Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62012CJ0288

Unionin tuomioistuimen tuomio (suuri jaosto) 8.4.2014.
Euroopan komissio vastaan Unkari.
Jäsenyysvelvoitteiden noudattamatta jättäminen – Direktiivi 95/46/EY – Yksilöiden suojelu henkilötietojen käsittelyssä ja näiden tietojen vapaa liikkuvuus – 28 artiklan 1 kohta – Kansalliset valvontaviranomaiset – Itsenäisyys – Kansallinen lainsäädäntö, jolla valvontaviranomaisen toimikausi päätetään ennen määräpäivää – Uuden valvontaviranomaisen perustaminen ja toisen henkilön nimittäminen presidentin tehtävään.
Asia C‑288/12.

Court reports – general

ECLI identifier: ECLI:EU:C:2014:237

UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)

8 päivänä huhtikuuta 2014 ( *1 )

”Jäsenyysvelvoitteiden noudattamatta jättäminen — Direktiivi 95/46/EY — Yksilöiden suojelu henkilötietojen käsittelyssä ja näiden tietojen vapaa liikkuvuus — 28 artiklan 1 kohta — Kansalliset valvontaviranomaiset — Itsenäisyys — Kansallinen lainsäädäntö, jolla valvontaviranomaisen toimikausi päätetään ennen määräpäivää — Uuden valvontaviranomaisen perustaminen ja toisen henkilön nimittäminen presidentin tehtävään”

Asiassa C‑288/12,

jossa on kyse SEUT 258 artiklaan perustuvasta jäsenyysvelvoitteiden noudattamatta jättämistä koskevasta kanteesta, joka on nostettu 8.6.2012,

Euroopan komissio, asiamiehinään K. Talabér-Ritz ja B. Martenczuk, prosessiosoite Luxemburgissa,

kantajana,

jota tukee

Euroopan tietosuojavaltuutettu, asiamiehinään I. Chatelier, A. Buchta, Z. Belényessy ja H. Kranenborg,

väliintulijana,

vastaan

Unkari, asiamiehenään M. Z. Fehér,

vastaajana,

UNIONIN TUOMIOISTUIN (suuri jaosto),

toimien kokoonpanossa: presidentti V. Skouris, varapresidentti K. Lenaerts, jaostojen puheenjohtajat M. Ilešič, L. Bay Larsen, T. von Danwitz, E. Juhász, A. Borg Barthet, C. G. Fernlund ja J. L. da Cruz Vilaça sekä tuomarit G. Arestis, J. Malenovský, M. Berger, A. Prechal, E. Jarašiūnas (esittelevä tuomari) ja C. Vajda,

julkisasiamies: M. Wathelet,

kirjaaja: hallintovirkamies C. Strömholm,

ottaen huomioon kirjallisessa käsittelyssä ja 15.10.2013 pidetyssä istunnossa esitetyn,

kuultuaan julkisasiamiehen 10.12.2013 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1

Euroopan komissio vaatii kannekirjelmässään unionin tuomioistuinta toteamaan, ettei Unkari ole noudattanut yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL L 281, s. 31) mukaisia velvoitteitaan, koska se on päättänyt henkilötietojen suojaa valvovan viranomaisen toimikauden ennenaikaisesti.

Asiaa koskevat oikeussäännöt

Unionin oikeus

2

Direktiivin 95/46 johdanto-osan 62 perustelukappaleessa todetaan seuraavaa:

”Jäsenvaltioissa itsenäisesti toimivien valvontaviranomaisten perustaminen on keskeinen tekijä yksilöiden suojelussa henkilötietojen käsittelyssä.”

3

Direktiivin 95/46 28 artiklan, jonka otsikko on ”Valvontaviranomainen”, 1 ja 2 kohdassa säädetään seuraavaa:

”1.   Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden tämän direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen.

Näiden viranomaisten on hoidettava tehtäviään itsenäisesti.

2.   Kunkin jäsenvaltion on säädettävä siitä, että valvontaviranomaisia kuullaan henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä koskevia lainsäädännöllisiä ja hallinnollisia toimenpiteitä suunniteltaessa.”

4

Yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18.12.2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (EYVL 2001, L 8, s. 1) V luvussa säädetään riippumattoman valvontaviranomaisen eli Euroopan tietosuojavaltuutetun perustamisesta.

5

Mainitun asetuksen 42 artiklassa, jonka otsikko on ”Nimittäminen”, säädetään seuraavaa:

”1.   Euroopan parlamentti ja neuvosto nimittävät yhteisellä sopimuksella Euroopan tietosuojavaltuutetun viiden vuoden toimikaudeksi komission julkisen hakumenettelyn johdosta laatiman luettelon pohjalta.

– –

3.   Euroopan tietosuojavaltuutettu voidaan nimittää uudeksi toimikaudeksi.

4.   Euroopan tietosuojavaltuutetun tehtävät päättyvät, kun hänen tilalleen on asianmukaisesti nimitetty toinen henkilö, kun hän kuolee tai eroaa tai kun hänet erotetaan 5 kohdan mukaisesti.

5.   Yhteisöjen tuomioistuin voi Euroopan parlamentin, neuvoston ja komission hakemuksesta erottaa Euroopan tietosuojavaltuutetun tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan rikkomukseen.

– –”

Unkarin oikeus

6

Direktiivin 95/46 28 artiklassa tarkoitettua henkilötietojen suojaa valvovaa viranomaista (jäljempänä valvontaviranomainen) säänneltiin 31.12.2011 saakka henkilötietojen suojasta ja yleisesti merkittävien tietojen saamisesta annetulla vuoden 1992 lailla nro LXIII, sellaisena kuin se on muutettuna (jäljempänä vuoden 1992 laki). Kyseisen lain 23 §:n sanamuoto on seuraava:

”1.   Parlamentti nimittää tietosuojasta vastaavan oikeusasiamiehen [(jäljempänä tietosuojavaltuutettu)] henkilötietojen suojaa ja yleisesti merkittävien tietojen saamista koskevan perustuslaillisen oikeuden suojaamiseksi – –

2.   [Tietosuojavaltuutettuun] sovelletaan – tässä laissa säädetyin poikkeuksin – kansalaisten oikeuksia valvovasta parlamentin oikeusasiamiehestä annetun lain säännöksiä.”

7

Tietosuojavaltuutetun tehtävistä säädettiin vuoden 1992 lain 24 ja 25 §:llä. Erityisesti kyseisen 24 §:n a momentissa säädettiin, että hän ”valvoo tämän lain ja muiden tietojen käsittelyä koskevien oikeussääntöjen noudattamista joko kantelun perusteella tai viran puolesta, ellei kyseessä olevassa asiassa ole vireillä oikeudenkäyntimenettelyä”, ja sen d momentissa säädettiin, että hän ”edistää henkilötietojen käsittelyä ja yleisesti merkittävien tietojen saamista koskevien säännösten yhdenmukaista soveltamista”.

8

Koska vuoden 1992 laki ei sisällä säännöksiä tietosuojavaltuutetun toimikauden kestosta tai päättymisestä, asiassa sovelletaan kansalaisten oikeuksia valvovasta oikeusasiamiehestä annetun vuoden 1993 lain nro LIX (jäljempänä vuoden 1993 laki), sellaisena kuin se oli voimassa 31.12.2011 saakka, säännöksiä. Kyseisen lain 4 §:n 5 momentissa säädettiin, että oikeusasiamies valittiin kuudeksi vuodeksi ja hänet voitiin valita uudelleen kerran. Kyseisen lain 15 §:ssä säädettiin toimikauden päättymisestä seuraavaa:

”1.   Oikeusasiamiehen toimikausi päättyy, kun

a)

hänen toimikautensa umpeutuu,

b)

hän kuolee,

c)

hän eroaa,

d)

todetaan eturistiriita,

e)

hänet siirretään eläkkeelle,

f)

hänet erotetaan.

2.   Parlamentin puheenjohtaja toteaa oikeusasiamiehen toimikauden päättymisen 1 momentin a–c kohdan mukaisesti. Parlamentti tekee päätöksen oikeusasiamiehen toimikauden päättymisestä 1 momentin d–f kohdassa tarkoitetuissa tapauksissa. Toimikauden päättymisen toteaminen edellyttää edustajien kahden kolmasosan enemmistöä.

3.   Eroamisilmoitus on esitettävä kirjallisesti parlamentin puhemiehelle. Oikeusasiamiehen toimikausi päättyy eroamisilmoituksessa mainittuna päivänä. Hyväksymisilmoitusta ei tarvita, jotta eroaminen olisi pätevä.

– –”

9

Kyseisen 15 §:n 4–6 momentissa täsmennettiin saman pykälän 1 momentin d–f kohdassa tarkoitettuja tilanteita. Erityisesti vuoden 1993 lain 15 §:n 5 momentissa säädettiin, että siirtäminen eläkkeelle oli mahdollista ainoastaan, jos oikeusasiamies oli yli 90 päivän ajan kykenemätön hoitamaan virkaansa liittyviä tehtäviä syistä, jotka eivät johdu hänestä itsestään. Kyseisen pykälän 6 momentissa puolestaan säädettiin, että erottamisesta voitiin päättää, jos oikeusasiamies yli 90 päivän ajan ei hoitanut tehtäviään hänestä johtuvista syistä, jos hän tahallaan laiminlöi velvollisuutensa esittää selvitys omaisuudestaan, jos hän omaisuusselvityksessään esitti tahallaan väärin olennaisia tietoja tai tosiseikkoja tai jos hän oli tehnyt rikoksen, joka on todettu lainvoimaisessa tuomiossa.

10

Unkarin perustuslaki tuli voimaan 1.1.2012. Sen VI §:n 3 momentin mukaan ”valtiosääntöä täydentävällä lailla perustettu itsenäinen viranomainen valvoo henkilötietojen suojaa ja yleisesti merkittävien tietojen saamista koskevien oikeuksien kunnioittamista”. Perustuslain loppumääräysten 3 ja 5 kohdassa säädetään, että parlamentti säätää erikseen siirtymäsäännöksistä ja että nämä ovat osa perustuslakia.

11

Näiden parlamentin antamien siirtymäsäännösten 16 §:ssä säädetään seuraavaa:

”Tämän perustuslain voimaantulo päättää [tietosuojavaltuutetun] toimikauden.”

12

Valvontaviranomaista koskevaa Unkarin lainsäädäntöä muutettiin siis 1.1.2012, jolloin tuli voimaan tietoja koskevasta itsemääräämisoikeudesta ja tiedonvälityksen vapaudesta annettu vuoden 2011 laki nro CXII (jäljempänä vuoden 2011 laki), jolla sen 77 §:n a momentin mukaan saatetaan direktiivi 95/46 osaksi Unkarin oikeusjärjestystä. Kyseisellä lailla kumotaan vuoden 1992 laki ja tietosuojavaltuutetun sijaan perustetaan Nemzeti Adatvédelmi és Információszabadság Hatóság (tietosuojasta ja tiedonvälityksen vapaudesta vastaava kansallinen virasto, jäljempänä tietosuojavirasto).

13

Tietosuojaviraston tehtävät määritetään vuoden 2011 lain 38 §:n 2 ja 3 momentissa. Tämän lain 38 §:n 2 momentissa säädetään, että tietosuojaviraston ”tehtävänä on valvoa ja edistää yleisesti merkittävien tietojen ja tietojen, joihin voidaan tutustua yleistä etua koskevilla perusteilla, saamista ja henkilötietojen suojaa koskevan oikeuden soveltamista”. Kyseisen lain 38 §:n 3 momentissa säädetään muun muassa, että sille annettujen tehtävien puitteissa tietosuojavirasto voi toimia kantelun perusteella tai viran puolesta.

14

Tietosuojavaltuutetun ja tietosuojaviraston välinen jatkuvuus taataan vuoden 2011 lain 75 §:n 1 ja 2 momentilla, joissa säädetään lähinnä, että tietosuojavirasto hallinnoi asioita, joiden käsittelyn tietosuojavaltuutettu on aloittanut ennen 1.1.2012 esitettyjen huomautusten perusteella, ja käsittelee 1.1.2012 alkaen tietoja, joita tietosuojavaltuutettu on käsitellyt ennen tätä ajankohtaa.

