Oberlandesgericht Wien (OLG) antoi 07.12.2020 (tiedoksiannettu 28.12.2020) tuomionsa valitusmenettelyssä. Schrems vastaan Facebook Ireland Ltd. (GZ 11 R 153/20f, 154/20b).¹ Se vahvisti siviilioikeudellisia asioita käsittelevän alueellisen tuomioistuimen (Landesgericht für Zivilrechtssachen) päätöksen ja katsoi, että sosiaalinen mediayhteisö oli velvollinen antamaan kantajalle täydet oikeudet tutustua hänestä hallussaan oleviin tietoihin, minkä vuoksi se velvoitti yrityksen maksamaan 500 euron korvauksen (yleisen tietosuoja-asetuksen 82 artikla).

Se totesi kuitenkin myös, että tietojenkäsittely ei edellytä, että foorumi hankkii käyttäjiltään yksiselitteisen erillisen suostumuksen EU:n tietosuojalainsäädännön mukaisesti (yleinen tietosuoja-asetus, 6 artiklan 1 kohdan a alakohta), vaan että tällainen oikeus tietojen käyttöön on luonnostaan myönnetty Facebookille sen sopimusehtojen nojalla.

Päätöksessä käsitellään useita oikeudellisia valituksia ja kolmea erillistä kysymystä, jotka käsitellään jäljempänä.

Osapuolten roolien jakaminen tietosuojalainsäädännön nojalla

Kantaja

• Kantajan mukaan alustan käyttäjä katsotaan vastuulliseksi osapuoleksi tai "rekisterinpitäjäksi" (yleisen tietosuoja-asetuksen 4 artiklan 7 kohta) niiden tietosovellusten osalta, joita hän itse käyttää henkilökohtaisiin tarkoituksiinsa;
• Vastaaja toimii sopimuksen nojalla "käsittelijänä", mikä estää häntä toteuttamasta mitään tietojenkäsittelyä ilman kantajan ohjeita tai vastoin niitä;
• Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan vaatimukset täyttävää sopimusta ei ole tehty, vaikka kantajalla on oikeus tällaiseen sopimukseen.

Vastaaja

• Vastaajan on katsottava olevan yksin vastuussa kantajaan nähden, jolla ei ole intressiä toteennäyttämiseen.

OLG (s. 21-23)

• Pelkkä sosiaalisen verkoston alustan käyttö ei sinänsä tee käyttäjää yhteisvastuulliseksi kyseisen verkoston suorittamasta henkilötietojen käsittelystä;
• Fanisivut on erotettava toisistaan, kun kyseisen sivun ylläpitäjä osallistuu kävijöiden henkilötietojen käsittelyyn, mikä tekee hänestä rekisterinpitäjän (EY:n tuomioistuimen tuomio C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para. 35, 36 ja 41 kohta).
• Facebook-käyttäjä on siten vain yhteisvastuussa kolmansien osapuolten henkilötietojen osalta (yleisen tietosuoja-asetuksen 4 artiklan 7 kohta) ja vain rekisteröity omien henkilötietojensa osalta.

Tehokas suostumus henkilötietojen käsittelyyn

Kantaja

• Suostumus sosiaalisen median alustan käyttöehtoihin ja niihin liittyviin tietojen käyttöä koskeviin ohjeisiin ei johda tietosuoja-asetuksen 6 artiklan 1 kohdassa ja 7 artiklassa tarkoitettuun tehokkaaseen suostumukseen;
• Toisin kuin yleisen tietosuoja-asetuksen säännökset, jotka tulivat voimaan 25.5.2018, aiempaan tietosuojalainsäädäntöön perustuvissa siviilioikeudellisissa sopimuksissa ei ollut nimenomaisia suostumusvaatimuksia;
• Sisällyttämällä ennakkosuostumuksen yrityksen ehtoihin ennen yleisen tietosuoja-asetuksen voimaantuloa käyttäjät pakotettiin tahattomasti tekemään uusi sopimus, minkä ansiosta alusta pystyi kiertämään nykyisten tietosuoja-asetuksen säännösten mukaiset tiukemmat tietosuojavaatimukset;
• Näin ollen kantaja ei ollut antanut tietosuoja-asetuksessa tarkoitettua tosiasiallista suostumusta vastaajan suorittamaan tietojenkäsittelyyn.

Vastaaja

• Foorumin suorittama tietojenkäsittely oli yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan säännösten mukaista, koska se oli välttämätön osa sopimuksen täytäntöönpanoa.

