Asia C-683/21

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

vastaan

Valstybinė duomenų apsaugos inspekcija

(Vilniaus apygardos administracinis teismasin
esittämä ennakkoratkaisupyyntö)

Unionin tuomioistuimen tuomio (suuri jaosto) 5.12.2023

Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) N:o 2016/679 – 4 artiklan 2 ja 7 alakohta – Käsittelyn ja rekisterinpitäjän käsitteet – Tietoteknisen mobiilisovelluksen kehittäminen – 26 artikla – Yhteisrekisterin pitäminen – 83 artikla – Hallinnollisten seuraamusmaksujen määrääminen – Edellytykset – Rikkomisen tahallisuutta tai tuottamuksellisuutta koskeva vaatimus – Rekisterinpitäjän vastuu henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä

1. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Rekisterinpitäjän käsite – Yksikkö, joka on antanut yrityksen tehtäväksi kehittää tietoteknisen mobiilisovelluksen mutta joka ei ole suorittanut käsittelytoimia, antanut nimenomaista lupaansa niiden toteuttamiseen tai kyseisen sovelluksen yleisön saataville asettamiseen eikä hankkinut sovellusta – Kuuluminen käsitteen alaan – Edellytys – Tosiasiallinen osallistuminen käsittelyn tarkoitusten ja keinojen määrittämiseen – Poikkeus

   (Euroopan parlamentin ja neuvoston asetuksen 2016/679 johdanto-osan 74 perustelukappale ja 4 artiklan 7 alakohta)

   (ks. 30–38 kohta ja tuomiolauselman 1 kohta)

2. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Yhteisrekisterin pitäminen – Edellytys – Käsittelyn tarkoitusten ja keinojen määrittäminen yhdessä – Vaatimusta yhteisrekisterinpitäjien välisestä järjestelystä, joka koskee käsittelyn tarkoitusten ja keinojen määrittämistä tai yhteisrekisterin pitämiseen sovellettavia ehtoja, ei ole

   (Euroopan parlamentin ja neuvoston asetuksen 2016/679 johdanto-osan 79 perustelukappale, 4 artiklan 7 alakohta ja 26 artiklan 1 kohta)

   (ks. 41–46 kohta ja tuomiolauselman 2 kohta)

3. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Käsittelyn käsite – Henkilötietojen käyttö tietoteknisen mobiilisovelluksen tietoteknisiin testauksiin – Kuuluminen käsitteen alaan – Edellytys – Henkilötietojen käsittely – Anonyymien tai fiktiivisten tietojen käsittely – Käsitteen ulkopuolelle jääminen – Sellaisten tietojen käsittely, jotka on pseydonymisoitu ja jotka voidaan yhdistää tiettyyn luonnolliseen henkilöön lisätietoja käyttämällä – Kuuluminen käsitteen alaan

   (Euroopan parlamentin ja neuvoston asetuksen 2016/679 johdanto-osan 26 perustelukappale, 4 artiklan 1, 2 ja 5 alakohta)

   (ks. 50–59 kohta ja tuomiolauselman 3 kohta)

4. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Hallinnollisten seuraamusmaksujen määrääminen – Edellytykset – Jäsenvaltioilta puuttuva liikkumavara säätää aineellisista edellytyksistä, jotka koskevat hallinnollisen seuraamusmaksun määräämistä rekisterinpitäjälle – Vaatimus siitä, että rekisterinpitäjä on syyllistynyt rikkomiseen tahallisesti tai tuottamuksellisesti

   (SEUT 288 artikla; Euroopan parlamentin ja neuvoston asetuksen 2016/679 johdanto-osan 10, 129 ja 148 perustelukappale sekä 58, 83 ja 84 artikla)

   (ks. 64–82 ja 86 kohta sekä tuomiolauselman 4 kohta)

5. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus 2016/679 – Hallinnollisten seuraamusmaksujen määrääminen – Mahdollisuus määrätä tällainen seuraamusmaksu rekisterinpitäjälle henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä – Poikkeukset

   (Euroopan parlamentin ja neuvoston asetuksen 2016/679 4 artiklan 8 alakohta, 28 artiklan 10 kohta ja 83 artikla)

   (ks. 83–86 kohta ja tuomiolauselman 4 kohta)

Tiivistelmä

Vuonna 2020 Liettuan viranomaiset päättivät järjestää tietoteknisen mobiilisovelluksen hankinnan voidakseen hallinnoida paremmin covid-19-pandemiaa. Sovelluksella oli tarkoitus parantaa epidemiologista seurantaa mahdollistamalla covid-19-virukselle altistuneiden henkilöiden tietojen tallentaminen ja seuraaminen.

