lieventävänä tekijänä, katson, että vain jälkimmäinen lähestymistapa kuvastaa asianmukaisesti unionin lainsäätäjän tarkoitusta. Olen päätynyt tähän useista eri syistä. |
a) Syyt, joiden vuoksi tuottamusta edellytetään
|
69. |
Huomautan ensinnäkin, että useat yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdassa luetellut seikat on muotoiltu siten, että voidaan päätellä, että näitä seikkoja ei sovelleta kaikkiin vaan ainoastaan joihinkin tapauksiin. Erityisesti 83 artiklan 2 kohdan c, e ja k alakohdassa käytetään ilmaisua ”mahdolliset” (”rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet – – vahingon lieventämiseksi” [(asetuksen englanninkielisessä versiossa on käytetty ilmaisua ”any” eli ”mikä tahansa”)]; ”mahdolliset aiemmat vastaavat rikkomukset”, ”mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät – –”), mikä viittaa siihen, että vaikka valvontaviranomaisten pitää aina ottaa huomioon, onko olemassa lieventäviä toimia, aiempaa rikkomusta tai muuta merkityksellistä raskauttavaa tai lieventävää tekijää silloin, kun tällaisia seikkoja on käsillä tai osoitettu, voi tosiasiassa olla tilanteita, joissa näitä seikkoja ei yksinkertaisesti ole, ja toimivaltainen tietosuojaviranomainen voi silti päättää seuraamusmaksun määräämisestä (tai päinvastoin olla määräämättä sitä). Vastaavasti huomautan, että yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdan i alakohtaa ei myöskään ole muotoiltu systemaattisella tavalla, koska siinä edellytetään sen tutkimista, onko rekisterinpitäjä tai henkilötietojen käsittelijä noudattanut asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, vain, ”jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty – – [tällaisia] toimenpiteitä”. |
|
70. |
Asetuksen 83 artiklan 2 kohdan b alakohdassa mainitaan sitä vastoin ”rikkomuksen tahallisuus tai tuottamuksellisuus”. ( 37 ) Näin ollen se mielestäni vaikuttaa olevan osa tekijöitä, joiden on oltava käsillä ja jotka on selvitettävä (”rastitettava”) kaikissa tapauksissa, ennen kuin seuraamusmaksu voidaan määrätä, aivan kuten ”rikkomuksen luonne, vakavuus ja kesto – –” (83 artiklan 2 kohdan a alakohta), ”henkilötietoryhmät, joihin rikkomus vaikuttaa” (83 artiklan 2 kohdan g alakohta) ja ”tapa, jolla rikkomus tuli – – tietoon” (83 artiklan 2 kohdan h alakohta). Myös näiden muiden seikkojen on mielestäni oltava käsillä kaikissa tapauksissa: esimerkiksi ”rikkomuksen luonne, vakavuus ja kesto” voi vaihdella huomattavasti tapauksesta toiseen (ja voidaan vastaavasti katsoa syyksi seuraamusmaksun määräämiselle tai määräämättä jättämiselle). Kaikissa tapauksissa on kuitenkin otettava huomioon rikkomuksen luonne, tietty vakavuus ja tietty kesto. Mielestäni tämä on ensimmäinen osoitus siitä, että yleisen tietosuoja‑asetuksen 83 artiklalla käyttöön otettuja hallinnollisia seuraamusmaksuja voidaan määrätä vain tilanteissa, joissa väitetty rikkomus on tehty joko tahallaan tai tuottamuksellisesti. ( 38 ) |
|
71. |
Toiseksi totean, että vaikka yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdassa ei nimenomaisesti mainita, että rikkomuksen on pitänyt tapahtua tahallisesti tai tuottamuksellisesti, sama ei päde kyseisen säännöksen 3 kohtaan, jonka sisältämä yleinen sääntö on esteenä hallinnollisten seuraamusmaksujen yhteenlaskemiselle. Kyseisessä säännöksessä mainitaan vain tilanne, jossa rikkomus tai rikkomukset on tehty ”tahallaan tai tuottamuksellisesti”. |
|
72. |
Mielestäni tästä seuraa loogisesti, että yleisen tietosuoja‑asetuksen 83 artiklan 2 kohtaa on tulkittava siten, että seuraamusmaksu voidaan määrätä vain, jos väitetty rikkomus on tehty tahallaan tai tuottamuksellisesti. Jos nimittäin yleisen tietosuoja‑asetuksen 83 artiklan 2 ja 3 kohdan soveltamisalat olisivat erilaiset, olisi mahdollista määrätä yhteenlaskettuja seuraamusmaksuja vähemmän vakavista rikkomuksista (eli rikkomuksista, jotka on tehty ilman minkäänlaista tuottamusta), koska vaikka niiden seurauksena voisi olla seuraamusmaksun määrääminen ensimmäisen säännöksen (83 artiklan 2 kohta) nojalla, ne eivät kuuluisi jälkimmäisen säännöksen (83 artiklan 3 kohta) soveltamisalaan. Sama ei kuitenkaan olisi mahdollista tuottamuksellisesti tai tahallaan tehtyjen rikkomusten osalta, koska kaikkiin niihin sovellettaisiin asetuksen 83 artiklan 3 kohdassa olevaa yhteenlaskemisen kieltävää sääntöä. Tällainen lopputulos olisi selvästi vastoin yleisellä tietosuoja‑asetuksella käyttöön otetun seuraamusjärjestelmän perusperiaatetta, jonka mukaan vakavista rikkomuksista olisi lähtökohtaisesti määrättävä ankarammat seuraamusmaksut kuin vähemmän vakavista, eikä päinvastoin. |
|
73. |
Kolmanneksi totean, että yleisen tietosuoja‑asetuksen 83 artiklan nojalla määrätyt seuraamusmaksut voivat johtaa ankaraan seuraamukseen. Ensimmäinen taso, josta säädetään asetuksen 83 artiklan 4 kohdassa, voi johtaa sellaisen seuraamusmaksun määräämiseen, joka on enintään 10000000 euroa, tai jos kyseessä on yritys, 2 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Toisella tasolla seuraamusmaksut voivat olla enintään 20000000 euroa, tai jos kyseessä on yritys, 4 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta (jälleen sen mukaan, kumpi näistä määristä on suurempi). |
|
74. |
Tämän johdosta katson, että yleisen tietosuoja‑asetuksen 83 artiklan nojalla määrätyillä seuraamusmaksuilla on ainakin joissakin tilanteissa rankaiseva tarkoitus ( 39 ) ja ne ovat niin ankaria, että niitä voidaan pitää luonteeltaan rikosoikeudellisina, ( 40 ) jolloin ne kuuluvat Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 49 artiklan soveltamisalaan. ( 41 ) |
|
75. |
Näiden seikkojen valossa ja erityisesti yleisen tietosuoja‑asetuksen 83 artiklan nojalla määrättävien seuraamusmaksujen rikosoikeudellisen luonteen perusteella voisi olla houkuttelevaa väittää, että kyseisen säännöksen 1 kohdan vaatimuksen, jonka mukaan seuraamusmaksujen on kaikissa tapauksissa oltava paitsi tehokkaita ja varoittavia myös oikeasuhteisia, kanssa olisi ristiriidassa se, että tällaisia seuraamusmaksuja voitaisiin määrätä ilman tuottamusta. Toisin sanoen olisi suhteetonta määrätä seuraamusmaksuja tapauksissa, joissa ei ole osoitettu edes huolimattomuutta. Mielestäni tätä väitettä on kuitenkin vaikea esittää, koska unionin tuomioistuin on jo todennut, että ankaraan vastuuseen perustuva rangaistus‑ tai seuraamusjärjestelmä, vaikka se olisi luonteeltaan rikosoikeudellinen, ei sinänsä ole suhteeton tavoiteltuihin päämääriin nähden, jos tämä järjestelmä on omiaan kannustamaan asianomaisia henkilöitä noudattamaan asetuksen säännöksiä ja tavoiteltu päämäärä vastaa sellaista yleistä etua, joka voi oikeuttaa tällaisen järjestelmän käyttöön ottamisen. ( 42 ) Lisäksi Euroopan ihmisoikeustuomioistuin on todennut Euroopan ihmisoikeussopimuksen 7 artiklan (joka vastaa perusoikeuskirjan 49 artiklaa) osalta, ( 43 ) että vaikka rankaiseminen yleensä edellyttää 7 artiklan mukaan sellaisen subjektiivisen tekijän olemassaoloa, jonka perusteella voidaan osoittaa rikkomiseen konkreettisesti syyllistyneen henkilön olevan vastuussa toiminnasta, tämä vaatimus ei sulje pois tiettyjä ankaran vastuun muotoja. ( 44 ) |
|
76. |
Ymmärrän kuitenkin tämän oikeuskäytännön siten, että subjektiivista osatekijää edellytetään pääsääntöisesti, jotta rikosoikeudellinen seuraamus voidaan määrätä, ja että ankara vastuu muodostaa näin ollen eräänlaisen poikkeuksen tähän pääsääntöön siinä määrin kuin se on oikeutettu asetuksella tavoiteltujen päämäärien valossa. |
|
77. |
Kun yleistä tietosuoja‑asetusta tarkastellaan kokonaisuutena, minusta vaikuttaa siltä, että unionin lainsäätäjä on pitänyt hallinnollisia seuraamusmaksuja vain yhtenä asetuksessa annetuista välineistä, joilla varmistetaan tehokas noudattaminen. Seuraamusmaksuja on nimittäin määrättävä muiden asetuksen 58 artiklan 2 kohdassa lueteltujen toimenpiteiden ”lisäksi tai niiden sijasta”, millä annetaan valvontaviranomaisille erilaisia korjaavia valtuuksia (kuten valtuudet antaa varoituksia, huomautuksia tai määräyksiä). ( 45 ) Lisäksi tilanteissa, joissa hallinnollista seuraamusmaksua ei määrätä yleisen tietosuoja‑asetuksen 83 artiklan nojalla, valvontaviranomaiset voivat määrätä muita seuraamuksia asetuksen 84 artiklan mukaan. ( 46 ) |
|
78. |
Näistä säännöksistä käy mielestäni selvästi ilmi, että unionin lainsäätäjä ei tätä asetusta antaessaan tarkoittanut, että jokaisesta tietosuojasääntöjen rikkomisesta on määrättävä hallinnollinen seuraamusmaksu. Se pyrki pikemminkin säätämään joustavasta ja eriytetystä rangaistus‑ ja seuraamusjärjestelmästä. Tämä vahvistetaan yleisen tietosuoja‑asetuksen johdanto‑osan 148 perustelukappaleessa, jonka mukaan valvontaviranomaiset voivat jättää hallinnollisen seuraamusmaksun määräämättä ja antaa sen sijasta huomautuksen, jos kyseessä on ”vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle”. Tässä yhteydessä yleisen tietosuoja‑asetuksen 83 artiklan soveltamisen rajoittaminen tilanteisiin, joissa huolimattomuus on vähimmäisvaatimuksena osoitettu, vastaa mielestäni näitä tavoitteita ja näiden eri säännösten yleistä logiikkaa, kun niiden mukaan mahdollisuus määrätä hallinnollisia seuraamusmaksuja pitäisi varata tietyntyyppisille rikkomuksille. |
|
79. |
Minusta vaikuttaa myös siltä, että silloin kun unionin lainsäätäjä on osoittanut haluavansa yleisessä tietosuoja‑asetuksessa ottaa käyttöön ankaran tai presumoidun vastuun, se on käyttänyt erityistä sanamuotoa, jollaista ei ole 83 artiklassa. Esimerkiksi yleisen tietosuoja‑asetuksen 82 artiklan soveltamisalaan kuuluvan siviilioikeudellisen vastuun (eli rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu rekisteröidyille) osalta unionin lainsäätäjä on todennut, että rekisterinpitäjillä ja henkilötietojen käsittelijöillä on ehdoton velvollisuus korvata rekisteröidyille aiheuttamansa vahingot, elleivät ne pysty osoittamaan, etteivät ne ole millään tavoin vastuussa vahingon aiheuttaneista tapahtumista. ( 47 ) Yleisen tietosuoja‑asetuksen 83 artiklassa ei sitä vastoin ole 84 artiklaa vastaavaa sanamuotoa. Tämä vahvistaa mielestäni sen, että unionin lainsäätäjä ei ole tarkoittanut kyseisellä säännöksellä ottaa käyttöön ankaraan tai presumoituun vastuuseen perustuvaa seuraamusmaksujärjestelmää. |
|
80. |
Neljänneksi ja ehkä ennen kaikkea katson, että käytännössä yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdan b alakohdassa tarkoitetun tuottamuksellisen rikkomuksen kynnys on joka tapauksessa niin matala, että on vaikea kuvitella tilanteita, joissa seuraamusmaksua ei voida määrätä pelkästään siitä syystä, että tämä osatekijä ei täyty. Näin ollen mielestäni se, että tahallisuus tai tuottamuksellisuus on osoitettava ennen seuraamusmaksun määräämistä asetuksen 83 artiklan nojalla, ei vaaranna unionin lainsäätäjän tavoitetta varmistaa asetukseen sisältyvien tietosuojasääntöjen tehokas täytäntöönpano, päinvastoin. |
|
81. |
Jotkut ovat tältä osin väittäneet, että pelkkä toimien toteuttamatta jättäminen tilanteessa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on vain epäilyksiä suoritetun henkilötietojen käsittelyn lainmukaisuudesta, merkitsee jo yleisen tietosuoja‑asetuksen mahdollisen rikkomisen tietoista hyväksymistä ja siten törkeää huolimattomuutta. ( 48 ) Lisäksi 29 artiklan mukainen tietosuojatyöryhmä on ehdottanut, että tuottamuksellinen rikkomus vastaa monin tavoin ”tahatonta” rikkomusta, koska sen mukaan tällaisesta rikkomuksesta voi olla kyse myös silloin, kun sen tekemiseen ei liittynyt mitään tahallisuutta ja rekisterinpitäjä tai henkilötietojen käsittelijä ainoastaan rikkoi huolellisuusvelvoitettaan. ( 49 ) Se on erityisesti todennut, että myös pelkkä inhimillinen erehdys ( 50 ) voi viitata tuottamuksellisuuteen. |
|
82. |
Mieleen tulee kaksi päätelmää. Ensinnäkin raja täysin tahattoman rikkomuksen ja tuottamuksellisen rikkomuksen välillä on todellisuudessa hyvin hämärä. Uskon, että valvontaviranomaisilla on harvoin vaikeuksia löytää riittäviä perusteita sille, että väitetty rikkomus on tehty ainakin huolimattomuudella. Tässä yhteydessä huomautan, että oikeuskirjallisuudessa on todettu, että ”kun otetaan huomioon lukuisat tietoisuuden lisäämiseen tähtäävät nykyiset toimet – – yleisen tietosuoja‑asetuksen noudattamisen varmistamiseksi, on vaikea kuvitella, ettei yleisen tietosuoja‑asetuksen rikkomisiin liittyisi ainakin huolimattomuutta”. ( 51 ) Olen täysin samaa mieltä ja muistutan, että yleisellä tietosuoja‑asetuksella pyritään erityisesti varmistamaan, että rekisterinpitäjät ja henkilötietojen käsittelijät tuntevat tietosuojasäännöt, minkä vuoksi on mielestäni vieläkin vaikeampaa kuvitella, ettei rikkomuksen tekemiseen liittyisi minkäänlaista tuottamusta (ei edes huolimattomuutta). ( 52 ) |
|
83. |
Toiseksi tämä lopputulos näyttää vastaavan täysin yleisen tietosuoja‑asetuksen ensisijaista tavoitetta, joka on varmistaa luonnollisten henkilöiden suojan korkea taso unionissa. ( 53 ) Seuraamusmaksuilla on nimittäin ehkäisevä vaikutus. ( 54 ) Koska ne kannustavat rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan yleistä tietosuoja‑asetusta, ne vahvistavat osaltaan rekisteröityjen suojaa ja ovat näin ollen keskeinen tekijä heille kuuluvien oikeuksien kunnioittamisen varmistamisessa. ( 55 ) Mielestäni tästä seuraa, että kun tuottamusta ei voida jättää huomiotta, 83 artiklan soveltamisen edellyttämän tuottamuksen asteen pitää olla riittävän matala, jotta rekisteröidyille voidaan taata tietosuojan asianmukainen taso. |
|
84. |
Lisäksi korostan, että tämä unionin tuomioistuimelle ehdottamani lähestymistapa vahvistaisi myös sen, että kyseisellä säännöksellä käyttöön otettu seuraamusmaksujärjestelmä vastaa kilpailusääntöjen täytäntöönpanosta annetun asetuksen (EY) N:o 1/2003 ( 56 ) 23 artiklan 1 kohtaa, jota myös sovelletaan vain, jos tahallisuus tai huolimattomuus on osoitettu. Se, että tämä toinen seuraamusmaksujärjestelmä antoi vaikutteita yleisen tietosuoja‑asetuksen 83 artiklan sanamuotoon, saa vahvistuksen asetuksen 150 perustelukappaleesta, jossa todetaan, että ”silloin kun seuraamusmaksuja määrätään yritykselle, yritys olisi ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi”, ja näiden kahden seuraamusmaksujärjestelmän muista samankaltaisuuksista, kuten siitä, että yritysten osalta seuraamusmaksujen määrä voi molemmissa järjestelmissä perustua niiden liikevaihtoon. Huomautan myös, että useat yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdassa luetellut seikat vastaavat tekijöitä, joilla on merkitystä vahvistettaessa kilpailuoikeuden rikkomisesta määrättävän sakon määrää. ( 57 ) |
|
85. |
Esitettyäni syyt, joiden vuoksi katson, että tuottamus on osoitettava ennen kuin rekisterinpitäjälle tai henkilötietojen käsittelijälle voidaan määrätä yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdassa tarkoitettu seuraamusmaksu, käsittelen vielä lyhyesti neuvoston ja Liettuan hallituksen esittämiä perusteluja. Näiden osapuolten mukaan jäsenvaltioiden on päätettävä, edellyttääkö hallinnollisen seuraamusmaksun määrääminen tuottamusta vai ei. |
|
86. |
En voi yhtyä tähän näkemykseen. |
b) Miksi jäsenvaltioilla ei ole harkintavaltaa sen suhteen, edellytetäänkö tuottamusta?