15

Kyseisen lain 38 §:n 5 momentissa säädetään, että ”tietosuojavirasto on itsenäinen ja siihen sovelletaan vain lakia, se ei voi vastaanottaa toimialallaan mitään ohjeita ja se hoitaa tehtäviään täysin itsenäisesti muihin elimiin nähden eikä siihen voida vaikuttaa millään tavalla”. Kyseisen säännöksen mukaan tietosuojaviraston tehtävät voidaan määrittää ainoastaan lailla.

16

Vuoden 2011 lain 40 §:n 1 ja 3 momentissa säädetään, että tietosuojavirastolla on presidentti, jonka tasavallan presidentti nimittää pääministerin ehdotuksesta yhdeksän vuoden toimikaudeksi. Tämän lain 45 §:llä säännellään tietosuojaviraston presidentin toimikauden päättymistä. Kyseisen pykälän, sellaisena kuin se on muutettuna vuoden 2012 lailla nro XXV, joka tuli voimaan 7.4.2012, 1 momentissa säädetään seuraavaa:

”Tietosuojaviraston presidentin toimikausi päättyy, kun

a)

hänen toimikautensa umpeutuu,

b)

hän eroaa,

c)

hän kuolee,

d)

todetaan, että hänen nimittämisensä edellytykset eivät täyty tai että omaisuusselvitystä koskevia sääntöjä on rikottu,

e)

todetaan eturistiriita.”

17

Vuoden 2011 lain, sellaisena kuin se on muutettuna vuoden 2012 lailla nro XXV, 45 §:n 2–8 momentissa täsmennetään näitä eri tilanteita.

18

Vuoden 2011 lain 74 §:ssä asetetaan tietosuojaviraston ensimmäisen presidentin nimittämistä koskevat säännöt. Kyseisessä pykälässä säädetään seuraavaa:

”Ennen 15.11.2011 pääministeri esittää tasavallan presidentille tietosuojaviraston presidentin nimeä. Tasavallan presidentti nimittää tietosuojaviraston ensimmäisen presidentin, ja nimitys tulee voimaan 1.1.2012.”

Tosiseikat

19

András Jóri nimitettiin tietosuojavaltuutetuksi 29.9.2008 vuoden 1992 lain nojalla, ja hän aloitti tehtävässään samana päivänä. Hänen toimikautensa oli kuuden vuoden pituinen, ja sen olisi pitänyt päättyä syyskuussa 2014. Se päättyi kuitenkin perustuslain siirtymäsäännösten 16 §:n mukaisesti 31.12.2011. Tietosuojavirasto aloitti toimintansa 1.1.2012, ja pääministerin esityksestä tasavallan presidentti nimitti tietosuojaviraston presidentiksi Attila Péterfalvin yhdeksän vuoden toimikaudeksi.

Oikeudenkäyntiä edeltänyt menettely ja menettely unionin tuomioistuimessa

20

Komissio lähetti 17.1.2012 Unkarille virallisen huomautuksen. Komissio totesi siinä Unkarin rikkoneen direktiivin 95/46 28 artiklan 1 ja 2 kohtaa, kun se päätti ennenaikaisesti tietosuojavaltuutetun toimikauden, ei kuullut tietosuojavaltuutettua uutta tietosuojalakia koskevasta ehdotuksesta sekä antoi uudessa tietosuojalaissa liikaa mahdollisuuksia tietosuojaviraston presidentin toimikauden päättämiseen ja myönsi tältä osin roolin tasavallan presidentille ja pääministerille.

21

Unkari kiisti 17.2.2012 päivätyllä kirjeellä rikkomisen, josta sitä moitittiin. Ensimmäiseksi Unkari väitti, että tietosuojavaltuutetun toimikauden ennenaikainen päättäminen johtui siitä, että Unkarissa käytössä olevaa valvontaviranomaisen mallia muutettiin, ettei tietosuojavaltuutettu halunnut tietosuojaviraston presidentiksi ja että tämänhetkisen presidentin toimikauden ennenaikainen päättäminen olisi ristiriidassa hänen itsenäisyytensä takaavien oikeussääntöjen kanssa. Toiseksi Unkari toimitti komissiolle asiakirjoja, jotka liittyvät tietosuojavaltuutetun kuulemiseen uutta tietosuojalakia koskevasta ehdotuksesta. Kolmanneksi Unkari totesi, että säännöksiä, jotka koskevat mahdollisuuksia päättää tietosuojaviraston presidentin toimikausi, muutettaisiin komission näkemysten huomioon ottamiseksi.

22

Komissio lähetti 7.3.2012 Unkarille perustellun lausunnon, jossa se peruutti arvostelunsa, jotka liittyvät tietosuojavaltuutetun kuulemiseen uuden tietosuojalain osalta. Komissio toisti kuitenkin huolensa, jotka koskevat yhtäältä tietosuojavaltuutetun toimikauden ennenaikaista päättämistä ja toisaalta mahdollisuuksia päättää tietosuojaviraston presidentin toimikausi ja tasavallan presidentin ja pääministerin roolia tässä. Viimeksi mainitun kysymyksen osalta komissio totesi kuitenkin, että jos Unkari perustellussa lausunnossa asetetussa määräajassa, joka on kuukausi sen tiedoksi antamisesta, hyväksyy ehdottamansa lainsäädännön muutokset, komissio katsoo, että tätä seikkaa koskeva rikkominen on päättynyt.

23

Unkari vastasi perusteltuun lausuntoon 30.3.2012 päivätyllä kirjeellä. Se totesi siinä, että vuoden 2011 lain 45 §:n muutos hyväksyttäisiin lähipäivinä, mikä tapahtui 2.4.2012 vuoden 2012 lailla nro XXV, joka tuli voimaan 7.4.2012. Tässä kirjeessä Unkari pysytti kuitenkin tietosuojavaltuutetun toimikauden ennenaikaista päättämistä koskevan kantansa, minkä vuoksi komissio nosti nyt käsiteltävän kanteen.

24

Unkarin tasavalta pyysi 6.12.2012 päivätyllä kirjeellä unionin tuomioistuimen työjärjestyksen 60 artiklan 1 kohdan nojalla, että asia käsiteltäisiin suuressa jaostossa.

25

Unionin tuomioistuimen presidentin 8.1.2013 antamalla määräyksellä Euroopan tietosuojavaltuutettu hyväksyttiin väliintulijaksi tukemaan komission vaatimuksia.

Kanne

Tutkittavaksi ottaminen

Asianosaisten ja muiden osapuolten lausumat

26

Unkari katsoo, että nyt käsiteltävää kannetta ei voida ottaa tutkittavaksi, koska tuomiota, jossa väitetty jäsenyysvelvoitteiden noudattamatta jättäminen todettaisiin, ei voida panna täytäntöön. Jos oletetaan, että unionin tuomioistuin toteaa, että tietosuojavaltuutetun toimi on päätetty direktiivin 95/46 vastaisesti, tällainen lainvastaisuus voitaisiin nimittäin korjata ainoastaan erottamalla tietosuojaviraston presidentti ja korvaamalla hänet aiemmalla tietosuojavaltuutetulla, mikä merkitsisi väitetyn jäsenyysvelvoitteiden noudattamatta jättämisen uusimista. Unkari väittää, ettei komissio voi vaatia unionin tuomioistuinta antamaan jäsenyysvelvoitteiden noudattamatta jättämisen toteavaa tuomiota, jota asianomainen jäsenvaltio voi noudattaa vain rikkomalla unionin oikeutta. Lisäksi tietosuojaviraston presidentin toimikauden ennenaikaisella päättämisellä loukattaisiin perustuslaissa säädettyä tietosuojaviraston itsenäisyyden periaatetta.

27

Unkari katsoo, että komission ehdotus väitetyn jäsenyysvelvoitteiden noudattamatta jättämisen – jos se todettaisiin – korjaamiseksi merkitsisi lisäksi sitä, että kaikki tietosuojaviraston nykyisen presidentin toteuttamat toimet olisivat unionin oikeuden vastaisia, sillä ne on antanut valvontaviranomainen, joka ei täytä direktiivin 95/46 vaatimuksia, mikä loukkaisi oikeusvarmuuden periaatetta. Unkari väittää tältä osin, että vuoden 2011 laki kuitenkin täyttää direktiivin 95/46 vaatimukset.

28

Komissio vastaa, että Unkarin väitteet on hylättävä, sillä nyt käsiteltävä kanne säilyttää kohteensa eikä mikään estä sellaisen tuomion, jossa todetaan väitetty jäsenyysvelvoitteiden noudattamatta jättäminen, täytäntöön panemista.

Unionin tuomioistuimen arviointi asiasta

29

Aluksi on huomautettava, että vakiintuneen oikeuskäytännön mukaan arvioitaessa sitä, onko jäsenvaltio jättänyt noudattamatta jäsenyysvelvoitteitaan, on otettava huomioon jäsenvaltion tilanne sellaisena kuin se on perustellussa lausunnossa asetetun määräajan päättyessä (tuomio komissio v. Portugali, C-20/09, EU:C:2011:214, 31 kohta oikeuskäytäntöviittauksineen). Nyt käsiteltävässä asiassa perustellussa lausunnossa Unkarille sen noudattamiseksi asetettu määräaika päättyi kuukausi sen tiedoksi antamisen jälkeen eli 7.4.2012.

30

Tältä osin on totta, että unionin tuomioistuin on voinut jo todeta, että jäsenyysvelvoitteiden noudattamatta jättämistä koskeva kanne on jätettävä tutkimatta, jos perustellussa lausunnossa vahvistetun määräajan päättymispäivänä väitetty jäsenyysvelvoitteiden noudattamatta jättäminen ei saanut enää aikaan vaikutuksia (ks. vastaavasti tuomio komissio v. Espanja, C-221/04, EU:C:2006:329, 25 ja 26 kohta ja tuomio komissio v. Portugali, EU:C:2011:214, 33 kohta).

31

Nyt käsiteltävässä asiassa komission väittämä jäsenyysvelvoitteiden noudattamatta jättäminen johtuu kuitenkin siitä, ettei tietosuojavaltuutettu voinut käyttää toimivaltaansa alun perin määritetyn toimikauden loppuun saakka, ja on kiistatonta, ettei tämä toimikausi ollut vielä päättynyt perustellussa lausunnossa vahvistettuna päivänä. Näissä olosuhteissa ei voida katsoa, ettei väitetty jäsenyysvelvoitteiden noudattamatta jättäminen olisi saanut enää aikaan vaikutuksia perustellussa lausunnossa vahvistetun määräajan päättymispäivänä.

32

Tältä osin merkitystä ei ole sillä seikalla – jos se oletetaan toteen näytetyksi – että vuoden 2011 laki on direktiivin 95/46 vaatimusten mukainen, sillä tällä seikalla ei ole yhteyttä siihen, oliko jäsenyysvelvoitteiden noudattamatta jättäminen lakannut saamasta aikaan vaikutuksia perustellussa lausunnossa vahvistetun määräajan päättymispäivänä vai ei, sillä nyt käsiteltävä kanne koskee ainoastaan sitä, onko Unkari jättänyt noudattamatta direktiivin 95/46 mukaisia velvoitteitaan, kun se on päättänyt tietosuojavaltuutetun toimikauden ennenaikaisesti.

33

Tämän jälkeen on huomautettava, että jos unionin tuomioistuin toteaa jäsenvaltion jättäneen noudattamatta perussopimusten mukaisia velvoitteitaan, tämä jäsenvaltio on SEUT 260 artiklan 1 kohdan nojalla velvollinen toteuttamaan unionin tuomioistuimen tuomion täytäntöön panemiseksi tarvittavat toimenpiteet, ja SEUT 258 artiklan nojalla annetun tuomion kohteena ei ole se, mitä toimenpiteitä tuomion, jossa todetaan jäsenyysvelvoitteiden noudattamatta jättäminen, täytäntöönpano edellyttää (ks. vastaavasti tuomio komissio v. Saksa, C-503/04, EU:C:2007:432, 15 kohta oikeuskäytäntöviittauksineen).

34

Unkarin mainitsema seikka, jonka mukaan sen on mahdotonta korjata väitettyä jäsenyysvelvoitteiden noudattamatta jättämistä – jos se oletetaan toteen näytetyksi – rikkomatta direktiiviä 95/46 tai oikeusvarmuuden periaatetta, kuuluu siis joka tapauksessa tuomion, jossa todetaan jäsenyysvelvoitteiden noudattamatta jättäminen, täytäntöönpanon piiriin, eikä se näin ollen vaikuta nyt käsiteltävän kanteen tutkittavaksi ottamiseen.

35

Lopuksi vastauksena Unkarin väitteeseen, jonka mukaan tuomion, jossa todetaan väitetty jäsenyysvelvoitteiden noudattamatta jättäminen, täytäntöönpano saattaisi aiheuttaa perustuslain vastaisen tilanteen, on todettava, että vakiintuneen oikeuskäytännön mukaan jäsenvaltio ei voi sisäisen oikeusjärjestyksensä oikeussääntöihin, edes perustuslakiin, vetoamalla perustella sitä, ettei se ole noudattanut unionin oikeuden mukaisia velvoitteitaan (ks. mm. tuomio komissio v. Belgia, 102/79, EU:C:1980:120, 15 kohta ja tuomio komissio v. Portugali, C-70/06, EU:C:2008:3, 21 ja 22 kohta).

36

Tästä seuraa, että tämä kanne otetaan tutkittavaksi.

Asiakysymys

Asianosaisten ja muiden osapuolten lausumat

37

Komissio, jota tukee Euroopan tietosuojavaltuutettu, väittää, että unionin tuomioistuimen oikeuskäytännöstä seuraa, että direktiivin 95/46 28 artiklan 1 kohdassa käytetty ilmaisu ”[täysin] itsenäisesti” [direktiivin suomenkielisessä versiossa ei ole sanaa ”täysin”] merkitsee sellaista täysimääräistä itsenäisyyttä kaikesta välittömästä tai välillisestä vaikuttamisesta, joka takaa kyseiselle valvontaviranomaiselle mahdollisuuden toimia täysin vapaasti suojattuna kaikilta ohjeilta ja kaikelta painostukselta ilman ulkoista vaikuttamista ja ilman vaaraa tällaisesta vaikuttamisesta.

38

Komissio ja Euroopan tietosuojavaltuutettu myöntävät, että direktiivillä 95/46 myönnetään jäsenvaltioille harkintavaltaa panna täytäntöön direktiivin 28 artikla, erityisesti toimielinmallin valinnan ja valvontaviranomaisen toimikauden täsmällisen keston osalta. Tämän seurauksena jäsenvaltiot voivat lähtökohtaisesti valita tämän keston vapaasti. Sen jälkeen, kun toimikauden kesto on määritetty, jäsenvaltion pitäisi kuitenkin noudattaa tätä, eikä se voi päättää sitä ennenaikaisesti muutoin kuin vakavista ja objektiivisesti todettavissa olevista syistä. Vertaaminen asetuksen N:o 45/2001 42 artiklaan, joka koskee Euroopan tietosuojavaltuutettua, vahvistaa tämän tulkinnan.

39

Nyt käsiteltävässä asiassa Unkari ei komission mukaan ole osoittanut sellaisen objektiivisen syyn olemassaoloa, joka oikeuttaisi päättämään tietosuojavaltuutetun toimikauden ennenaikaisesti. Ensinnäkin valvontaviranomaisen uudistus ei voi olla sallittu oikeuttamisperuste, vaikka Unkarilla on oikeus vaihtaa valvontaviranomaisensa toimielinmallia. Toiseksi Unkari ei ole osoittanut, että tietosuojavaltuutettu olisi kieltäytynyt oikeudesta jatkaa toimikauttaan ja kieltäytynyt johtamasta tietosuojavirastoa. Kolmanneksi asiaan ei vaikuta se, että kyseessä oleva Unkarin lainsäädäntö on osa perustuslakia ja sen siirtymäsäännöksiä, tai se, täyttääkö vuoden 2011 laki direktiivin 95/46 edellytykset vai ei.

40

Unkari korostaa aluksi, että päätöksen korvata tietosuojavaltuutettu elimellä, joka toimii viraston muodossa, ja vastaavasti päätöksen päättää tietosuojavaltuutetun toimikausi on tehnyt perustuslain säätäjä ja että tietosuojavirastoon liittyvä uusi lainsäädäntö perustuu perustuslakiin.

41

Aineellisen kysymyksen osalta Unkari kiistää komission ja Euroopan tietosuojavaltuutetun puolustaman kannan. Se ilmoittaa epäilevänsä sitä, että direktiivin 95/46 28 artiklassa tarkoitettu itsenäisyysvaatimus ulottuisi jäsenvaltion päätökseen, joka koskee valvontaviranomaisen muotoa tai sen muodon muuttamista, kun perustetun elimen toiminta ja päätöksentekoprosessi täyttävät itsenäisyysvaatimuksen, sellaisena kuin siitä säädetään kyseisessä direktiivissä ja unionin tuomioistuin on sitä tulkinnut.

42

Unkarin mukaan kyseisen 28 artiklan ja asetuksen N:o 45/2001 44 artiklan sanamuodosta sekä unionin tuomioistuimen oikeuskäytännöstä ilmenee selvästi, että direktiivin 95/46 28 artiklan 1 kohdassa tarkoitettu itsenäisyysvaatimus liittyy itsenäisyyteen valvontaviranomaisille annettujen tehtävien täyttämisessä ja siis kyseisen viranomaisen toiminnalliseen itsenäisyyteen. Unkarin lainsäädäntö – sekä ennen 1.1.2012 että sen jälkeen – täyttää Unkarin mukaan tämän vaatimuksen täysimääräisesti. Kyseisestä 28 artiklasta ei voida päätellä, että siinä edellytettäisiin sitä, että kyseistä viranomaista johtavalle henkilölle olisi myönnettävä subjektiivinen oikeus tämän tehtävän täyttämiseen. Koska valvontaviranomaisen toiminnallinen itsenäisyys on taattu, on Unkarin mukaan merkityksetöntä, että viranomaista johtava henkilö vaihtuu jopa ennen hänen alkuperäisen toimikautensa umpeutumista. Tämä näkemys on Unkarin mukaan sen toimivallan mukainen, joka jäsenvaltioille on myönnetty valvontaviranomaisten toimikauden keston vahvistamiseksi.

43

Koska direktiivissä 95/46 ei määritetä valvontaviranomaisten rakennetta eikä organisaatiota eikä niitä johtavien henkilöiden toimikausien kestoa, jäsenvaltiot voivat vapaasti määrittää valvontaviranomaisten toimielinrakenteen. Tämä vapaus sisältää Unkarin mukaan sen henkilön valinnan, jonka tehtävänä on valvontaviranomaisen toimivallan käyttäminen valitun toimielinmallin puitteissa, ja päättämisen hänen seuraajastaan mallin muuttamisen yhteydessä, myös silloin, kun tämä on seurausta senhetkisen valvontaviranomaisen toimikauden ”lakisääteisestä” ennenaikaisesta päättämisestä.

44

Unkarin mukaan ainoa direktiivin 95/46 28 artiklalla jäsenvaltioille asetettu rajoitus on taata se, että valvontaviranomaiset voivat täyttää tehtävänsä keskeytyksettä täysin itsenäisesti samojen jäsenvaltioiden määrittämän toimikautensa ajan. Unkarin mukaan tilanne on tällainen nyt käsiteltävässä asiassa.

45

Tietosuojaan liittyvän toimielinjärjestelmän muuttaminen muodostaa Unkarin mukaan objektiivisen syyn, jolla tietosuojavaltuutetun toimikauden ennenaikainen päättäminen voidaan oikeuttaa. Kun otetaan huomioon se, että uudesta järjestelmästä sekä tietosuojavaltuutetun toimikauden päättymisestä säädetään perustuslaissa ja sen siirtymäsäännöksissä, vanha tai uusi lain tasoinen säännöstö ei Unkarin mukaan voinut sisältää tässä asiassa erilaisia säännöksiä. Kun otetaan huomioon uudella lainsäädännöllä käyttöön otettu toimielinten muutos, Unkarin mukaan ei ollut perusteltua säätää, että tietosuojavaltuutettu nimitettäisiin automaattisesti tietosuojaviraston presidentin toimeen. Unkarin mukaan tietosuojavaltuutettu oli lisäksi ilmaissut eroavan mielipiteensä uudesta toimielinmallista sekä aikomuksensa olla hyväksymättä tällaista nimitystä.

46

Vaikka komission väite hyväksyttäisiin, direktiiviä 95/46 pitäisi tulkita siten, että siinä suljetaan pois myös se, että valvontaviranomaista johtavan henkilön toimikautta voitaisiin jatkaa tai että tämä henkilö voisi hoitaa toista julkista tointa, johon valitaan vaaleilla. Unkarin mukaan kyseisestä väitteestä nimittäin seuraa, että toivo toimikauden uusimisesta tai toisen toimen hoitamisesta saattaisi kannustaa valvontaviranomaisen presidenttiä mukautumaan poliittisen vallan todellisiin tai oletettuihin odotuksiin myöhemmän uransa edun mukaisesti.

Unionin tuomioistuimen arviointi asiasta

47

Aluksi on muistutettava, että direktiivin 95/46 28 artiklan 1 kohdan toisessa alakohdassa jäsenvaltiot velvoitetaan perustamaan yksi tai useampi valvontaviranomainen, jotka hoitavat täysin itsenäisesti niille annettuja tehtäviä. Vaatimus siitä, että riippumaton viranomainen valvoo yksilöiden suojelua henkilötietojen käsittelyssä koskevien unionin säännösten noudattamista, perustuu myös unionin primaarioikeuteen, erityisesti Euroopan unionin perusoikeuskirjan 8 artiklan 3 kohtaan ja SEUT 16 artiklan 2 kohtaan.

48

Itsenäisten valvontaviranomaisten perustaminen jäsenvaltioissa on siis keskeinen tekijä yksilöiden suojelussa henkilötietojen käsittelyssä (tuomio komissio v. Saksa, C-518/07, EU:C:2010:125, 23 kohta ja tuomio komissio v. Itävalta, C-614/10, EU:C:2012:631, 37 kohta), kuten lisäksi direktiivin 95/46 62 perustelukappaleessa todetaan.

49

On muistutettava, että Unkarissa vuoden 1992 laissa säädettiin, että tietosuojavaltuutettu, joka valittiin kuudeksi vuodeksi ja joka voitiin valita uudelleen kerran, oli direktiivissä 95/46 tarkoitettu henkilötietojen suojelun valvontaviranomainen, mitä Unkari ei kiistä.

50

Nyt käsiteltävän kanteen perusteltavuuden arvioimiseksi on tutkittava, edellyttääkö – kuten komissio väittää – direktiivin 95/46 28 artiklan 1 kohdan toisessa alakohdassa säädetty vaatimus, jonka mukaan on taattava, että kukin valvontaviranomainen hoitaa täysin itsenäisesti sille annettuja tehtäviä, sitä, että kyseinen jäsenvaltio kunnioittaa tällaisen viranomaisen toimikauden kestoa sen alun perin määritettyyn loppuun saakka.

51

Unionin tuomioistuin on jo todennut, että direktiivin 95/46 28 artiklan 1 kohdan toista alakohtaa on tulkittava siten, että valvontaviranomaisten, jotka ovat toimivaltaisia valvomaan henkilötietojen käsittelyä, on oltava itsenäisiä siten, että ne voivat suorittaa tehtävänsä vapaina ulkoisesta vaikuttamisesta. Tämä itsenäisyys sulkee pois kaikki sellaiset määräykset ja kaiken muun missä muodossa tahansa tapahtuvan ulkoisen vaikuttamisen, olipa se sitten suoraa tai välillistä, jotka saattaisivat ohjata niiden päätöksiä ja voisivat näin asettaa kyseenalaiseksi sen, että nämä viranomaiset täyttävät tehtävänsä, joka on oikean tasapainon saavuttaminen yksityisyyden suojan ja henkilötietojen vapaan liikkuvuuden välillä (ks. vastaavasti tuomio komissio v. Saksa, EU:C:2010:125, 30 kohta ja tuomio komissio v. Itävalta, EU:C:2012:631, 41 ja 43 kohta).

52

Se, että valvontaviranomaiset ovat toiminnallisesti itsenäisiä siinä mielessä, että niiden jäseniä ei sido mikään ohje heidän hoitaessaan tointansa, on siis välttämätön edellytys sille, että ne voivat täyttää direktiivin 95/46 28 artiklan 1 kohdan toisen alakohdan mukaisen itsenäisyysvaatimuksen, mutta toisin kuin Unkari väittää, tällainen toiminnallinen itsenäisyys ei yksinään riitä suojaamaan valvontaviranomaisia kaikelta ulkopuoliselta vaikuttamiselta (tuomio komissio v. Itävalta, EU:C:2012:631, 42 kohta).

53

Tältä osin unionin tuomioistuin on jo todennut, että pelkästään riski siitä, että valtion valvovat viranomaiset voivat vaikuttaa poliittisesti valvontaviranomaisten päätöksiin, riittää estämään sen, että viimeksi mainitut voisivat suorittaa tehtävänsä itsenäisesti. Yhtäältä on niin, että ne saattavat ikään kuin ”ennakoiden noudattaa” valtion valvovien viranomaisten päätöskäytäntöä. Toisaalta tarkasteltaessa valvontaviranomaisten roolia yksityisyyden suojan vartijoina direktiivin 95/46 28 artiklan 1 kohdan toisessa alakohdassa edellytetään, että valvontaviranomaisten päätökset – ja siis ne itse – ovat kaiken puolueellisuutta koskevan epäilyn yläpuolella (tuomio komissio v. Saksa, EU:C:2010:125, 36 kohta ja tuomio komissio v. Itävalta, EU:C:2012:631, 52 kohta).

54

Jos kukin jäsenvaltio saisi päättää valvontaviranomaisen toimikauden päättämisestä ennen sen alun perin määritettyä päättymistä noudattamatta sovellettavassa lainsäädännössä tätä varten ennalta säädettyjä sääntöjä ja takeita, tällaisen ennenaikaisen päättämisen uhka, joka olisi tällöin ilmassa kaiken aikaa tämän viranomaisen hoitaessa tehtäväänsä, voisi johtaa siihen, että tämä viranomainen tietyllä tavalla noudattaisi poliittisen vallan tahtoa, mikä ei ole kyseisen itsenäisyysvaatimuksen mukaista (ks. vastaavasti tuomio komissio v. Itävalta, EU:C:2012:631, 51 kohta). Tämä pätee myös silloin, kun toimikauden ennenaikainen päättäminen johtuu mallin uudelleen järjestämisestä tai muuttamisesta, jotka on järjestettävä siten, että sovellettavassa lainsäädännössä asetettuja itsenäisyysvaatimuksia noudatetaan.

55

Tällaisessa tilanteessa ei myöskään voida katsoa, että valvontaviranomainen voisi toimia joka tilanteessa kaiken puolueellisuutta koskevan epäilyn yläpuolella. Direktiivin 95/46 28 artiklan 1 kohdan toisessa alakohdassa esitetyn itsenäisyysvaatimuksen on näin ollen välttämättä tulkittava sisältävän velvollisuuden kunnioittaa valvontaviranomaisten toimikauden kestoa sen päättymiseen saakka ja päättää se ennenaikaisesti ainoastaan sovellettavan lainsäädännön sääntöjä ja takeita noudattaen.

56

Euroopan tietosuojavaltuutetun toimikauden päättämiseen sovellettavat säännöt heijastavat tätä tulkintaa. Asetuksen N:o 45/2001 V luvusta ja erityisesti sen 42 artiklan 4 ja 5 kohdasta, joissa määritetään tiukasti ne olosuhteet, joissa Euroopan tietosuojavaltuutetun toimikausi voi päättyä ennenaikaisesti, ilmenee, että Euroopan tietosuojavaltuutetun toimikauden kunnioittaminen sen päättymiseen saakka, jollei ole kyse vakavista ja objektiivisesti todettavissa olevista syistä, on Euroopan tietosuojavaltuutetun itsenäisyyden ensisijainen edellytys.

57

Nyt käsiteltävässä asiassa vuoden 1993 lain 15 §:n 1 momentissa, jota sovellettiin tietosuojavaltuutettuun vuoden 1992 lain 23 §:n 2 momentin nojalla, säädettiin, että tietosuojavaltuutetun toimikausi saattoi päättyä ainoastaan, kun hänen toimikautensa umpeutuu, hän kuolee, hän eroaa, todetaan eturistiriita, hänet siirretään eläkkeelle tai hänet erotetaan. Kolmessa viimeksi mainitussa tapauksessa edellytettiin, että parlamentti tekee päätöksen jäsentensä kahden kolmasosan enemmistöllä. Lisäksi sekä eläkkeelle siirtäminen että erottaminen voitiin toteuttaa ainoastaan rajoitetuissa olosuhteissa, joita täsmennettiin saman 15 §:n 5 ja 6 momentissa.

58

On kiistatonta, ettei tietosuojavaltuutetun toimikautta ole päätetty jonkin näistä säännöksistä mukaisesti, ja erityisesti, ettei hän irtisanoutunut virallisesti.

59

Tästä seuraa, että Unkari päätti tietosuojavaltuutetun toimikauden noudattamatta laissa hänen toimikautensa turvaamiseksi säädettyjä takeita vaarantaen siten hänen itsenäisyytensä, josta säädetään direktiivin 95/46 28 artiklan 1 kohdan toisessa alakohdassa. Se, että tämä ennenaikainen päättäminen johtuu toimielinmallin muuttamisesta, ei voi tehdä sitä yhteensoveltuvaksi kyseisessä säännöksessä edellytetyn valvontaviranomaisten itsenäisyyden kanssa, kuten tämän tuomion 54 kohdassa todetaan.

