UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)

5 päivänä joulukuuta 2023 ( *1 )

Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – 4 artiklan 2 ja 7 alakohta – Käsittelyn ja rekisterinpitäjän käsitteet – Tietoteknisen mobiilisovelluksen kehittäminen – 26 artikla – Yhteisrekisterin pitäminen – 83 artikla – Hallinnollisten seuraamusmaksujen määrääminen – Edellytykset – Rikkomisen tahallisuutta tai tuottamuksellisuutta koskeva vaatimus – Rekisterinpitäjän vastuu henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä

Asiassa C‑683/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Vilniaus apygardos administracinis teismas (Vilnan alueellinen hallintotuomioistuin, Liettua) on esittänyt 22.10.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 12.11.2021, saadakseen ennakkoratkaisun asiassa

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

vastaan

Valstybinė duomenų apsaugos inspekcija,

jossa asian käsittelyyn osallistuvat

UAB ”IT sprendimai sėkmei” ja

Lietuvos Respublikos sveikatos apsaugos ministerija,

UNIONIN TUOMIOISTUIN (suuri jaosto),

toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti L. Bay Larsen, jaostojen puheenjohtajat A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi ja O. Spineanu-Matei sekä tuomarit M. Ilešič, J.-C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (esittelevä tuomari), N. Wahl ja M. Gavalec,

julkisasiamies: N. Emiliou,

kirjaaja: hallintovirkamies C. Strömholm,

ottaen huomioon kirjallisessa käsittelyssä ja 17.1.2023 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–	Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, edustajanaan G. Aleksienė,

–	Valstybinė duomenų apsaugos inspekcija, edustajanaan R. Andrijauskas,

–	Liettuan hallitus, asiamiehenään V. Kazlauskaitė-Švenčionienė,

–	Alankomaiden hallitus, asiamiehenään C. S. Schillemans,

–	Euroopan unionin neuvosto, asiamiehinään R. Liudvinavičiūtė ja K. Pleśniak,

–	Euroopan komissio, asiamiehinään A. Bouchagiar, H. Kranenborg ja A. Steiblytė,

kuultuaan julkisasiamiehen 4.5.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus) 4 artiklan 2 ja 7 alakohdan, 26 artiklan 1 kohdan ja 83 artiklan 1 kohdan tulkintaa.

Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (terveysministeriön alainen kansanterveyslaitos, Liettua; jäljempänä NVSC) ja Valstybinė duomenų apsaugos inspekcija (valtion tietosuojavirasto, Liettua; jäljempänä VDAI) ja jossa on kyse päätöksestä, jolla VDAI on määrännyt NVSC:lle yleisen tietosuoja-asetuksen 83 artiklan nojalla hallinnollisen seuraamusmaksun kyseisen asetuksen 5, 13, 24, 32 ja 35 artiklan rikkomisesta.

Asiaa koskevat oikeussäännöt

Unionin oikeus

Yleisen tietosuoja-asetuksen johdanto‑osan 9, 10, 11, 13, 26, 74, 79, 129 ja 148 perustelukappaleessa todetaan seuraavaa:

”(9)

– – Jäsenvaltioiden väliset eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun, erityisesti oikeudessa henkilötietojen suojaan, voivat estää henkilötietojen vapaan liikkuvuuden [Euroopan] unionin alueella. Nämä eroavuudet voivat muodostua esteeksi unionin taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. – –

(10)

Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –

(11)

Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa.

– –

(13)

Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys taloudellisille toimijoille, mukaan lukien mikroyritykset sekä pienet ja keskisuuret yritykset, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet sekä rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, jotta varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. – –

– –

(26)

Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. – – Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.

– –

(74)

Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

– –

(79)

Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut – – edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

– –

(129)

Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia – – Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, asianmukaisesti ja kohtuullisessa ajassa. Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja. Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion prosessioikeuden erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus. Jokainen valvontaviranomaisen oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antanut valvontaviranomainen ja toimenpiteen antamispäivä, sen olisi oltava valvontaviranomaisen johtajan tai hänen valtuuttamansa valvontaviranomaisen jäsenen allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen. Tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla. Oikeudellisesti sitovan päätöksen antaminen tarkoittaa, että siihen voidaan kohdistaa tuomioistuinvalvontaa päätöksen antaneen valvontaviranomaisen jäsenvaltiossa.

– –

(148)

Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja, valvontaviranomaisen tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. Seuraamusten, kuten hallinnollisten seuraamusmaksujen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja [Euroopan unionin] perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan luettuina.”

Yleisen tietosuoja-asetuksen 4 artiklassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –

’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,

– –

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)	’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

– –”

Kyseisen asetuksen 26 artiklan, jonka otsikko on ”Yhteisrekisterinpitäjät”, 1 kohdassa säädetään seuraavaa:

”Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.”

Yleisen tietosuoja-asetuksen 28 artiklan, jonka otsikko on ”Henkilötietojen käsittelijä ”, 10 kohdassa säädetään seuraavaa:

”Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.”

Yleisen tietosuoja-asetuksen 58 artiklan, jonka otsikko on ”Valtuudet”, 2 kohdassa säädetään seuraavaa:

”Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

a)	varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)	antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

– –

d)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

– –

f)	asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

– –

i)	määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

– –”

Kyseisen asetuksen 83 artiklassa, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, säädetään seuraavaa:

”1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2. Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	rikkomuksen tahallisuus tai tuottamuksellisuus;

c)	rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d)	rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e)	rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset;

f)	yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g)	henkilötietoryhmät, joihin rikkomus vaikuttaa;

h)	tapa, jolla rikkomus tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomuksesta ja missä laajuudessa;

i)	jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)	40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k)	mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua.

4. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10000000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a) rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;

– –

5. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20000000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyä koskevat perusperiaatteet, mukaan lukien suostumuksen edellytykset;

b)	rekisteröityjen 12–22 artiklan mukaiset oikeudet;

– –

d)	kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;

– –

6. Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20000000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

7. Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia seuraamusmaksuja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

8. Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

– –”

Yleisen tietosuoja-asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”

Liettuan oikeus

Julkisista hankinnoista annetun lain (Viešųjų pirkimų įstatymas) 29 §:n 3 momentissa mainitaan tietyt olosuhteet, joissa hankintaviranomaisella on oikeus tai velvollisuus peruuttaa vireille pannut tarjouspyyntö- tai kilpailumenettelyt omasta aloitteestaan milloin tahansa ennen julkista hankintaa koskevan sopimuksen (tai alustavan sopimuksen) tekemistä tai kilpailun voittajan ratkaisemista.