|
87. |
Mielestäni on selvää, että yksi yleisen tietosuoja‑asetuksen ja erityisesti sen 83 artiklan keskeisistä tavoitteista on saavuttaa yhdenmukaistamisen korkeampi taso koko unionissa erityisesti seuraamusmaksujen määräämisen osalta. ( 58 ) Tältä osin katson, toisin kuin neuvosto ja Liettuan hallitus ovat väittäneet, että unionin lainsäätäjän tarkoituksena ei ollut antaa jäsenvaltioille harkintavaltaa sen suhteen, edellytetäänkö tuottamusta vai ei. |
|
88. |
On totta, että kansallisessa lainsäädännössä voidaan säätää lisävaatimuksista, jotka koskevat menettelyä, jota valvontaviranomaisten on noudatettava seuraamusmaksuja määrätessään (kuten seuraamusmaksun tiedoksi antaminen sekä huomautuksia, oikeussuojakeinojen käyttämistä, täytäntöönpanoa ja maksua koskevat määräajat). ( 59 ) Tämä käy selvästi ilmi yleisen tietosuoja‑asetuksen 83 artiklan 8 kohdasta, jossa säädetään, että valvontaviranomaisen seuraamusmaksun määräämistä koskevien valtuuksien käyttöön ”sovelletaan asianmukaisia menettelytakeita” (ja erityisesti tehokkaita oikeussuojakeinoja ja asianmukaista prosessia), joista säädetään kansallisessa lainsäädännössä edellyttäen, että unionin oikeuden noudattaminen taataan. |
|
89. |
Tämä harkintavalta ei kuitenkaan voi ulottua seuraamusmaksun määräämiseen sovellettaviin aineellisiin edellytyksiin, kuten tuottamuksen asteeseen. Mielestäni tämä päätelmä seuraa suoraan useista asetuksen perustelukappaleista, ( 60 ) joista ilmenee, että unionin lainsäätäjän tarkoituksena oli yleisen tietosuoja‑asetuksen 83 artiklalla käyttöön otetulla hallinnollisten seuraamusmaksujen järjestelmällä saavuttaa johdonmukaisia tuloksia koko unionin alueella. |
|
90. |
Täydentävästi lisään vielä, että koska seuraamusmaksut vaikuttavat voimakkaasti yritysten väliseen kilpailuun ja aiheuttavat merkittäviä vaikutuksia markkinoilla, mielestäni on olennaista, että yleisen tietosuoja‑asetuksen 83 artiklaa sovelletaan johdonmukaisesti, sillä muuten se voi tosiasiallisesti vääristää yritysten välistä kilpailua. ( 61 ) |
2. Toinen osatekijä: voidaanko rekisterinpitäjälle määrätä seuraamusmaksu rikkomuksesta silloin, kun lainvastaista käsittelyä ei ole suorittanut rekisterinpitäjä itse vaan henkilötietojen käsittelijä?
|
91. |
Kuudennen kysymyksen toisessa osassa ennakkoratkaisua pyytänyt tuomioistuin pohtii lähinnä, voidaanko rekisterinpitäjälle määrätä seuraamusmaksu yleisen tietosuoja‑asetuksen 83 artiklan nojalla, kun lainvastaista käsittelyä ei suorittanut rekisterinpitäjä itse vaan henkilötietojen käsittelijä (tässä tapauksessa ITSS). |
|
92. |
Mielestäni tähän kysymykseen on vastattava myöntävästi. |
|
93. |
Tältä osin muistutan, kuten olen todennut edellä 27 kohdassa, että rekisterinpitäjän ei tarvitse käsitellä mitään henkilötietoja itse, kunhan se määrittää, ”miksi ja miten” kyseiset käsittelytoimet suoritetaan. Huomautan lisäksi, että yleisen tietosuoja‑asetuksen 4 artiklan 8 alakohdan mukaan ”henkilötietojen käsittelijällä” tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun”. ( 62 ) |
|
94. |
Nämä määritelmät vahvistavat mielestäni sen, että yleisen tietosuoja‑asetuksen soveltamisen yhteydessä rekisterinpitäjä voidaan saattaa vastuuseen ja sille voidaan määrätä seuraamusmaksu asetuksen 83 artiklan nojalla tilanteessa, jossa henkilötietoja käsiteltiin lainvastaisesti ja lainvastaista käsittelyä ei suorittanut rekisterinpitäjä itse vaan henkilötietojen käsittelijä. Tämä mahdollisuus on olemassa niin kauan kuin henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. |
|
95. |
Näin on niin kauan kuin henkilötietojen käsittelijä toimii rekisterinpitäjän sille antaman toimeksiannon puitteissa ja käsittelee tietoja rekisterinpitäjältä saatuja lainmukaisia ohjeita noudattaen. ( 63 ) Jos henkilötietojen käsittelijä kuitenkin ylittää tämän toimeksiannon puitteet, käyttää saatuja tietoja henkilötietojen käsittelijänä omiin tarkoituksiinsa ja on selvää, että osapuolet eivät ole yleisen tietosuoja‑asetuksen 4 artiklan 7 alakohdassa ja 21 artiklan 6 kohdassa tarkoitettuja yhteisrekisterinpitäjiä, rekisterinpitäjälle ei mielestäni voida 83 artiklan nojalla määrätä seuraamusmaksua lainvastaisesti suoritetun käsittelyn osalta. ( 64 ) |
|
96. |
Tästä seuraa, että pääasiassa kyseessä olevan kaltaisessa tapauksessa seuraamusmaksu voidaan määrätä yleisen tietosuoja‑asetuksen 83 artiklan nojalla NVSC:lle, vaikka henkilötietoja käsitteli lainvastaisesti vain ITSS, eikä NVSC osallistunut käsittelyyn. Tätä mahdollisuutta voidaan käyttää niin kauan kuin kyseisen yrityksen voidaan katsoa käsitelleen henkilötietoja NVSC:n lukuun, mistä ei ole kyse silloin, jos ITSS sivuutti NVSC:n lainmukaiset ohjeet tai toimi niiden vastaisesti ja käytti henkilötietoja omiin tarkoituksiinsa, ja on selvää, että NVSC ja ITSS eivät toimineet yhteisrekisterinpitäjinä. |
V Ratkaisuehdotus
|
97. |
Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin vastaa Vilniaus apygardos administracinis teismasin esittämiin kysymyksiin seuraavasti:
|
( 1 ) Alkuperäinen kieli: englanti.
( 2 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja‑asetus) (EUVL 2016, L 119, s. 1) (jäljempänä yleinen tietosuoja‑asetus).
( 3 ) KARANTINAS keräsi käyttäjistään seuraavia henkilötietoja: henkilötunnus, leveys‑ ja pituusastekoordinaatit, maa, kaupunki, kunta, kotiosoite, etunimi, sukunimi, PIN‑koodi, puhelinnumero sekä tiedot siitä, oliko henkilön oltava omaehtoisessa karanteenissa, oliko hän rekisteröitynyt jne. Nämä tiedot kerättiin Liettuan lisäksi myös ulkomailla.
( 4 ) Yleisen tietosuoja‑asetuksen 5 artikla sisältää luettelon yleisistä periaatteista, joita rekisterinpitäjien on noudatettava henkilötietojen käsittelyssä. Asetuksen 13 artiklassa luetellaan tiedot, jotka rekisterinpitäjien on annettava rekisteröidyille, kun heiltä kerätään henkilötietoja. Asetuksen 24 artiklan mukaan rekisterinpitäjän on toteutettava muun muassa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa (ja osoittaa), että käsittelyssä noudatetaan sovellettavia tietosuojasääntöjä. Yleisen tietosuoja‑asetuksen 32 artikla liittyy käsittelyn turvallisuuteen, ja siinä asetetaan tältä osin velvoitteita sekä rekisterinpitäjille että henkilötietojen käsittelijöille, kun taas 35 artikla koskee rekisterinpitäjien velvollisuutta toteuttaa tietosuojaa koskeva vaikutustenarviointi ennen tietyntyyppisten käsittelyjen aloittamista.
( 5 ) Yleisen tietosuoja‑asetuksen 29 artiklan mukaan ”henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita”.
( 6 ) Totean, että terveyttä koskevat henkilötiedot muodostavat erityisen henkilötietoryhmän, jonka käsittely on kielletty yleisen tietosuoja‑asetuksen 9 artiklassa, ellei jotain sen 2 kohdassa lueteltua perustetta voida soveltaa (esimerkiksi, että käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi (i alakohta) tai ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten (h alakohta)). Huomautan kuitenkin, että käsiteltävässä asiassa unionin tuomioistuimelle esitetyt kysymykset eivät koske tällaisen käsittelyn lainmukaisuutta vaan pikemminkin edellytyksiä, joiden täyttyessä NVSC:n kaltainen yksikkö voi joutua vastuuseen tällaisen mobiilisovelluksen kehittäjän (tässä tapauksessa ITSS) suorittamasta käsittelystä.
( 7 ) Asiakirja‑aineistossa olevien ja istunnossa annettujen tietojen perusteella on epäselvää, osallistuiko Vilnan kaupunki KARANTINAS‑sovelluksen kehittämiseen.
( 8 ) Kuten jäljempänä 46 kohdassa selitän, päättelen ennakkoratkaisupyynnöstä, että KARANTINAS‑sovellus kävi läpi kokeiluvaiheen, ennen kuin se asetettiin yleisön saataville lataamista varten. Käsittääkseni neljäs kysymys koskee näin ollen henkilötietojen käyttöä tämän kokeiluvaiheen aikana, toisin kuin myöhemmässä vaiheessa, kun KARANTINAS oli asetettu yleisön ladattavaksi.
( 9 ) Ks. Rücker, D. ja Kugler, T., New European General Data Protection Regulation: A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, s. 27. Näiden tekijöiden mukaan rekisterinpitäjän tärkein ominaisuus on, että se määrittelee pikemminkin tulokset, jotka on tarkoitus saavuttaa, kuin käsittelyn keinot tai sen, ”miten” käsittely suoritetaan, mikä voidaan ainakin muilta kuin olennaisilta osiltaan delegoida henkilötietojen käsittelijälle rekisterinpitäjän asemaa menettämättä.
( 10 ) Ks. tuomio 10.7.2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, 68 kohta). Tämä tuomio koski yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) 2 artiklan d alakohdassa määritellyn rekisterinpitäjän käsitteen tulkintaa. Vaikka kyseinen direktiivi ei ole enää voimassa ja se on korvattu yleisellä tietosuoja‑asetuksella, unionin tuomioistuimen tästä säännöksestä tekemä tulkinta on edelleen merkityksellinen yleisen tietosuoja‑asetuksen soveltamisen yhteydessä, koska kyseisen käsitteen määritelmä on sama molemmissa säädöksissä joitakin vähäisiä muodollisia muutoksia lukuun ottamatta. Viittaan siis eroa tekemättä tuomioihin, jotka koskevat jompaakumpaa säädöstä.
( 11 ) Ks. tuomio 10.7.2018, Jehovan todistajat (C‑25/17, EU:C:2018:55, 67 kohta).
( 12 ) Ks. Euroopan tietosuojaneuvoston 7.7.2021 antamat suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, versio 2.0 (saatavilla osoitteessa https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_fi.pdf; jäljempänä suuntaviivat 07/2020), s. 3 sekä 21 kohta ja 25–27 kohta.
