UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)

5 päivänä joulukuuta 2023 ( *1 )

Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – 4 artiklan 7 alakohta – Rekisterinpitäjän käsite – 58 artiklan 2 kohta – Valvontaviranomaisen toimivalta määrätä korjaavia toimenpiteitä – 83 artikla – Hallinnollisten seuraamusmaksujen määrääminen oikeushenkilölle – Edellytykset – Jäsenvaltioiden harkintavallan rajat – Rikkomisen tahallisuutta tai tuottamuksellisuutta koskeva vaatimus

Asiassa C‑807/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Kammergericht Berliini (Berliinin osavaltion ylioikeus, Saksa) on esittänyt 6.12.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 21.12.2021, saadakseen ennakkoratkaisun asiassa

Deutsche Wohnen SE

vastaan

Staatsanwaltschaft Berlin,

UNIONIN TUOMIOISTUIN (suuri jaosto),

toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti L. Bay Larsen, jaostojen puheenjohtajat A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi ja O. Spineanu-Matei sekä tuomarit M. Ilešič, J.-C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (esittelevä tuomari), N. Wahl ja M. Gavalec,

julkisasiamies: M. Campos Sánchez-Bordona,

kirjaaja: yksikönpäällikkö D. Dittert,

ottaen huomioon kirjallisessa käsittelyssä ja 17.1.2023 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–	Deutsche Wohnen SE, edustajinaan O. Geiss, K. Mertens, N. Venn ja T. Wybitul, Rechtsanwälte,

–	Saksan hallitus, asiamiehinään J. Möller ja P.-L. Krüger,

–	Viron hallitus, asiamiehenään M. Kriisa,

–	Alankomaiden hallitus, asiamiehenään C. S. Schillemans,

–	Norjan hallitus, asiamiehinään L.-M. Moen Jünge, M. Munthe-Kaas ja T. Westhagen Edell,

–	Euroopan parlamentti, asiamiehinään G. C. Bartram ja P. López-Carceller,

–	Euroopan unionin neuvosto, asiamiehinään J. Bauerschmidt ja K. Pleśniak,

–	Euroopan komissio, asiamiehinään A. Bouchagiar, F. Erlbacher, H. Kranenborg ja G. Meessen,

kuultuaan julkisasiamiehen 27.4.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus) 83 artiklan 4–6 kohdan tulkintaa.

Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat Deutsche Wohnen SE (jäljempänä DW) ja Staatsanwaltschaft Berlin (Berliinin syyttäjäviranomainen, Saksa) ja jossa on kyse hallinnollisesta seuraamusmaksusta, joka on määrätty DW:lle yleisen tietosuoja-asetuksen 83 artiklan mukaisesti kyseisen asetuksen 5 artiklan 1 kohdan a, c ja e alakohdan, 6 artiklan ja 25 artiklan 1 kohdan rikkomisesta.

Asiaa koskevat oikeussäännöt

Unionin oikeus

Yleisen tietosuoja-asetuksen johdanto-osan 9, 10, 11, 13, 74, 129 ja 150 perustelukappaleessa todetaan seuraavaa:

”(9)

– – Jäsenvaltioiden väliset eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun, erityisesti oikeudessa henkilötietojen suojaan, voivat estää henkilötietojen vapaan liikkuvuuden [Euroopan] unionin alueella. Nämä eroavuudet voivat muodostua esteeksi unionin taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. – –

(10)

Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. Henkilötietojen käsittelyn lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla tämän asetuksen sääntöjen soveltamista voitaisiin täsmentää entisestään. – – Lisäksi tässä asetuksessa annetaan jäsenvaltioille liikkumavaraa sääntöjen täsmentämisen suhteen, mukaan lukien henkilötietojen erityisryhmien – – käsittelyä koskevat säännöt. Näiltä osin tällä asetuksella ei suljeta pois jäsenvaltioiden lainsäädäntöä, jossa määritellään erityisiä käsittelytilanteita koskevat olosuhteet, mukaan lukien niiden edellytysten tarkempi määrittely, joiden täyttyessä henkilötietojen käsittely on laillista.

(11)

Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa.

– –

(13)

Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys taloudellisille toimijoille, mukaan lukien mikroyritykset sekä pienet ja keskisuuret yritykset, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet sekä rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, jotta varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. – –

– –

(74)

Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

– –

(129)

Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia – – Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja. Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion prosessioikeuden erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus. Jokainen valvontaviranomaisen oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antanut valvontaviranomainen ja toimenpiteen antamispäivä, sen olisi oltava valvontaviranomaisen johtajan tai hänen valtuuttamansa valvontaviranomaisen jäsenen allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen. Tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla. – –

– –

(150)

Tämän asetuksen rikkomisen seurauksena määrättävien hallinnollisten seuraamusten vahvistamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia seuraamusmaksuja. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien seuraamusmaksujen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki yksittäisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja sen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Silloin kun seuraamusmaksuja määrätään yritykselle, yritys olisi tässä yhteydessä ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi. – –”

Kyseisen asetuksen 4 artiklassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

– –

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)	’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

– –

18)	’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,

– –”

Kyseisen asetuksen 58 artiklan, jonka otsikko on ”Valtuudet”, 2 ja 4 kohdassa säädetään seuraavaa:

”2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

a)	varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)	antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

– –

d)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

– –

f)	asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

– –

i)	määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

– –

4. Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä [Euroopan unionin] perusoikeuskirjan mukaisesti.”

Saman asetuksen 83 artiklassa, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, säädetään seuraavaa:

”1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2. Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	rikkomuksen tahallisuus tai tuottamuksellisuus;

c)	rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d)	rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e)	rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset;

f)	yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g)	henkilötietoryhmät, joihin rikkomus vaikuttaa;

h)	tapa, jolla rikkomus tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomuksesta ja missä laajuudessa;

i)	jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)	40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k)	mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua.

4. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10000000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;

– –

5. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20000000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyä koskevat perusperiaatteet, mukaan lukien suostumuksen edellytykset;

b)	rekisteröityjen 12–22 artiklan mukaiset oikeudet; – –

d)	kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;

e)	valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättäminen tai 58 artiklan 1 kohdan mukaisen pääsyn antamista koskevan velvollisuuden rikkominen.

6. Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20000000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

7. Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia seuraamusmaksuja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

8. Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

– –”

Saksan oikeus

30.6.2017 annetun liittovaltion tietosuojalain (Bundesdatenschutzgesetz; BGBl. 2017 I, s. 2097) 41 §:n 1 momentin ensimmäisessä virkkeessä säädetään, että ellei kyseisessä laissa toisin säädetä, hallinnollisista rikkomuksista 24.5.1968 annetun lain (Gesetz über Ordnungswidrigkeiten; BGBl. 1968 I, s. 481), sellaisena kuin se on 19.2.1987 julkaistussa tiedonannossa (BGBl. 1987 I, s. 602), sellaisena kuin se on muutettuna 19.6.2020 annetulla lailla (BGBl. 2020 I, s. 1350; jäljempänä OWiG), säännöksiä sovelletaan tietosuoja-asetuksen 83 artiklan 4–6 kohdassa tarkoitettuihin rikkomuksiin.

OWiG:n 30 §:ssä, jonka otsikko on ”Oikeushenkilöille ja henkilöiden yhteenliittymille määrättävät seuraamusmaksut”, säädetään seuraavaa:

”(1) Jos joku toimiessaan

1.	oikeushenkilön edustamiseen valtuutettuna elimenä tai tällaisen elimen jäsenenä

2.	yhdistyksen, joka ei ole oikeuskelpoinen, puheenjohtajana tai hallintoelimen jäsenenä

3.	oikeuskelpoisen henkilöyhtiön edustamiseen valtuutettuna yhtiömiehenä

4.	oikeushenkilön tai 2 tai 3 kohdassa tarkoitetun henkilöiden yhteenliittymän yleisvaltuutuksen saajana tai johtotehtävissä prokuristina tai erityisvaltuutuksen saajana tai

5.	oikeushenkilön tai edellä 2 tai 3 kohdassa tarkoitetun henkilöiden yhteenliittymän liikkeen tai yrityksen johtamisesta, mukaan lukien liiketoiminnan johtamisen valvonta tai muu valvontavallan käyttö johtotehtävissä, vastaavana muuna henkilönä

on syyllistynyt rikokseen tai hallinnolliseen rikkomukseen siten, että oikeushenkilön tai henkilöiden yhteenliittymän velvoitteita on laiminlyöty tai että kyseinen oikeushenkilö tai henkilöiden yhteenliittymä on saanut tai sen katsotaan saaneen etua, kyseiselle oikeushenkilölle tai henkilöiden yhteenliittymälle voidaan määrätä seuraamusmaksu.

– –

(4) Jos rikos tai hallinnollinen rikkomus ei johda rikosoikeudellisen menettelyn tai hallinnollisen menettelyn aloittamiseen tai jos kyseinen menettely lopetetaan tai jos rangaistuksesta luovutaan, seuraamusmaksu voidaan määrätä erikseen. Laissa voidaan myös säätää mahdollisuudesta määrätä seuraamusmaksu erikseen muissa tapauksissa. Seuraamusmaksua ei kuitenkaan saa määrätä erikseen oikeushenkilölle tai henkilöiden yhteenliittymälle, jos rikoksesta tai hallinnollisesta rikkomuksesta ei voida määrätä seuraamuksia oikeudellisesta syystä – –”

OWiG:n 130 §:ssä säädetään seuraavaa:

”(1) Se, joka liikkeen tai yrityksen haltijana jättää tahallaan tai tuottamuksellisesti toteuttamatta valvontatoimenpiteet, jotka ovat tarpeen, jotta estetään sellaisten haltijalle kuuluvien velvollisuuksien laiminlyönti liikkeessä tai yrityksessä, joiden rikkomisesta voidaan määrätä rangaistus tai seuraamusmaksu, syyllistyy hallinnolliseen rikkomukseen, kun tällainen laiminlyönti on tapahtunut, vaikka se olisi voitu estää tai sitä olisi voitu olennaisesti vaikeuttaa asianmukaisella valvonnalla. Tarvittaviin valvontatoimenpiteisiin kuuluu myös valvonnasta vastaavien henkilöiden nimeäminen, huolellinen valinta ja valvonta.

– –

(3) Jos velvoitteen laiminlyöminen on rangaistavaa, hallinnollisesta rikkomuksesta voidaan määrätä seuraamusmaksu, jonka suuruus voi olla enintään miljoona euroa. Tällöin sovelletaan 30 §:n 2 momentin kolmatta virkettä. Jos velvoitteen laiminlyönnistä voidaan määrätä seuraamusmaksu, valvontavelvollisuuden rikkomisesta määrätyn seuraamusmaksun enimmäismäärä määräytyy velvoitteen laiminlyönnistä määrätyn seuraamusmaksun enimmäismäärän perusteella. – –”

Pääasia ja ennakkoratkaisukysymykset

10	DW on eurooppayhtiön muodossa perustettu pörssinoteerattu kiinteistöyhtiö, jonka kotipaikka on Berliini (Saksa). Se omistaa välillisesti eri yhtiöissä omistamiensa yhtiöosuuksien välityksellä noin 163000 asuinhuoneistoa ja 3000 liikehuoneistoa.

Näiden huoneistojen omistajat ovat DW:hen sidoksissa olevia ”hallintayhtiöiksi” kutsuttuja tytäryhtiöitä, jotka hoitavat operatiivista liiketoimintaa, kun taas DW vastaa tytäryhtiöidensä kanssa muodostamansa konsernin keskushallinnosta. Hallintayhtiöt vuokraavat asuin- ja liikehuoneistoja, joita hallinnoivat muut konserniin kuuluvat yhtiöt eli niin kutsutut palveluyhtiöt.

DW ja sen johtamaan konserniin kuuluvat yhtiöt käsittelevät liiketoimintansa yhteydessä liike- ja asuinhuoneistojen vuokralaisten henkilötietoja, kuten esimerkiksi henkilöllisyystodistuksia, kyseisten vuokralaisten vero-, sosiaaliturva- ja sairausvakuutustietoja sekä aiempia vuokrasuhteita koskevia tietoja.

Berliner Beauftragte für den Datenschutz (tietosuojasta Berliinissä vastaava viranomainen, Saksa; jäljempänä tietosuojaviranomainen) huomautti 23.6.2017 DW:lle paikalla tehdyssä tarkastuksessa, että DW:n konserniin kuuluvat yhtiöt säilyttivät vuokralaisten henkilötietoja sisältäviä asiakirjoja sähköisessä arkistojärjestelmässä, jonka osalta ei voitu todeta, oliko säilyttäminen tarpeen, eikä voitu varmistaa, että tarpeettomiksi tulleet tiedot poistetaan.

14	Tietosuojaviranomainen vaati DW:tä poistamaan kyseiset asiakirjat sähköisestä arkistojärjestelmästään vuoden 2017 loppuun mennessä. Vastauksena kyseiseen vaatimukseen DW ilmoitti, ettei poistaminen ollut teknisistä ja oikeudellisista syistä mahdollista.

15	DW:n ja tietosuojaviranomaisen välisten kyseisten tietojen poistamismahdollisuutta koskevien keskustelujen jälkeen DW ilmoitti kyseiselle viranomaiselle aikomuksestaan ottaa käyttöön uusi tallennusjärjestelmä, jolla kyseiset tiedot sisältävä järjestelmä korvattaisiin.

Tietosuojaviranomainen toteutti 5.3.2019 tarkastuksen DW:n johtaman konsernin pääkonttorilla. Kyseisen tarkastuksen aikana DW ilmoitti kyseiselle viranomaiselle, että riidanalainen sähköinen arkistojärjestelmä oli jo poistettu käytöstä ja että tietojen siirtäminen uuteen järjestelmään toteutettaisiin pian.

Tietosuojaviranomainen määräsi 30.10.2020 tekemällään päätöksellä DW:lle 14385000 euron suuruisen hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a, c ja e alakohdan sekä 25 artiklan 1 kohdan tahallisesta rikkomisesta (jäljempänä riidanalainen päätös). Kyseisellä päätöksellä kyseinen viranomainen määräsi DW:lle myös 15 muuta seuraamusmaksua, jotka olivat määrältään 3 000–17 000 euroa, yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan rikkomisesta.

Riidanalaisessa päätöksessä tietosuojaviranomainen katsoi erityisesti, että DW oli jättänyt 25.5.2018–5.3.2019 tahallisesti toteuttamatta tarvittavat toimenpiteet, joiden avulla tarpeettomiksi tulleet tai muulla tavoin perusteettomasti säilytetyt vuokralaisten henkilötiedot olisi voitu poistaa säännöllisesti. Se korosti myös, että DW oli säilyttänyt vähintään 15 tarkemmin yksilöidyn vuokralaisen henkilötietoja, vaikka tämä ei ollut tarpeen.

19	DW nosti kyseisestä päätöksestä kanteen Landgericht Berlinissä (Berliinin alueellinen alioikeus, Saksa). Kyseinen tuomioistuin lopetti menettelyn ja katsoi, että riidanalaista päätöstä rasittavat niin vakavat virheet, ettei sen perusteella voida määrätä seuraamusmaksua.

Kyseinen tuomioistuin totesi muun muassa, että seuraamusmaksun määräämistä oikeushenkilölle säännellään tyhjentävästi OWiG:n 30 §:ssä, jota liittovaltion tietosuojalain 41 §:n 1 momentin nojalla sovelletaan yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdassa tarkoitettuihin rikkomuksiin. Kyseisen OWiG:n 30 §:n mukaan ainoastaan luonnollisen henkilön, ei oikeushenkilön, voidaan todeta syyllistyneen hallinnolliseen rikkomukseen. Lisäksi oikeushenkilön voidaan katsoa olevan vastuussa ainoastaan sen hallintoelimiin kuuluvan tai sitä edustavan henkilön toimista. Mainitun 30 §:n 4 momentissa sallitaan tosin tietyin edellytyksin se, että oikeushenkilöä vastaan aloitetaan erikseen hallinnollista rikkomusta koskeva menettely, mutta on kuitenkin niin, että myös tässä tilanteessa edellytetään, että kyseessä olevan oikeushenkilön hallintoelimiin kuuluvan tai sitä edustavan henkilön voidaan todeta syyllistyneen hallinnolliseen rikkomukseen.

21	Staatsanwaltschaft Berlin (Berliinin syyttäjäviranomainen) valitti kyseisestä ratkaisusta Kammergericht Berliniin (Berliinin osavaltion ylioikeus, Saksa), joka on pyytänyt unionin tuomioistuimelta ennakkoratkaisua.

Ennakkoratkaisua pyytänyt tuomioistuin pohtii ensimmäiseksi, onko yleisen tietosuoja-asetuksen 83 artiklan mukaan oltava mahdollista määrätä hallinnollinen seuraamusmaksu oikeushenkilölle ilman, että yksilöidyn luonnollisen henkilön todetaan ensin olevan vastuussa kyseisen asetuksen rikkomisesta. Tässä asiayhteydessä kyseinen tuomioistuin pohtii muun muassa SEUT 101 ja SEUT 102 artiklassa tarkoitetun yrityksen käsitteen merkityksellisyyttä.

Kyseinen tuomioistuin selittää tältä osin, että kansallisen oikeuskäytännön mukaan kansallisen oikeuden mukainen oikeushenkilöiden rajoitettua vastuuta koskeva järjestelmä on ristiriidassa yleisen tietosuoja-asetuksen 83 artiklassa säädetyn yritysten suoraa vastuuta koskevan järjestelmän kanssa. Kyseisen oikeuskäytännön mukaan muun muassa yleisen tietosuoja-asetuksen 83 artiklan, joka unionin oikeuden ensisijaisuuden periaatteen mukaisesti on ensisijainen kansalliseen järjestelmään nähden, sanamuodosta ilmenee, että yrityksille voidaan määrätä hallinnollisia seuraamusmaksuja. Tällaisten seuraamusmaksujen määräämisen ei siis tarvitse olla sidoksissa oikeushenkilöiden hallintoelinten tai johtajien tuottamukselliseen toimeen, toisin kuin sovellettavassa kansallisessa oikeudessa edellytetään.

Kyseisen tuomioistuimen mukaan kyseisessä oikeuskäytännössä, samoin kuin suurimmassa osassa kansallista oikeuskirjallisuutta, pidetään erityisen tärkeänä SEUT 101 ja SEUT 102 artiklassa tarkoitettua yrityksen käsitettä ja siis ajatusta, jonka mukaan vastuussa olevaksi katsotaan se taloudellinen kokonaisuus, jonka puitteissa ei-toivottu toiminta, esimerkiksi kilpailunvastainen toiminta, on toteutettu. Tämän ”toiminnallisen” käsityksen mukaan yrityksen on katsottava olevan vastuussa kaikkien sellaisten työntekijöiden kaikista toimista, joilla on oikeus toimia yrityksen nimissä, myös hallinnollisten seuraamusmenettelyjen yhteydessä.

Toiseksi siinä tapauksessa, että unionin tuomioistuin katsoisi, että hallinnollinen seuraamusmaksu on voitava määrätä suoraan oikeushenkilölle, ennakkoratkaisua pyytänyt tuomioistuin pohtii kriteerejä, joita on sovellettava sen toteamiseksi, onko oikeushenkilö yrityksenä vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Se haluaa erityisesti tietää, voidaanko kyseisen asetuksen 83 artiklan nojalla määrätä oikeushenkilölle hallinnollinen seuraamusmaksu ilman, että on osoitettu, että sen syyksi luettu kyseisen asetuksen rikkominen on toteutettu tuottamuksellisesti.

Tässä tilanteessa Kammergericht Berlin (Berliinin osavaltion ylioikeus, Saksa) päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)

Onko [tietosuoja-asetuksen] 83 artiklan 4–6 kohtaa tulkittava siten, että sillä sisällytetään SEUT 101 ja SEUT 102 artiklassa tarkoitetut toiminnallinen yrityksen käsite ja toiminnallisesti ymmärretyn yrityksen vastuun periaate (Funktionsträgerprinzip) kansalliseen oikeuteen sillä seurauksella, että [OWiG:n] 30 §:n perustana olevaa oikeussubjektiksi ymmärretyn yrityksen vastuuta koskevaa periaatetta (Rechtsträgerprinzip) laajentamalla hallinnollista seuraamusmaksua koskeva menettely voidaan toteuttaa suoraan yritystä vastaan, eikä hallinnollisen seuraamusmaksun määräämisen edellytyksenä ole sen toteaminen, että yksilöity luonnollinen henkilö on, tarvittaessa kaikki objektiiviset ja subjektiiviset tunnusmerkit täyttäen, tehnyt hallinnollisen rikkomuksen?

Jos ensimmäiseen kysymykseen vastataan myöntävästi: onko [tietosuoja-asetuksen] 83 artiklan 4–6 kohtaa tulkittava siten, että yrityksen on työntekijänsä välityksellä pitänyt syyllistyä rikkomukseen tuottamuksellisesti [(ks. perustamissopimuksen 81 ja 82 artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16.12.2002 annetun neuvoston asetuksen (EYVL 2003, L 1, s. 1) 23 artikla)], vai voidaanko yritykselle lähtökohtaisesti määrätä hallinnollinen seuraamusmaksu jo sille kuuluvien velvollisuuksien objektiivisesta rikkomisesta (ankara vastuu)?”

Suullisen käsittelyn uudelleen aloittamista koskeva pyyntö

27	Sen jälkeen, kun istunto oli pidetty 17.1.2023, DW pyysi unionin tuomioistuimen kirjaamoon 23.3.2023 toimittamallaan asiakirjalla, että asian käsittelyn suullinen vaihe määrätään unionin tuomioistuimen työjärjestyksen 83 artiklan nojalla aloitettavaksi uudelleen.

DW väittää pyyntönsä tueksi lähinnä, että ennakkoratkaisua pyytänyt tuomioistuin antaa sille työjärjestyksen 101 artiklan nojalla osoitettuun selvennyspyyntöön antamissaan vastauksissa unionin tuomioistuimelle virheellisiä tietoja sovellettavista kansallisen oikeuden säännöksistä. Tyhjentävä keskustelu tästä aiheesta 17.1.2023 pidetyssä istunnossa ei kuitenkaan ollut mahdollista, koska asianosaiset olivat tutustuneet kyseisiin vastauksiin vasta kolme työpäivää ennen kyseistä istuntoa. Tällaisessa ajassa suulliseen käsittelyyn ei nimittäin ollut mahdollista valmistautua perusteellisesti.

Unionin tuomioistuin voi tosin työjärjestyksensä 83 artiklan perusteella julkisasiamiestä kuultuaan milloin tahansa määrätä asian käsittelyn suullisen vaiheen aloitettavaksi uudelleen erityisesti, jos unionin tuomioistuin katsoo, ettei sillä ole riittävästi tietoa asiasta, tai jos osapuoli on suullisen vaiheen päättyneeksi julistamisen jälkeen vedonnut uuteen seikkaan, joka voi olennaisesti vaikuttaa unionin tuomioistuimen ratkaisuun, taikka jos asia on ratkaistava sellaisen väitteen perusteella, josta osapuolilla ei ole ollut tilaisuutta lausua.

Tässä tapauksessa unionin tuomioistuin kuitenkin toteaa, että sillä on kaikki ratkaisun antamiseksi tarvittavat tiedot ja että nyt käsiteltävää asiaa ei ole ratkaistava sellaisten väitteiden perusteilla, joista osapuolilla ei olisi ollut tilaisuutta lausua. Asian käsittelyn suullisen vaiheen uudelleen aloittamista koskevasta pyynnöstä ei myöskään ilmene mitään uutta seikkaa, joka voisi olennaisesti vaikuttaa ratkaisuun, joka unionin tuomioistuimen on annettava käsiteltävässä asiassa.

31	Näin ollen unionin tuomioistuin katsoo julkisasiamiestä kuultuaan, että asian käsittelyn suullista vaihetta ei ole määrättävä aloitettavaksi uudelleen.

Ennakkoratkaisukysymysten tarkastelu

Ensimmäinen kysymys

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 58 artiklan 2 kohtaa ja 83 artiklan 1–6 kohtaa tulkittava siten, että ne ovat esteenä kansalliselle säännöstölle, jonka mukaan oikeushenkilölle voidaan tämän rekisterinpitäjän ominaisuudessa määrätä hallinnollinen seuraamusmaksu kyseisen 83 artiklan 4–6 kohdassa tarkoitetusta rikkomuksesta vain, jos rikkomus on ensin luettu yksilöidyn luonnollisen henkilön syyksi.

Aluksi on todettava, että Saksan hallitus on kirjallisissa huomautuksissaan ilmaissut epäilyksensä tästä ennakkoratkaisua pyytäneen tuomioistuimen kansallisesta oikeudesta tekemästä tulkinnasta sillä perusteella, että OWiG:n 130 §:ssä sallitaan seuraamusmaksun määrääminen oikeushenkilölle myös muissa kuin OWiG:n 30 §:ssä tarkoitetuissa tapauksissa. Lisäksi kyseisessä kahdessa säännöksessä sallitaan niin sanotun anonyymin seuraamusmaksun määrääminen yritystä vastaan vireille pannussa menettelyssä ilman, että on tarpeen yksilöidä luonnollista henkilöä, joka on syyllistynyt kyseiseen rikkomukseen.

34	Vastauksena tämän tuomion 28 kohdassa mainittuun ennakkoratkaisua pyytäneelle tuomioistuimelle osoitettuun selvennyspyyntöön tämä totesi, ettei OWiG:n 130 § vaikuta ensimmäiseen kysymykseen.

Kyseisen tuomioistuimen mukaan kyseinen säännös koskee nimittäin liikkeen tai yrityksen haltijaa, jonka on täytynyt laiminlyödä valvontavelvoitteensa tuottamuksellisesti. Näyttö tällaisesta yrityksen haltijan syyksi luettavasta velvoitteiden laiminlyönnistä on kuitenkin sen mukaan erittäin monimutkaista ja usein mahdotonta, ja se, voidaanko konsernia pitää kyseisessä säännöksessä tarkoitettuna ”yrityksenä” tai ”yritysten haltijana”, on kiistanalaista kansallisella tasolla. Sen mukaan ensimmäinen ennakkoratkaisukysymys on joka tapauksessa merkityksellinen myös tässä yhteydessä.

On huomautettava, että tulkittaessa kansalliseen oikeusjärjestykseen kuuluvia säännöksiä unionin tuomioistuimen on lähtökohtaisesti perustettava ratkaisunsa ennakkoratkaisupyynnön esittämisestä tehdystä päätöksestä ilmeneviin luonnehdintoihin. Vakiintuneen oikeuskäytännön mukaan on näet niin, että unionin tuomioistuimella ei ole toimivaltaa tulkita jäsenvaltion sisäistä oikeutta (tuomio 26.1.2021, Hessischer Rundfunk,C‑422/19 ja C‑423/19, EU:C:2021:63, 31 kohta oikeuskäytäntöviittauksineen).

Ensimmäiseen ennakkoratkaisukysymykseen on näin ollen vastattava olettaen, että sovellettavan kansallisen oikeuden mukaan oikeushenkilölle rekisterinpitäjänä voidaan sovellettavan kansallisen oikeuden nojalla määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdassa tarkoitetusta rikkomisesta ainoastaan OWiG:n 30 §:ssä säädetyin edellytyksin, sellaisina kuin ennakkoratkaisua pyytänyt tuomioistuin on ne esittänyt.

Vastattaessa tähän ensimmäiseen kysymykseen on aluksi todettava, että yleisessä tietosuoja-asetuksessa säädetyt periaatteet, kiellot ja velvoitteet koskevat erityisesti rekisterinpitäjiä, joiden vastuu ulottuu, kuten yleisen tietosuoja-asetuksen johdanto-osan 74 perustelukappaleessa korostetaan, kaikkeen niiden suorittamaan tai niiden puolesta suoritettuun henkilötietojen käsittelyyn ja joiden on tämän vuoksi paitsi toteutettava asianmukaisia ja tehokkaita toimenpiteitä myös kyettävä osoittamaan, että niiden käsittelytoimet ovat yleisen tietosuoja-asetuksen mukaisia, tällaisen noudattamisen varmistamiseksi toteutettujen toimenpiteiden tehokkuus mukaan luettuna. Juuri tämä vastuu muodostaa kyseisen asetuksen 83 artiklan 4–6 kohdassa tarkoitettujen rikkomusten tapauksessa perustan hallinnollisen seuraamusmaksun määräämiselle rekisterinpitäjälle kyseisen 83 artiklan nojalla.

Yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa määritellään käsite rekisterinpitäjä laajasti siten, että sillä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Kyseisen yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdan laajan määritelmän – johon oikeushenkilöt nimenomaisesti sisältyvät – tavoitteena on yleisen tietosuoja-asetuksen tavoitteen mukaisesti varmistaa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien tehokas suoja ja erityisesti se, että jokaisella on oikeus henkilötietojensa korkeatasoiseen suojaan (ks. vastaavasti tuomio 29.7.2019, Fashion ID,C‑40/17, EU:C:2019:629, 66 kohta ja tuomio 28.4.2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, 73 kohta oikeuskäytäntöviittauksineen).

Unionin tuomioistuin on lisäksi jo todennut, että luonnollista henkilöä tai oikeushenkilöä, joka vaikuttaa omia tarkoituksiaan varten henkilötietojen käsittelyyn ja osallistuu tämän vuoksi kyseisen käsittelyn tarkoituksen ja keinojen määrittämiseen, voidaan pitää rekisterinpitäjänä (ks. vastaavasti tuomio 10.7.2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, 68 kohta).

Yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdan sanamuodosta ja tarkoituksesta ilmenee näin ollen, että unionin lainsäätäjä ei ole tehnyt kyseisen asetuksen mukaisen vastuun määrittämiseksi eroa luonnollisten henkilöiden ja oikeushenkilöiden välillä, vaan tämän vastuun edellytyksenä on ainoastaan se, että kyseiset henkilöt yksin tai yhdessä toisten kanssa määrittävät henkilötietojen käsittelyn tarkoituksen ja keinot.

Jollei yleisen tietosuoja-asetuksen 83 artiklan 7 kohdasta, joka koskee viranomaisia ja julkishallinnon elimiä, muuta johdu, jokainen henkilö, joka täyttää tämän edellytyksen – riippumatta siitä, onko kyse luonnollisesta henkilöstä, oikeushenkilöstä, viranomaisesta, virastosta vai muusta elimestä –, on näin ollen vastuussa muun muassa kaikista kyseisen 83 artiklan 4–6 kohdassa tarkoitetuista rikkomuksista, joihin hän itse on syyllistynyt tai jotka on tehty hänen puolestaan.

Oikeushenkilöiden osalta tämä merkitsee yhtäältä, kuten julkisasiamies totesi ratkaisuehdotuksensa 57–59 kohdassa, että ne ovat vastuussa paitsi niiden edustajien, johtajien tai hallintoelimen jäsenten tekemistä rikkomuksista myös kaikkien muiden henkilöiden, jotka toimivat kyseisten oikeushenkilöiden liiketoiminnan yhteydessä ja niiden lukuun, tekemistä rikkomuksista. Toisaalta yleisen tietosuoja-asetuksen 83 artiklassa tällaisista rikkomuksista säädetyt hallinnolliset seuraamusmaksut on voitava määrätä suoraan oikeushenkilöille, jos niitä voidaan pitää kyseessä olevan käsittelyn osalta rekisterinpitäjinä.

Tämän jälkeen on todettava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa vahvistetaan täsmällisesti valvontaviranomaisten valtuudet toteuttaa korjaavia toimenpiteitä, eikä siinä viitata jäsenvaltioiden oikeuteen eikä jätetä jäsenvaltioille harkintavaltaa. Yhtäältä nämä valtuudet, joihin kyseisen 58 artiklan 2 kohdan i alakohdan mukaan kuuluu valta määrätä hallinnollinen seuraamusmaksu, koskevat rekisterinpitäjää, ja toisaalta tällainen rekisterinpitäjä voi olla luonnollinen henkilö tai oikeushenkilö, kuten tämän tuomion 39 kohdasta ilmenee. Aineelliset edellytykset, joita valvontaviranomaisen on noudatettava tällaista seuraamusmaksua määrätessään, puolestaan vahvistetaan kyseisen 83 artiklan 1–6 kohdassa täsmällisesti ja ilman, että jäsenvaltioille jätettäisiin harkintavaltaa.

Kun yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa, 83 artiklaa ja 58 artiklan 2 kohdan i alakohtaa luetaan yhdessä, niistä ilmenee, että hallinnollinen seuraamusmaksu kyseisen 83 artiklan 4–6 kohdan rikkomisesta voidaan määrätä myös oikeushenkilöille, jos ne ovat rekisterinpitäjiä. Sitä vastoin minkään yleisen tietosuoja-asetuksen säännöksen perusteella ei voida katsoa, että hallinnollisen seuraamusmaksun määrääminen oikeushenkilölle rekisterinpitäjänä edellyttäisi sitä, että ensin todettaisiin, että tähän rikkomiseen on syyllistynyt yksilöity luonnollinen henkilö.

On totta, että yleisen tietosuoja-asetuksen 58 artiklan 4 kohdasta ja 83 artiklan 8 kohdasta, luettuna yhdessä kyseisen asetuksen johdanto-osan 129 perustelukappaleen kanssa, ilmenee, että valvontaviranomaisen kyseisten artiklojen mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, joihin kuuluvat tehokkaat oikeussuojakeinot ja asianmukainen menettely.

Se, että kyseisessä asetuksessa annetaan näin jäsenvaltioille mahdollisuus säätää vaatimuksista, jotka koskevat menettelyä, jonka mukaisesti valvontaviranomaiset voivat määrätä hallinnollisen seuraamusmaksun, ei kuitenkaan mitenkään merkitse sitä, että niillä olisi myös toimivalta säätää tällaisten menettelyllisten vaatimusten lisäksi kyseisen 83 artiklan 1–6 kohdassa määrättyihin edellytyksiin nähden ylimääräisistä aineellisista edellytyksistä. Lisäksi se, että unionin lainsäätäjä on säätänyt nimenomaisesti kyseisestä mahdollisuudesta mutta ei mahdollisuudesta säätää tällaisista ylimääräisistä aineellisista edellytyksistä, vahvistaa sen, ettei se ole jättänyt jäsenvaltioille tältä osin harkintavaltaa. Mainitut aineelliset edellytykset kuuluvat näin ollen yksinomaan unionin oikeuden alaan.

49	Edellä esitetty yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan ja 83 artiklan 1–6 kohdan sanamuodon mukainen tulkinta saa tukea kyseisen asetuksen tarkoituksesta.

Erityisesti yleisen tietosuoja-asetuksen johdanto-osan kymmenennestä perustelukappaleesta ilmenee, että sen säännösten tavoitteena on muun muassa varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä unionissa ja tätä varten varmistaa näiden henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa. Yleisen tietosuoja-asetuksen johdanto-osan 11 ja 129 perustelukappaleessa korostetaan lisäksi tarvetta huolehtia asetuksen johdonmukaisen soveltamisen varmistamiseksi siitä, että valvontaviranomaisilla on samantasoiset valtuudet valvoa ja seurata henkilötietojen suojaa koskevien sääntöjen noudattamista ja että ne voivat määrätä samantasoisia seuraamuksia mainitun asetuksen rikkomisista.

Se, että jäsenvaltiot voisivat edellyttää yksipuolisesti ja välttämättömänä edellytyksenä sille, että yleisen tietosuoja-asetuksen 83 artiklan mukainen hallinnollinen seuraamusmaksu määrätään rekisterinpitäjälle, joka on oikeushenkilö, että kyseessä oleva rikkominen on ensin luettava tai voitava lukea yksilöidyn luonnollisen henkilön syyksi, olisi yleisen tietosuoja-asetuksen kyseisen tarkoituksen vastaista. Lisäksi tällaisella lisävaatimuksella saatettaisiin viime kädessä heikentää rekisterinpitäjinä toimiville oikeushenkilöille määrättyjen hallinnollisten seuraamusmaksujen tehokkuutta ja varoittavaa vaikutusta, mikä olisi yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan vastaista.

Tältä osin on muistutettava, että SEUT 288 artiklan toisessa kohdassa määrätään, että unionin asetus on kaikilta osiltaan sitova ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa, mikä estää jäsenvaltioita antamasta asetuksen ulottuvuuteen vaikuttavia kansallisia säännöksiä, jollei toisin säädetä. Lisäksi jäsenvaltiot eivät saa EUT-sopimukseen perustuvien velvoitteidensa takia estää asetuksille ominaista välitöntä oikeusvaikutusta. Erityisesti jäsenvaltiot eivät saa toteuttaa toimea, jolla yksityisiltä salattaisiin se, että oikeussääntö on osa unionin oikeutta, ja se, mitä vaikutuksia oikeussäännöllä on (tuomio 15.11.2012, Al-Aqsa v. neuvosto ja Alankomaat v. Al-Aqsa, C‑539/10 P ja C‑550/10 P, EU:C:2012:711, 86 ja 87 kohta oikeuskäytäntöviittauksineen).

Kun lopuksi otetaan huomioon ennakkoratkaisua pyytäneen tuomioistuimen pohdinnat, on todettava, että SEUT 101 ja SEUT 102 artiklassa tarkoitetulla yrityksen käsitteellä ei ole vaikutusta siihen, voidaanko hallinnollinen seuraamusmaksu määrätä yleisen tietosuoja-asetuksen 83 artiklan nojalla rekisterinpitäjälle, joka on oikeushenkilö, ja millä edellytyksillä näin voidaan tehdä, koska kyseistä kysymystä säännellään tyhjentävästi kyseisen asetuksen 58 artiklan 2 kohdassa ja 83 artiklan 1–6 kohdassa.

54	Kyseinen käsite on nimittäin merkityksellinen ainoastaan määritettäessä rekisterinpitäjälle yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdan nojalla määrättävän hallinnollisen seuraamusmaksun määrää.

Kuten julkisasiamies totesi ratkaisuehdotuksensa 45 kohdassa, yleisen tietosuoja-asetuksen johdanto-osan 150 perustelukappaleessa tehty viittaus SEUT 101 ja SEUT 102 artiklassa tarkoitettuun yrityksen käsitteeseen on ymmärrettävä 83 artiklan 4–6 kohdassa tarkoitetuista rikkomuksista määrättävien hallinnollisten seuraamusmaksujen laskennan erityisessä asiayhteydessä.

Tältä osin on korostettava, että SEUT 101 ja SEUT 102 artiklassa tarkoitettuja kilpailusääntöjä sovellettaessa yrityksen käsitteeseen kuuluvat siis kaikki taloudellista toimintaa harjoittavat yksiköt riippumatta niiden oikeudellisesta muodosta tai rahoitustavasta. Sillä tarkoitetaan näin ollen taloudellista kokonaisuutta, vaikka oikeudellisesti taloudellisen kokonaisuuden muodostaisikin useampi kuin yksi luonnollinen henkilö tai oikeushenkilö. Tällaisella taloudellisella kokonaisuudella on yhtenäinen organisaatio, joka muodostuu henkilöistä sekä aineellisista ja aineettomista tekijöistä ja jolla pyritään pysyvästi tiettyyn taloudelliseen päämäärään (tuomio 6.10.2021, Sumal,C‑882/19, EU:C:2021:800, 41 kohta oikeuskäytäntöviittauksineen).

Yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdasta, jotka koskevat kyseisissä kohdissa luetelluista rikkomisista määrättävien hallinnollisten seuraamusmaksujen laskemista, ilmenee, että jos hallinnollisen seuraamusmaksun adressaatti on SEUT 101 ja SEUT 102 artiklassa tarkoitettu yritys tai osa sitä, hallinnollisen seuraamusmaksun enimmäismäärä lasketaan prosenttiosuutena kyseisen yrityksen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta.

Kuten julkisasiamies totesi ratkaisuehdotuksensa 47 kohdassa, ainoastaan hallinnollinen seuraamusmaksu, jonka määrä määritetään sen adressaatin todellisen tai aineellisen taloudellisen kapasiteetin perusteella ja jonka määrän valvontaviranomainen siis määrää tämän tuomion 56 kohdassa mainitussa oikeuskäytännössä tarkoitetun taloudellisen kokonaisuuden käsitteen perusteella, voi täyttää yleisen tietosuoja-asetuksen 83 artiklan 1 kohdassa mainitut kolme edellytystä, eli se on sekä tehokas, oikeasuhteinen että varoittava.

Kun valvontaviranomainen päättää yleisen tietosuoja-asetuksen 58 artiklan 2 kohtaan perustuvien valtuuksiensa nojalla määrätä rekisterinpitäjälle, joka on SEUT 101 ja SEUT 102 artiklassa tarkoitettu yritys tai osa sitä, hallinnollisen seuraamusmaksun mainitun asetuksen 83 artiklan nojalla, kyseisen viranomaisen on viimeksi mainitun säännöksen, luettuna yhdessä saman asetuksen johdanto-osan 150 perustelukappaleen kanssa, nojalla tukeuduttava 83 artiklan 4–6 kohdassa tarkoitetuista rikkomuksista määrättävien hallinnollisten seuraamusmaksujen laskennassa SEUT 101 ja SEUT 102 artiklassa tarkoitettuun yrityksen käsitteeseen.

Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohtaa ja 83 artiklan 1–6 kohtaa on tulkittava siten, että ne ovat esteenä kansalliselle säännöstölle, jonka mukaan oikeushenkilölle voidaan tämän rekisterinpitäjän ominaisuudessa määrätä hallinnollinen seuraamusmaksu kyseisen 83 artiklan 4–6 kohdassa tarkoitetusta rikkomuksesta vain, jos rikkomus on ensin luettu yksilöidyn luonnollisen henkilön syyksi.

Toinen kysymys

Toisella kysymyksellään, joka on esitetty siltä varalta, että ensimmäiseen kysymykseen vastataan myöntävästi, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen 83 artiklaa tulkittava siten, että kyseisen säännöksen nojalla voidaan määrätä hallinnollinen seuraamusmaksu ainoastaan, jos on osoitettu, että rekisterinpitäjä, joka on samanaikaisesti oikeushenkilö ja yritys, on syyllistynyt kyseisen artiklan 4–6 kohdassa tarkoitettuun rikkomukseen tahallisesti tai tuottamuksellisesti.

Tältä osin on muistutettava, että yleisen tietosuoja-asetuksen 83 artiklan 1 kohdasta ilmenee, että hallinnollisten seuraamusmaksujen on oltava tehokkaita, oikeasuhteisia ja varoittavia. Yleisen tietosuoja-asetuksen 83 artiklassa ei sitä vastoin täsmennetä nimenomaisesti, että kyseisen artiklan 4–6 kohdassa tarkoitetuista rikkomuksista voidaan määrätä tällainen seuraamusmaksu vain, jos ne on tehty tahallisesti tai ainakin tuottamuksellisesti.

Saksan, Viron ja Norjan hallitukset sekä Euroopan unionin neuvosto päättelevät tästä muun muassa, että unionin lainsäätäjän tarkoituksena on ollut antaa jäsenvaltioille tiettyä harkintavaltaa yleisen tietosuoja-asetuksen 83 artiklan täytäntöönpanossa siten, että niillä on mahdollisuus säätää hallinnollisten seuraamusmaksujen määräämisestä kyseisen säännöksen nojalla tarvittaessa ilman, että osoitetaan, että yleisen tietosuoja-asetuksen rikkominen, josta tämä seuraamusmaksu määrätään, on ollut tahallista tai tuottamuksellista.

64	Tällaista yleisen tietosuoja-asetuksen 83 artiklan tulkintaa ei voida hyväksyä.

Kuten tämän tuomion 45 ja 48 kohdassa todetaan, aineelliset edellytykset, joita valvontaviranomaisen on noudatettava määrätessään rekisterinpitäjälle hallinnollisen seuraamusmaksun, kuuluvat yksinomaan unionin oikeuden alaan, ja kyseiset edellytykset vahvistetaan yleisen tietosuoja-asetuksen 83 artiklan 1–6 kohdassa täsmällisesti ja ilman, että jäsenvaltioille jätettäisiin harkintavaltaa (ks. myös tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, 64–70 kohta).

Mainituista edellytyksistä on todettava, että yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellaan seikat, joiden valossa valvontaviranomainen määrää rekisterinpitäjälle hallinnollisen seuraamusmaksun. Näihin seikkoihin kuuluu 83 artiklan 2 kohdan b alakohdassa mainittu”rikkomuksen tahallisuus tai tuottamuksellisuus”. Yhdessäkään kyseisessä säännöksessä luetelluista seikoista ei sitä vastoin viitata minkäänlaiseen mahdollisuuteen saattaa rekisterinpitäjä vastuuseen, jos rekisterinpitäjä ei ole toiminut tuottamuksellisesti.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohtaa on lisäksi luettava yhdessä kyseisen artiklan 3 kohdan kanssa, jonka tarkoituksena on säätää seurauksista niissä tapauksissa, joissa on kyse useista yleisen tietosuoja-asetuksen samanaikaisista rikkomisista, ja jonka mukaan on niin, että ”jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua”.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan sanamuodosta siis ilmenee, että pelkästään kyseisen asetuksen säännösten sellaiset rikkomiset, joihin rekisterinpitäjä syyllistyy tuottamuksellisesti, eli tahallaan tai huolimattomuudesta tehdyt rikkomiset, voivat johtaa hallinnollisen seuraamusmaksun määräämiseen rekisterinpitäjälle kyseisen artiklan nojalla.

69	Tätä tulkintaa tukevat yleisen tietosuoja-asetuksen yleinen rakenne ja tavoite.

70	Yhtäältä unionin lainsäätäjä on säätänyt seuraamusjärjestelmästä, jonka nojalla valvontaviranomaiset voivat määrätä asianmukaisimmat seuraamukset kuhunkin tapaukseen liittyvien olosuhteiden perusteella.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdassa nimittäin säädetään, että kyseiset viranomaiset voivat määrätä hallinnollisia seuraamusmaksuja kyseisen asetuksen 83 artiklan nojalla kyseisessä 58 artiklan 2 kohdassa lueteltujen korjaavien toimenpiteiden, kuten varoitusten, huomautusten tai määräysten, ”lisäksi tai niiden asemesta”. Samoin mainitun asetuksen johdanto-osan 148 perustelukappaleessa todetaan muun muassa, että jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, valvontaviranomaiset voivat jättää hallinnollisen seuraamusmaksun määräämättä ja antaa sen asemesta huomautuksen.

Kuten tämän tuomion 50 kohdassa todetaan, toisaalta yleisen tietosuoja-asetuksen säännösten tavoitteena on muun muassa varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä unionissa ja tätä varten varmistaa näiden henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa. Lisäksi kyseisen asetuksen johdonmukaisen soveltamisen varmistamiseksi valvontaviranomaisilla on oltava samantasoiset valtuudet seurata ja valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista siten, että ne voivat määrätä kyseisen asetuksen rikkomuksista samantasoisia seuraamuksia.

Se, että on olemassa seuraamusjärjestelmä, jonka avulla voidaan määrätä silloin, kun kuhunkin yksittäistapaukseen liittyvät erityiset olosuhteet sen oikeuttavat, hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan nojalla, merkitsee rekisterinpitäjille ja henkilötietojen käsittelijöille kannustinta noudattaa kyseistä asetusta. Kun hallinnolliset seuraamusmaksut ovat varoittavia, niillä vahvistetaan osaltaan luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä ja ne muodostavat näin ollen keskeisen tekijän, jolla taataan luonnollisten henkilöiden oikeuksien noudattaminen, sen kyseisen asetuksen tarkoituksen mukaisesti, jona on varmistaa luonnollisten henkilöiden korkeatasoinen suojelu henkilötietojen käsittelyssä.

Unionin lainsäätäjä ei ole kuitenkaan katsonut tarpeelliseksi säätää tällaisen korkeatasoisen suojelun varmistamiseksi hallinnollisten seuraamusmaksujen määräämisestä, jos menettely ei ole tuottamuksellista. Kun otetaan huomioon se, että yleisellä tietosuoja-asetuksella pyritään sekä samanarvoiseen että yhtenäiseen suojelun tasoon ja että sitä on tässä tarkoituksessa sovellettava johdonmukaisesti kaikkialla unionissa, olisi tämän tavoitteen vastaista antaa jäsenvaltioille mahdollisuus säätää tällaisesta järjestelmästä seuraamusmaksun määräämiseksi yleisen tietosuoja-asetuksen 83 artiklan nojalla. Tällaisella valinnanvapaudella voitaisiin lisäksi vääristää taloudellisten toimijoiden välistä kilpailua unionissa, mikä olisi ristiriidassa unionin lainsäätäjän etenkin mainitun asetuksen johdanto-osan 9 ja 13 perustelukappaleessa ilmaisemien tavoitteiden kanssa.

On siis todettava, että yleisen tietosuoja-asetuksen 83 artiklan mukaan ei ole mahdollista määrätä hallinnollista seuraamusmaksua sen 4–6 kohdassa tarkoitetusta rikkomisesta, jollei osoiteta, että rekisterinpitäjä on syyllistynyt kyseiseen rikkomiseen tahallaan tai huolimattomuuttaan, joten rikkomisen tuottamuksellisuus on siis tällaisen seuraamusmaksun määräämisen edellytys.

Tältä osin on vielä täsmennettävä siitä, onko rikkominen ollut tahallista tai tuottamuksellista ja voidaanko siitä tästä syystä määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan nojalla, että rekisterinpitäjälle voidaan määrätä seuraamus yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta menettelystä, jos rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista, riippumatta siitä, oliko se tietoinen siitä, että se rikkoi yleisen tietosuoja-asetuksen säännöksiä (ks. analogisesti tuomio 18.6.2013, Schenker & Co. ym., C‑681/11, EU:C:2013:404, 37 kohta oikeuskäytäntöviittauksineen; tuomio 25.3.2021, Lundbeck v. komissio,C‑591/16 P, EU:C:2021:243, 156 kohta ja tuomio 25.3.2021, Arrow Group ja Arrow Generics v. komissio, C‑601/16 P, EU:C:2021:244, 97 kohta).

Kun rekisterinpitäjä on oikeushenkilö, on vielä täsmennettävä, että yleisen tietosuoja-asetuksen 83 artiklan soveltaminen ei edellytä kyseisen oikeushenkilön johtoelimen toimintaa tai edes tietoisuutta (ks. analogisesti tuomio 7.6.1983, Musique Diffusion française ym. v. komissio,100/80–103/80, EU:C:1983:158, 97 kohta ja tuomio 16.2.2017, Tudapetrol Mineralölerzeugnisse Nils Hansen v. komissio,C‑94/15 P, EU:C:2017:124, 28 kohta oikeuskäytäntöviittauksineen).

Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 83 artiklaa on tulkittava siten, että kyseisen säännöksen nojalla voidaan määrätä hallinnollinen seuraamusmaksu yksinomaan, jos osoitetaan, että rekisterinpitäjä, joka on oikeushenkilö ja yritys, on syyllistynyt tahallaan tai tuottamuksellisesti kyseisen artiklan 4–6 kohdassa tarkoitettuun rikkomiseen.

Oikeudenkäyntikulut

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 58 artiklan 2 kohdan i alakohtaa ja 83 artiklan 1–6 kohtaa

on tulkittava siten, että

ne ovat esteenä kansalliselle säännöstölle, jonka mukaan oikeushenkilölle voidaan tämän rekisterinpitäjän ominaisuudessa määrätä hallinnollinen seuraamusmaksu kyseisen 83 artiklan 4–6 kohdassa tarkoitetusta rikkomuksesta vain, jos rikkomus on ensin luettu yksilöidyn luonnollisen henkilön syyksi.

Asetuksen 2016/679 83 artiklaa

on tulkittava siten, että

kyseisen säännöksen nojalla voidaan määrätä hallinnollinen seuraamusmaksu yksinomaan, jos osoitetaan, että rekisterinpitäjä, joka on oikeushenkilö ja yritys, on syyllistynyt tahallaan tai tuottamuksellisesti kyseisen artiklan 4–6 kohdassa tarkoitettuun rikkomiseen.

Allekirjoitukset

( *1 ) Oikeudenkäyntikieli: saksa.