11	Julkisista hankinnoista annetun lain 72 §:n 2 momentissa säädetään neuvottelujen vaiheista, joiden mukaisesti hankintaviranomainen toteuttaa julkisissa hankinnoissa neuvottelumenettelyn, jossa ei julkaista ennalta hankintailmoitusta.

Pääasia ja ennakkoratkaisukysymykset

Covid-19-viruksen aiheuttaman pandemian yhteydessä Lietuvos Respublikos sveikatos apsaugos ministras (Liettuan tasavallan terveysministeri) antoi 24.3.2020 tehdyllä ensimmäisellä päätöksellä NVSC:n johtajan tehtäväksi järjestää välittömästi tietoteknisen järjestelmän hankinta covid-19-virukselle altistuneiden henkilöiden tietojen tallentamiseksi ja seuraamiseksi epidemiologista seurantaa varten.

Eräs henkilö, joka ilmoitti olevansa NVSC:n edustaja (jäljempänä A.S.), ilmoitti 27.3.2020 lähetetyllä sähköpostiviestillä UAB ”IT sprendimai sėkmei” ‑yhtiölle (jäljempänä ITSS-yhtiö), että NVSC oli valinnut kyseisen yhtiön luomaan tätä varten mobiilisovelluksen. A.S. lähetti tämän jälkeen ITSS-yhtiölle sähköpostiviestejä kyseisen sovelluksen luomiseen liittyvistä eri näkökohdista, ja näistä sähköpostiviesteistä osoitettiin jäljennös NVSC:n johtajalle.

14	ITSS-yhtiön ja NVSC:n välisten neuvottelujen kuluessa A.S:n lisäksi myös muut NVSC:n työntekijät lähettivät sähköpostiviestejä ITSS- yhtiölle kyseessä olevassa mobiilisovelluksessa esitettyjen kysymysten laatimisen osalta.

15	Tätä mobiilisovellusta luotaessa otettiin käyttöön yksityisyyden suojaa koskevat periaatteet, joissa ITSS-yhtiö ja NVSC määritettiin rekisterinpitäjiksi.

16	Kyseessä oleva mobiilisovellus, jossa ITSS-yhtiö ja NVSC mainittiin, oli ladattavissa Google Play Store ‑verkkokaupassa 4.4.2020 alkaen ja Apple App Store ‑verkkokaupassa 6.4.2020 alkaen. Se oli toiminnassa 26.5.2020 saakka.

Ajanjaksolla 4.4.2020–26.5.2020 yhteensä 3802 henkilöä käytti kyseistä sovellusta ja antoi siinä pyydetyt tietonsa, joita olivat muun muassa henkilötunnus, maantieteelliset koordinaatit (leveys- ja pituusaste), maa, kaupunki, kunta, postinumero, kadun nimi, talon numero, sukunimi, etunimi, PIN-koodi, puhelinnumero ja osoite.

Liettuan tasavallan terveysministeri päätti 10.4.2020 tehdyllä toisella päätöksellä antaa NVSC:n johtajan tehtäväksi järjestää kyseessä olevan mobiilisovelluksen hankkimisen ITSS-yhtiöltä, ja tätä varten oli tarkoitus turvautua julkisista hankinnoista annetun lain 72 §:n 2 momenttiin. NVSC ei kuitenkaan tehnyt kyseisen yhtiön kanssa mitään hankintasopimusta tämän sovelluksen virallisesta hankkimisesta.

NVSC pyysi näet 15.5.2020 kyseiseltä yhtiöltä, ettei tämä mainitsisi sitä millään tavalla kyseessä olevassa mobiilisovelluksessa. NVSC ilmoitti lisäksi 4.6.2020 päivätyllä kirjeellä kyseiselle yhtiölle, että koska kyseisen sovelluksen hankintaan ei ollut rahoitusta, se oli julkisista hankinnoista annetun lain 29 §:n 3 momentin mukaisesti päättänyt tällaista hankintaa koskevan menettelyn.

VDAI totesi 18.5.2020 aloitetussa henkilötietojen käsittelyä koskevassa tutkinnassa, että kyseessä olevalla mobiilisovelluksella oli kerätty henkilötietoja. Se katsoi lisäksi, että käyttäjät, jotka olivat valinneet kyseisen sovelluksen covid-19-pandemian vuoksi pakolliseksi tehdyn eristyksen seurantajärjestelmäksi, olivat vastanneet kysymyksiin, mikä tarkoitti henkilötietojen käsittelyä. Nämä tiedot oli annettu vastauksissa kyseisellä sovelluksella asetettuihin kysymyksiin, ja ne koskivat muun muassa asianomaisen henkilön terveydentilaa ja sitä, onko hän noudattanut eristyksen ehtoja.

VDAI määräsi 24.2.2021 tehdyllä päätöksellä NVSC:lle yleisen tietosuoja-asetuksen 83 artiklan nojalla 12000 euron hallinnollisen seuraamusmaksun, koska NVSC oli rikkonut kyseisen asetuksen 5, 13, 24, 32 ja 35 artiklaa. Myös ITSS-yhtiölle määrättiin tällä päätöksellä 3000 euron hallinnollinen seuraamusmaksu yhteisrekisterinpitäjänä.

NVSC riitautti tämän päätöksen Vilniaus apygardos administracinis teismasissa (Vilnan alueellinen hallintotuomioistuin, Liettua), joka on ennakkoratkaisua pyytänyt tuomioistuin, ja väitti, että ITSS-yhtiötä on pidettävä ainoana yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä. ITSS-yhtiö väittää puolestaan toimineensa yleisen tietosuoja-asetuksen 4 artiklan 8 alakohdassa tarkoitettuna henkilötietojen käsittelijänä NVSC:n, joka on sen mukaan ainoa rekisterinpitäjä, antamien ohjeiden mukaisesti.

Ennakkoratkaisua pyytänyt tuomioistuin huomauttaa, että ITSS-yhtiö on luonut kyseessä olevan mobiilisovelluksen ja että NVSC on antanut sille neuvoja kyseisellä sovelluksella esitettyjen kysymysten sisällön osalta. NVSC:n ja ITSS-yhtiön välillä ei ole kuitenkaan tehty julkista hankintasopimusta. NVSC ei myöskään ole antanut suostumusta eikä lupaa kyseisen sovelluksen saataville asettamiseen eri verkkokaupoissa.

Ennakkoratkaisua pyytänyt tuomioistuin täsmentää, että kyseessä olevan mobiilisovelluksen luomisella pyrittiin toteuttamaan NVSC:n asettama tavoite eli hallinnoimaan covid-19-pandemiaa luomalla tietotekninen väline ja että tätä varten oli tarkoitus käsitellä henkilötietoja. Se toteaa ITSS-yhtiön roolista, ettei tarkoituksena ollut, että kyseisellä yhtiöllä on muita tavoitteita kuin korvauksen saaminen luodusta tietoteknisestä tuotteesta.