60

On totta, että jäsenvaltiot voivat vapaasti päättää toimielinmallista, jonka ne katsovat valvontaviranomaisilleen asianmukaisimmaksi, ja muuttaa sitä. Tässä yhteydessä niiden on kuitenkin varmistettava, etteivät ne vaaranna direktiivin 95/46 28 artiklan 1 kohdan toisessa alakohdassa säädettyä valvontaviranomaisen itsenäisyyttä, joka edellyttää velvollisuutta kunnioittaa valvontaviranomaisen toimikauden kestoa, kuten tämän tuomion 54 kohdassa todetaan.

61

Lisäksi on niin, että vaikka – kuten Unkari toteaa – tietosuojavaltuutettu ja tietosuojavirasto erottuvat toisistaan perustavanlaatuisella tavalla organisaatioltaan ja rakenteeltaan, molempien yksiköiden tehtävät ovat keskeisiltä osin samanlaiset, nimittäin direktiivin 95/46 mukaan kansallisille valvontaviranomaisille kuuluvat tehtävät, kuten ilmenee niille uskotuista tehtävistä ja niiden välisestä asioiden käsittelyn jatkuvuudesta, joka taataan vuoden 2011 lain 75 §:n 1 ja 2 momentissa. Tämä pelkkä toimielinmallin muuttaminen ei voi siis objektiivisesti tarkasteltuna oikeuttaa sitä, että tietosuojavaltuutetun tehtäviä hoitavan henkilön toimikausi voitaisiin päättää ilman, että säädetään siirtymätoimenpiteistä, joilla hänen toimikautensa keston kunnioittaminen voidaan taata.

62

Kaiken edellä esitetyn perusteella on todettava, ettei Unkari ole noudattanut direktiivin 95/46 mukaisia velvoitteitaan, koska se on päättänyt henkilötietojen suojaa valvovan viranomaisen toimikauden ennenaikaisesti.

Tämän tuomion vaikutusten rajoittaminen ajallisesti

63

Unkari ehdottaa, että unionin tuomioistuin rajoittaa tuomionsa vaikutuksia ajallisesti määräämällä, että todettu jäsenyysvelvoitteiden noudattamatta jättäminen ei vaikuta tietosuojaviraston presidentin toimikauteen. Vaatimuksensa tueksi Unkari vetoaa siihen, että vuoden 2011 laki on direktiivin 95/46 mukainen, sekä siihen, että nyt käsiteltävässä asiassa esitetty kysymys on uusi. Komissio vaatii sen sijaan, että kyseinen vaatimus hylätään.

64

Vaikka tältä osin oletettaisiin, että SEUT 258 artiklan perusteella annetuilla tuomioilla on samat vaikutukset kuin SEUT 267 artiklan perusteella annetuilla tuomioilla ja että oikeusvarmuutta koskevien seikkojen johdosta kyseisten tuomioiden ajallisten vaikutusten rajoittaminen saattaisi näin ollen poikkeuksellisesti olla tarpeen silloin, kun unionin tuomioistuimen oikeuskäytännössä SEUT 267 artiklan osalta vahvistetut edellytykset täyttyvät (ks. mm. tuomio komissio v. Kreikka, C-178/05, EU:C:2007:317, 67 kohta oikeuskäytäntöviittauksineen sekä tuomio komissio v. Irlanti, C-82/10, EU:C:2011:621, 63 kohta oikeuskäytäntöviittauksineen), on todettava, että nyt käsiteltävässä asiassa Unkari ei ole osoittanut, että nämä edellytykset täyttyivät. Erityisesti tämän tuomion 62 kohdassa todetun jäsenyysvelvoitteiden noudattamatta jättämisen osalta direktiivin 95/46 28 artiklan 1 kohdan toisen alakohdan sisältämä ilmaisu ”[täysin] itsenäisesti” on sellaisenaan selvä, ja unionin tuomioistuin on joka tapauksessa tulkinnut tätä ilmaisua jo antamassaan tuomiossa komissio vastaan Saksa,EU:C:2010:125, joka on annettu yli vuosi ennen kyseistä jäsenyysvelvoitteiden noudattamatta jättämistä. Kyseisen tuomion seurauksena unionin oikeutta ei nimittäin järkevästi voitu ymmärtää siten, että siinä annettaisiin Unkarille lupa päättää tietosuojavaltuutetun toimikausi ennenaikaisesti.

65

Tämän vuoksi Unkarin vaatimus tämän tuomion vaikutusten rajoittamisesta ajallisesti on hylättävä.

Oikeudenkäyntikulut

66

Unionin tuomioistuimen työjärjestyksen 138 artiklan 1 kohdan mukaan asianosainen, joka häviää asian, velvoitetaan korvaamaan oikeudenkäyntikulut, jos vastapuoli on sitä vaatinut. Koska komissio on vaatinut, että Unkari velvoitetaan korvaamaan oikeudenkäyntikulut, ja koska viimeksi mainittu on hävinnyt asian, tämä on velvoitettava korvaamaan oikeudenkäyntikulut.

67

Työjärjestyksen 140 artiklan 3 kohdan mukaan unionin tuomioistuin voi määrätä, että muu kuin kyseisen 140 artiklan 1 ja 2 kohdassa tarkoitettu väliintulija vastaa omista oikeudenkäyntikuluistaan. Unionin tuomioistuin määrää siis, että Euroopan tietosuojavaltuutettu, joka esiintyy asiassa väliintulijana, vastaa omista oikeudenkäyntikuluistaan.

 

Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:

 

1)

Unkari ei ole noudattanut yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisia velvoitteitaan, koska se on päättänyt henkilötietojen suojaa valvovan viranomaisen toimikauden ennenaikaisesti.

 

2)

Unkari velvoitetaan korvaamaan oikeudenkäyntikulut.

 

3)

Euroopan tietosuojavaltuutettu vastaa omista oikeudenkäyntikuluistaan.

 

Allekirjoitukset


( *1 )   Oikeudenkäyntikieli: unkari.

Top
  翻译: