GENERALINIO ADVOKATO
MICHAL BOBEK IŠVADA,
pateikta 2018 m. gruodžio 19 d.(1)
Byla C‑40/17
Fashion ID GmbH & Co.KG
prieš
Verbraucherzentrale NRW eV,
dalyvaujant:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
(Oberlandesgericht Düsseldorf (Diuseldorfo apeliacinis apygardos teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – Interneto svetainių naudotojų asmens duomenų apsauga – Vartotojų apsaugos asociacijos teisė pareikšti ieškinį – Interneto svetainės administratoriaus atsakomybė – Asmens duomenų perdavimas trečiajai šaliai – Integruotas papildinys – Facebook mygtukas „Patinka“ – Teisėti interesai – Duomenų subjekto sutikimas – Pareiga pateikti informaciją“
I. Įvadas
1. Fashion ID GmbH & Co. KG yra mažmeninės prekybos įmonė, internetu prekiaujanti mados prekėmis. Savo interneto svetainėje ji integravo papildinį: Facebook mygtuką „Patinka“. Taigi, kai naudotojas atsiduria Fashion ID interneto svetainėje, informacija apie šio naudotojo IP adresą ir naršyklės eilutę perduodama Facebook. Ši informacija perduodama automatiškai, pasikrovus Fashion ID interneto svetainei, neatsižvelgiant į tai, ar naudotojas nuspaudė mygtuką „Patinka“ ir ar jis turi Facebook paskyrą, ar ne.
2. Verbraucherzentrale NRW e.V, Vokietijos vartotojų interesų gynimo asociacija, kreipėsi į teismą, prašydama taikyti įpareigojimą Fashion ID nutraukti veiksmus remiantis tuo, kad dėl šio papildinio naudojimo pažeidžiami duomenų apsaugos teisės aktai.
3. Nagrinėdamas bylą, Oberlandesgericht Düsseldorf (Diuseldorfo apeliacinis apygardos teismas, Vokietija) prašo išaiškinti keletą Direktyvos 95/46/EB(2) (toliau – Direktyva 95/46) nuostatų. Pirmiausia prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar pagal šią direktyvą leidžiama, kad nacionalinės teisės aktuose vartotojų asociacijai būtų suteikta teisė pareikšti tokį ieškinį, kaip nagrinėjamas šioje byloje. Kiek tai susiję su esme, pagrindinis užduodamas klausimas yra tas, ar Fashion ID turi būti laikoma „duomenų valdytoja“ atsižvelgiant į atliekamą duomenų tvarkymą, o jeigu taip, kaip tokiu atveju turėtų būti vykdomi Direktyvoje 95/46 nustatyti individualūs įpareigojimai. Į kieno teisėtus interesus turi būti atsižvelgta atliekant interesų įvertinimą, kurio reikalaujama Direktyvos 95/46 7 straipsnio f punkte? Ar Fashion ID privalo informuoti duomenų subjektus apie duomenų tvarkymą? Be to, ar Fashion ID yra ta, kuri turi gauti informacija pagrįstą duomenų subjektų sutikimą šiuo klausimu?
II. Teisinis pagrindas
A. ES teisė
Direktyva 95/46
4. Direktyvos 95/46 tikslas nurodytas jos pirmajame straipsnyje. Šio straipsnio 1 dalis suformuluota taip: „valstybės narės saugo fizinių asmenų pagrindines teises ir laisves, o ypač jų privatumo teisę [teisę į privatų gyvenimą] tvarkant asmens duomenis“. Tos pačios nuostatos 2 dalyje išdėstyta: „Valstybės narės nevaržo ir nedraudžia laisvo asmens duomenų judėjimo tarp valstybių narių dėl priežasčių, susijusių su apsauga, skiriama pagal šio straipsnio 1 dalį.“
5. 2 straipsnyje pateiktos šios apibrėžtys:
„a) „asmens duomenys“ reiškia bet kurią informaciją, susijusią su asmeniu (duomenų subjektu), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra tas asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ar netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais;
b) „asmens duomenų tvarkymas“ (tvarkymas) reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas;
<…>
d) „duomenų valdytojas“ reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslus ir būdus nusako [nustato] nacionaliniai arba Bendrijos įstatymai bei norminiai aktai, tai duomenų valdytoją arba specifinius kriterijus, pagal kuriuos skiriamas duomenų valdytojas, gali apibrėžti nacionaliniai arba Bendrijos įstatymai;
<…>
h) „duomenų subjekto sutikimas“ reiškia bet kurį savanoriškai ir žinomai duotą konkretų duomenų subjekto pareiškimą, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi su juo susiję duomenys.“
6. 7 straipsnyje numatyti kriterijai, kurie turi būti įvykdyti, kad duomenų tvarkymas būtų teisėtas: „Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:
a) duomenų subjektas yra nedviprasmiškai davęs sutikimą;
<…>
f) tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto, kuriam pagal 1 straipsnio 1 dalį reikalinga apsauga, teisės ir laisvės yra viršesnės nei šie interesai.“
7. 10 straipsnyje nurodyta būtina informacija, kuri turi būti pateikta duomenų subjektui:
„Valstybės narės numato, kad duomenų valdytojas arba jo atstovas privalo duomenų subjektui, iš kurio renkami su juo susiję duomenys, suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) duomenų valdytojo arba jo atstovo, jei toks yra, tapatybė;
b) tikslai, dėl kurių ketinama tvarkyti šiuos duomenis;
c) bet kokia platesnė informacija, kaip antai:
duomenų gavėjai ar gavėjų kategorijos,
– ar į klausimus atsakoma privaloma tvarka, ar savanoriškai, taip pat galimos neatsakymo pasekmės,
– teisės gauti informaciją ar teisės pataisyti duomenis apie save buvimas,
kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas“.
8. Direktyvos 95/46 III skyrius susijęs su teisminiais teisių gynimo būdais, atsakomybe ir sankcijomis. Jame esančiuose 22–24 straipsniuose numatyta:
„22 straipsnis
Teisės [teisių] gynimo būdai
Nepažeidžiant jokių nuostatų dėl administracinio poveikio priemonių [administracinių teisių gynimo priemonių], kurios, inter alia, gali būti numatytos prieš perduodant klausimą 28 straipsnyje nurodytai priežiūros institucijai ir prieš kreipiantis į teismo instituciją, valstybės narės numato, kad kiekvienas asmuo turi teisę į teisminę gynybą, jei pažeidžiamos teisės, kurias jam garantuoja nacionaliniai įstatymai, taikomi tvarkant [duomenis] tam tikru aptariamu būdu.
23 straipsnis
Atsakomybė
1. Valstybės narės numato, kad bet kuris asmuo, patyręs nuostolių dėl neteisėtos tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su nacionalinėmis nuostatomis, priimtomis pagal šią direktyvą, turi teisę iš duomenų valdytojo gauti kompensaciją už patirtus nuostolius.
Duomenų valdytojas gali būti visiškai ar iš dalies atleistas nuo šios turtinės atsakomybės, jeigu įrodo nesantis atsakingas už nuostolius sukėlusį veiksmą.
24 straipsnis
Sankcijos
Valstybės narės priima tinkamas priemones užtikrinti, kad šios direktyvos nuostatos būtų visiškai įgyvendintos, ir būtinai išdėsto sankcijas, kurios taikomos pažeidus pagal šią direktyvą priimtas nuostatas.“
B. Vokietijos teisė
Gesetz gegen den unlauteren Wettbewerb
9. Gesetz gegen den unlauteren Wettbewerb (Įstatymas dėl kovos su nesąžininga konkurencija, toliau – UWG) 3 straipsnio 1 dalyje numatyta, kad neteisėta komercinė veikla yra draudžiama.
10. UWG 8 straipsnio 1 dalyje ir 3 dalies 3 punkte nurodyta, kad komercinę veiklą, kuri yra neteisėta, gali būti įpareigota nutraukti ir nuo jos susilaikyti, arba kad „kompetentingi subjektai“, išvardyti Unterlassungsklagegesetz (Įstatymas dėl ieškinių dėl veiksmų nutraukimo) arba įtraukti į Europos Komisijos sąrašą pagal Direktyvos 2009/22/EB dėl ieškinių dėl uždraudimo ginant vartotojų interesus(3) 4 straipsnio 3 dalį, gali taikyti draudimą.
Unterlassungsklagegesetz
11. Unterlassungsklagegesetz (Įstatymas dėl ieškinių dėl veiksmų nutraukimo) 2 straipsnio 1 dalyje ir 2 dalies 11 punkte numatyta:
„1) Asmeniui, kuris pažeidžia nuostatas, skirtas vartotojams apsaugoti (įstatymus dėl vartotojų apsaugos), kitaip, nei taikant Bendrąsias komercines sąlygas arba remiantis jose nustatytomis rekomendacijomis, gali būti nurodyta nutraukti tam tikrus veiksmus ir susilaikyti nuo jų siekiant apginti vartotojų interesus.
2) Pagal šią nuostatą „įstatymai dėl vartotojų apsaugos“ yra:
<…>
11. Nuostatos, kuriomis reglamentuojamas teisėtumas:
a) verslininko vykdomo vartotojo asmens duomenų rinkimo arba
b) verslininko vykdomo surinktų vartotojo asmens duomenų tvarkymo arba naudojimo,
kai duomenys renkami, tvarkomi arba naudojami reklamos, rinkos tyrimų ir viešosios nuomonės apklausos tikslais, informacinės agentūros veiklai, asmeniniam ir naudotojo profiliui kurti, prekybai adresais, kitais duomenimis ar kitais panašiais komerciniais tikslais.“
Telemediengesetz
12. Telemediengesetz (Elektroninės žiniasklaidos įstatymas, toliau – TMG) 2 straipsnio 1 dalies 1 punkte numatyta:
„Šiame įstatyme:
1. paslaugų teikėjas – bet kuris fizinis arba juridinis asmuo, kuris teikia savo arba trečiųjų asmenų elektroninės žiniasklaidos paslaugas arba suteikia galimybę jomis naudotis; <…>“
13. TMG 12 straipsnio 1 dalyje nurodyta: „Teikdamas elektroninę paslaugą paslaugų teikėjas gali rinkti ir naudoti asmens duomenis tik tuo atveju, kai tai leidžiama pagal šį įstatymą ar kitą teisės aktą, aiškiai reglamentuojantį elektroninės žiniasklaidos paslaugas, arba kai naudotojas su tuo sutiko.“
14. TMG 13 straipsnio 1 dalyje nurodyta:
„Prisijungimo operacijos pradžioje paslaugų teikėjas privalo visiems suprantama forma informuoti naudotoją apie asmens duomenų rinkimo ir naudojimo pobūdį, apimtį ir tikslus, taip pat apie jo duomenų tvarkymą valstybėse, kuriose netaikoma [Direktyva 95/46], jei tokia informacija dar nebuvo pateikta. Naudojant automatizuotą procesą, kuris leidžia vėliau atpažinti naudotoją ir paruošia asmens duomenis rinkti ar naudoti, naudotojui būtina apie tai pranešti prieš prasidedant šiam procesui. Tokio pranešimo turinys turi būti bet kuriuo metu prieinamas naudotojui.“
15. TMG 15 straipsnio 1 dalyje nurodyta:
„Paslaugų teikėjas gali rinkti ir naudoti naudotojo asmens duomenis tik tuo atveju, kai tai būtina siekiant suteikti galimybę naudotis elektroninės žiniasklaidos paslaugomis ir atsiskaityti už jas (naudojimosi duomenys). Naudojimosi duomenys visų pirma yra šie:
1. požymiai, padedantys identifikuoti naudotoją;
2. informacija apie naudojimosi pradžią, pabaigą ir trukmę;
3. informacija apie elektroninės žiniasklaidos paslaugas, kuriomis naudotojas naudojosi.“
III. Faktinės aplinkybės, procesas ir prejudiciniai klausimai
16. Fashion ID (toliau – atsakovė) yra internetu prekiaujanti mažmeninės prekybos įmonė. Ji savo interneto svetainėje parduoda mados prekes. Atsakovė savo interneto svetainėje integravo Facebook Ireland Limited (toliau – Facebook Ireland)(4) teikiamą papildinį „Patinka“. Taip Facebook mygtukas, vadinamas „Patinka“, atsirado atsakovės interneto svetainėje.
17. Nutartyje dėl prašymo priimti prejudicinį sprendimą papildomai paaiškinama, kaip veikia (nematoma) papildinio dalis: kai lankytojas patenka į atsakovės interneto svetainę, kurioje yra Facebook mygtukas „Patinka“, lankytojo naršyklė automatiškai siunčia informaciją apie jo IP adresą ir naršyklės eilutę Facebook Ireland. Ši informacija perduodama net nenuspaudus Facebook mygtuko „Patinka“. Iš nutarties dėl prašymo priimti prejudicinį sprendimą taip pat galima spręsti, kad tuo metu, kai yra lankomasi atsakovės interneto svetainėje, Facebook Ireland į naudotojo įrenginį įrašo įvairių rūšių slapukus (seanso, datr ir fr slapukus).
18. Verbraucherzentrale NRW (toliau – ieškovė), vartotojų interesus ginanti asociacija, Landgericht (apygardos teismas, Vokietija) iškėlė bylą atsakovei. Ieškovė prašė įpareigoti atsakovę daugiau nebeintegruoti Facebook socialinio papildinio „Patinka“ savo interneto svetainėje, nes atsakovė tariamai:
– „iki to momento, kai papildinio diegėjas gauna prieigą prie naudotojo IP adreso ir naršyklės eilutės, aiškiai ir pastebimai neinformuoja interneto svetainės naudotojų apie taip perduodamų duomenų rinkimo tikslą ir naudojimą ir (arba)
– kiekvieną kartą iki to momento, kai papildinio diegėjas gauna prieigą, negauna interneto svetainės naudotojo sutikimo, leidžiančio papildinio diegėjui atsekti IP adresą, naršyklės eilutę ir naudoti duomenis, ir (arba)
– neinformuoja naudotojų, kurie išreiškė antrame ieškinio reikalavime nurodytą savo sutikimą apie galimybę bet kada atšaukti šį sutikimą, kai padariniai galioja ateičiai, ir (arba)
– neinformuoja, kad „Jeigu esate socialinio tinklo naudotojas ir nepageidaujate, kad socialinis tinklas rinktų duomenis apie Jus per mūsų interneto svetainę ir susietų juos su socialiniame tinkle išsaugotais naudotojo duomenimis, prieš apsilankydami mūsų interneto svetainėje turite atsijungti iš socialinio tinklo“.
19. Ieškovė teigė, kad Facebook Inc. arba Facebook Ireland išsaugo IP adresą ir naršyklės eilutę ir susieja šiuos duomenis su konkrečiu naudotoju (nariu arba ne nariu). Atsakovė atsakydama nurodo, kad šioje srityje jai trūksta žinių. Facebook Ireland tvirtina, kad IP adresas paverčiamas bendru IP adresu ir išsaugomas tik tokia forma, be to, IP adresas ir naršyklės eilutė nesusiejama su naudotojo paskyromis.
20. Landgericht (apygardos teismas) priėmė atsakovei nepalankų sprendimą dėl pirmų trijų ieškinio pagrindų. Atsakovė pateikė apeliacinį skundą. Ieškovė dėl ketvirtojo ieškinio pagrindo padavė priešpriešinį apeliacinį skundą.
21. Tokiomis faktinėmis ir teisinėmis aplinkybėmis Oberlandesgericht Düsseldorf (Diuseldorfo apeliacinis apygardos teismas) nusprendė pateikti Teisingumo Teismui tokius prejudicinius klausimus:
„1. Ar pagal 1995 m. spalio 24 d. Direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 22, 23 ir 24 straipsniuose nustatytą tvarką draudžiamas nacionalinės teisės aktas, pagal kurį, be duomenų apsaugos institucijų įgaliojimų imtis veiksmų ir suinteresuotojo asmens teisių gynimo priemonių, teisė pareikšti ieškinį vartotojų interesų pažeidėjui suteikiama ne pelno asociacijoms, saugančioms vartotojų interesus?
Jei į pirmąjį klausimą būtų atsakyta neigiamai:
2. Ar tokiu atveju kaip šis, kai asmuo savo interneto svetainėje integruoja programos kodą, nukreipiantį naudotojo naršyklę į trečiosios šalies puslapį atsisiųsti jo turinio, ir taip perduoda asmens duomenis trečiajai šaliai, kodą integruojantis subjektas laikytinas „duomenų valdytoju“, kaip tai suprantama pagal [Direktyvos 95/46] 2 straipsnio d punktą, jeigu šis asmuo pats negali daryti įtakos tokiam duomenų tvarkymo procesui?
3. Jei į antrąjį klausimą būtų atsakyta neigiamai, ar [Direktyvos 95/46] 2 straipsnio d punktas turi būti aiškinamas kaip išsamiai reglamentuojantis atsakomybę ir įsipareigojimus tuo požiūriu, kad pagal jį draudžiama pateikti civilinės teisės ieškinį trečiajai šaliai, kuri, nors ir nėra „duomenų valdytoja“, sukuria sąlygas duomenų tvarkymo procesui, bet įtakos jam neturi?
4. Kieno „teisėtais interesais“ turi būti vadovaujamasi tokioje situacijoje kaip nagrinėjamoji, vertinant aplinkybes pagal [Direktyvos 95/46] 7 straipsnio f punktą? Interesais integruoti trečiosios šalies turinį ar trečiosios šalies interesais?
5. Kam turi būti išreikštas sutikimas pagal [Direktyvos 95/46] 7 straipsnio a punktą ir 2 straipsnio h punktą tokiomis aplinkybėmis, kokios nagrinėjamos šioje byloje?
6. Ar [Direktyvos 95/46] 10 straipsnyje nustatyta pareiga informuoti tokioje situacijoje, kaip nagrinėjama šioje byloje, taip pat tenka interneto svetainės administratoriui, kuris integravo trečiosios šalies turinį ir taip sukūrė sąlygas trečiajam asmeniui tvarkyti asmens duomenis?“
22. Rašytines pastabas pateikė ieškovė, atsakovė, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Šiaurės Reino-Vestfalijos žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas) (toliau – LDI NW), Belgijos, Vokietijos, Italijos, Austrijos, Lenkijos vyriausybės ir Komisija. Žodines pastabas 2018 m. rugsėjo 6 d. surengtame teismo posėdyje pateikė ieškovė, atsakovė, Facebook Ireland, LDI NW, Belgija, Vokietija, Austrija ir Komisija.
IV. Vertinimas
23. Šioje išvadoje laikausi nuomonės, kad Direktyva 95/46 nedraudžiami tokie nacionalinės teisės aktai, pagal kuriuos asociacijai, kuriai pavesta ginti vartotojus (kaip antai ieškovei), suteikiama teisė pareikšti ieškinį tariamam duomenų apsaugos teisės aktų pažeidėjui (A). Taip pat manau, kad atsakovė kartu su Facebook Ireland bendrai laikytinos duomenų valdytojomis, tačiau atsakomybė atsakovei tenka tik konkrečiu duomenų tvarkymo etapu (B). Trečia, manau, kad atliekant Direktyvos 95/46 7 straipsnio f punkte numatytą interesų vertinimą būtina atsižvelgti ne tik į atsakovės, bet ir į Facebook Ireland teisėtus interesus (ir, žinoma, į duomenų subjektų teises) (C). Ketvirta, atsakovei turi būti pareikštas informacija pagrįstas duomenų subjekto sutikimas dėl konkretaus duomenų tvarkymo etapo. Atsakovė taip pat privalo pateikti duomenų subjektui informaciją (D).
A. Nacionalinės teisės aktai, suteikiantys asociacijoms, kurioms pavesta ginti vartotojų interesus, teisę pareikšti ieškinį
24. Pirmuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyva 95/46 draudžiama nacionalinės teisės norma, pagal kurią vartotojų interesų gynimo asociacijoms leidžiama pareikšti ieškinį asmeniui, kuris tariamai pažeidė duomenų apsaugos teisės aktus. Šiuo tikslu prašymą priimti prejudicinį sprendimą pateikęs teismas konkrečiai cituoja Direktyvos 95/46 22–24 straipsnius. Jis pažymi, kad pagal 24 straipsnį nagrinėjami nacionalinės teisės aktai gali būti laikomi „tinkama priemone“. Jis taip pat nurodo, kad Reglamento (ES) 2016/679 (toliau – BDAR)(5), kuriuo pakeista Direktyva 95/46, 80 straipsnio 2 dalyje ši teisė dabar aiškiai suteikiama asociacijoms(6).
25. Atsakovė ir Facebook Ireland tvirtina, kad pagal Direktyvą 95/46 tokioms asociacijoms teisė pareikšti ieškinį nesuteikiama, nes tokia teisė nėra aiškiai numatyta; jų nuomone, Direktyva 95/46 siekiama išsamaus suderinimo. Atsakovės teigimu, jeigu šitaip būtų suteikiama teisė pareikšti ieškinį, kiltų grėsmė priežiūros institucijų nepriklausomumui, nes šios institucijos patirtų viešą spaudimą.
26. Ieškovė, LDI NW ir visos poziciją šioje byloje pareiškusios vyriausybės laikosi nuomonės, kad pagal Direktyvą 95/46 nedraudžiami nagrinėjami teisės aktai.
27. Pritariu tokiai jų pozicijai(7).
28. Manau, iš pradžių svarbu priminti SESV 288 straipsnio trečioje pastraipoje įtvirtintą (pagrindinę) konstitucinę teisės normą: „Direktyva yra privaloma kiekvienai valstybei narei, kuriai ji skirta, rezultato, kurį reikia pasiekti, atžvilgiu, bet nacionalinės valdžios institucijos pasirenka jos įgyvendinimo formą ir būdus.“(8)
29. Taigi, siekdamos įgyvendinti direktyvoje joms nustatytus įpareigojimus, valstybės narės gali imtis visų priemonių, kurias jos laiko tinkamomis, jeigu jos nėra aiškiai draudžiamos pačioje direktyvoje arba jeigu šios priemonės neprieštarauja šios direktyvos tikslams.
30. Direktyvos 95/46 tekste galimybė nacionalinėje teisėje suteikti asociacijoms, kurioms pavesta ginti vartotojų teises, teisę pareikšti ieškinį nėra aiškiai atmesta.
31. Kalbant apie Direktyva 95/46 siekiamus tikslus, vienas iš jų yra „užtikrinti fizinių asmenų pagrindinių teisių ir laisvių, o ypač jų privatumo teisės tvarkant asmens duomenis apsaugą“(9). Be to, Direktyvos 95/46 10 konstatuojamojoje dalyje papildomai nurodoma, kad „derinant šioje srityje taikytinus teisės aktus negali sumažėti šiuose teisės aktuose numatyta apsauga, atvirkščiai – turi būti siekiama užtikrinti aukšto lygio apsaugą visoje Bendrijoje“(10).
32. Iš nutarties dėl prašymo priimti prejudicinį sprendimą galima suprasti, kad Vokietija yra suteikusi teisę tokioms asociacijoms kaip ieškovė pareikšti ieškinį dėl to, ką šios asociacijos laiko neteisėta komercine veikla arba veikla, pažeidžiančia vartotojų apsaugos teisės aktus, kurie apima duomenų apsaugos teisės aktus.
33. Šiomis aplinkybėmis nesuprantu, kaip tokios teisės suteikimas galėtų kaip nors prieštarauti Direktyvos 95/46 tikslams arba silpninti pastangas siekti šių tikslų. Kaip tik atrodo, kad šio pobūdžio teisės suteikimas asociacijoms padeda siekti šių tikslų ir įgyvendinti direktyvą, faktiškai padedant stiprinti duomenų subjektų teises kolektyviniais žalos atlyginimo mechanizmais(11).
34. Taigi manau, kad valstybėms narėms nedraudžiama numatyti teisės normos, pagal kurią tokioms asociacijoms kaip ieškovė, kurioms leidžiančia pareikšti pagrindinėje byloje nagrinėjamą ieškinį, suteikiama teisė pareikšti šį ieškinį, jeigu valstybės narės to pageidauja.
35. Atsižvelgdamas į šį atsakymą, manau, kad šioje byloje išsivysčiusi diskusija dėl to, ar nagrinėjamiems nacionalinės teisės aktams kaip „tinkamai priemonei“ turėtų būti konkrečiai taikomas Direktyvos 95/46 24 straipsnis, ar galbūt 22 straipsnis, šiek tiek nukrypsta nuo reikalo esmės. Jeigu valstybės narės turi įgyvendinti direktyvą tokiais būdais, kurie joms atrodo tinkami, ir šis konkretus įgyvendinimo būdas nėra draudžiamas nei direktyvos tekste, nei pagal jos tikslą ir paskirtį, konkretus direktyvos straipsnis, kuriam gali būti priskiriama konkreti nacionalinė priemonė, neturi didelės reikšmės(12). Vis dėlto „tinkamas priemones užtikrinti, kad šios direktyvos nuostatos būtų visiškai įgyvendintos“ pagal 24 straipsnį, neabejotinai galima būtų aiškinti kaip apimančias tokias nacionalines nuostatas, kurios yra nagrinėjamos šioje byloje.
36. Nemanau, kad šią bendrą išvadą kaip nors pakeistų toliau nurodyti argumentai, kurie buvo aptariami nagrinėjant šią bylą.
37. Pirma, Direktyvos 95/46 iš tiesų nėra Direktyvos 2009/22 I priede pateiktame sąraše. Pastarojoje direktyvoje nustatytos taisyklės, reglamentuojančios ieškinius dėl uždraudimo, kuriuos gali pareikšti vadinamieji „kompetentingi subjektai“, kad būtų stiprinama vartotojų kolektyvinių interesų apsauga(13). I priedo sąraše nurodytos kelios direktyvos, bet Direktyvos 95/46 tarp jų nėra.
38. Vis dėlto, ir kaip teigia Vokietijos vyriausybė, Direktyvos 2009/22 I priede pateikto sąrašo negalima laikyti išsamiu, t. y. tokiu, kuris neleistų nacionalinės teisės aktuose numatyti ieškinių dėl uždraudimo / veiksmų nutraukimo, siejamų su taisyklių, numatytų kitose direktyvose nei išvardytosios Direktyvos 2009/22 I priede, laikymusi. Juo labiau būtų gana keista, jei toks antrinės teisės akte esantis pavyzdinis sąrašas staiga būtų aiškinamas kaip neleidžiantis valstybėms narėms pasirinkti, kaip įgyvendinti direktyvą, kaip numatyta Sutartyje.
39. Antra, norėčiau aptarti atsakovės ir Facebook Ireland argumentą dėl Direktyva 95/46 atlikto išsamaus derinimo, dėl kurio, kaip jos mano, nėra galimi jokie aiškiai nenumatyti veiksmai.
40. Iš tikrųjų Teisingumo Teismas nuosekliai konstatuoja, kad Direktyva 95/46 atliktas derinimas yra ne minimalus, o „iš esmės <…> išsamus“(14). Kartu yra pripažinta, kad ta pati direktyva „valstybėms narėms suteikia veiksmų laisvę tam tikrose srityse“, jeigu yra laikomasi Direktyvos 95/46(15).
41. Kaip jau esu siūlęs kitoje savo išvadoje(16), klausimas, ar ES teisės lygmeniu yra „išsamus derinimas“ (t. y. numatyta teisėkūros pirmenybės teisė, neleidžiant valstybėms narėms imtis jokių teisėkūros veiksmų), negali būti nagrinėjamas bendrai, atsižvelgiant į visą teisės sritį ar direktyvos dalyką. Šis vertinimas turi būti atliekamas atsižvelgiant į kiekvieną konkrečią nagrinėjamos direktyvos nuostatą (tam tikrą teisės normą ar konkretų aspektą).
42. Žvelgiant į konkrečias „procedūrines“ Direktyvos 95/46 nuostatas, kurios yra nagrinėjamos šioje byloje, t. y. 22–24 straipsnius, jos yra suformuluotos labai bendrai(17). Atsižvelgiant į tai, kokios bendros ir abstrakčios yra šios nuostatos, tikrai būtų gana keista sakyti, kad pagal šias nuostatas atsiranda teisėkūros pirmenybė, neleidžiant jokių priemonių, kurių galėtų imtis valstybės narės, bet kurios nėra konkrečiai paminėtos šiuose straipsniuose(18).
43. Trečia, kitas atsakovės argumentas buvo susijęs su grėsme priežiūros institucijų nepriklausomumui(19). Ji iš esmės teigė, kad, jeigu vartotojų asociacijoms būtų leidžiama pareikšti ieškinį, šios asociacijos reikštų ieškinius lygiagrečiai priežiūros institucijos reiškiamiems ieškiniams ir (arba) vietoj jos, dėl to priežiūros institucijai būtų daromas viešas spaudimas ir ji galėtų tapti šališka, ir galiausiai būtų pažeistas direktyvos 28 straipsnio 1 dalyje nustatytas visiško priežiūros institucijų nepriklausomumo reikalavimas.
44. Šis argumentas neturi jokios reikšmės. Net jei tokia priežiūros institucija iš tiesų būtų tikrai nepriklausoma(20), nesuprantu, taip pat kaip Vokietijos vyriausybė, kaip toks ieškinys, kuris yra nagrinėjamas pagrindinėje byloje, galėtų kelti grėsmę jos nepriklausomumui. Asociacija negali užtikrinti teisės įgyvendinimo, t. y. jos nuomonė nėra privaloma priežiūros institucijoms. Ši kompetencija priklauso tik teismams. Vartotojų asociacija, kaip ir bet kuris pavienis vartotojas, gali tik pareikšti ieškinį. Taigi teiginys, kad kiekvienas (privatus) asmens arba vartotojų asociacijos pareikštas ieškinys darytų spaudimą institucijoms, kurioms pavesta (viešai) užtikrinti teisės aktų įgyvendinimą, ir dėl to jam negali būti leidžiama egzistuoti lygiagrečiai su viešo teisės aktų įgyvendinimo užtikrinimo sistema, yra toks keistas, kad vargu ar verta jį toliau analizuoti(21).
45. Galiausiai, ketvirta, nagrinėsiu argumentą, pagal kurį BDAR 80 straipsnio 2 dalis turi būti suprantama kaip pakeičianti (ir ištaisanti priešingai) ankstesnę padėtį, todėl leidžiama tai (asociacijų teisę pareikšti ieškinį), kas nebuvo leidžiama anksčiau.
46. Toks argumentas neįtikina.
47. Svarbu priminti, kad, BDAR pakeitus Direktyvą 95/46, pasikeitė teisės akto, kuriame yra nustatytos taisyklės, pobūdis – vietoj direktyvos priimtas reglamentas. Šis pokytis taip pat reiškė, kad, priešingai direktyvai, kuriai esant valstybės narės gali laisvai pasirinkti, kaip įgyvendinti šio teisėkūros procedūra priimto akto turinį, reglamentą įgyvendinančios nacionalinės teisės normos iš esmės gali būti priimamos tik tada, kai tai yra aiškiai leidžiama.
48. Vertinant šiuo požiūriu, argumentas, kad aiški nuostata dėl asociacijų teisės pareikšti ieškinį, kuri dabar įtraukta į BDAR, reiškia, jog pagal Direktyvą 95/46 ši teisė nebuvo suteikiama, yra abejotinas. Jeigu būtų galima argumentuoti remiantis šiuo supriešinimu(22), tai kaip tik būtų atvirkščiai: jeigu pagal minėtąją direktyvą nebuvo draudžiama numatyti taisyklių, pagal kurias minėta teisė būtų leidžiama (remiantis mano pirmiau nurodytais argumentais), tada pasikeitus teisės akto teisinei formai iš direktyvos į reglamentą atsirastų pagrindas įtraukti tokią nuostatą, siekiant aiškiai nustatyti, kad tokia galimybė tikrai tebeegzistuoja.
49. Taigi, atsižvelgiant į tai, kas išdėstyta pirmiau, mano pirma tarpinė išvada yra ta, kad pagal Direktyvą 95/46 nedraudžiami nacionalinės teisės aktai, kuriuose viešąsias paslaugas teikiančioms asociacijoms suteikiama teisė pareikšti ieškinį tariamam duomenų apsaugos teisės aktų pažeidėjui siekiant apginti vartotojų interesus.
B. Ar Fashion ID yra duomenų valdytoja?
50. Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar atsakovė todėl, kad savo interneto svetainėje integravo papildinį, dėl kurio naudotojo naršyklė atsisiunčia turinį iš trečiosios šalies ir perduoda šiai šaliai asmens duomenis, laikytina „duomenų valdytoj[a]“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, net jei atsakovė negali daryti įtakos duomenų tvarkymo operacijai.
51. Prašymą priimti prejudicinį sprendimą pateikusio teismo klausime nurodytą galimybės daryti įtaką duomenų tvarkymo operacijai nebuvimą suprantu taip, kad šios bylos aplinkybėmis tai nesusiję su šių duomenų perdavimo proceso nulėmimu (ir, vertinant faktiškai, atsakovė tikrai daro įtaką, nes ji integravo nagrinėjamą papildinį). Atrodo, kad tai veikiau susiję su galimu paskesniu duomenų tvarkymu, kurį atlieka Facebook Ireland.
52. Kaip pažymi prašymą priimti prejudicinį sprendimą pateikęs teismas, atsakymas į jo antrąjį klausimą turi reikšmę ne tik šiai bylai ir Facebook Ireland administruojamam socialiniam tinklui. Daugelyje interneto svetainių yra integruotas įvairaus pobūdžio trečiųjų šalių turinys. Jeigu toks asmuo kaip atsakovė būtų laikomas „duomenų valdytoju“, (bendrai) atsakingu už bet kokį (tolesnį) duomenų, renkamų todėl, kad šios interneto svetainės administratorius integravo trečiosios šalies turinį sudarydamas galimybę perduoti šiuos duomenis, tvarkymą, tada toks pareiškimas iš tiesų turėtų didesnį poveikį trečiosios šalies turinio tvarkymo būdui.
53. Atsižvelgiant į šios bylos struktūrą, antrasis klausimas taip pat yra esminis, nusakantis reikalo esmę: jeigu kalbama apie interneto svetainėje integruotą trečiosios šalies turinį, kam konkrečiai tenka atsakomybė ir už ką? Atsakymo į šį klausimą (ne)tikslumas taip pat turi poveikį atsakymui į kitus klausimus dėl teisėtų interesų, sutikimo ir pareigos informuoti.
54. Šioje išvados dalyje pirmiausia pateiksiu kelias įvadines pastabas dėl šiai bylai svarbios asmens duomenų sąvokos (1). Tada apžvelgsiu naujausią Teisingumo Teismo jurisprudenciją, siūlydamas atsakymą į antrąjį klausimą, jeigu į ankstesnius Teisingumo Teismo sprendimus gali būti atsižvelgta, nekeliant papildomų klausimų (2). Tuomet paaiškinsiu, kodėl galbūt vertėtų kelti daugiau klausimų ir šios bylos aplinkybėmis šiek tiek patobulinti analizę (3). Galiausiai, apibrėždamas (bendro) valdymo sąvoką, pabrėšiu, jog svarbu tai, kad (bendri) duomenų valdytojų „tikslai ir būdai“ atitinkamame asmens duomenų tvarkymo etape (duomenų tvarkymo operacija) būtų vienodi (4).
1. Asmens duomenys šioje byloje
55. Reikėtų priminti, kad sąvoka „asmens duomenys“ Direktyvos 95/46 2 straipsnio a punkte apibrėžiama kaip reiškianti „bet kurią informaciją, susijusią su asmeniu (duomenų subjektu)“. Tos pačios direktyvos 26 konstatuojamojoje dalyje šiuo klausimu paaiškinta, kad „norint įvertinti, ar asmens tapatybė gali būti nustatyta, reikėtų atsižvelgti į visas priemones, kuriomis galėtų pasinaudoti duomenų valdytojas ar bet kuris kitas asmuo minėto asmens tapatybei nustatyti“.
56. Teisingumo Teismas jau yra išaiškinęs, kad IP adresas tam tikromis aplinkybėmis gali būti asmens duomenys(23). Teisingumo Teismas dar nurodė, kad šiuo tikslu, norint įvertinti, ar „asmens tapatybė gali būti nustatyta“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio a punktą, „nebūtina, kad [ši informacija] pati savaime leistų nustatyti atitinkamo asmens tapatybę“, ir kad todėl gali prireikti gauti papildomų duomenų. Jis taip pat nurodė, jog „nereikalaujama, kad visą informaciją, leidžiančią nustatyti atitinkamo asmens tapatybę, turėtų vienas asmuo“, jeigu galimybė susieti atitinkamus duomenis „yra priemonė, kuria galima pasinaudoti atitinkamo asmens tapatybei nustatyti“(24).
57. Prašymą priimti prejudicinį sprendimą pateikęs teismas nekalba apie tai, ar IP adresas vienas ar kartu su naršyklės eilute, kuri taip pat perduodama, pagal šiuos kriterijus yra asmens duomenys. Atrodo, kad Facebook Ireland ginčija tokį kvalifikavimą(25).
58. Aišku, kad tokį vertinimą turi atlikti nacionalinis teismas. Apskritai, kalbant apie bet kokį papildinį, kuris gali būti integruojamas, arba bet kokį trečiųjų šalių turinį, tam, kad informacija būtų laikoma asmenine, būtina, jog šie duomenys leistų nustatyti duomenų subjekto tapatybę (tiesiogiai arba netiesiogiai). Šioje byloje laikysiu neginčijama tai, kad, kaip matyti iš prejudicinį sprendimą pateikusio teismo užduodamų klausimų, pagrindinės bylos aplinkybėmis IP adresas ir naršyklės eilutė tikrai yra asmens duomenys ir atitinka Direktyvos 95/46 2 straipsnio a punkto kriterijus, kaip juos yra išaiškinęs Teisingumo Teismas.
2. Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?
59. Dėl atsakymo į antrąjį klausimą atsakovė ir Facebook Ireland nurodo, kad atsakovė negali būti laikoma duomenų valdytoja, nes ji neturi jokios įtakos asmens duomenims, kurie bus tvarkomi. Taigi ja gali būti laikoma tik Facebook Ireland. Kaip papildomą argumentą Facebook Ireland nurodo, kad atsakovė veikia kartu su ja kaip bendra duomenų valdytoja, tačiau tokio asmens kaip atsakovė atsakomybė apribojama faktine jos įtakos zona.
60. Ieškovė, LDI NW ir visos įstojusios į šią bylą vyriausybės, taip pat Komisija iš esmės laikosi vienos pozicijos, kad sąvoka „duomenų valdytojas“ suprantama plačiai ir apima atsakovę. Vis dėlto šios nuomonės dėl tikslios atsakovės atsakomybės apimties labai skiriasi. Šie skirtumai susiję su tuo, ar atsakovė ir Facebook Ireland turėtų būti atsakingos bendrai ir ar jų bendra atsakomybė turėtų apsiriboti tik asmens duomenų tvarkymo etapu, kuriame atsakovė faktiškai dalyvauja, ir ar šiomis aplinkybėmis reikėtų atskirti atsakovės svetainės lankytojus, turinčius Facebook paskyrą, ir šios paskyros neturinčius lankytojus.
61. Pirmiausia yra aišku, kad pagal Direktyvos 95/46 2 straipsnio d punktą sąvoka „duomenų valdytojas“ apima fizinį ar juridinį asmenį, kuris „vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“(26). Taigi duomenų valdytojo sąvoka gali apimti kelis subjektus, dalyvaujančius tvarkant asmens duomenis(27), ir turėtų būti aiškinama plačiai(28).
62. Teisingumo Teismas neseniai nagrinėjo bendro duomenų valdymo sąvoką Sprendime Wirtschaftsakademie Schleswig-Holstein(29). Dėl Facebook gerbėjų tinklalapio administratoriaus vaidmens Teisingumo Teismas konstatavo, kad šis administratorius veikė kaip duomenų valdytojas bendrai su Facebook Ireland, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Taip buvo todėl, kad administratorius kartu su Facebook Ireland prisidėjo prie gerbėjų tinklalapio lankytojų asmens duomenų tvarkymo tikslų ir būdų nustatymo(30).
63. Kalbant konkrečiau, Teisingumo Teismas pažymėjo, kad sukurdamas nagrinėjamą gerbėjų tinklalapį administratorius suteikė Facebook Ireland „galimybę įdiegti slapukus jo gerbėjų tinklalapyje apsilankiusio asmens kompiuteryje arba bet kuriame kitame įrenginyje“, taigi tvarkė asmens duomenis(31). Teisingumo Teismas pažymėjo, „kad gerbėjų tinklalapio sukūrimas Facebook apima veiksmus, kuriais administratorius parenka nustatymus, atsižvelgdamas, be kita ko, į jo tikslinę auditoriją ir į veiklos valdymo ir skatinimo tikslus, o šie nustatymai turi įtakos asmens duomenų tvarkymui, siekiant parengti statistinę informaciją remiantis apsilankymais gerbėjų tinklalapyje“(32). Nagrinėjamas duomenų tvarkymas leido Facebook Ireland „gerinti savo reklamos sistemą“ ir kartu suteikė administratoriui priemonių geriau valdyti savo paties veiklos reklamą, panaudojant anoniminę statistinę informaciją(33).
64. Teisingumo Teismas konstatavo, kad, „parinkdamas nustatymus“, atitinkamas administratorius dalyvavo nustatant jo gerbėjų tinklalapio lankytojų asmens duomenų tvarkymo tikslus ir būdus. Taigi jis turėjo būti laikomas duomenų valdytoju, atsakingu už šį duomenų tvarkymą bendrai su Facebook Ireland (administratoriui tenka „dar svarbesnė“ atsakomybė už asmenų, kurie nėra Facebook Ireland naudotojai, asmens duomenis)(34).
65. Sprendime Jehovan todistajat Teisingumo Teismas pabrėžė dar vieną svarbų patikslinimą dėl bendro duomenų valdytojo sąvokos: kad būtų bendras valdymas ir bendra atsakomybė, nebūtina, kad kiekvienas duomenų valdytojas turėtų prieigą prie (visų) nagrinėjamų asmens duomenų. Taigi religinė bendruomenė taip pat galėtų būti bendra duomenų valdytoja tais atvejais, kai pati bendruomenė neturėjo galimybės gauti nagrinėjamų renkamų duomenų. Toje byloje asmens duomenis fiziškai turėjo pavieniai Jehovos liudytojų bendruomenės nariai. Pakako, kad ši bendruomenė organizavo, koordinavo ir skatino skelbimo veiklą, kurią vykdant buvo renkami asmens duomenys(35).
66. Jei būtų vertinama abstrakčiau ir dėmesys sutelkiamas tik į bendro duomenų valdymo sąvoką, esu priverstas sutikti su tuo, kad, atsižvelgiant į tokią naujausią jurisprudenciją, reikėtų daryti išvadą, kad atsakovė veikia kaip duomenų valdytoja ir kartu su Facebook Ireland yra bendrai atsakinga už duomenų tvarkymą(36).
67. Pirma, atrodo, kad atsakovė, naudodama nagrinėjamą papildinį, sudarė Facebook Ireland galimybę gauti atsakovės interneto svetainės naudotojų asmens duomenis.
68. Antra, tiesa yra tai, kad, priešingai nei Sprendime Wirtschaftsakademie Schleswig-Holstein nurodytas administratorius, atsakovė neparenka jokios informacijos apie jos interneto svetainės naudotojus, kuri jai būtų grąžinta anonimine ar kita forma, nustatymų. Atrodo, kad „nauda“, kurios siekiama, yra nemokama administratoriaus produktų reklama, kuri tariamai yra tada, kai jos interneto svetainės naudotojas nusprendžia nuspausti Facebook mygtuką „Patinka“, kad per savo Facebook paskyrą pasidalytų savo mintimis apie, pavyzdžiui, juodą kokteilinę suknelę. Taigi – jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas patikrins faktines aplinkybes – naudodama papildinį atsakovė gali optimizuoti savo produktų reklamą, galėdama padaryti juos matomus Facebook tinkle.
69. Vertinant kitokiu požiūriu, atsakovę būtų galima laikyti (bendrai) parenkančia renkamų duomenų nustatymus tiesiog todėl, kad ji integruoja nagrinėjamą papildinį į savo interneto svetainę. Numatomų rinkti duomenų nustatymus pateikia pats papildinys. Taigi, savanoriškai integruodama šią priemonę į savo interneto svetainę, atsakovė ima taikyti šiuos nustatymus visiems savo interneto svetainės lankytojams.
70. Trečia, bet kuriuo atveju, atsižvelgiant į Sprendimą Jehovan todistajat, bendras duomenų valdytojas vis vien gali būti laikomas tokiu, net jei jis negauna jokių „bendro darbo vaisių“. Taigi tai, kad atsakovė neturi prieigos prie Facebook perduodamų duomenų ar kad ji mainais negauna jokių specialiai pritaikytų arba apibendrintų statistinių duomenų, neatrodo lemiama.
3. Problemos: kas tuomet nėra bendras duomenų valdytojas?
71. Ar veiksminga apsauga bus sustiprinta, jeigu visi bus atsakingi už jos užtikrinimą?
72. Trumpai tariant, šioje byloje kyla būtent tokia gilesnė moralinė ir praktinė dilema, kurią teisiškai išreiškia (bendro) duomenų valdytojo sąvokos apibrėžties taikymo sritis. Puoselėjant suprantamą siekį užtikrinti veiksmingą asmens duomenų apsaugą, naujausioje Teisingumo Teismo jurisprudencijoje (bendro) duomenų valdytojo sąvoka vienais ar kitais būdais apibrėžiama kaip visa apimanti. Vis dėlto iki šiol Teisingumo Teismui neteko nagrinėti praktinio poveikio, kurį toks visa apimančia apibrėžtimi grindžiamas požiūris turi paskesniems šalių, laikomų bendromis duomenų valdytojomis, tikslių pareigų ir konkrečios atsakomybės etapams. Kadangi šioje byloje yra tokia proga, siūlyčiau ja pasinaudoti, siekiant pateikti kuo tikslesnes apibrėžtis, kurios turėtų būti taikomos (bendro) duomenų valdytojo sąvokai.
a) Dėl pareigos ir atsakomybės
73. Kritiškai vertinant kriterijų, taikomą nustatant „bendrą duomenų valdytoją“, atrodo, kad esminis kriterijus priėmus sprendimus Wirtschaftsakademie Schleswig-Holstein ir Jehovan todistajat yra tai, kad nagrinėjamas asmuo „padarė įmanomą“ asmens duomenų rinkimą ir perdavimą, galbūt tam kažkiek kaip duomenų valdytojas prisidėdamas prie nustatymų (arba bent nebyliai jiems pritardamas)(37). Jei iš tikrųjų yra taip, tuomet, nepaisant aiškiai išreikšto ketinimo šiuo tikslu atmesti tokią galimybę Sprendime Wirtschaftsakademie Schleswig-Holstein(38), sunku suprasti, kodėl įprasti internetinės taikomosios programos, ar tai būtų socialinis tinklas, ar bet kuri kita bendradarbiavimo platforma, taip pat ir kitos programos(39) naudotojai taip pat neturėtų tapti bendrais duomenų valdytojais. Paprastai naudotojas susikuria paskyrą, parinkdamas administratoriui nustatymus, kaip jo paskyra turi būti struktūruojama, kokią informaciją jis pageidauja gauti ir iš ko. Jis taip pat kvies savo draugus, kolegas ir kitus asmenis per taikomąją programą dalytis informacija pateikiant (dažnai gana konfidencialius) asmens duomenis, taigi ne tik teiks duomenis apie šiuos asmenis, bet ir kvies juos pačius dalyvauti, taip aiškiai prisidėdamas prie šių asmenų asmens duomenų gavimo ir tvarkymo.
74. O kaipgi kitos „asmens duomenų grandinės“ šalys? Kalbant apie kraštutinumus, jeigu vienintelis reikšmingas bendro duomenų valdymo kriterijus yra padarymas duomenų tvarkymo įmanomo, taigi prisidėjimas prie šio tvarkymo bet kuriuo etapu, ar tada interneto paslaugų teikėjas, kuris padaro duomenų tvarkymą įmanomą, nes teikia prieigą prie interneto, arba net elektros tiekėjas nebūtų bendri duomenų valdytojai, potencialiai bendrai atsakingi už asmens duomenų tvarkymą?
75. Žinoma, iš karto peršasi neigiamas atsakymas. Problema yra ta, kad atsakomybė kol kas nėra apibrėžiama remiantis plačia duomenų valdytojo sąvoka. Jeigu ši sąvoka bus pernelyg plati, už asmens duomenų tvarkymą gali būti bendrai atsakingi nemažai asmenų.
76. Vis dėlto, priešingai pirmesniame šios išvados skyriuje nurodytoms byloms, šioje byloje prašymą priimti prejudicinį sprendimą pateikusio teismo iškelti klausimai apima ne vien tai, kaip apibrėžti „duomenų valdytoją“. Tenka toliau analizuoti susijusius klausimus dėl Direktyvoje 95/46 numatytų realių įpareigojimų paskirstymo. Patys šie klausimai rodo pernelyg plačios duomenų valdytojo sąvokos apibrėžties problemą, visų pirma jeigu nėra tikslios taisyklės, kokias pareigas ir atsakomybės sritis duomenų valdytojai turi pagal Direktyvą 95/46. Tai gerai parodo suinteresuotųjų šalių pastabos, pateiktos atsakant į 5 ir 6 klausimus, susijusius su tiksliu pareigų paskirstymu.
77. 5 klausimas iš esmės susijęs su tuo, kas turi gauti duomenų subjekto sutikimą ir dėl ko jis turi būti išreikštas. Siūlomi atsakymai į šį klausimą labai skiriasi.
78. Ieškovė ir LDI NW laikosi nuomonės, kad pareiga gauti informacija pagrįstą duomenų subjekto sutikimą tenka atsakovei, nusprendusiai integruoti nagrinėjamą papildinį. Ieškovės nuomone, tai yra dar svarbiau asmenims, kurie nėra Facebook naudotojai ir kurie nėra sutikę su Facebook bendrosiomis sąlygomis. Atsakovė laikosi pozicijos, kad sutikimas turi būti duodamas trečiajai šaliai, teikiančiai integruotą turinį, t. y. Facebook Ireland. Facebook Ireland nuomone, sutikimas neturi būti duodamas konkrečiam adresatui, nes Direktyvoje 95/46 nurodyta tik tiek, kad sutikimas turi būti savanoriškas, konkretus ir duotas žinomai.
79. Austrija, Vokietija ir Lenkija nurodo, kad sutikimas turi būti duotas prieš pradedant tvarkyti asmens duomenis, o Austrijos teigimu, jis turi būti susijęs su duomenų rinkimu ir galimu perdavimu. Lenkija pabrėžia, kad sutikimas turi būti duodamas atsakovei. Vokietijos nuomone, jis turi būti duodamas atsakovei arba trečiajai šaliai, teikiančiai integruotą turinį (Facebook Ireland), nes jos abi yra bendrai atsakingos už duomenų tvarkymą. Atsakovė turi gauti sutikimą tik dėl duomenų perdavimo trečiajai šaliai, nes atsižvelgiant į visą kitą surinktų duomenų tvarkymą ir naudojimą ji jau nebeveikia kaip duomenų valdytoja. Vis dėlto tai nereiškia, kad interneto svetainės administratorius negali gauti sutikimo dėl trečiosios šalies atliekamo duomenų tvarkymo, kuris gali būti reglamentuojamas jų tarpusavio susitarimu. Italija teigia, kad sutikimas turi būti duodamas visiems dalyvaujantiems tvarkant asmens duomenis, būtent atsakovei ir Facebook Ireland. Belgija ir Komisija pabrėžia, kad Direktyvoje 95/46 tiksliai nenurodyta, kam turi būti duodamas sutikimas.
80. Nuomonės panašiai išsiskiria ir dėl to, apie ką kalbama prašymą priimti prejudicinį sprendimą pateikusio teismo 6 klausime, t. y. kam tenka pareiga informuoti pagal Direktyvos 95/46 10 straipsnį, ir dėl to, apie ką tiksliai reikia informuoti.
81. Ieškovės teigimu, būtiną informaciją duomenų subjektui privalo pateikti interneto svetainės administratorius. Atsakovė teigia priešingai, pabrėždama, kad tai Facebook Ireland turi pateikti informaciją, nes atsakovė neturi tikslių žinių. Facebook Ireland taip pat pažymi, kad informavimo pareiga tenka jai, nes ši pareiga yra skirta tik duomenų valdytojui (arba jo atstovui). Ji pažymi, kad atsakymas į 6 klausimą glaudžiai susijęs su tuo, ar interneto svetainės administratorius yra duomenų valdytojas. Iš 10 straipsnio matyti, kad interneto svetainės administratorius neturi būti laikomas duomenų valdytoju, nes pastarasis negali suteikti šios informacijos. LDI NW mano, kad informaciją turi pateikti interneto svetainės administratorius, tačiau pripažįsta, kad sunku nustatyti, kokia informacija turėtų būti teikiama, nes atsakovė nedaro jokios įtakos Facebook Ireland atliekamam duomenų tvarkymui. Atsižvelgiant į tai, kad duomenų tvarkymo tikslai persipina, galima manyti, kad interneto svetainės administratoriui turėtų tekti bendra atsakomybė už tą duomenų tvarkymą, kurį jis padarė įmanomą.
82. Belgija, Italija ir Lenkija nurodo, kad pareiga informuoti taip pat taikoma tokiam interneto svetainės administratoriui kaip nagrinėjamas šioje byloje, jei jis laikytinas duomenų valdytoju. Belgija priduria, kad interneto svetainės administratoriui taip pat gali tekti pareiga patikrinti paskesnio duomenų tvarkymo tikslą ir imtis atitinkamų priemonių užtikrinti fizinių duomenų apsaugą. Vokietijos vyriausybė teigia, kad informavimo pareiga taikoma interneto svetainės administratoriui tiek, kiek jis yra atsakingas už duomenų tvarkymą, t. y. duomenų perdavimą išoriniam integruoto turinio teikėjui, bet ne už visus paskesnius duomenų tvarkymo procesus, už kuriuos atsako šis išorės tiekėjas. Austrijos ir Komisijos nuomone, pareiga pateikti informaciją pagal Direktyvos 95/46 10 straipsnį taikoma ir interneto svetainės administratoriui, ir išorės tiekėjui.
83. Be 5 ir 6 klausimuose keliamų problemų, būtų galima pridurti, kad panašių supratimo sunkumų gali kilti svarstant ir kitus Direktyvoje 95/46 apibrėžtus įpareigojimus, pavyzdžiui, teisę gauti informaciją pagal jos 12 straipsnį. Žinoma, Teisingumo Teismas Sprendime Wirtschaftsakademie Schleswig-Holstein konstatavo, jog „Direktyvoje 95/46 nereikalaujama, kad solidarios kelių ūkio subjektų atsakomybės už tą patį duomenų tvarkymą atveju kiekvienas jų turėtų prieigą prie atitinkamų asmens duomenų“(40). Tačiau logiška, kad duomenų valdytojas, kuris pats neturi prieigos prie duomenų, į kuriuos atsižvelgiant jis vis vien yra laikomas (bendru) duomenų valdytoju, negali suteikti tokios prieigos jokiam duomenų subjektui (jau nekalbant apie visas kitas paskesnes operacijas, pavyzdžiui, ištaisymą arba ištrynimą).
84. Taigi šiuo etapu, nesant aiškaus suvokimo, kas yra tiksliai kokių duomenų valdytojas pradiniame etape, kai kuriais atvejais gali kilti neaiškumų tolesniuose etapuose (kam tenka kokia pareiga), ir tada bendram duomenų valdytojui tampa faktiškai neįmanoma laikytis galiojančių teisės aktų.
85. Žinoma, galima būtų teigti, kad, siekiant tiksliai paskirstyti pareigas (gana dideliam) bendriems valdytojams, turėtų būti sudaromos sutartys. Jose būtų numatytas ne tik pareigų paskirstymas, bet ir nurodoma šalis, kuri turėtų laikytis kiekvienos direktyvoje numatytos pareigos, įskaitant tas pareigas, kurių gali fiziškai laikytis tik viena šalis.
86. Mano požiūriu, toks siūlymas kelia daug problemų. Pirma, atsižvelgiant į tankų tinklą formalių, tipinių sutarčių, kurias tektų pasirašyti bet kuriai šaliai, tikriausiai įskaitant nemažai įprastų naudotojų, jis yra visiškai nerealus(41). Antra, dėl tokio siūlymo galiojančių teisės aktų taikymas ir juose numatytos atsakomybės paskirstymas priklausytų nuo privačių susitarimų, prie kurių trečiosios šalys, siekiančios užtikrinti savo teisių įgyvendinimą, gali neturėti prieigos.
87. Trečia, galbūt iš dalies užbėgant kai kuriems iš šių klausimų už akių, BDAR 26 straipsnyje nustatoma nauja bendros atsakomybės sistema. Žinoma, BDAR ratione temporis netaikytinas šios išvados dalyje aptariamoms byloms ir šiai bylai. Vis dėlto, naujajame teisės akte nesant konkrečios arba sisteminės leidžiančios nukrypti nuostatos, susijusios su atitinkamomis sąvokų apibrėžtimis, ir, atrodo, taip ir yra, nes BDAR 4 straipsnis iš esmės suformuluotas taip pat kaip ir Direktyvos 95/46 2 straipsnis (įtraukiant keletą naujų sąvokų), būtų gana keista, jeigu aiškinant šias svarbias sąvokas, įskaitant duomenų valdytojo sąvoką, duomenų tvarkymą ar asmens duomenis, būtų reikšmingai nukrypta nuo esamos jurisprudencijos (nesant tam tikrai įtikinamo pagrindo).
88. Jeigu taip iš tikrųjų būtų, tuomet BDAR 26 straipsnio 3 dalyje nustatyta bendrų duomenų valdytojų bendros atsakomybės sistema taptų tikru iššūkiu. Viena vertus, BDAR 26 straipsnio 1 dalyje bendriems duomenų valdytojams leidžiama nustatyti „savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių <…> vykdymą“. Kita vertus, BDAR 26 straipsnio 3 dalyje paaiškinama, kad „duomenų subjektas gali naudotis savo teisėmis“ „kiekvieno iš duomenų valdytojų atžvilgiu“, nepaisant jokio tokio susitarimo. Taigi bet kuris iš duomenų valdytojų gali būti laikomas atsakingu už nagrinėjamą duomenų tvarkymą.
b) Platesnis kontekstas
89. Kažkada seniai (mokslinės fantastikos gerbėjai galbūt norėtų pridurti „toli toli, vienoje galaktikoje“) buvo madinga būti socialiniame tinkle. Vėliau palaipsniui tapo nebemadinga būti socialiniame tinkle. Dabar atrodo, kad būti socialiniame tinkle yra nusikaltimas (ir tam turėtų būti numatytos naujos atsakomybės už kitų asmenų veiksmus formos).
90. Negalima neigti, kad teismų praktika formuojama atsižvelgiant į kintančias socialines aplinkybes. Teismų praktika turi reaguoti į šiuos pokyčius, bet neturėtų jų kontroliuoti. Socialinis tinklas, kaip bet kuri kita taikomoji programa ar programėlė, yra įrankis. Kaip peilis ar automobilis, jis gali būti naudojamas keliais būdais. Taip pat nekyla abejonių, kad už naudojimą neteisėtais tikslais turi būti traukiama atsakomybėn. Bet galbūt nebūtų geriausia mintis bausti visus, bet kada panaudojusius peilį. Paprastai baudžiamas tas asmuo ar asmenys, kurie žalos padarymo metu tą peilį kontroliavo.
91. Galbūt galia, kontrolė ir atsakomybė neturi visada tiksliai sutapti, bet tarp jų turėtų būti bent pagrįstas ryšys. Natūralu, kad šiuolaikinėje teisėje yra numatytos įvairios objektyvios atsakomybės formos, ir ši atsakomybė atsiranda jau tada, kai kyla tam tikri rezultatai. Tačiau tai labiau yra pateisinamos išimtys. Jeigu atsakomybė be jokio motyvuoto paaiškinimo būtų priskiriama kažkam, kas visiškai nekontroliavo rezultato, paprastai toks atsakomybės priskyrimas būtų laikomas nepagrįstu arba neteisingu(42).
92. Be to, atsakant į šios išvados dalies pradžioje (71 punkte) iškeltą klausimą, skeptiškas žmogus iš labiau į rytus nutolusių Europos Sąjungos šalių galbūt dėl savo istorinės patirties galėtų manyti, kad veiksminga kažko apsauga labai sumažėja, jeigu už tą kažką tampa atsakingi visi. Jeigu yra atsakingi visi, tai reiškia, kad iš tikrųjų nebus atsakingas niekas. Arba, kitaip tariant, tikėtina, kad vienas asmuo, kuris turėjo būti laikomas atsakingu už tam tikrą veiksmų kryptį ir faktiškai kontroliuojantis padėtį, slėpsis už visų kitų, nominaliai laikomų „bendrai atsakingais“, ir veiksminga apsauga gali gerokai susilpnėti.
93. Galiausiai tinkamas teisės aiškinimas neturėtų duoti tokio rezultato, kad įsipareigojimų adresatai faktiškai negalėtų jų įvykdyti. Taigi nepaverčiant griežtos (bendro) duomenų valdymo sąvokos apibrėžties teismų sukurtu įsakymu visiems dalyviams atsijungti nuo visų socialinių tinklų ir nebenaudoti jokių papildinių ar galbūt kito trečiųjų šalių turinio, apibrėžiant pareigas ir atsakomybę būtina atsižvelgti į realią padėtį, vėlgi turint omenyje žinių ir tikros derybinės galios, taip pat gebėjimo daryti įtaką bet kuriai susijusiai veiklai klausimus(43).
4. Grįžtant prie (teisėkūros) šaknų: tie patys tikslai ir būdai atliekant tam tikrą tvarkymo operaciją
94. Nors Sprendime Wirtschaftsakademie Schleswig-Holstein Teisingumo Teismas laikėsi gana griežto požiūrio į bendro valdymo sąvoką, jis taip pat užsiminė apie poreikį riboti (bendro) duomenų valdytojo atsakomybę. Kalbant konkrečiai, Teisingumo Teismas pažymėjo, „kad bendros atsakomybės buvimas nebūtinai reiškia, kad įvairių su asmens duomenų tvarkymu susijusių ūkio subjektų atsakomybė yra lygiavertė. <…> šie subjektai gali dalyvauti tvarkant duomenis skirtinguose etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas reikšmingas konkretaus atvejo aplinkybes.“(44)
95. Nors Sprendime Wirtschaftsakademie Schleswig-Holstein nagrinėti šio konkretaus klausimo nebuvo reikalo, toks poreikis yra šioje byloje, kurioje prašymą priimti prejudicinį sprendimą pateikęs teismas tiesiogiai prašo Teisingumo Teismo patikslinti galimas atsakovės pareigas, kylančias dėl jos, kaip duomenų valdytojos, statuso.
96. Atsižvelgiant į BDAR 26 straipsnyje naujai nustatytą bendros atsakomybės sistemą, gali būti sunku suprasti, kodėl bendra atsakomybė, esant tam pačiam rezultatui, susijusiam su (ne)teisėtu asmens duomenų tvarkymu, galėtų reikšti nevienodą atsakomybę. Taip visų pirma yra atsižvelgiant į BDAR 26 straipsnio 3 dalį, kurioje, atrodo, linkstama link solidariosios atsakomybės(45).
97. Vis dėlto galvoju, kad svarbiausias yra antrasis Teisingumo Teismo teiginys, t. y. kad „subjektai gali dalyvauti tvarkant duomenis skirtinguose etapuose ir skirtingu mastu“. Tai patvirtina Direktyvoje 95/46 pateiktos sąvokų apibrėžtys, visų pirma i) duomenų tvarkymo sąvokos apibrėžtis 2 straipsnio b punkte ir ii) duomenų valdytojo sąvokos apibrėžtis 2 straipsnio d punkte.
98. Pirma, asmens duomenų tvarkymas – tai „bet kokia su asmens duomenimis automatizuotomis arba neautomatizuotomis priemonėmis atliekama operacija ar operacijos, pavyzdžiui, rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat palyginimas ar sujungimas, blokavimas, ištrynimas ar naikinimas“.
99. Nors duomenų tvarkymo sąvoka, kaip ir duomenų valdytojo sąvoka, yra gana plati(46), joje aiškiai pabrėžiamas duomenų tvarkymo etapas: nurodoma operacija ar operacijos, pateikiant pavyzdinį tokių atskirų operacijų sąrašą. Vis dėlto logiška, kad duomenų valdymo klausimas veikiau turėtų būti vertinamas atsižvelgiant į nagrinėjamą atskirą operaciją, o ne į neapibrėžtą visumą bet ko, kas vadinama duomenų tvarkymu(47).
100. Antra, bendro duomenų valdymo sąvoka Direktyvoje 95/46 konkrečiai neapibrėžta. Vis dėlto logiška, kad ši sąvoka paremta 2 straipsnio d punkte esančia duomenų valdytojo sąvoka: bendras duomenų valdymas yra tada, kai du ar daugiau asmenų kartu nustato asmens duomenų tvarkymo būdus ir tikslus(48). Kitaip tariant, tam, kad du (ar daugiau) asmenų būtų laikomi bendrais duomenų valdytojais, jie turi tvarkyti asmens duomenis tais pačiais tikslais ir būdais.
101. Mano požiūriu, būtent šių dviejų sąvokų apibrėžčių derinys turėtų nulemti bendrų duomenų valdytojų pareigas ir galimą atsakomybę. (Bendras) duomenų valdytojas yra atsakingas už šią operaciją arba operacijas, jei atliekant konkrečią duomenų tvarkymo operaciją jis siekia tų pačių tikslų ir taiko tuos pačius duomenų tvarkymo būdus, taip pat juos bendrai nustato. Bet šis asmuo negali būti laikomas atsakingu už ankstesnius ar paskesnius visos duomenų tvarkymo grandinės etapus, jei tuo etapu jis negalėjo nustatyti duomenų tvarkymo tikslų ar būdų.
102. Šioje byloje atitinkamas duomenų tvarkymo etapas (operacijos) atitinka asmens duomenų rinkimą ir perdavimą naudojant Facebook mygtuką „Patinka“.
103. Pirma, kalbant apie šių operacijų metu naudojamus duomenų tvarkymo būdus, kaip teigia ieškovė, LDI NW ir Vokietijos vyriausybė, atrodo neginčijama, kad atsakovė sprendžia dėl nagrinėjamo papildinio, kaip asmens duomenų rinkimo ir naudojimo priemonės, naudojimo. Šis duomenų rinkimas ir perdavimas prasideda apsilankius atsakovės interneto svetainėje. Minėtą papildinį atsakovei suteikė Facebook Ireland. Taigi atrodo, kad ir Facebook Ireland, ir atsakovė savanoriškai lėmė duomenų rinkimo ir perdavimo etapą, kurį apima duomenų tvarkymas. Žinoma, faktiniu požiūriu tai turi patikrinti nacionalinis teismas.
104. Antra, kalbant apie duomenų tvarkymo tikslą, nutartyje dėl prašymo priimti prejudicinį sprendimą nenurodytos priežastys, dėl kurių atsakovė nusprendė savo interneto svetainėje integruoti Facebook mygtuką „Patinka“. Vis dėlto, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, atrodo, kad šį sprendimą nulėmė noras didinti atsakovės produktų matomumą socialiniame tinkle. Be to, atrodo, kad Facebook Ireland perduodami duomenys naudojami šios bendrovės komerciniais tikslais.
105. Nors konkretus komercinis duomenų panaudojimas gali skirtis, atrodo, kad apskritai ir atsakovė, ir Facebook Ireland siekia bendrų komercinių tikslų, kurie tarsi papildo vienas kitą. Dėl to tikslai yra vienodi, nors ir netapatūs: vienas yra komercinis, o kitas – reklaminis.
106. Taigi, atsižvelgiant į šios bylos aplinkybes, atrodo, kad atsakovė ir Facebook Ireland bendrai sprendžia dėl duomenų tvarkymo būdų ir tikslų nagrinėjamu asmens duomenų rinkimo ir perdavimo etapu. Šiuo aspektu atsakovė veikia kaip duomenų valdytoja, todėl atsakomybė jai tenka bendrai su Facebook Ireland.
107. Be to, manau, kad atsakovė turėtų būti atsakinga tik už tą duomenų tvarkymo etapą, kuriame ji dalyvauja, ir kad jos atsakomybė negali pereiti į jokius paskesnius galimus duomenų tvarkymo etapus, jeigu šie duomenys tvarkomi atsakovei nekontroliuojant ir, atrodytų, apie tai nežinant.
108. Atsižvelgdamas į tai, kas nurodyta pirmiau, darau antrą tarpinę išvadą, kad toks asmuo kaip atsakovė, kuris savo interneto svetainėje integravo trečiosios šalies papildinį, dėl kurio yra renkami ir perduodami naudotojo asmens duomenys (kai ši trečioji šalis suteikia šį papildinį), laikytinas duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Vis dėlto šio duomenų valdytojo (bendra) atsakomybė apsiriboja tik tomis operacijomis, kurias atliekant jis iš tikrųjų bendrai priima sprendimą dėl asmens duomenų tvarkymo būdų ir tikslų.
109. Reikėtų pridurti, kad šia išvada taip pat atsakoma į trečiąjį prejudicinį klausimą. Juo prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar pagal Direktyvą 95/46 draudžiama taikyti atsakovei nacionalinėje teisėje įtvirtintą sąvoką Störer (trikdytojas), jei būtų nustatyta, kad atsakovė negali būti laikoma duomenų valdytoja. Remiantis nutartimi dėl prašymo priimti prejudicinį sprendimą, pagal sąvoką Störer reikalaujama, kad asmuo, kuris pats nepažeidžia teisės normų, tačiau sukelia arba padidina pavojų, kad jas pažeis trečioji šalis, esant tam tikroms aplinkybėms gali būti įpareigotas imtis visų įmanomų ir jo galioje esančių veiksmų, kad užkirstų kelią teisės pažeidimui. Tuo atveju, jeigu atsakovės nebūtų įmanoma laikyti duomenų valdytoja, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad būtinos sąlygos sąvokai Störer taikyti yra įvykdytos, nes, integruodama papildinį Facebook mygtukui „Patinka“, atsakovė bent jau sukėlė pavojų, kad Facebook padarys pažeidimą.
110. Atsižvelgiant į pateiktą atsakymą į antrąjį prejudicinį klausimą, į trečiąjį klausimą atsakyti nereikia. Nustačius, kad pagal Direktyvą 95/46 konkretus asmuo turi būti laikomas duomenų valdytoju, jo, kaip duomenų valdytojo, pareigos turi būti vertinamos atsižvelgiant į šioje direktyvoje apibrėžtus įpareigojimus. Kitaip duomenų valdytojų atsakomybė už konkretų pažeidimą skirtingose valstybėse narėse skirtųsi. Šiuo požiūriu ir atsižvelgiant į duomenų valdytojo sąvokos apibrėžtį Direktyva 95/46 iš tiesų yra atliekamas išsamus derinimas, kiek tai susiję su joje apibrėžtų įpareigojimų adresatais(49).
C. Teisėti interesai, į kuriuos reikia atsižvelgti pagal Direktyvos 95/46 7 straipsnio f punktą
111. Šioje byloje keliamas ketvirtas prejudicinis klausimas susijęs su asmens duomenų tvarkymo teisėtumu nesant duomenų subjekto sutikimo, kaip tai suprantama pagal Direktyvos 95/46 7 straipsnio a punktą.
112. Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo Direktyvos 95/46 7 straipsnio f punktą, pagal kurį asmens duomenų tvarkymas yra teisėtas, „jei tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto <…> teisės ir laisvės yra viršesnės nei šie interesai“. Kalbant konkrečiau, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, į kieno teisėtus interesus turėtų būti atsižvelgiama šioje byloje: atsakovės, integravusios trečiosios šalies turinį, ar šios trečiosios šalies (t. y. Facebook Ireland)(50).
113. Pirmiausia reikėtų pažymėti, kad, kaip mano Komisija, ketvirtasis klausimas neturi reikšmės, nes nagrinėjamu atveju naudotojo sutikimas bet kuriuo atveju turi būti duotas pagal teisės aktus, kuriais įgyvendinama Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (E. privatumo direktyva)(51).
114. Sutinku su Komisija, kad E. privatumo direktyva (kuria pagal jos 1 straipsnio 2 dalį Direktyva 95/46 paaiškinama ir papildoma elektroninių ryšių sektoriuje)(52) taikoma nagrinėjamai situacijai tiek, kiek naudotojo įrenginyje yra įrašomi slapukai(53). Be to, E. privatumo direktyvos 2 straipsnio f punkte ir 17 konstatuojamojoje dalyje sutikimas apibrėžiamas remiantis Direktyvoje 95/46 pateikta sutikimo sąvoka.
115. Dėl to, ar pagrindinėje byloje nagrinėjamu atveju buvo įrašomi slapukai, buvo daug diskutuojama per teismo posėdį. Šią faktinę aplinkybę turi išsiaiškinti nacionalinis teismas. Vis dėlto bet kuriuo atveju, kaip aprašyta nutartyje dėl prašymo priimti prejudicinį sprendimą, prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, perduodami duomenys yra asmens duomenys(54). Taigi neatrodo, kad slapukų klausimas duotų atsakymą į visus šioje byloje kylančius klausimus, susijusius su duomenų tvarkymu(55).
116. Taigi laikausi nuomonės, kad 4 klausimas turi būti apsvarstytas papildomai.
117. Ieškovė nurodo, kad teisėtas interesas, į kurį reikia atsižvelgti, yra atsakovės interesas. Ji priduria, kad nei atsakovė, nei Facebook Ireland negali šioje byloje remtis teisėtu interesu.
118. Atsakovė ir Facebook Ireland iš esmės teigia, kad teisėti interesai, į kuriuos reikia atsižvelgti, yra asmens, integruojančio trečiosios šalies turinį, ir trečiosios šalies interesai, taip pat atsižvelgiant į interneto svetainės lankytojų, kurių pagrindinės teisės gali būti paveiktos, interesus.
119. LDI NW, Lenkija, Vokietija ir Italija mano, kad reikėtų atsižvelgti ir į atsakovės, ir į Facebook Ireland teisėtus interesus, nes abi jos padarė nagrinėjamą duomenų tvarkymą įmanomą. Austrija laikosi panašios nuomonės. Remdamasi Teisingumo Teismo sprendimu Google Spain, Belgija panašiai pažymi, kad reikėtų atsižvelgti į duomenų valdytojo ir trečiųjų šalių, kuriems buvo pateikti nagrinėjami asmens duomenys, teisėtus interesus.
120. Iš pradžių reikėtų priminti, kad, be kitų sąlygų, bet koks asmens duomenų tvarkymas iš esmės turi atitikti vieną iš Direktyvos 7 straipsnyje išvardytų kriterijų, pagal kurį duomenų tvarkymas tampa teisėtas(56).
121. Konkrečiai dėl 7 straipsnio f punkto Teisingumo Teismas priminė, kad šioje nuostatoje nustatytos „trys kumuliacinės sąlygos, kad asmens duomenų tvarkymas būtų teisėtas, t. y., pirma, jei tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (trečiosios šalys), kuriai (kurioms) atskleidžiami duomenys, antra, kai asmens duomenis tvarkyti būtina siekiant įgyvendinti teisėtą interesą, trečia, kai duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės nei šie interesai“(57).
122. Direktyvoje 95/46 „teisėti interesai“ neapibrėžiami ir neišvardijami. Atrodo, kad ši sąvoka yra gana lanksti ir neapibrėžta(58). Nėra tokio intereso, kuris būtų savaime atmetamas, žinoma, jeigu šis interesas yra teisėtas. Kaip buvo iš esmės aptariama per teismo posėdį ir kaip nurodyta pirmiau šioje išvadoje(59), atrodo, kad šioje byloje kalbama apie asmens duomenų rinkimą ir perdavimą siekiant optimizuoti reklamą, nors konkretūs atsakovės ir Facebook Ireland galutiniai tikslai gali būti ir nevisiškai vienodi.
123. Atsižvelgdamas į šiuos svarstymus, sutikčiau, kad rinkodara arba reklama savaime gali būti toks teisėtas interesas(60). Šios bylos aplinkybėmis būtų gana sunku teigti ką kita, nes, be šių bendrų teiginių, konkrečiai nieko nėra žinoma apie tai, kokiais būtent būdais yra naudojami perduodami ir gaunami duomenys.
124. Atsižvelgiant į tai, prašymą priimti prejudicinį sprendimą pateikęs teismas neaptaria ir neprašo pateikti gairių dėl pagrindinėje byloje nurodomų konkrečių teisėtų interesų vertinimo. 4 klausime prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti tik tai, į kieno teisėtus interesus reikėtų atsižvelgti, kad būtų galima atlikti interesų įvertinimą pagal Direktyvos 95/46 7 straipsnio f punktą.
125. Atsižvelgdamas į mano siūlomą atsakymą į antrąjį prejudicinį klausimą, manau, kad reikia atsižvelgti ir į atsakovės, ir į Facebook Ireland teisėtus interesus, nes jos abi yra bendri duomenų valdytojai atitinkamos asmens duomenų tvarkymo operacijos atžvilgiu.
126. Kadangi dėl savo, kaip bendrų duomenų valdytojų, statuso jos taip pat siekia tų pačių asmens duomenų tvarkymo tikslų, turi būti nustatytas jų abiejų teisėto intereso buvimas, bent bendras, kaip paaiškinta pirmiau. Tada šį interesą reikėtų įvertinti atsižvelgiant į duomenų subjektų teises, kaip numatyta Direktyvos 95/46 7 straipsnio f punkte(61), ir šis derinimas iš esmės priklauso „nuo konkrečių kiekvieno atvejo aplinkybių“(62). Primenu, kad duomenų tvarkymui tokiomis aplinkybėmis taip pat turi būti taikoma būtinumo sąlyga(63).
127. Atsižvelgiant į tai, kas nurodyta pirmiau, mano trečioji tarpinė išvada yra tokia, kad, siekiant įvertinti galimybę tvarkyti asmens duomenis Direktyvos 95/46 7 straipsnio f punkte nurodytomis sąlygomis, reikia atsižvelgti į abiejų nagrinėjamų duomenų valdytojų teisėtus interesus ir juos įvertinti atsižvelgiant į duomenų subjektų teises.
D. Atsakovės pareigos dėl gautino duomenų subjekto sutikimo ir jam pateiktinos informacijos
128. Penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia sužinoti, kam šios bylos aplinkybėmis turi būti duotas sutikimas, apie kurį reikia paskelbti pagal Direktyvos 95/46 7 straipsnio a punktą ir 2 straipsnio h punktą.
129. Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia sužinoti, ar pareiga informuoti pagal Direktyvos 95/46 10 straipsnį nagrinėjamu atveju taikoma interneto svetainės administratoriui (kaip antai atsakovei), kuris integravo trečiosios šalies turinį, taigi sudarė šiai trečiajai šaliai galimybę tvarkyti asmens duomenis.
130. Kaip jau buvo nurodyta šioje išvadoje(64), į šiuos klausimus siūloma daug atsakymų. Vis dėlto, nustačius tikslų antrajame klausime aptariamos pareigos pobūdį tiek šios pareigos turėtojo (kas), tiek jos pobūdžio (dėl ko) aspektu ir išsiaiškinus šį klausimą galutiniame etape, atsakymai į penktąjį ir šeštąjį klausimus, kurie susiję su tam tikromis pradiniuose etapuose kylančiomis pareigomis, tampa aiškesni.
131. Pirmiausia manau, kad ir sutikimas, ir pateikiama informacija turi apimti visus duomenų tvarkymo operacijos (-ų), už kurią (-as) bendri duomenų tvarkytojai yra bendrai atsakingi, aspektus, t. y. duomenų rinkimą ir perdavimą. Ir atvirkščiai, šie sutikimo ir informavimo įpareigojimai netaikomi paskesniems duomenų tvarkymo etapams, kuriuose atsakovė nedalyvauja ir kuriems, logiškai mąstant, ji nenustato nei duomenų tvarkymo būdų, nei tikslų.
132. Antra, tokiomis aplinkybėmis būtų galima teigti, kad sutikimas gali būti duotas bet kuriam iš bendrų duomenų valdytojų. Vis dėlto, atsižvelgiant į konkrečią šioje byloje nagrinėjamą situaciją, šis sutikimas turi būti duodamas atsakovei, nes duomenų tvarkymo operacija pradedama būtent tada, kai yra faktiškai apsilankoma jos interneto svetainėje. Jeigu sutikimas būtų duodamas tik tam bendram duomenų valdytojui, kuris į duomenų tvarkymą įsitraukia vėliau (jei apskritai dalyvauja), kai duomenys jau yra surinkti ir perduoti, tai akivaizdžiai neatitiktų veiksmingos ir savalaikės duomenų subjektų teisių apsaugos.
133. Panašus atsakymas turėtų būti pateiktas dėl informavimo pareigos, tenkančios atsakovei pagal Direktyvos 95/46 10 straipsnį. Šioje nuostatoje surašyta būtina informacija, kurią duomenų valdytojas (arba jo atstovas) privalo pateikti duomenų subjektui. Jame nurodyta: duomenų valdytojo (arba jo atstovo) tapatybė, tikslai, dėl kurių ketinama tvarkyti šiuos duomenis, ir bet kuri kita informacija, „kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas“. 10 straipsnyje pateikiama tokios papildomos informacijos pavyzdžių, tarp kurių, kiek tai gali būti svarbu šiai bylai, yra informacija apie duomenų gavėją arba apie teisės susipažinti su duomenimis ir teisės į duomenų apie duomenų subjektą ištaisymą buvimą.
134. Atsižvelgiant į šį sąrašą, atrodo, kad atsakovė tikrai gali pateikti informaciją apie bendrų duomenų valdytojų tapatybę, atitinkamo duomenų tvarkymo etapo (operacijos (-ų), kurią (-as) ji bendrai valdo) tikslą ir apie tai, kad šie duomenys bus perduodami.
135. Vis dėlto, kiek tai susiję su teise susipažinti su duomenimis ir teise į jų ištaisymą, suprantu, kad atsakovė pati neturi tokios prieigos prie Facebook Ireland perduodamų duomenų, nes ji niekaip nedalyvauja saugant duomenis. Taigi, pavyzdžiui, galima teigti, kad dėl šio klausimo reikėtų susitarti su Facebook Ireland.
136. Vis dėlto tokiais pasiūlymais, nepaisant minėtų argumentų(65), ir vėl būtų siekiama išplėsti (bendro) duomenų valdytojo (-ų) pareigas ir atsakomybę, apimant operacijas, už kurias jie nėra atsakingi. Jeigu bendras duomenų valdymas reiškia atsakomybę už tą operaciją (-as), kurios atveju duomenų valdytojų tikslai ir būdai sutampa, tuomet logiška, kad kitų pagal direktyvą kylančių prievolių, kaip antai sutikimo, informavimo, prieigos ar ištaisymo prievolių, apimtis turėtų atitikti šios pradinės prievolės apimtį(66).
137. Komisija taip pat pažymėjo per teismo posėdį, kad tie lankytojai, kurie turi Facebook paskyrą, gali būti anksčiau davę sutikimą dėl tokio duomenų perdavimo. Tai galėtų lemti diferencijuotą atsakovės atsakomybę, nes tikriausiai Komisija siūlo manyti, kad tokiu atveju atsakovės pareiga informuoti ir reikalauti sutikimo būtų taikoma tik tiems atsakovės interneto svetainės lankytojams, kurie nėra Facebook naudotojai.
138. Nesutinku. Man sunku sutikti su tuo, kad šios bylos aplinkybėmis „Facebook naudotojams“ turėtų būti taikomas skirtingas (mažiau apsaugantis) vertinimas, nes jie jau yra sutikę su tuo, kad Facebook gali tvarkyti (visų rūšių) jų asmens duomenis. Iš tiesų toks argumentas reiškia, kad kiekvienas, susikurdamas Facebook paskyrą, iš anksto sutinka su tuo, kad bet kuris trečiasis asmuo, turintis bet kokį ryšį su Facebook, visaip tvarkytų duomenis, susijusius su bet kokia šių „Facebook naudotojų“ veikla internete. Taip yra net tuo atveju, kai nematyti jokių šio duomenų tvarkymo požymių (kaip, atrodo, yra tuo atveju, kai tiesiog apsilankoma atsakovės interneto svetainėje). Kitaip tariant, jeigu būtų pritarta Komisijos siūlymui, tai iš tikrųjų reikštų, kad, susikurdamas Facebook paskyrą, naudotojas faktiškai atsisako bet kokios asmens duomenų apsaugos internete Facebook atžvilgiu.
139. Taigi manau, kad atsakovės atsakomybė ir iš to kylančios sutikimo ir informavimo prievolės duomenų subjektams turėtų būti tokios pačios, neatsižvelgiant į tai, ar jie turi Facebook paskyrą, ar ne.
140. Be to, taip pat yra aišku, kad šis sutikimas turi būti duodamas ir informacija turi būti pateikiama dar prieš renkant ir perduodant duomenis(67).
141. Taigi atsižvelgiant į tai, kas išdėstyta, mano galutinė tarpinė išvada atsakant į penktąjį ir šeštąjį klausimus yra tokia, kad tokiu atveju, kaip nagrinėjamas šioje byloje, duomenų subjekto sutikimas, gautas pagal Direktyvos 95/46 7 straipsnio a punktą, turi būti duodamas interneto svetainės administratoriui, kaip antai atsakovei, kuris integravo trečiosios šalies turinį. Direktyvos 95/46 10 straipsnis turi būti aiškinamas taip, kad pareiga informuoti pagal šią nuostatą taip pat taikoma tokiam interneto svetainės administratoriui. Duomenų subjekto sutikimas pagal Direktyvos 95/46 7 straipsnio a punktą turi būti duotas ir informacija, kaip ji suprantama pagal tos pačios direktyvos 10 straipsnį, turi būti pateikiama prieš renkant ir perduodant duomenis. Vis dėlto šių prievolių apimtis turi atitikti šio administratoriaus bendrą atsakomybę už asmens duomenų rinkimą ir perdavimą.
V. Išvada
142. Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui į Oberlandesgericht Düsseldorf (Diuseldorfo apeliacinis apygardos teismas, Vokietija) pateiktus klausimus atsakyti taip:
– Pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą (95/46/EB) dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo nėra draudžiami nacionalinės teisės aktai, pagal kuriuos viešąsias paslaugas teikiančioms asociacijoms suteikiama teisė pareikšti ieškinį tariamam duomenų apsaugos teisės aktų pažeidėjui siekiant apsaugoti vartotojų interesus.
– Asmuo, savo interneto svetainėje integravęs trečiosios šalies papildinį, dėl kurio yra renkami ir perduodami naudotojo asmens duomenys (kai ši trečioji šalis suteikia papildinį), laikytinas duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Vis dėlto ši (bendra) atsakomybė duomenų valdytojui tenka tik už tas operacijas, kurių atveju jis iš tikrųjų bendrai priima sprendimą dėl asmens duomenų tvarkymo būdų ir tikslų.
– Vertinant galimybę tvarkyti asmens duomenis Direktyvos 95/46 7 straipsnio f punkte nurodytomis sąlygomis, reikia atsižvelgti į abiejų nagrinėjamų bendrų duomenų valdytojų teisėtus interesus ir juos įvertinti atsižvelgiant į duomenų subjektų teises.
– Duomenų subjekto sutikimas, gaunamas pagal Direktyvos 95/46 7 straipsnio a punktą, turi būti duodamas interneto svetainės administratoriui, integravusiam trečiosios šalies turinį. Direktyvos 95/46 10 straipsnis turi būti aiškinamas taip, kad pareiga informuoti pagal šią nuostatą taip pat taikoma tokiam interneto svetainės administratoriui. Duomenų subjekto sutikimas pagal Direktyvos 95/46 7 straipsnio a punktą turi būti duotas ir informacija, kaip ji suprantama pagal tos pačios direktyvos 10 straipsnį, turi būti pateikiama prieš renkant ir perduodant duomenis. Vis dėlto šių prievolių apimtis turi atitikti šio administratoriaus bendrą atsakomybę už asmens duomenų rinkimą ir perdavimą.