Kyseinen tuomioistuin huomauttaa myös, että VDAI:n tutkinnassa on todettu, että Juvare Lithuania ‑nimisen liettualaisen yhtiön – joka hallinnoi sellaisten tartuntatautien seurantaa ja hallintaa koskevaa tietoteknistä järjestelmää, jotka ovat vaarassa levitä – oli tarkoitus saada jäljennökset kyseessä olevalla mobiilisovelluksella kerätyistä henkilötiedoista. Sovelluksen testaamiseen on lisäksi käytetty tietoja, jotka olivat mainitun yhtiön työtekijöiden puhelinnumeroita lukuun ottamatta fiktiivisiä.

Tässä tilanteessa Vilniaus apygardos administracinis teismas päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)

Voidaanko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa säädettyä rekisterinpitäjän käsitettä tulkita siten, että rekisterinpitäjänä on pidettävä myös henkilöä, joka aikoo hankkia tiedonkeruuvälineen (mobiilisovelluksen) julkisella hankinnalla, riippumatta siitä, ettei sopimusta julkisesta hankinnasta ole tehty ja ettei luotua tuotetta (mobiilisovellusta), jonka hankintaan hankintamenettelyä on käytetty, ole luovutettu?

Voidaanko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa säädettyä rekisterinpitäjän käsitettä tulkita siten, että rekisterinpitäjänä on pidettävä myös hankintaviranomaista, joka ei ole saanut omistusoikeutta luotuun tietotekniseen tuotteeseen eikä saanut sitä haltuunsa, kun luodun sovelluksen lopulliseen versioon sisältyy linkkejä tai liitäntöjä kyseiseen julkiseen yksikköön ja/tai kun yksityisyyden suojaa koskevissa periaatteissa, joita kyseinen julkinen yksikkö ei ole virallisesti hyväksynyt tai tunnustanut, määritettiin kyseinen julkinen yksikkö rekisterinpitäjäksi?

Voidaanko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa säädettyä rekisterinpitäjän käsitettä tulkita siten, että rekisterinpitäjänä on pidettävä myös henkilöä, joka ei ole suorittanut varsinaisia tietojenkäsittelytoimia, sellaisina kuin ne määritellään yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa, ja/tai ei ole antanut yksiselitteistä lupaa/suostumusta tällaisten toimien suorittamiseen? Onko rekisterinpitäjän käsitteen tulkinnan kannalta merkityksellistä se, että henkilötietojen käsittelyssä käytetty tietotekninen tuote luotiin hankintaviranomaisen laatiman toimeksiannon mukaisesti?

Jos varsinaisten käsittelytoimien määrittäminen on merkityksellistä rekisterinpitäjän käsitteen tulkinnan kannalta, onko yleisen tietosuoja-asetuksen 4 artiklan 2 alakohtaan sisältyvää henkilötietojen käsittelyn määritelmää tulkittava siten, että siihen kuuluvat myös tilanteet, joissa henkilötietojen jäljennöksiä on käytetty tietoteknisten järjestelmien testaamiseen mobiilisovelluksen hankintaprosessissa?

Voidaanko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa ja 26 artiklan 1 kohdassa tarkoitettua yhteisrekisterin pitämistä tulkita yksinomaan siten, että se käsittää käsittelyn tarkoitusten ja keinojen määrittämisen osalta tietoisesti koordinoidut toimet, vai voidaanko tätä käsitettä tulkita myös siten, että yhteisrekisterin pitäminen käsittää myös tilanteet, joissa tietojenkäsittelyn tarkoitusten ja keinojen osalta ei ole olemassa selkeää järjestelyä ja/tai toimia ei koordinoida yksikköjen kesken? Ovatko henkilötietojen käsittelyn keinon (tietoteknisen sovelluksen) luomisen siihen vaiheeseen, jossa henkilötietoja käsiteltiin, liittyvä olosuhde ja sovelluksen luomisen tarkoitus oikeudellisesti merkityksellisiä yhteisrekisterin pitämistä koskevan käsitteen tulkinnan kannalta? Voidaanko yhteisrekisterinpitäjien välinen ’järjestely’ ymmärtää yksinomaan siten, että siinä määritellään selvästi ja täsmällisesti yhteisrekisterin pitämiseen sovellettavat ehdot?

Onko yleisen tietosuoja-asetuksen 83 artiklan 1 kohtaa, jossa edellytetään, että ’hallinnollisten seuraamusmaksujen määrääminen [on] tehokasta, oikeasuhteista ja varoittavaa’, tulkittava siten, että se käsittää myös tapaukset, joissa ’rekisterinpitäjä’ on vastuussa, kun tietoteknisen tuotteen luomisprosessissa kehittäjä suorittaa myös henkilötietojen käsittelytoimia, ja onko rekisterinpitäjä aina automaattisesti oikeudellisessa vastuussa henkilötietojen käsittelijän suorittamista epäasianmukaisista käsittelytoimista? Onko kyseistä säännöstä tulkittava siten, että se käsittää myös tapaukset, joissa rekisterinpitäjällä on tuottamuksesta riippumaton vastuu?”

Ennakkoratkaisukysymysten tarkastelu

Ensimmäinen, toinen ja kolmas kysymys

Ensimmäisellä, toisella ja kolmannella kysymyksellään, jotka on tutkittava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa tulkittava siten, että kyseisessä säännöksessä tarkoitettuna rekisterinpitäjänä voidaan pitää yksikköä, joka on antanut yrityksen tehtäväksi kehittää tietoteknisen mobiilisovelluksen, vaikka tämä yksikkö ei ole itse suorittanut henkilötietojen käsittelytoimia, antanut nimenomaisesti lupaansa konkreettisten henkilötietojen käsittelytoimien toteuttamiseen tai kyseisen mobiilisovelluksen yleisön saataville asettamiseen eikä hankkinut mainittua mobiilisovellusta.

Yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa määritellään rekisterinpitäjän käsite laajasti siten, että sillä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa ”määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot”.

Tämän laajan määritelmän tavoitteena on yleisen tietosuoja-asetuksen tavoitteen mukaisesti varmistaa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien tehokas suoja ja erityisesti se, että jokaisella on oikeus henkilötietojensa korkeatasoiseen suojaan (ks. vastaavasti tuomio 29.7.2019, Fashion ID,C‑40/17, EU:C:2019:629, 66 kohta ja tuomio 28.4.2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, 73 kohta oikeuskäytäntöviittauksineen).

Unionin tuomioistuin on jo katsonut, että luonnollista henkilöä tai oikeushenkilöä, joka vaikuttaa omia tarkoituksiaan varten henkilötietojen käsittelyyn ja osallistuu tämän vuoksi kyseisen käsittelyn tarkoitusten ja keinojen määrittämiseen, voidaan pitää rekisterinpitäjänä. Ei kuitenkaan ole tarpeen, että käsittelyn tarkoitukset ja keinot määritetään rekisterinpitäjän kirjallisten ohjeiden tai käskyjen perusteella (ks. vastaavasti tuomio 10.7.2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, 67 ja 68 kohta) tai että rekisterinpitäjä on muodollisesti nimetty sellaiseksi.

Sen toteamiseksi, voidaanko NVSC:n kaltaista yksikköä pitää yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä, on siis tutkittava, onko kyseinen yksikkö tosiasiallisesti vaikuttanut omia tarkoituksiaan varten kyseisen käsittelyn tarkoitusten ja keinojen määrittämiseen.

Jollei niistä selvityksistä, jotka ennakkoratkaisua pyytäneen tuomioistuimen on tehtävä, muuta johdu, unionin tuomioistuimen käytössä olevasta asiakirja-aineistosta ilmenee nyt käsiteltävässä asiassa, että NVSC on pyytänyt luomaan kyseessä olevan mobiilisovelluksen, jolla pyrittiin toteuttamaan NVSC:n asettama tavoite eli hallinnoimaan covid-19-pandemiaa tietoteknisellä välineellä covid-19-virukselle altistuneiden henkilöiden tietojen tallentamiseksi ja seuraamiseksi. NVSC:n tarkoituksena oli tätä varten, että kyseessä olevan mobiilisovelluksen käyttäjien henkilötietoja käsitellään. Ennakkoratkaisupyynnöstä ilmenee lisäksi, että kyseisen sovelluksen parametrejä, kuten esitetyt kysymykset ja niiden muotoilu, on mukautettu NVSC:n tarpeisiin ja että NVSC:llä on ollut aktiivinen rooli niitä määritettäessä.

33	Tämän perusteella on lähtökohtaisesti katsottava, että NVSC on tosiasiallisesti osallistunut käsittelyn tarkoitusten ja keinojen määrittämiseen.

Pelkästään sitä, että NVSC on mainittu rekisterinpitäjänä kyseessä olevan mobiilisovelluksen yksityisyyden suojaa koskevissa periaatteissa ja että sovellukseen on sisällytetty linkkejä kyseiseen yksikköön, voitaisiin sitä vastoin pitää merkityksellisenä yksinomaan siltä osin kuin osoitetaan, että NVSC on nimenomaisesti tai implisiittisesti antanut suostumuksensa tähän mainintaan tai näihin linkkeihin.

Myöskään ennakkoratkaisua pyytäneen tuomioistuimen kolmen ensimmäisen ennakkoratkaisukysymyksensä tueksi esittämien seikkojen perusteella eli sen perusteella, että NVSC ei ole itse käsitellyt henkilötietoja, että NVSC:n ja ITSS-yhtiön välillä ei ollut tehty sopimusta, että NVSC ei ole hankkinut kyseessä olevaa mobiilisovellusta tai että NVSC ei ole antanut lupaa kyseisen sovelluksen levittämiseen verkkokaupoissa, ei suljeta pois sitä, etteikö NVSC:tä voitaisi luonnehtia yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitetuksi rekisterinpitäjäksi.

Kyseisestä säännöksestä, kun sitä luetaan yleisen tietosuoja-asetuksen johdanto-osan 74 perustelukappaleen valossa, näet ilmenee, että kun yksikkö täyttää kyseisen 4 artiklan 7 alakohdassa asetetun edellytyksen, se on vastuussa paitsi mistä tahansa itse suorittamastaan henkilötietojen käsittelystä myös sen lukuun suoritetusta henkilötietojen käsittelystä.

Tältä osin on kuitenkin täsmennettävä, ettei NVSC:n voida katsoa olevan vastuussa kyseessä olevan mobiilisovelluksen yleisön saataville asettamisesta johtuvasta henkilötietojen käsittelystä, jos se on ennen yleisön saataville asettamista nimenomaisesti vastustanut sitä, mikä seikka ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä. Tällaisessa tilanteessa ei näet voida katsoa, että kyseessä oleva käsittely on suoritettu NVSC:n lukuun.

Edellä esitetyn perusteella ensimmäiseen, toiseen ja kolmanteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa on tulkittava siten, että kyseisessä säännöksessä tarkoitettuna rekisterinpitäjänä voidaan pitää yksikköä, joka on antanut yrityksen tehtäväksi kehittää tietoteknisen mobiilisovelluksen ja joka on tässä yhteydessä osallistunut kyseisellä sovelluksella toteutetun henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen, vaikka tämä yksikkö ei ole itse suorittanut henkilötietojen käsittelytoimia, antanut nimenomaisesti lupaansa konkreettisten henkilötietojen käsittelytoimien toteuttamiseen tai kyseisen mobiilisovelluksen yleisön saataville asettamiseen eikä hankkinut mainittua mobiilisovellusta, jollei tämä yksikkö ole ennen yleisön saataville asettamista nimenomaisesti vastustanut sitä ja siitä johtuvaa henkilötietojen käsittelyä.

Viides kysymys

Viidennellä kysymyksellään, joka on tutkittava toiseksi, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa tulkittava siten, että kahden yksikön luonnehtiminen yhteisrekisterinpitäjiksi edellyttää näiden yksiköiden välistä järjestelyä, jossa määritetään kyseessä olevan henkilötietojen käsittelyn tarkoitukset ja keinot, tai järjestelyä, jossa vahvistetaan yhteisrekisterin pitämiseen sovellettavat ehdot.

40	Yleisen tietosuoja-asetuksen 26 artiklan 1 kohdassa säädetään, että jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä.

Kuten unionin tuomioistuin on todennut, jotta luonnollisen henkilön tai oikeushenkilön voidaan katsoa olevan yhteisrekisterinpitäjä, sen on siis täytettävä itsenäisesti yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa esitetty rekisterinpitäjän määritelmä (ks. vastaavasti tuomio 29.7.2019, Fashion ID,C‑40/17, EU:C:2019:629, 74 kohta).

Yhteisvastuu ei kuitenkaan välttämättä merkitse henkilötietojen käsittelyyn osallistuvien eri toimijoiden samantasoista vastuuta. Kyseiset toimijat voivat päinvastoin osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, joten kunkin niistä vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset seikat (tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, 43 kohta). Se, että useampi toimija on yhteisvastuussa samasta käsittelystä, ei myöskään edellytä sitä, että kaikilla niistä on pääsy kyseisiin henkilötietoihin (tuomio 10.7.2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, 69 kohta oikeuskäytäntöviittauksineen).

