1.

Voiko jäsenvaltion valvontaviranomainen panna yleisen tietosuoja-asetuksen ( 2 ) nojalla kyseisen valtion tuomioistuimessa vireille oikeudellisen menettelyn, joka koskee kyseisen asetuksen väitettyä rikkomista rajatylittävän tietojenkäsittelyn yhteydessä, jos kyseinen viranomainen ei ole tämän käsittelyn osalta johtava valvontaviranomainen?

2.

Vai estääkö uusi ”yhden luukun” järjestelmä, joka on tärkeimpiä yleisellä tietosuoja-asetuksella aikaan saatuja uudistuksia, tällaisen tilanteen? Jos rekisterinpitäjän täytyisi puolustautua rajatylittävää tietojenkäsittelyä koskevassa kanteessa, jonka valvontaviranomainen on nostanut rekisterinpitäjän päätoimipaikan ulkopuolella sijaitsevassa tuomioistuimessa, olisiko ”luukkuja” tällöin yksi liikaa ja olisiko tämä siten ristiriidassa yleisellä tietosuoja-asetuksella käyttöön otetun uuden järjestelmän kanssa?

3.

Yleisen tietosuoja-asetuksen johdanto-osassa todetaan muun muassa seuraavaa: ”Direktiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia [ja] oikeudellista epävarmuutta” (johdanto-osan yhdeksäs perustelukappale); tietosuojasääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa (johdanto-osan kymmenes perustelukappale); valvontaviranomaisten olisi seurattava kyseisen asetuksen sääntöjen soveltamista ja edistettävä sen johdonmukaista soveltamista luonnollisten henkilöiden suojaamiseksi ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla (johdanto-osan 123 perustelukappale); rajatylittävää tietojenkäsittelyä sisältävissä tilanteissa ”rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan viranomaisen olisi toimittava johtavana viranomaisena”, ja kyseisen viranomaisen ”olisi tehtävä yhteistyötä sellaisten muiden viranomaisten kanssa, joita asia koskee” (johdanto-osan 124 perustelukappale).

4.

Yleisen tietosuoja-asetuksen 51 artiklan 1 kohdan mukaan ”kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, jäljempänä ’valvontaviranomainen’”.

5.

Yleisen tietosuoja-asetuksen 55 artiklan 1 kohdassa säädetään, että ”jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella”.

6.

Yleisen tietosuoja-asetuksen 56 artikla koskee johtavan valvontaviranomaisen toimivaltaa. Kyseisen säännöksen 1 kohdassa säädetään seuraavaa:

”Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.”

7.

Yleisen tietosuoja-asetuksen 56 artiklan 2–5 kohdassa säädetään, että poiketen siitä, mitä 1 kohdassa säädetään, ”jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin”. Tällaisia tapauksia voi käsitellä johtava valvontaviranomainen yleisen tietosuoja-asetuksen 60 artiklassa säädettyä menettelyä noudattaen tai, ”jos johtava viranomainen päättää olla käsittelemättä asiaa”, paikallinen valvontaviranomainen yleisen tietosuoja-asetuksen 61 ja 62 artiklan mukaisesti.

8.

Yleisen tietosuoja-asetuksen 56 artiklan 6 kohdassa säädetään, että ”johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta”.

9.

Yleisen tietosuoja-asetuksen 58 artiklan 5 kohdassa, joka koskee valvontaviranomaisten valtuuksia, säädetään seuraavaa:

”Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.”

10.

Yleisen tietosuoja-asetuksen VII luku, jonka otsikko on ”Yhteistyö ja yhdenmukaisuus”, sisältää 60–76 artiklan. Kyseisen asetuksen 60 artiklassa, jonka otsikko on ”Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö”, säädetään yksityiskohtaisesta menettelystä, jota johtavien valvontaviranomaisten on noudatettava rajatylittävässä tietojenkäsittelyssä.

11.

Keskinäistä avunantoa koskevassa yleisen tietosuoja-asetuksen 61 artiklan 2 kohdassa puolestaan säädetään, että valvontaviranomaisten on toteutettava ”kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta”. Yleisen tietosuoja-asetuksen 61 artiklan 8 kohdassa säädetään, että jos valvontaviranomainen ei anna pyydettyjä tietoja, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella, jolloin 66 artiklan 1 kohdassa tarkoitetun tarpeen toteuttaa kiireellisiä toimenpiteitä katsotaan täyttyvän.

12.

Yleisen tietosuoja-asetuksen 65 artiklan, jonka otsikko on ”Euroopan tietosuojaneuvoston kiistanratkaisumenettely”, 1 kohdan a alakohdassa säädetään, että varmistaakseen, että kyseistä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja johdonmukaisesti, Euroopan tietosuojaneuvosto (jäljempänä tietosuojaneuvosto) antaa sitovan päätöksen muun muassa tapauksissa, joissa asianomainen valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen tai jos johtava viranomainen on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen ja/tai perusteltu.

13.

Kiireellistä menettelyä koskevan 66 artiklan 1 kohdassa säädetään, että jos asianomainen valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi johdonmukaisuus- ja yhdenmukaisuusmekanismeista poiketen ”välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta”.

14.

Yleisen tietosuoja-asetuksen VIII luku, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältää 77–84 artiklan. Kyseisen asetuksen 77 artiklan 1 kohdassa myönnetään jokaiselle rekisteröidylle oikeus tehdä valvontaviranomaiselle valitus, joka koskee asetuksen mahdollista rikkomista rekisteröidyn henkilötietojen käsittelyssä, ”erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut”. Yleisen tietosuoja-asetuksen 78 artiklan 1 ja 2 kohdassa annetaan jokaiselle luonnolliselle henkilölle tai oikeushenkilölle oikeus tehokkaisiin oikeussuojakeinoihin muun muassa itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan ja sellaista valvontaviranomaista vastaan, joka ei ole käsitellyt valitusta.

15.

Yksityisyyden suojasta henkilötietojen käsittelyssä 8.12.1992 annetulla lailla (Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, jäljempänä WVP), sellaisena kuin se on muutettuna, saatettiin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY osaksi kansallista oikeusjärjestystä. ( 3 ) Kyseisellä lailla perustettiin muun muassa Commissie voor de bescherming van de persoonlijke levenssfeer (Belgian yksityisyydensuojakomissio). Kyseisen lain 32 §:n 3 momentissa säädetään, että ”[yksityisyydensuojakomission] puheenjohtaja voi saattaa kaikki tämän lain ja sen täytäntöönpanotoimien soveltamista koskevat riidat ensimmäisen oikeusasteen tuomioistuimen käsiteltäväksi, sanotun kuitenkaan rajoittamatta yleisillä tuomioistuimilla yksityisyyden suojaa koskevien yleisten periaatteiden soveltamisessa olevaa toimivaltaa”.

16.

Tietosuojaviranomaisen perustamisesta 3.12.2017 annetun lain (Wet tot oprichting van de Gegevensbeschermingsautoriteit, jäljempänä GBA-laki) – joka tuli voimaan 25.5.2018 – 3 §:llä perustettiin Gegevensbeschermingsautoriteit (Belgian tietosuojaviranomainen, jäljempänä GBA) yksityisyydensuojakomission seuraajaksi. Kyseisen lain 6 §:n mukaan GBA:lla ”on valtuudet saattaa tämän lain ja henkilötietojen käsittelyssä annettavaa suojaa koskevia säännöksiä sisältävien lakien yhteydessä tapahtuneet henkilötietojen suojaa koskevien perusperiaatteiden loukkaamiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille oikeustoimia kyseisten perusperiaatteiden täytäntöönpanemiseksi”.

17.

GBA-lakiin ei sisältynyt erityisiä säännöksiä WVP:n 32 §:n 3 momentin nojalla vireille pannuista oikeustoimista, jotka olivat edelleen vireillä 25.5.2018.

18.

WVP kumottiin luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä 30.7.2018 annetulla lailla (Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens). Kyseisellä lailla pannaan täytäntöön yleisen tietosuoja-asetuksen säännökset, joiden nojalla jäsenvaltioilla on joko velvollisuus tai mahdollisuus ottaa käyttöön yksityiskohtaisempia sääntöjä yleisten sääntöjen lisäksi.

19.

Belgian yksityisyydensuojakomission, josta tuli myöhemmin GBA, puheenjohtaja nosti 11.9.2015 Facebook Inc:tä, Facebook Ireland Ltd:tä ja Facebook Belgium BVBA:ta (jäljempänä yhdessä Facebook) vastaan kanteen Nederlandstalige rechtbank van eerste aanleg Brusselissa (Brysselin hollanninkielinen alioikeus, Belgia). Kyseinen oikeudenkäynti koskee tietosuojalainsäädännön rikkomisia, joihin Facebookin väitettiin syyllistyneen ja joihin kuuluvat muun muassa belgialaisten internetin käyttäjien selailukäyttäytymistä koskevien tietojen lainvastainen kerääminen ja käyttäminen evästeiden (cookies), yhteisöliitännäisten (social plugins) ja jäljitteiden (pixels) kaltaisten tekniikoiden avulla.

20.

GBA väittää lähinnä, että Facebook seuraa ja jäljittää erilaisten tekniikoiden avulla henkilöiden surffaamista verkkosivustolta toiselle ja käyttää kerättyjä tietoja sen jälkeen heidän selailukäyttäytymisensä profilointiin ja sen perusteella heille kohdennettavaan mainontaan tiedottamatta siitä kyseisille henkilöille asianmukaisesti ja pyytämättä heiltä tähän pätevää suostumusta. GBA väittää, että Facebook soveltaa näitä käytäntöjä siitä riippumatta, onko kyseinen henkilö liittynyt Facebookin sosiaalisen verkoston jäseneksi.

21.

GBA vaati, että Facebook velvoitetaan lopettamaan kaikkien Belgian alueelle sijoittautuneiden internetin käyttäjien kohdalla ilman heidän suostumustaan tapahtuva sellaisten evästeiden sijoittaminen, jotka pysyvät kahden vuoden ajan aktiivisina laitteilla, joita kyseiset yksilöt käyttävät tullessaan Facebook.com-palvelimen verkkosivustolle tai kolmannen osapuolen sivustolle, sekä tietojen liiallinen kerääminen yhteisöliitännäisten ja jäljitteiden avulla kolmansien osapuolten verkkosivustoilla. Lisäksi se vaati hävittämään kaikki evästeiden ja yhteisöliitännäisten avulla saadut Belgian alueelle sijoittautuneiden internetin käyttäjien henkilötiedot.

22.

Nederlandstalige rechtbank van eerste aanleg Brusselin presidentti totesi 9.11.2015 antamassaan välitoimimääräyksessä, että kyseinen tuomioistuin on toimivaltainen ratkaisemaan asian ja että kanne voidaan ottaa käsiteltäväksi kaikkien kolmen vastaajan osalta. Kyseisen tuomioistuimen antaman väliaikaisen määräyksen mukaan vastaajien oli myös lopetettava tietyt toiminnot Belgian alueella olevien internetin käyttäjien osalta.

23.

Facebook valitti tästä määräyksestä 2.3.2016 hof van beroep te Brusseliin (Brysselin ylioikeus, Belgia). Kyseinen tuomioistuin muutti ensimmäisen oikeusasteen tuomioistuimen määräystä 29.6.2016 annetulla tuomiolla. Hof van beroep te Brussel totesi, ettei sillä ole toimivaltaa Facebook Inc:tä ja Facebook Ireland Ltd:tä vastaan esitettyjen vaateiden osalta, mutta katsoi olevansa toimivaltainen Facebook Belgium BVBA:ta vastaan esitettyjen vaateiden osalta. Pääasia rajoittuu näin ollen Facebook Belgiumia vastaan esitettyihin vaateisiin. Kyseinen tuomioistuin totesi lisäksi, ettei kiireelliseen käsittelyyn ollut tarvetta.

24.

Hof van beroep te Brusselissa vireillä oleva asia koskee käsittääkseni tällä hetkellä ensimmäisen oikeusasteen tuomioistuimen sittemmin antamasta asiaratkaisusta tehtyä valitusta. Facebook Belgium väittää muutoksenhakumenettelyssä muun muassa, että GBA on sen jälkeen, kun yleisen tietosuoja-asetuksen uusi ”yhden luukun” järjestelmä on otettu käyttöön, menettänyt toimivaltansa jatkaa pääasian käsittelyä, koska se ei ole johtava valvontaviranomainen. Kyseessä olevan rajatylittävän käsittelyn osalta johtava valvontaviranomainen olisi Irlannin Data Protection Commission. Rekisterinpitäjän Euroopan unionissa sijaitseva päätoimipaikka on Irlannissa (Facebook Ireland Ltd).

25.

Hof van beroep te Brussel on tässä tilanteessa päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

26.

Kirjallisia huomautuksia ovat esittäneet Facebook, GBA, Belgian, Tšekin, Italian, Puolan, Portugalin ja Suomen hallitukset sekä Euroopan komissio. Facebook, GBA ja komissio ovat esittäneet myös suullisia huomautuksia 5.10.2020 pidetyssä istunnossa.

27.

Pääasiassa esiin tullut keskeinen kysymys on lyhyesti esitettynä se, voiko GBA jatkaa oikeudenkäyntimenettelyä Facebook Belgiumia vastaan sellaisen henkilötietojen rajatylittävän käsittelyn osalta, joka on tapahtunut sen jälkeen, kun yleinen tietosuoja-asetus tuli sovellettavaksi, koska rekisterinpitäjä on Facebook Ireland Ltd.

28.

Jotta tätä kysymystä voidaan käsitellä, on arvioitava sen järjestelmän ulottuvuutta ja toimintaa, mihin yleisessä tietosuoja-asetuksessa itsessään – sen johdanto-osan 127 perustelukappaleessa – viitataan ”yhden luukun” järjestelmänä. Kyseinen järjestelmä koostuu joukosta sääntöjä, joilla perustetaan rajatylittävää tietojenkäsittelyä varten täytäntöönpanon keskuspiste, jona toimii johtava valvontaviranomainen. Se kuuluu osallistuvien valvontaviranomaisten kanssa yhteistyö- ja yhdenmukaisuusmenettelyjen järjestelmään, jolla on tarkoitus varmistaa kaikkien asiaan liittyvien valvontaviranomaisten osallistuminen.

