Euroopan unionin tuomioistuin antoi kesäkuun alussa ennakkoratkaisun (C-210/16) Facebookiin perustetun fanisivun hallinnoijan vastuusta sivulla kävijöiden henkilötietojen keräämiseen ja käsittelyyn liittyen. Ratkaisussa oli kysymys unionin vanhan tietosuojadirektiivin tulkinnasta, joka on nyttemmin korvattu uudella EU:n yleisellä tietosuoja-asetuksella (679/2016). Ratkaisun kannalta keskeisen rekisterinpitäjän määritelmä on kuitenkin sekä vanhassa direktiivissä että uudessa asetuksessa identtinen, joten ennakkoratkaisua voitaneen soveltaa myös uuden tietosuoja-asetuksen aikakaudella.

Tapauksessa oli kysymys Saksan tietosuojaviranomaisen tekemästä päätöksestä, jolla yksityinen koulutusalan yhtiö määrättiin poistamaan Facebookiin perustamansa fanisivu, koska Facebook tai yhtiö eivät informoineet sivulla kävijöitä siitä, että Facebook keräsi ja käsitteli heidän henkilötietojaan. Yhtiö valitti kyseisestä päätöksestä ja katsoi, ettei se ole vastuussa Facebookin suorittamasta henkilötietojen käsittelystä, vaan mahdolliset toimenpiteet tulisi kohdistaa suoraan Facebookia vastaan. Tähän riidanalaiseen päätökseen liittyen Saksan liittovaltion ylin tuomioistuin pyysi unionin tuomioistuimelta ennakkoratkaisua.

Saksalaisen tuomioistuimen esittämä ennakkoratkaisukysymys perustui siihen olettamaan, ettei yhtiötä pidettäisi direktiivin (ja tietosuoja-asetuksen) mukaisena rekisterinpitäjänä. Unionin tuomioistuin katsoi kuitenkin tarpeelliseksi kyseenalaistaa tämän olettaman ja päätyi ennakkoratkaisutuomiossaan siihen lopputulokseen, että sekä Facebookia että Facebookin fanisivun hallinnoijaa on pidettävä rekisterinpitäjänä suhteessa fanisivujen kävijöiden henkilötietoihin.

Tapauksessa oli kyse tilanteesta, jossa Facebook keräsi fanisivulla vierailevien henkilöiden tietoja evästeiden avulla. Fanisivun hallinnoija taas sai Facebookilta käyttöönsä evästeiden avulla kerättyjen tietojen perusteella luotuja anonymisoituja kävijätilastoja, joiden avulla hallinnoija pystyi kohdistamaan markkinointiaan entistä tehokkaammin. Unionin tuomioistuin totesi, että tämän henkilötietojen käsittelyn tarkoituksena on toisaalta esimerkiksi Facebookin mainonnan parantaminen, mutta toisaalta myös fanisivun hallinnoijan toiminnan edistäminen helpottamalla esimerkiksi fanisivun sisällön kehittämistä. Fanisivun hallinnoijan on lisäksi mahdollista määritellä erilaisten Facebookin tarjoamien suodattimien avulla, millaisten henkilötietojen (esimerkiksi iän, sukupuolen, parisuhteen tai ammatin) pohjalta kävijätilastot laaditaan.

Anonymisoidut tiedot on pääsääntöisesti rajattu sekä vanhan tietosuojadirektiivin että nykyisen tietosuoja-asetuksen soveltamisalan ulkopuolelle, eikä siten lähtökohtaisesti anonyymien tietojen käsittelyyn sovelleta kyseisiä säännöksiä. Unionin tuomioistuin kuitenkin totesi, että tässä tapauksessa kyseisten tilastojen laadinta perustui fanisivun käyttäjien laitteille asentuneiden evästeiden kautta aikaisemmin tapahtuneeseen tietojen keräämiseen ja tietoja käsiteltiin kävijätilastoja varten. Unionin tuomioistuin painotti sitä, että tietosuojadirektiivi ei missään tapauksessa edellytä, että silloin, kun useampi toimija vastaa yhdessä samasta henkilötietojen käsittelystä, kaikilla niistä olisi oltava myös pääsy kyseisiin henkilötietoihin.

Edellä esitetyn perusteella unionin tuomioistuin katsoi, että osallistumalla kyseisten suodattimien ja parametrien valintaan, hallinnoija osallistuu fanisivulla kävijöiden henkilötietojen käsittelyn tarkoituksien ja keinojen määrittämiseen, ja sitä on siten pidettävä rekisterinpitäjänä yhdessä Facebookin kanssa. Se, että fanisivu on luotu Facebookin tarjoamalle alustalle, ei tuomioistuimen mukaan vapauta fanisivun hallinnoijaa henkilötietojen suojaa koskevien velvollisuuksien noudattamisesta. Unionin tuomioistuin kuitenkin totesi, että usean toimijan yhteinen vastuu henkilötietojen keräämisestä ja käsittelystä ei välttämättä merkitse eri toimijoiden samanlaista ja samantasoista vastuuta. Toimijat voivat osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, jolloin kunkin toimijan vastuun taso on arvioitava tapauskohtaisesti.

Unionin tuomioistuimen ratkaisu rekisterinpitäjän käsitteestä on merkittävä. Tietosuoja-asetuksen näkökulmasta ratkaisussa määritellään nimenomaan yhteisrekisterinpitäjän käsitettä, joka on yksi tietosuoja-asetuksen tuoma uudistus. Ratkaisu on merkittävä myös siinä mielessä, että tuomioistuimen linjaus koskettaa Facebookin lisäksi myös muita verkkoalustoja ja tällaisille alustoille luotujen sivujen hallinnoijia. Tällaiselle verkkoalustalle luodun sivun hallinnoija ei kaikissa tapauksissa voi vyöryttää vastuuta henkilötietojen käsittelyn laillisuudesta ainoastaan verkkoalustan tarjoajalle, vaan velvollisuus huolehtia asianmukaisesta sivun kävijöiden henkilötietojen käsittelystä ulottuu myös sivun hallinnoijaan. Unionin tuomioistuimen tuomiossaan korostama yhteisrekisterinpitäjien erilainen vastuu tarkoittanee kuitenkin, että myös jatkossa verkkoalustan tarjoajalla on pääasiallinen vastuu henkilötietojen käsittelystä ja riittävästä suojasta. Joka tapauksessa vastuupiirin laajentamisen useammalle toimijalle voidaan katsoa parantavan henkilötietojen asianmukaisen käsittelyn varmistamista.