( 13 ) Tuomio 29.7.2019 (C‑40/17, EU:C:2019:629, 85 kohta).
( 14 ) Ks. myös suuntaviivat 07/2020, 42 kohta.
( 15 ) Ks. yleisen tietosuoja‑asetuksen 26 artiklan 3 kohta, jonka mukaan ”rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan”. Ks. myös asetuksen 82 artiklan 4 ja 5 kohta.
( 16 ) Ks. tältä osin tuomio 29.7.2019, Fashion ID (C‑40/17, EU:C:2019:629, 67 kohta oikeuskäytäntöviittauksineen).
( 17 ) Ks. vastaavasti tuomio 5.6.2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, 43 kohta).
( 18 ) Ks. tuomio 10.6.2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, 69 kohta oikeuskäytäntöviittauksineen).
( 19 ) Ks. suuntaviivat 07/2020, s. 3 sekä 54 ja 55 kohta.
( 20 ) Olisi nimittäin jossain määrin ristiriitaista, jos muodolliset vaatimukset voitaisiin sivuuttaa tarkasteltaessa, voidaanko henkilö tai yksikkö luokitella rekisterinpitäjäksi, mutta ei tarkasteltaessa, voidaanko samaa ja toista yksikköä pitää yhteisrekisterinpitäjinä.
( 21 ) Ks. suuntaviivat 07/2020, 52 kohta.
( 22 ) Ks. tältä osin suuntaviivat 07/2020, 69 kohta.
( 23 ) Huomautan, että ennakkoratkaisua pyytänyt tuomioistuin mainitsee neljännessä kysymyksessään ”henkilötietojen jäljennösten” eikä henkilötietojen käytön. Minun on myönnettävä, että minulle ei ole selvää, mitä kyseinen tuomioistuin tarkoittaa ilmaisulla ”henkilötietojen jäljennökset”, koska henkilötiedot voivat olla aineettomassa muodossa ja koska yleisen tietosuoja‑asetuksen 4 artiklan 1 alakohdan mukaan henkilötiedoilla tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – – liittyviä tietoja” (kursivointi tässä) ilman vaatimusta siitä, että kyseiset henkilötiedot on ”kopioitu” tai siirretty tietylle laitteelle tai tietovälineelle. Mielestäni fyysisellä esineellä (esimerkiksi paperikopiot) tai myöskään sähköisillä tiedostoilla, jossa henkilötiedot ovat saatavilla, ei ole merkitystä sen kysymyksen kannalta, onko henkilötietoihin liittyvää erityistä toimintojen kokonaisuutta pidettävä asetuksen 4 artiklan 2 alakohdassa tarkoitettuna käsittelynä. Vastauksessani neljänteen kysymykseen viittaan sen vuoksi pikemminkin henkilötietoihin kuin henkilötietojen jäljennöksiin.
( 24 ) Kursivointi tässä.
( 25 ) Yleisen tietosuoja‑asetuksen 4 artiklan 2 alakohdan mukaan käsittelyllä tarkoitetaan ”tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista”.
( 26 ) Ks. edellinen alaviite.
( 27 ) Yleisen tietosuoja‑asetuksen 4 artiklan 1 alakohdassa, luettuna yhdessä 26 perustelukappaleen kanssa, tarkoitettuihin henkilötietoihin kuuluvat myös henkilötiedot, jotka on pseudonymisoitu mutta jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä.
( 28 ) Ennakkoratkaisua pyytänyt tuomioistuin mainitsee ennakkoratkaisupyynnössään, että tietyt – mutta eivät kaikki – kokeiluvaiheessa käytetyt henkilötiedot ovat voineet koostua valetiedoista. Se ei kuitenkaan täsmennä, mitä se tarkoittaa tällä ilmaisulla. Tältä osin totean vain, että mielestäni tietoja voidaan pitää yleisen tietosuoja‑asetuksen 4 artiklan 1 alakohdassa tarkoitettuina henkilötietoina riippumatta siitä, sisältävätkö ne oikeita tietoja vai valetietoja. Kuten olen todennut, merkitystä on vain sillä, että tiedot liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Jos tiedot ovat täysin keksittyjä niin, ettei niiden voida katsoa liittyvän tunnistettuun tai tunnistettavissa olevaan henkilöön, ne eivät mielestäni ole henkilötietoja, eikä yleistä tietosuoja‑asetusta sovelleta näiden tietojen käsittelyyn. Tätä asetusta sovelletaan kuitenkin edelleen muihin kokeiluvaiheen aikana kerättyihin oikeisiin tietoihin.
( 29 ) Haluan muistuttaa, että henkilötietojen käyttö mobiilisovelluksen sisältämien tietoteknisten järjestelmien testaamiseen tarkoittaa erilaista käsittelyä kuin se, jota suoritetaan, kun kyseinen mobiilisovellus asetetaan yleisön ladattavaksi. Näin ollen on arvioitava erikseen, mikä on ”rekisterinpitäjä”, henkilötietojen käsittelijä” tai ”yhteisrekisterinpitäjä”.
( 30 ) Ks. direktiivin 95/46/EY 24 artikla.
( 31 ) Ks. 29 artiklan mukaisen tietosuojatyöryhmän 3.10.2017 antamat [tietosuoja-asetuksessa] tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat, s. 4. Tämä työryhmä korvattiin myöhemmin Euroopan tietosuojaneuvostolla. Tietosuojatyöryhmän hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat ovat kuitenkin edelleen voimassa.
( 32 ) Ks. esim. Ranskan tietosuojaviranomaisen vuoden 2019 tammikuussa Googlelle määräämä usean miljoonan euron suuruinen seuraamusmaksu (https://edpb.europa.eu/news/national‑news/2019/cnils‑restricted‑committee‑imposes‑financial‑penalty‑50‑million‑euros_en).
( 33 ) Erityisesti asetuksen 83 artiklan 2 kohdan b alakohdassa. Muut 83 artiklan 2 kohdan a–k alakohdassa luetellut seikat liittyvät joko itse rikkomukseen (esimerkiksi sen luonne, vakavuus ja kesto (a) tai henkilötietoryhmät, joihin rikkomus vaikuttaa (g)) tai rekisterinpitäjään tai henkilötietojen käsittelijään, jolle tai joille seuraamusmaksu voidaan määrätä (eli niiden vastuun aste (d), niiden ex ante ‑toiminta, kuten mahdolliset aiemmat vastaavat rikkomukset (e), niille aikaisemmin määrätyt toimenpiteet (i) ja niiden ex post ‑toiminta, mukaan lukien se, ilmoittivatko ne rikkomuksesta (h), niiden toteuttamat toimet vahingon lieventämiseksi (c) ja yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi (f)). Lisäksi on otettava asianmukaisesti huomioon ”mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot” (k).
( 34 ) Komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja‑asetus) (COM(2012) 11 final) (jäljempänä komission alkuperäinen ehdotus).
( 35 ) Ks. komission alkuperäisen ehdotuksen 79 artiklan 4, 5 ja 6 kohta. Huomautan, että rikkomuksen ”tahallisuus tai tuottamuksellisuus” sisältyi myös kyseisen ehdotuksen 79 artiklan 2 kohdassa olevaan luetteloon tekijöistä, jotka oli otettava huomioon sakon määrän vahvistamiseksi; kursivointi tässä.
( 36 ) Tätä sanamuotoa muutettiin myöhemmin, ja ilmaisua ”tahallaan tai tuottamuksellisesti” ei enää sisälly säännöksiin, joissa määritetään yleisellä tietosuoja‑asetuksella käyttöön otetun seuraamusmaksujärjestelmän kaksi tasoa.
( 37 ) Kursivointi tässä.
( 38 ) Sama havainto voidaan tehdä myös, kun tarkastellaan yleisen tietosuoja‑asetuksen 83 artiklan 2 kohdan muita kieliversioita, erityisesti tšekin‑, kreikan‑, espanjan‑, ranskan‑ ja italiankielisiä versioita. Huomautan kuitenkin, että 83 artiklan 2 kohdan c alakohdassa, joka koskee rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamia toimia vahingon lieventämiseksi, italiankielisessä versiossa käytetään pikemminkin englannin ilmaisua ”the” vastaavaa ilmaisua ”le” kuin englannin ilmaisua ”any” vastaavaa ilmaisua ”eventuali”.
( 39 ) 29 artiklan mukaisen tietosuojatyöryhmän mukaan hallinnolliset sakot ovat ”korjaavia toimenpiteitä”, joiden tavoitteena on joko sääntöjenmukaisuuden palauttaminen tai sääntöjenvastaisesta toiminnasta rankaiseminen (tai molemmat) (kursivointi tässä) (ks. 29 artiklan mukaisen tietosuojatyöryhmän 3.10.2017 antamat [tietosuoja-asetuksessa] tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat, s. 6).
( 40 ) Ks. vastaavasti tuomio 2.2.2021, Consob (C‑481/19, EU:C:2021:84, 43 kohta). Muistutan, että kolmella kriteerillä on merkitystä, kun arvioidaan, ovatko seuraamukset luonteeltaan rikosoikeudellisia: ensimmäinen kriteereistä koskee rikkomisen luonnehdintaa kansallisessa oikeudessa, toinen rikkomisen luonnetta ja kolmas sen seuraamuksen ankaruutta, joka tekijälle voidaan määrätä (ks. edellä mainitun tuomion 42 kohta ja tuomio 5.6.2012, Bonda,C‑489/10, EU:C:2012:319, 37 kohta; ks. myös Euroopan ihmisoikeustuomioistuimen tuomio 8.6.1976, Engel ym. v. Alankomaat, CE:ECHR:1976:0608JUD000510071, 82 kohta). Kaikkien kriteerien ei pidä täyttyä, jotta seuraamusmaksua voidaan pitää luonteeltaan rikosoikeudellisena (ks. tältä osin julkisasiamies Botin ratkaisuehdotus ThyssenKrupp Nirosta v. komissio (C‑352/09 P, EU:C:2010:635, 50 kohta oikeuskäytäntöviittauksineen).
( 41 ) Perusoikeuskirjan 49 artiklan, jonka otsikko on ”Laillisuusperiaate ja rikoksista määrättävien rangaistusten oikeasuhteisuuden periaate”, 3 kohdassa määrätään, että ”rangaistus ei saa olla epäsuhteessa rikoksen vakavuuteen”.
( 42 ) Ks. tuomio 9.2.2012, Urbán (C‑210/10, EU:C:2012:64, 48 kohta); tuomio 13.11.2014, Reindl (C‑443/13, EU:C:2014:2370, 42 kohta); tuomio 20.12.2017, Global Starnet (C‑322/16, EU:C:2017:985, 63 kohta) ja tuomio 22.3.2017, Euro‑Team ja Spirál‑Gép (C‑497/15 ja C‑498/15, EU:C:2017:229, 53 ja 54 kohta). Nämä tuomiot havainnollistavat sen, että tätä oikeuskäytäntöä on noudatettu useilla unionin oikeuden aloilla.
( 43 ) Ks. Euroopan unionin perusoikeuskirjan selitykset (EUVL 2007, C 303, s. 17). Perusoikeuskirjan 52 artiklan 3 kohdan mukaan 49 artiklassa myönnetyn suojan taso ei voi alittaa Euroopan ihmisoikeussopimuksen 7 artiklassa taattua tasoa.
( 44 ) Ks. Euroopan ihmisoikeustuomioistuimen (suuren jaoston) 28.6.2018 antama tuomio GIEM s.r.l. ym. v. Italia (CE:ECHR:2018:0628JUD000182806, 242 ja 243 kohta).
( 45 ) Ks. yleisen tietosuoja‑asetuksen 58 artiklan 2 kohdan i alakohta ja 83 artiklan 2 kohta.
( 46 ) Yleisen tietosuoja‑asetuksen 84 artiklan 1 kohdan mukaan ”jäsenvaltioiden on säädettävä muista – – seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi”. Yleisen tietosuoja‑asetuksen 152 perustelukappaleen mukaan 84 artiklaa sovelletaan ”sikäli kuin tässä asetuksessa ei yhdenmukaisteta hallinnollisia seuraamuksia tai tarvittaessa muissa tapauksissa, esimerkiksi silloin, kun kyseessä on tämän asetuksen vakava rikkominen”.
( 47 ) Ks. tältä osin Chamberlain, J. and Reichel, J., ”The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, osa 89, nro 4, Mississippi Law Journal, 2020, s. 677–679.
( 48 ) Ks. Nemitz, P., ”Fines under the GDPR”, teoksessa Leenes, R., van Brakel, R., Gutwirth, S. ja De Hert, P., Data Protection and Privacy: The Internet of Bodies, Hart Publishing, Oxford, 2019, s. 241.
( 49 ) Sitä vastoin se on määritellyt ”tahallisuuden” käsitteen siten, että sillä edellytetään sekä tietoista että tahallista rikkomista (ks. 29 artiklan mukaisen tietosuojatyöryhmän 3.10.2017 antamat [tietosuoja-asetuksessa] tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat, s. 11).
( 50 ) Ibid., s. 12. Muita mainittuja tilanteita ovat pelkkä voimassa oleviin toimintaperiaatteisiin perehtymisen ja niiden noudattamisen laiminlyönti, julkaistuihin tietoihin sisältyvien henkilötietojen tarkistamisen laiminlyönti, teknisten päivitysten oikea‑aikaisen soveltamisen laiminlyönti tai käytänteiden vahvistamisen laiminlyönti.
( 51 ) Ks. Nemitz, P., ”Fines under the GDPR”, teoksessa Leenes, R., van Brakel, R., Gutwirth, S. ja De Hert, P., Data Protection and Privacy: The Internet of Bodies, Hart Publishing, Oxford, 2019, s. 240.
( 52 ) Ks. yleisen tietosuoja‑asetuksen 122 ja 132 perustelukappale.
( 53 ) Ks. erityisesti yleisen tietosuoja‑asetuksen ensimmäinen perustelukappale, jossa muistutetaan perusoikeuskirjan 8 artiklan 1 kohtaan ja SEUT 16 artiklan 1 kohtaan viitaten, että henkilötietojen suoja on perusoikeus. Ks. myös yleisen tietosuoja‑asetuksen 10, 11 ja 13 perustelukappale sekä tuomio 24.9.2019, Google (Hakutulosten luettelosta poistamisen alueellinen ulottuvuus) (C‑507/17, EU:C:2019:772, 54 kohta).
( 54 ) Ks. yleisen tietosuoja‑asetuksen 148 perustelukappale.
( 55 ) Ks. Chamberlain, J. ja Reichel, J., ”The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, osa 89, nro 4, Mississippi Law Journal, 2020, s. 685.
( 56 ) SEUT [101] ja [102] artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16.12.2002 annettu neuvoston asetus (EYVL 2003, L 1, s. 1).
( 57 ) Ks. tuomio 8.12.2011, Chalkor v. komissio (C‑386/10 P, EU:C:2011:815, 56 ja 57 kohta oikeuskäytäntöviittauksineen). Huomautan tältä osin, että vaikka tahallisuus tai huolimattomuus on osoitettava ennen sakon määräämistä kilpailusääntöjen rikkomisesta, tämäkin vaatimus on käytännössä hyvin alhainen. Unionin tuomioistuin on nimittäin todennut, että kyseinen edellytys täyttyy, kun kyseisen yrityksen olisi pitänyt tietää menettelynsä rajoittavan kilpailua, riippumatta siitä, tiesikö se rikkovansa kilpailusääntöjä (ks. tuomio 10.7.2014, Telefónica ja Telefónica de España v. komissio (C‑295/12 P, EU:C:2014:2062, 156 kohta oikeuskäytäntöviittauksineen).
( 58 ) Ks. esim. yleisen tietosuoja‑asetuksen yhdeksäs perustelukappale, jossa todetaan, että eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun ”voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella” ja ”muodostua esteeksi unionin taloudelliselle toiminnalle”.
( 59 ) Ks. yleisen tietosuoja‑asetuksen 129 perustelukappale (”tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla” (kursivointi tässä)) ja 150 perustelukappale. Ks. tältä osin myös 29 artiklan mukaisen tietosuojatyöryhmän 3.10.2017 antamat [tietosuoja-asetuksessa] tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat, s. 6.
( 60 ) Tässä yhteydessä huomautan, että yleisen tietosuoja‑asetuksen kymmenennessä perustelukappaleessa todetaan, että ”suojelun tason – – olisi oltava vastaava kaikissa jäsenvaltioissa”, kun taas asetuksen 11, 13 ja 129 perustelukappaleessa korostetaan samantasoisia valtuuksia valvoa noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa. Asetuksen 152 perustelukappaleessa puolestaan todetaan, että vain siinä määrin kuin tässä asetuksessa ei yhdenmukaisteta hallinnollisia seuraamuksia (tai tarvittaessa muissa tapauksissa), jäsenvaltioiden olisi pantava täytäntöön järjestelmä, jossa määrätään tällaisista seuraamuksista (ks. myös 150 perustelukappale).
( 61 ) Ks. tältä osin Voss, W. G. ja Bouthinon‑Dumas, H., ”EU General Data Protection Regulation Sanctions in Theory and in Practice”, osa 37, Santa Clara High Tech, 2020, s. 44.
( 62 ) Kursivointi tässä.
( 63 ) Yleisen tietosuoja‑asetuksen 29 artiklan mukaan ”henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita”.
( 64 ) Yleisen tietosuoja‑asetuksen 28 artiklan 10 kohdan mukaan henkilötietojen käsittelijää pidetään rekisterinpitäjänä tällaisten tietojen käsittelyn osalta. Ks. tältä osin myös Rücker, D. ja Kugler, T., New European General Data Protection Regulation: A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, s. 30.