29.

Yleisen tietosuoja-asetuksen 56 artiklan 1 kohdan mukaan valvontaviranomainen toimii johtavana valvontaviranomaisena sellaisten rekisterinpitäjien tai henkilötietojen käsittelijöiden toteuttaman rajatylittävän käsittelyn osalta, joiden päätoimipaikka tai ainoa toimipaikka on sen alueella. Yleisen tietosuoja-asetuksen 4 artiklan 22 kohdan mukaan valvontaviranomainen toimii osallistuvana valvontaviranomaisena, jos jokin seuraavista vaihtoehtoisista edellytyksistä täyttyy: ”a) rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle; b) käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai c) kyseiselle valvontaviranomaiselle on tehty valitus”.

30.

Ennen ennakkoratkaisukysymysten aineellisen sisällön käsittelyä on esitettävä joitakin alustavia huomautuksia (A). Tarkastelen sen jälkeen ennakkoratkaisua pyytäneen tuomioistuimen esiin ottamia oikeudellisia seikkoja. Keskityn erityisesti ensimmäiseen ennakkoratkaisukysymykseen, koska se muodostaa ennakkoratkaisua pyytäneessä tuomioistuimessa vireillä olevan asian ytimen (B). Tämän jälkeen käsittelen muita ennakkoratkaisukysymyksiä vain lyhyesti, sillä jos ensimmäiseen kysymykseen vastataan tämän ratkaisuehdotuksen mukaisesti, muihin kysymyksiin ei joko ole tarpeen vastata tai niihin annettava vastaus on melko selvä (C).

31.

Huomautan aluksi, että pääasiassa on tiettyjä seikkoja, joita on vaikea täysin ymmärtää.

32.

Ensinnäkin on myönnettävä, ettei pääasiassa esitettyjen kysymysten merkityksellisyys ole mielestäni täysin selvää, koska asianosaisista, joiden vastaisia toimia GBA on pannut vireille, ainoastaan Facebook Belgium näyttää olevan edelleen vastapuolena pääasiassa. ( 4 ) Unionin tuomioistuimelle esitetystä asiakirja-aineistosta ilmenee, ettei kyseinen yhtiö ole yleisen tietosuoja-asetuksen 4 artiklan 16 kohdassa tarkoitettu rekisterinpitäjän ”päätoimipaikka”, eikä – koska se vaikuttaa olevan saman yrityksen toimipaikka – mahdollinen yleisen tietosuoja-asetuksen 26 artiklassa tarkoitettu ”yhteisrekisterinpitäjä”. ( 5 )

33.

Olettamana on kuitenkin, että ennakkoratkaisukysymyksillä on merkitystä asian ratkaisun kannalta. Näin ollen unionin tuomioistuin voi kieltäytyä ratkaisemasta ennakkoratkaisukysymyksiä vain joissakin harvoissa tapauksissa, esimerkiksi silloin, kun unionin tuomioistuimen työjärjestyksen 94 artiklan vaatimukset eivät täyty tai kun on ilmeistä, että unionin oikeuden säännön tulkitsemisella ei ole mitään yhteyttä tosiseikkoihin, tai kun kysymykset ovat luonteeltaan (täysin) hypoteettisia. ( 6 ) Käsiteltävässä asiassa ei nähdäkseni ole kyse tällaisesta tapauksesta. Kysymyksissä ”kuka on kuka” ja ”kuka voidaan asettaa syytteeseen ja mistä tarkalleen” ei ole kyse ainoastaan viime kädessä kansallisen tuomioistuimen tehtävänä olevasta tosiseikkojen arvioinnista vaan tavallaan myös yhdestä unionin tuomioistuimelle esitettyjen kysymysten näkökohdasta.

34.

Toiseksi myöskään pääasian ajallista näkökohtaa ei ole täysin helppo ymmärtää. Kanne pantiin vireille direktiivin 95/46 ollessa voimassa. Se oli edelleen vireillä yleisen tietosuoja-asetuksen tullessa voimaan. Nyt oikeudenkäyntimenettely näyttää kuitenkin koskevan ainoastaan toimintaa, jota on harjoitettu sen jälkeen, kun uusi oikeudellinen kehys tuli sovellettavaksi. Kyse on nimittäin siitä, onko se, että GBA jatkaa menettelyä, yleisen tietosuoja-asetuksen säännösten mukaista, mikä on neljännessä kysymyksessä esiin tuotu seikka. Nämä kysymykset olisivat kuitenkin merkityksellisiä pääasiassa vain, jos kansallinen viranomainen pyrkisi saattamaan päätökseen vireillä olevan menettelyn, joka koskee rikkomista, jonka väitetään tapahtuneen ennen kuin uusi oikeudellinen kehys tuli sovellettavaksi. Jos vireillä oleva menettely koskisi kuitenkin tässä vaiheessa ainoastaan sen jälkeen, kun yleinen tietosuoja-asetus tuli sovellettavaksi, tapahtunutta väitettyä lainvastaisuutta sekä mahdollisesti pyrkimystä saada tuomioistuin määräämään tällaiset käytännöt (välttämättäkin tulevaisuudessa) kielletyiksi, on vaikea ymmärtää, miksi GBA, siltä osin kuin se katsoo olevansa toimivaltainen puuttumaan tilanteeseen, ei päättänyt vireillä olevaa menettelyä eikä menetellyt yleisen tietosuoja-asetuksen merkityksellisten säännösten mukaisesti.

35.

Kolmanneksi GBA viittasi istunnossa Irlannin valvontaviranomaisen ja tietosuojaneuvoston kanssa käymäänsä tiedonvaihtoon, joka koski yhtä Facebookin käyttämää tiedonkeruutekniikkaa (evästeitä). On todettu, että nämä kaksi valvontaviranomaista olivat eri mieltä siitä, kuuluuko kyseinen tekniikka tosiasiallisesti yleisen tietosuoja-asetuksen aineelliseen soveltamisalaan.

36.

Tuossa asiayhteydessä ja siltä osin kuin on kyse nyt käsiteltävästä asiasta lienee syytä huomauttaa, että tietyt tietojenkäsittelytoimet voivat todellakin kuulua useamman kuin yhden unionin lainsäädäntövälineen aineelliseen soveltamisalaan, jolloin kaikkia kyseisiä välineitä sovelletaan samanaikaisesti, jollei toisin säädetä. ( 7 ) Muissa tapauksissa, esimerkiksi silloin, kun ei käsitellä yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa tarkoitettuja henkilötietoja, on kuitenkin selvää, ettei yleistä tietosuoja-asetusta sovelleta.

37.

Jos joidenkin tietojenkäsittelytyyppien väitetty lainvastaisuus johtuu (unionin tai kansallisen) oikeuden muista säännöksistä, yleisessä tietosuoja-asetuksessa säädettyjä menettelyjä ja mekanismeja ei näin ollen sovelleta. Yleistä tietosuoja-asetusta ei voida käyttää väylänä, jonka kautta ”yhden luukun” järjestelmään tuodaan sellaisia toimintatapoja, joilla ei laiminlyödä mitään asetuksessa säädettyä velvoitetta, vaikka niihin sisältyy jonkin verran tietojen siirtoa tai jopa käsittelyä.

38.

Jotta voidaan ratkaista, kuuluuko asia tosiasiallisesti yleisen tietosuoja-asetuksen aineelliseen soveltamisalaan, kansallisen tuomioistuimen – mukaan lukien kaikkien ennakkoratkaisua pyytävien tuomioistuinten – olisi selvitettävä, mihin talouden toimijalla oleva lakisääteinen velvoite, jota sen väitetään laiminlyöneen, perustuu. Jos kyseinen velvoite ei perustu yleiseen tietosuoja-asetukseen, myöskään siinä säädettyjä kyseisen välineen aineelliseen soveltamisalaan liittyviä menettelyjä ei loogisesti voida soveltaa.

39.

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisessä kysymyksessään lähinnä sitä, sallitaanko yleisen tietosuoja-asetuksen säännöksissä, luettuina Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7, 8 ja 47 artiklan valossa, se, että jäsenvaltion valvontaviranomainen saattaa asian kyseisen jäsenvaltion tuomioistuimen käsiteltäväksi sen vuoksi, että tietosuoja-asetusta on väitetysti rikottu rajatylittävässä tietojenkäsittelyssä, vaikka kyseinen viranomainen ei ole ”johtava valvontaviranomainen”.

40.

GBA sekä Belgian, Italian, Puolan ja Portugalin hallitukset esittävät tässä yhteydessä, että unionin tuomioistuimen olisi vastattava tähän kysymykseen myöntävästi, kun taas Facebookilla, Tšekin ja Suomen hallituksilla sekä komissiolla on asiasta päinvastainen näkemys.

41.

Selvitän seuraavassa osassa, miksi en pidä GBA:n sekä Belgian, Italian, Puolan ja Portugalin hallitusten esittämää yleisen tietosuoja-asetuksen tulkintaa vakuuttavana: yleisen tietosuoja-asetuksen sekä sananmukaisen ja systemaattisen (1) että teleologisen ja historiallisen (2) tulkinnan perusteella voidaan päätellä selvästi päinvastaista. Nähdäkseni oikeaa yleisen tietosuoja-asetuksen tulkintaa ei voida ainakaan tällä hetkellä kyseenalaistaa myöskään perusoikeuskirjaan perustuvalla asetuksen tulkinnalla (3) eikä väitetyillä yleisen tietosuoja-asetuksen mahdolliseen puutteelliseen täytäntöönpanoon liittyvillä riskeillä (4).

42.

Asetuksen edellä mainitun erityisen tulkinnan seuraukset eivät mielestäni ole kuitenkaan yhtä voimakkaita kuin Facebookin, Tšekin ja Suomen hallitusten sekä komission ehdottamien tulkintojen seuraukset. Selitän näin ollen, miksi ennakkoratkaisua pyytäneelle tuomioistuimelle annettavan vastauksen olisi oltava näiden kahden tässä oikeudenkäyntimenettelyssä esitetyn kannan välimaastossa: jäsenvaltion valvontaviranomaisella on oikeus saattaa asia kyseisen jäsenvaltion tuomioistuimen käsiteltäväksi sillä perusteella, että tietosuoja-asetusta on väitetysti rikottu rajatylittävässä tietojenkäsittelyssä, vaikka kyseinen viranomainen ei ole johtava valvontaviranomainen, jos se tekee sen yleisessä tietosuoja-asetuksessa tarkoitetuissa tilanteissa ja siinä säädettyjä menettelyjä noudattaen (5).

43.

Ensinnäkin etenkin kun merkityksellisiä säännöksiä tarkastellaan asiayhteyksissään, niiden sanamuoto tukee yleisen tietosuoja-asetuksen tulkintaa, jonka mukaan johtavalla valvontaviranomaisella on yleinen toimivalta rajatylittävässä käsittelyssä ja osallistuvilla valvontaviranomaisilla on näin ollen rajoitettu toimivalta toteuttaa toimia tässä yhteydessä.

44.

Yleisen tietosuoja-asetuksen 56 artiklan 1 kohdassa säädetään, että ”rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti”. ( 8 ) Yleisen tietosuoja-asetuksen 56 artiklan 6 kohdan mukaan ”johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta”. ( 9 ) Johdanto-osan 124 perustelukappale vastaa kyseisiä säännöksiä, ja siinä todetaan lähinnä, että rajatylittävän käsittelyn tapauksessa ”rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan viranomaisen olisi toimittava johtavana viranomaisena”. ( 10 )

45.

Johtavan valvontaviranomaisen yleisen toimivallan rajatylittävässä tietojenkäsittelyssä vahvistaa myös se, että tilanteet, joissa rajatylittävää käsittelyä koskeva toimivalta annetaan muille valvontaviranomaisille, kuvataan poikkeuksina yleisestä säännöstä. Erityisesti yleisen tietosuoja-asetuksen 55 artiklan 2 kohdassa johtavan valvontaviranomaisen toimivalta suljetaan pois tietyssä tietojenkäsittelyssä, jonka ”suorittavat viranomaiset”. Yleisen tietosuoja-asetuksen 56 artiklan 2 kohdassa säädetään lisäksi, että poiketen periaatteesta, jonka mukaan toimivalta on johtavalla valvontaviranomaisella, ”jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin”.

46.

Lisäksi ”kiireellistä menettelyä” koskevassa yleisen tietosuoja-asetuksen 66 artiklassa annetaan kullekin osallistuvalle valvontaviranomaiselle ”poikkeuksellisissa olosuhteissa” yleisen tietosuoja-asetuksen 60, 63, 64 ja 65 artiklassa tarkoitetuista yhteistyö- ja yhdenmukaisuusmekanismeista ”poiketen” valtuudet välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta, silloin, kun on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi.

47.

Yleisen tietosuoja-asetuksen sanamuodon perusteella on nähdäkseni siksi varsin selvää, että rajatylittävässä käsittelyssä toimivalta on yleensä johtavalla valvontaviranomaisella ja poikkeustapauksessa muilla valvontaviranomaisilla. ( 11 )

48.

GBA ja jotkin hallitukset kuitenkin kiistävät yleisen tietosuoja-asetuksen tällaisen tulkinnan. Niiden mielestä merkityksellisten säännösten sanamuodon perusteella millä tahansa valvontaviranomaisella on (lähes rajoittamaton) oikeus panna vireille oikeudellinen menettely valvontaviranomaisen alueella vaikuttavan mahdollisen rikkomisen vuoksi siitä riippumatta, onko käsittely rajatylittävää. Ne esittävät lähinnä kaksi argumenttia.

49.

Ne väittävät ensinnäkin, että 56 artiklan 1 kohdan lopussa oleva ilmaisu ”sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista” tarkoittaa, että johtavalle valvontaviranomaiselle ensiksi mainitussa säännöksessä annettu toimivalta ei voi rajoittaa toiseksi mainitussa säännöksessä jokaiselle valvontaviranomaiselle myönnettyjä valtuuksia, ei myöskään oikeudellisen menettelyn vireillepanoa koskevia valtuuksia.

50.

Tämä väite ei ole mielestäni vakuuttava.

51.

Yleisen tietosuoja-asetuksen 55 artiklan 1 kohdassa säädetään periaatteesta, jonka mukaan jokaisella valvontaviranomaisella on ”sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella”. Kyseiset tehtävät luetellaan yleisen tietosuoja-asetuksen 57 artiklassa. Valtuudet luetellaan kyseisen asetuksen 58 artiklassa. Annettuihin tehtäviin kuuluvat erityisesti yleisen tietosuoja-asetuksen soveltamisen valvominen ja täytäntöönpano (57 artiklan 1 kohdan a alakohta). Kyseisen asetuksen 58 artiklassa valvontaviranomaisille annetaan erilaisia tutkintavaltuuksia (1 kohta), korjaavia toimivaltuuksia (2 kohta), hyväksymis- ja neuvontavaltuuksia (3 kohta) sekä valtuudet käynnistää oikeustoimet (5 kohta).

52.

Kyseiset säännökset – joihin 55 artiklassa implisiittisesti viitataan – kattavat pohjimmiltaan kaikki tehtävät ja valtuudet, jotka valvontaviranomaisille annetaan yleisellä tietosuoja-asetuksella. Jos noudatettaisiin GBA:n ja tiettyjen hallitusten esittämää tulkintaa, johtavan valvontaviranomaisen yleiseen toimivaltaan ei jäisi käytännössä mitään, minkä vuoksi 56 artikla menettäisi merkityksensä. Johtava valvontaviranomainen ei olisi ”ainoa” yhteystaho, eikä se ”johtaisi” muita valvontaviranomaisia millään tavalla. Sen roolina olisi luultavasti toimia ainoastaan ”tiedotuspisteenä” ilman selvästi määriteltyä tehtävää.

53.

Johtavalle valvontaviranomaiselle annetun tehtävän ja implisiittisesti yhden luukun järjestelmän merkitys tulee vielä selkeämmäksi, kun kaikkia kyseisiä säännöksiä luetaan yhdessä ja asiayhteyksissään.

54.

Ensimmäinen osoitus tästä on 56 artiklan näkyvä asema yleisen tietosuoja-asetuksen järjestelmässä. Kyseinen 56 artikla on yleisen tietosuoja-asetuksen asianomaisen osion (VI luvun ”Riippumattomat valvontaviranomaiset” 2 jakso ”Toimivalta, tehtävät ja valtuudet”) toinen säännös, joka tulee heti toimivaltaa koskevan yleisen säännöksen jälkeen ennen tehtäviä ja valtuuksia koskevia muita yleisiä säännöksiä. Unionin lainsäätäjä on siksi päättänyt korostaa johtavan valvontaviranomaisen toimivallan keskeistä merkitystä, ennen kuin se esittää yksityiskohtaisesti kaikkien valvontaviranomaisten erityiset tehtävät ja valtuudet.

55.

Vieläkin oleellisempaa on se, että myös yleisen tietosuoja-asetuksen VII luvun (jonka otsikko on ”Yhteistyö ja yhdenmukaisuus”) säännökset tukevat johtavan valvontaviranomaisen roolin tärkeyttä, sillä kyseisessä luvussa säädetään erilaisista menettelyistä ja mekanismeista, joita valvontaviranomaisten on noudatettava, jotta ne voivat varmistaa yleisen tietosuoja-asetuksen johdonmukaisen soveltamisen. Erityisesti kyseisen luvun alussa olevassa 60 artiklassa, johon 56 artiklan 1 kohdassa viitataan, säädetään ”johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välistä yhteistyötä” koskevasta menettelystä.

56.

On selvää, että kyseistä menettelyä on tarkoitus noudattaa silloin, kun rajatylittävän käsittelyn vastaiset täytäntöönpanotoimenpiteet ovat tarpeen. Tämä menettely ei ole, kuten eivät myöskään yleisen tietosuoja-asetuksen VII luvussa säädetyt muut menettelyt, valinnainen. Erityisesti yleisen tietosuoja-asetuksen 51 artiklan 2 kohdan ja 63 artiklan velvoittava sanamuoto tarkoittaa yksiselitteisesti sitä, että valvontaviranomaisten on tehtävä yhteistyötä ja että niiden on tehtävä sitä siten, että ne (ehdottomasti) käyttävät tähän tarkoitukseen säädettyjä menettelyjä ja mekanismeja.

57.

Näin ollen 56 artiklan 1 kohtaan sisältyvällä ilmaisulla ”sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista” on eri merkitys kuin GBA esittää. Tämä ilmaisu tarkoittaa asiayhteydessä, johon se on sijoitettu, nähdäkseni vain sitä, että vaikka yksittäisessä tapauksessa johtava valvontaviranomainen on yleisen tietosuoja-asetuksen 56 artiklan mukaisesti toimivaltainen kyseisessä rajatylittävää käsittelyä sisältävässä tapauksessa, kaikki valvontaviranomaiset säilyttävät luonnollisesti yleisen tietosuoja-asetuksen 55 (ja 58) artiklan nojalla saamansa yleiset valtuudet.

58.

Yleisen tietosuoja-asetuksen 55 artiklan 1 kohdan mukaan jäsenvaltioiden on annettava valvontaviranomaiselle mahdollisuus hoitaa asetuksessa säädettyjä tehtäviä ja käyttää siinä säädettyjä valtuuksia. Kyseisessä säännöksessä annetaan siis jokaiselle valvontaviranomaiselle yleiset valtuudet (tai yleinen toimivalta) toimia oman alueensa osalta, ja tämä pätee siitä riippumatta (”sanotun kuitenkaan rajoittamatta”), onko käsittely luonteeltaan rajatylittävää ja, jos on, toimiiko kyseessä oleva viranomainen johtavana vai osallistuvana valvontaviranomaisena. ( 12 ) Yleisen tietosuoja-asetuksen 55 artiklaa ei kuitenkaan sovelleta tilanteisiin, joissa, eikä tapaan, jolla kyseisiä toimintavaltuuksia käytetään yksittäisessä tapauksessa. Niihin sovelletaan nimittäin yleisen tietosuoja-asetuksen muita säännöksiä, erityisesti VII lukuun sisältyviä säännöksiä. Kyseisten säännösten mukaan se, voiko valvontaviranomainen käyttää yleisiä toimintavaltuuksia, ja tapa, jolla se käyttää niitä, riippuu muun muassa siitä, onko tämä viranomainen tietyn rekisterinpitäjän tai henkilötietojen käsittelijän osalta johtava vai osallistuva valvontaviranomainen. ( 13 )

59.

Tässä yhteydessä ja lopputuloksen osalta yhdyn siksi näkemykseen, jonka tietosuojaneuvosto on esittänyt viitatessaan äskettäin antamassaan lausunnossa yleisen tietosuoja-asetuksen 56 artiklan 1 kohtaan ”ensisijaisena sääntönä” ja ”erityissäännöksenä”: kyseinen säännös ”asetetaan [yleisen tietosuoja-asetuksen 55 artiklan yleiseen säännökseen nähden] etusijalle aina säännöksessä määritellyt vaatimukset täyttävässä käsittelytilanteessa”. ( 14 )

60.

Katson näin ollen, että GBA ja tietyt hallitukset tulkitsevat yleisen tietosuoja-asetuksen 55 artiklaa ja 56 artiklan 1 kohtaa väärin. Kyseiset osapuolet irrottavat 56 artiklan 1 kohdassa olevan virkkeen ensimmäisen osan asiayhteydestään kääntääkseen säännön ja poikkeuksen välisen suhteen. Tämä vesittää useiden yleisen tietosuoja-asetuksen säännösten normatiivisen sisällön ja tekee tyhjäksi muun muassa asetuksen johdanto-osan kymmenennessä perustelukappaleessa korostetun tavoitteen, joka on tietosuojasääntöjen aiempaa johdonmukaisemman ja yhtenäisemmän soveltamisen varmistaminen. Tämä merkitsisi pohjimmiltaan paluuta aikaisempaan direktiivin 95/46 mukaiseen sääntelyyn.

61.

Toiseksi GBA ja jotkin hallitukset väittävät, että yleisen tietosuoja-asetuksen 58 artiklan 5 kohdan sanamuodosta seuraa, että kaikilla valvontaviranomaisilla on oltava mahdollisuus panna vireille oikeudellinen menettely minkä tahansa niiden alueella vaikuttavan tietosuojasääntöjen mahdollisen rikkomisen vuoksi käsittelyn (paikallisesta tai rajatylittävästä) luonteesta riippumatta. Niiden mielestä tästä seuraa, että vaikka yhden luukun järjestelmää tulkittaisiin siten, että sillä rajoitetaan muiden valvontaviranomaisten toimivaltaa rajatylittävän käsittelyn osalta, nämä rajoitukset koskevat yksinomaan hallintotoimia eivätkä oikeudellista menettelyä.

62.

Myös tämä toinen väite on mielestäni perusteeton. Siinä on sama vika kuin aiemmassa väitteessä: yleisen tietosuoja-asetuksen erityissäännöstä tarkastellaan ”kliinisesti erillään” asetuksen muista osista ja siihen tulkitaan samalla liikaa sisältöä.

63.

Yleisen tietosuoja-asetuksen 58 artiklan 5 kohdassa säädetään seuraavaa: ”Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.”

64.

Kyseisessä säännöksessä jäsenvaltiot velvoitetaan yhtäältä antamaan valvontaviranomaisille mahdollisuus ylläpitää tiiviitä yhteyksiä lainkäyttöviranomaisiin (myös mahdollisesti rikoksia käsitteleviin viranomaisiin) ja toisaalta myöntämään valvontaviranomaisille (sekä passiivinen että aktiivinen) asiavaltuus panna vireille menettelyjä niiden kansallisissa tuomioistuimissa. Toisin sanoen valvontaviranomaisten on lähtökohtaisesti voitava tehdä yhteistyötä lainkäyttöviranomaisten kanssa ja tarvittaessa panna vireille oikeudellisia menettelyjä. Unionin lainsäätäjä piti käsittääkseni tällaista nimenomaista säännöstä tarpeellisena, koska direktiivin 95/46 28 artiklan 3 kohdan ( 15 ) sanamuodosta huolimatta jäsenvaltioiden tätä asiaa koskevien lainsäädäntöjen välillä oli huomattavia eroja, mikä puolestaan aiheutti puutteelliseen täytäntöönpanoon liittyviä ongelmia. ( 16 ) Nyt käsiteltävä asia, joka pantiin vireille kyseisen direktiivin ollessa vielä voimassa, on esimerkki tästä: siinä on tullut esiin kansallisen oikeuden perusteella yksityisyydensuojakomission asiavaltuuteen ja sen puheenjohtajan nostaman kanteen oikeusperustan asianmukaisuuteen liittyviä kysymyksiä.

65.

Kuten edellä jo todettiin, ( 17 ) yleisen tietosuoja-asetuksen 58 artiklan 5 kohdassa säädetään kuitenkin valtuuksista, jotka on annettava poikkeuksetta kaikille valvontaviranomaisille tässä vaiheessa riippumatta sen määrittämisestä (tai ennen sen määrittämistä), olisiko kyseinen viranomainen yksittäisessä tapauksessa toimivaltainen johtava valvontaviranomainen vai osallistuva valvontaviranomainen vai eikö asia koskisi sitä mahdollisesti lainkaan. Yleisen tietosuoja-asetuksen 58 artiklan 5 kohdassa ei säädetä tilanteista, joissa, eikä tavasta, jolla tätä valtuutta panna vireille oikeudellisia menettelyjä on käytettävä. Luultavasti myös tästä syystä kyseiseen säännökseen sisältyy ilmaisu ”tarvittaessa”. Se on yleisen tietosuoja-asetuksen muiden säännösten tavoite.

66.

Yleisen tietosuoja-asetuksen 58 artiklan sanamuodosta eikä rakenteesta ei myöskään ilmene, että viranomaisten hallinnollisten valtuuksien (joihin sovellettaisiin yhden luukun järjestelmästä johtuvia rajoituksia) ja oikeudellisen menettelyn vireillepanoa koskevien valtuuksien (joihin ei sovellettaisi kyseisiä rajoituksia) välillä voidaan tehdä ero, kuten GBA väittää. Kyseisessä säännöksessä luetellaan kohta kohdalta valvontaviranomaisille myönnettävät eri valtuudet ja ryhmitellään ne tarkoituksen mukaan (esim. tutkintavaltuudet, korjaavat toimintavaltuudet ja neuvontavaltuudet). Kyseisten kohtien sanamuoto on melko samanlainen, ja niissä todetaan lähinnä, että jokaisella valvontaviranomaisella on niissä mainitut valtuudet.

67.

Tästä syystä 58 artiklan 5 kohtaa ei ole mielestäni perusteltua tulkita eri tavoin kuin saman artiklan 1–3 kohtaa. Kahdesta seuraavasta vain toinen voi pitää paikkansa: joko jokaisella valvontaviranomaisella on kaikki nämä valtuudet, joita ei rajoiteta yhden luukun järjestelmässä, tai kaikkia näitä valtuuksia on käytettävä asetuksessa säädettyjen menettelyjen mukaisesti ja siinä asetetuissa rajoissa.

68.

Edellä tämän ratkaisuehdotuksen 51 ja 52 kohdassa esitetyistä syistä ensin mainittu vaihtoehto on perusteeton. Kun yleisen tietosuoja-asetuksen 58 artiklaa luetaan asiayhteydessään, on tosiasiallisesti selvää, että ainoastaan päinvastainen kuin se, mitä GBA ja jotkin hallitukset väittävät, voi pitää paikkansa.

69.

Jokaisen valvontaviranomaisen on nimittäin edistettävä asetuksen asianmukaista ja johdonmukaista soveltamista. Tätä tarkoitusta varten jokaisen valvontaviranomaisen on – siitä riippumatta, toimiiko se johtavana vai osallistuvana valvontaviranomaisena tietyssä yksittäistapauksessa – esimerkiksi tutkittava sille tehdyt valitukset asianmukaista huolellisuutta noudattaen. ( 18 ) Vaikka väitetyt rikkomiset koskevat rajatylittävää käsittelyä eikä viranomainen ole johtava valvontaviranomainen, muiden valvontaviranomaisten pitäisi nimittäin voida tutkia asia, jotta ne voivat osallistua mielekkäällä tavalla, kun niitä kehotetaan siihen yhteistyö- ja yhdenmukaisuusmekanismien puitteissa, ( 19 ) tai toteuttaa kiireellisiä toimenpiteitä. Sitovien päätösten, joilla yleinen tietosuoja-asetus pannaan täytäntöön henkilötietojen käsittelijään tai rekisterinpitäjään nähden, antaminen on tällöin kuitenkin yleensä johtavan viranomaisen tehtävä. ( 20 ) Kuten erityisesti hiljattain annetusta tuomiosta Facebook Ireland ja Schrems ilmenee, ”toimivaltaisen kansallisen valvontaviranomaisen – – on voitava – –tarvittaessa nostaa kanne kansallisissa tuomioistuimissa”. ( 21 ) Väite, jonka mukaan valvontaviranomaiset voisivat olla noudattamatta yhdenmukaisuus- ja yhteistyömekanismeja, kun ne haluavat panna vireille oikeudellisia menettelyjä, ei ole siksi sopusoinnussa yleisen tietosuoja-asetuksen sanamuodon ja unionin tuomioistuimen oikeuskäytännön kanssa.

70.

Käytännön kannalta tarkasteltuna olisi lisäksi epäloogista estää viranomaista aloittamasta hallinnollista menettelyä, jotta asianomaisten toimijoiden kanssa voitaisiin keskustella tietosuojasääntöjen oletetusta rikkomisesta, mutta antaa saman viranomaisen panna välittömästi vireille samaa asiaa koskevat oikeustoimet tuomioistuimessa. Oikeusriita on usein viimeinen keino, jota viranomainen todennäköisesti käyttää, jos asiaa ei voida käsitellä tehokkaasti (muodollisilla tai epämuodollisilla) keskusteluilla ja hallinnollisilla päätöksillä.

71.

GBA:n ehdottama rajanveto, jonka mukaan valvontaviranomainen ei voisi (hallinnollisesti) tutkia, valmistella ja prosessoida asiaa eikä tehdä päätöksiä, mutta voisi sen sijaan välittömästi panna vireille oikeudellisen menettelyn tuomioistuimessa, uhkaa tehdä hallintoviranomaisista epäilyttäviä lännensankareita, jotka ampuvat ensin ja puhuvat (ehkä) vasta sitten, jos lainkaan (”jos sinun on ammuttava, ammu äläkä puhu” ( 22 )). En ole varma, olisiko tämä hallintoviranomaisille järkevä tai asianmukainen tapa käsitellä tietosuojasääntöjen oletettua rikkomista.

72.

Vielä oleellisempaa on se, että jos valvontaviranomaiset voisivat vapaasti panna vireille menettelyjä kansallisissa tuomioistuimissa silloin, kun ne eivät voi käyttää hallinnollisia valtuuksiaan soveltamatta asetuksessa säädettyjä yhteistyö- ja yhdenmukaisuusmekanismeja, kyseisiä mekanismeja olisi tällöin helppo kiertää. Etenkin silloin, jos päätösluonnoksesta ei päästä yksimielisyyteen, sekä johtava valvontaviranomainen että (jokainen) osallistuva valvontaviranomainen voisi ”ottaa tilanteen omiin käsiinsä” ja panna vireille menettelyn kansallisissa tuomioistuimissa ja sivuuttaa näin yleisen tietosuoja-asetuksen 60 artiklan 4 kohdassa ja 65 artiklassa säädetyn menettelyn.

73.

Tällöin myös yhdestä tietosuojaneuvoston keskeisestä tehtävästä tulisi merkityksetön; kyseinen elin on perustettu yleisellä tietosuoja-asetuksella, ja sen muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu. ( 23 ) Tietosuojaneuvoston yhtenä tehtävänä on nimenomaan yleisen tietosuoja-asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen, jos eri valvontaviranomaisten välillä on erimielisyyttä. ( 24 ) Tällaisissa tapauksissa tietosuojaneuvosto toimii riidanratkaisu- ja päätöksentekoelimenä. Jos GBA:n ja joidenkin hallitusten puolustamaa tulkintaa noudatettaisiin, yleisen tietosuoja-asetuksen 65 artiklassa säädetty menettely voitaisiin sivuuttaa kokonaan: jokainen viranomainen voisi kulkea omaa tietään välittämättä tietosuojaneuvostosta.

74.

Seurauksena oleva tilanne näyttäisi olevan juuri päinvastainen kuin mitä unionin lainsäätäjä pyrki saavuttamaan uudella järjestelmällä, kuten seuraavassa osassa selitetään.

75.

Yleisen tietosuoja-asetuksen johdanto-osan yhdeksännestä perustelukappaleesta ilmenee unionin lainsäätäjän katsoneen, että ”direktiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät”, mutta kyseisen välineen avulla ”ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan – – luonnollisten henkilöiden suojelun kannalta [on olemassa] huomattavia riskejä”.

76.

Johdonmukaisuuden varmistamisen tarpeesta tuli siten ”pelin henki” oikeudellisessa välineessä, jolla korvattiin direktiivi 95/46. Tätä tavoitetta pidettiin tärkeänä kahdesta näkökulmasta: yhtäältä siksi, että voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen ja korkeatasoinen suoja, ja toisaalta siksi, että voitaisiin poistaa henkilötietojen liikkuvuuden esteet unionissa sekä taata oikeusvarmuus ja läpinäkyvyys talouden toimijoille. ( 25 )

77.

Jälkimmäistä näkökohtaa olisi painotettava. Direktiivin 95/46 nojalla koko unionin alueella toimivat talouden toimijat olivat velvollisia noudattamaan erilaisia kansallisia säännöksiä, joilla direktiivi pantiin täytäntöön, ja tekemään samaan aikaan yhteistyötä kaikkien kansallisten tietosuojaviranomaisten kanssa. Tämä tilanne oli talouden toimijoille kallis, työläs ja aikaa vievä sekä aiheutti väistämättä myös epävarmuutta ja ristiriitoja kyseisille toimijoille ja niiden asiakkaille. ( 26 )

78.

Direktiivillä 95/46 perustetun järjestelmän rajat tulivat ilmi myös joissakin unionin tuomioistuimen tuomioissa. Unionin tuomioistuin totesi tuomiossa Weltimmo, että alueellisuuden periaate rajoittaa tiukasti tietosuojaviranomaisten toimivaltuuksia: kyseiset viranomaiset voivat toteuttaa ainoastaan niiden omalla alueella tapahtuvan rikkomisen vastaisia toimia, ja niiden on kaikissa muissa tapauksissa pyydettävä muiden jäsenvaltioiden viranomaisia toimimaan. ( 27 ) Tuomiossa Wirtschaftsakademie Schleswig-Holstein unionin tuomioistuin totesi, että rajatylittävän käsittelyn tapauksessa kukin tietosuojaviranomainen voi käyttää toimintavaltuuksiaan alueelleen sijoittautuneeseen elimeen nähden riippumatta sen jäsenvaltion tietosuojaviranomaisen näkemyksistä ja toimista, jossa käsittelystä vastaavalla elimellä on kotipaikka. ( 28 )

79.

Tietojenkäsittelyn virtuaalisessa maailmassa eri viranomaisten toimivallan jakaminen alueittain on kuitenkin usein ongelmallista. ( 29 ) Lisäksi selkeiden koordinointimenettelyjen puuttuminen kansallisten viranomaisten väliltä aiheutti epäjohdonmukaisuutta ja epävarmuutta.

80.

Ottamalla käyttöön yhden luukun järjestelmän, jossa johtavalla valvontaviranomaisella on merkittävä asema ja johon sisältyy yhteistyömekanismeja muiden valvontaviranomaisten vetämiseksi mukaan asian käsittelyyn, oli tarkoitus torjua juuri näitä ongelmia. ( 30 ) Tuomiossa Google (hakutulosten luettelosta poistamisen alueellinen ulottuvuus) unionin tuomioistuin korosti yhteistyö- ja yhdenmukaisuusmekanismien tärkeyttä yleisen tietosuoja-asetuksen asianmukaisen ja johdonmukaisen soveltamisen kannalta sekä niiden pakollisuutta. ( 31 ) Tämän jälkeen myös julkisasiamies Saugmandsgaard Øe korosti ratkaisuehdotuksessa Facebook Ireland ja Schrems, että yleisen tietosuoja-asetuksen VII luvussa säädetyillä yhteistyö- ja yhdenmukaisuusmekanismeilla on tarkoitus välttää se vaara, että eri valvontaviranomaisilla on eri lähestymistapa rajatylittävään käsittelyyn. ( 32 )

81.

Kuten GBA korostaa, pitää paikkansa, että sekä neuvosto että parlamentti pyrkivät lainsäädäntömenettelyn aikana rajoittamaan komission alkuperäisen suunnitelman mukaista johtavan valvontaviranomaisen toimivaltaa. Yleisen tietosuoja-asetuksen lopulliseen tekstiin lopulta sisällytetyt muutokset eivät kuitenkaan herätä epäilyjä edellä esitetystä asetuksen tulkinnasta vaan pikemminkin vahvistavat sen.

82.

Komission alkuperäisen ehdotuksen mukaan yhden luukun järjestelmä tarkoittaa sitä, että rajatylittävässä käsittelyssä yhden ainoan valvontaviranomaisen (johtavan valvontaviranomaisen) on oltava vastuussa rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan valvonnasta kaikkialla unionissa ja tehtävä sitä koskevia päätöksiä. ( 33 ) Tämä ehdotus herätti kuitenkin keskusteluja neuvostossa ja parlamentissa.

83.

Neuvosto hyväksyi lopulta tekstin puheenjohtajavaltion esittämän ehdotuksen perusteella. ( 34 ) Kyseisessä ehdotuksessa ei millään tavoin kyseenalaistettu sellaisenaan yhden luukun järjestelmää, jonka neuvosto toteaa olevan ”yksi” uuden lainsäädäntökehyksen ”keskeisistä kohdista”. ( 35 ) Puheenjohtajan ehdotus johti lopulta kahteen melko erityisten tarkistusten ryhmään.

84.

Ensinnäkin neuvosto halusi ottaa käyttöön tiettyjä johtavan valvontaviranomaisen yleistä toimivaltaa koskevia poikkeuksia, jotka liittyivät viranomaisten suorittamaan käsittelyyn ja paikallisiin tilanteisiin. Neuvosto ehdotti siksi kahden sellaisen säännöksen käyttöönottoa, jotka eivät sisältyneet komission ehdotukseen ( 36 ) ja jotka ovat nyt yleisen tietosuoja-asetuksen 55 artiklan 2 kohta ja 56 artiklan 2 kohta. ( 37 )

85.

Toiseksi neuvosto halusi supistaa johtavan valvontaviranomaisen roolia ja toimivaltaa lisäämällä menettelyn osallistavuutta. Komission ehdotuksen tekstiä pidettiin tältä osin hieman epäselvänä, ja sen katsottiin saattavan jopa johtaa johtavan valvontaviranomaisen yksinomaiseen toimivaltaan rajatylittävässä tietojenkäsittelyssä. Tekstiin tehtiin joitakin muutoksia, jotta voitiin lisätä rekisteröityjen ja valvontaviranomaisten välistä ”läheisyyttä”. ( 38 ) Muun muassa muiden valvontaviranomaisten osallistumista päätöksentekoprosessiin lisättiin huomattavasti.

86.

Myös Euroopan parlamentti tuki yhden luukun järjestelmän perustamista ja johtavan valvontaviranomaisen roolin vahvistamista, mutta ehdotti valvontaviranomaisten välisen yhteistyöjärjestelmän tehostamista. Tämä todetaan varsin selvästi sekä parlamentin mietintöluonnoksen perusteluissa ( 39 ) että 12.3.2014 annetussa Euroopan parlamentin lainsäädäntöpäätöslauselmassa ( 40 ).

87.

Lähinnä neuvoston ja parlamentin toiminnan ansiosta aiemmin voimakkaasti johtavaan valvontaviranomaiseen nojautuneesta yhden luukun järjestelmästä tuli tasapainoisempi kahden pilarin järjestelmä: johtavalla valvontaviranomaisella on edelleen johtava asema rajatylittävässä käsittelyssä, mutta myös muiden valvontaviranomaisten roolia on vahvistettu siten, että ne osallistuvat aktiivisesti prosessiin yhteistyö- ja yhdenmukaisuusmekanismien kautta, ja tietosuojaneuvosto toimii sovittelijana ja ohjaajana erimielisyyksissä.

88.

Yleisen tietosuoja-asetuksen teleologinen ja historiallinen tulkinta vahvistavat siten yhden luukun järjestelmän tärkeyden ja näin ollen johtavan valvontaviranomaisen yleisen toimivallan rajatylittävässä tietojenkäsittelyssä. GBA:n ja tiettyjen hallitusten ehdottama yleisen tietosuoja-asetuksen säännösten tulkinta ei sovi yhteen unionin lainsäätäjän aikomuksen kanssa sellaisena kuin se voidaan päätellä asetuksen johdanto-osasta ja säännöksistä sekä valmisteluasiakirjoista.

89.

Katson näin ollen, että sanamuodon mukainen, asiayhteyteen perustuva, teleologinen ja historiallinen lähestymistapa yleisen tietosuoja-asetuksen merkityksellisten säännösten tulkintaan vahvistaa, että valvontaviranomaisten on noudatettava asetukseen sisältyviä toimivaltaa sekä yhteistyö- ja yhdenmukaisuusmekanismeja ja ‑menettelyjä koskevia säännöksiä. Rajatylittävässä käsittelyssä kyseisten viranomaisten on toimittava yleisessä tietosuoja-asetuksessa säädetyissä puitteissa.

90.

GBA ja tietyt hallitukset esittävät kuitenkin lisäksi kahdenlaisia väitteitä, jotka niiden mielestä tukevat kaikkien valvontaviranomaisten yksipuolista toimintaa koskevien valtuuksien vahvistamista myös rajatylittävässä käsittelyssä. Seuraavissa osissa selitän, miksi näiden väitteiden ei ainakaan tällä hetkellä pitäisi kyseenalaistaa edellä esittämääni yleisen tietosuoja-asetuksen tulkintaa.

91.

GBA pysyy näkemyksessään, jonka mukaan perusoikeuskirjan 7, 8 ja 47 artiklan noudattaminen edellyttää valvontaviranomaisten rajoittamatonta toimivaltaa panna vireille oikeudellisia menettelyjä henkilötietojen käsittelijöitä ja rekisterinpitäjiä vastaan, myös luonteeltaan rajatylittävän käsittelyn yhteydessä. Tätä asiaa koskevien GBA:n väitteiden taustalla näyttää olevan kaksi keskeistä huolenaihetta, vaikka kumpaakaan niistä ei ole tuotu selkeästi esiin sen huomautuksissa. ( 41 )

92.

GBA:n ensimmäinen huolenaihe näyttää liittyvän niiden viranomaisten määrän vähentymiseen, jotka voivat toteuttaa toimia tietyn menettelytavan yhteydessä. Tähän näkemykseen näyttää sisältyvän hiljainen olettama siitä, että suojan korkea taso edellyttää useita viranomaisia, jotka voivat varmistaa yleisen tietosuoja-asetuksen noudattamisen jopa toimimalla samanaikaisesti. Yksinkertaisesti sanottuna mitä useampi viranomainen on mukana, sitä korkeampi on suojan taso.

93.

Tämä ei välttämättä pidä paikkaansa ainakaan suojan tason osalta.

94.

On totta, kuten unionin tuomioistuin totesi, että unionin tietosuojalainsäädännöllä, luettuna perusoikeuskirjan 7 ja 8 artiklan valossa, pyritään varmistamaan tietosuojan korkea taso, muun muassa perusoikeus yksityiselämän kunnioitukseen henkilötietojen käsittelyssä. ( 42 )

95.

Unionin lainsäätäjä on kuitenkin katsonut, että jotta voitaisiin varmistaa ”korkeatasoinen luonnollisten henkilöiden suojelu”, tarvitaan ”vahva ja johdonmukaisempi tietosuojakehys”. ( 43 ) Yleisessä tietosuoja-asetuksessa säädetyllä kehyksellä on siksi tarkoitus varmistaa yhdenmukaisuus kaikilla tasoilla: niin luonnollisten henkilöiden, talouden toimijoiden, rekisterinpitäjien ja henkilötietojen käsittelijöiden kuin valvontaviranomaistenkin tasolla. ( 44 ) Yleisellä tietosuoja-asetuksella pyritään sen johdanto-osan 116 perustelukappaleen mukaisesti edistämään viimeksi mainittujen ”tiiviimpää keskinäistä yhteistyötä”. ( 45 )

96.

Toisin kuin GBA väitti, pyrkimys taata rekisteröidyillä olevien oikeuksien ja vapauksien korkeatasoinen suojelu sopii näin ollen – unionin lainsäätäjän käsityksen mukaan – täysin yhteen edellä kuvatun yhden luukun järjestelmän toiminnan kanssa. Sallimalla johdonmukaisempi, tehokkaampi ja läpinäkyvämpi lähestymistapa asiaan yleisessä tietosuoja-asetuksessa säädetyillä yhteistyö- ja yhdenmukaisuusmekanismeilla olisi edistettävä sitä, että muun muassa perusoikeuskirjan 7 ja 8 artiklassa vahvistettujen oikeuksien edistämistä ja turvaamista painotetaan voimakkaammin.

97.

Toisin sanoen johdonmukainen ja yhtenäinen suojan taso ei tietenkään estä toteuttamasta korkeatasoista suojaa. Kyse on vain siitä, mihin tämä yhtenäinen mittapuu pitäisi asettaa. Valvontaviranomaisten useat toisiinsa liittymättömät ja mahdollisesti ristiriitaiset rinnakkaiset toimet tuskin missään tapauksessa edistäisivät tosiasiallisesti tavoitteena olevaa korkeatasoisen yksilöiden oikeuksien suojelun varmistamista. Valvontaviranomaisten yhteistoimin varmistaman yhdenmukaisuuden ja selkeyden voidaan katsoa edistävän tätä tavoitetta paremmin.

98.

GBA:n esiin tuoma toinen huolenaihe herättää valituksen tekevien yksilöiden ja valituksen perusteella lopulta toimia toteuttavien valvontaviranomaisten väliseen läheisyyteen liittyviä kysymyksiä. Kyse on lähinnä siitä, voivatko yksilöt panna oikeudellisen menettelyn tehokkaasti vireille valitukseensa liittyvästä valvontaviranomaisten toiminnasta tai toimimatta jättämisestä.

99.

Yleisen tietosuoja-asetuksen 78 artiklassa nimittäin vahvistetaan luonnollisten henkilöiden tai oikeushenkilöiden oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan. Jotta yleisessä tietosuoja-asetuksessa säädetyt oikeussuojakeinot vastaavat perusoikeuskirjan 47 artiklaa, niissä ei myöskään voida edellyttää, että rekisteröidyt noudattavat yksityiskohtaisia sääntöjä, jotka – ottaen huomioon heidän asemansa luonnollisina henkilöinä – voivat vaikuttaa suhteettomasti heidän oikeussuojakeinoja koskevaan oikeuteensa (esimerkiksi kustannusten lisääntymisen tai toiminnan viivästymisen vuoksi). ( 46 )

100.

Yksikään kunkin asianosaisen tältä osin esittämistä (varsin epämääräisistä) väitteistä ei kuitenkaan selitä selvästi sitä, miksi Facebookin, Tšekin ja Suomen hallitusten sekä komission puoltama yleisen tietosuoja-asetuksen tulkinta olisi ristiriidassa perusoikeuskirjan 47 artiklan kanssa.

101.

Ensinnäkin yleisessä tietosuoja-asetuksessa säädetään nimenomaisesti rekisteröityjen oikeudesta panna vireille oikeudellinen menettely sekä rekisterinpitäjiä ja henkilötietojen käsittelijöitä että valvontaviranomaisia vastaan. Rakenteellisesti ei ole siksi selvää, miksi yleinen tietosuoja-asetus ei olisi perusoikeuskirjan 47 artiklan mukainen.

102.

Rekisteröityjen oikeudesta panna vireille oikeudellinen menettely rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan on todettava, että he voivat valita, panevatko he menettelyn vireille niiden jäsenvaltioiden tuomioistuimissa, joihin rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai niiden jäsenvaltioiden tuomioistuimissa, joissa rekisteröityjen asuinpaikka on. ( 47 ) Tämä sääntö vaikuttaa rekisteröidyille melko suotuisalta tai ainakin ongelmattomalta. ( 48 )

103.

Tilanne on monimutkaisempi, kun tarkastellaan rekisteröityjen oikeutta panna vireille oikeudellinen menettely valvontaviranomaisia vastaan. Rekisteröidyillä on ensinnäkin oikeus riitauttaa sekä valvontaviranomaisten toiminta että niiden toimimatta jättäminen. He voivat toteuttaa toimia erityisesti jokaista sellaista valvontaviranomaista vastaan, joka ”ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi”. ( 49 )

104.

Toisin kuin rekisterinpitäjiä ja henkilötietojen käsittelijöitä vastaan nostettavat kanteet, valvontaviranomaisia vastaan nostettavat kanteet on kuitenkin pantava vireille sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut. ( 50 ) Tämä sääntö voi vaikuttaa yksilöille epäsuotuisalta, mutta on pidettävä mielessä, että yleisen tietosuoja-asetuksen 60 artiklan 8 ja 9 kohdassa todetaan, että jos rekisteröidyn tekemä valitus hylätään tai jätetään tutkimatta kokonaan tai osittain, valvontaviranomaisen, jolle rekisteröity on tehnyt valituksen, on hyväksyttävä päätös ja annettava se tiedoksi rekisteröidylle. Tämä pätee siitä riippumatta, onko tämä viranomainen johtava valvontaviranomainen vai ei, joten rekisteröity voi (tarvittaessa) panna menettelyn vireille omassa jäsenvaltiossaan.

105.

Vaikuttaa siltä, että näillä mekanismeilla, joilla siirretään toimivalta tehdä päätös ja tarvittaessa tehdään mahdollisesti kahdenlaisia päätöksiä (johtava valvontaviranomainen voi tehdä rekisterinpitäjää ja henkilötietojen käsittelijää koskevia päätöksiä ja paikallisviranomainen valittajaa koskevia päätöksiä), näytetään nimenomaisesti pyrittävän siihen, ettei rekisteröityjen tarvitse ”kiertää” unionin istuntosaleja panemassa vireille oikeudellisia menettelyjä toimimatta jättäneitä valvontaviranomaisia vastaan.

106.

Myönnän kuitenkin, että tällainen ratkaisu voi herättää joitakin käytännön kysymyksiä. Mikä on kunkin päätöksen täsmällinen sisältö? Olisiko tämä sisältö sama ( 51 ) vai eri? Voisiko rekisteröity riitauttaa kaikki seikat, joiden hän katsoo koskevan omaa tapaustaan – myös ne, jotka ovat tosiasiallisesti osa johtavan valvontaviranomaisen päätöstä? Vai olisiko valvontaviranomaisen, jolle rekisteröity on tehnyt valituksen, päätös pitkälti pelkkä yksittäisen valituksen muodollisesti ratkaiseva ”tyhjä kuori”, jolloin varsinainen sisältö olisi johtavan valvontaviranomaisen päätöksessä? Pitäisikö rekisteröidyn siinä tapauksessa panna oikeudellinen menettely vireille joka tapauksessa sen jäsenvaltion tuomioistuimissa, johon johtava valvontaviranomainen on sijoittautunut, voidakseen käyttää yleisen tietosuoja-asetuksen 78 artiklassa ja perusoikeuskirjan 47 artiklassa tarkoitettuja tehokkaita oikeussuojakeinoja? Miten tehokkaan oikeussuojakeinojen saatavuutta koskevat säännöt toimisivat taustalla olevien päätösten valvonnan osalta niin horisontaalisella tasolla (yhdessä toimivien valvontaviranomaisten keskuudessa) kuinvertikaalisellakin tasolla (tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antaman valvontaviranomaisen lopullista päätöstä edeltävän ja siihen luultavasti tosisiallisesti vaikuttavan lausunnon tai päätöksen valvonnassa)? ( 52 )

107.

Mahdollisia hankaluuksia on paljon. Käytännön kokemus saattaa jossain vaiheessa paljastaa todellisia ongelmia, jotka liittyvät uudelle järjestelmälle ominaiseen oikeussuojan laatuun tai jopa tasoon. Tällä hetkellä tällaisia ongelmia voi kuitenkin vain arvailla. Unionin tuomioistuimelle ei ole tässä vaiheessa eikä varsinkaan käsiteltävässä asiassa esitetty seikkoja, jotka viittaisivat tällaisiin ongelmiin.

108.

GBA väittää lähinnä, ettei yleisen tietosuoja-asetuksen täytäntöönpanoa rajatylittävissä tilanteissa voida jättää lähes yksinomaan johtavalle valvontaviranomaiselle ja rekisteröidyille, joihin tietojenkäsittely voi vaikuttaa. Jokaisen valvontaviranomaisen tehtävänä on pyrkiä suojaamaan sellaisten yksilöiden oikeuksia, joihin tietojenkäsittely voi vaikuttaa. Valvontaviranomainen ei voi etenkään hoitaa tehtäväänsä asianmukaisesti, jos päätös oletetun rikkomisen vastaisesta toimesta ja sen toteutustavasta jätetään jokaisessa tilanteessa toisen viranomaisen harkintaan.

109.

Tällä argumentilla nähdäkseni lähinnä riitautetaan suoraan yleisellä tietosuoja-asetuksella käyttöön otettu uusi yhteistyömekanismi. Annan tähän kaksiosaisen vastauksen: yhtäältä, siltä osin kuin on kyse voimassa olevasta lainsäädännöstä, yleiseen tietosuoja-asetukseen voitaisiin katsoa sisältyvän mekanismeja, joilla on tarkoitus välttää tällaiset skenaariot. Toisaalta, siltä osin kuin on kyse uusien järjestelmien tosiasiallisesta toiminnasta ja tosiasiallisista vaikutuksista, tällaiset pelot ovat tässä vaiheessa ennenaikaisia ja hypoteettisia.

110.

Ensinnäkin heti aluksi on täsmennettävä, että se, ettei valvontaviranomainen ole johtava valvontaviranomainen tietyn rekisterinpitäjän tai henkilötietojen käsittelijän osalta, ei missään tapauksessa tarkoita – kuten GBA väittää – etteikö yleisen tietosuoja-asetuksen rikkominen, joka on rikos, voi johtaa syytetoimiin. Yleisen tietosuoja-asetuksen 58 artiklan 5 kohdassa säädetyt valtuudet ”saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon” sisältävät selvästi valtuudet tehdä yhteistyötä rikoksia käsittelevien viranomaisten, kuten syyttäjälaitoksen, kanssa. Nämä valtuudet sopivat yhteen sen kanssa, että valvontaviranomaisten tehtävänä on valvoa yleisen tietosuoja-asetuksen soveltamista ja panna se täytäntöön alueellaan, eivätkä ne haittaa yleisen tietosuoja-asetuksen VII luvussa säädettyjen yhteistyö- ja yhdenmukaisuusmekanismien tehokasta toimivuutta. Tässä yhteydessä on tuskin tarpeen huomauttaa, että vaikka kyseiset mekanismit ovat pakollisia valvontaviranomaisille, niitä ei sovelleta muihin jäsenvaltioiden viranomaisiin, etenkään rikosten syytteeseenpanosta vastaaviin viranomaisiin.

111.

Toiseksi vielä tärkeämpää on todeta, että kun yleisellä tietosuoja-asetuksella käyttöön otettua järjestelmää tarkastellaan kokonaisuutena, on varsin selvää, ettei johtava valvontaviranomainen ole ainoa yleisen tietosuoja-asetuksen täytäntöönpanija rajatylittävissä tilanteissa. Johtava valvontaviranomainen on pikemminkin primus inter pares. Yleensä johtavan valvontaviranomaisen (hallinnollinen tai oikeudellinen) toiminta edellyttää osallistuvien valvontaviranomaisten suostumusta. Yleisen tietosuoja-asetuksen 60 artiklassa säädetyssä menettelyssä johtavan valvontaviranomaisen on pyrittävä konsensukseen. ( 53 ) Se ei voi jättää osallistuvien valvontaviranomaisten näkemyksiä huomiotta. Johtavan valvontaviranomaisen on ”otettava” nämä näkemykset ”asianmukaisesti huomioon”, mutta jos osallistuva valvontaviranmainen ilmaisee muodollisen vastalauseensa, johtavan valvontaviranomaisen päätösehdotuksen hyväksyminen estyy väliaikaisesti. Kaikki viranomaisten väliset pysyvät erimielisyydet ratkaisee viime kädessä erityiselin (tietosuojaneuvosto), joka koostuu kaikkien EU:n valvontaviranomaisten edustajista. Johtavan valvontaviranomaisen kanta ei siksi ole vahvempi kuin minkään muunkaan viranomaisen. ( 54 )

112.

Kuten entinen Euroopan tietosuojavaltuutettu P. Hustinx totesi, johtavalla valvontaviranomaisella ei pitäisi katsoa olevan yksinomaista toimivaltaa yleisen tietosuoja-asetuksen järjestelmässä vaan jäsennelty tapa tehdä yhteistyötä muiden paikallistasolla toimivaltaisten valvontaviranomaisten kanssa. ( 55 ) Yleisessä tietosuoja-asetuksessa säädetään yhteisestä vastuusta valvoa kyseisen asetuksen soveltamista ja varmistaa sen johdonmukainen soveltaminen. Valvontaviranomaisille annetaan siksi tehtäviä ja tiettyjä valtuuksia; niille myönnetään joitakin oikeuksia mutta asetetaan myös joitakin velvoitteita. Näihin velvoitteisiin kuuluu etenkin velvollisuus noudattaa tiettyjä menettelyjä ja mekanismeja, joilla on tarkoitus varmistaa johdonmukaisuus. Viranomaisen halu soveltaa ”yksin toimimisen” lähestymistapaa ( 56 ) yleisen tietosuoja-asetuksen (oikeudellisessa) täytäntöönpanossa tekemättä yhteistyötä muiden viranomaisten kanssa ei sovi yhteen kyseisen asetuksen sanamuodon eikä tarkoituksen kanssa.

113.

Kuten edellä tämän ratkaisuehdotuksen 76 ja 77 kohdassa todettiin, yleinen tietosuoja-asetus perustuu herkkään tasapainoon niiden tarpeiden välillä, jotka koskevat korkeatasoisen luonnollisten henkilöiden suojelun varmistamista ja henkilötietojen liikkuvuuden esteiden poistamista unionissa. Kuten erityisesti yleisen tietosuoja-asetuksen johdanto-osan kymmenes perustelukappale ja 1 artiklan 1 kohta osoittavat, nämä kaksi tavoitetta liittyvät erottamattomasti toisiinsa. Kansallisten valvontaviranomaisten on siksi huolehdittava, että niiden välillä saavutetaan oikea tasapaino, kuten unionin tuomioistuin on toistuvasti korostanut ensimmäisistä tietosuojaa koskevista tuomioistaan lähtien. ( 57 ) Yleisen tietosuoja-asetuksen 51 artiklan 1 kohdassa, jossa määritellään valvontaviranomaisten tehtävä, noudatetaan tätä lähestymistapaa. ( 58 )

114.

Kolmanneksi yleisessä tietosuoja-asetuksessa ei säädetä ainoastaan mekanismeista, joilla ratkaistaan täytäntöönpanon toteutustapaan liittyviä eroavaisuuksia eli sovitellaan valvontaviranomaisten ilmaisemia ristiriitaisia näkemyksiä ja mielipiteitä. Siihen sisältyy myös mekanismeja, joilla ratkaistaan hallinnolliseen toimettomuuteen liittyviä tilanteita. Ne ovat erityisesti tilanteita, joissa johtava valvontaviranomainen – asiantuntemuksen ja/tai henkilöstön puuttumisen vuoksi tai jostain muusta syystä – ei pysty toteuttamaan mitään merkityksellisiä toimia tutkiakseen mahdolliset yleisen tietosuoja-asetuksen rikkomiset ja pannakseen tarvittaessa sen säännökset täytäntöön.

115.

Yleisessä tietosuoja-asetuksessa edellytetään lähtökohtaisesti, että johtava valvontaviranomainen toimii viipymättä rajatylittävää käsittelyä koskevissa tapauksissa. Erityisesti yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan nojalla johtavan valvontaviranomaisen on ”viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille [ja] viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon”. ( 59 )

116.

Jos johtava valvontaviranomainen ei noudata tätä velvoitetta tai yleisemmin jättää toimimatta toimintaa vaativassa tilanteessa, herää kysymys, onko osallistuvilla valvontaviranomaisilla, jotka haluavat aloittaa tutkinnan ja mahdollisesti toteuttaa täytäntöönpanotoimia, käytössään mitään oikeussuojakeinoa. ( 60 ) Kyseisillä viranomaisilla on käytettävissään nähdäkseni ainakin kaksi erillistä keinoa, jotka eivät sulje toisiaan pois.

117.

Toisaalta yleisen tietosuoja-asetuksen 61 artiklan 1 ja 2 kohdan nojalla valvontaviranomainen voi pyytää toista valvontaviranomaista antamaan ”tiedot ja keskinäistä apua [yleisen tietosuoja-asetuksen] – – täytäntöönpanon ja soveltamisen varmistamiseksi”. ( 61 ) Tässä yhteydessä voidaan pyytää tietoja, myös ”tutkimuksen toteuttamisesta”, tai muita avustustoimia (kuten tarkastusten ja tutkimusten tai tehokasta yhteistyötä koskevien toimenpiteiden toteuttamista). Pyynnön saaneen viranomaisen on vastattava tällaiseen pyyntöön ”ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta”.

118.

Yleisen tietosuoja-asetuksen 61 artiklan 5 ja 8 kohdassa säädetään, että jos vastausta ei saada asetetussa määräajassa tai pyyntöä kieltäydytään noudattamasta, pyynnön esittävä viranomainen ”voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti”. Tällaisissa tapauksissa ”on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös”. ( 62 )

119.

Vaikuttaa siltä, että myös osallistuva valvontaviranomainen voi käyttää (ja sen on luultavasti tarkoituskin käyttää) ( 63 ) tätä mekanismia johtavaan valvontaviranomaiseen nähden. Jos johtava valvontaviranomainen jättää toimimatta tietyssä rajatylittävää käsittelyä koskevassa tapauksessa osallistuvan valvontaviranomaisen tätä koskevasta pyynnöstä huolimatta, viimeksi mainitulla voi näin ollen olla oikeus toteuttaa kiireellisiä toimenpiteitä, joita pidetään tarpeellisina rekisteröidyille kuuluvien etujen suojaamiseksi. Kiireellisten toimenpiteiden toteuttamisen oikeuttavien poikkeuksellisten olosuhteiden katsotaan nimittäin olevan olemassa, eikä niitä tarvitse näyttää toteen.

120.

Toisaalta yleisen tietosuoja-asetuksen 64 artiklan 2 kohdan mukaan jokainen valvontaviranomainen (tai tietosuojaneuvoston puheenjohtaja tai komissio) voi ”pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti – –”. ( 64 )

121.

Ei ole täysin selvää, sitoisiko tietosuojaneuvoston päätös asianomaista johtavaa valvontaviranomaista oikeudellisesti. ( 65 ) Yleisen tietosuoja-asetuksen 65 artiklan 1 kohdan c alakohdassa säädetään kuitenkin, että jos toimivaltainen valvontaviranomainen ei noudata tietosuojaneuvoston 64 artiklan nojalla antamaa lausuntoa, osallistuvat valvontaviranomaiset (tai komissio) voivat ilmoittaa asiasta tietosuojaneuvostolle ja aloittaa siten tähän tarkoitetun kiistanratkaisumenettelyn. Viimeksi mainittu menettely tuottaisi lopulta sitovan päätöksen. ( 66 )

122.

On kuitenkin myönnettävä, että molemmat edellä kuvaillut mekanismit (yleisen tietosuoja-asetuksen 61 ja 66 artikla sekä 64 ja 65 artikla) ovat jokseenkin monimutkaisia. Niiden tosiasiallinen toiminta ei ole aina täysin selvää. Jos edellä mainitut säännökset vaikuttavat paperilla soveltuvan näiden ongelmien välttämiseen, vasta näiden säännösten tuleva soveltaminen näyttää, osoittautuvatko ne käytännössä ”paperitiikereiksi”.

123.

Näin tullaan takaisin puutteellisen täytäntöönpanon yhteydessä esitetyn argumentin toiseen osaan ja sen – ainakin tällä hetkellä – varsin hypoteettiseen ja perusteettomaan luonteeseen. Täytyy myöntää, että jos GBA:n ja joidenkin muiden osapuolten mainitsemat yleisen tietosuoja-asetuksen puutteellista täytäntöönpanoa koskevat vaarat toteutuisivat, koko järjestelmä olisi mielestäni perusteellisen tarkistuksen tarpeessa.

124.

Rakenteellisesta näkökulmasta tilanne voisi todella olla tämä, jos uudessa rakenteessa muodostuisi sääntelyllisiä ”pesiä” tietyille toimijoille, joita ei valvottaisi enää sen jälkeen, kun ne ovat tosiasiassa itse valinneet kansallisen sääntelyviranomaisensa sijoittamalla päätoimipaikkansa unionissa haluamallaan tavalla, vaan tietty johtava valvontaviranomainen itse asiassa pikemminkin suojaisi niitä muilta sääntelyviranomaisilta. Harva olisi eri mieltä siitä, että jäsenvaltioiden kilpailu alhaisimmalla sääntelytasolla olisi aivan yhtä epätervettä ja vaarallista kuin epäjohdonmukainen sääntely – sellainen koordinoinnin ja johdonmukaisuuden puute, joka oli ominaista edelliselle mallille. Verkkosääntelyjärjestelmillä saatettaisiin pystyä estämään ristiriitaisuudet ja eroavuudet edistämällä yhteisymmärrystä ja yhteistyötä. Yhteisymmärrys on kuitenkin yleensä esteenä aktiivisille viranomaisille etenkin järjestelmässä, jossa päätöksen aikaansaaminen edellyttää tehostettua yhteistyötä. Tällaisissa järjestelmissä kollektiivinen vastuu voi johtaa kollektiiviseen vastuuttomuuteen ja lopulta toimettomuuteen.

125.

Tällaisten vaarojen osalta yleisellä tietosuoja-asetuksella käyttöön otettu oikeudellinen kehys on kuitenkin vasta alkuvaiheessa. Etenkään tuomioistuimen ei ole helppo ennustaa yksittäisen tai melko epätavallisen menettelyn yhteydessä, miten kyseisellä asetuksella perustetut mekanismit toimivat käytännössä ja miten tehokkaita ne ovat. Tällaisessa kehyksessä, samoin kuin mahdollisissa perusoikeuksien suojeluun ja perusoikeuskirjan mukaiseen tulkintaan liittyvissä asioissa, ( 67 ) on syytä olla varovainen.

126.

Unionin tuomioistuimen ei mielestäni kannata muuttaa oleellisesti tätä kehystä – joka on pitkän ja intensiivisen lainsäädäntöprosessin (huolella ja varoen rakennettu) tuotos – tulkitsemalla asiayhteydestään irrotettuja yksittäisiä virkkeitä tässä vaiheessa pelkkien oletusten ja spekulaation pohjalta. Näin on etenkin silloin, jos joidenkin asianosaisten ehdottamassa tulkinnassa lähinnä vain poimitaan asetuksesta joitakin keskeisiä osia ja palataan siten tosiasiallisesti direktiivin 95/46 mukaiseen vanhaan järjestelmään, jonka unionin lainsäätäjä on nimenomaisesti ja selkeästi hylännyt sen institutionaalisen ulottuvuuden osalta.

127.

Tämä täysin selvä sääntelymalli, joka ilmenee – kuten tämän ratkaisuehdotuksen edellisistä osista käy ilmi – yleisen tietosuoja-asetuksen tekstistä ja rakenteesta sekä dokumentoidusta lainsäätäjän aikomuksesta, tarjoaa vastauksen myös muihin mahdollisiin rakenteellisiin huoliin, kuten esimerkiksi niihin, jotka liittyvät tietosuojasääntöjen ja yleisen tietosuoja-asetuksen asianmukaiseen tasapainoon julkisen ja yksityisen täytäntöönpanon välillä. Onko järkevää rajoittaa julkinen täytäntöönpano yhteen ainoaan viranomaiseen ja siten yhteen ainoaan jäsenvaltioon, mikä toteutuu vasta pitkän ja monimutkaisen hallinnollisen menettelyn jälkeen, kun samojen sääntöjen yksityinen täytäntöönpano tapahtuu käytännössä todennäköisesti nopeammin ja kaikkien jäsenvaltioiden (siviili)tuomioistuimissa? Pitäisikö kansallisilla valvontaviranomaisilla olla suppeammat mahdollisuudet saattaa asia tuomioistuinten käsiteltäväksi kuin yksittäisellä yksityisellä kuluttajalla? Eivätkö useimmat tietosuoja-asiat päädy kansallisiin tuomioistuimiin (ja mahdollisesti unionin tuomioistuimeen ennakkoratkaisun kautta) siten, että yksityiset asianosaiset saattavat asian suoraan tuomioistuimen käsiteltäväksi ja sivuuttavat kokonaan tähän tarkoitukseen perustetut kansalliset sääntelyviranomaiset, koska kyseisillä kansallisilla sääntelyviranomaisilla on vielä meneillään prosessi, jossa tehdään yhteistyötä ja yhteensovitetaan kantoja? Eikö tällaisessa järjestelmässä ole vaarana, että yksityinen täytäntöönpano korvaa julkisen täytäntöönpanon kokonaan?

128.

Unionin lainsäätäjä teki joka tapauksessa selkeän institutionaalisen ja rakenteellisen valinnan, eikä mielestäni ole epäilystä siitä, mitä se pyrki saavuttamaan. Tällaisessa tilanteessa pitäisi metaforisesti ilmaistuna päästää koira veräjästä ainakin toistaiseksi. Jos tällä olisi kuitenkin huonot seuraukset – mikä pitäisi osoittaa tosiseikoilla ja vankoilla argumenteilla – unionin tuomioistuin tuskin katsoisi läpi sormien mitään puutetta, joka saattaisi tällöin ilmetä perusoikeuskirjassa taattujen perusoikeuksien suojelussa ja toimivaltaisten sääntelyviranomaisten toteuttamassa niiden tehokkaassa täytäntöönpanossa. Kysymys siitä, olisiko tällöin vielä kyse johdetun oikeuden säännösten perusoikeuskirjan mukaisesta tulkinnasta tai merkityksellisten säännösten tai jopa johdetun oikeuden säädökseen sisältyvien jaksojen pätevyydestä, kuuluu toisen asian yhteyteen.

129.

Kaikki esitetyt tulkintaan liittyvät seikat johtavat täten samaan lopputulokseen: johtavalla valvontaviranomaisella on yleinen toimivalta rajatylittävässä käsittelyssä. Kaikkien valvontaviranomaisten (siitä riippumatta, ovatko ne johtavia vai osallistuvia valvontaviranomaisia) on etenkin rajatylittävän käsittelyn ollessa kyseessä noudatettava yleisessä tietosuoja-asetuksessa säädettyjä menettelyjä ja mekanismeja.

130.

Seuraako tästä, että valvontaviranomainen, joka ei ole johtava valvontaviranomainen, ei voi lähtökohtaisesti koskaan ryhtyä kansallisissa tuomioistuimissa toimiin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan, kun käsittely on rajatylittävää?

131.

Ei seuraa.

132.

Ensinnäkin valvontaviranomaiset voivat luonnollisesti saattaa asian kansallisen tuomioistuimen käsiteltäväksi, kun ne toimivat yleisen tietosuoja-asetuksen aineellisen soveltamisalan ulkopuolella, jos tämä on sallittua kansallisen oikeuden perusteella eikä unionin oikeus ole sille esteenä, esimerkiksi siksi, etteivät käsittelyn kohteena ole henkilötiedot tai että henkilötietojen käsittely toteutetaan yleisen tietosuoja-asetuksen 2 artiklan 2 kohdassa tarkoitettujen toimintojen yhteydessä. ( 68 )

133.

Toiseksi käsittelyn rajatylittävästä luonteesta huolimatta yleisen tietosuoja-asetuksen 55 artiklan 2 kohdassa tarkoitetuissa tilanteissa (viranomaisten suorittamassa käsittelyssä, ja myös kaikissa yleisen edun vuoksi tai julkisen vallan käyttämiseksi toteutettavassa käsittelyssä) paikallisella valvontaviranomaisella on edelleen sääntelyä koskeva toimivalta, joka luonnollisesti sisältää myös mahdollisuuden panna tarvittaessa vireille oikeudellinen menettely tuomioistuimessa.

134.

Kolmanneksi on tapauksia, joissa mikään valvontaviranomainen ei voi toimia johtavana valvontaviranomaisena, vaikka niihin sisältyy yleisen tietosuoja-asetuksen soveltamisalaan kuuluvaa rajatylittävää henkilötietojen käsittelyä. Koska yleisessä tietosuoja-asetuksessa säädettyä yhteistyö- ja yhdenmukaisuusmekanismia sovelletaan ainoastaan rekisterinpitäjiin, joilla on yksi tai useampi toimipaikka Euroopan unionissa, rekisterinpitäjien, joilla ei ole toimipaikkaa Euroopan unionissa, suorittaman rajatylittävän käsittelyn osalta ei ole johtavaa valvontaviranomaista. Tämä tarkoittaa sitä, että rekisterinpitäjien, joilla ei ole yhtään toimipaikkaa unionissa, on tehtävä yhteistyötä kunkin jäsenvaltion, jossa ne toimivat, paikallisten valvontaviranomaisten kanssa. ( 69 )

135.

Neljänneksi kaikki valvontaviranomaiset voivat toteuttaa kiireellisiä toimenpiteitä, jos asianmukaiset edellytykset täyttyvät. Lisäksi on tilanteita, joissa oletetaan, että on tarpeen toteuttaa kiireellisiä toimenpiteitä. Näin voi olla esimerkiksi tapauksissa, joissa osallistuva valvontaviranomainen joutuu mahdollisesti kohtaamaan vastuussa olevan johtavan valvontaviranomaisen jatkuvan toimettomuuden. Koska yleisen tietosuoja-asetuksen 66 artiklan 1 kohdassa säädetään yhdenmukaisuusmekanismin täydellisestä sivuuttamisesta, voidaan kohtuudella olettaa, että tällaisessa poikkeustilanteessa kaikki valvontaviranomaiselle kuuluvat valtuudet (joita ei tavanomaisissa olosuhteissa voida käyttää, koska johtavan valvontaviranomaisen toimivaltaa rajatylittävässä käsittelyssä koskevat erityissäännöt ovat esteenä sille) tulevat taas voimaan ja niitä voidaan käyttää tilapäisesti. Tähän sisältyvät siksi luonnollisesti valtuudet panna vireille oikeustoimet yleisen tietosuoja-asetuksen 58 artiklan 5 kohdan mukaisesti.

136.

Viidenneksi täydellisyyden vuoksi voidaan todeta, että on myös mahdollista, että johtavalle valvontaviranomaiselle ilmoituksen tehnyt valvontaviranomainen voi yleisen tietosuoja-asetuksen 56 artiklan 5 kohdan mukaan saada (tai pikemminkin säilyttää) valtuudet saattaa asia tuomioistuimen käsiteltäväksi tapauksessa, jossa johtava valvontaviranomainen ”päättää olla käsittelemättä asiaa”. Ensi näkemältä viimeksi mainittuun säännökseen voi hyvinkin sisältyä molempien valvontaviranomaisten välillä tehty tosiasiallinen sopimus siitä, kummalla niistä on paremmat edellytykset käsitellä tapausta.

137.

Yleisen tietosuoja-asetuksen säännöksiin ei kaiken kaikkiaan sisälly mitään yleistä kieltoa, joka estäisi muita valvontaviranomaisia, erityisesti osallistuvia valvontaviranomaisia, panemasta vireille oikeudellista menettelyä tietosuojasääntöjen mahdollisen rikkomisen vuoksi. Yleisessä tietosuoja-asetuksessa säädetään päinvastoin nimenomaisesti erilaisista tilanteista, joissa niillä on oikeus tehdä niin, tai tällaiset tilanteet ilmenevät siitä implisiittisesti. ( 70 )

138.

Yleensä on kuitenkin äärimmäisen tärkeää, että yleisessä tietosuoja-asetuksessa (erityisesti VI ja VII luvussa) säädettyjä menettelyjä ja mekanismeja sovellettaessa sekä johtava valvontaviranomainen että osallistuvat valvontaviranomaiset noudattavat niitä asianmukaisesti. Yleisen tietosuoja-asetuksen säännöksissä todetaan erittäin selkeästi, ettei yksikään kyseisistä viranomaisisista saa toimia tämän oikeudellisen kehyksen ulkopuolella tai ottamatta sitä huomioon.

139.

Ennakkoratkaisua pyytäneen tuomioistuimen asiana on kuitenkin tarkistaa, onko GBA noudattanut kyseisiä menettelyjä ja mekanismeja käsiteltävässä asiassa – tämä kysymys herätti keskustelua istunnossa, mutta se on edelleen melko epäselvä, kun otetaan huomioon käsiteltävän asian outo menettelyllinen tausta. ( 71 )

140.

Ensimmäiseen kysymykseen olisi näin ollen vastattava, että jäsenvaltion valvontaviranomainen voi yleisen tietosuoja-asetuksen säännösten nojalla saattaa asian kyseisen jäsenvaltion tuomioistuimen käsiteltäväksi sillä perusteella, että yleistä tietosuoja-asetusta on väitetysti rikottu rajatylittävässä tietojenkäsittelyssä, vaikka kyseinen viranomainen ei ole johtava valvontaviranomainen, jos se tekee sen yleisessä tietosuoja-asetuksessa tarkoitetuissa tilanteissa ja siinä säädettyjä menettelyjä noudattaen.

141.

Toisessa kysymyksessään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, vastattaisiinko ensimmäiseen kysymykseen eri tavalla, jos tällaista rajatylittävää käsittelyä harjoittavan rekisterinpitäjän päätoimipaikka ei ole kyseisessä jäsenvaltiossa, mutta sillä on siellä toinen toimipaikka.

142.

Ensimmäiseen kysymykseen ehdotetun vastauksen perusteella toiseen kysymykseen on varsin selvästi vastattava lähtökohtaisesti kieltävästi, jos yleisen tietosuoja-asetuksen 4 artiklan 16 alakohdassa tarkoitettu ”päätoimipaikka” todellakin sijaitsee toisessa jäsenvaltiossa.

143.

Se, että rekisterinpitäjällä on sivutoimipaikka jäsenvaltiossa, ei lähtökohtaisesti vaikuta paikallisen valvontaviranomaisen oikeuteen panna tietyn rajatylittävään käsittelyyn liittyvän tilanteen yhteydessä vireille oikeudellinen menettely yleisen tietosuoja-asetuksen 58 artiklan 5 kohdan nojalla. Toisin sanoen rajatylittävän tietojenkäsittelyn tapauksessa valvontaviranomaiselle myönnettyjen valtuuksien laajuus ja tapa, jolla kyseisiä valtuuksia olisi käytettävä, eivät yleensä riipu siitä, onko rekisterinpitäjällä tai henkilötietojen käsittelijällä, jonka päätoimipaikka on toisessa jäsenvaltiossa, toimipaikka myös kyseisen viranomaisen jäsenvaltiossa.

144.

Kuten edellä jo todettiin, ( 72 ) ennen tämän päätelmän tekemistä kansallisen tuomioistuimen on kuitenkin varmistettava, mikä toimipaikka on tosiasiassa päätoimipaikka tietyn käsittelytoimen yhteydessä. Yleisen tietosuoja-asetuksen 4 artiklan 16 alakohdan a alakohdassa omaksutaan tältä osin dynaaminen käsitys ( 73 ) siitä, mitä pidetään päätoimipaikkana, eikä tämän käsityksen välttämättä tarvitse vastata yrityksen staattista yritysrakennetta.

145.

Lisäksi se, että rekisterinpitäjällä tai henkilötietojen käsittelijällä on (sivu)toimipaikka valvontaviranomaisen alueella, tarkoittaa, että kyseinen valvontaviranomainen on yleisen tietosuoja-asetuksen 4 artiklan 22 kohdassa tarkoitettu osallistuva valvontaviranomainen. Osallistuville valvontaviranomaisille annetaan merkittävät valtuudet yleisen tietosuoja-asetuksen VII luvussa säädettyjen menettelyjen yhteydessä. ( 74 )

146.

Yleisen tietosuoja-asetuksen 56 artiklan 2 kohdassa säädetään lisäksi johtavan valvontaviranomaisen yleistä toimivaltaa rajatylittävässä käsittelyssä koskevasta poikkeuksesta seuraavaa: ”jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai [yleisen tietosuoja-asetuksen] mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin”. Tätä toimivaltaa on puolestaan käytettävä saman artiklan 3–5 kohdassa säädettyä menettelyä noudattaen. ( 75 )

147.

Kolmannessa kysymyksessään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, vastattaisiinko ensimmäiseen kysymykseen eri tavalla siitä riippuen, paneeko kansallinen valvontaviranomainen oikeustoimet vireille rekisterinpitäjän päätoimipaikkaa vastaan vai kyseisen valvontaviranomaisen omassa jäsenvaltiossa olevaa toimipaikkaa vastaan.

148.

Kun otetaan huomioon ensimmäiseen ennakkoratkaisukysymykseen ehdotettu vastaus ja siltä osin kuin kolmas kysymys ei ole tosiasiallisesti päällekkäinen toisen kysymyksen kanssa, myös kolmanteen kysymykseen on vastattava kieltävästi.

149.

Jos asian tosiseikkojen perusteella on nimittäin selvitetty, että yleisen tietosuoja-asetuksen 4 artiklan 16 alakohdan mukainen päätoimipaikka sijaitsee tietyn käsittelytoimen osalta tosiasiassa toisessa jäsenvaltiossa, sen jäsenvaltion kansallinen valvontaviranomainen, jossa rekisterinpitäjän toimipaikka sijaitsee, ei ole johtava valvontaviranomainen, mutta siitä voi tulla osallistuva valvontaviranomainen. Tässä arvioinnissa valvontaviranomaisen toimintavaltuudet eivät kuitenkaan riipu siitä, pannaanko oikeustoimet vireille rekisterinpitäjän päätoimipaikkaa vastaan vai kyseisen valvontaviranomaisen omassa jäsenvaltiossa olevaa toimipaikkaa vastaan. ( 76 )

150.

Täydellisyyden vuoksi voidaan lisätä, että yleisen tietosuoja-asetuksen 58 artiklan 5 kohta on muotoiltu laajasti eikä siinä määritellä yhteisöjä, joita vastaan valvontaviranomaisten olisi toimittava ja joita vastaan ne voisivat toimia. Tämä herätti joidenkin osapuolten väitteissä kiehtovaa pohdintaa asiasta, jota unionin tuomioistuimen ei ole nähdäkseni tarpeen tarkastella nyt käsiteltävässä asiassa, vaikka se ei olekaan merkityksetön. Kysymys kuuluu, voivatko valvontaviranomaiset – jos ne ovat toimivaltaisia tekemään niin yleisen tietosuoja-asetuksen säännösten nojalla – toteuttaa toimia ainoastaan yhtä tai useampaa niiden alueella sijaitsevaa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaa vastaan vai myös ulkomailla sijaitsevia toimipaikkoja vastaan.

151.

Yhtäältä Belgian, Italian ja Puolan hallitukset korostavat, että yleisen tietosuoja-asetuksen 55 artiklan 1 kohdassa rajataan kunkin valvontaviranomaisen alueellinen toimivalta sen omaan alueeseen. Ne päättelevät tästä, että valvontaviranomaiset voivat toteuttaa toimia ainoastaan paikallisia toimipaikkoja vastaan.

152.

