ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

М. BOBEK

представено на 19 декември 2018 година(1)

Дело C‑40/17

Fashion ID GmbH & Co.KG

срещу

Verbraucherzentrale NRW e.V.

встъпили страни:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

(Преюдициално запитване, отправено от Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф, Германия)

„Преюдициално запитване — Директива 95/46/ЕО — Защита на личните данни на ползвателите на уебсайтове — Активна процесуална легитимация на сдружение за защита на потребителите — Отговорност на оператор на уебсайт — Предаване на лични данни на трето лице — Интегрирана софтуерна приставка („plug-in“) — Бутон „харесва ми“ на Facebook — Законни интереси — Съгласие на субекта на данни — Задължение за предоставяне на информация“

I.      Въведение

1.        Fashion ID GmbH & Co.KG е онлайн търговец, който продава модни артикули. Същият интегрира софтуерна приставка в своя уебсайт: т.нар. бутон „харесва ми“ на Facebook. В резултат на това, когато даден ползвател посети уебсайта на Fashion ID, информация за IP адреса на ползвателя и стринга на неговия браузър се предава на Facebook. Това предаване става автоматично при зареждане на уебсайта на Fashion ID, независимо дали ползвателят е натиснал бутона „харесва ми“ и независимо дали той има профил във Facebook.

2.        Verbraucherzentrale NRW e.V., германско сдружение за защита на потребителите, предявява иск за преустановяване на нарушение срещу Fashion ID на основание, че използването на тази софтуерна приставка води до нарушаване на законодателството за защита на данните.

3.        Сезираният със спора Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф, Германия) иска тълкуване на няколко разпоредби от Директива 95/46/ЕО (наричана по-нататък „Директива 95/46“)(2). Запитващата юрисдикция иска първо да се установи дали тази директива допуска национално законодателство, което предоставя процесуална легитимация на сдружение на потребителите да предяви иск като разглеждания в главното производство. По същество основният поставен въпрос е дали Fashion ID трябва да се счита за „администратор“ по отношение на обработването на данни и, при положителен отговор, как точно следва да се изпълняват в такъв случай индивидуалните задължения, наложени с Директива 95/46. Чии законни интереси следва да се вземат предвид при претеглянето на интереси съгласно член 7, буква е) от Директива 95/46? Длъжно ли е Fashion ID да уведоми субектите на данни за обработването? Има ли Fashion ID задължение да получи информираното съгласие на субектите на данни в това отношение?

II.    Правна уредба

1.      Правото на Съюза

 Директива 95/46

4.        Целта на Директива 95/46 е определена в член 1. Първият параграф от този член гласи: „В съответствие с настоящата директива държавите членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни“. Съгласно член 1, параграф 2 „[д]ържавите членки не могат нито да ограничават, нито да забраняват свободното движение на лични данни между държавите членки по съображения, свързани със защитата, предоставяна съгласно параграф 1“.

5.        Член 2 съдържа следните определения:

„a)      „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност;

б)      „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;

[…]

г)      „администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или общностни законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на Общността;

[…]

з)      „съгласие на съответното физическо лице“ означава всяко свободно изразено, конкретно и информирано указание за волята на съответното физическо лице, с което то дава израз на своето съгласие за обработка на личните данни, които се отнасят до него“.

6.        Член 7 предвижда критерии за законосъобразност на обработването на данни: „Държавите членки предвиждат, че обработването на лични данни може да се извършва, само ако:

а)      съответното физическо лице е дало недвусмислено своето съгласие за това; или

[…]

е)      обработването е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице, които изискват защита по силата на член 1, параграф 1“.

7.        Член 10 посочва минималната информация, която трябва да бъде предоставена на съответното физическо лице:

„Държавите членки предвиждат, че администраторът или неговият представител трябва да предостави на съответното физическо лице, от което се събират данни, отнасящи се за самия него, най-малкото следната информация, освен в случаите, когато то вече я притежава:

а)      самоличността на администратора или на неговия представител, когато има такъв;

б)      целта на обработването, за което данните са предназначени;

в)      всякаква друга информация, например:

–        получателите или категориите получатели на данни,

–        дали отговорите на въпросите са задължителни или доброволни, както и евентуалните последици при липса на отговор,

–        наличието на право на достъп и на право на поправка на данните, които се отнасят до него,

доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице“.

8.        Глава III от Директива 95/46 се отнася до средства за правна защита, отговорност и санкции. Членове 22—24, които се съдържат в нея, предвиждат следното:

„Член 22

Средства за правна защита

Без това да засяга и да е административно средство за правна защита, което може да бъде предвидено, inter alia, пред надзорния орган, посочен в член 28, преди сезиране на съдебен орган, държавите членки предвиждат правото на всяко лице на правна защита за всяко нарушение на правата, гарантирани от националното право, приложимо към въпросната обработка.

Член 23

Отговорност

1. Държавите членки предвиждат, че всяко лице, което е понесло вреди в резултат на неправомерна операция по обработката или на каквото и да е действие, което е несъвместимо с националните разпоредби, приети съгласно настоящата директива, има право да получи обезщетение от администратора за понесените вреди.

Администраторът може да бъде изцяло или частично освободен от такава отговорност, ако докаже, че не носи отговорност за събитието, довело до причиняване на вредите.

Член 24

Санкции

Държавите членки вземат подходящи мерки, за да гарантират пълното прилагане на разпоредбите на настоящата директива и в частност определят санкциите, които се налагат в случай на нарушаване на разпоредбите, приети в съответствие с настоящата директива“.

2.      Германското право

 Gesetz gegen den unlauteren Wettbewerb

9.        Член 3, параграф 1 от Gesetz gegen den unlauteren Wettbewerb (Закон срещу нелоялната конкуренция, наричан по-нататък „UWG“) забранява незаконните търговски практики.

10.      Член 8, параграф 1 и параграф 3, точка 3 от UWG предвижда, че „компетентните структури“, които фигурират в списъка на Unterlassungsklagengesetz (Закон относно исковете за преустановяване и въздържане от нарушения) или в списъка на Европейската комисия по член 4, параграф 3 от Директива 2009/22/ЕО относно исковете за преустановяване на нарушения с цел защита на интересите на потребителите(3), могат да предявят срещу всяко лице, което извършва незаконна търговска практика, иск за преустановяване на нарушението и за възстановяване на първоначалното положение или иск за преустановяване и въздържане от нарушение.

 Unterlassungsklagengesetz

11.      Член 2, параграф 1 и параграф 2, точка 11 от Unterlassungsklagengesetz (Закон относно исковете за преустановяване и въздържане от нарушения) предвижда:

„(1)      Срещу всяко лице, което нарушава разпоредби, имащи за цел защитата на потребителите (законите в областта на защитата на потребителите), по начин, различен от прилагането или препоръчването на общи условия за продажба, може в интерес на потребителите да се предяви иск за преустановяване на нарушението и за въздържане от действията, съставляващи нарушението, или иск за преустановяване на нарушението и за възстановяване на първоначалното положение.

(2)      По смисъла на тази разпоредба „закони за защита на потребителите“ са по-специално:

[…]

11.      разпоредбите относно критериите за законосъобразност на:

а)      събирането на лични данни за даден потребител от страна на икономически оператор или

b)      обработването или използването на лични данни, събрани за даден потребител от страна на икономически оператор,

когато данните се събират, обработват или използват с рекламна цел, за проучване на пазара и за изследване на общественото мнение, за осъществяване на дейност по събиране на информация, за изготвяне на лични и потребителски профили, за търговия с адреси, за търговия с други данни или за сходни търговски цели“.

 Telemediengesetz

12.      Член 2, параграф 1, точка 1 от Telemediengesetz (Закон за електронните медии, наричан по-нататък „TMG“) предвижда:

„По смисъла на настоящия закон:

1.      „доставчик на услуги“ е всяко физическо или юридическо лице, което държи в готовност за използване собствена или чужда електронна медия или посредничи за предоставянето на достъп за използване на такава медия; […]“.

13.      Член 12, параграф 1 от TMG гласи: „Доставчикът на услуги може да събира и използва лични данни с цел предоставяне на достъп до електронни медии само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, разрешава това или ако ползвателят е дал своето съгласие“.

14.      Член 13, параграф 1 от TMG предвижда:

„В началото на операцията по ползване доставчикът на услуги е длъжен да информира ползвателя по лесно разбираем начин за начина, обхвата и целите на събирането и използването на лични данни, както и за обработването на неговите данни в държави, които не попадат в приложното поле на [Директива 95/46], когато такова информиране все още не е извършено. В случай на извършването на автоматизирана операция, която позволява последващото идентифициране на ползвателя и подготвя събирането или използването на лични данни, ползвателят трябва да бъде информиран в началото на тази операция. Съдържанието на информацията трябва да е винаги достъпно за ползвателя“.

15.      Съгласно член 15, параграф 1 от TMG:

„Доставчикът на услуги може да събира и използва лични данни на ползвател само доколкото е необходимо, за да се даде възможност за и за да се отчете ползването на електронни медии („данни за ползването“). „Данни за ползването“ са по-специално:

1.      признаците за идентифициране на ползвателя,

2.      данните за началото и края на съответното ползване, както и за неговия обхват и

3.      данните за ползваните от ползвателя електронни медии“.

III. Факти, производство и преюдициални въпроси

16.      Fashion ID (наричано по-нататък „ответникът“) е онлайн търговец, който продава модни артикули на своя уебсайт. Ответникът е интегрирал софтуерната приставка „харесва ми“, предоставена от Facebook Ireland Limited (наричано по-нататък „Facebook Ireland“)(4), в уебсайта си. В резултат на това така нареченият бутон „харесва ми“ на Facebook се появява на уебсайта на ответника.

17.      По-нататък, в акта за преюдициално запитване се обяснява как функционира (невидимата) част на софтуерната приставка: когато посетител влезе в уебсайта на ответника, на който е поставен бутонът „харесва ми“ на Facebook, неговият браузър автоматично изпраща на Facebook Ireland информация за IP адреса му и стринга на браузъра му. Предаването на тази информация се осъществява, без да е необходимо натискане на бутона „харесва ми“ на Facebook. От акта за преюдициално запитване също така следва, че при посещение на уебсайта на ответника Facebook Ireland поставя на устройството на ползвателя различни видове т.нар. „бисквитки“ („cookies“) (бисквитка от сесията, datr-бисквитка и fr-бисквитка).