Kuten julkisasiamies on ratkaisuehdotuksensa 38 kohdassa huomauttanut, osallistuminen käsittelyn tarkoitusten ja keinojen määrittämiseen voi tapahtua eri muodoissa, koska osallistuminen voi olla seurausta sekä kahden tai useamman yksikön tekemästä yhteisestä päätöksestä että tällaisten yksiköiden yhdenmukaisista päätöksistä. Jälkimmäisessä tapauksessa mainittujen päätösten on kuitenkin täydennettävä toisiaan siten, että kukin niistä vaikuttaa konkreettisesti käsittelyn tarkoitusten ja keinojen määrittämiseen.

44	Ei sitä vastoin voida edellyttää, että näiden rekisterinpitäjien välillä on muodollinen järjestely, joka liittyy käsittelyn tarkoituksiin ja keinoihin.

Yleisen tietosuoja-asetuksen 26 artiklan 1 kohdan, kun sitä luetaan asetuksen johdanto-osan 79 perustelukappaleen valossa, mukaan tosin yhteisrekisterinpitäjien on määriteltävä keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueet kyseisessä asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Tällaisen järjestelyn olemassaolo ei kuitenkaan ole ennakkoedellytys sille, että kaksi tai useampi yksikkö luonnehditaan yhteisrekisterinpitäjiksi, vaan se on velvollisuus, joka kyseisessä 26 artiklan 1 kohdassa asetetaan yhteisrekisterinpitäjille sen jälkeen, kun ne on sellaisiksi luonnehdittu, niitä sitovien yleisen tietosuoja-asetuksen velvoitteiden noudattamisen varmistamiseksi. Tämä luonnehdinta perustuu siis pelkästään siihen, että useat yksiköt ovat osallistuneet käsittelyn tarkoitusten ja keinojen määrittämiseen.

Edellä esitetyn perusteella viidenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa on tulkittava siten, että kahden yksikön luonnehtiminen yhteisrekisterinpitäjiksi ei edellytä näiden yksiköiden välistä järjestelyä, jossa määritetään kyseessä olevan henkilötietojen käsittelyn tarkoitukset ja keinot, eikä järjestelyä, jossa vahvistetaan yhteisrekisterin pitämiseen sovellettavat ehdot.

Neljäs kysymys

47	Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee neljännellä kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 4 artiklan 2 alakohtaa tulkittava siten, että kyseisessä säännöksessä tarkoitettua käsittelyä on henkilötietojen käyttö mobiilisovelluksen tietoteknisiin testauksiin.

Kuten tämän tuomion 25 kohdasta ilmenee, nyt käsiteltävässä asiassa liettualaisen yhtiön, joka hallinnoi sellaisten tartuntatautien seurantaa ja hallintaa koskevaa tietoteknistä järjestelmää, jotka ovat vaarassa levitä, oli tarkoitus saada jäljennökset kyseessä olevalla mobiilisovelluksella kerätyistä henkilötiedoista. Tietoteknisissä testauksissa on käytetty tietoja, jotka olivat mainitun yhtiön työtekijöiden puhelinnumeroita lukuun ottamatta fiktiivisiä.

Tältä osin on ensinnäkin todettava, että yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa määritellään käsittelyn käsite siten, että sillä tarkoitetaan ”[jokaista] toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti”. Tässä säännöksessä mainitaan luettelossa, joka ei ole tyhjentävä ja joka alkaa ilmaisulla ”kuten”, esimerkkeinä käsittelystä henkilötietojen kerääminen, saataville asettaminen ja käyttö.

Kyseisen säännöksen sanamuodosta ja erityisesti ilmaisusta jokaista toimintoa siis ilmenee, että unionin lainsäätäjän tarkoituksena on ollut antaa käsittelyn käsitteelle laaja ulottuvuus (ks. vastaavasti tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 35 kohta) ja ettei niitä syitä, joiden vuoksi jokin toiminto tai toiminnot suoritetaan, voida ottaa huomioon määritettäessä sitä, merkitseekö kyseinen toiminto tai kyseiset toiminnot yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyä.

51	Kysymyksellä siitä, käytetäänkö henkilötietoja tietoteknisiin testauksiin tai muuhun tarkoitukseen, ei siis ole vaikutusta kyseessä olevan toiminnon luonnehtimiseksi yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitetuksi käsittelyksi.

52	Toiseksi on kuitenkin täsmennettävä, että pelkästään henkilötietoihin kohdistuva käsittely on yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyä.

Yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa täsmennetään tältä osin, että henkilötiedoilla tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön” eli ”luonnollis[een] henkilö[ön], joka voidaan suoraan tai välillisesti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”, liittyviä tietoja.

Se seikka, johon ennakkoratkaisua pyytänyt tuomioistuin viittaa neljännessä kysymyksessään ja jonka mukaan kyse on ”henkilötietojen jäljennöksistä”, ei sellaisenaan voi estää luonnehtimasta näitä jäljennöksiä yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitetuiksi henkilötiedoiksi, kunhan tällaiset jäljennökset sisältävät tosiasiallisesti tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.

55	On kuitenkin todettava, että siltä osin kuin fiktiiviset tiedot eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön vaan henkilöön, jota ei todellisuudessa ole olemassa, ne eivät ole yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.

56	Näin on myös siltä osin kuin on kyse tietoteknisiin testauksiin käytetyistä tiedoista, jotka ovat anonyymejä tai jotka on anonymisoitu.

Yleisen tietosuoja-asetuksen johdanto-osan 26 perustelukappaleesta ja kyseisen asetuksen 4 artiklan 1 alakohdassa esitetystä henkilötietojen käsitteen määritelmästäkin näet ilmenee, että kyseisen käsitteen piiriin eivät kuulu ”anonyym[it] tie[dot] eli tie[dot], jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön”, eivätkä ”henkilötie[dot], joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista”.

Yleisen tietosuoja-asetuksen 4 artiklan 5 alakohdasta, luettuna yhdessä kyseisen asetuksen johdanto-osan 26 perustelukappaleen kanssa, ilmenee sitä vastoin, että pelkästään pseydonymisoidut henkilötiedot, jotka voitaisiin yhdistää tiettyyn luonnolliseen henkilöön lisätietoja käyttämällä, on katsottava tunnistettavissa olevaa luonnollista henkilöä koskeviksi tiedoiksi, joihin sovelletaan tietosuojaperiaatteita.

Edellä esitetyistä syistä neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 4 artiklan 2 alakohtaa on tulkittava siten, että kyseisessä säännöksessä tarkoitettua käsittelyä on henkilötietojen käyttö mobiilisovelluksen tietoteknisiin testauksiin, jollei näiden tietojen tunnistettavuutta ole poistettu siten, että henkilön, jota nämä tiedot koskevat, tunnistaminen ei ole tai ei ole enää mahdollista, tai jollei kyse ole fiktiivisistä tiedoista, jotka eivät liity olemassa olevaan luonnolliseen henkilöön.

Kuudes kysymys

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kuudennella kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 83 artiklaa tulkittava siten, että yhtäältä kyseisen säännöksen nojalla voidaan määrätä hallinnollinen seuraamusmaksu yksinomaan, jos osoitetaan, että rekisterinpitäjä on syyllistynyt tahallaan tai tuottamuksellisesti kyseisen artiklan 4–6 kohdassa tarkoitettuun rikkomiseen, ja toisaalta tällainen seuraamusmaksu voidaan määrätä rekisterinpitäjälle henkilötietojen käsittelijän sen lukuun suorittamien käsittelytoimien osalta.

Ensimmäiseksi on todettava siitä, voidaanko hallinnollinen seuraamusmaksu määrätä yleisen tietosuoja-asetuksen 83 artiklan nojalla pelkästään siltä osin kuin on osoitettu, että rekisterinpitäjä tai henkilötietojen käsittelijä on syyllistynyt tahallaan tai tuottamuksellisesti 83 artiklan 4–6 kohdassa tarkoitettuun rikkomiseen, että kyseisen artiklan 1 kohdasta ilmenee, että seuraamusmaksujen on oltava tehokkaita, oikeasuhteisia ja varoittavia. Yleisen tietosuoja-asetuksen 83 artiklassa ei sitä vastoin täsmennetä nimenomaisesti, että tällaisesta rikkomisesta voidaan määrätä seuraamukseksi hallinnollinen seuraamusmaksu ainoastaan, jos rikkominen on ollut tahallista tai ainakin tuottamuksellista.

Liettuan hallitus ja Euroopan unionin neuvosto päättelevät tästä, että unionin lainsäätäjän tarkoituksena on ollut antaa jäsenvaltioille tiettyä harkintavaltaa yleisen tietosuoja-asetuksen 83 artiklan täytäntöönpanossa siten, että niillä on mahdollisuus säätää hallinnollisten seuraamusmaksujen määräämisestä kyseisen säännöksen nojalla tarvittaessa ilman, että osoitetaan, että yleisen tietosuoja-asetuksen rikkominen, josta tämä seuraamusmaksu määrätään, on ollut tahallista tai tuottamuksellista.

63	Tällaista tulkintaa yleisen tietosuoja-asetuksen 83 artiklasta ei voida hyväksyä.

Tältä osin on huomautettava, että SEUT 288 artiklan nojalla asetusten säännöksillä on yleensä välitön oikeusvaikutus kansallisissa oikeusjärjestyksissä ilman, että kansallisten viranomaisten tarvitsisi ryhtyä täytäntöönpanotoimiin. Asetusten tiettyjen säännösten täytäntöönpano voi kuitenkin edellyttää täytäntöönpanotoimien toteuttamista jäsenvaltioissa (ks. vastaavasti tuomio 28.4.2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, 58 kohta oikeuskäytäntöviittauksineen).

Tästä on kyse etenkin yleisen tietosuoja-asetuksen osalta, jonka tietyissä säännöksissä annetaan jäsenvaltioille mahdollisuus säätää tiukemmista tai poikkeavista kansallisista täydentävistä säännöistä, jotka jättävät niille harkintavaltaa sen suhteen, miten nämä säännökset voidaan panna täytäntöön (tuomio 28.4.2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, 57 kohta).

Koska yleisessä tietosuoja-asetuksessa ei ole erityisiä menettelysääntöjä, kunkin jäsenvaltion asiana on myös vahvistaa oikeusjärjestyksessään sellaisia oikeussuojakeinoja koskevat yksityiskohtaiset säännöt, joilla pyritään turvaamaan kyseisen asetuksen säännöksiin perustuvat yksityisten oikeudet, kunhan tehokkuus- ja vastaavuusperiaatetta noudatetaan (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 53 ja 54 kohta oikeuskäytäntöviittauksineen).

Yleisen tietosuoja-asetuksen 83 artiklan 1–6 kohdan sanamuodon perusteella ei kuitenkaan ole mahdollista katsoa, että unionin lainsäätäjän tarkoituksena on ollut jättää jäsenvaltioille harkintavaltaa niiden aineellisten edellytysten osalta, joita valvontaviranomaisen on noudatettava, kun se päättää määrätä rekisterinpitäjälle hallinnollisen seuraamusmaksun kyseisen artiklan 4–6 kohdassa tarkoitetusta rikkomisesta.

Tosin yhtäältä yleisen tietosuoja-asetuksen 83 artiklan 7 kohdassa säädetään, että kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille kyseisessä jäsenvaltiossa määrätä hallinnollisia seuraamusmaksuja ja missä määrin. Toisaalta kyseisen asetuksen 83 artiklan 8 kohdasta, luettuna asetuksen johdanto-osan 129 perustelukappaleen valossa, ilmenee, että valvontaviranomaisen kyseisen artiklan mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

Se, että mainitussa asetuksessa annetaan näin jäsenvaltioille mahdollisuus säätää poikkeuksista suhteessa viranomaisiin ja julkishallinnon elimiin kyseisissä jäsenvaltioissa ja vaatimuksista, jotka koskevat sitä menettelyä, jota valvontaviranomaisten on noudatettava hallinnollista seuraamusmaksua määrätessään, ei merkitse kuitenkaan millään tavalla sitä, että jäsenvaltioilla olisi myös toimivalta säätää tällaisten poikkeusten ja luonteeltaan menettelyllisten vaatimusten lisäksi aineellisista edellytyksistä, joita on noudatettava, jotta rekisterinpitäjän voidaan katsoa olevan vastuussa ja tälle voidaan määrätä hallinnollinen seuraamusmaksu mainitun 83 artiklan nojalla. Lisäksi se, että unionin lainsäätäjä on katsonut tarpeelliseksi säätää nimenomaisesti tästä mahdollisuudesta muttei mahdollisuudesta säätää tällaisista aineellisista edellytyksistä, vahvistaa, ettei se ole jättänyt jäsenvaltioille tältä osin harkintavaltaa.

Kun yleisen tietosuoja-asetuksen 83 ja 84 artiklaa luetaan yhdessä, saadaan lisätukea tälle toteamukselle. Kyseisen asetuksen 84 artiklan 1 kohdassa näet katsotaan, että jäsenvaltioilla on edelleen toimivalta säätää ”muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja”. Kun näitä säännöksiä luetaan näin yhdessä, tästä siis seuraa, ettei sellaisten aineellisten edellytysten määrittäminen, joiden nojalla tällaisia hallinnollisia seuraamusmaksuja voidaan määrätä, kuulu tämän toimivallan piiriin. Nämä edellytykset kuuluvat siis yksinomaan unionin oikeuden alaan.

Mainituista edellytyksistä on huomautettava, että yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellaan seikat, joiden valossa valvontaviranomainen määrää rekisterinpitäjälle hallinnollisen seuraamusmaksun. Näihin seikkoihin kuuluu 83 artiklan 2 kohdan b alakohdassa mainittu ”rikkomuksen tahallisuus tai tuottamuksellisuus”. Yhdessäkään kyseisessä säännöksessä luetelluista seikoista ei sitä vastoin viitata mihinkään mahdollisuuteen katsoa, että rekisterinpitäjä on vastuussa, vaikka se ei ole menetellyt tuottamuksellisesti.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohtaa on lisäksi luettava yhdessä kyseisen artiklan 3 kohdan kanssa, jonka tarkoituksena on säätää seurauksista niissä tapauksissa, joissa on kyse useista yleisen tietosuoja-asetuksen samanaikaisista rikkomisista, ja jonka mukaan on niin, että ”jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua”.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan sanamuodosta siis ilmenee, että pelkästään kyseisen asetuksen säännösten sellaiset rikkomiset, joihin rekisterinpitäjä syyllistyy tuottamuksellisesti, eli tahallaan tai huolimattomuudesta tehdyt rikkomiset, voivat johtaa hallinnollisen seuraamusmaksun määräämiseen rekisterinpitäjälle kyseisen artiklan nojalla.

74	Tätä tulkintaa tukevat yleisen tietosuoja-asetuksen yleinen rakenne ja tavoite.

75	Yhtäältä unionin lainsäätäjä on säätänyt seuraamusjärjestelmästä, jonka nojalla valvontaviranomaiset voivat määrätä asianmukaisimmat seuraamukset kuhunkin tapaukseen liittyvien olosuhteiden perusteella.

Yleisen tietosuoja-asetuksen 58 artiklan, jossa esitetään valvontaviranomaisten valtuudet, 2 kohdan i alakohdassa näet säädetään, että valvontaviranomaiset voivat määrätä hallinnollisia seuraamusmaksuja kyseisen asetuksen 83 artiklan nojalla 58 artiklan 2 kohdassa lueteltujen varoitusten, huomautusten tai määräysten kaltaisten muiden korjaavien toimenpiteiden ”lisäksi tai niiden asemasta”. Samoin yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa todetaan muun muassa, että jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, valvontaviranomaiset voivat jättää hallinnollisen seuraamusmaksun määräämättä ja antaa sen sijasta huomautuksen.

Toisaalta erityisesti yleisen tietosuoja-asetuksen johdanto-osan kymmenennestä perustelukappaleesta ilmenee, että kyseisen asetuksen säännösten tavoitteena on muun muassa varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä unionissa ja tätä varten varmistaa näiden henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa. Yleisen tietosuoja-asetuksen johdanto-osan 11 ja 129 perustelukappaleessa korostetaan lisäksi tarvetta huolehtia asetuksen johdonmukaisen soveltamisen varmistamiseksi siitä, että valvontaviranomaisilla on samantasoiset valtuudet valvoa ja seurata henkilötietojen suojaa koskevien sääntöjen noudattamista ja että ne voivat määrätä samantasoisia seuraamuksia mainitun asetuksen rikkomisista.

Se, että on olemassa seuraamusjärjestelmä, jonka avulla voidaan määrätä silloin, kun kuhunkin yksittäistapaukseen liittyvät erityiset olosuhteet sen oikeuttavat, hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan nojalla, merkitsee rekisterinpitäjille ja henkilötietojen käsittelijöille kannustinta noudattaa kyseistä asetusta. Kun hallinnolliset seuraamusmaksut ovat varoittavia, niillä vahvistetaan osaltaan luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä ja ne muodostavat näin ollen keskeisen tekijän, jolla taataan luonnollisten henkilöiden oikeuksien noudattaminen, sen kyseisen asetuksen tarkoituksen mukaisesti, jona on varmistaa luonnollisten henkilöiden korkeatasoinen suojelu henkilötietojen käsittelyssä.

Unionin lainsäätäjä ei ole kuitenkaan katsonut tarpeelliseksi säätää tällaisen korkeatasoisen suojelun varmistamiseksi hallinnollisten seuraamusmaksujen määräämisestä, jos menettely ei ole tuottamuksellista. Kun otetaan huomioon se, että yleisellä tietosuoja-asetuksella pyritään sekä samanarvoiseen että yhtenäiseen suojelun tasoon ja että sitä on tässä tarkoituksessa sovellettava johdonmukaisesti kaikkialla unionissa, olisi tämän tavoitteen vastaista antaa jäsenvaltioille mahdollisuus säätää tällaisesta järjestelmästä seuraamusmaksun määräämiseksi yleisen tietosuoja-asetuksen 83 artiklan nojalla. Tällaisella valinnanvapaudella voitaisiin lisäksi vääristää taloudellisten toimijoiden välistä kilpailua unionissa, mikä olisi ristiriidassa unionin lainsäätäjän etenkin mainitun asetuksen johdanto-osan 9 ja 13 perustelukappaleessa ilmaisemien tavoitteiden kanssa.

On siis todettava, että yleisen tietosuoja-asetuksen 83 artiklan mukaan ei ole mahdollista määrätä hallinnollista seuraamusmaksua sen 4–6 kohdassa tarkoitetusta rikkomisesta, jollei osoiteta, että rekisterinpitäjä on syyllistynyt kyseiseen rikkomiseen tahallaan tai huolimattomuuttaan, joten rikkomisen tuottamuksellisuus on siis tällaisen seuraamusmaksun määräämisen edellytys.

Tältä osin on vielä täsmennettävä siitä, onko rikkominen ollut tahallista tai tuottamuksellista ja voidaanko siitä tästä syystä määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan nojalla, että rekisterinpitäjälle voidaan määrätä seuraamus yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta menettelystä, jos rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista, riippumatta siitä, oliko se tietoinen siitä, että se rikkoi yleisen tietosuoja-asetuksen säännöksiä (ks. analogisesti tuomio 18.6.2013, Schenker & Co. ym., C‑681/11, EU:C:2013:404, 37 kohta oikeuskäytäntöviittauksineen; tuomio 25.3.2021, Lundbeck v. komissio,C‑591/16 P, EU:C:2021:243, 156 kohta ja tuomio 25.3.2021, Arrow Group ja Arrow Generics v. komissio, C‑601/16 P, EU:C:2021:244, 97 kohta).