Teksti ei ole kuitenkaan nähdäkseni niin yksiselitteinen: siinä viitataan asetuksessa annettujen valtuuksien käyttöön ”oman [jäsenvaltion] alueella”. En tulkitse kyseistä säännöstä siten, että se on väistämättä esteenä toisessa jäsenvaltiossa sijaitsevaa toimipaikkaa vastaan toteutettaville toimille. Yleisen tietosuoja-asetuksen 55 artiklan 1 kohtaan, luettuna kyseisen asetuksen 1 artiklan 1 kohdan ja 3 artiklan mukaisen asetuksen yleisen soveltamisalan valossa, sisältyvä alueellinen osatekijä, johon valvontaviranomaisen toimivalta tietyssä tapauksessa perustuu, liittyy tietojenkäsittelyn vaikutuksiin jäsenvaltion alueella. Tämä osatekijä ei rajoita valtion rajojen ulkopuolelle sijoittautuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä vastaan toteutettavia toimia.

153.

Toisaalta GBA:n mukaan jokaisella viranomaisella on valtuudet toteuttaa toimia kaikkia sen alueella tapahtuneita yleisen tietosuoja-asetuksen rikkomisia vastaan siitä riippumatta, onko rekisterinpitäjällä tai henkilötietojen käsittelijällä toimipaikka sen alueella. Tämä tarkoittaa, että viranomaisen olisi voitava myös panna vireille oikeudellinen menettely ulkomailla sijaitsevia toimipaikkoja vastaan. Tässä yhteydessä GBA viittaa unionin tuomioistuimen antamaan tuomioon Wirtschaftsakademie Schleswig-Holstein. ( 77 ) Unionin tuomioistuin totesi siinä, että jäsenvaltion valvontaviranomainen voi direktiivin 95/46 4 ja 28 artiklan nojalla käyttää valtuuksiaan olla asianosaisena oikeudenkäynnissä mainitun yrityksen kyseisen jäsenvaltion alueella sijaitsevan toimipaikan osalta. Näin oli, vaikka kyseinen toimipaikka vastasi vain mainospaikkojen myynnistä ja muusta markkinoinnista kyseisen jäsenvaltion alueella, mutta yksinomainen vastuu henkilötietojen keräämisestä ja käsittelystä koko unionin alueella oli jonkin toisen jäsenvaltion alueella sijaitsevalla toimipaikalla.

154.

GBA on oikeassa väittäessään, että siltä osin kuin yleiseen tietosuoja-asetukseen sisältyy käsiteltävässä asiassa direktiivin 95/46 säännöksiä vastaavia säännöksiä, ( 78 ) unionin tuomioistuimen tuomiossa Wirtschaftsakademie Schleswig-Holstein vahvistamien periaatteiden täytyisi päteä soveltuvin osin myös yleisen tietosuoja-asetuksen yhteydessä. Kyseisessä tuomiossa kuitenkin selvitettiin ainoastaan, milloin viranomainen voi haastaa paikallisen toimipaikan oikeuteen, vaikka käsittelyn suorittaa (suurimmaksi osaksi) muualla unionissa sijaitseva toimipaikka. Kyseisessä tuomiossa ei ainakaan nimenomaisesti vahvistettu eikä suljettu pois sitä, että valvontaviranomainen voi toteuttaa toimia myös viimeksi mainittua toimipaikkaa vastaan.

155.

Kun uudessa yhden luukun järjestelmässä perustetaan täytäntöönpanon keskuspiste, kyseinen järjestelmä vaikuttaa kuitenkin merkitsevän väistämättä sitä, että valvontaviranomainen voi toteuttaa toimia myös ulkomailla sijaitsevia toimipaikkoja vastaan. Uusi järjestelmä ei ehkä voisi toimia moitteettomasti, jos siinä suljettaisiin pois viranomaisten, erityisesti johtavan valvontaviranomaisen, mahdollisuus toteuttaa toimia muualla sijaitsevia toimipaikkoja vastaan. ( 79 )

156.

Neljännessä kysymyksessään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, vastattaisiinko ensimmäiseen kysymykseen eri tavalla, jos kansallinen valvontaviranomainen olisi pannut oikeustoimet vireille jo ennen yleisen tietosuoja-asetuksen voimaantuloa.

157.

Aluksi on todettava, ettei yleiseen tietosuoja-asetukseen sisälly siirtymäsäännöksiä tai muita säännöksiä uuden oikeudellisen kehyksen voimaantulohetkellä vireillä olevan oikeudellisen menettelyn tilanteesta.

158.

Edellä esitetyn perusteella tähän kysymykseen olisi nähdäkseni vastattava, että ”riippuu olosuhteista”.

159.

Yhtäältä oikeudelliset menettelyt, jotka koskevat rekisterinpitäjien tai henkilötietojen käsittelijöiden ennen sitä päivää, jona yleinen tietosuoja-asetus tuli sovellettavaksi, tekemiä tietosuojasääntöjen rikkomisia, voivat nähdäkseni jatkua. Nähdäkseni ei ole mitään hyvää syytä velvoittaa viranomaiset lopettamaan täytäntöönpanotoimia, jotka liittyvät tekohetkellä (väitetysti) laittomaan menneeseen toimintaan, jota vastaan ne olivat (tuolloin) toimivaltaisia toimimaan. Toisenlainen ratkaisu johtaisi eräänlaiseen armahdukseen tiettyjen tietosuojalainsäädäntöjen rikkomisen osalta.

160.

Toisaalta tilanne on erilainen, kun on kyse toimista, jotka on pantu vireille vielä toteutumattomien rikkomisten vuoksi, koska ne tapahtuvat sen päivän jälkeen, jona yleinen tietosuoja-asetus tuli sovellettavaksi. ( 80 ) Kuten missä tahansa muussa tilanteessa, jossa uusia sääntöjä voidaan soveltaa uuden lainsäädännön voimassaoloaikana syntyviin tilanteisiin, uusia aineellisia sääntöjä voidaan soveltaa ainoastaan tosiseikkoihin, jotka tapahtuvat sen jälkeen, kun uusi väline on tullut sovellettavaksi. ( 81 )

161.

Ennakkoratkaisua pyytäneen tuomioistuimen asiana on varmistaa, kumpi näistä skenaarioista vastaa tosiasiallisesti pääasian nykyistä tilannetta. ( 82 ) Ensimmäisen skenaarion tapauksessa ehdotan, että vireillä olevia menettelyjä voidaan jatkaa, ainakin unionin oikeuden näkökulmasta, jos ne rajoittuvat jo tapahtuneen rikkomisen mahdolliseen toteamiseen. Toisen skenaarion tapauksessa kansalliset menettelyt olisi lopetettava. Uudessa oikeudellisessa kehyksessä perustettiin nimittäin erilainen toimivaltaa ja valtuuksia koskeva järjestelmä, josta seuraa, että osallistuva valvontaviranomainen ei voi toteuttaa toimia rajatylittävästä käsittelystä johtuvan rikkomisen vuoksi erityisten tilanteiden ulkopuolella ja ellei se noudata tätä tarkoitusta varten säädettyjä menettelyjä ja mekanismeja.

162.

Päinvastainen ratkaisu merkitsisi tosiasiallisesti direktiivissä 95/46 säädetyn järjestelmän jatkamista, vaikka se on sekä unionin oikeudessa että kansallisessa oikeudessa nimenomaisesti kumottu ja korvattu uudella. Jos GBA nimittäin vaatisi, että Facebook velvoitetaan lopettamaan jatkossa (ja miten pitkäksi aikaa?) pääasiassa kyseessä olevat käytännöt, eikö tällä puututtaisi (samaa) toimintaa koskevaan toimivaltaan, joka yleisessä tietosuoja-asetuksessa annettiin 25.5.2018 alkaen johtavalle valvontaviranomaiselle ja osallistuville valvontaviranomaisille, mahdollisesti yhdistettynä eri jäsenvaltioissa annettuihin ristiriitaisiin päätöksiin (tai tuomioistuimen määräyksiin)?

163.

Viidennellä kysymyksellään – joka esitettiin siltä varalta, että ensimmäiseen kysymykseen vastataan myöntävästi – ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään, onko yleisen tietosuoja-asetuksen 58 artiklan 5 kohdalla välitön oikeusvaikutus, niin että kansallinen valvontaviranomainen voi vedota siihen pannakseen vireille oikeudellisen menettelyn yksityisiä osapuolia vastaan tai jatkaakseen tällaista menettelyä, jopa siinä tapauksessa, ettei kyseistä säännöstä ole nimenomaisesti saatettu osaksi kansallista lainsäädäntöä.

164.

Toistan, että 58 artiklan 5 kohdassa säädetään seuraavaa: ”Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.”

165.

Facebook sekä Tšekin ja Portugalin hallitukset huomauttavat, että kyseisessä säännöksessä selvästi velvoitetaan jäsenvaltiot tekemään jotakin: ottamaan käyttöön säännöksiä, joiden nojalla viranomaiset voivat panna vireille oikeudellisia menettelyjä. Jotta valtuudet panna vireille oikeudellisia menettelyjä toimisivat täysin, ne voivat edellyttää myös joitakin kansallisia sääntöjä, joissa määritellään muun muassa toimivaltaiset tuomioistuimet, toiminnan aloittamisen edellytykset ja noudatettavat menettelyt.

166.

Kun otetaan huomioon ensimmäiseen kysymykseen ehdottamani vastaus, viidenteen kysymykseen ei ole tarpeen vastata. Totean vielä, että voin kuitenkin aivan hyvin yhtyä GBA:n näkemykseen siitä, että tämän nimenomaisen unionin oikeuden säännöksen normatiivinen sisältö on melko yksiselitteinen ja välittömästi sovellettavissa. Tässä yhteydessä on pidettävä mielessä, että unionin oikeuden määräyksellä tai säännöksellä on välitön oikeusvaikutus aina, kun se on sisältönsä osalta riittävän selkeä, täsmällinen ja ehdoton, jotta siihen voidaan vedota sellaista kansallista toimenpidettä vastaan, joka ei ole kyseisen määräyksen tai säännöksen mukainen, tai siltä osin kuin siinä määritellään oikeuksia, joihin yksityiset voivat vedota suhteessa valtioon. ( 83 )

167.

Sen lisäksi, että kyseinen säännös sisältyy asetukseen (välineeseen, joka SEUT 288 artiklan nojalla ”on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa”), ( 84 ) yleisen tietosuoja-asetuksen 58 artiklan 5 kohtaan vaikuttaa sisältyvän erityinen välittömästi sovellettavissa oleva säännös. Se on hyvin yksinkertainen sääntö: valvontaviranomaisilla on oltava asiavaltuus kansallisissa tuomioistuimissa, ja niille annetaan toimivalta panna vireille oikeudellisia menettelyjä kansallisessa oikeudessa. Kansallisessa tuomioistuimessa nostettua kannetta ei voida jättää tutkimatta oikeussubjektiuden puuttumisen vuoksi.

168.

Olen Facebookin sekä Tšekin ja Portugalin hallitusten kanssa samaa mieltä siitä, että jäsenvaltiot voivat säätää erityissäännöistä, edellytyksistä tai tuomioistuimen toimivallasta valvontaviranomaisten nostamien kanteiden osalta, mutta tällaiset säännöt eivät missään tapauksessa ole välttämättömiä yleisen tietosuoja-asetuksen 58 artiklan 5 kohdan mukaisen säännön, jolla on välitön oikeusvaikutus, tehokkuuden kannalta. Koska kansallinen lainsäätäjä ei ole ottanut käyttöön tilapäisiä sääntöjä, asianmukaisen kansallisen prosessioikeuden (sekä hallintolainkäyttölakien että niiden puuttuessa siviiliprosessilakien) oletussäännöksiä voidaan luonnollisesti soveltaa kaikkiin valvontaviranomaisten nostamiin kanteisiin. Esimerkiksi jos ei olisi tuomioistuimen toimivaltaa koskevia erityisiä täytäntöönpanosääntöjä, voitaisiin siis kohtuudella olettaa, että tällöin voitaisiin soveltaa mihin tahansa (siviili)prosessilakiin todennäköisesti sisältyvää yleistä oletussäännöstä, jolloin toimivalta on oletusarvoisesti vastaajan sijoittautumispaikan tuomioistuimella, jollei toisin säädetä.

169.

Kuudennessa ja viimeisessä kysymyksessään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, että jos kansallisella valvontaviranomaisella on valtuudet toteuttaa toimia, voiko tällaisten menettelyjen tulos estää johtavaa valvontaviranomaista tekemästä vastakkaista ratkaisua siinä tapauksessa, että se tutkii samoja tai samankaltaisia rajatylittäviä käsittelytoimia yleisen tietosuoja-asetuksen 56 ja 60 artiklassa säädetyn mekanismin mukaisesti.

170.

Kun otetaan huomioon ensimmäiseen kysymykseen ehdotettu vastaus, tähän kysymykseen ei ole tarpeen vastata.

171.

Tässä kysymyksessä esiin tullut asia osoittaa kuitenkin jälleen kerran, miksi ensimmäiseen kysymykseen olisi vastattava edellä ehdotetun mukaisesti. Jos yleisessä tietosuoja-asetuksessa säädettyjen yhdenmukaisuus- ja yhteistyömekanismien pakollisuus poistettaisiin ja yhden luukun järjestelmästä tehtäisiin siten ”vapaaehtoinen” tai sitä ei pikemminkin olisi tosiasiallisesti olemassa, koko järjestelmän johdonmukaisuus vähentyisi huomattavasti. Yleiseen tietosuoja-asetukseen tällä hetkellä sisältyvät toimivaltasäännökset korvattaisiin lähinnä kaikkien valvontaviranomaisten samanaikaisella ”kilpailulla ensimmäisestä tuomiosta”. Siitä, joka ”ylittää ensimmäisenä lopullisen tuomion maaliviivan” oikeudenkäyttöalueellaan, tulisi tällöin muuta Euroopan unionia tosiasiallisesti johtava valvontaviranomainen, kuten kuudennesta kysymyksestä ilmenee.

172.

Ehdotan, että unionin tuomioistuin vastaa hof van beroep te Brusselin esittämiin ennakkoratkaisukysymyksiin seuraavasti: