Unionin tuomioistuin (EUT) tarkasteli asiassa Brillen Rottler (C-526/24) keskeisiä kysymyksiä, jotka koskevat yleisen tietosuoja-asetuksen mukaista rekisteröidyn tarkastusoikeutta sekä rekisterinpitäjän vahingonkorvausvastuuta. Ratkaisussa täsmennettiin erityisesti, milloin tietopyyntö voidaan katsoa kohtuuttomaksi tai oikeuden väärinkäytöksi sekä millä edellytyksillä pääsyoikeuden epääminen henkilötietoihin voi johtaa korvausvastuuseen.
Tapauksen tausta
Tapauksessa rekisteröity tilasi optikkoliikkeen (Brillen Rottler) uutiskirjeen antamalla optikkoliikkeen verkkosivuston tilauslomakkeessa henkilötietonsa sekä suostumuksensa näiden tietojen käsittelyyn. Rekisteröity esitti 13 päivän kuluttua yleisen tietosuoja-asetuksen 15 artiklan mukaisen tietopyynnön.
Optikkoliike kieltäytyi toteuttamasta pyyntöä vedoten siihen, että kyse oli tarkastusoikeuden väärinkäytöstä: rekisteröidyn väitettiin pyrkivän systemaattisesti luomaan tilanteita, joissa hän tarkastusoikeuttaan väärinkäyttämällä voisi esittää rekisterinpitäjille vahingonkorvausvaatimuksia.
Rekisteröity kuitenkin pysytti pyyntönsä ja liitti siihen yleisen tietosuoja-asetuksen 82 artiklan mukaisen määrältään 1 000 euron suuruisen korvausvaatimuksen aineettomasta vahingosta, jonka hän katsoi aiheutuneen siitä, että optikkoliike oli kieltäytynyt antamasta hänelle pääsyä henkilötietoihinsa.
Saksan kansallinen tuomioistuin pyysi unionin tuomioistuimelta ennakkoratkaisua muun muassa seuraavista kysymyksistä:
- Voiko jo rekisteröidyn ensimmäinen tietopyyntö olla yleisessä tietosuoja-asetuksessa 12 artiklan 5 kohdassa tarkoitettu ”kohtuuton pyyntö”?
- Onko rekisteröidyllä oikeus vahingonkorvaukseen myös käsittelyn puuttuessa, eli pelkästään yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädetyn tiedonsaantioikeuden loukkaamisen perusteella?
Tietopyyntöjen ”kohtuuttomuus” ja oikeuden väärinkäyttö
Unionin tuomioistuin korosti, että rekisteröidyn oikeus saada pääsy henkilötietoihin on keskeinen osa yleisen tietosuoja-asetuksen tarjoamaa suojaa, ja sitä koskevia rajoituksia on tulkittava suppeasti. Asetuksen 12 artiklan 5 kohdan mukaan rekisterinpitäjä voi joko periä rekisteröidyltä kohtuullisen maksun tai kieltäytyä suorittamasta tietopyyntöä, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti.
Unionin tuomioistuin kuitenkin totesi, että myös ensimmäinen tietopyyntö voi poikkeuksellisesti olla asetuksen 12 artiklan 5 kohdassa tarkoitetulla tavalla kohtuuton. Tämä edellyttää kuitenkin oikeuden väärinkäytön osoittamista ja perusteiden, joiden nojalla tietopyyntöä voidaan pitää kohtuuttomana, on oltava tiukkoja.
Arviointi perustuu kahteen seikkaan: ensinnäkin siihen, mitä olosuhteet objektiivisesti osoittavat (eli tavoitellaanko pyynnöllä aidosti tietosuoja-asetuksen tarkoitusta), ja toisaalta rekisteröidyn omaan tarkoitukseen. Kyse voi olla väärinkäytöstä esimerkiksi silloin, jos pyyntö on tehty vain korvausvaatimuksen pohjaksi. Pelkkä pyyntöjen määrä ei ratkaise asiaa, mutta se voi tukea arviota väärinkäytöstä. Todistustaakka on rekisterinpitäjällä.
Unionin tuomioistuin totesi myös, että rekisteröidyn toiminta, kuten useiden tietopyyntöjen ja niitä seuraavien vahingonkorvausvaatimusten esittäminen eri rekisterinpitäjille julkisesti saatavilla olevien tietojen perusteella, voidaan ottaa huomioon arvioitaessa mahdollista väärinkäyttötarkoitusta.
Rekisteröidyn oikeus vahingonkorvaukseen ilman henkilötietojen käsittelyä
Unionin tuomioistuin selvensi, että yleisen tietosuoja-asetuksen 82 artiklan mukainen oikeus korvaukseen ei rajoitu tilanteisiin, joissa vahinko aiheutuu varsinaisesta henkilötietojen käsittelystä. 82 artiklassa viitataan yleisesti asetuksen rikkomiseen eikä säännöksessä nimenomaisesti edellytetä henkilötietojen käsittelyä. Näin ollen myös rekisteröidyn oikeuksien, kuten tarkastusoikeuden, loukkaaminen voi synnyttää korvausvastuun.
Tämä tulkinta vahvistaa rekisteröityjen oikeussuojan tehokkuutta: jos korvaus edellyttäisi aina konkreettista käsittelytoimea, osa yleisen tietosuoja-asetuksen keskeisistä oikeuksista jäisi käytännössä ilman tehokasta oikeussuojaa.
Aineeton vahinko ja sen näyttäminen
Ratkaisussa täsmennettiin myös aineettoman vahingon käsitettä. Tällaisena vahinkona voidaan pitää esimerkiksi henkilötietojen hallinnan menettämistä tai epävarmuutta siitä, miten tietoja käsitellään. Pelkkä yleisen tietosuoja-asetuksen säännösten rikkominen ei kuitenkaan yksinään oikeuta korvaukseen.
Korvausta vaativan rekisteröidyn on näytettävä toteen (i) yleisen tietosuoja-asetuksen rikkominen, (ii) todellinen aineellinen tai aineeton vahinko sekä (iii) syy-yhteys näiden välillä.
Vaikka aineettomalle vahingolle ei aseteta vähimmäiskynnystä, rekisteröidyn on osoitettava konkreettinen haitta. Lisäksi korvausvastuu voi jäädä syntymättä, jos vahinko johtuu ratkaisevasti rekisteröidyn omasta toiminnasta, esimerkiksi tilanteessa, jossa tämä on itse luonut asetelman korvausvaatimuksen mahdollistamiseksi.
Käytännön vaikutukset
Vaikka tietosuoja-asetuksen 12 artiklan 5 kohta on jo pitkään tarjonnut rekisterinpitäjille teoreettisen mahdollisuuden hylätä kohtuuttomat pyynnöt, kyseisen säännöksen käytännöllinen soveltamisala on ollut epävarma – erityisesti rekisteröidyn ensimmäisten pyyntöjen osalta.
Brillen Rottler -ratkaisu vahvistaa, että rekisteröidyn tarkastusoikeus on keskeinen ja laajasti suojattu oikeus, mutta se ei ole väline keinotekoisten korvausvaatimusten rakentamiseen. Tuomio myös selventää vahingonkorvausvastuun soveltamisalaa koskemaan tilanteita, joissa rekisteröidyn oikeuksia loukataan ilman varsinaista henkilötietojen käsittelyä.
Brillen Rottler -ratkaisusta on hyvä muistaa erityisesti seuraava:
- Perusteeton kieltäytyminen antaa pääsy henkilötietoihin voi sellaisenaan johtaa korvausvastuuseen. Ratkaisu ei anna rekisterinpitäjille vapaita käsiä kieltäytyä tietopyynnöistä pelkästään siksi, että pyynnön esittäjä on hankala.
- Rekisterinpitäjän on pystyttävä esittämään näyttöä väärinkäytöksestä. Jos rekisterinpitäjä haluaa vedota ratkaisuun, sen on kyettävä keräämään ja dokumentoimaan objektiivista näyttöä siitä, että pyyntö on tehty yksinomaan korvausvaatimuksen luomiseksi eikä tietosuojaoikeuden käyttämiseksi.
- Kohtuuttomuusarvio on kokonaisharkintaa. Arvioinnissa on otettava huomioon kaikki asian merkitykselliset olosuhteet, kuten se, onko rekisteröity antanut henkilötietonsa vapaaehtoisesti, tietojen antamisen tarkoitus, tietojen antamisen ja tietopyynnön välinen aika sekä rekisteröidyn toiminta. Arvioinnissa voidaan huomioida myös julkisesti saatavilla olevia tietoja, kuten blogikirjoituksia tai uutiskirjeitä.
- Näyttökynnys on korkea, ja todistustaakka on rekisterinpitäjällä.
Lisäksi ratkaisu heijastaa Euroopan komission marraskuussa 2025 antamassa niin sanotussa Digital Omnibus -asetusehdotuksessa kaavailtuja muutoksia rekisterinpitäjän velvollisuuteen antaa rekisteröidylle pääsy hänen henkilötietoihinsa. Ehdotuksen mukaan rekisterinpitäjä voisi kieltäytyä vastaamasta pyyntöön tai periä siitä kohtuullisen maksun, jos pyyntö on tehty muista kuin henkilötietojen suojaan liittyvistä syistä (esimerkiksi häirintä- tai kiusantekotarkoituksessa).