EUT:lta ratkaisu yhden luukun järjestelmän soveltamisesta rajatylittävässä henkilötietojen käsittelyssä

23.6.2021

Belgian tuomioistuin oli pyytänyt ennakkoratkaisua erinäisistä kysymyksistä, jotka liittyivät kansallisen tietosuojaviranomaisen alueelliseen toimivaltaan rajatylittävässä tietojenkäsittelyssä. Taustalla olevassa kansallisessa asiassa Belgian tietosuojaviranomainen oli ajanut kieltokannetta Facebookia vastaan. Belgian tietosuojaviranomaisen mukaan Facebook oli rikkonut yksityisyyden suojaa koskevaa lainsäädäntöä keräämällä tietoja sekä Facebookin käyttäjien että muiden henkilöiden selainkäyttäytymisestä erilaisten tekniikoiden, kuten evästeiden avulla. Facebookin mukaan Belgian tietosuojaviranomainen ei ollut toimivaltainen ajamaan kannetta ottaen huomioon yleisen tietosuoja-asetuksen (GDPR) myötä käyttöön otettu ”yhden luukun” järjestelmä rajatylittävän tietojenkäsittelyn osalta. Yhden luukun järjestelmä perustuu toimivallan jakoon johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välillä.

Facebookin johtavana valvontaviranomaisena toimii Irlanti, koska se on yhtiön päätoimipaikka. Irlanti on useiden suurten teknologiayhtiöiden valvontaviranomainen, joten tapauksella on yleisempääkin merkitystä. Yhden luukun järjestelmää on kritisoitu toimimattomaksi muun muassa siitä syystä, että Irlannin tietosuojaviranomaiset on nähty liian hitaiksi.

EUT:n mukaan kansallinen tietosuojaviranomainen voi saattaa GDPR:n rikkomista koskevat asiat kansallisen tuomioistuimen käsiteltäväksi, vaikka se ei olisi johtava valvontaviranomainen, jos tietyt edellytykset täyttyvät. Erityisesti tällainen menettely ei saa olla ristiriidassa päätöksentekotoimivallan jakautumista koskevan GDPR:n 55 ja 56 artiklan kanssa luettuna yhdessä 60 artiklan kanssa. Pääsääntönä on, että vain johtava valvontaviranomainen voi tehdä henkilötietojen rikkomista koskevan päätöksen. Silloin, kun pääsääntö on voimassa, ei EUT:n mukaan muu kuin johtava valvontaviranomainen voi myöskään saattaa kansallista oikeudellista menettelyä vireille GDPR:n 58 artiklan 5 kohdan mukaisesti. Toisaalta silloin kun muulla kuin johtavalla valvontaviranomaisella on oikeus tehdä tällainen päätös, ei yhden luukun järjestelmä estä tällaista kansallista valvontaviranomaista saattamasta oikeudellista menettelyä vireille jäsenvaltiossaan, kunhan se noudattaa yhdenmukaisuus- ja yhteistyömenettelyitä.  Tämä koskee muun muassa tapauksia, joissa johtava valvontaviranomainen itse päättää että se ei käsittele asiaa tai kun se ei ole toimittanut tarpeellisia tietoja niitä pyytävälle kansalliselle viranomaiselle, tai jos on toteutettava kiireellisiä toimia rekisteröidyn etujen suojaamiseksi. EUT korosti ratkaisussaan yhden luukun järjestelmän vaativan puolin ja toisin tehokasta ja lojaalia yhteistyötä viranomaisten välillä. Tuomioistuin myös huomautti, että sääntely ei voi kokonaisuudessaan johtaa johtavan valvontaviranomaisen oman valvontavelvollisuutensa laiminlyöntiin, koska tämä voisi kannustaa rekisterinpitäjiä forum shopping-ilmiöön.

Toiseksi EUT linjasi, että rajatylittävän tietojenkäsittelyn tilanteessa muun kuin johtavan valvontaviranomaisen valtuuksia laittaa oikeudellista menettelyä vireille ei estä se, että henkilötietojen rajatylittävää käsittelyä suorittavan rekisterinpitäjän tai henkilötietojen käsittelijän, jota vastaan kyseinen oikeudellinen menettely pannaan vireille, päätoimipaikka tai muu toimipaikka ei ole tämän jäsenvaltion alueella.

Kolmanneksi EUT linjasi, että muun kuin johtavan valvontaviranomaisen valtuuksia saattaa GDPR:n rikkomista koskeva asia tuomioistuimen käsiteltäväksi voidaan käyttää sekä rekisterinpitäjän päätoimipaikkaa, joka sijaitsee tämän viranomaisen omassa jäsenvaltiossa, vastaan että tämän rekisterinpitäjän muuta toimipaikkaa vastaan, jos oikeudellinen menettely koskee tietojenkäsittelyä, joka suoritetaan tässä toimipaikassa toiminnan yhteydessä, ja mainitulla viranomaisella on toimivalta käyttää näitä valtuuksia toimivallan jakoa koskevien säännösten valossa.

Tuomioistuin totesi myös, että ennen GDPR:n voimaan tuloa vireille pantuja oikeudellisia menettelyjä voidaan jatkaa aiemmin voimassa olleen tietosuojadirektiivin 95/46 säännösten perusteella.

Tuomio on luettavissa täältä.

(HL)