KeyGroup
    AI EngineeringAI WorkersAI MarketplaceDigital MarketingPaid AdvertisingSEO / GEOLink BuildingSMMPRIRHRFinance & AccountingLegal & Consulting
    Legal consultingApril 14, 20254 min read
    VH
    Victoria Hayes

    GDPR kohtaa ISS:n: Miten tuomioistuimet tulkitsevat rekisterinpitäjän rooleja

    The intersection of the General Data Protection Regulation (GDPR) ja Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes ja means of processi

    GDPR kohtaa ISS:n: Miten tuomioistuimet tulkitsevat rekisterinpitäjän rooleja

    The intersection of the General Data Protection Regulation (GDPR) ja Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes ja means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users ja third-party content providers, the lines of responsibility blur.

    Recent case law from the Court of Justice of the European Union (CJEU) has significantly expjaed the interpretation of liitosohjainship, placing new obligations on platform operators, website owners, ja service providers engaged in collaborative data processing. Below, we explore key judgments ja their implications for platform accountability.

    Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

    In Wirtschaftsakademie Schleswig-Holstein v Facebook Irelja, the CJEU held that an administrator of a Facebook Fan Page was a liitosohjain together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

    Key Findings:

    • Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes ja means of data processing by configuring the page ja selecting target demographics.
    • The decision introduced a broad ja functional definition of liitosohjainship, emphasizing actual influence over data use, not just access.

    Vaikutukset:

    • Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
    • ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

    Fashion ID Case (C-40/17): Social Plugins ja Shared Responsibility

    In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a liitosohjain for the transmission of personal data to Facebook.

    Key Findings:

    • The operator of a website is a liitosohjain for the collection ja transmission of personal data (such as IP addresses ja browser information) to Facebook.
    • The operator is not a controller for subsequent processing carried out solely by Facebook.

    Vaikutukset:

    • This ruling highlights the granular nature of liitosohjainship, limited to specific stages of data processing.
    • Websites using embedded tools must disclose data transfers in their privacy notices ja, where required, obtain valid consent for third-party data collection.

    Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

    Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of liitosohjainship. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

    Key Findings:

    • The religious community ja individual members were liitosohjains under GDPR, even without formal coordination or access to the full dataset.
    • The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

    Seuraamukset ISS:lle:

    • Käyttäjätietojen keräämisessä yhteistyötä tekevät alustat ja tytäryhtiöt – jopa epävirallisesti – voivat olla yhteisvastuussa.
    • Epäviralliset tai hajautetut käsittelyrakenteet tekevät ei suojaa yhteisvastuullisilta rekisterinpitäjän velvoitteilta.

    Bundeskartellamt v Meta (Asia T-201/22): Kilpailu kohtaa GDPR:n

    Vaikka asia on vielä oikeudellisessa kehitysvaiheessa, Saksan kilpailuviranomaisen Facebookia (nykyisin Meta) vastaan vireille panema juttu asettaa kyseenalaiseksi liiallinen tiedonkeräys käytännöt molemmissa GDPR ja kilpailulaki. EU-tuomioistuimen on selvennettävä, onko alustan ylivalta ja käyttäjän suostumus toimivat tietosuojaperiaatteiden mukaisesti.

    Nouseva trendi:

    • Tuomioistuimet ja sääntelyelimet kohtelevat yhä useammin laaja-alainen seuranta ja datan yhdistäminen eri palveluissa mahdollisesti loukkaavana tai laittomana, kun siihen ei liity tietoon perustuvaa, vapaaehtoista suostumusta.

    Tärkeimmät huomiot IPT-palveluntarjoajille

    1. Arvioi yhteisrekisterinpitäjyyttä ennakoivasti
      Kaikki yhteistyö, johon liittyy jaettuja työkaluja, laajennuksia tai analytiikkaominaisuuksia, voi luoda yhteisvastuita. Virallista järjestelyt ja selkeytä roolit sopimusten ja tietosuojakäytäntöjen avulla.
    2. Segmentin käsittelyvaiheet
      Vastuu voi koskea vain tiettyjä käsittelyvaiheita. Määritä selkeästi, missä organisaatiosi aloittaa tai edistää tiedonkeruuta ja -siirtoa.
    3. Läpinäkyvyyden ja suostumusmekanismien vahvistaminen
      Kolmannen osapuolen työkalujen upottaminen? Ilmoita niistä näkyvästi ja pyydä käyttäjän suostumus, kun laki sitä edellyttää – erityisesti markkinoinnin ja profiloinnin osalta.
    4. Ota käyttöön yhteiset ohjaussopimukset (JCA)
      GDPR:n 26 artiklan mukaan yhteisten rekisterinpitäjien on määritettävä Yhteisrekisterinpitäjäsopimus, vastuiden jakaminen ja yhteyspisteen tarjoaminen rekisteröidyille.
    5. Seuraa datasuojan ulkopuolisia oikeudellisia kehityskulkuja
      Yhteisvastuullisen valvojan ongelmat liittyvät nyt kilpailuoikeuteen, kuluttajansuojaan ja alustojen sääntelyyn. Ole tietoinen digitaalisiin palveluihin vaikuttavista laajemmista oikeudellisista suuntauksista.

    Päätelmä

    EUT:n kehittyvä oikeuskäytäntö on vakiinnuttanut sen, että Informaatioyhteiskunnan palvelut voivat jakaa rekisterinpitäjän vastuualueita verkkosivustojen ylläpitäjien, kumppaneiden ja jopa käyttäjien kanssa, riippuen datavuorovaikutuksen luonteesta. Lakiasiantuntijoille ja vaatimustenmukaisuustiimeille ei enää riitä, että alusta luokitellaan neutraaliksi isännäksi. Todellinen vaikutusvalta siihen, miten tietoja kerätään ja käytetään, on nyt ratkaiseva tekijä.

    Sääntely-ympäristön monimutkaistuessa digipalvelusäädöksen, sähköisen viestinnän tietosuoja-asetuksen ja jatkuvan GDPR:n valvonnan myötä ISS-palveluntarjoajien on otettava käyttöön kokonaisvaltainen ja dokumentoitu lähestymistapa tietohallintaan ja rekisterinpitäjän vastuisiin.

    Tarvitsetko apua tietojenkäsittelysuhteiden tarkastelussa tai GDPR:n mukaisten yhteisrekisterinpitäjäsopimusten laatimisessa? Tietosuojatiimimme neuvoo alustoja ja digitaalisten palvelujen tarjoajia kaikkialla EU:ssa laillisten ja avoimien tietokäytäntöjen rakentamisessa. Ota yhteyttä konsultaatiota varten.

    Ready to leverage AI for your business?

    Book a free strategy call — no strings attached.

    Get a Free Consultation

    Related Articles

    How to Draft Legally Sound Workplace Policies and Handbooks

    How to Draft Legally Sound Workplace Policies and Handbooks

    May 19, 2025
    The Key Elements of a Compliant Employee Agreement

    The Key Elements of a Compliant Employee Agreement

    May 19, 2025
    How Outsourcing Employment Law Saves You Time and Money

    How Outsourcing Employment Law Saves You Time and Money

    May 19, 2025