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (terveysministeriön alainen kansanterveyslaitos, Liettua; jäljempänä NVSC), jonka tehtäväksi tämä hankinta oli annettu, otti tässä tarkoituksessa yhteyttä UAB ”IT sprendimai sėkmei” –nimiseen yhtiöön (jäljempänä ITSS-yhtiö) ja pyysi tätä luomaan tällaisen mobiilisovelluksen. NVSC:n työntekijät lähettivät tämän jälkeen ITSS-yhtiölle sähköpostiviestejä etenkin niistä kysymyksistä, joiden oli tarkoitus sisältyä kyseiseen sovellukseen.

ITSS-yhtiön luoma mobiilisovellus asetettiin yleisön saataville vuoden 2020 huhti- ja toukokuun välisenä aikana. Sovellusta käytti tämän jälkeen 3802 henkilöä, jotka antoivat sovelluksessa pyydetyt heitä koskevat eri tiedot. Rahoituksen puuttuessa NVSC ei kuitenkaan tehnyt ITSS-yhtiön kanssa mitään julkista hankintasopimusta ITSS-yhtiön mobiilisovelluksen virallisesta hankkimisesta, ja se päätti sitä koskevan menettelyn.

Tällä välin kansallinen valvontaviranomainen oli aloittanut tutkinnan kyseisen sovelluksen käytöstä seuraavasta henkilötietojen käsittelystä. Valvontaviranomaisen tutkinnan päätteeksi tekemällä päätöksellä sekä NVSC:lle että ITSS-yhtiölle, jonka katsottiin olevan yhteisrekisterinpitäjä, määrättiin hallinnolliset seuraamusmaksut.

NVSC riitautti tämän päätöksen Vilniaus apygardos administracinis teismasissa (Vilnan alueellinen hallintotuomioistuin, Liettua). Koska kyseisellä tuomioistuimella on epäilyjä useiden yleisen tietosuoja-asetuksen ( 1 ) säännösten tulkinnasta, se esitti unionin tuomioistuimelle ennakkoratkaisupyynnön.

Unionin tuomioistuin esittää suuressa jaostossa antamassaan tuomiossa tarkennuksia rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyn käsitteisiin ( 2 ) ja ottaa kantaa mahdollisuuteen määrätä rekisterinpitäjälle hallinnollinen seuraamusmaksu ( 3 ) silloin, kun yleisen tietosuoja-asetuksen säännösten rikkominen, josta seuraamus on määrätty, ei ole ollut tahallista tai tuottamuksellista.

Unionin tuomioistuimen arviointi asiasta

Ensinnäkin unionin tuomioistuin huomauttaa, että rekisterinpitäjänä ( 4 ) voidaan pitää yksikköä, joka on antanut yrityksen tehtäväksi kehittää tietoteknisen mobiilisovelluksen ja joka on tässä yhteydessä osallistunut kyseisellä sovelluksella toteutetun henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen. Tätä seikkaa ei voida kyseenalaistaa sillä, että kyseinen yksikkö ei ole itse suorittanut henkilötietojen käsittelytoimia, antanut nimenomaisesti lupaansa konkreettisten henkilötietojen käsittelytoimien toteuttamiseen tai kyseisen mobiilisovelluksen yleisön saataville asettamiseen eikä hankkinut mainittua mobiilisovellusta, jollei tämä yksikkö ole ennen yleisön saataville asettamista nimenomaisesti vastustanut sitä ja siitä johtuvaa henkilötietojen käsittelyä.

Toiseksi unionin tuomioistuin lausuu, että kahden yksikön luonnehtiminen yhteisrekisterinpitäjiksi ei edellytä näiden yksiköiden välistä järjestelyä, jossa määritetään henkilötietojen käsittelyn tarkoitukset ja keinot, eikä järjestelyä, jossa vahvistetaan yhteisrekisterin pitämiseen sovellettavat ehdot. Yhteisrekisterinpitäjien on tosin yleisen tietosuoja-asetuksen nojalla ( 5 ) määriteltävä keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueet kyseisessä asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Tällaisen järjestelyn olemassaolo ei kuitenkaan ole ennakkoedellytys sille, että kaksi tai useampi yksikkö luonnehditaan yhteisrekisterinpitäjiksi, vaan se on velvollisuus, joka yleisessä tietosuoja-asetuksessa asetetaan yhteisrekisterinpitäjille sen jälkeen, kun ne on sellaisiksi luonnehdittu, niitä sitovien kyseisen asetuksen velvoitteiden noudattamisen varmistamiseksi. Tämä luonnehdinta perustuu siis pelkästään siihen, että useat yksiköt ovat osallistuneet käsittelyn tarkoitusten ja keinojen määrittämiseen.

Unionin tuomioistuin täsmentää siitä, että asianomaiset yksiköt määrittävät yhdessä käsittelyn tarkoitukset ja keinot, että näiden yksikköjen osallistuminen tähän määrittämiseen voi tapahtua eri muodoissa ja perustua sekä niiden yhteiseen päätökseen että niiden yhdenmukaisiin päätöksiin. Jälkimmäisessä tapauksessa näiden päätösten on kuitenkin täydennettävä toisiaan siten, että kukin niistä vaikuttaa konkreettisesti käsittelyn tarkoitusten ja keinojen määrittämiseen.

Kolmanneksi unionin tuomioistuin toteaa, että henkilötietojen käyttö mobiilisovelluksen tietoteknisiin testauksiin on käsittelyä. ( 6 ) Asia on kuitenkin toisin, jos henkilötietojen tunnistettavuus on poistettu siten, että henkilön, jota nämä tiedot koskevat, tunnistaminen ei ole tai ei ole enää mahdollista, tai jos kyse on fiktiivisistä tiedoista, jotka eivät liity olemassa olevaan luonnolliseen henkilöön.

Yhtäältä näet kysymyksellä siitä, käytetäänkö henkilötietoja tietoteknisiin testauksiin tai muuhun tarkoitukseen, ei ole vaikutusta toiminnon luonnehtimiseksi käsittelyksi. Toisaalta pelkästään henkilötietoihin kohdistuva käsittely voidaan luonnehtia yleisen tietosuoja-asetuksessa tarkoitetuksi käsittelyksi. Fiktiiviset tai anonyymit tiedot eivät kuitenkaan ole henkilötietoja.

Neljänneksi ja viimeiseksi unionin tuomioistuin toteaa, että rekisterinpitäjälle voidaan määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan nojalla yksinomaan, jos osoitetaan, että se on syyllistynyt tahallaan tai tuottamuksellisesti kyseiseen asetuksen sisältyvien sääntöjen rikkomiseen. ( 7 )

Unionin tuomioistuin täsmentää tältä osin, että unionin lainsäätäjä ei ole jättänyt jäsenvaltioille harkintavaltaa niiden aineellisten edellytysten osalta, joita valvontaviranomaisen on noudatettava, kun se päättää määrätä rekisterinpitäjälle hallinnollisen seuraamusmaksun kyseisen säännöksen nojalla. Se, että yleisessä tietosuoja-asetuksessa annetaan jäsenvaltioille mahdollisuus säätää poikkeuksista suhteessa viranomaisiin ja julkishallinnon elimiin kyseisissä jäsenvaltioissa ( 8 ) ja vaatimuksista, jotka koskevat sitä menettelyä, jota valvontaviranomaisten on noudatettava hallinnollista seuraamusmaksua määrätessään, ( 9 ) ei merkitse millään tavalla sitä, että jäsenvaltioilla olisi myös toimivalta säätää tällaisista aineellisista edellytyksistä.

Unionin tuomioistuin huomauttaa näistä edellytyksistä, että niihin yleisessä tietosuoja-asetuksessa lueteltuihin seikkoihin, joiden valossa valvontaviranomainen määrää rekisterinpitäjälle hallinnollisen seuraamusmaksun, kuuluu ”rikkomuksen tahallisuus tai tuottamuksellisuus”. ( 10 ) Yhdessäkään näistä seikoista ei sitä vastoin viitata mihinkään mahdollisuuteen katsoa, että rekisterinpitäjä on vastuussa, jos se ei ole menetellyt tuottamuksellisesti. Pelkästään yleisen tietosuoja-asetuksen säännösten sellaiset rikkomiset, joihin rekisterinpitäjä syyllistyy tahallaan tai tuottamuksellisesti, voivat siis johtaa hallinnollisen seuraamusmaksun määräämiseen rekisterinpitäjälle kyseisen 83 artiklan nojalla.

Unionin tuomioistuin toteaa vielä, että kyseistä tulkintaa tukevat yleisen tietosuoja-asetuksen yleinen rakenne ja tavoite. Se täsmentää tässä yhteydessä, että se, että on olemassa yleiseen tietosuoja-asetukseen perustuva seuraamusjärjestelmä, jonka avulla voidaan määrätä silloin, kun kuhunkin yksittäistapaukseen liittyvät erityiset olosuhteet sen oikeuttavat, hallinnollinen seuraamusmaksu, merkitsee rekisterinpitäjille ja henkilötietojen käsittelijöille kannustinta noudattaa kyseistä asetusta, ja että kun hallinnolliset seuraamusmaksut ovat varoittavia, niillä vahvistetaan osaltaan rekisteröityjen suojelua. Unionin lainsäätäjä ei ole kuitenkaan katsonut tarpeelliseksi säätää hallinnollisten seuraamusmaksujen määräämisestä, jos menettely ei ole tuottamuksellista. Kun otetaan huomioon se, että yleisellä tietosuoja-asetuksella pyritään sekä samanarvoiseen että yhtenäiseen suojelun tasoon ja että sitä on tässä tarkoituksessa sovellettava johdonmukaisesti kaikkialla unionissa, olisi tämän tavoitteen vastaista antaa jäsenvaltioille mahdollisuus säätää tällaisesta järjestelmästä seuraamusmaksun määräämiseksi.

Unionin tuomioistuin päättelee lisäksi, että tällainen seuraamusmaksu voidaan määrätä rekisterinpitäjälle henkilötietojen käsittelijän sen lukuun suorittamien henkilötietojen käsittelytoimien osalta, paitsi jos näiden toimien yhteydessä henkilötietojen käsittelijä on käsitellyt henkilötietoja omia tarkoituksiaan varten tai se on käsitellyt henkilötietoja vastoin rekisterinpitäjän määrittämiä ohjeita tai käsittelytapoja taikka sellaisella tavalla, ettei voida kohtuudella katsoa, että rekisterinpitäjä on antanut siihen suostumuksensa. Tässä tilanteessa henkilötietojen käsittelijää on pidettävä tällaisen käsittelyn rekisterinpitäjänä.

( 1 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus).

( 2 ) Jotka on määritelty yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa, 26 artiklan 1 kohdassa ja 4 artiklan 2 alakohdassa.

( 3 ) Yleisen tietosuoja-asetuksen 83 artiklan nojalla.

( 4 ) Yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdan tarkoituksessa.

( 5 ) Yleisen tietosuoja-asetuksen 26 artiklan 1 kohta, luettuna sen johdanto-osan 79 perustelukappaleen valossa.

( 6 ) Yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdan tarkoituksessa.

( 7 ) Yleisen tietosuoja-asetuksen 83 artiklan 4 ja 6 kohdassa tarkoitettu rikkominen.

( 8 ) Yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan, jossa säädetään, että ”kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia seuraamusmaksuja ja missä määrin – –”, nojalla.

( 9 ) Yleisen tietosuoja-asetuksen 83 artiklan 8 kohdan, luettuna sen johdanto-osan 129 perustelukappaleen valossa, nojalla.

( 10 ) Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan b alakohta.