–

UZ, edustajanaan J. Leuschner, Rechtsanwalt,

–

Saksan hallitus, asiamiehinään J. Möller ja P.-L. Krüger,

–

Tšekin hallitus, asiamiehinään O. Serdula, M. Smolek ja J. Vláčil,

–

Ranskan hallitus, asiamiehinään A.-L. Desjonquères ja J. Illouz,

–

Itävallan hallitus, asiamiehinään A. Posch, M.-T. Rappersberger ja J. Schmoll,

–

Puolan hallitus, asiamiehenään B. Majczyna,

–

Euroopan komissio, asiamiehinään A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

1

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus) 5 artiklan, 17 artiklan 1 kohdan d alakohdan, 18 artiklan 1 kohdan b alakohdan sekä 26 ja 30 artiklan tulkintaa.

2

Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat kolmannen maan kansalainen UZ ja Saksan liittotasavalta, jota edustaa Bundesamt für Migration und Flüchtlinge (liittovaltion maahanmuutto- ja pakolaisvirasto, Saksa; jäljempänä liittovaltion virasto), ja joka koskee kyseisen kolmannen maan kansalaisen jättämän kansainvälistä suojelua koskevan hakemuksen käsittelyä.

3

Kansainvälisen suojelun myöntämistä tai poistamista koskevista yhteisistä menettelyistä 26.6.2013 annetun Euroopan parlamentin ja neuvoston direktiivin 2013/32/EU (uudelleenlaadittu) (EUVL 2013, L 180, s. 60) johdanto-osan 52 perustelukappaleen sanamuoto on seuraava:

”Jäsenvaltioissa tämän direktiivin nojalla suoritettavaan henkilötietojen käsittelyyn sovelletaan yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annettua Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY [(EYVL 1995, L 281, s. 31)].”

4

Yleisen tietosuoja-asetuksen johdanto-osan 1, 10, 40, 74, 79 ja 82 perustelukappaleessa todetaan seuraavaa:

– –

– –

– –

– –

– –

5

Yleisen tietosuoja-asetuksen I lukuun, jonka otsikko on ”Yleiset säännökset”, sisältyvät 1–4 artikla.

6

Kyseisen asetuksen 1 artikla, jonka otsikko on ”Kohde ja tavoitteet”, sanamuoto on seuraava:

”1.   Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.

2.   Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

– –”

7

Mainitun asetuksen 4 artiklan, jonka otsikko on ”Määritelmät”, 2, 7 ja 21 alakohdassa säädetään seuraavaa:

– –

– –

– –”

8

Yleisen tietosuoja-asetuksen II lukuun, jonka otsikko on ”Periaatteet”, sisältyvät 5–11 artikla.

9

Kyseisen asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:

”1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

10

Mainitun asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdassa säädetään seuraavaa:

”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.”

11

Yleisen tietosuoja-asetuksen 7 artikla koskee suostumuksen edellytyksiä, ja kyseisen asetuksen 8 artiklassa määritetään tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot.

12

Kyseisen asetuksen 9 artiklassa, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, kielletään sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely.

13

Mainitun asetuksen 10 artikla, jonka otsikko on ”Rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely”, koskee rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelyä 6 artiklan 1 kohdan perusteella.

14

Yleisen tietosuoja-asetuksen III lukuun, jonka otsikko on ”Rekisteröidyn oikeudet”, sisältyvät 12–23 artikla.

15

Kyseisen asetuksen 17 artiklan, jonka otsikko on ”Oikeus tietojen poistamiseen (’oikeus tulla unohdetuksi’)”, sanamuoto on seuraava:

”1.   Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

– –

– –

3.   Edellä olevaa 1 ja 2 kohtaa ei sovelleta siltä osin kuin käsittely on tarpeen

– –

– –

16

Mainitun asetuksen 18 artiklan, jonka otsikko on ”Oikeus käsittelyn rajoittamiseen”, sanamuoto on seuraava:

”1.   Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:

– –

– –

2.   Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

– –”

17

Yleisen tietosuoja-asetuksen IV lukuun, jonka otsikko on ”Rekisterinpitäjä ja henkilötietojen käsittelijä”, sisältyvät 24–43 artikla.

18

Kyseisen luvun 1 jaksoon, jonka otsikko on ”Yleiset velvollisuudet”, sisältyvän 26 artiklan, jonka otsikko on ”Yhteisrekisterinpitäjät”, sanamuoto on seuraava:

”1.   Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2.   Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

3.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.”

19

Mainitun asetuksen 30 artiklassa, jonka otsikko on ”Seloste käsittelytoimista”, säädetään seuraavaa:

”1.   Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

– –

4.   Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

– –”

20

Yleisen tietosuoja-asetuksen VI lukuun, jonka otsikko on ”Riippumattomat valvontaviranomaiset”, sisältyvän 58 artiklan, jonka otsikko on ”Valtuudet”, 2 kohdassa säädetään seuraavaa:

”Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

21

Kyseisen asetuksen VIII lukuun, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältyvät 77–84 artikla.

22

Mainitun asetuksen 77 artiklan, jonka otsikko on ”Oikeus tehdä kantelu valvontaviranomaiselle”, 1 kohdassa säädetään seuraavaa:

”Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.”

23

Yleisen tietosuoja-asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, 1 ja 2 kohdassa säädetään seuraavaa:

”1.   Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.   Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.”

24

Kyseisen asetuksen 83 artiklan, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, 4, 5 ja 7 kohdassa säädetään seuraavaa:

”4.   Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10000000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

– –

5.   Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20000000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

– –

7.   Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia seuraamusmaksuja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.”

25

Mainitun asetuksen XI lukuun, jonka otsikko on ”Loppusäännökset”, sisältyvässä 94 artiklassa, jonka otsikko on ”Direktiivin 95/46/EY kumoaminen”, säädetään seuraavaa:

”1.   Kumotaan direktiivi 95/46/EY 25 päivästä toukokuuta 2018.

2.   Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin 95/46/EY 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.”

26

Liittovaltion tietosuojalain (Bundesdatenschutzgesetz), joka annettiin 20.12.1990 (BGBl. 1990 I, s. 2954), sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä liittovaltion tietosuojalaki), 43 §:n, jonka otsikko on ”Hallinnollisia seuraamusmaksuja koskevat säännökset”, 3 momentissa säädetään seuraavaa:

”Liittovaltion tietosuojalain 2 §:n 1 momentissa tarkoitetuille viranomaisille ja muille julkisen vallan elimille ei määrätä hallinnollisia seuraamusmaksuja.”

27

Pääasian kantaja jätti 7.5.2019 kansainvälistä suojelua koskevan hakemuksen liittovaltion virastoon, joka hylkäsi sen.

28

Liittovaltion virasto perusteli hylkäävän päätöksensä (jäljempänä riidanalainen päätös) laatimallaan sähköisellä asiakirja-aineistolla MARIS, joka sisältää pääasian kantajan henkilötiedot.

29

Pääasian kantaja nosti riidanalaisesta päätöksestä kanteen Verwaltungsgericht Wiesbadenissa (Wiesbadenin hallintotuomioistuin, Saksa), joka on nyt käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin. Sähköinen asiakirja-aineisto MARIS toimitettiin tämän jälkeen kyseiselle tuomioistuimelle yleisen tietosuoja-asetuksen 26 artiklan mukaisessa yhteisessä menettelyssä toimeenpanovaltaan kuuluvan julkisen vallan elimen hallinnoiman sähköisen tuomioistuin- ja hallintoasioiden postilaatikon (Elektronische Gerichts- und Verwaltungspostfach) välityksellä.

30

Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että direktiivin 2013/32 johdanto-osan 52 perustelukappaleesta käy ilmi, että henkilötietojen käsittelyyn, jota jäsenvaltiot suorittavat kansainvälisen suojelun myöntämiseen liittyvien menettelyjen yhteydessä, sovelletaan yleistä tietosuoja-asetusta.

31

Kyseisellä tuomioistuimella on kuitenkin epäilyjä siitä, ovatko liittovaltion viraston laatiman sähköisen asiakirja-aineiston ylläpitäminen ja tämän asiakirja-aineiston välittäminen kyseiselle tuomioistuimelle sähköisen tuomioistuin- ja hallintoasioiden postilaatikon välityksellä yhteensopivia kyseisen asetuksen kanssa.

32

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan yhtäältä sähköisen asiakirja-aineiston ylläpitämisen osalta ei ole osoitettu, että liittovaltion virasto noudattaa yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan ja 30 artiklan säännöksiä yhdessä luettuina. Liittovaltion virasto ei nimittäin ole esittänyt kyseistä asiakirja-aineistoa koskevaa täydellistä selostetta käsittelytoimista ennakkoratkaisua pyytäneen tuomioistuimen tätä koskevasta pyynnöstä huolimatta. Tällainen seloste olisi kuitenkin pitänyt olla laadittuna pääasian kantajan henkilötietojen käsittelyn ajankohtana eli ajankohtana, jolloin hän jätti kansainvälistä suojelua koskevan hakemuksensa. Liittovaltion virastoa on kuultava osoitusvelvollisuudesta, joka sillä on yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan nojalla, sen jälkeen, kun unionin tuomioistuin on antanut ratkaisun käsiteltävänä olevan ennakkoratkaisupyynnön perusteella.

33

Kyseisen tuomioistuimen mukaan toisaalta sähköisen asiakirja-aineiston toimittamista sähköisen tuomioistuin- ja hallintoasioiden postilaatikon kautta on pidettävä yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettuna tietojen ”käsittelynä”, jossa on noudatettava kyseisen asetuksen 5 artiklassa vahvistettuja periaatteita. Kyseistä hallintoviranomaisten ja tuomioistuinten välillä tapahtuvaa siirtomenettelyä ei säännellä missään kansallisessa säännöstössä siten, että määriteltäisiin kunkin yhteisrekisterinpitäjän velvollisuudet, mikä on vastoin mainittua 26 artiklaa, eikä liittovaltion virasto toimittanut tätä koskevaa järjestelyä siitä huolimatta, että ennakkoratkaisua pyytänyt tuomioistuin esitti tätä koskevan pyynnön. Ennakkoratkaisua pyytänyt tuomioistuin pohtii näin ollen, onko kyseinen tietojen siirtäminen sähköisen tuomioistuin- ja hallintoasioiden postilaatikon välityksellä lainmukaista.

34

Ennakkoratkaisua pyytäneen tuomioistuimen mukaan on erityisesti ratkaistava, onko yleisen tietosuoja-asetuksen 5, 26 ja 30 artiklassa säädettyjen velvollisuuksien laiminlyönneistä, joiden vuoksi henkilötietojen käsittely on ollut lainvastaista, oltava seuraamuksena kyseisten tietojen poistaminen kyseisen asetuksen 17 artiklan 1 kohdan d alakohdan mukaisesti tai käsittelyn rajoittaminen mainitun asetuksen 18 artiklan 1 kohdan b alakohdan mukaisesti. Tällaisia seuraamuksia on ainakin harkittava rekisteröidyn pyynnöstä. Muussa tapauksessa kyseisen tuomioistuimen olisi pakko osallistua mainittujen tietojen lainvastaiseen käsittelyyn tuomioistuinmenettelyn yhteydessä. Tällaisessa tapauksessa ainoastaan valvontaviranomainen voi puuttua asiaan yleisen tietosuoja-asetuksen 58 artiklan perusteella ja määrätä asianomaisille viranomaisille hallinnollisen seuraamusmaksun kyseisen asetuksen 83 artiklan 5 kohdan a alakohdan nojalla. Kuitenkin liittovaltion tietosuojalain 43 §:n 3 momentin, jolla mainitun asetuksen 83 artiklan 7 momentti on saatettu osaksi kansallista oikeusjärjestystä, mukaan viranomaisille ja muille julkisen vallan elimille ei voida määrätä hallinnollisia seuraamusmaksuja kansallisella tasolla. Tästä seuraa, että direktiiviä 2013/32 ja yleistä tietosuoja-asetusta ei noudateta.

35

Ennakkoratkaisua pyytänyt tuomioistuin arvioi lisäksi, että pääasiassa kyseessä oleva käsittely ei kuulu yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan e alakohdan, jonka nojalla vastaaja voi käyttää henkilötietoja oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi, soveltamisalaan. Käsiteltävässä asiassa liittovaltion virasto toki käyttää tietoja kyseisen asetuksen 17 artiklan 3 kohdan b alakohdan mukaisesti rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Kuitenkin on niin, että tämän säännöksen mahdollisella soveltamisella legalisoidaan pysyvästi tietosuojalainsäädännön vastainen käytäntö.

36

Kyseinen tuomioistuin pohtii näin ollen, miltä osin se voi lainkäyttötoiminnassaan ottaa huomioon henkilötiedot, jotka on toimitettu tällaisen täytäntöönpanovallalle kuuluvan menettelyn yhteydessä. Jos sähköisen asiakirja-aineiston ylläpitämistä tai sen välittämistä sähköisen tuomioistuin- ja hallintoasioiden postilaatikon välityksellä on pidettävä lainvastaisena käsittelynä yleisen tietosuoja-asetuksen kannalta, mainittu tuomioistuin osallistuisi kyseessä olevaan lainvastaiseen käsittelyyn ottaessaan kyseiset tiedot tällä tavalla huomioon, mikä olisi vastoin kyseisellä asetuksella tavoiteltua päämäärää, joka on suojata luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

37

Ennakkoratkaisua pyytänyt tuomioistuin pohtii tältä osin vielä, voiko sillä, että rekisteröity on antanut nimenomaisen suostumuksensa henkilötietojensa käyttöön tuomioistuinmenettelyssä tai että hän vastustaa sitä, olla vaikutusta mahdollisuuteen ottaa nämä tiedot huomioon. Jos kyseinen tuomioistuin ei voi ottaa huomioon asiakirja-aineistoon MARIS sisältyviä tietoja kyseisen asiakirja-aineiston ylläpitämistä ja välittämistä rasittavien lainvastaisuuksien vuoksi, odotettaessa kyseisten lainvastaisuuksien mahdollista korjaamista ei ole oikeusperustaa päätöksen tekemiselle kantajan pakolaisaseman myöntämistä koskevasta hakemuksesta. Näin ollen mainitun tuomioistuimen olisi kumottava riidanalainen päätös.

38

Näissä olosuhteissa Verwaltungsgericht Wiesbaden on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

39

Saksan hallitus ei ole esittänyt muodollista oikeudenkäyntiväitettä, mutta se on ilmaissut epäilyksensä siitä, onko ennakkoratkaisukysymyksillä merkitystä pääasian ratkaisun kannalta. Sen mukaan ensinnäkin ennakkoratkaisupyynnöstä ilmenee, että ei ole näytetty lopullisesti toteen, onko liittovaltion virasto rikkonut yleisen tietosuoja-asetuksen 5 artiklan 2 kohtaa, vaan ennakkoratkaisua pyytänyt tuomioistuin ainoastaan olettaa näin tapahtuneen. Ennakkoratkaisua pyytänyt tuomioistuin ei ole myöskään katsonut, että liittovaltion viraston asiakirjat, jos oletetaan, että kyseisellä tuomioistuimella ei ole oikeutta käyttää niitä, olisivat ainoa ratkaiseva tekijä kyseisen asian ratkaisun kannalta. Sillä on nimittäin käytettävissään myös muita tietolähteitä, joita on viran puolesta tutkimista koskevan periaatteen nojalla hyödynnettävä täysimääräisesti silloin, kun viranomainen ei toimita asiakirjoja tai ne ovat epätäydellisiä. Lopuksi Saksan hallitus katsoo, että kolmas kysymys on selvästi hypoteettinen, koska ennakkoratkaisupyynnöstä ei käy ilmi, onko pääasian kantaja jo antanut tai antaako hän tulevaisuudessa suostumuksensa siihen, että ennakkoratkaisua pyytänyt tuomioistuin hyödyntää hänen henkilötietojensa käsittelyä.

40

On muistutettava, että vakiintuneen oikeuskäytännön mukaan unionin oikeutta koskevilla kysymyksillä oletetaan olevan merkitystä asian ratkaisemisen kannalta. Unionin tuomioistuin voi kieltäytyä vastaamasta kansallisen tuomioistuimen esittämään ennakkoratkaisukysymykseen vain, jos on ilmeistä, että pyydetyllä unionin oikeuden tulkitsemisella ei ole mitään yhteyttä käsiteltävän asian tosiseikkoihin tai kohteeseen, tai jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin, taikka jos kyseinen ongelma on luonteeltaan hypoteettinen. Lisäksi SEUT 267 artiklassa tarkoitetussa menettelyssä, joka perustuu kansallisten tuomioistuinten ja unionin tuomioistuimen tehtävien selkeään jakoon, yksinomaan kansallinen tuomioistuin on toimivaltainen toteamaan sen ratkaistavaksi saatetun riidan tosiseikat ja arvioimaan niitä (ks. mm. tuomio 24.3.2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, 20 ja 21 kohta oikeuskäytäntöviittauksineen).

41

Kuten SEUT 267 artiklan toisesta kohdasta selvästi ilmenee, kansallisten tuomioistuinten ja unionin tuomioistuimen välisen läheisen yhteistyön, joka perustuu tehtävien jakoon niiden välillä, puitteissa ennakkoratkaisua pyytäneen tuomioistuimen asiana on päättää, missä käsittelyn vaiheessa sen on syytä esittää ennakkoratkaisukysymys unionin tuomioistuimelle (tuomio 17.7.2008, Coleman, C‑303/06, EU:C:2008:415, 29 kohta oikeuskäytäntöviittauksineen).

42

Unionin tuomioistuin on jo erityisesti todennut tältä osin, että siitä, että tosiseikkoja koskevat kysymykset eivät ole vielä olleet todistelua koskevan kontradiktorisen hallinnollisen menettelyn kohteena, ei voi sellaisenaan aiheutua, että ennakkoratkaisukysymys olisi jätettävä tutkimatta (ks. vastaavasti tuomio 11.9.2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, 19 kohta oikeuskäytäntöviittauksineen).

43

Vaikka nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä käy ilmi, että ennakkoratkaisua pyytänyt tuomioistuin ei ole lausunut lopullisesti siitä, onko liittovaltion virasto laiminlyönyt yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan, luettuna yhdessä kyseisen asetuksen 26 ja 30 artiklan kanssa, mukaisia velvollisuuksiaan, vaan pääasian tämä osa on kyseisessä pyynnössä esitettyjen tietojen mukaan käsiteltävä vielä kontradiktorisessa menettelyssä, kyseinen tuomioistuin on kuitenkin todennut, että liittovaltion virasto, joka on rekisterinpitäjä, ei ole esittänyt kyseisessä 26 ja 30 artiklassa tarkoitettuja tietojen yhteiskäsittelyä koskevaa järjestelyä sekä käsittelytoimia koskevaa selostetta huolimatta siitä, että kyseinen tuomioistuin on esittänyt sille tätä koskevan pyynnön.

44

Ennakkoratkaisupyynnöstä ilmenee lisäksi, että kyseisen tuomioistuimen, jonka tehtävänä yksin on todeta tosiseikat ja arvioida niitä, mukaan riidanalainen päätös on tehty yksinomaan liittovaltion viraston laatiman sähköisen asiakirja-aineiston perusteella, jonka ylläpitäminen ja välittäminen voivat olla vastoin mainitussa asetuksessa asetettuja sääntöjä, joten voi olla, että kyseinen päätös on kumottava tällä perusteella.

45

Lopuksi on riittävää todeta pääasian kantajan suostumuksesta hänen henkilötietojensa käyttämiseen tuomioistuimenettelyssä, että kolmannella ennakkoratkaisukysymyksellä pyritään nimenomaisesti selvittämään, onko nyt käsiteltävässä asiassa tällaisen suostumuksen antaminen tarpeen, jotta ennakkoratkaisua pyytänyt tuomioistuin voi ottaa nämä tiedot huomioon.

46

Näin ollen on niin, että koska unionin tuomioistuimen käsiteltäväksi on saatettu tällainen unionin oikeuden tulkintaa koskeva ennakkoratkaisupyyntö, jonka osalta ei ole ilmeistä, että sillä ei ole yhteyttä pääasian tosiseikkoihin tai kohteeseen, ja kun unionin tuomioistuimella on käytettävissään riittävästi tietoja, jotta se voi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin, jotka koskevat yleisen tietosuoja-asetuksen vaikutusta pääasiaan, sen on vastattava pyyntöön ilman, että sen on tarpeen itse tarkastella sellaista tosiseikkoja koskevaa olettamaa, jota kansallinen tuomioistuin on käyttänyt perusteenaan ja jonka mahdollisesti myöhemmin tarpeelliseksi osoittautuva tutkiminen on kansallisen tuomioistuimen tehtävä (ks. analogisesti tuomio 17.7.2008, Coleman, C‑303/06, EU:C:2008:415, 31 kohta oikeuskäytäntöviittauksineen).

47

Näin ollen on katsottava, että nyt käsiteltävä ennakkoratkaisupyyntö on otettava tutkittavaksi ja että ennakkoratkaisua pyytäneen tuomioistuimen esittämiin kysymyksiin on vastattava, jolloin on kuitenkin ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä tutkia, onko liittovaltion virasto laiminlyönyt yleisen tietosuoja-asetuksen 26 ja 30 artiklassa säädettyjä velvollisuuksiaan.

48

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan d alakohtaa ja 18 artiklan 1 kohdan b alakohtaa tulkittava siten, että sitä, että rekisterinpitäjä laiminlyö kyseisen asetuksen 26 ja 30 artiklassa säädettyjä yhteiskäsittelyn vastuunjakoa koskevan järjestelyn laatimiseen ja käsittelytoimia koskevan selosteen ylläpitämiseen liittyviä velvollisuuksia, on pidettävä lainvastaisena käsittelynä, jonka perusteella rekisteröidyllä on oikeus tietojen poistamiseen tai käsittelyn rajoittamiseen, koska tällainen laiminlyönti merkitsee sitä, että rekisterinpitäjä on laiminlyönyt mainitun asetuksen 5 artiklan 2 kohdassa todettua osoitusvelvollisuutta.

49

Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin oikeuden määräyksen tai säännöksen tulkitsemiseksi on otettava huomioon sen sanamuodon lisäksi sen asiayhteys sekä sillä säännöstöllä tavoitellut päämäärät, jonka osa se on (ks. vastaavasti mm. tuomio 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 32 kohta oikeuskäytäntöviittauksineen).

50

Ensinnäkin merkityksellisten unionin oikeuden säännösten sanamuodosta on muistutettava, että yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan d alakohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että niitä on ”käsitelty lainvastaisesti”.

51

Samoin yleisen tietosuoja-asetuksen 18 artiklan 1 kohdan b alakohdan nojalla rekisteröidyllä, jos hän vastustaa tällaisten tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista, on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos ”käsittely on lainvastaista”.

52

Kahdessa edeltävässä kohdassa mainittuja säännöksiä on luettava yhdessä kyseisen asetuksen 5 artiklan 1 kohdan kanssa, jonka mukaan henkilötietojen käsittelyssä on noudatettava tiettyjä kyseisessä säännöksessä todettuja periaatteita kuten niitä, jotka ovat mainitun asetuksen 5 artiklan 1 kohdan a alakohdassa, jossa täsmennetään, että henkilötietoja on käsiteltävä ”lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi”.

53

Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan sanamuodon mukaan kyseisessä säännöksessä todetun osoitusvelvollisuuden periaatteen mukaisesti rekisterinpitäjä vastaa siitä, että kyseisen artiklan 1 kohtaa on noudatettu, ja sen on pystyttävä osoittamaan se, joten todistustaakka on tältä osin sillä (ks. vastaavasti tuomio 24.2.2022, Valsts ieņēmumu dienests (Henkilötietojen käsittely verotusta varten), C‑175/20, EU:C:2022:124, 77, 78 ja 81 kohta).

54

Tästä seuraa, että mainitun asetuksen 5 artiklan 2 kohdan, luettuna yhdessä kyseisen artiklan 1 kohdan a alakohdan kanssa, perusteella rekisterinpitäjän on varmistuttava suorittamansa tietojen käsittelyn ”lainmukaisuudesta”.

55

On todettava, että käsittelyn lainmukaisuudesta säädetään nimenomaisesti yleisen tietosuoja-asetuksen 6 artiklassa – kuten sen otsikostakin ilmenee –, jossa todetaan, että käsittely on lainmukaista ainoastaan silloin, jos vähintään yksi kyseisen artiklan 1 kohdan ensimmäisen alakohdan a–f alakohdassa säädetyistä edellytyksistä täyttyy, eli – kuten myös kyseisen asetuksen johdanto-osan 40 perustelukappaleesta ilmenee – silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten, taikka silloin, kun käsittely on tarpeen yhtä tai useampaa seuraavaa tarkoitusta varten: sellaisen sopimuksen täyttäminen, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttaminen rekisteröidyn pyynnöstä; rekisterinpitäjän lakisääteisen velvoitteen noudattaminen; rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaaminen; yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen, paitsi milloin rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut.

56

Tämä luettelo tapauksista, joissa henkilötietojen käsittelyn voidaan katsoa olevan lainmukaista, on tyhjentävä, joten käsittelyn on kuuluttava johonkin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisessä alakohdassa säädetyistä tapauksista, jotta sitä voidaan pitää lainmukaisena (ks. vastaavasti tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 99 kohta oikeuskäytäntöviittauksineen ja tuomio 8.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Henkilötietojen käsittelyn tarkoitus – Rikostutkinta), C‑180/21, EU:C:2022:967, 83 kohta).

57

Unionin tuomioistuimen oikeuskäytännön mukaan kaikessa henkilötietojen käsittelyssä on siis noudatettava tietojen käsittelyä koskevia periaatteita, jotka mainitaan tämän asetuksen 5 artiklan 1 kohdassa, ja sen osalta on täytyttävä jonkin tietojen käsittelyn lainmukaisuudelle asetetuista edellytyksistä, jotka luetellaan mainitun asetuksen 6 artiklassa (ks. mm. tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 208 kohta; tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 96 kohta ja tuomio 20.10.2022, Digi, C‑77/21, EU:C:2022:805, 49 ja 56 kohta).

58

Lisäksi on niin, että koska yleisen tietosuoja-asetuksen 7–11 artiklan, jotka sisältyvät sen 5 ja 6 artiklan tavoin kyseisen asetuksen periaatteita koskevaan II lukuun, tarkoituksena on täsmentää rekisterinpitäjälle mainitun asetuksen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan nojalla kuuluvien velvollisuuksien ulottuvuutta, lainmukaisessa henkilötietojen käsittelyssä on myös noudatettava, kuten unionin tuomioistuimen oikeuskäytännöstä ilmenee, mainitun luvun kyseisiä muita säännöksiä, jotka koskevat pääasiallisesti suostumusta, erityisten arkaluonteisten henkilötietoryhmien käsittelyä sekä rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittelyä (ks. vastaavasti tuomio 24.9.2019, GC ym. (Arkaluonteisten tietojen poistaminen hakutulosten luettelosta), C‑136/17, EU:C:2019:773, 72–75 kohta ja tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet), C‑439/19, EU:C:2021:504, 100, 102 ja 106 kohta).

59

On todettava kaikkien kirjallisia huomautuksia esittäneiden hallitusten ja Euroopan komission tavoin, että se, että rekisterinpitäjä noudattaa yleisen tietosuoja-asetuksen 26 artiklassa säädettyä velvollisuutta laatia yhteiskäsittelyn vastuunjaon määrittävä järjestely sekä kyseisen asetuksen 30 artiklassa säädettyä velvollisuutta ylläpitää selostetta käsittelytoimista, ei kuulu mainitun asetuksen 6 artiklan 1 kohdan ensimmäisessä alakohdassa vahvistettuihin käsittelyn lainmukaisuuden edellytyksiin.

60

Lisäksi yleisen tietosuoja-asetuksen 7–11 artiklasta poiketen kyseisen asetuksen 26 ja 30 artiklan tarkoituksena ei myöskään ole täsmentää mainitun asetuksen 5 artiklan 1 kohdan a alakohdassa ja 6 artiklan 1 kohdassa säädettyjen vaatimusten ulottuvuutta.

61

Näin ollen yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan ensimmäisen alakohdan sanamuodostakin voidaan päätellä, että sitä, että rekisterinpitäjä laiminlyö kyseisen asetuksen 26 ja 30 artiklassa säädettyjä velvollisuuksia, ei ole pidettävä mainitun asetuksen 17 artiklan 1 kohdan d alakohdassa ja 18 artiklan 1 kohdan b alakohdassa tarkoitettuna lainvastaisena käsittelynä, joka olisi seurausta siitä, että rekisterinpitäjä laiminlyö saman asetuksen 5 artiklan 2 kohdassa todetun osoitusvelvollisuuden.

62

Toiseksi tätä tulkintaa tukee näiden erilaisten säännösten asiayhteys. Yleisen tietosuoja-asetuksen rakenteesta ja näin ollen sen systematiikasta nimittäin ilmenee selvästi, että siinä erotellaan yhtäältä ”periaatteet”, joita käsitellään muun muassa kyseisen asetuksen 5 ja 6 artiklan sisältävässä II luvussa, ja toisaalta mainitun asetuksen rekisterinpitäjiä koskevan IV luvun 1 jaksoon kuuluvat ”yleiset velvollisuudet”, joihin kuuluvat asetuksen 26 ja 30 artiklassa tarkoitetut velvollisuudet.

63

Myös yleisen tietosuoja-asetuksen seuraamuksia koskeva VIII luku heijastelee tätä erottelua, koska asetuksen 83 artiklan 4 ja 5 kohdan mukaan yhtäältä asetuksen 26 ja 30 artiklan rikkomisesta ja toisaalta sen 5 ja 6 artiklan rikkomisesta määrätään seuraamusmaksuja, joiden näissä kohdissa säädetty enimmäismäärä on erilainen, sillä se perustuu rikkomisten vakavuuteen, jonka unionin lainsäätäjä on ottanut huomioon.

64

Kolmanneksi ja viimeiseksi edellä 61 kohdassa olevaa yleisen tietosuoja-asetuksen sanamuodon mukaista tulkintaa tukee kyseisellä asetuksella tavoiteltu päämäärä, joka käy ilmi sen 1 artiklasta ja johdanto-osan ensimmäisestä ja kymmenennestä perustelukappaleesta ja joka on erityisesti se, että turvataan luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien ja erityisesti heidän yksityisyyttä koskevan oikeutensa korkeatasoinen suoja henkilötietojen käsittelyssä; tämä oikeus on vahvistettu Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdassa ja SEUT 16 artiklan 1 kohdassa (ks. vastaavasti tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 125 kohta oikeuskäytäntöviittauksineen).

65

Yleisen tietosuoja-asetuksen 26 artiklan mukaisen yhteiskäsittelyn vastuunjakoa koskevan järjestelyn tai kyseisen asetuksen 30 artiklassa tarkoitetun käsittelytoimia koskevan selosteen puuttuminen ei sellaisenaan riitä osoittamaan, että henkilötietojen suojaa koskevaa perusoikeutta on loukattu. Erityisesti on todettava, että vaikka on totta, että – kuten kyseisen asetuksen johdanto-osan 79 ja 82 perustelukappaleesta ilmenee – yhteisrekisterinpitäjien välinen selkeä vastuunjako ja seloste käsittelytoimista ovat keinoja varmistaa, että kyseiset rekisterinpitäjät noudattavat rekisteröityjen oikeuksien ja vapauksien suojelua koskevia mainitussa asetuksessa säädettyjä suojatoimia, tällaisen selosteen tai tällaisen järjestelyn puuttuminen ei kuitenkaan sellaisenaan osoita, että näitä oikeuksia ja vapauksia on loukattu.

66

Tästä seuraa, että sitä, että rekisterinpitäjä rikkoo yleisen tietosuoja-asetuksen 26 ja 30 artiklaa, ei ole pidettävä kyseisen asetuksen 17 artiklan 1 kohdan d alakohdassa tai 18 artiklan 1 kohdan b alakohdassa, luettuina yhdessä sen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan ensimmäisen alakohdan kanssa, tarkoitettuna lainvastaisena käsittelynä, jonka perusteella rekisteröidyllä on oikeus tietojen poistamiseen tai käsittelyn rajoittamiseen.

67

Kuten kaikki kirjallisia huomautuksia esittäneet hallitukset ja komissio ovat todenneet, tällainen rikkominen on siis korjattava turvautumalla muihin yleisessä tietosuoja-asetuksessa säädettyihin toimenpiteisiin, kuten siihen, että valvontaviranomainen käyttää kyseisen asetuksen 58 artiklan 2 kohdassa tarkoitettuja ”korjaavia toimivaltuuksia”, joihin kuuluvat muun muassa kyseisen säännöksen d alakohdan mukainen käsittelytoimien saattaminen yleisen tietosuoja-asetuksen säännösten mukaisiksi, taikka kyseisen asetuksen 77 artiklan 1 kohdan mukaisen kantelun tekemiseen valvontaviranomaiselle tai rekisterinpitäjän mahdollisesti aiheuttaman vahingon korvaamiseen kyseisen asetuksen 82 artiklan nojalla.

68

Lopuksi on niin, että kun otetaan huomioon ennakkoratkaisua pyytäneen tuomioistuimen ilmaisemat huolenaiheet, on vielä täsmennettävä, että se, että käsiteltävässä asiassa hallinnollisen seuraamusmaksun määrääminen yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla on poissuljettua, koska kansallisessa oikeudessa kielletään tällaisen seuraamuksen määrääminen liittovaltion virastolle, ei ole omiaan estämään kyseisen asetuksen tehokasta soveltamista. Tältä osin on riittävää todeta, että mainitun asetuksen 83 artiklan 7 kohdassa nimenomaisesti annetaan jäsenvaltioille mahdollisuus asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä tällaisia seuraamusmaksuja ja missä määrin. Lisäksi yleisessä tietosuoja-asetuksessa säädetyillä erilaisilla vaihtoehtoisilla toimenpiteillä, jotka on palautettu mieleen edeltävässä kohdassa, voidaan varmistaa tällainen tehokas soveltaminen.

69

Ensimmäiseen kysymykseen on näin ollen vastattava, että yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan d alakohtaa ja 18 artiklan 1 kohdan b alakohtaa on tulkittava siten, että sitä, että rekisterinpitäjä laiminlyö kyseisen asetuksen 26 ja 30 artiklassa säädettyjä yhteiskäsittelyn vastuunjakoa koskevan järjestelyn laatimiseen ja käsittelytoimia koskevan selosteen ylläpitämiseen liittyviä velvollisuuksia, ei ole pidettävä henkilötietojen lainvastaisena käsittelynä, jonka perusteella rekisteröidyllä on oikeus tietojen poistamiseen tai käsittelyn rajoittamiseen, koska tällainen laiminlyönti ei merkitse sellaisenaan sitä, että rekisterinpitäjä olisi laiminlyönyt mainitun asetuksen 5 artiklan 2 kohdassa, luettuna yhdessä saman asetuksen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan ensimmäisen alakohdan kanssa, todettua osoitusvelvollisuutta.

70

Kun otetaan huomioon ensimmäiseen kysymykseen annettava vastaus, toiseen kysymykseen ei ole tarpeen vastata.

71

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään pääasiallisesti sitä, onko unionin oikeutta tulkittava siten, että jos henkilötietojen käsittelystä vastaava rekisterinpitäjä on laiminlyönyt yleisen tietosuoja-asetuksen 26 tai 30 artiklan mukaiset velvollisuutensa, rekisteröidyn suostumus on edellytyksenä sille, että kansallinen tuomioistuin voi ottaa tällaiset tiedot huomioon lainmukaisesti.

72

Tältä osin on todettava, että kyseisen asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan sanamuodostakin käy selkeästi ilmi, että kyseisen alakohdan a alakohdassa tarkoitettu rekisteröidyn suostumus on ainoastaan yksi käsittelyn lainmukaisuuden edellytys; tällainen suostumus ei sitä vastoin sisälly muihin mainitun alakohdan b–f alakohdassa todettuihin käsittelyn lainmukaisuuden edellytyksiin, jotka koskevat pääasiallisesti käsittelyn tarpeellisuutta tiettyjä tarkoituksia varten (ks. analogisesti tuomio 11.12.2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, 41 kohta).

73

Kun tuomioistuin käyttää sille kansallisessa oikeudessa annettua lainkäyttövaltaa, on katsottava, että tämän tuomioistuimen suoritettavana oleva henkilötietojen käsittely on tarpeen mainitun asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan e alakohdassa todettua tarkoitusta varten, joka koskee yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä.

74

Koska yhtäältä on riittävää, että yksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa asetetuista edellytyksistä täyttyy, jotta henkilötietojen käsittelyä voidaan pitää lainmukaisena, ja koska toisaalta – kuten edellä 61 kohdassa on todettu – kyseisen asetuksen 26 ja 30 artiklan noudattamatta jättämistä ei ole pidettävä lainvastaisena käsittelynä, rekisteröidyn suostumus ei ole edellytyksenä sille, että ennakkoratkaisua pyytänyt tuomioistuin ottaa huomioon henkilötietoja, joita liittovaltion virasto on käsitellyt noudattamatta 26 ja 30 artiklassa säädettyjä velvollisuuksia.

75

Kolmanteen kysymykseen on näin ollen vastattava, että unionin oikeutta on tulkittava siten, että jos henkilötietojen käsittelystä vastaava rekisterinpitäjä on laiminlyönyt yleisen tietosuoja-asetuksen 26 tai 30 artiklan mukaiset velvollisuutensa, rekisteröidyn suostumus ei ole edellytyksenä sen lainmukaisuudelle, että kansallinen tuomioistuin ottaa tällaiset tiedot huomioon.

76

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (viides jaosto) on ratkaissut asian seuraavasti: