UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)

1 päivänä lokakuuta 2019 ( *1 )

Ennakkoratkaisupyyntö – Direktiivi 95/46/EY – Direktiivi 2002/58/EY – Asetus (EU) 2016/679 – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Evästeet – Rekisteröidyn suostumuksen käsite – Suostumuksen antaminen valmiiksi rastitetulla ruudulla

Asiassa C‑673/17,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa) on esittänyt 5.10.2017 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 30.11.2017, saadakseen ennakkoratkaisun asiassa

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

vastaan

Planet49 GmbH,

UNIONIN TUOMIOISTUIN (suuri jaosto),

toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti R. Silva de Lapuerta, jaostojen puheenjohtajat J.-C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe ja C. Lycourgos sekä tuomarit A. Rosas (esittelevä tuomari), L. Bay Larsen, M. Safjan ja S. Rodin,

julkisasiamies: M. Szpunar,

kirjaaja: yksikönpäällikkö D. Dittert,

ottaen huomioon kirjallisessa käsittelyssä ja 13.11.2018 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, edustajanaan P. Wassermann, Rechtsanwalt,

Planet49 GmbH, edustajinaan M. Jaschinski, J. Viniol ja T. Petersen, Rechtsanwälte,

Saksan hallitus, asiamiehenään J. Möller,

Italian hallitus, asiamiehenään G. Palmieri, avustajanaan F. De Luca, avvocato dello Stato,

Portugalin hallitus, asiamiehinään L. Inez Fernandes, M. Figueiredo, L. Medeiros ja C. Guerra,

Euroopan komissio, asiamiehinään G. Braun, H. Kranenborg ja P. Costa de Oliveira,

kuultuaan julkisasiamiehen 21.3.2019 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1

Ennakkoratkaisupyyntö koskee henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11) (jäljempänä direktiivi 2002/58), 2 artiklan f alakohdan ja 5 artiklan 3 kohdan, luettuina yhdessä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) 2 artiklan h alakohdan kanssa, sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46 kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 6 artiklan 1 kohdan a alakohdan tulkintaa.

2

Tämä pyyntö on esitetty asiassa, jossa ovat vastakkain Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (kuluttajaneuvontajärjestöjen ja ‑yhdistysten keskusjärjestö – kuluttajaneuvontajärjestöjen keskusjärjestö, Saksa) (jäljempänä Bundesverband) ja Planet49 GmbH, joka on pelejä verkossa tarjoava yhtiö, ja joka koskee kyseisen yhtiön mainostarkoituksessa järjestämään arvontaan osallistuneiden antamaa suostumusta heidän henkilötietojensa välittämiseen yhtiön sponsoreille ja yhteistyökumppaneille sekä tietojen tallentamiseen ja kyseisten käyttäjien päätelaitteelle tallennettujen tietojen käyttämiseen.

Asiaa koskevat oikeussäännöt

Unionin oikeus

Direktiivi 95/46

3

Direktiivin 95/46 1 artiklassa säädetään seuraavaa:

”1.   Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja ‑vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.

2.   Jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan.”

4

Kyseisen direktiivin 2 artiklassa säädetään seuraavaa:

”Tässä direktiivissä tarkoitetaan

a)

’henkilötiedoilla’ kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (’rekisteröity’) koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

b)

’henkilötietojen käsittelyllä’ (’käsittely’) kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen,

– –

h)

’rekisteröidyn suostumuksella’ kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.”

5

Mainitun direktiivin 7 artiklassa säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,

a)

jos rekisteröity on yksiselitteisesti antanut suostumuksensa,

– –”

6

Saman direktiivin 10 artiklan sanamuoto on seuraava:

”Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai hänen edustajansa on toimitettava rekisteröidylle, jolta tietoja kerätään, vähintään jäljempänä esitetyt tiedot, paitsi jos hän jo tietää ne:

a)

rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys,

b)

tietojenkäsittelyn tarkoitukset,

c)

kaikenlaiset lisätiedot, kuten

tietojen vastaanottajat tai vastaanottajaryhmät,

tieto siitä, onko kysymyksiin vastaaminen pakollista vai vapaaehtoista, sekä vastaamatta jättämisen mahdolliset seuraukset,

onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun,

siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.”

Direktiivi 2002/58

7

Direktiivin 2002/58 johdanto-osan 17 ja 24 perustelukappaleessa todetaan seuraavaa:

”(17)

Tässä direktiivissä käyttäjän tai tilaajan suostumuksella olisi, siitä riippumatta, onko kyseessä luonnollinen vai oikeushenkilö, tarkoitettava samaa kuin rekisteröidyn suostumuksella direktiivissä [95/46] määritellyn ja tarkennetun mukaisesti. Suostumus voidaan antaa käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn täsmällisen ja tietoon perustuvan ilmoituksen käyttäjän toiveista, mukaan lukien ruudun rastittaminen vierailtaessa Internet-sivustolla.

– –

(24)

Sähköisten viestintäverkkojen käyttäjien päätelaitteet ja tällaisille laitteille tallennetut tiedot kuuluvat käyttäjien yksityiselämän alueeseen, mikä edellyttää ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn [Roomassa 4.11.1950 allekirjoitetun] eurooppalaisen yleissopimuksen mukaista suojaa. Niin sanotut urkintatekniikat, jäljitteet, salatut tunnisteet ja muut vastaavat menetelmät mahdollistavat pääsyn käyttäjän päätelaitteelle tämän tietämättä tarkoituksena tiedon saanti, salatun tiedon tallentaminen tai käyttäjän toimien jäljittäminen, ja ne saattavat vakavasti loukata näiden käyttäjien yksityisyyttä. Tällaisten menetelmien käyttö olisi sallittava vain laillisiin tarkoituksiin ja siten, että kyseiset käyttäjät tietävät asiasta.”

8

Direktiivin 2002/58 1 artiklassa säädetään seuraavaa:

”1.   Tässä direktiivissä säädetään sellaisten kansallisten säännösten yhdenmukaistamisesta, joita tarvitaan samantasoisen perusoikeuksien ja ‑vapauksien, erityisesti yksityisyyttä ja luottamuksellisuutta koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla sekä tällaisten tietojen ja sähköisten viestintälaitteiden ja ‑palvelujen vapaan liikkuvuuden varmistamiseksi [Euroopan unionissa].

2.   Tämän direktiivin säännöksillä täsmennetään ja täydennetään direktiiviä [95/46] edellä 1 kohdassa mainittuja tarkoituksia varten. – –”

9

Kyseisen direktiivin 2 artiklassa säädetään seuraavaa:

”Jollei toisin ole säädetty, tässä direktiivissä sovelletaan direktiivin [95/46] ja sähköisten viestintäverkkojen ja ‑palvelujen yhteisestä sääntelyjärjestelmästä (puitedirektiivi) 7 päivänä maaliskuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/21/EY [(EYVL 2002, L 108, s. 33)] sisältämiä määritelmiä.

Lisäksi tässä direktiivissä tarkoitetaan

a)

’käyttäjällä’ luonnollisia henkilöitä, jotka käyttävät yleisesti saatavilla olevaa sähköistä viestintäpalvelua yksityis- tai liikeasioihin olematta välttämättä tämän palvelun tilaajia;

– –

f)

käyttäjän tai tilaajan ’suostumuksella’ samaa kuin rekisteröidyn suostumuksella direktiivissä [95/46];

– –”

10

Mainitun direktiivin 5 artiklan 3 kohdassa säädetään seuraavaa:

”Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.”

Asetus 2016/679

11

Asetuksen 2016/679 johdanto-osan 32 perustelukappaleessa todetaan seuraavaa:

”Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.”

12

Tämän asetuksen 4 artiklassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

2)

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

– –

11)

rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

– –”

13

Mainitun asetuksen 6 artiklassa säädetään seuraavaa:

”1.   Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)

rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

– –”

14

Saman asetuksen 7 artiklan 4 kohdassa säädetään seuraavaa:

”Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.”

15

Asetuksen 2016/679 13 artiklan 1 ja 2 kohdan sanamuoto on seuraava:

”1.   Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

– –

e)

henkilötietojen vastaanottajat tai vastaanottajaryhmät;

– –

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)

henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

– – ”

16

Tämän asetuksen 94 artiklassa säädetään seuraavaa:

”1.   Kumotaan direktiivi [95/46] 25 päivästä toukokuuta 2018.

2.   Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin [95/46] 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.”

Saksan oikeus

17

Saksan siviililain (Bürgerliches Gesetzbuch, jäljempänä BGB) 307 §:n 1 momentin ensimmäisen virkkeen mukaan ”elinkeinonharjoittajien soveltamat yleiset ehdot ovat pätemättömiä silloin, kun ne lojaliteettiperiaatteen vastaisesti ovat kohtuuttomalla tavalla epäedulliset niitä käyttävän henkilön sopimuspuolelle”.

18

BGB:n 307 §:n 2 momentin 1 kohdassa säädetään, että epäselvässä tilanteessa ”sopimusehdon on katsottava olevan kohtuuttomalla tavalla epäedullinen silloin, kun se on yhteensopimaton sen lainsäädännön perusajatuksen kanssa, josta sillä poiketaan”.

19

Sähköisistä tieto- ja viestintäpalveluista 26.2.2007 annetun lain (Telemediengesetz; BGBl. 2007 I, s. 179), sellaisena kuin sitä sovelletaan pääasiaan (jäljempänä TMG), 12 §:ssä säädetään seuraavaa:

”(1)   Palveluntarjoaja saa kerätä ja käyttää henkilötietoja sähköisten tieto- ja viestintäpalvelujen tarjoamiseksi vain, kun se on sallittu tässä laissa tai muussa nimenomaisesti sähköisiä tieto- ja viestintäpalveluja koskevassa säännöksessä tai kun käyttäjä on antanut siihen suostumuksensa.

(2)   Palveluntarjoaja saa käyttää sähköisten tieto- ja viestintäpalvelujen tarjoamiseksi kerättyjä henkilötietoja muihin tarkoituksiin vain, kun se on sallittu tässä laissa tai muussa nimenomaisesti sähköisiä tieto- ja viestintäpalveluja koskevassa säännöksessä tai kun käyttäjä on antanut siihen suostumuksensa.

(3)   Jollei toisin ole säädetty, sovelletaan kulloinkin voimassa olevia henkilötietojen suojaa koskevia säännöksiä myös silloin, kun tietoja ei käsitellä automaattisesti.”

20

TMG:n 13 §:n 1 momentin mukaan palveluntarjoajan on ilmoitettava käyttäjälle käyttökerran alkaessa henkilötietojen keräämisen ja käytön tavasta, laajuudesta ja tarkoituksesta yleisesti ymmärrettävässä muodossa, ellei tällaista ilmoitusta ole jo tehty. Automaattisessa menettelyssä, joka mahdollistaa käyttäjän tunnistamisen myöhemmin ja valmistelee henkilötietojen keräämistä tai käyttöä, ilmoitus käyttäjälle on tehtävä menettelyn alkaessa.

21

TMG:n 15 §:n 3 momentin mukaan palveluntarjoaja voi salanimien käyttötapauksissa laatia käyttäjäprofiileja mainonta- ja markkinatutkimustarkoituksiin tai sähköisten tieto- ja viestintäpalvelujen tarpeiden mukaista tarjoamista varten, mikäli käyttäjä ei vastusta sitä saatuaan tiedon vastustamisoikeudestaan.

22

20.12.1990 annetun liittovaltion tietosuojalain (Bundesdatenschutzgesetz; BGBl. 1990 I, s. 2954), sellaisena kuin sitä sovelletaan pääasiaan (jäljempänä BDSG), 3 §:n 1 momentin määritelmän mukaan ”henkilötiedot ovat tunnistettua tai tunnistettavissa olevan luonnollisen henkilön (rekisteröity) henkilökohtaisia tai asiallisia olosuhteita koskevia yksittäisiä tietoja”.

23

BDSG:n 3 §:n 3 momentissa tälle käsitteelle annetun määritelmän mukaan kerääminen on tietojen hankkimista rekisteröidystä.

24

BDSG:n 4a §:n 1 momentin ensimmäisessä virkkeessä, jolla direktiivin 95/46 2 artiklan h alakohta saatettiin osaksi Saksan oikeusjärjestystä, säädetään, että suostumus on pätevä ainoastaan, jos se perustuu rekisteröidyn vapaaehtoiseen päätökseen.

Pääasia ja ennakkoratkaisukysymykset

25

Planet49 järjesti 24.9.2013 mainostarkoituksessa arvonnan internetsivustolla www.dein-macbook.de.

26

Internetkäyttäjien, jotka halusivat osallistua tähän arvontaan, oli syötettävä postinumeronsa, minkä jälkeen käyttäjät päätyivät sivulle, johon heidän oli syötettävä nimensä ja osoitteensa. Osoitekenttien alla oli kaksi huomautusta, joiden vieressä oli ruutu rastittamista varten. Ensimmäinen huomautus, jonka vieressä olevaa ruutua (jäljempänä ensimmäinen ruutu) ei ollut rastitettu valmiiksi, kuului seuraavasti:

”Hyväksyn, että sponsorit ja yhteistyökumppanit kertovat minulle postitse tai puhelimitse taikka sähköpostilla tai tekstiviestillä toimialansa tarjonnasta. Voin tehdä päätöksen tässä itse, muussa tapauksessa järjestäjä tekee valinnan puolestani. Voin peruuttaa suostumuksen milloin tahansa. Lisätietoa asiasta on täällä.”

27

Toinen huomautus, jonka vieressä oleva ruutu (jäljempänä toinen ruutu) oli rastitettu valmiiksi, kuului seuraavasti:

”Hyväksyn, että tietoihini käytetään Remintrex-verkkoanalyysipalvelua. Tästä seuraa, että arvonnan järjestäjä, [Planet49], ottaa arvontaan rekisteröitymisen jälkeen käyttöön evästeet, minkä ansiosta Planet49 voi arvioida selauskäyttäytymistäni ja käyttötapojani mainontakumppanien verkkosivuilla ja Remintrex voi siten kohdentaa mainontaa kiinnostuksen kohteiden mukaan. Voin poistaa evästeet käytöstä milloin tahansa. Lisätietoja löytyy täältä.”

28

Arvontaan oli mahdollista osallistua vasta, kun ainakin ensimmäinen ruutu oli rastitettu.

29

Ensimmäisen ruudun vieressä olevassa huomautuksessa kohtiin ”sponsorit ja yhteistyökumppanit” ja ”täällä” liitetyn sähköisen linkin kautta avautui luettelo, johon oli merkitty 57 yritystä, jokaisen osoite, mainostettava toimiala ja mainonnassa käytettävä viestintäväline (sähköposti, posti tai puhelin). Alleviivattu sana ”peruuta” oli mainittu kunkin yrityksen nimen jälkeen. Luetteloa edelsi seuraava huomautus:

”Napsauttamalla linkkiä ’peruuta’ päätän, ettei mainitulle yhteistyökumppanille/sponsorille saa antaa mainontasuostumusta. Jos en ole peruuttanut yhtään tai riittävän monta yhteistyökumppania/sponsoria, Planet49 valitsee vapaan harkintansa mukaan yhteistyökumppanit/sponsorit minulle (enimmäismäärä: 30 yhteistyökumppania/sponsoria).”

30

Napsautettaessa toisen ruudun vieressä olevassa huomautuksessa kohtaan ”täältä” liitettyä sähköistä linkkiä tulivat seuraavat tiedot näkyville:

”Käytetyt evästeet, joiden nimi on ceng_cache, ceng_etag, ceng_png ja gcr, ovat pieniä tiedostoja, jotka käyttämäsi selain tallentaa luokitellusti kiintolevylle ja joiden kautta kulkee tiettyjä tietoja, jotka mahdollistavat käyttäjäystävällisemmän ja tehokkaamman mainonnan. Evästeet sisältävät tietyn sattumanvaraisesti määräytyvän numeron (ID-tunnus), joka lisätään samanaikaisesti rekisteröitymistietoihisi. Jos vierailet tämän jälkeen Remintrexiin rekisteröityneen mainontakumppanin verkkosivustolla (se, onko rekisteröityminen tapahtunut, selviää mainontakumppanin tietosuojailmoituksesta), sivustolle sijoitettujen kehysten (iFrame) perusteella Remintrex saa automaattisesti tiedon siitä, että sinä (toisin sanoen käyttäjä, jolla on tallennettu ID-tunnus) olet vieraillut sivulla, mistä tuotteesta olit kiinnostunut ja onko sopimus syntynyt.

Tämän jälkeen [Planet49] voi arvontoja varten rekisteröitymisen yhteydessä annetun mainontasuostumuksen perusteella lähettää sinulle mainontasähköpostia, jossa otetaan huomioon mainontakumppanien verkkosivustoilla osoittamasi kiinnostuksen kohteet. Mainontaluvan peruuttamisen jälkeen et tietenkään saa enää sähköpostimainontaa.

Evästeiden välittämiä tietoja käytetään yksinomaan mainontaan, jossa esitellään mainontakumppaneiden tuotteita. Tiedot kerätään ja tallennetaan ja niitä käytetään erikseen jokaista mainontakumppania varten. Tässä yhteydessä ei luoda useita mainontakumppaneita käsittäviä käyttäjäprofiileja. Yksittäiset mainontakumppanit eivät saa käyttöönsä henkilötietoja.

Jos et halua enää käyttää evästeitä, voit poistaa ne käytöstä milloin tahansa selaimessasi. Ohjeet siihen löydät selaimen avustustoiminnosta.

Evästeiden avulla ei voida ajaa ohjelmia eikä siirtää viruksia.

Sinulla on tietysti mahdollisuus peruuttaa tämä suostumus milloin tahansa. Peruutuksen voit tehdä kirjallisesti [Planet49:lle] [osoite]. Tähän tarkoitukseen riittää kuitenkin myös sähköpostiviesti asiakaspalveluumme [sähköpostiosoite].”

31

Ennakkoratkaisupyynnöstä ilmenee, että evästeet ovat internetsivuston tarjoajan kyseisen sivuston käyttäjän tietokoneelle tallentamia tiedostoja, joita tarjoaja voi käyttää uudelleen käyttäjän vieraillessa uudemman kerran sivustolla ja joilla helpotetaan internetin selaamista tai liiketapahtumia taikka joilla hankitaan tietoja käyttäjän toiminnasta.

32

Bundesverband, joka on merkitty luetteloon kieltokanteista kuluttajan oikeuksien loukkausten ja muiden rikkomisten yhteydessä 26.11.2001 annetun lain (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen, Unterlassungsklagengesetz – UKlaG; BGBl. 2001 I, s. 3138) 4 §:n mukaisista kanneoikeutetuista elimistä, väitti tuloksettomaksi jääneen kehotuksen yhteydessä, että Planet49:n ensimmäisessä ja toisessa ruudussa pyytämät suostumusilmoitukset eivät täyttäneet BGB:n 307 §:n ja sopimattoman kilpailun estämisestä 3.7.2004 annetun lain (Gesetz gegen den unlauteren Wettbewerb; BGBl. 2004 I, s. 1414), sellaisena kuin sitä sovelletaan pääasiaan, 7 §:n 2 momentin 2 kohdan sekä TMG:n 12 §:n ja sitä seuraavien pykälien säännöksissä edellytettyjä vaatimuksia.

33

Bundesverband nosti Landgericht Frankfurt am Mainissa (Frankfurt am Mainin alueellinen alioikeus, Saksa) kanteen, jossa se vaati lähinnä, että Planet49 lopettaa tällaisten suostumusilmoitusten pyytämisen ja että se velvoitetaan maksamaan Bundesverbandille 214 euroa korkoineen 15.3.2014 alkaen.

34

Landgericht Frankfurt am Main hyväksyi kanteen osittain.

35

Planet49 valitti asiassa Oberlandesgericht Frankfurt am Mainiin (Frankfurt am Mainin osavaltion ylioikeus, Saksa), minkä johdosta kyseinen tuomioistuin katsoi, ettei Bundesverbandin vaatimus siitä, että Planet49 lopettaa sisällyttämästä kuluttajien kanssa tekemiinsä arvontasopimuksiin tämän tuomion 27 kohdassa olevan maininnan, jonka vieressä oleva toinen ruutu oli rastitettu valmiiksi, ollut perusteltu, koska yhtäältä käyttäjä oli tietoinen mahdollisuudesta poistaa rasti kyseisestä ruudusta ja toisaalta maininta oli esitetty kirjoitusasultaan riittävän selkeästi ja siinä annettiin tietoja evästeiden käyttötavoista; ei ole tarpeen paljastaa niiden kolmansien osapuolten henkilöllisyyttä, joilla on mahdollisesti pääsy saatuihin tietoihin.

36

Bundesgerichtshof (liittovaltion ylin tuomioistuin, Saksa), jonka käsiteltäväksi Bundesverband saattoi Revision-valituksen, katsoo, että pääasian ratkaisu riippuu direktiivin 2002/58 5 artiklan 3 kohdan ja 2 artiklan f alakohdan, direktiivin 95/46 2 artiklan h alakohdan sekä asetuksen 2016/679 6 artiklan 1 kohdan a alakohdan tulkinnasta.

37

Koska Bundesgerichtshof on näiden säännösten perusteella epävarma Planet49:n internetsivuston www.dein-macbook.de käyttäjiltä toisen ruudun avulla saaman suostumuksen pätevyydestä sekä direktiivin 2002/58 5 artiklan 3 kohdassa säädetyn ilmoittamisvelvollisuuden laajuudesta, se on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)

a)

Onko kyse direktiivin [2002/58] 5 artiklan 3 kohdassa ja 2 artiklan f alakohdassa, luettuina yhdessä direktiivin [95/46] 2 artiklan h alakohdan kanssa, tarkoitetusta pätevästä suostumuksesta, jos tietojen tallentaminen tai käyttäjän päätelaitteelle jo tallennettujen tietojen käyttäminen sallitaan verkkosivulle sijoitetulla valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa?

b)

Onko direktiivin [2002/58] 5 artiklan 3 kohdan ja 2 artiklan f alakohdan, luettuina yhdessä direktiivin [95/46] 2 artiklan h alakohdan kanssa, soveltamisen kannalta merkitystä sillä, ovatko tallennetut tai haetut tiedot henkilötietoja?

c)

Onko tämän kysymyksen a kohdassa mainituissa olosuhteissa kyseessä asetuksen [2016/679] 6 artiklan 1 kohdan a alakohdassa tarkoitettu pätevä suostumus?

2)

Mitä tietoja palveluntarjoajan on annettava käyttäjälle direktiivin [2002/58] 5 artiklan 3 kohdan mukaisissa selkeissä ja kattavissa tiedoissa? Kuuluvatko niihin myös evästeiden toiminta-aika ja se, saavatko kolmannet pääsyn evästeisiin?”

Ennakkoratkaisukysymysten tarkastelu

Alustavat huomautukset

38

Aluksi on tutkittava, voidaanko direktiiviä 95/46 ja asetusta 2016/679 soveltaa pääasian tosiseikkoihin.

39

Direktiivi 95/46 on kumottu ja korvattu 25.5.2018 alkaen asetuksella 2016/679 kyseisen asetuksen 94 artiklan 1 kohdan nojalla.

40

Tämä ajankohta on tosin myöhempi kuin ennakkoratkaisua pyytäneessä tuomioistuimessa pidetyn viimeisen istunnon ajankohta 14.7.2017 ja ajankohta, jolloin mainittu tuomioistuin esitti unionin tuomioistuimelle ennakkoratkaisupyynnön.

41

Ennakkoratkaisua pyytänyt tuomioistuin toteaa kuitenkin, että kun otetaan huomioon asetuksen 2016/679 – jota myös ensimmäisen kysymyksen eräs osa koskee – voimaantulo 25.5.2018, on todennäköistä, että tämä asetus olisi otettava huomioon pääasian ratkaisemisen ajankohtana. Kuten Saksan hallitus totesi unionin tuomioistuimessa pidetyssä istunnossa, ei myöskään ole poissuljettua, että koska Bundesverbandin vireille paneman oikeudenkäynnin tarkoituksena on saada Planet49 lopettamaan menettelynsä tulevaisuudessa, asetusta N:o 2016/679 sovelletaan pääasiaan ajallisesti kieltokanteiden kannalta merkityksellistä oikeudellista tilannetta koskevan kansallisen oikeuskäytännön perusteella, mikä on ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä tarkistaa (ks. vahvistuskanteen osalta tuomio 16.1.2019, Deutsche Post, C‑496/17, EU:C:2019:26, 38 kohta).

42

Kun otetaan huomioon se, että asetuksen 2016/679 94 artiklan 2 kohdan nojalla direktiivissä 2002/58 olevia viittauksia direktiiviin 95/46 on pidettävä viittauksina mainittuun asetukseen, käsiteltävässä asiassa ei näin ollen ole poissuljettua, että direktiiviä 2002/58 sovelletaan yhdessä joko direktiivin 95/46 tai asetuksen 2016/679 kanssa Bundesverbandin vaatimusten luonteen ja asianomaisen ajanjakson mukaan.

43

Esitettyihin kysymyksiin on täten vastattava sekä direktiivin 95/46 että asetuksen 2016/679 perusteella.

Ensimmäisen kysymyksen a ja c kohta

44

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisen kysymyksensä a ja c kohdassa pääasiallisesti, onko direktiivin 2002/58 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 6 artiklan 1 kohdan a alakohdan kanssa, tulkittava siten, että näissä säännöksissä tarkoitettu suostumus on pätevästi annettu, kun lupa tietojen tallentamiseen tai internetsivuston käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen evästeiden avulla on annettu valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa.

45

Aluksi on täsmennettävä, että ennakkoratkaisupyynnössä esitettyjen tietojen mukaan evästeet, joita voidaan tallentaa Planet49:n mainostarkoituksessa järjestämään arvontaan osallistuvan käyttäjän päätelaitteelle, sisältävät kyseisen käyttäjän, jonka on syötettävä nimensä ja osoitteensa kyseisen arvonnan osallistumislomakkeelle, rekisteröitymistiedoille annetun numeron. Ennakkoratkaisua pyytänyt tuomioistuin toteaa lisäksi, että tämä numero ja nämä tiedot yhdessä yksilöivät evästeiden tallentamat tiedot käyttäjän käyttäessä internetiä, joten näiden tietojen kerääminen evästeillä on henkilötietojen käsittelyä. Planet49 vahvisti nämä tiedot ja korosti kirjallisissa huomautuksissaan, että toisen ruudun mukaisella suostumuksella on tarkoitus sallia henkilötietojen eikä anonyymien tietojen kerääminen ja käsittely.

46

Tämän täsmennyksen jälkeen on todettava, että direktiivin 2002/58 5 artiklan 3 kohdan mukaan jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46 mukaisesti.

47

Tässä yhteydessä on muistutettava, että sekä unionin oikeuden yhtenäinen soveltaminen että yhdenvertaisuusperiaate edellyttävät, että unionin oikeuden sellaisen säännöksen tai määräyksen sanamuotoa, joka ei sisällä nimenomaista viittausta jäsenvaltioiden oikeuteen säännöksen tai määräyksen sisällön ja ulottuvuuden määrittämiseksi, on tavallisesti tulkittava koko unionissa itsenäisesti ja yhtenäisesti (tuomio 26.3.2019, SM (Lapsi, jonka huoltajuus on järjestetty algerialaisen kafala-järjestelyn mukaisesti), C‑129/18, EU:C:2019:248, 50 kohta ja tuomio 11.4.2019, Tarola, C‑483/17, EU:C:2019:309, 36 kohta).

48

Lisäksi on niin, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin oikeuden säännöksen tai määräyksen tulkitsemisessa on otettava huomioon paitsi sen sanamuoto ja sillä tavoitellut päämäärät myös asiayhteys ja unionin oikeuden säännökset ja määräykset kokonaisuudessaan. Myös unionin oikeuden säännöksen tai määräyksen syntyhistoriasta voi ilmetä sen tulkinnan kannalta merkityksellisiä seikkoja (tuomio 10.12.2018, Wightman ym., C‑621/18, EU:C:2018:999, 47 kohta oikeuskäytäntöviittauksineen).

49

Direktiivin 2002/58 5 artiklan 3 kohdan sanamuodosta on todettava, että vaikka kyseisessä säännöksessä säädetään nimenomaisesti, että käyttäjän on täytynyt ”anta[a] suostumuksensa” evästeiden tallentamiseen päätelaitteellensa ja niiden hakemiseen sieltä, mainitussa säännöksessä ei sitä vastoin ole mainintaa siitä, miten tämä suostumus on annettava. Ilmaisua ”antanut suostumuksensa” voidaan kuitenkin tulkita sanamuodon mukaisesti siten, että käyttäjän toiminta on tarpeen tämän suostumuksen ilmaisemiseksi. Direktiivin 2002/58 johdanto-osan 17 perustelukappaleesta ilmenee tältä osin, että kyseisessä direktiivissä tarkoitettu käyttäjän suostumus voidaan antaa käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn täsmällisen ja tietoon perustuvan ilmoituksen käyttäjän toiveista, muun muassa ”ruudun rastittami[sta] vierailtaessa Internet-sivustolla”.

50

Direktiivin 2002/58 5 artiklan 3 kohdan asiayhteydestä on korostettava, että kyseisen direktiivin 2 artiklan f alakohdassa, jossa määritetään kyseisessä direktiivissä tarkoitettu ”suostumus”, viitataan tältä osin direktiivissä 95/46 mainittuun ”rekisteröidyn suostumukse[en]”. Direktiivin 2002/58 johdanto-osan 17 perustelukappaleessa täsmennetään, että kyseisessä direktiivissä tarkoitetulla käyttäjän suostumuksella olisi tarkoitettava samaa kuin rekisteröidyn suostumuksella direktiivissä 95/46 määritellyn ja tarkennetun mukaisesti.

51

Viimeksi mainitun direktiivin 2 artiklan h alakohdassa määritellään, että ”rekisteröidyn suostumuksella” tarkoitetaan ”kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn”.

52

Kuten julkisasiamies korosti ratkaisuehdotuksensa 60 kohdassa, vaatimus rekisteröidyn tahdon ”ilmaisusta” viittaa selvästi aktiiviseen eikä passiiviseen toimintaan. Valmiiksi rastitetulla ruudulla annettu suostumus ei merkitse internetsivuston käyttäjän aktiivista toimintaa.

53

Tätä tulkintaa tukee direktiivin 95/46 7 artikla, jossa on esitetty tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista (ks. vastaavasti tuomio 24.11.2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ja C‑469/10, EU:C:2011:777, 30 kohta ja tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 57 kohta).

54

Erityisesti direktiivin 95/46 7 artiklan a alakohdassa säädetään, että rekisteröidyn suostumus voi tehdä tällaisesta käsittelystä laillista, mikäli rekisteröity on ”yksiselitteisesti” antanut suostumuksensa. Ainoastaan rekisteröidyn aktiivinen toiminta suostumuksensa ilmaisemiseksi voi täyttää tämän vaatimuksen.

55

Tältä osin on käytännössä mahdotonta määrittää objektiivisesti, onko internetsivuston käyttäjä tosiasiallisesti antanut suostumuksensa henkilötietojensa käsittelyyn, kun hän ei ole poistanut rastia valmiiksi rastitetusta ruudusta, ja onko tämä suostumus joka tapauksessa annettu tietoisesti. Ei nimittäin ole poissuljettua, ettei mainittu käyttäjä ole lukenut valmiiksi rastitetun ruudun vieressä olevia tietoja tai ettei hän ole edes huomannut kyseistä ruutua ennen toimintansa jatkamista vierailemallaan internetsivustolla.

56

Direktiivin 2002/58 5 artiklan 3 kohdan syntyhistoriasta on lopuksi todettava, että tämän säännöksen alkuperäisessä versiossa säädettiin ainoastaan vaatimuksesta, jonka mukaan käyttäjällä oli ”oikeus kieltää” evästeiden tallentaminen saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46 mukaisesti. Direktiivillä 2009/136 muutettiin olennaisesti tämän säännöksen sanamuotoa korvaamalla tämä ilmaisu ilmaisulla ”antanut suostumuksensa”. Direktiivin 2002/58 5 artiklan 3 kohdan syntyhistoriasta ilmenee täten, että käyttäjän ei voida vastedes enää olettaa antaneen suostumustaan vaan suostumuksen on perustuttava käyttäjän aktiiviseen toimintaan.

57

Edellä esitetyn perusteella direktiivin 2002/58 2 artiklan f alakohdassa ja 5 artiklan 3 kohdassa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan kanssa, tarkoitettu suostumus ei täten ole pätevästi annettu, kun lupa tietojen tallentamiseen tai internetsivuston käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen on annettu palveluntarjoajan valmiiksi rastittamalla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa.

58

Lisäksi on todettava, että direktiivin 95/46 2 artiklan h alakohdassa tarkoitetun tahdonilmaisun on muun muassa oltava ”yksilöity” niin, että sen on koskettava tarkalleen kyseessä olevaa tietojenkäsittelyä eikä sitä voida johtaa tahdonilmaisusta, jolla on eri kohde.

59

Nyt käsiteltävässä asiassa on todettava – toisin kuin Planet49 väittää –, että se, että käyttäjä napsauttaa kyseisen yhtiön mainostarkoituksessa järjestämän arvonnan osallistumispainiketta, ei näin ollen ole riittävää, jotta voitaisiin katsoa, että käyttäjä on pätevästi antanut suostumuksensa evästeiden tallentamiseen.

60

Edellä esitettyyn tulkintaan on päädyttävä sitä suuremmalla syyllä asetuksen 2016/679 perusteella.

61

Kuten julkisasiamies totesi pääasiallisesti ratkaisuehdotuksensa 70 kohdassa, asetuksen 2016/679 4 artiklan 11 alakohdan, jossa määritellään kyseisessä asetuksessa ja erityisesti sen 6 artiklan 1 kohdan a alakohdassa – johon ensimmäisen kysymyksen c kohdassa viitataan – tarkoitettu ”rekisteröidyn suostumus”, sanamuoto on vielä tiukempi kuin direktiivin 95/46 2 artiklan h alakohdan sanamuoto, koska siinä edellytetään rekisteröidyn ”vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä” tahdonilmaisua antamalla sellainen lausuma tai toteuttamalla sellainen ”selkeästi suostumusta ilmaisev[a] toim[i]”, joka merkitsee rekisteröidyn antamaa hyväksyntää henkilötietojensa käsittelylle.

62

Asetuksessa 2016/679 säädetään siten vastedes nimenomaisesti aktiivisesta suostumuksesta. Tältä osin on todettava, että kyseisen asetuksen johdanto-osan 32 perustelukappaleen mukaan suostumus voidaan ilmaista muun muassa rastittamalla ruutu vierailtaessa internetsivustolla. Kyseisessä johdanto-osan perustelukappaleessa suljetaan sitä vastoin nimenomaisesti pois se mahdollisuus, että suostumus on annettu ”vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta”.

63

Tästä seuraa, että direktiivin 2002/58 2 artiklan f alakohdassa ja 5 artiklan 3 kohdassa, luettuina yhdessä asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, tarkoitettu suostumus ei ole pätevästi annettu, kun lupa tietojen tallentamiseen tai internetsivuston käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen on annettu valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa.

64

Lopuksi on korostettava, että ennakkoratkaisua pyytänyt tuomioistuin ei ole saattanut unionin tuomioistuimen käsiteltäväksi kysymystä siitä, onko se, että käyttäjän antama suostumus mainostarkoituksessa tapahtuvaan henkilötietojensa käsittelyyn on edellytyksenä käyttäjän mahdollisuudelle osallistua mainostarkoituksessa järjestettyyn arvontaan, mikä vaikuttaisi olevan tilanne käsiteltävässä asiassa ennakkoratkaisupyynnössä esitettyjen tietojen perusteella ainakin ensimmäisen ruudun osalta, yhteensopiva direktiivin 95/46 2 artiklan h alakohdassa ja asetuksen 2016/679 4 artiklan 11 alakohdassa ja 7 artiklan 4 kohdassa alakohdassa tarkoitettua ”vapaaehtoista” suostumusta koskevan vaatimuksen kanssa. Unionin tuomioistuimen ei täten tarvitse tutkia tätä kysymystä.

65

Kaiken edellä esitetyn perusteella ensimmäisen kysymyksen a ja c kohtaan on vastattava, että direktiivin 2002/58 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, on tulkittava siten, että näissä säännöksissä tarkoitettua suostumusta ei ole annettu pätevästi, kun lupa tietojen tallentamiseen tai internetsivuston käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen evästeiden avulla on annettu valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa.

Ensimmäisen kysymyksen b kohta

66

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisen kysymyksensä b kohdassa lähinnä, onko direktiivin 2002/58 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, tulkittava eri tavoin sen mukaan, ovatko internetsivuston käyttäjän päätelaitteelle tallennetut tai sieltä haetut tiedot direktiivissä 95/46 ja asetuksessa 2016/679 tarkoitettuja henkilötietoja vai eivät.

67

Kuten tämän tuomion 45 kohdassa on todettu, ennakkoratkaisupyynnöstä ilmenee, että pääasiassa kyseessä olevien evästeiden tallentaminen on henkilötietojen käsittelyä.

68

Tämän täsmennyksen jälkeen on joka tapauksessa todettava, että direktiivin 2002/58 5 artiklan 3 kohdassa viitataan ”tietojen tallentami[seen]” ja ”tallennettujen tietojen käyttämi[seen]” mutta siinä ei määritellä näitä tietoja eikä täsmennetä sitä, että tietojen on oltava henkilötietoja.

69

Kuten julkisasiamies totesi ratkaisuehdotuksensa 107 kohdassa, tällä säännöksellä pyritään siten suojelemaan käyttäjää hänen yksityisyytensä loukkaamiselta riippumatta siitä, koskeeko tämä loukkaus henkilötietoja vai muita tietoja.

70

Tätä tulkintaa tukee direktiivin 2002/58 johdanto-osan 24 perustelukappale, jonka mukaan sähköisten viestintäverkkojen käyttäjien päätelaitteille tallennetut tiedot kuuluvat käyttäjien yksityiselämän alueeseen, mikä edellyttää ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaista suojaa. Tätä suojaa sovelletaan kaikkiin tällaiselle päätelaitteelle tallennettuihin tietoihin riippumatta siitä, onko kyse henkilötiedoista vai ei, ja sen tarkoituksena on tästä samasta johdanto-osan perustelukappaleesta ilmenevällä tavalla muun muassa suojata käyttäjiä vaaralta siitä, että salatut tunnisteet tai muut vastaavat menetelmät pääsevät näiden käyttäjien päätelaitteelle heidän tietämättään.

71

Edellä esitetyn perusteella ensimmäisen kysymyksen b kohtaan on vastattava, että direktiivin 2002/58 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, ei ole tulkittava eri tavoin sen mukaan, ovatko internetsivuston käyttäjän päätelaitteelle tallennetut tai sieltä haetut tiedot direktiivissä 95/46 ja asetuksessa 2016/679 tarkoitettuja henkilötietoja vai eivät.

Toinen kysymys

72

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään lähinnä sitä, onko direktiivin 2002/58 5 artiklan 3 kohtaa tulkittava siten, että tietoihin, jotka palveluntarjoajan on annettava internetsivuston käyttäjälle, kuuluvat tiedot evästeiden toiminta-ajasta sekä siitä, onko kolmansilla mahdollisuus käyttää näitä evästeitä.

73

Kuten tämän tuomion 46 kohdasta jo ilmenee, direktiivin 2002/58 5 artiklan 3 kohdassa edellytetään, että käyttäjä on antanut suostumuksensa saatuaan ”direktiivin [95/46] mukaisesti” selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta.

74

Kuten julkisasiamies korosti ratkaisuehdotuksensa 115 kohdassa, käyttäjän on voitava selkeiden ja kattavien tietojen avulla helposti määrittää mahdollisesti antamansa suostumuksen seuraukset, ja näillä tiedoilla on voitava taata käyttäjälle se, että tämä suostumus annetaan täysin tietoisena asiasta. Tietojen on oltava selvästi ymmärrettävissä ja riittävän yksityiskohtaisia, jotta käyttäjän on mahdollista ymmärtää käytettyjen evästeiden toiminta.

75

Pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa unionin tuomioistuimelle toimitetussa asiakirja-aineistossa olevien tietojen mukaan evästeillä on tarkoitus kerätä tietoja arvonnan järjestäjän yhteistyökumppaneiden tuotteiden mainostarkoituksessa, evästeiden toiminta-aika sekä se, onko kolmansilla mahdollisuus käyttää näitä evästeitä, kuuluvat selkeisiin ja kattaviin tietoihin, jotka käyttäjälle on direktiivin 2002/58 5 artiklan 3 kohdan mukaisesti annettava.

76

Tästä on todettava, että direktiivin 95/46, johon direktiivin 2002/58 5 artiklan 3 kohdassa viitataan, 10 artiklassa ja asetuksen 2016/679 13 artiklassa mainitaan tiedot, jotka rekisterinpitäjän on toimitettava rekisteröidylle, jolta häntä koskevia tietoja kerätään.

77

Nämä tiedot sisältävät direktiivin 95/46 10 artiklan nojalla muun muassa rekisterinpitäjän henkilöllisyyden, tietojenkäsittelyn tarkoitukset ja kaikenlaiset lisätiedot, kuten tietojen vastaanottajat tai vastaanottajaryhmät, siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.

78

Vaikka tietojenkäsittelyn kesto ei kuulu näihin tietoihin, direktiivin 95/46 10 artiklassa olevasta ilmaisusta ”vähintään” ilmenee, ettei niitä ole lueteltu tyhjentävästi. Tiedon evästeiden toiminta-ajasta on katsottava vastaavan mainitussa artiklassa säädettyä asianmukaisen tietojenkäsittelyn vaatimusta siltä osin kuin pääasiassa kyseessä olevan kaltaisessa tilanteessa pitkäaikainen tai jopa rajoittamaton kesto merkitsee lukuisten tietojen keräämistä käyttäjän selailutottumuksista ja mahdollisista vierailukerroista arvonnan järjestäjän yhteistyökumppaneiden sivustoilla.

79

Tätä tulkintaa tukee asetuksen 2016/679 13 artiklan 2 kohdan a alakohta, jossa säädetään, että rekisterinpitäjän on toimitettava rekisteröidylle asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi tiedot muun muassa henkilötietojen säilytysajasta tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteereistä.

80

Kolmansien mahdollisuudesta käyttää evästeitä on todettava, että kyseessä on direktiivin 95/46 10 artiklan c alakohdassa ja asetuksen 2016/679 13 artiklan 1 kohdan e alakohdassa mainittuihin tietoihin sisältyvä tieto, koska näissä säännöksissä mainitaan nimenomaisesti tietojen vastaanottajat tai vastaanottajaryhmät.

81

Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että direktiivin 2002/58 5 artiklan 3 kohtaa on tulkittava siten, että tietoihin, jotka palveluntarjoajan on annettava internetsivuston käyttäjälle, kuuluvat tiedot evästeiden toiminta-ajasta sekä siitä, onko kolmansilla mahdollisuus käyttää näitä evästeitä.

Oikeudenkäyntikulut

82

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

 

Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:

 

1)

Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY, 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 2 artiklan h alakohdan ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46 kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, on tulkittava siten, että näissä säännöksissä tarkoitettua suostumusta ei ole annettu pätevästi, kun lupa tietojen tallentamiseen tai internetsivuston käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen evästeiden avulla on annettu valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa.

 

2)

Direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, ei ole tulkittava eri tavoin sen mukaan, ovatko internetsivuston käyttäjän päätelaitteelle tallennetut tai sieltä haetut tiedot direktiivissä 95/46 ja asetuksessa 2016/679 tarkoitettuja henkilötietoja vai eivät.

 

3)

Direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 5 artiklan 3 kohtaa on tulkittava siten, että tietoihin, jotka palveluntarjoajan on annettava internetsivuston käyttäjälle, kuuluvat tiedot evästeiden toiminta-ajasta sekä siitä, onko kolmansilla mahdollisuus käyttää näitä evästeitä.

 

Allekirjoitukset


( *1 ) Oikeudenkäyntikieli: saksa.