Julkisasiamiehen ratkaisuehdotus facebookin fanisivustosta
25.10.2017 | OikeusuutisetEnnakkoratkaisupyyntö – Direktiivi 95/46/EY – Direktiivin 2, 4 ja 28 artikla – Yksilöiden suojelu henkilötietojen käsittelyssä ja näiden tietojen vapaa liikkuvuus – Määräys, että verkkoyhteisöpalvelu Facebookissa oleva fanisivu on poistettava käytöstä – Rekisterinpitäjän käsite – Fanisivun hallinnoijan vastuu – Yhteisvastuu – Sovellettava kansallinen oikeus – Valvontaviranomaisten toimintavaltuuksien laajuus
1. Tämä ennakkoratkaisupyyntö koskee yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY,(2) sellaisena kuin se on muutettuna 29.9.2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003, 2 artiklan d alakohdan, 4 artiklan 1 kohdan, 17 artiklan 2 kohdan sekä 28 artiklan 3 ja 6 kohdan tulkintaa.
2. Ennakkoratkaisupyyntö on esitetty asiassa, jossa vastakkain ovat yksityisoikeudellinen koulutusalan yhtiö Wirtschaftsakademie Schleswig-Holstein GmbH (jäljempänä Wirtschaftsakademie) ja Schleswig-Holsteinin alueellinen tietosuojaviranomainen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (jäljempänä ULD) ja joka koskee sellaisen määräyksen laillisuutta, jonka viimeksi mainittu antoi Wirtschaftsakademielle ja jossa tätä vaadittiin poistamaan käytöstä Facebook Ireland Ltd:n sivustolla oleva fanisivu (Fanpage).
3. Määräystä perustellaan sillä, että fanisivulla rikotaan direktiivin 95/46 täytäntöön panemiseksi annettuja Saksan lainsäädännön säännöksiä etenkin siten, ettei sillä vierailevia varoiteta verkkoyhteisöpalvelu Facebookin (jäljempänä Facebook) harjoittamasta henkilötietojen keräämisestä, joka toteutetaan tallentamalla evästeitä heidän kovalevylleen ja jonka tarkoituksena on laatia sivun hallinnoijalle tarkoitettuja kävijätilastoja ja mahdollistaa se, että Facebook pystyy levittämään kohdennettuja mainoksia.
4. Käsiteltävän asian taustalla on webtracking-ilmiö, joka tarkoittaa internetin käyttäjien käyttäytymisen seuraamista ja analysointia kaupallisiin tarkoituksiin ja markkinointitarkoituksiin. Webtrackigin avulla pystytään erityisesti tunnistamaan internetin käyttäjien kiinnostuksenkohteet seuraamalla heidän selauskäyttäytymistään. Tällöin puhutaan käyttäytymiseen perustuvasta webtrackingistä. Tämä toteutetaan yleensä evästeillä.
5. Evästeet ovat seurantatiedostoja, jotka tallennetaan internetin käyttäjän tietokoneelle hänen käydessään verkkosivulla.
6. Webtrackigin käytöllä pyritään erityisesti verkkosivun tehokkaampaan optimointiin ja konfigurointiin. Se myös auttaa mainostajia suuntaamaan viestinsä kohdennetusti eri yleisösegmenteille.
7. Sen määritelmän mukaisesti, jonka direktiivin 95/46 29 artiklalla perustettu tietosuojatyöryhmä on esittänyt käyttötottumuksia seuraavasta internetmainonnasta 22.6.2010 antamassaan lausunnossa 2/10, ”käyttötottumuksia seuraava mainonta tarkoittaa mainontaa, jossa seurataan henkilöiden käyttäytymistä tiettynä aikana. Käyttötottumuksia seuraavassa mainonnassa pyritään selvittämään henkilön käyttäytymisen ominaispiirteet hänen toimintansa kautta (toistuvat verkkosivuilla käynnit, vuorovaikutus, avainsanat, verkkosisällöntuotanto jne.) erityisen käyttäjäprofiilin kokoamiseksi, jotta käyttäjälle voidaan tarjota näin selvinneisiin kiinnostuksenkohteisiin sopivaa kohdennettua mainontaa”. Tämän tavoitteen saavuttamiseksi on kerättävä ja sen jälkeen hyödynnettävä käyttäjän selaimen ja päätelaitteen tietoja. Eniten käytetty seurantatekniikka, jolla internetinkäyttäjiä pystytään seuraamaan, ovat ”seurantaevästeet”. Näin ollen ”toimintamarkkinointi [eli käyttötottumuksia seuraava mainonta] käyttää henkilön internet-käyttäytymisestä kerättyjä tietoja, kuten millä sivuilla hän käy tai mitä hakuja hän tekee, valitakseen, mitä mainoksia tälle henkilölle toimitetaan”.
8. Selauskäyttäytymisen seuranta mahdollistaa myös sen, että verkkosivujen hallinnoijalle pystytään toimittamaan kävijätilastoja näillä sivuilla käyneistä henkilöistä.
9. Kävijätilastojen laatimiseksi ja kohdennettujen mainosten lähettämiseksi toteutetun henkilötietojen keräämisen ja hyödyntämisen on täytettävä tietyt vaatimukset, jotta ne olisivat henkilötietojen suojasta direktiivissä 95/46 annettujen sääntöjen mukaisia. Tällaista henkilötietojen käsittelyä ei etenkään saa toteuttaa ilman, että kyseisiä henkilöitä informoidaan siitä etukäteen, ja ilman näiden etukäteen antamaa suostumusta.
10. Sääntöjenmukaisuuden tutkiminen edellyttää kuitenkin, että on ensin ratkaistava useita kysymyksiä, jotka koskevat rekisterinpitäjän määrittelemistä sekä sovellettavan kansallisen oikeuden ja toimintavaltuuksien käyttämiseen toimivaltaisen viranomaisen määrittämistä.
11. Rekisterinpitäjän yksilöimistä koskeva kysymys muuttuu erityisen vaikeaksi tilanteessa, jossa talouden toimija päättää, ettei se asenna kävijätilastojen laatimiseen ja kohdennettujen mainosten lähettämiseen tarvittavia välineitä omalle verkkosivulleen vaan turvautuu Facebookin kaltaiseen verkkoyhteisöpalveluun avaamalla sinne fanisivun pystyäkseen hyödyntämään samanlaisia välineitä.
12. Sovellettavan kansallisen oikeuden ja toimintavaltuuksien käyttämiseen toimivaltaisen viranomaisen määrittämistä koskevat kysymykset muuttuvat samaten monitahoisiksi, kun henkilötietojen käsittelyyn osallistuu useita sekä Euroopan unionin ulkopuolella että unionissa sijaitsevia yksikköjä.
13. Nyt kun useiden jäsenvaltioiden valvontaviranomaiset ovat viime kuukausina päättäneet määrätä Facebookille sakkoja sen johdosta, että se on rikkonut käyttäjiensä henkilötietojen suojaa koskevia sääntöjä, unionin tuomioistuimella on tässä asiassa tilaisuus täsmentää niiden toimintavaltuuksien laajuutta, joita ULD:n kaltaisella valvontaviranomaisella on sellaisen henkilötietojen käsittelyn osalta, johon osallistuu useita toimijoita.
Julkisasiamies ehdottaa, että unionin tuomioistuin vastaa Bundesverwaltungsgerichtin (liittovaltion hallintotuomioistuin, Saksa) ennakkoratkaisukysymyksiin seuraavasti:
1)Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, sellaisena kuin se on muutettuna 29.9.2003 annetulla Euroopan parlamentin ja neuvoston asetuksella (EY) N:o 1882/2003, 2 artiklan d alakohtaa on tulkittava siten, että Facebookin kaltaisessa verkkoyhteisöpalvelussa olevan fanisivun hallinnoija on tässä säännöksessä tarkoitettu rekisterinpitäjä henkilötietojen käsittelyn sen vaiheen osalta, jossa verkkoyhteisöpalvelu kerää sivulla käyvistä henkilöistä tietoja laatiakseen sivua koskevia kävijätilastoja.
2)Direktiivin 95/46, sellaisena kuin se on muutettuna asetuksella N:o 1882/2003, 4 artiklan 1 kohdan a alakohtaa on tulkittava siten, että pääasian kohteena olevan kaltainen henkilötietojen käsittely suoritetaan jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä kyseisessä säännöksessä tarkoitetulla tavalla silloin, kun verkkoyhteisöpalvelua ylläpitävä yritys perustaa tähän jäsenvaltioon tytäryhtiön, jonka tehtävänä on tämän yrityksen tarjoamien mainospaikkojen myynninedistäminen ja myynti ja jonka toiminta kohdistuu kyseisen jäsenvaltion asukkaisiin.
3)Pääasian kaltaisessa tilanteessa, jossa kyseessä olevaan henkilötietojen käsittelyyn sovelletaan valvontaviranomaisen jäsenvaltion kansallista oikeutta, direktiivin 95/46, sellaisena kuin se on muutettuna asetuksella N:o 1882/2003, 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, että valvontaviranomainen voi käyttää kaikkia sille direktiivin 28 artiklan 3 kohdan mukaisesti annettuja tehokkaita toimintavaltuuksia rekisterinpitäjää kohtaan, myös silloin kun rekisterinpitäjä on sijoittautunut toiseen jäsenvaltioon tai jopa kolmanteen valtioon.
Direktiivin 95/46, sellaisena kuin se on muutettuna asetuksella N:o 1882/2003, 28 artiklan 1, 3 ja 6 kohtaa on tulkittava siten, että pääasiassa kyseessä olevan kaltaisissa olosuhteissa jäsenvaltion, jossa rekisterinpitäjän toimipaikka sijaitsee, valvontaviranomaisella on toimivalta käyttää toimintavaltuuksiaan rekisterinpitäjää kohtaan itsenäisesti ja ilman, että sen on ensin pyydettävä rekisterinpitäjän sijaintijäsenvaltion valvontaviranomaista käyttämään valtuuksiaan