Kun rekisterinpitäjä on oikeushenkilö, on vielä täsmennettävä, ettei yleisen tietosuoja-asetuksen 83 artiklan soveltaminen edellytä kyseisen oikeushenkilön johtoelimen toimintaa tai edes tietoisuutta (ks. analogisesti tuomio 7.6.1983, Musique Diffusion française ym. v. komissio,100/80–103/80, EU:C:1983:158, 97 kohta ja tuomio 16.2.2017, Tudapetrol Mineralölerzeugnisse Nils Hansen v. komissio,C‑94/15 P, EU:C:2017:124, 28 kohta oikeuskäytäntöviittauksineen).

Toiseksi on huomautettava siitä, voidaanko hallinnollinen seuraamusmaksu määrätä rekisterinpitäjälle yleisen tietosuoja-asetuksen 83 artiklan nojalla henkilötietojen käsittelijän suorittamien käsittelytoimien osalta, että yleisen tietosuoja-asetuksen 4 artiklan 8 alakohtaan sisältyvän määritelmän mukaan henkilötietojen käsittelijällä tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun”.

Kuten tämän tuomion 36 kohdassa on todettu, koska rekisterinpitäjä on vastuussa paitsi mistä tahansa itse suorittamastaan henkilötietojen käsittelystä myös sen lukuun suoritetusta henkilötietojen käsittelystä, rekisterinpitäjälle voidaan määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan nojalla tilanteessa, jossa henkilötietoja käsitellään laittomasti ja jossa henkilötietoja ei ole käsitellyt rekisterinpitäjä vaan rekisterinpitäjän käyttämä henkilötietojen käsittelijä rekisterinpitäjän lukuun.

Rekisterinpitäjän vastuu henkilötietojen käsittelijän menettelystä ei kuitenkaan voi ulottua tilanteisiin, joissa henkilötietojen käsittelijä on käsitellyt henkilötietoja omia tarkoituksiaan varten tai joissa henkilötietojen käsittelijä on käsitellyt henkilötietoja vastoin rekisterinpitäjän määrittämiä ohjeita tai käsittelytapoja taikka sellaisella tavalla, ettei voida kohtuudella katsoa, että rekisterinpitäjä on antanut siihen suostumuksensa. Yleisen tietosuoja-asetuksen 28 artiklan 10 kohdan mukaan näet henkilötietojen käsittelijää on tällaisessa tilanteessa pidettävä tämän käsittelyn rekisterinpitäjänä.

Edellä esitetyn perusteella kuudenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 83 artiklaa on tulkittava siten, että yhtäältä kyseisen säännöksen nojalla voidaan määrätä hallinnollinen seuraamusmaksu yksinomaan, jos osoitetaan, että rekisterinpitäjä on syyllistynyt tahallaan tai tuottamuksellisesti kyseisen artiklan 4–6 kohdassa tarkoitettuun rikkomiseen, ja toisaalta tällainen seuraamusmaksu voidaan määrätä rekisterinpitäjälle henkilötietojen käsittelijän sen lukuun suorittamien henkilötietojen käsittelytoimien osalta, paitsi jos näiden toimien yhteydessä henkilötietojen käsittelijä on käsitellyt henkilötietoja omia tarkoituksiaan varten tai se on käsitellyt henkilötietoja vastoin rekisterinpitäjän määrittämiä ohjeita tai käsittelytapoja taikka sellaisella tavalla, ettei voida kohtuudella katsoa, että rekisterinpitäjä on antanut siihen suostumuksensa.

Oikeudenkäyntikulut

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 7 alakohtaa

on tulkittava siten, että

kyseisessä säännöksessä tarkoitettuna rekisterinpitäjänä voidaan pitää yksikköä, joka on antanut yrityksen tehtäväksi kehittää tietoteknisen mobiilisovelluksen ja joka on tässä yhteydessä osallistunut kyseisellä sovelluksella toteutetun henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen, vaikka tämä yksikkö ei ole itse suorittanut henkilötietojen käsittelytoimia, antanut nimenomaisesti lupaansa konkreettisten henkilötietojen käsittelytoimien toteuttamiseen tai kyseisen mobiilisovelluksen yleisön saataville asettamiseen eikä hankkinut mainittua mobiilisovellusta, jollei tämä yksikkö ole ennen yleisön saataville asettamista nimenomaisesti vastustanut sitä ja siitä johtuvaa henkilötietojen käsittelyä.

Asetuksen 2016/679 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa

on tulkittava siten, että

kahden yksikön luonnehtiminen yhteisrekisterinpitäjiksi ei edellytä näiden yksiköiden välistä järjestelyä, jossa määritetään kyseessä olevan henkilötietojen käsittelyn tarkoitukset ja keinot, eikä järjestelyä, jossa vahvistetaan yhteisrekisterin pitämiseen sovellettavat ehdot.

Asetuksen 2016/679 4 artiklan 2 alakohtaa

on tulkittava siten, että

kyseisessä säännöksessä tarkoitettua käsittelyä on henkilötietojen käyttö mobiilisovelluksen tietoteknisiin testauksiin, jollei näiden tietojen tunnistettavuutta ole poistettu siten, että henkilön, jota nämä tiedot koskevat, tunnistaminen ei ole tai ei ole enää mahdollista, tai jollei kyse ole fiktiivisistä tiedoista, jotka eivät liity olemassa olevaan luonnolliseen henkilöön.

Asetuksen 2016/679 83 artiklaa

on tulkittava siten, että

yhtäältä kyseisen säännöksen nojalla voidaan määrätä hallinnollinen seuraamusmaksu yksinomaan, jos osoitetaan, että rekisterinpitäjä on syyllistynyt tahallaan tai tuottamuksellisesti kyseisen artiklan 4–6 kohdassa tarkoitettuun rikkomiseen, ja

toisaalta tällainen seuraamusmaksu voidaan määrätä rekisterinpitäjälle henkilötietojen käsittelijän sen lukuun suorittamien henkilötietojen käsittelytoimien osalta, paitsi jos näiden toimien yhteydessä henkilötietojen käsittelijä on käsitellyt henkilötietoja omia tarkoituksiaan varten tai se on käsitellyt henkilötietoja vastoin rekisterinpitäjän määrittämiä ohjeita tai käsittelytapoja taikka sellaisella tavalla, ettei voida kohtuudella katsoa, että rekisterinpitäjä on antanut siihen suostumuksensa.

Allekirjoitukset

( *1 ) Oikeudenkäyntikieli: liettua.