Itävalta: Wienin korkein oikeus vahvistaa vahingonkorvausvaatimuksen Facebookia vastaan

Oberlandesgericht Wien (OLG) antoi 07.12.2020 (tiedoksiannettu 28.12.2020) tuomionsa valitusasiassa Schrems vastaan Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b)^, jossa se vahvisti siviilioikeudellisia asioita käsittelevän alueellisen tuomioistuimen (Landesgericht für Zivilrechtssachen) päätöksen ja katsoi, että sosiaalinen mediayhteisö oli velvollinen antamaan kantajalle täydellisen pääsyn hänestä hallussaan pitämiinsä tietoihin, minkä vuoksi se velvoitti yrityksen maksamaan 500 euron korvauksen (yleisen tietosuoja-asetuksen 82 artikla).

Se totesi kuitenkin myös, että tietojenkäsittelyn teko ei edellytä, että foorumi hankkii käyttäjiltään yksiselitteisen erillisen suostumuksen EU:n tietosuojalainsäädännön mukaisesti (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohta), vaan että tällainen tietojen käyttöoikeus on luontaisesti myönnetty Facebookille sen sopimusehtojen nojalla.

Päätöksessä keskitytään useisiin oikeudellisiin valituksiin, ja siinä käsitellään kolmea erillistä kysymystä, jotka käsitellään jäljempänä.

Osapuolten roolien jakaminen tietosuojalainsäädännössä

Kantaja

• Kantajan mukaan alustan käyttäjä katsotaan vastuulliseksi osapuoleksi tai "rekisterinpitäjäksi" (yleisen tietosuoja-asetuksen 4 artiklan 7 kohta) niiden tietosovellusten osalta, joita hän käyttää henkilökohtaisiin tarkoituksiinsa;
• Vastaaja toimii sopimuksen nojalla "henkilötietojen käsittelijänä", joka estää häntä toteuttamasta mitään tietokäsittelyjä ilman kantajan ohjeita tai vastoin kantajan ohjeita;
• Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan vaatimukset täyttävää sopimusta ei ole tehty, vaikka kantajalla on oikeus tällaiseen sopimukseen.

Vastaaja

Vastaaja on katsottava ainoaksi vastuulliseksi osapuoleksi suhteessa kantajaan, jolla ei ole intressiä toteennäyttämistoimiin.

OLG (s. 21-23)

• Pelkkä sosiaalisen verkoston alustan käyttö ei sinänsä tee käyttäjää yhteisvastuulliseksi kyseisen verkoston suorittamasta henkilötietojen käsittelystä;
• On tehtävä ero fanisivujen osalta, jolloin kyseisen sivun ylläpitäjä osallistuu osaltaan kävijöiden henkilötietojen käsittelyyn, mikä tekee hänestä rekisterinpitäjän (EY:n tuomioistuimen tuomio C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para. 35, 36 ja 41 kohta).
• Facebook-käyttäjä on siten vain yhteisvastuullinen osapuoli kolmansien osapuolten henkilötietojen osalta (tietosuoja-asetuksen 4 artiklan 7 kohta) ja vain rekisteröity omien henkilötietojensa osalta.

Tehokas suostumus henkilötietojen käsittelyyn

Kantaja

• Suostumus sosiaalisen median alustan käyttöehtoihin ja niihin liittyviin tietojenkäyttöohjeisiin ei johda tietosuoja-asetuksen 6 artiklan 1 kohdassa ja 7 artiklassa tarkoitettuun tehokkaaseen suostumukseen;
• Toisin kuin yleisen tietosuoja-asetuksen säännöksissä, jotka tulivat voimaan 25.5.2018, aiemmassa tietosuojalainsäädännössä säännellyissä siviilioikeudellisissa sopimuksissa ei ollut nimenomaisia "suostumusta" koskevia vaatimuksia;
• Sisällyttämällä ennakkosuostumus yrityksen ehtoihin ennen GDPR:n voimaantuloa käyttäjät pakotettiin tahattomasti uuteen sopimukseen, jonka avulla alusta pystyi kiertämään nykyisten GDPR-säännösten mukaiset tiukemmat tietosuojanormit;
• Näin ollen kantaja ei ollut antanut tietosuoja-asetuksessa tarkoitettua tehokasta suostumusta vastaajan suorittamaan tietojen käsittelyyn.

Vastaaja

Foorumin suorittama tietojenkäsittely oli yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan säännösten mukaista, koska se oli välttämätön osa sopimuksen täyttämistä.

OLG (s. 23-24)

• Yleisessä tietosuoja-asetuksessa sallitaan erilaisia perusteita henkilötietojen käsittelylle muun muassa silloin, kun se on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jonka osapuoli rekisteröity on (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta);
• Tarpeellisuus määritellään tapauskohtaisesti ottaen asianmukaisesti huomioon sopimuksen tarkoitus ja sopimuksen sisällöstä johtuvat velvoitteet;
• Facebookin liiketoimintamallin ydin ja sen sopimustarkoitus keskittyvät seuraaviin seikkoihin:
  • Käyttäjälle: pääsyn saaminen henkilökohtaiseen viestintäalustaan;
  • Alustan kannalta: käyttömahdollisuuden tarjoaminen ilman lisäkustannuksia;
• Näin ollen alustaa ylläpitävä yritys voi turvautua muihin rahoituslähteisiin, esimerkiksi käyttäjäkohtaisesti räätälöityyn mainontaan;
• Käyttäjän henkilötietojen käsittely osoittaa alustan ja käyttäjän välisen sopimuksen perustavanlaatuisen tukipilarin, sillä se on perusta, jonka avulla mainonta voidaan räätälöidä yksittäisen käyttäjän etujen mukaisesti;
• Tietojenkäsittelyn välttämättömyyskomponentti perustuu siihen, että tällaisten tietojen käyttö yhtäältä muokkaa käyttäjien yksilöllistä kokemusta ja toisaalta muodostaa taloudellisen kanavan, jonka kautta alusta saa voittonsa.

Tietojen toimittamista koskeva pyyntö

Kantaja

• Tietopyyntö oli toimitettu, mutta siihen ei ollut vielä vastattu yleisen tietosuoja-asetuksen 15 artiklan mukaisesti;
• (Henkilö)tietojen käyttöä ja käsittelyä koskevien tietojen antaminen vain osittain saataville ei täytä vastaajan lakisääteisiä velvollisuuksia;
• Tietojen käsittelyä koskeva epävarmuus aiheutti henkistä kärsimystä, joka oikeuttaa kantajan 500 euron suuruiseen aineettomaan vahingonkorvaukseen.

Vastaaja

• Vastaaja ei ollut laiminlyönyt velvollisuuttaan;
• Kantaja ei ollut esittänyt vahingonkorvausvaatimusta koskevaa lopullista väitettä.

OLG (24-29)

• Facebook ei ollut myöntänyt käyttäjilleen pääsyä tietoihin, jotka olivat heidän käyttövälineissään, mikä antaa kantajalle yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaan perustuvan kanneoikeuden;
• Kantajalla on oikeus saada tietoja, jotka koskevat:
  • Facebookin käsittelemät henkilötiedot ja niiden käyttötarkoitukset (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohta);
  • kenelle kyseisiä henkilötietoja luovutetaan, eli vastaanottajaryhmät (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan b alakohta);
  • tietojen alkuperä, jos niitä ei ole kerätty kantajalta (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan g alakohta);
• 500 euron määrä vastaa kantajan kärsimien haittojen vähäistä määrää ja osoittautuu perustelluksi.

Kommentti

Euroopan tietosuojavirasto on kantajan väitteiden mukaisesti aiemmin nimenomaisesti kieltänyt erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn, ellei siihen ole annettu nimenomaista suostumusta tai ellei käsittely ole tarpeen huomattavan yleisen edun vuoksi (yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta). Vaikka tietojen käyttöä koskevia sopimuslausekkeita voitaisiin edelleen käyttää tietojen siirrossa, ne eivät riittäisi korvaamaan tällaisen suostumuksen antamisen tarvetta^[2].

Vaikka OLG on myöntänyt oikeuden valittaa Itävallan korkeimpaan oikeuteen, on odotettavissa, että esiin tulleet oikeudelliset kysymykset viedään aikanaan jälleen kerran Euroopan unionin tuomioistuimeen.

Resurssit

1. Tuomio saatavilla saksaksi osoitteessa: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Euroopan tietosuojavaltuuskunta. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzen." Europäischer Datenschutzausschuss - Euroopan tietosuojaneuvosto. Saatavissa: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [viitattu 05.02.2021].

Tämän artikkelin sisältö on tarkoitettu yleiseksi oppaaksi aiheesta. Omiin erityisolosuhteisiinne olisi pyydettävä asiantuntija-apua.