OLG (s. 23-24)

• Yleisessä tietosuoja-asetuksessa sallitaan erilaisia perusteita henkilötietojen käsittelylle muun muassa silloin, kun se on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jonka osapuoli rekisteröity on (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta);
• Tarpeellisuus määritellään tapauskohtaisesti ottaen asianmukaisesti huomioon sopimuksen tarkoitus ja sopimuksen sisällöstä johtuvat velvoitteet;
• Facebookin liiketoimintamallin ydin ja sen sopimuksellinen tarkoitus on seuraava:
  • Käyttäjän kannalta: pääsy henkilökohtaiseen viestintäalustaan;
  • Alustan osalta: käyttömahdollisuuden tarjoaminen ilman lisäkustannuksia;
• Näin ollen alustaa ylläpitävä yritys voi turvautua muihin rahoituslähteisiin, esimerkiksi käyttäjäkohtaisesti räätälöityyn mainontaan;
• Käyttäjien henkilötietojen käsittely on alustan ja käyttäjän välisen sopimuksen keskeinen tukipilari, sillä se on perusta, jonka avulla mainonta voidaan räätälöidä yksittäisen käyttäjän etujen mukaisesti;
• Tietojenkäsittelyn välttämättömyyskomponentti perustuu siihen, että tällaisten tietojen hyödyntäminen muokkaa toisaalta käyttäjien yksilöllistä kokemusta ja muodostaa toisaalta rahoituskanavan, jonka kautta foorumi saa voittonsa.

Tietojen toimittamista koskeva pyyntö

Kantaja

• Tietopyyntö oli toimitettu, mutta siihen ei ollut vielä vastattu yleisen tietosuoja-asetuksen 15 artiklan mukaisesti;
• Se, että (henkilö)tietojen käyttöä ja käsittelyä koskevat tiedot ovat vain osittain saatavilla, ei täytä vastaajan lakisääteisiä velvollisuuksia;
• Tietojen käsittelyyn liittyvä epävarmuus aiheutti henkistä kärsimystä, joka oikeuttaa kantajan 500 euron suuruiseen aineettomaan vahingonkorvaukseen.

Vastaaja

• Vastaaja ei ollut laiminlyönyt velvollisuuttaan;
• Kantaja ei ollut esittänyt mitään vahingonkorvausvaatimusta koskevia todistusvoimaisia väitteitä.

OLG (24-29)

• Facebook ei ollut myöntänyt käyttäjilleen pääsyä tietoihin, jotka olivat niiden käyttöoikeustyökaluissa, mikä antaa kantajalle yleisen tietosuoja-asetuksen 15 artiklan 1 kohtaan perustuvan kanneoikeuden;
• Kantajalla on oikeus saada tietoja, jotka koskevat:
  • Facebookin käsittelemät henkilötiedot ja niiden tarkoitus (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan a alakohta);
  • kenelle henkilötietoja luovutetaan, eli vastaanottajien ryhmät (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan b alakohta);
  • Tietojen alkuperä, jos niitä ei ole kerätty kantajalta (yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan g alakohta);
• 500 euron määrä vastaa kantajan kärsimien haittojen vähäistä määrää ja osoittautuu perustelluksi.

Kommentti

Kantajan väitteiden mukaisesti Euroopan tietosuojavirasto on aiemmin nimenomaisesti kieltänyt erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn, ellei siihen ole annettu nimenomaista suostumusta tai ellei käsittely ole tarpeen huomattavan yleisen edun vuoksi (yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta). Vaikka tietojen käyttöä koskevia sopimuslausekkeita voitaisiin edelleen käyttää tietojen siirrossa, ne eivät riittäisi korvaamaan tällaisen suostumuksen antamisen tarvetta.²

Vaikka OLG on myöntänyt oikeuden valittaa Itävallan korkeimpaan oikeuteen, on odotettavissa, että esille tulleet oikeudelliset kysymykset viedään aikanaan uudelleen Euroopan unionin tuomioistuimeen.

Alaviitteet

1 Tuomio saatavilla saksaksi kautta: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Euroopan tietosuojavaliokunta - 34. Euroopan tietosuojavaltuuskunta". Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzen." Europäischer Datenschutzausschuss - Euroopan tietosuojaneuvosto. Saatavilla osoitteessa: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [viitattu 05.02.2021].

Tämän artikkelin sisältö on tarkoitettu yleiseksi oppaaksi aiheesta. Omiin erityisiin olosuhteisiisi liittyvissä kysymyksissä olisi pyydettävä asiantuntija-apua.