18.      Verbraucherzentrale NRW (наричано по-нататък „жалбоподателят“) — сдружение за защита на потребителите — предявява съдебен иск срещу ответника пред Landgericht (областен съд, Германия). Ищецът иска ответникът да бъде осъден да преустанови интегрирането на софтуерната приставка за споделяне в социална мрежа „харесва ми“ на Facebook, поради това че ответникът:

–        „не е информирал предварително, изрично и ясно потребителите на интернет сайта — до момента, в който доставчикът на софтуерната приставка започва да осъществява достъп до IP адреса на потребителя и до стринга на неговия браузър с цел събиране и използване на разкритите по този начин данни, и/или

–        не e получил предварително съгласието на потребителите на интернет сайта за достъп до IP адреса и до изпращания от браузъра стринг чрез доставчика на софтуерната приставка и за използването на данните, всеки път преди да бъде осъществен съответния достъп, и/или

–        не е информирал предварително потребителите, дали съгласието си по смисъла на второто искане в исковата молба, че могат да оттеглят това съгласие по всяко време с действие за в бъдеще, и/или

–        не е декларирал следното: „[а]ко сте потребител на социална мрежа и не желаете социалната мрежа да събира данни за Вас чрез нашия уебсайт и да ги свързва с Вашите потребителски данни, съхранявани от социалната мрежа, трябва да излезете от тази социална мрежа, преди да посетите нашия уебсайт“.

19.      Ищецът твърди, че Facebook Inc. или Facebook Ireland съхраняват IP адреса и стринга на браузъра и ги свързват с определен потребител (член или не). В отговор ответникът заявява, че не е знаел за това. Facebook Ireland твърди, че IP адресът се преобразува в генеричен IP адрес и се съхранява само в тази форма, както и че не се извършва съпоставяне на IP адреса и на стринга на браузърите с потребителски профили.

20.      Landgericht (Областният съд) се произнася в полза на ищеца по първите три основания. Ответникът обжалва решението. Ищецът подава насрещна въззивна жалба по отношение на четвъртото основание.

21.      В този фактически и правен контекст Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„(1)      Допускат ли разпоредбите на членове 22, 23 и 24 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) национална правна уредба, която наред с правомощията за намеса, с които разполагат органите за защита на данните, и със средствата за правна защита на разположение на заинтересованите лица, предоставя на сдружения с нестопанска цел за защита на интересите на потребителите правомощието да предприемат правни действия срещу нарушителя в случай на нарушения?

При отрицателен отговор на първия въпрос:

(2)      В случай като настоящия, в който лице интегрира в своя уебсайт програмен код, чрез който браузърът на потребителя изисква данни с определено съдържание от трето лице, като за целта предава лични данни на третото лице, следва ли лицето, интегрирало посочения програмен код, да се счита за „администратор“ по смисъла член 2, буква г) от [Директива 95/46], когато това лице няма възможност да влияе върху тази операция по обработване на данни?

(3)      При отрицателен отговор на втория въпрос: трябва ли член 2, буква г) от [Директива 95/46] да се тълкува в смисъл, че урежда изчерпателно отговорността на администратора и нейните основания така, че не допуска ангажирането на гражданската отговорност на трето лице, което, макар да не е „администратор“, създава предпоставките за започване на операцията по обработване на данни, без да има възможност да влияе върху тази операция?

(4)      Чии „законни интереси“ трябва да бъдат взети предвид в положение като разглежданото в случая, когато следва да се извърши претегляне съгласно член 7, буква е) от [Директива 95/46]? Интересът от интегрирането на съдържание на трети лица или интересът на третото лице?

(5)      Пред кого трябва да бъде изразено съгласието, което следва да бъде дадено съгласно член 7, буква а) и член 2, буква з) от [Директива 95/46] в положение като разглежданото в случая?

(6)      В положение като настоящото длъжен ли е операторът на уебсайт, интегрирал в него предоставени от трето лице данни с определено съдържание, с което се създават предпоставки за обработване на лични данни, да предоставя информация в съответствие с член 10 от [Директива 95/46]?“.

22.      Писмени становища представят жалбоподателят, ответникът, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Надзорен орган по защита на данните и свободата на информация на провинция Северен Рейн-Вестфалия, Германия) (наричан по-нататък „LDI NW“), белгийското, германското, италианското, австрийското и полското правителство, както и Комисията. В съдебното заседание от 6 септември 2018 г. са изслушани жалбоподателят, ответникът, Facebook Ireland, LDI NW, Белгия, Германия, Австрия и Комисията.

IV.    Анализ

23.      В настоящото заключение застъпвам становището, че Директива 95/46 допуска национална правна уредба, която предоставя на сдружение за защита на потребителите, като жалбоподателя, процесуална легитимация да предприема правни действия срещу предполагаем нарушител на законодателството за защита на данните (А). Освен това считам, че ответникът е съвместен администратор заедно с Facebook Ireland, но отговорността му се ограничава до определен етап на обработването на данни (Б). Трето, смятам, че претеглянето на интересите, предвидено в член 7, буква е) от Директива 95/46, изисква да се вземат предвид законните интереси не само на ответника, но и на Facebook Ireland (както и, разбира се, правата на субектите на данни) (В). Четвърто, информираното съгласие на субекта на данни за даден етап от обработката на данни трябва да се заяви пред ответника. Ответникът също така е длъжен да предостави информация на субекта на данни (Г).

1.      Национално законодателство, което предоставя процесуална легитимация на сдружения, натоварени със защитата на интересите на потребителите

24.      С първия преюдициален въпрос запитващата юрисдикция по същество иска да се установи дали Директива 95/46 допуска национална правна уредба, която позволява на сдружения за защита на интересите на потребителите да предявят иск срещу лице, за което се твърди, че нарушава законите за защита на данните. В това отношение запитващата юрисдикция се позовава в частност на членове 22—24 от Директива 95/46. Отбелязвам, че разглежданото национално законодателство може да се счита за „подходяща мярка“ по член 24. Освен това запитващата юрисдикция подчертава, че Регламент (ЕС) 2016/679 (наричан по-нататък „ОРЗД“)(5), който заменя Директива 95/46, понастоящем изрично предоставя такова право на сдруженията в член 80, параграф 2(6).

25.      Ответникът и Facebook Ireland твърдят, че Директива 95/46 не допуска процесуална легитимация на тези сдружения, тъй като такава не е изрично предвидена, защото според тях Директива 95/46 цели пълна хармонизация. Според ответника допускането на легитимация по този начин би застрашило независимостта на надзорните органи поради обществения натиск, на който биха били изложени.

26.      Жалбоподателят, LDI NW и всички правителства, които са изразили становище в настоящото производство, споделят мнението, че Директива 95/46 допуска разглежданата правна уредба.

27.      Съгласен съм с последното становище(7).

28.      Според мен е важно още в началото да се припомни основополагащото (по подразбиране) правило, залегнало в член 288, трета алинея ДФЕС, че „[д]ирективата е акт, който обвързва по отношение на постигането на даден резултат от държавите членки, до ко[и]то е адресиран, като оставя на националните власти свобода при избора на формата и средствата“, които гарантират по най-добър начин резултатите, които трябва да бъдат постигнати от директивата(8).

29.      Следователно, за да изпълнят произтичащите от директива задължения, държавите членки разполагат със свободата да приемат всякакви мерки, които счетат за подходящи, стига тези мерки да не са изрично изключени от самата директива или да не са в противоречие с целите на директивата.

30.      Текстът на Директива 95/46 не изключва изрично възможността националното право да предоставя процесуална легитимация на сдружения, чиято задача е защитата на правата на потребителите.

31.      Що се отнася до целите на Директива 95/46, те включват „да осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот, при обработването на лични данни“(9). Освен това съгласно съображение 10 от Директива 95/46 „сближаването на приложимите в тази област национални законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Общността“(10).

32.      От акта за преюдициално запитване става ясно, че Германия е предоставила активна процесуална легитимация на сдружения като жалбоподателя за оспорване на действия, които според тях представляват незаконна търговска практика или практика, която нарушава законите за защита на потребителите, включително законодателството в областта на защитата на данните.

33.      В този контекст не виждам как предоставянето на такава процесуална легитимация изобщо би могло да противоречи на целите на Директива 95/46 или да отслаби усилията за постигане на тези цели. Предоставянето на активна процесуална легитимация на такъв вид сдружение по-скоро подпомага постигането на целите и прилагането на Директивата, като реално допринася за укрепване на правата на субектите на данни чрез средствата за колективна правна защита(11).

34.      Затова считам, че няма пречка, ако държавите членки желаят това, да предвидят правило за процесуалната легитимация на сдруженията като правилото, което допуска жалбоподателят да предяви разглеждания в главното производство иск.

35.      С оглед на този отговор считам, че обсъжданията в хода на настоящото производство, които се съсредоточават върху това дали въпросното национално законодателство попада по-специално в обхвата на член 24 от Директива 95/46 като вид „подходяща мярка“, или е възможно да попада в приложното поле на член 22, донякъде отклоняват вниманието от същественото. Ако от държавите членки се очаква да прилагат дадена директива чрез всякакви способи, които считат за подходящи, и конкретният начин на прилагане не се забранява от текста или целта на директивата, конкретната разпоредба от директивата, която може да се посочи като основание на определена национална мярка, е от второстепенно значение(12). За това, което представлява, обаче, изразът „подходящи мерки, за да гарантират пълното прилагане на разпоредбите на настоящата директива“ в член 24 безспорно може да се тълкува в смисъл, че обхваща национални разпоредби като разглежданите по настоящото дело.

36.      Не мисля, че този общ извод по някакъв начин се разколебава от следните съображения, които бяха обсъдени в хода на настоящото производство.

37.      Първо, вярно е, че Директива 95/46 не е включена в списъка на директивите в Приложение I към Директива 2009/22. Последната определя правила относно исковете за преустановяване на нарушения, които могат да се предявяват от т.нар. „компетентни структури“ с цел да се подобри защитата на колективните интереси на потребителите(13). Списъкът в приложение I включва няколко директиви и Директива 95/46 не е сред тях.

38.      Въпреки това, както твърди германското правителство, списъкът в приложение I към Директива 2009/22 не може да се счита за изчерпателен в смисъл, че не допуска национално законодателство, което предвижда искове за преустановяване на нарушения, свързани със зачитането на правила, съдържащи се в директиви, различни от изброените в приложение I към Директива 2009/22. Би било изненадващо, a fortiori, ако такъв примерен списък в акт от вторичното законодателство изведнъж започне се тълкува в смисъл, че лишава държавите членки от правото сами да избират как да прилагат дадена директива — право, което е предвидено в Договора.

39.      Второ, ще разгледам довода, представен от ответника и от Facebook Ireland, относно постигнатата с Директива 95/46 пълна хармонизация, която според тях изключва всички правни действия, които не са изрично предвидени.

40.      Действително в постоянната си практика Съдът посочва, че хармонизирането, произтичащо от Директива 95/46, не се ограничава до минимално хармонизиране, а стига до хармонизиране, което „по правило е пълно“(14). Същевременно се признава, че същата директива „позволява на държавите членки известна свобода на действие в определени области“ при спазване на Директива 95/46(15).

41.      Както съм посочил на друго място(16), въпросът дали е налице „пълна хармонизация“ на равнището на правото на Съюза (в смисъл на предимство в йерархията на правните норми, изключващо каквито и да било нормотворчески действия от страна на държавите членки), не може да се разглежда общо, по отношение на цяла област на правото или предмет на директива. Вместо това тази преценка следва да се извършва по отношение на всяка отделна разпоредба (определено правило или конкретен аспект) на въпросната директива.

42.      Що се отнася до конкретните „процесуални“ разпоредби на Директива 95/46, които са предмет на разглеждане по настоящото дело, а именно членове 22—24, формулировката им е твърде обща(17). Като се има предвид общият характер и степента на абстрактност на тези разпоредби, наистина би било изненадващо да се твърди, че тези разпоредби пораждат ефект на предимство в йерархията на правните норми, изключвайки всички мерки, които могат да бъдат предприети от държавите членки, но не са изрично споменати в тези членове(18).

43.      Трето, друг приведен от ответника довод се отнася до застрашаването на независимостта на надзорните органи(19). По същество се твърди, че ако се допусне процесуалната легитимация на сдруженията на потребителите, тези сдружения биха предявявали искове успоредно с и/или вместо надзорния орган, което би довело до обществен натиск и пристрастност на надзорния орган и в крайна сметка би било в противоречие с изискването за пълна независимост на надзорните органи, предвидено в член 28, параграф 1 от Директивата.

44.      Този аргумент няма тежест. На първо място, при условие че такъв надзорен орган действително е напълно независим(20), не виждам, също както германското правителство, как иск като разглеждания в главното производство би могъл да застраши неговата независимост. Сдружение не може да прилага закона, като обвързва надзорните органи със своето становище. Това е от изключителната компетентност на съдилищата. Сдружение на потребителите, както и всеки отделен потребител, може единствено да предяви иск. Затова твърдението, че всеки (частноправен) иск, предявен от физическо лице или от сдружение на потребителите, би оказал натиск върху структурите, натоварени с (публично) правоприлагане, и поради това е недопустимо да съществува успоредно със системата на правоприлагане от страна на публичните органи, е толкова странно, че по-нататъшното разглеждане на този довод е безпредметно(21).

45.      Четвърто и последно, ще се спра на довода, че член 80, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че изменя (и обръща) предишното положение, като допуска нещо (процесуална легитимация на сдруженията), което преди това не е било разрешено.

46.      Този довод е неубедителен.

47.      Важно е да се припомни, че с ОРЗД, който заменя Директива 95/46, естеството на правния акт, в който се съдържат правилата, се променя от директива на регламент. Тази промяна също така означава, че за разлика от директивата, при която държавите членки са свободни да избират начина, по който да прилагат съдържанието на посочения законодателен акт, национални правила за прилагане на регламент по принцип могат да се приемат единствено ако това е изрично разрешено.

48.      От тази гледна точка е спорен доводът, че изричната разпоредба относно процесуалната легитимация на сдруженията, която понастоящем се съдържа в ОРЗД, означава, че тази процесуална легитимация е изключена по Директива 95/46. Ако от такова противопоставяне може да се изведе довод(22), той по-скоро би бил обратен: ако предвиждането на правила, които допускат такава процесуална легитимация, не е забранено от последната директива (въз основа на доводите, които представих по-горе), промяната на правната форма от директива на регламент би обосновала включването на такава разпоредба, за да бъде ясно, че тази възможност действително се запазва.

49.      Следователно, с оглед на гореизложеното, първото ми междинно заключение е, че Директива 95/46 допуска национална правна уредба, която предоставя на сдружения с нестопанска цел за защита на потребителите процесуална легитимация да предприемат производства срещу предполагаемия нарушител на законодателството в областта на защитата на данните, за да се защитят интересите на потребителите.

2.      Администратор на данни ли е Fashion ID?

50.      С втория си въпрос запитващата юрисдикция иска да се установи дали ответникът следва да се счита за „администратор на данни“ по смисъла на член 2, буква г) от Директива 95/46, поради това че е интегрирал в своя уебсайт софтуерна приставка, чрез която браузърът на потребителя изисква данни с определено съдържание от трето лице и предава лични данни на третото лице, дори ако ответникът няма възможност да влияе върху тази операция по обработване на данни.

51.      От липсата на възможност да влияе върху операцията по обработване на данните, посочена от запитващата юрисдикция в преюдициалния въпрос, разбирам, че в контекста на настоящото дело това не е свързано с причиняването на процеса на предаване на данните (фактически ответникът явно влияе, тъй като е интегрирал въпросната софтуерна приставка). Изглежда, се отнася по-скоро до възможното последващо обработване на данните от Facebook Ireland.

52.      Както отбелязва запитващата юрисдикция, отговорът на втория въпрос има последици, които надхвърлят рамките на настоящото дело и социалната мрежа, управлявана от Facebook Ireland. Редица уебсайтове интегрират съдържание на трети лица от различно естество. Ако лице като ответника се квалифицира като „администратор“ (съ)отговорен за всяко (последващо) обработване на събраните данни, тъй като този оператор на уебсайт е интегрирал съдържание на трето лице, което позволява предаването на такива данни, то това твърдение действително би имало по-широко отражение върху начина, по който се борави със съдържание на трети лица.

53.      Освен това в рамките на структурата на настоящото дело вторият въпрос е основният въпрос, който стига до същността на проблема: кой носи отговорността и за какво точно в случаите на интегрирано в уебсайт съдържание на трето лице? Освен това (не)точността при отговора на този въпрос влияе върху отговорите на следващите въпроси относно законните интереси, съгласието и задължението за информиране.

54.      В този раздел първо ще направя няколко предварителни бележки относно понятието „лични данни“, което е релевантно за настоящото дело (1). После ще разгледам най-новата практика на Съда и ще дам предложение за отговор на втория въпрос, в случай че предишните решения на Съда могат да се приемат без допълнителни въпроси (2). След това ще обясня защо вероятно са нужни допълнителни въпроси и, в контекста на настоящото дело, анализът би следвало да се детайлизира (3). Ще завърша, като за целите на определението на понятието за (съвместно) администриране ще подчертая значението на единството на „целите и средствата“, което трябва да бъде налице между (съвместните) администратори по отношение на съответния етап от обработката на въпросните лични данни (операция по обработване на данни) (4).

1.      Личните данни в настоящия случай

55.      Следва да се припомни, че понятието „лични данни“ е дефинирано в член 2, буква а) от Директива 95/46 като „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“)“. Съображение 26 от същата директива пояснява в това отношение, че „за да се определи дали едно лице подлежи на идентификация, следва да се разглежда съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице с цел идентифицирането на даденото лице“.

56.      Съдът вече е изяснил, че при определени обстоятелства IP адресът може да съставлява лични данни(23). Съдът посочва още, че за тази цел, за да съществува „подлежащо на идентификация лице“ по смисъла на член 2, буква а) от Директива 95/46, „не е необходимо информацията да позволява сама по себе си да се идентифицира съответното лице“ и следователно може да е нужна допълнителна информация. Освен това Съдът заявява, че „не се изисква цялата информация, която позволява идентифицирането на съответното лице, да трябва да се намира в ръцете на едно-единствено лице“, доколкото възможността за комбиниране на съответните данни „представлява средство, което би могло да бъде използвано разумно за идентифицирането на съответното лице“(24).

57.      Запитващата юрисдикция не разглежда въпроса дали IP адресът, самостоятелно или в комбинация със стринга на браузъра, който също се предава, представлява лични данни по смисъла на тези критерии. Facebook Ireland изглежда оспорва такова квалифициране(25).

58.      Ясно е, че тази преценка е от компетентността на националната юрисдикция. В по-общ план, по отношение на всякакви софтуерни приставки, които могат да бъдат интегрирани, или каквото и да е друго съдържание на трето лице, за да се квалифицира дадена информация като лични данни, е необходимо тези данни да позволяват да се идентифицира съответното лице (пряко или непряко). За целите на настоящото дело приемам, че както следва от въпросите на запитващата юрисдикция, при обстоятелствата по делото в главното производство IP адресът и стрингът на браузъра действително съставляват лични данни и отговарят на уточнените от Съда критерии по член 2, буква а) от Директива 95/46.

2.      Wirtschaftsakademie Schleswig-Holstein locuta, causa finita? [Приключени ли са въпросите с постановяването на решение Wirtschaftsakademie Schleswig-Holstein?]

59.      По отношение на втория въпрос ответникът и Facebook Ireland твърдят, че ответникът не може да се счита за администратор, тъй като той не упражнява влияние върху личните данни, които ще се обработват. Следователно само Facebook Ireland може да се квалифицира като такъв. Като допълнителен довод Facebook Ireland изтъква, че ответникът действа заедно с него като съвместен администратор, но отговорността на лице като ответника се ограничава до зоната на реалното му влияние.

60.      Жалбоподателят, LDI NW и всички правителства, които са встъпили като страни в настоящото производство, както и Комисията по същество споделят мнението, че понятието „администратор“ има широк смисъл и обхваща ответника. Що се отнася обаче до точния обхват на отговорността на ответника, техните мнения значително се различават. Различията се отнасят до въпроса дали ответникът и Facebook Ireland са солидарно отговорни, дали тяхната съвместна отговорност трябва да се ограничи до етапа на обработване на личните данни, в който ответникът реално участва, и дали в този контекст следва да се прави разграничение между посетителите на уебсайта на ответника, които имат профил във Фейсбук, и тези, които нямат такъв.

61.      Като отправна точка е ясно, че съгласно член 2, буква г) от Директива 95/46 понятието „администратор“ се отнася до физическо или юридическо лице, което „сам[о] или съвместно с други определя целите и средствата на обработка на лични данни“(26). Следователно понятието „администратор“ може да се отнася до няколко субекта, участващи в обработването на лични данни(27), и следва да се тълкува широко(28).

62.      Въпросът за съвместното администриране е наскоро разгледан от Съда в решение Wirtschaftsakademie Schleswig-Holstein(29). По отношение на ролята на администратора на фен страница във Фейсбук Съдът се произнася, че този администратор действа като администратор по смисъла на член 2, буква г) от Директива 95/46 съвместно с Facebook Ireland. Това е така, защото администраторът е допринесъл, съвместно с Facebook Ireland, за определянето на целите и средствата за обработването на личните данни на посетителите на фен страницата(30).

63.      По-конкретно Съдът отбелязва, че чрез създаването на въпросната фен страница администраторът дава на Facebook Ireland „възможност да поставя бисквитки на компютъра или друго устройство на лицето, посетило неговата фен страница“, и така да обработва лични данни(31). Съдът изтъква, че „създаването на фен страница във Facebook Ireland изисква от страна на нейния администратор извършването на действия по параметриране — с оглед най-вече на неговата целева аудитория, както и на целите, които си поставя във връзка с управлението и рекламата на своята дейност — които оказват влияние върху обработването на личните данни при изготвянето на статистическата информация за посещенията на фен страницата“(32). Въпросното обработване позволява на Facebook Ireland „да подобри системата си за реклама“ и същевременно предоставя на администратора средствата за по-добро управление на рекламата на собствената му дейност чрез анонимизирана статистическа информация(33).

64.      Съдът стига до извода, че „чрез действията си по параметриране“ въпросният администратор е участвал при определянето на целите и средствата за обработването на личните данни на посетителите на неговата фен страница. Поради това той следва да се счита за администратор, отговарящ за тази обработка съвместно с Facebook Ireland (с „още по-голяма“ отговорност по отношение на личните данни на лицата, които не са ползватели на Facebook Ireland)(34).

65.      В решение Jehovan todistajat Съдът подчертава друго важно пояснение по отношение на понятието за съвместен администратор: за да съществува съвместно администриране и съвместна отговорност, не е задължително всеки от администраторите да има достъп до (всички) съответни лични данни. Следователно една религиозна общност също би могла да бъде съвместен администратор в случаи, в които самата общност очевидно не е имала достъп до съответните събрани данни. В конкретния случай личните данни са били физически на разположение на отделните членове на общността „Свидетели на Йехова“. Достатъчно е било, че проповедническата дейност, в рамките на която очевидно са събирани личните данни, е била организирана, координирана и насърчавана от тази общност(35).

66.      Разглеждайки нещата по-абстрактно и съсредоточавайки се само върху понятието за съвместно администриране, съм длъжен да се съглася, че с оглед на тези неотдавнашни съдебни решения следва да се направи извод, че ответникът действа като администратор и е съвместно отговорен заедно с Facebook Ireland за обработването на данните(36).

67.      Първо, оказва се, че ответникът е дал възможност на Facebook Ireland да получава личните данни на ползвателите на уебсайта на ответника, като е използвал въпросната софтуерна приставка.

68.      Второ, вярно е, че за разлика от администратора в случая по дело Wirtschaftsakademie Schleswig-Holstein, ответникът по никакъв начин не определя параметрите на информацията за ползвателите на неговия уебсайт, която той получава обратно в анонимизиран или друг вид. Очакваната „полза“ е безплатната реклама на неговите продукти, каквато се твърди, че е налице, когато ползвател на неговия уебсайт реши да натисне бутона „харесва ми“ на Facebook, за да сподели чрез своя профил във Facebook мислите си относно например черна коктейлна рокля. По този начин, стига запитващата юрисдикция да потвърди фактите, използването на софтуерната приставка позволява на ответника да оптимизира рекламата на своите продукти, тъй като има възможност да ги направи видими във Facebook.

69.      В противен случай, погледнато от друг ъгъл, може да се твърди, че ответникът (съвместно) определя параметрите на събраните данни, поради простия факт, че интегрира въпросната софтуерна приставка в уебсайта си. Самата софтуерна приставка предоставя параметри на личните данни, които да се събират. Следователно чрез доброволното интегриране на този инструмент в своя уебсайт ответникът задава тези параметри по отношение на всички посетители на уебсайта му.

70.      Трето, в контекста на решение Jehovan todistajat, във всички случаи е възможно квалифицирането на едно лице като съвместен администратор, без то дори да има достъп до „плодовете на съвместните усилия“. Следователно фактът, че ответникът няма достъп до предадените на Facebook данни или че явно не получава обратно целеви или обобщени статистически данни, не е от решаващо значение.

3.      Проблемите: Кой тогава не е съвместен администратор?

71.      Ще се засили ли ефективната защита, ако всеки бъде натоварен с отговорност за осигуряването ѝ?

72.      Накратко, това е по-дълбоката морална и практическа дилема, която настоящият случай разкрива и която намира правно изражение в обхвата на определението за (съвместен) администратор. В желанието да се осигури ефективната защита на личните данни, което е разбираемо, неотдавнашната практика на Съда се оказва силно приобщаваща, когато по един или друг начин се иска дефиниране на понятието за (съвместен) администратор. Досега обаче Съдът не се е изправял пред практическите последици от този толкова широкообхватен подход на дефиниране по отношение на произтичащите от него точни задължения и конкретна отговорност на лицата, които са квалифицирани като съвместни администратори. Тъй като настоящото дело предоставя точно такъв повод, бих препоръчал на Съда да се възползва от него, за да прецизира определенията на понятието за (съвместен) администратор, които трябва да съществуват.

1)      По отношение на задължението и отговорността

73.      Разглеждайки критично приложимия критерий за идентифициране на „съвместен администратор“, ми се струва, че след постановяването на решения Wirtschaftsakademie Schleswig-Holstein и Jehovan todistajat основният критерий е въпросното лице да е „дало възможност“ за събиране и предаване на лични данни, потенциално в съчетание с някакъв принос в определянето на параметрите (или поне мълчаливо да ги е одобрило)(37). Ако наистина е така, то тогава, въпреки ясното намерение за изключване, заявено в този смисъл в решение Wirtschaftsakademie Schleswig-Holstein(38), е трудно да се разбере как обикновените ползватели на онлайн (базирано) приложение, било то социална мрежа или друга платформа за сътрудничество, както и други програми(39), също не биха станали съвместни администратори. Потребителят обикновено създава свой профил, като задава на администратора параметрите за това как да бъде структуриран неговият профил, каква информация, по какви теми и от кого желае да получава. Той също така кани свои приятели, колеги и други лица да споделят чрез приложението информация под формата на лични данни (често с чувствителен характер), като така не само предоставя данни относно тези лица, но и кани самите тях да участват, ясно допринасяйки по този начин за получаването и обработването на личните данни на тези лица.

74.      По-нататък, какво да кажем за другите страни по „веригата на личните данни“? Ако доведем разсъжденията до крайност, в случай че единственият релевантен критерий за съвместно администриране е лицето да е дало възможност за обработването на данни, допринасяйки по този начин на практика за това обработване на всеки етап, няма ли доставчикът на интернет услуги, който прави възможна обработката на данни, защото предоставя достъп до интернет, или дори доставчикът на електроенергия, също да бъдат съвместни администратори, потенциално съвместно отговорни за обработването на лични данни?

75.      Интуитивният отговор, разбира се, е отрицателен. Проблемът е, че очертаването на отговорността до този момент не произтича от широкото определение на понятието „администратор“. Твърде широкият обхват на това определение поражда опасността множество лица да бъдат съвместно отговорни за обработването на лични данни.

76.      За разлика обаче от очертаните в предходния раздел случаи, въпросите на запитващата юрисдикция по настоящото дело не се ограничават само до дефинирането на понятието „администратор“. Те засягат по-подробно и продължават да изследват свързани въпроси относно разпределянето на действителните задължения, наложени с Директива 95/46. Тези въпроси сами по себе си разкриват проблемите, произтичащи от твърде широкото определение на понятието „администратор“, особено в съчетание с липсата на ясно правило за това какви точно са конкретните задължения и отговорности на администраторите по Директива 95/46. Становищата на заинтересованите страни в отговор на въпроси 5 и 6, които се отнасят до точното разпределяне на отговорностите съгласно Директивата, добре илюстрират това.

77.      Въпрос 5 по същество цели да се установи кой следва да получи съгласието на субекта на данните и с каква цел. Предложените отговори на този въпрос значително се различават.

78.      Жалбоподателят и LDI NW са на мнение, че задължението за получаване на съзнателно съгласие от субекта на данните принадлежи на ответника, който е решил да интегрира въпросната софтуерна приставка. Това според жалбоподателя е още по-важно за лицата, които не са потребители на Facebook и не са приели общите условия на Facebook. Според ответника съгласието трябва да бъде дадено пред третото лице, което предоставя интегрираното съдържание, а именно Facebook Ireland. Според Facebook Ireland не е нужно съгласието да бъде изразено пред конкретен адресат, тъй като Директива 95/46 посочва само че съгласието трябва да бъде свободно изразено, конкретно и информирано.

79.      Австрия, Германия и Полша изтъкват, че съгласието трябва да бъде дадено преди обработването на данните, а според Австрия то трябва да се отнася както за събирането, така и за евентуалното предаване на данни. Полша подчертава, че съгласието трябва да се даде пред ответника. Германия счита, че то трябва да се заяви пред ответника или пред третото лице, което предоставя интегрираното съдържание (Facebook Ireland), защото двете лица отговарят съвместно за обработването. Ответникът трябва да получи съгласие само за предаването на данните на третото лице, тъй като по отношение на всички други действия по обработване и използване на събраните данни той вече не действа като администратор. Това обаче не изключва възможността операторът на уебсайта да получи съгласие за обработването на данни от третото лице, като това може да е уредено в споразумение между двете лица. Италия твърди, че съгласието трябва да се даде пред всички, които участват в обработването на личните данни, а именно ответника и Facebook Ireland. Белгия и Комисията подчертават, че Директива 95/46 не посочва на кого трябва да се даде съгласието.

80.      Подобно разнообразие на становища съществува по въпроса кой е субектът на задължението за предоставяне на информация по член 10 от Директива 95/46 и на каква точно информация, поставен с шестия преюдициален въпрос на запитващата юрисдикция.

81.      Според жалбоподателя операторът на уебсайта има задължение да съобщава необходимата информация на субекта на данните. Ответникът застъпва обратната теза, като подчертава, че Facebook Ireland трябва да предостави информацията, тъй като ответникът не разполага с точните знания. По същия начин Facebook Ireland подчертава, че е длъжно да предостави информацията, тъй като това е задължение само на администратора (или на неговия представител). Дружеството отбелязва, че отговорът на въпрос 6 е тясно свързан с това дали операторът на уебсайта е администратор на данни. Член 10 показва, че е неправилно операторът на уебсайта да се квалифицира като администратор, тъй като последният не е в състояние да предостави посочената информация. LDI NW счита, че информацията трябва да бъде предоставена от оператора на уебсайта, но признава, че е трудно да се определи каква информация следва да се предоставя, тъй като ответникът не упражнява влияние върху обработването на данни от Facebook Ireland. Преплитането на целите на обработването на данни предполага, че и операторът на уебсайта следва да носи отговорност за обработването, което е направил възможно.

82.      Белгия, Италия и Полша посочват, че задължението за предоставяне на информация се отнася и за оператора на уебсайта като разглеждания в главното производство, като се има предвид че той е администратор на данни. Белгия добавя, че операторът на уебсайта може също така да е задължен да провери целта на последващото обработване на данни и да предприеме подходящи мерки, за да гарантира защитата на физическите лица. Германското правителство твърди, че задължението за предоставяне на информация се прилага за оператора на уебсайта, доколкото той отговаря за обработването, а именно за предаването на данни на външния доставчик на интегрираното съдържание, но не и за всички последващи етапи по обработка на данни, за които отговаря външният доставчик. Според Австрия и Комисията субекти на задължението за предоставяне на информация по член 10 от Директива 95/46 са операторът на уебсайта и външният доставчик.

83.      Извън проблемите, повдигнати с въпроси 5 и 6, може да се добави, че сходни концептуални трудности могат да възникнат при разглеждането и на други задължения, определени с Директива 95/46, като например правото на достъп по член 12 от същата. Наистина в решение Wirtschaftsakademie Schleswig-Holstein Съдът се произнася, че „Директива 95/46 не изисква при наличие на съвместна отговорност на няколко оператора за една и съща обработка всеки от тях да има достъп до съответните лични данни“(40). Въпреки това е съвсем логично, че администратор, който няма достъп до данни, за които при все това е квалифициран като (съвместен) администратор, не може да предоставя такъв достъп на който и да е субект на данни (още по-малко да извършва други операции, като например коригиране или заличаване).

84.      Следователно на този етап липсата на концептуална яснота нагоре по веригата (кой е администраторът и по отношение на какво точно), която в някои случаи може да доведе до неяснота надолу по веригата (кой на кое задължение е носител), прераства в реална невъзможност потенциален съвместен администратор да съблюдава действащото законодателство.

85.      Разбира се, може да се предположи, че за конкретното разпределяне на отговорностите между (евентуално многобройните съвместни) администратори следва да се сключват договори. Това не само би разпределило отговорността, но и би определило страната, която се очаква да изпълни всяко от задълженията, предвидени в Директивата, включително тези, които физически могат да бъдат упражнявани само от една страна.

86.      Според мен това предположение е дълбоко проблематично. На първо място, то е напълно нереалистично, имайки предвид плетеницата от формални стандартни договори, които ще трябва да се подпишат от най-различни страни, включително най-вероятно и от редица обикновени ползватели(41). На второ място, прилагането на действащо законодателство и разпределението на отговорност, което то предвижда, ще бъде обусловено от частноправни споразумения, до които може да нямат достъп третите страни, които търсят защита на правата си.

87.      Трето, вероятно за да се избегнат частично някои от тези проблеми, в член 26 от ОРЗД се въвежда нов режим на съвместна отговорност. Вярно е, разбира се, че ОРЗД не е приложим ratione temporis към разгледаните в този раздел дела, нито към настоящото дело. Същевременно, освен ако е налице конкретна или системна дерогация в новото законодателство по отношение на релевантните определения, което явно не е така, тъй като член 4 от ОРЗД до голяма степен запазва същите основни термини както член 2 от Директива 95/46 (като същевременно добавя някои нови), би било изненадващо тълкуването на такива основни понятия, включително понятието за администратор, обработване или лични данни, да се отклонява значително (без много сериозна причина) от съществуващата съдебна практика.

88.      Ако случаят действително е такъв, тогава въведеният в член 26, параграф 3 от ОРЗД режим на съвместна отговорност за съвместни администратори може да се превърне в истинско предизвикателство. От една страна, член 26, параграф 1 от ОРЗД позволява съвместните администратори да „определят съответните си отговорности за изпълнение на задълженията“. От друга страна обаче, член 26, параграф 3 от ОРЗД ясно посочва, че „субектът на данни може да упражнява своите права“ „по отношение на всеки и срещу всеки от администраторите“, независимо от всяко такова споразумение. Следователно всеки от съвместните администратори може да носи отговорност за обработването на въпросните данни.

2)      По-общата картина

89.      Много отдавна (феновете на известна научнофантастична поредица сигурно биха желали да добавят „в една много далечна галактика“), беше „яко“ да си част от социална мрежа. След това постепенно започна да бъде „яко“ да не си в социална мрежа. Днес участието в такава се оказва престъпление (за което трябва да бъдат въведени нови форми на отговорност за чужди действия).

90.      Не може да се отрече, че процесът на вземане на съдебни решения се осъществява в динамичен социален контекст. Безспорно този процес трябва да реагира на този контекст, но не и да бъде контролиран от него. Социалната мрежа, както всяко друго приложение или програма, е инструмент. Подобно на нож или автомобил, той може да се използва по множество начини. Освен това несъмнено злоупотребата с него трябва да се преследва от закона. Но може би идеята да се наказва всеки и всички, които някога изобщо са използвали нож, не е най-добрата. Обикновено лицето или лицата, които контролират ножа, биват преследвани, когато с него е причинена вреда.

91.      Следователно трябва да има, ако не винаги пълно съответствие, то поне разумно съотношение между власт, контрол и отговорност. Съвременното право естествено включва различни форми на обективна отговорност, които се задействат със самото настъпване на определен резултат. Но те в повечето случаи са обосновани изключения. Ако без каквито и да било мотиви се вмени отговорност на лице, което не е имало контрол върху резултата, подобно разпределяне на отговорността обикновено се разглежда като необосновано или несправедливо(42).

92.      Освен това, отговаряйки на поставения в началото на настоящия раздел въпрос (точка 71), някой скептик от по-източните части на Европейския съюз вероятно би казал, имайки предвид собствения си исторически опит, че ефективността на защитата обикновено драстично намалява, ако всеки е натоварен с отговорността за нея. Когато отговорността е за всички, на практика отговорен няма. Или по-скоро страната, която е трябвало да понесе отговорността за определени действия — тази, която всъщност упражнява контрол — вероятно ще се скрие зад всички останали привидно „съвместно отговорни“, при което ефективната защита ще бъде значително отслабена.

93.      Накрая, добрият закон (или доброто му тълкуване) не трябва да води до положение, при което предвидените в него задължения не могат на практика да се изпълняват от техните адресати. Следователно, освен ако не се очаква стабилното определение за (съвместно) администриране да се превърне в подкрепена от съда заповед за прекъсване на връзката, приложима за всички участници, и за въздържане от използване на всички социални мрежи, софтуерни приставки и потенциално друго съдържание на трети лица за тази материя, при определянето на задълженията и отговорностите трябва да се държи сметка за реалността, включително (отново) за степента на информираност и действителната преговорна мощ, както и възможността да се влияе върху всяка от въпросните дейности(43).

4.      Обратно към (законодателните) корени: единство на цели и средства по отношение на конкретна операция по обработване

94.      Въпреки доста категоричния си подход към определението за съвместен контрол в решение Wirtschaftsakademie Schleswig-Holstein, Съдът също така споменава необходимостта да се ограничи отговорността на (съвместния) администратор. По-конкретно Съдът отбелязва, „че наличието на съвместна отговорност не се изразява непременно в равна отговорност на различните оператори, свързани с определено обработване на лични данни. […] тези оператори могат да участват на различни етапи от обработването и в различна степен, поради което размерът на отговорността на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства по случая“(44).

95.      Докато в решение Wirtschaftsakademie Schleswig-Holstein не е било необходимо да се разглежда този въпрос, това се налага в настоящия случай, в който запитващата юрисдикция директно приканва Съда да установи евентуалните задължения на ответника, които произтичат от положението му на администратор.

96.      С оглед на наскоро въведената система на съвместна отговорност в член 26 от ОРЗД може би ще е трудно да се предвиди по какъв начин съвместната отговорност може да означава различна по размер отговорност по отношение на същия резултат, във връзка с евентуално (не)законно обработване на лични данни. Това важи по-специално с оглед на член 26, параграф 3 от ОРЗД, който явно насочва към солидарната отговорност(45).

97.      Според мен ключово е второто изявление на Съда, а именно че „оператори[те] могат да участват на различни етапи от обработването и в различна степен“. Това предположение намира подкрепа в съдържащите се в Директива 95/46 определения, по-специално във връзка с определението на i) понятието за обработване в член 2, буква б), и ii) понятието за администратор в член 2, буква г).

98.      Първо, понятието за обработване на лични данни включва „всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване“.

99.      Макар понятието за обработване, подобно на понятието за администратор, да е твърде широко(46), то ясно подчертава и насочва към етап в процеса на обработване: отнася се за операция или набор от операции, като дава примерен списък на възможни отделни операции. Тогава логично въпросът за контрола следва да се преценява по-скоро във връзка със съответната отделна операция, а не във връзка с неопределена съвкупност от всевъзможни действия, наричани „обработване“(47).

100. Второ, понятието за съвместно администриране не е конкретно определено в Директива 95/46. Логично обаче това понятие се извежда от понятието за администратор в член 2, буква г): положението на съвместно администриране възниква, когато две или повече лица определят заедно целите и средствата на обработка на лични данни(48). С други думи, за да се определят две (или повече) лица като съвместни администратори, между тях трябва да е налице идентичност на целите и средствата на обработка на личните данни.

101. Според мен комбинацията от тези две дефиниции трябва да определи задълженията и потенциалната отговорност на съвместните администратори. (Съвместен) администратор отговаря за тази операция или набор от операции, за които споделя или определя съвместно с друг администратор целите и средствата по отношение на дадена операция по обработка. За разлика от това, въпросното лице не може да носи отговорност за предходни или за последващи етапи от цялостната верига на обработка, за които не е било в състояние да определя целите или средствата на съответния етап на обработка.

102. В настоящия случай релевантният етап (операции) на обработка съответства на събирането и предаването на лични данни, което се осъществява чрез бутона „харесва ми“ на Facebook.

103. На първо място, що се отнася до средствата за извършване на тези операции по обработване на данни, изглежда установено — както твърдят жалбоподателят, LDI NW и германското правителство — че ответникът решава относно използването на софтуерната приставка, която служи като средство за събиране и предаване на личните данни. Събирането и предаването се задейства при посещение на уебсайта на ответника. Тази софтуерна приставка е предоставена на ответника от Facebook Ireland. Следователно Facebook Ireland и ответникът доброволно са допуснали етапа на обработване на данни, който включва събиране и предаване. Разбира се, националният съд е компетентен да провери тези факти.

104. На второ място, що се отнася до целта на обработването на данни, в акта за преюдициално запитване не се посочват причините, поради които ответникът е решил да интегрира бутона „харесва ми“ на Facebook в своя уебсайт. Все пак, имайки предвид, че запитващата юрисдикция следва да установи това, решението явно е продиктувано от желанието продуктите на ответника да станат в по-голяма степен видими посредством социалната мрежа. Същевременно става ясно, че данните, предавани на Facebook Ireland, се използват от последното за негови собствени търговски цели.

105. Въпреки факта, че конкретната търговска употреба на данните може да не е еднаква, поначало ответникът и Facebook Ireland, изглежда, преследват търговски цели по взаимно допълващи се начини. Така, макар да липсва идентичност, съществува единство на целите: налице е търговска и рекламна цел.

106. По отношение на фактите по настоящото дело, видно е, че ответникът и Facebook Ireland заедно вземат решенията относно средствата и целите на етапа на събиране и предаване в процеса на обработване на въпросните лични данни. В същата степен ответникът действа като администратор и носи, отново в същата степен, отговорност съвместно с Facebook Ireland.

107. Същевременно считам, че отговорността на ответника трябва да се ограничи до етапа на обработката на данни, в който той участва, и че тя не може да се разпростира по отношение на потенциални последващи етапи на обработка на данни, когато тази обработка се извършва извън контрола, а явно и без знанието на ответника.

108. Следователно в светлината на гореизложеното второто ми междинно заключение е, че лице като ответника, което е интегрирало в своя уебсайт софтуерна приставка на трето лице, чрез която се осъществява събирането и предаването на лични данни на ползвателя (софтуерната приставка е предоставена от третото лице), следва да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46. Въпреки това (съвместната) отговорност на този администратор се ограничава до операциите, за които той реално е участвал в съвместно вземане на решения относно средствата и целите на обработването на личните данни.

109. Следва да се добави, че този извод дава отговор и на третия преюдициален въпрос. С този въпрос запитващата юрисдикция по същество иска да се установи дали Директива 95/46 изключва прилагането на понятието от националното право Störer (лице, отговорно за правонарушение, извършено от другиго) по отношение на ответника, ако се установи, че ответникът не може да се счита за администратор. Съгласно акта за преюдициално запитване понятието Störer изисква лицето, което само' не е нарушило право, но е създало или е увеличило опасността от извършване на правонарушение от трети лица, да вземе всички възможни и зависещи от него мерки, за да предотврати извършването на правонарушение. Запитващата юрисдикция посочва, че ако ответникът не може да се счита за администратор, са налице предпоставките за прилагане на правната фигура Störer, защото с интегрирането на софтуерната приставка за бутона „харесва ми“ на Facebook ответникът най-малкото е създал опасност от извършване на нарушение от страна на Facebook.

110. Предвид отговора на втория въпрос на запитващата юрисдикция, не е необходимо да се отговаря на третия въпрос. След като се установи, че дадено лице следва да бъде квалифицирано като администратор, попадащ в приложното поле на Директива 95/46, задълженията му в качеството на администратор трябва да се преценяват в светлината на задълженията, определени с тази директива. Обратният извод би довел до диференцирана отговорност на администраторите за конкретно правонарушение в различните държави членки. В този смисъл и във връзка с определението за „администратор“ Директива 95/46 всъщност въвежда пълна хармонизация по отношение на адресатите на определените задължения(49).

3.      Законните интереси, които трябва да се вземат предвид съгласно член 7, буква е) от Директива 95/46

111. Четвъртият преюдициален въпрос в настоящото дело се отнася до законосъобразността на обработването на лични данни при липсата на съгласие на субекта на данни по смисъла на член 7, буква а) от Директива 95/46.

112. В това отношение запитващата юрисдикция се позовава на член 7, буква е) от Директива 95/46, според който обработването на лични данни се допуска, когато това е необходимо „за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице […]“. По-конкретно запитващата юрисдикция иска да се установи чии законни интереси следва да се вземат предвид в контекста на настоящото дело: тези на ответника, който е интегрирал съдържание на третото лице, или тези на третото лице (а именно, Facebook Ireland)(50).

113. В самото начало следва да се отбележи, че според Комисията четвъртият въпрос е ирелевантен, тъй като в разглеждания казус съгласието на ползвателя трябва да бъде предоставено във всички случаи по силата на законодателството, с което се транспонира Директива 2002/58/ЕО относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (наричана по-нататък „Директива за правото на неприкосновеност на личния живот и електронни комуникации“)(51).

114. Съгласен съм с Комисията, че Директивата за правото на неприкосновеност на личния живот и електронни комуникации (чиито разпоредби съгласно член 1, параграф 2 от същата конкретизират и допълват Директива 95/46 в сектора на електронните комуникации)(52), изглежда, се прилага за разглеждания случай, доколкото се осъществява поставяне на „бисквитки“ на устройствата на потребителите(53). Освен това член 2, буква е) и съображение 17 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации определят съгласието чрез позоваване на понятието за съгласие в Директива 95/46.

115. Дали се е извършвало поставяне на бисквитки в делото по главното производство беше широко дискутирано в съдебното заседание. Това фактическо уточнение следва да се направи от запитващата юрисдикция. Все пак в крайна сметка, както се посочва в акта за преюдициално запитване, запитващата юрисдикция приема, че предадените данни представляват лични данни(54). Следователно въпросът за бисквитките не дава отговор на всички въпроси, които очевидно възникват по настоящото дело във връзка с обработването на данните(55).

116. Поради това считам, че отговорът на въпрос 4 изисква допълнително разглеждане.

117. Жалбоподателят твърди, че трябва да се вземе предвид законният интерес на ответника. Той добавя, че в настоящото дело нито ответникът, нито Facebook Ireland могат да претендират законен интерес.

118. Ответникът и Facebook Ireland твърдят по същество, че законните интереси, които трябва да бъдат взети предвид, са тези на лицето, което е интегрирало съдържание на трето лице, и тези на самото трето лице, като същевременно се отчитат интересите на посетителите на уебсайта, чиито основни права могат да бъдат засегнати.

119. LDI NW, Полша, Германия и Италия считат, че следва да се вземат предвид законните интереси на ответника и на Facebook Ireland, тъй като и двамата са дали възможност за извършване на въпросното обработване на данни. Австрия е на сходно мнение. Подобно на това, позовавайки се на решение на Съда Google Spain, Белгия подчертава, че трябва да се вземат предвид законните интереси на администратора, както и на третите лица, на които съответните лични данни са били съобщени.

120. Следва да се припомни в самото начало, че всяко обработване на лични данни по принцип трябва да отговаря, наред с други условия, на един от критериите за законосъобразност на обработването на данни, изброени в член 7 от Директива 95/46(56).

121. По-специално по отношение на член 7, буква е) Съдът припомня, че тази разпоредба „предвижда три кумулативни условия, за да бъде обработването на лични данни законосъобразно, а именно, първо, администраторът или третото лице, или третите лица, на които се разкриват данните, да преследват законни интереси, второ, обработването на личните данни да е необходимо за целите на преследваните законни интереси, и трето, основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество“(57).

122. Директива 95/46 не съдържа определение за „законни интереси“, нито ги изброява. Това понятие изглежда доста разтегливо и отворено за тълкувания(58). Не съществува вид интерес, който сам по себе си да е изключен, стига, разбира се, самият той да е законен. Както бе обсъдено по същество в съдебното заседание и както посочих по-горе(59), изглежда, че в случая става въпрос за събирането и предаването на лични данни с цел оптимизиране на рекламата, макар да е възможно конкретните крайни търговски цели на ответника и на Facebook Ireland да не са напълно еднакви.

123. Имайки предвид тези съображения, бих се съгласил, че маркетингът или рекламата могат сами по себе си да представляват такъв законен интерес(60). В контекста на настоящото дело е доста трудно да се твърди нещо повече от това, тъй като липсва конкретна информация относно точните начини, по които са използвани предадените и получени данни, освен тези общи изявления.

124. Предвид казаното, запитващата юрисдикция не разглежда, нито иска указания относно преценката на конкретните законни интереси, изтъкнати в главното производство. С четвъртия си въпрос запитващата юрисдикция иска само да установи чии законни интереси следва да се вземат предвид, така че да може да се извърши претеглянето на интересите съгласно член 7, буква е) от Директива 95/46.

125. В светлината на предложения от мен отговор на въпрос 2 по-горе считам, че трябва да бъдат взети под внимание както законните интереси на ответника, така и тези на Facebook Ireland, тъй като и двамата действат като съвместни администратори по отношение на съответната операция по обработване на лични данни.

126. Доколкото тяхното положение на съвместни администратори предполага, че те също така споделят и целите на обработването на лични данни, наличието на законен интерес трябва да бъде установено по отношение и на двамата, поне в най-общ план, както поясних по-горе. Този интерес следва да бъде претеглен спрямо правата на субектите на данни, както е предвидено в последната част на член 7, буква е) от Директива 95/46(61), като това претегляне „по принцип зависи от обстоятелствата на конкретния случай“(62). Припомням, че обработването на данни при такива обстоятелства също трябва да отговаря на условието за необходимост(63).

127. В светлината на гореизложеното третият ми междинен извод е, че за целите на преценката на възможността да се обработват лични данни при спазване на условията, определени в член 7, буква е) от Директива 95/46, законните интереси и на двамата съвместни администратори трябва да бъдат взети предвид и претеглени спрямо правата на субектите на данни.

4.      Задълженията на ответника във връзка със съгласието, което трябва да бъде получено от субекта на данни, както и информацията, която трябва да бъде предоставена на субекта на данни

128. С въпрос 5 запитващата юрисдикция иска да се установи пред кого трябва да бъде заявено съгласието, което трябва да се даде по член 7, буква а) и член 2, буква з) от Директива 95/46 при обстоятелствата на настоящото дело.

129. С въпрос 6 запитващата юрисдикция иска да се установи дали задължението за предоставяне на информация по член 10 от Директива 95/46 се прилага в разглежданата ситуация по отношение на оператор на уебсайт (като ответника), който е интегрирал съдържанието на трето лице и по този начин е създал предпоставки за обработване на лични данни от страна на същото трето лице.

130. Както се вижда по-горе(64), съществуват множество предложения за отговори на тези въпроси. След като обаче е изяснено точното естество на задължението по въпрос 2, както по отношение на носителя (кой), така и по отношение характера на задължението (за какво), с което въпросът е изяснен нагоре по веригата, отговорите на въпроси 5 и 6, които се отнасят до определени задължения надолу по веригата, стават по-ясни.

131. Преди всичко смятам, че съгласието и предоставената информация трябва да обхващат всички аспекти на операцията (операциите) по обработване на данни, за които съвместните администратори са съвместно отговорни, а именно събирането и предаването. От друга страна, тези задължения, свързани с получаването на съгласие и предоставянето на информация, не важат в последващите етапи на обработката на данни, в които ответникът не участва и за които, логично, той не определя средствата и целите.

132. Второ, при тези условия може да се предположи, че съгласието може да бъде дадено на един от двамата съвместни администратори. Въпреки това, като се има предвид конкретната ситуация, това съгласие трябва да бъде предоставено на ответника, защото всъщност операцията по обработването се задейства при посещение на неговия уебсайт. Очевидно не би било в съответствие с ефективната и навременна защита на правата на субектите на данни съгласието да се дава само пред съвместния администратор, който се включва по-късно (ако изобщо се включва), след като събирането и предаването вече са осъществени.

133. Подобен трябва да е отговорът по отношение на задължението за предоставяне на информация, което ответникът има по член 10 от Директива 95/46. Тази разпоредба определя минимален списък с информация, която администраторът (или неговия представител) трябва да съобщи на субекта на данни. Тя съдържа следните елементи: самоличността на администратора (или на неговия представител), целта на обработването, за което данните са предназначени, както и всякаква друга информация, доколкото е необходима „като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице“. Член 10 посочва примери за такава друга информация, която включва, доколкото може да се окаже релевантна за настоящото дело, информацията за получателите на данни или за наличието на право на достъп и на право на поправка на данните, които се отнасят до субекта на данни.

134. Като се има предвид този списък, ответникът очевидно е в състояние да предостави информация за самоличността на съвместните администратори, за целта на съответния етап на обработка (операцията или операциите, за които извършва съвместно администриране), както и за факта, че тези данни ще бъдат предадени.

135. За разлика от това, що се отнася до правото на достъп и правото на поправка на данните, разбирам, че самият ответник не разполага с такъв достъп до данните, които се предават на Facebook Ireland, тъй като по никакъв начин не участва в съхраняването на данни. Следователно би могло например да се предположи, че този въпрос ще трябва да бъде предмет на споразумение с Facebook Ireland.

136. Но с такива предположения, отвъд изложените по-горе съображения(65), отново се прави опит за разширяване на обхвата на задълженията и отговорността на (съвместен) администратор(и) чрез включване на операции, за които той не е отговорен. Ако съвместното администриране означава отговорност за тези операции, за които е налице единство на целите и средствата сред администраторите, то тогава логично другите произтичащи от това задължения по директивата, като например във връзка със съгласие, информация, достъп или поправка, трябва да съответстват на обхвата на първоначалното задължение(66).

137. В съдебното заседание Комисията отбеляза също така, че посетителите, които имат профил във Facebook, може предварително да са дали съгласието си за такова предаване на данни. Това би могло да доведе до диференцирана отговорност на ответника, като Комисията явно предполага, че в такъв случай задължението на ответника да предоставя информация и да иска съгласието на ползвателя би се прилагало само за лицата, които посещават уебсайта на ответника, без да са ползватели на Facebook.

138. Не съм съгласен с това. Трудно ми е да приема идеята, че с оглед на обстоятелствата по настоящото дело трябва да съществува диференцирано (предоставящо по-слаба защита) третиране по отношение на „ползватели на Facebook“, тъй като те вече са се съгласили с възможността (всякакви и всички) техни лични данни да бъдат обработвани от Facebook. Действително този довод предполага, че при откриването на профил във Facebook ползвателят предварително се съгласява с обработването на данни във връзка с всяка онлайн дейност на тези „ползватели на Facebook“ от страна на трето лице, което има някаква връзка с Facebook. Това е така дори когато няма видими признаци за извършването на такава обработка (какъвто, изглежда, е случаят с обикновено посещение на уебсайта на ответника). С други думи, ако се приеме предложението на Комисията, това на практика би означавало, че като открива профил във Facebook, даден потребител всъщност се отказва от всякаква защита на личните данни онлайн по отношение на Facebook.

139. Затова считам, че отговорността на ответника и произтичащите от нея задължения за получаване на съгласие и предоставяне на информация следва да бъдат еднакви по отношение на всички субекти на данни, независимо от това дали те имат профил във Facebook.

140. Освен това отново е ясно, че съгласието трябва да се даде и информацията трябва да се предостави, преди данните да бъдат събрани и предадени(67).

141. Следователно, предвид гореизложеното, последното ми междинно заключение в отговор на въпроси 5 и 6 е, че в положение като разглежданото по настоящото дело съгласието на субекта на данни, получено в съответствие с член 7, буква а) от Директива 95/46, трябва да бъде предоставено на оператор на уебсайт, какъвто е ответникът, който е интегрирал съдържанието на трето лице. Член 10 от Директива 95/46 трябва се тълкува в смисъл, че задължението за предоставяне на информация по тази разпоредба се прилага и по отношение на този оператор на уебсайт. Съгласието на субекта на данни по член 7, буква а) от Директива 95/46 трябва да бъде дадено и информацията по смисъла на член 10 от същата директива трябва да бъде предоставена преди събирането и предаването на данните. Въпреки това обхватът на тези задължения трябва да съответства на съвместната отговорност на този оператор за събирането и предаването на личните данни.

V.      Заключение

142. Предвид гореизложеното предлагам на Съда да отговори на поставените от Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф, Германия) преюдициални въпроси по следния начин:

„–      Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни допуска национална правна уредба, която предоставя на сдружения с нестопанска цел за защита на потребителите процесуална легитимация да предприемат производства срещу предполагаемия нарушител на законодателството в областта на защитата на данните, за да се защитят интересите на потребителите.

–      Лице, което е интегрирало в своя уебсайт софтуерна приставка на трето лице, чрез която се осъществява събирането и предаването на личните данни на ползвателя (като софтуерната приставка е предоставена от третото лице), следва да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46. Въпреки това (съвместната) отговорност на този администратор се ограничава до операциите, за които той реално е участвал в съвместно вземане на решения относно средствата и целите на обработването на личните данни.

–      За целите на преценката на възможността да се обработват лични данни при спазване на условията, определени в член 7, буква е) от Директива 95/46, законните интереси и на двамата съвместни администратори трябва да бъдат взети предвид и претеглени спрямо правата на субектите на данни.

–      Съгласието на субекта на данни, получено в съответствие с член 7, буква а) от Директива 95/46, трябва да бъде предоставено на оператор на уебсайт, който е интегрирал съдържанието на трето лице. Член 10 от Директива 95/46 трябва се тълкува в смисъл, че задължението за предоставяне на информация съгласно тази разпоредба се прилага и по отношение на този оператор на уебсайт. Съгласието на субекта на данни по член 7, буква а) от Директива 95/46 трябва да бъде дадено и информацията по смисъла на член 10 от същата директива трябва да бъде предоставена преди събирането и предаването на данните. Въпреки това обхватът на тези задължения трябва да съответства на съвместната отговорност на този оператор за събирането и предаването на личните данни“.

1      Език на оригиналния текст: английски.

2      Директива на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)

3      Директива на Европейския парламент и на Съвета от 23 април 2009 година относно исковете за преустановяване на нарушения с цел защита на интересите на потребителите (ОВ L 110, 2009 г., стр. 30).

4      Отбелязвам, че в акта за преюдициално запитване се посочва, че приставката е предоставена на ответника от Facebook Ireland или от Facebook Inc. —дружеството майка на последното, учредено в Съединените американски щати. Става ясно обаче, че в контекста на настоящото дело както пред запитващата юрисдикция, така и в производството пред Съда, възможна отговорност по Директива 95/46 се поема от Facebook Ireland. Затова не виждам основание да разглеждам потенциалната приложимост на Директива 95/46 по отношение на дружеството майка на Facebook Ireland.

5      Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна Директива 95/46 (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1).

6      „Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.

7      За пълнота ще добавя, че макар решение от 28 юли 2016 г., Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), да се отнася до въпрос, свързан с тълкуването на Директива 95/46, възникнал в рамките на национално производство по подаден от сдружение иск, Съдът не е разгледал въпроса за процесуалната легитимация на сдружението по това дело просто защото този конкретен въпрос не е бил поставен.

8      Както се посочва отново например в решения от 23 май 1985 г., Комисия/Германия (C‑29/84, EU:C:1985:229, т. 22), от 14 февруари 2012 г., Flachglas Torgau (C‑204/09, EU:C:2012:71, т. 60) и от 19 април 2018 г., CMR (C‑645/16, EU:C:2018:262, т. 19).

9      Решение от 13 май 2014 г., Google Spain и Google (C‑131/12, EU:C:2014:317, т. 53).

10      Вж. и решение от 16 декември 2008 г., Huber (C‑524/06, EU:C:2008:724, т. 50).

11      Следователно, за разлика от решение от 25 януари 2018 г., Schrems (C‑498/16, EU:C:2018:37), което не предполага никакво прехвърляне на претенции към конкретно физическо лице, и очевидно има ясно правно основание в националното право за това, което изглежда е типово представителство на колективните интереси на потребителите.

12      Или, казано по друг начин, държавите членки ще трябва да уредят и редица други въпроси, особено що се отнася до институционалната структура или процедури, които също няма да са изрично посочени в директива (например, по отношение на принудителното изпълнение на дадено право, не само въпросите на процесуалната легитимация, а например и сроковете за предявяване на иск; съдебните такси (ако има такива); компетентността на съдилищата и др.). Може ли тогава да се твърди и че щом като нито член 22, нито член 24 от Директива 95/46 споменава някой от тези въпроси, държавата членка също не може да урежда тези въпроси в националното право?

13      По смисъла на член 3 от Директива 2009/22.

14      Вж. например решения от 6 ноември 2003 г., Lindqvist (C‑101/01, EU:C:2003:596, т. 96), от 16 декември 2008 г., Huber (C‑524/06, EU:C:2008:724, т. 51), от 24 ноември 2011 г., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 и C‑469/10, EU:C:2011:777, т. 29) и от 7 ноември 2013 г., IPI (C‑473/12, EU:C:2013:715, т. 31).

15      Решение от 6 ноември 2003 г., Lindqvist (C‑101/01, EU:C:2003:596, т. 97).

16      Вж. представеното от мен заключение по дело Дзивев (C‑310/16, EU:C:2018:623, т. 72 и 74).

17      Възпроизведени по-горе в точка 8.

18      Вж. отново дадените примери в бележка под линия 12 по-горе.

19      Които съгласно член 28 от Директива 95/46 отговарят за контрола по прилагането на разпоредбите, приети съгласно тази директива.

20      Относно изисквания от член 28, параграф 1 от Директива 95/46 стандарт вж. решения от 9 март 2010 г., Комисия/Германия (C‑518/07, EU:C:2010:125, т. 18–30), и от 16 октомври 2012 г., Комисия/Австрия (C‑614/10, EU:C:2012:631, т. 41—66).

21      По аналогия с друга правна област, би ли застрашило също така независимостта на (националните) органи по конкуренция прилагането на правото в областта на конкуренцията от страна на частноправни субекти? Вж. решения от 20 септември 2001 г., Courage и Crehan (C‑453/99, EU:C:2001:465, т. 26—27 и т. 29) и от 13 юли 2006 г., Manfredi и др. (C‑295/04–C‑298/04, EU:C:2006:461, т. 59 и 60). Вж. също съображение 5 от Директива 2014/104/ЕС на Европейския парламент и на Съвета от 26 ноември 2014 година относно някои правила за уреждане на искове за обезщетение за вреди по националното право за нарушения на разпоредбите на правото на държавите членки и на Европейския съюз в областта на конкуренцията (ОВ L 349, 2014 г., стр. 1).

22      В по-общ план (независимо от конкретния въпрос за промяната на правната форма), как се отразява върху тълкуването на законодателен акт фактът, че законодателят е включил в последващ законодателен акт нещо, което липсва в предишни актове, уреждащи същата материя? Може да се окаже, че този принцип „поначало е присъствал“ в предишния акт и сега само се изяснява. Това обаче може също така да означава, че именно поради отсъствието на тази разпоредба в предходния акт, новият акт представлява изменение. С оглед на честата и спорна (зло)употреба с довода „винаги е съществувало, просто сега вече е изрично“, който на практика води до прилагане на новото правило назад във времето, надхвърляйки неговия времеви обхват, с този тип доводи следва да се борави внимателно, ако изобщо се използват.

23      Относно динамичните IP адреси вж. решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779, т. 33 и сл.). Вж. и решение от 24 ноември 2011 г., Scarlet Extended (C‑70/10, EU:C:2011:771, т. 51).

24      Решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779, т. 41—45).

25      Точка 19 по-горе.

26      Курсивът е мой.

27      Решения от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 29), и от 10 юли 2018 г., Jehovan todistajat (C‑25/17, EU:C:2018:551, т. 65).

28      Вж. решения от 13 май 2014 г., Google Spain и Google (C‑131/12, EU:C:2014:317, т. 34), и от 10 юли 2018 г., Jehovan todistajat (C‑25/17, EU:C:2018:551, т. 66).

29      Решение от 5 юни 2018 г. (C‑210/16, EU:C:2018:388).

30      Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 39).

31      Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 35).

32      Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 36).

33      Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 34 и 38).

34      Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 39 и 41).

35      Решение от 10 юли 2018 г. (C‑25/17, EU:C:2018:551, т. 68—72).

36      Както предлага генералният адвокат Bot в заключението си по дело Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, т. 66—72).

37      Очевидно аналогията с правилата за защита на потребителите, според които „непрофесионалната“ страна в преговорите следва да има истинско участие в договарянето на условията, не е приложима в този контекст. Следователно би могло да се спори доколко администраторът на фен страница реално „определя параметри“ (и доколко само механично натиска и избира между готови варианти, както прави всеки друг „потребител“).

38      Решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, т. 35).

39      Редица програми и приложения в днешно време, с изричното или не съвсем изрично съгласие на ползвателя, предават на разработчика или доставчика на софтуера аналитична информация, която може да включва лични данни.

40      Решение от 5 юни 2018 г. (C‑210/16, EU:C:2018:388, т. 38).

41      Освен това, при какви точно условия и с каква преговорна мощ, може действително да се дискутира (вж. също бележка под линия 37 по-горе).

42      Или, както казва по-завоалирано сър Хъмфри Апълби (явно позовавайки се на по-стар цитат от неизвестен автор): „Отговорност без власт — прерогатив на евнуха през вековете“ (в „Да, г‑н премиер“, сезон 2, епизод 7, „The National Education Service“, първо излъчване на 21 януари 1988 г.)

43      Както и в посочения по-горе смисъл, точка 73 и бележки под линия 38 и 42.

44      Решение от 5 юни 2018 г. (C‑210/16, EU:C:2018:388, т. 43).

45      Вж. по-горе точки 87—88.

46      Вж. още Работна група за защита на данните по член 29 (съвещателен орган, създаден на основание член 29 от Директива 95/46, понастоящем заменен от Европейския комитет по защита на данните, създаден на основание член 68 от ОРЗД), Становище 4/2007 относно понятието „лични данни“, 01248/07/EN WP 136, 20 юни 2007 г., стр. 4.

47      Също така с оглед на простия факт, че обработването едва ли би могло да бъде линейно, тоест всички изброени в член 2, буква б) операции да се извършват последователно една по една от едно и също лице. Напротив, „животът“ на личните данни е по-скоро цикличен, протича с повторения, разклонява се на отделни места, включва набори от данни, събирани на различни места,преглеждани от друго лице, които впоследствие се смесват и се преглеждат, и по-късно може би отново се прегрупират и препредават към различни лица, и така нататък.

48      Работната група за защита на данните по член 29 приема, че „съвместно администриране е налице, когато различни страни определят по отношение на конкретни операции по обработването било целта, било […] съществени[те] елементи от средствата“. Вж. Становище № 1/2010 от 16 февруари 2010 г. на Работната група за защита на данните по член 29 относно понятията „администратор на лични данни“ и „лице, което обработва данните“, документ 00264/10/BG WP 169, стр. 22.

49      За разлика от случая, разгледан във връзка с въпрос 1 по-горе в точки 39—42.

50      От прочита на четвъртия въпрос в оригиналния текст на немски език става ясно, че обхватът на поставения от запитващата юрисдикция въпрос се ограничава до определянето на интересите, които следва да се вземат предвид, а не, както може да се предположи от превода на английски на германския въпрос, които са от решаващо значение (в потенциален смисъл, че имат по-голяма тежест) при претеглянето на интересите. Следователно въпросът се отнася до това кои интереси участват в претеглянето, а не какъв трябва да бъде резултатът от него.

51      Директива на Европейския парламент и на Съвета от 12 юли 2002 г. (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63 и поправка в OB L 145, 2017 г., стр. 27).

52      Вж. също Решение от 5 май 2011 г., Deutsche Telekom (C‑543/09, EU:C:2011:279, т. 50). Съгласно съображение 10 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации „[в] сектора за електронни комуникации се прилага Директива [95/46], по-специално по всички въпроси, засягащи защита на основни права и свободи, които не са специално обхванати от разпоредбите на настоящата директива, включително задълженията на администратора и правата на лицата. Директива [95/46] се прилага към непубличните комуникационни услуги“.

53      Вж. в този контекст член 5, параграф 3 от Директивата за правото на неприкосновеност на личния живот и електронни комуникации, който гласи, че „Държавите членки гарантират, че използването на електронни комуникационни мрежи, за да се съхранява информация или да се получи достъп до информация, съхранявана в терминалното оборудване на абоната или потребителя е позволено, само при условие че на заинтересования абонат или потребител е предоставена ясна и цялостна информация в съответствие с Директива [95/46], inter alia, относно целите на обработката и е предложено правото да се откаже такава обработка от администратора на данни“.

54      В този контекст отново препращам към уводния раздел Б.1. (точки 55—58 по-горе) и необходимостта от фактическа проверка какво точно се предава и дали тази информация всъщност изобщо представлява лични данни.

55      Вж. още Работен документ 02/2013 от 2 октомври 2013 г. на Работната група за защита на данните по член 29, с който се предоставят насоки относно получаването на съгласие за „бисквитки“, 1676/13/EN WP 208, стр. 5 и 6, където се посочва, че „тъй като съхранението на информация или достъпът до информация, която вече е съхранена на устройствата на потребителите, чрез бисквитките може да наложи обработването на лични данни, в този случай правилата за защита на данните са безспорно приложими“.

56      Вж. в този смисъл решения от 13 май 2014 г., Google Spain и Google (C‑131/12, EU:C:2014:317, т. 71 и цитираната съдебна практика), и от 4 май 2017 г., Rīgas satiksme (C‑13/16, EU:C:2017:336, т. 25).

57      Решение от 4 май 2017 г., Rīgas satiksme (C‑13/16, EU:C:2017:336, т. 28). Вж. още решение от 24 ноември 2011 г., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 и C‑469/10, EU:C:2011:777, т. 38).

58      Вж. представеното от мен заключение по дело Rīgas satiksme (C‑13/16, EU:C:2017:43, т. 64 и 65). Както припомням в него, прозрачността (решение от 9 ноември 2010 г., Volker und Markus Schecke и Eifert, C‑92/09 и C‑93/09, EU:C:2010:662, т. 77), защитата на имуществото, здравето и семейния живот (решение от 11 декември 2014 г., Ryneš, C‑212/13, EU:C:2014:2428, т. 34) са признати като такива от Съда. Вж. и решение от 29 януари 2008 г., Promusicae (C‑275/06, EU:C:2008:54, т. 53) и от 4 май 2017 г., Rīgas satiksme (C‑13/16, EU:C:2017:336, т. 29).

59      Вж. по-горе, т. 104 и 105 от настоящото заключение.

60      Вж. още Становище 06/2014 на Работната група по защита на личните данни по член 29 относно понятието за законни интереси на администратора на лични данни съгласно член 7 от Директива 95/46 (844/14/BG, WP 217), стр. 31.

61      Както съм посочил другаде, „не само трябва да се установят насрещни законни интереси, но и тези интереси трябва да имат по-голяма тежест от правата и свободите на съответното физическо лице“, произтичащи от членове 7 и 8 от Хартата. Вж. представеното от мен заключение по дело Rīgas satiksme (C‑13/16, EU:C:2017:43, т. 56 и т. 66—69 и цитираната съдебна практика).

62      Решение от 4 май 2017 г., Rīgas satiksme (C‑13/16, EU:C:2017:336, т. 31 и цитираната съдебна практика).

63      Следователно трябва да съществува адекватна връзка между целите (твърдяния законен интерес) и избраните средства (обработваните лични данни). Вж. в този смисъл решение от 4 май 2017 г., Rīgas satiksme (C‑13/16, EU:C:2017:336, т. 30 и цитираната съдебна практика).

64      Вж. по-горе точки 76—82 от настоящото заключение.

65      Вж. по-горе точки 84—88.

66      Което, разбира се, не изключва други потенциални (и последващи) администратори да имат това задължение по отношение на съответните операции за обработване на данни.

67      Точка 132 по-горе. Вж. Работен документ 02/2013 от 2 октомври 2013 г. на Работната група за защита на данните по член 29, с който се предоставят насоки относно получаването на съгласие за „бисквитки“, 1676/13/EN WP 208, стр. 4. Вж. също Становище 15/2011 от 13 юли 2011 година на Работната група за защита на личните данни по член 29 относно понятието „съгласие“, 1197/11/BG WP 208, стр. 11.