SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
YVESA BOTA,
predstavljeni 24. oktobra 2017(1)
Zadeva C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
proti
Wirtschaftsakademie Schleswig-Holstein GmbH,
ob udeležbi
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
(Predlog za sprejetje predhodne odločbe,
ki ga je vložilo Bundesverwaltungsgericht (zvezno upravno sodišče, Nemčija))
„Predhodno odločanje – Direktiva 95/46/ES – Členi 2, 4 in 28 – Varstvo posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov – Odredba o izklopu strani oboževalcev na družabnem omrežju Facebook – Pojem ‚upravljavec‘ – Odgovornost skrbnika strani oboževalcev – Skupna odgovornost – Nacionalno pravo, ki se uporablja – Obseg pooblastil nadzornih organov za posredovanje“
1. Ta predlog za sprejetje predhodne odločbe se nanaša na razlago členov 2(d), 4(1), 17(2) ter 28(3) in (6) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov v nacionalnem pravu(2), kakor je bila spremenjena z Uredbo (ES) št. 1882/2003 Evropskega parlamenta in Sveta z dne 29. septembra 2003.(3)
2. Predlog je bil vložen v okviru spora med Wirtschaftsakademie Schleswig‑Holstein GmbH, družbo zasebnega prava, specializirano za področje izobraževanja (v nadaljevanju: Wirtschaftsakademie), in Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, deželnim organom za varstvo podatkov dežele Schleswig-Holstein (v nadaljevanju: ULD), v zvezi z zakonitostjo odredbe, ki jo je ULD izdal proti Wirtschaftsakademie za izklop „strani oboževalcev“ (Fanpage), gostujoče na spletnem mestu družbe Facebook Ireland Ltd.
3. Ta odredba je bila obrazložena z domnevno kršitvijo določb nemškega prava, s katerimi je bila prenesena Direktiva 95/46, med drugim zato, ker obiskovalci strani oboževalcev niso opozorjeni, da družabno omrežje Facebook (v nadaljevanju: omrežje Facebook) zbira njihove osebne podatke s pomočjo piškotkov, ki se shranjujejo na njihovem trdem disku, za pripravo statističnih podatkov o uporabnikih, namenjenih skrbniku te strani, in omogočanje omrežju Facebook, da posreduje prilagojene oglase.
4. V ozadju te zadeve je pojav „webtracking“, ki zajema opazovanje in analiziranje vedenja internetnih uporabnikov za poslovne namene in namene trženja. S tem webtrackingom je med drugim mogoče opredeliti središča interesov internetnih uporabnikov na podlagi opazovanja njihovega spletnega brskanja. V tem primeru govorimo o vedenjskem webtrackingu. Ta se običajno izvaja z uporabo piškotkov.
5. Piškotki so podatki, ki se shranijo na računalniku internetnega uporabnika, ko brska po spletnem mestu.
6. Webtracking se uporablja predvsem za optimizacijo in učinkovitejšo konfiguracijo spletnega mesta. Prav tako oglaševalcem omogoča, da ciljno obravnavajo različne segmente javnosti.
7. V skladu z opredelitvijo, ki jo je delovna skupina za varstvo podatkov iz člena 29(4) podala v svojem Mnenju 2/2010 z dne 22. junija 2010 o spletnem vedenjskem oglaševanju,(5) je „[v]edenjsko oglaševanje […] oglaševanje, ki temelji na opazovanju vedenja posameznikov skozi čas. Z vedenjskim oglaševanjem se skušajo proučevati značilnosti tega vedenja prek njihovih dejanj (večkratni obiski spletnega mesta, interakcija, ključne besede, ustvarjanje spletnih vsebin itd.), da bi oblikovali poseben profil in tako posameznikom, na katere se podatki nanašajo, poslali tako prilagojene oglase, da ustrezajo njihovim ugotovljenim interesom.“(6) To se doseže z zbiranjem in nato uporabo informacij iz uporabnikovega brskalnika in terminalske opreme. Glavna tehnika za spremljanje uporabnikov na internetu temelji na „piškotkih za spremljanje“(7). Tako se „[p]ri vedenjskem oglaševanju […] zbrane informacije o vedenju posameznika pri spletnem brskanju, kot so obiskane strani ali izvedena iskanja, uporabljajo za izbiro oglasov, ki se prikazujejo temu posamezniku“.(8)
8. Spremljanje vedenja pri spletnem brskanju skrbnikom spletnih mest zagotavlja tudi statistične podatke o obiskih oseb, ki si ogledujejo ta spletna mesta.
9. Zbiranje in uporaba osebnih podatkov zaradi priprave statističnih podatkov o uporabnikih in posredovanja prilagojenih oglasov morata izpolnjevati nekatere pogoje, da bi bila v skladu s pravili o varstvu podatkov, ki izhajajo iz Direktive 95/46. Predvsem se podatki ne smejo obdelovati brez predhodnega obveščanja in privolitve zadevnih oseb.
10. Vendar je za preučitev te skladnosti treba najprej odgovoriti na več vprašanj v zvezi z opredelitvijo tega, kaj je upravljavec, ter določitvijo nacionalnega prava, ki se uporablja, in organa, pristojnega za izvajanje pooblastil za posredovanje.
11. Vprašanje opredelitve upravljavca postane posebej težavno v primeru, ko se gospodarski subjekt ne odloči, da bo na svoje spletno mesto namestil orodja, potrebna za pripravo statističnih podatkov o uporabnikih in posredovanje ciljnih oglasov, temveč da bo uporabil družabno omrežje, kakršno je Facebook, in ustvaril stran oboževalcev, da bi izkoristil podobna orodja.
12. Vprašanji o določitvi nacionalnega prava, ki se uporablja, in organa, pristojnega za izvajanje pooblastil za posredovanje, prav tako postaneta zapleteni, ko pri zadevni obdelavi osebnih podatkov sodeluje več subjektov, ki se nahajajo tako zunaj kot znotraj Evropske unije.
13. Zdaj, ko so se nadzorni organi več držav članic v zadnjih mesecih odločili, da omrežju Facebook naložijo globe zaradi kršitve pravil o varstvu osebnih podatkov njegovih uporabnikov,(9) bo ta zadeva Sodišču omogočila, da pojasni obseg pooblastil za posredovanje, ki jih ima nadzorni organ, kot je ULD, v zvezi z obdelavo osebnih podatkov, pri kateri sodeluje več akterjev.
14. Da bi dobro razumeli pravne vidike te zadeve, je treba najprej opisati dejanski okvir spora o glavni stvari.
I. Dejansko stanje v sporu o glavni stvari in vprašanja za predhodno odločanje
15. Wirtschaftsakademie ponuja storitve izobraževanja prek strani oboževalcev, ki gostuje na spletnem mestu družabnega omrežja Facebook.
16. Strani oboževalcev so uporabniški računi, ki jih lahko na Facebooku konfigurirajo zlasti posamezniki ali podjetja. Skrbnik strani oboževalcev se mora registrirati na Facebooku in tako lahko uporablja platformo, ki jo vzdržuje Facebook, da se predstavlja uporabnikom tega družabnega omrežja in objavlja vse vrste obvestil, med drugim za razvoj gospodarske dejavnosti.
17. Skrbniki strani oboževalcev lahko s pomočjo orodja „Facebook Insights“, ki ga Facebook zagotavlja brezplačno v okviru pogojev uporabe, ki jih ni mogoče spremeniti, pridobijo statistične podatke o uporabnikih. Te podatke pripravlja Facebook, skrbnik strani oboževalcev pa jih prilagodi z različnimi merili, ki jih lahko izbere, kot sta starost ali spol. Navedeni statistični podatki tako zagotavljajo anonimizirane informacije o lastnostih in navadah oseb, ki so obiskale strani oboževalcev, s čimer je skrbnikom teh strani omogočeno, da bolje usmerijo svojo komunikacijo.
18. Za pripravo takih statističnih podatkov o uporabnikih Facebook na trdem disku osebe, ki je obiskala stran oboževalcev, shrani najmanj en piškotek z edinstveno številko ID, ki deluje dve leti. Številka ID, ki jo je mogoče povezati s podatki o povezavah uporabnikov, registriranih na Facebooku, se zbere in obdela ob odprtju strani na Facebooku.
19. ULD je z odločbo z dne 3. novembra 2011 Wirtschaftsakademie izdal odredbo na podlagi člena 38(5), prvi stavek, Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov, v nadaljevanju: BDSG)(10), naj izklopi stran oboževalcev, ki jo je odprla pri Facebooku na internetnem naslovu https://www.facebook.com/wirtschaftsakademie, ker ji bo, če tega ne bo storila v predpisanem roku, naložena denarna kazen, to pa je obrazložil s tem, da niti Wirtschaftsakademie niti Facebook obiskovalcev strani oboževalcev nista obveščala, da Facebook s pomočjo piškotkov zbira njihove osebne podatke, ki jih nato obdela. Wirtschaftsakademie je zoper to odločbo vložila ugovor, v katerem je v bistvu trdila, da glede na pravico do varstva podatkov, ki se uporablja, ni odgovorna niti za obdelavo podatkov, ki jo izvaja Facebook, niti za piškotke, ki jih ta namešča.
20. ULD je z odločbo z dne 16. decembra 2011 zavrnil ta ugovor, ker je menil, da je odgovornost Wirtschaftsakademie kot ponudnika storitev podana na podlagi členov 3(3), točka 4, in 12(1) Telemediengesetz (zakon o elektronskih medijih).(11) S tem ko je Wirtschaftsakademie ustvarila stran oboževalcev, je tudi dejavno in prostovoljno prispevala k zbiranju osebnih podatkov s strani Facebooka, od česar je imela koristi zaradi statističnih podatkov o uporabnikih, ki jih je dalo na voljo to družabno omrežje.
21. Wirtschaftsakademie je nato pri Verwaltungsgericht (upravno sodišče, Nemčija) zoper to odločbo vložila tožbo, v kateri je trdila, da ji ni mogoče pripisati odgovornosti za postopke obdelave podatkov, ki jih izvaja Facebook, in da Facebooku tudi ni naročila – v smislu člena 11 BDSG(12) – obdelave podatkov, ki bi potekala pod njenim nadzorom ali na katero bi lahko vplivala. Wirtschaftsakademie tako meni, da je ULD neupravičeno ukrepal proti njej in ne neposredno proti Facebooku.
22. Verwaltungsgericht (upravno sodišče) je s sodbo z dne 9. oktobra 2013 izpodbijano odločbo razglasilo za nično, ker je v bistvu menilo, da skrbnik strani oboževalcev na Facebooku ni „odgovorni organ“ v smislu člena 3(7) BDSG(13) in torej Wirtschaftsakademie ni mogla biti naslovnik odredbe, sprejete na podlagi člena 38(5) BDSG.
23. Oberverwaltungsgericht (višje upravno sodišče, Nemčija) je nato pritožbo ULD zoper to sodbo zavrnilo kot neutemeljeno, saj je v bistvu menilo, da je prepoved obdelave podatkov iz izpodbijane odločbe nezakonita, ker člen 38(5), drugi stavek, BDSG določa postopen postopek, v katerem se lahko v prvi fazi sprejmejo samo ukrepi za odpravo kršitev, ugotovljenih pri obdelavi podatkov. Takojšnja prepoved obdelave podatkov naj bi bila mogoča le, če je postopek obdelave podatkov nezakonit v celoti in če je to nezakonitost mogoče odpraviti samo s prenehanjem tega postopka obdelave. Oberverwaltungsgericht (višje upravno sodišče) pa meni, da v tej zadevi ni tako, ker bi Facebook lahko odpravil kršitve, ki jih je zatrjeval ULD.
24. Odredba naj bi bila nezakonita tudi zato, ker pritožnica ni odgovorni organ v smislu člena 3(7) BDSG za podatke, ki jih Facebook zbere pri upravljanju strani oboževalcev, in ker je odredbo na podlagi člena 38(5) BDSG mogoče izdati samo proti takemu organu. V obravnavani zadevi naj bi samo Facebook določal namen in sredstva v zvezi z zbiranjem in obdelavo osebnih podatkov, uporabljenih za funkcijo „Facebook Insights“. Pritožnica pa naj bi prejemala samo anonimizirane statistične podatke.
25. Člen 38(5) BDSG naj ne bi dovoljeval, da se odredbe izdajo proti tretji osebi. Tako imenovane posredne odgovornosti („Störerhaftung“) na internetu, ki se je razvila v sodni praksi civilnih sodišč, naj ne bi bilo mogoče prenesti na prerogative javne oblasti. Tudi če v členu 38(5) BDSG ni izrecno imenovan naslovnik odredbe o prepovedi, naj bi bilo iz sistematike, predmeta in smisla ureditve ter iz zgodovine njenega nastanka razvidno, da je naslovnik lahko samo odgovorni organ.
26. ULD v reviziji, ki jo je vložil pri Bundesverwaltungsgericht (zvezno upravno sodišče, Nemčija), med drugim trdi, da je bil kršen člen 38(5) BDSG, in se skliceval na več postopkovnih napak, ki jih je storilo višje sodišče. Meni, da je kršitev, ki jo je storila Wirtschaftsakademie, povezana s tem, da je za postavitev, gostovanje in vzdrževanje spletnega mesta pooblastila ponudnika, ki ni primeren, saj ne upošteva prava, ki se uporablja za varstvo podatkov – v obravnavani zadevi Facebook Ireland. Namen odredbe o izklopu naj bi bil torej odpraviti to kršitev, ki jo je storila Wirtschaftsakademie, saj naj bi ji bila prepovedana nadaljnja uporaba infrastrukture omrežja Facebook kot tehnične podlage za njeno spletno mesto.
27. Predložitveno sodišče meni, da Wirtschaftsakademie v zvezi z zbiranjem in obdelavo podatkov obiskovalcev strani oboževalcev, ki ju izvaja intervenient v postopku v glavni stvari, to je družba Facebook Ireland, ni „organ, ki zbira, obdeluje ali uporablja osebne podatke v svojem imenu ali prek obdelovalca“ v smislu člena 3(7) BDSG ali „organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov“ v smislu člena 2(d) Direktive 95/46. Wirtschaftsakademie je z odločitvijo, da ustvari stran oboževalcev na platformi, ki jo upravlja intervenient v postopku v glavni stvari oziroma njegova matična družba (v tem primeru Facebook Inc., USA), temu intervenientu v postopku v glavni stvari objektivno res omogočila, da namešča piškotke ob odprtju te strani oboževalcev in s tem zbira podatke. Vendar Wirtschaftsakademie s to odločitvijo vseeno ni dobila možnosti, da vpliva, usmerja, oblikuje ali celo nadzira naravo in obseg obdelave podatkov uporabnikov njene strani oboževalcev, ki jo izvaja intervenient v postopku v glavni stvari. S pogoji uporabe strani oboževalcev naj Wirtschaftsakademie prav tako ne bi bila dodeljena pravica do posredovanja ali nadzora. Pogoji uporabe, ki jih je enostransko določil intervenient v postopku v glavni stvari, naj ne bi bili doseženi v postopku pogajanj in naj Wirtschaftsakademie tudi ne bi dajali pravice, da intervenientu v postopku v glavni stvari prepove zbiranje in obdelavo podatkov obiskovalcev strani oboževalcev.
28. Predložitveno sodišče priznava, da je treba pravno opredelitev „upravljavca“ iz člena 2(d) Direktive 95/46 načeloma razlagati široko v interesu učinkovitega varstva pravice do zasebnosti. Vendar naj Wirtschaftsakademie ne bi ustrezala tej opredelitvi, ker nima nobenega pravnega ali dejanskega vpliva na načine obdelave osebnih podatkov, ki jo intervenient v postopku v glavni stvari izvaja na lastno odgovornost in povsem samostojno. V zvezi s tem naj ne bi bila dovolj okoliščina, da ima lahko Wirtschaftsakademie objektivno korist od funkcije „Facebook Insights“, ki jo upravlja intervenient v postopku v glavni stvari, ker se ji anonimizirani podatki pošiljajo za namene uporabe njene strani oboževalcev.
29. Po mnenju predložitvenega sodišča Wirtschaftsakademie tudi ni mogoče šteti za upravljavca osebnih podatkov prek obdelovalca v smislu člena 11 BDSG ter členov 2(e) ter 17(2) in (3) Direktive 95/46.
30. To sodišče meni, da je potrebno pojasnilo glede vprašanja, ali – in pod katerimi pogoji – se pooblastila za nadzor in posredovanje, ki jih imajo nadzorni organi na področju varstva podatkov, lahko izvajajo samo proti „upravljavcu“ v smislu člena 2(d) Direktive 95/46 ali pa je mogoče ugotoviti odgovornost organa – ki ni upravljavec podatkov glede na opredelitev, ki izhaja iz iste določbe – na podlagi odločitve tega organa, da uporabi Facebook kot platformo za svojo ponudbo informacij.
31. V tem zadnjem primeru se predložitveno sodišče sprašuje, ali bi taka odgovornost lahko temeljila na tem, da se po analogiji uporabijo obveznosti izbire in nadzora, ki izhajajo iz člena 17(2) Direktive 95/46, v okviru obdelave podatkov prek obdelovalca.
32. Da bi predložitveno sodišče lahko odločilo o zakonitosti odredbe, izdane v obravnavani zadevi, meni, da je treba pojasniti tudi nekatere točke o pristojnosti nadzornih organov in obsegu njihovih pooblastil za posredovanje.
33. Predložitveno sodišče se zlasti sprašuje o razdelitvi pristojnosti med nadzornimi organi v primeru, ko ima matična družba, kot je Facebook Inc., več poslovnih enot na ozemlju Unije in so naloge, ki so tem poslovnim enotam dodeljene znotraj skupine, različne.
34. Predložitveno sodišče v zvezi s tem opozarja, da je Sodišče v sodbi z dne 13. maja 2014, Google Spain in Google,(14) odločilo, da je treba „[č]len 4(1)(a) Direktive 95/46 […] razlagati tako, da se obdelava osebnih podatkov izvaja v okviru dejavnosti poslovne enote upravljavca na ozemlju države članice v smislu te določbe, kadar upravljavec iskalnika v eni od držav članic ustanovi podružnico ali hčerinsko družbo, ki se ukvarja s trženjem in prodajo oglasnega prostora na iskalniku, katerega dejavnost je usmerjena k prebivalcem tiste države članice“.(15) Predložitveno sodišče se sprašuje, ali je to povezavo s poslovno enoto, kot je Facebook Germany GmbH, ki je glede na informacije v predložitveni odločbi zadolžena za pospeševanje prodaje reklam in druge ukrepe trženja, katerih ciljna skupina so prebivalci Nemčije, mogoče za namene uporabe Direktive 95/46 in določitve pristojnega nadzornega organa prenesti na položaj, v katerem hčerinska družba s sedežem v drugi državi članici (v obravnavani zadevi na Irskem) deluje kot „upravljavec“ na celotnem ozemlju Unije.
35. Glede naslovnikov ukrepa, sprejetega na podlagi člena 28(3) Direktive 95/46, predložitveno sodišče ugotavlja, da bi bila lahko v zvezi z odredbo, izdano proti Wirtschaftsakademie, storjena napaka pri presoji in da bi bila zato ta odredba lahko nezakonita, če bi bilo kršitve zakonodaje o varstvu podatkov, ki jih zatrjuje ULD, mogoče odpraviti z neposrednim ukrepanjem proti hčerinski družbi Facebook Germany, ki ima sedež v Nemčiji.
36. Predložitveno sodišče navaja tudi mnenje ULD, da ga ne zavezujejo ugotovitve in presoje Data Protection Commissioner (nadzorni organ za varstvo podatkov, Irska), ki glede na informacije, ki sta jih predložila Wirtschaftsakademie in intervenient v postopku v glavni stvari, ni izpodbijal obdelave osebnih podatkov, ki je predmet spora o glavni stvari. To sodišče želi zato izvedeti, ali je taka samostojna presoja ULD dovoljena in ali je člen 28(6), drugi stavek, Direktive 95/46 ULD nalagal, da glede na razlike v presoji teh dveh nadzornih organov glede skladnosti obdelave podatkov, ki je predmet spora o glavni stvari, s pravili, ki izhajajo iz Direktive 95/46, nadzorni organ za varstvo podatkov zaprosi, naj izvaja svoja pooblastila proti Facebook Ireland.
37. V teh okoliščinah je Bundesverwaltungsgericht (zvezno upravno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali je treba člen 2(d) Direktive 95/46 razlagati tako, da dokončno in izčrpno ureja odgovornost za kršitve varstva podatkov ali lahko v okviru ‚ustrezn[ih] ukrep[ov]‘ na podlagi člena 24 [te direktive] in ‚učinkovit[ih] pooblasti[l] za posredovanje‘ na podlagi člena 28(3), druga alinea, [te direktive] v večstopenjskih razmerjih med ponudniki informacij za izbiro vzdrževalca platforme, na kateri se ponujajo informacije, odgovarja tudi organ, ki ni upravljavec podatkov v smislu člena 2(d) [navedene direktive]?
2. Ali iz obveznosti držav članic na podlagi člena 17(2) Direktive 95/46, da določijo, da mora upravljavec, kadar se obdelava podatkov izvaja v njegovem imenu, ‚izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti,‘ na podlagi obratnega sklepanja izhaja, da pri drugih uporabniških razmerjih, ki niso povezana z obdelavo podatkov prek obdelovalca v smislu člena 2(e) [te direktive], ni podana obveznost skrbne izbire in taka obveznost tudi nima podlage v nacionalnem pravu?
3. Ali ima v primerih, v katerih ima matična družba s sedežem zunaj Unije pravno samostojne poslovne enote (hčerinske družbe) v različnih državah članicah, nadzorni organ države članice (v obravnavanem primeru Nemčije) na podlagi členov 4 in 28(6) Direktive 95/46 pravico izvajati pooblastila, ki so mu bila podeljena v skladu s členom 28(3) [te direktive], proti poslovni enoti na ozemlju lastne države članice tudi, če je ta poslovna enota zadolžena samo za pospeševanje prodaje oglasnega prostora in druge ukrepe trženja, katerih ciljna skupina so prebivalci te države članice, medtem ko je samostojna poslovna enota (hčerinska družba) v drugi državi članici (v obravnavanem primeru na Irskem) na podlagi notranje delitve nalog v skupini izključno odgovorna za zbiranje in obdelavo osebnih podatkov v vsej Uniji in tako tudi v drugi državi članici (v obravnavanem primeru Nemčiji), če odločitev o obdelavi podatkov dejansko sprejme matična družba?
4. Ali je treba člena 4(1) in 28(3) Direktive 95/46 razlagati tako, da lahko v primerih, v katerih ima upravljavec poslovno enoto na ozemlju države članice (v obravnavanem primeru na Irskem) in še eno, pravno samostojno poslovno enoto na ozemlju druge države članice (v obravnavanem primeru Nemčije), ki je med drugim zadolžena za prodajo oglasnega prostora in katere dejavnost je namenjena prebivalcem te države, pristojni nadzorni organ v tej drugi državi članici (v obravnavanem primeru: Nemčiji) naslovi ukrepe in odredbe za uveljavljanje zakonodaje o varstvu podatkov tudi zoper drugo poslovno enoto (v obravnavanem primeru: v Nemčiji), ki na podlagi notranje delitve nalog in odgovornosti v koncernu ni odgovorna za obdelavo podatkov, ali lahko ukrepe in odredbe v takem primeru sprejema samo nadzorni organ države članice (v obravnavanem primeru Irske), na ozemlju katere ima svoj sedež poslovna enota, ki je v koncernu odgovorna za obdelavo podatkov?
5. Ali je treba člena 4(1)(a) in 28(3) in (6) Direktive 95/46 razlagati tako, da mora v primerih, v katerih nadzorni organ države članice (v obravnavanem primeru Nemčije) na podlagi člena 28(3) [te direktive] ukrepa proti osebi ali organu, ki sta dejavna na njegovem ozemlju, zaradi neskrbne izbire tretje osebe, ki je vključena v proces obdelave podatkov (v obravnavanem primeru Facebook), ker naj bi ta tretja oseba kršila zakonodajo o varstvu podatkov, nadzorni organ, ki ukrepa (v obravnavanem primeru Nemčija), upoštevati presojo glede prava, ki se uporabi za varstvo podatkov, ki jo opravi nadzorni organ druge države članice, v kateri ima tretja oseba, ki je odgovorna za obdelavo podatkov, sedež (v obravnavanem primeru na Irskem), tako da njegova pravna presoja ne sme biti drugačna, ali pa lahko nadzorni organ, ki ukrepa (v obravnavanem primeru Nemčija), v obliki predhodnega vprašanja v okviru svojega ukrepanja samostojno preizkusi zakonitost obdelave podatkov, ki jo izvaja tretja oseba s sedežem v drugi državi članici (v obravnavanem primeru na Irskem)?
6. Če ima nadzorni organ, ki ukrepa (v obravnavanem primeru Nemčija), pravico do samostojnega preverjanja: ali je treba člen 28(6), drugi stavek, Direktive 95/46 razlagati tako, da lahko ta nadzorni organ izvaja učinkovita pooblastila za posredovanje, ki so mu podeljena na podlagi člena 28(3) [te direktive], zoper osebo s prebivališčem ali organ s sedežem na ozemlju te države članice zaradi soodgovornosti za kršitve varstva podatkov, ki jih je storila tretja oseba s sedežem v drugi državi članici, samo in šele, če je pred tem pozval nadzorni organ te druge države članice (v obravnavanem primeru: Irske), naj izvaja svoja pooblastila?“
II. Analiza
38. Pojasniti je treba, da vprašanja za predhodno odločanje, ki jih je postavilo predložitveno sodišče, ne zadevajo vprašanja, ali je obdelava osebnih podatkov, na katero se nanašajo očitki ULD, to je zbiranje in uporaba podatkov oseb, ki obiščejo strani oboževalcev, ne da bi bile te osebe o tem predhodno obveščene, v nasprotju s pravili, ki izhajajo iz Direktive 95/46.
39. Glede na pojasnila predložitvenega sodišča je zakonitost odredbe, v zvezi s katero mora opraviti presojo, odvisna od naslednjih elementov. Z njegovega stališča je treba najprej ugotoviti, ali je ULD upravičeno izvajal svoja pooblastila za posredovanje proti osebi, ki ni upravljavec v smislu člena 2(d) Direktive 95/46. Predložitveno sodišče dalje meni, da je zakonitost odredbe odvisna tudi od tega, ali je bil ULD pristojen za ukrepanje v zvezi z obdelavo osebnih podatkov, ki je predmet spora o glavni stvari, ali to, da odredbe ni naslovil na Facebook Germany namesto na Wirtschaftsakademie, ne pomeni napake pri presoji, in nazadnje, ali ni ULD storil druge napake pri presoji, ko je Wirtschaftsakademie naložil, da zapre svojo stran oboževalcev, čeprav bi moral še prej nadzorni organ za varstvo podatkov zaprositi, naj izvaja svoja pooblastila proti Facebook Ireland.
A. Prvo in drugo vprašanje za predhodno odločanje
40. Predložitveno sodišče s prvim in drugim vprašanjem za predhodno odločanje, ki ju je treba po mojem mnenju preučiti skupaj, Sodišču v bistvu predlaga, naj odloči, ali je treba člene 17(2), 24 in 28(3), druga alinea, Direktive 95/46 razlagati tako, da nadzornim organom omogočajo, da izvajajo svoja pooblastila za posredovanje proti organu, ki ga ni mogoče obravnavati kot „upravljavca“ v smislu člena 2(d) te direktive, vendar bi se ga kljub vsemu lahko štelo za odgovornega v primeru kršitve pravil o varstvu osebnih podatkov zaradi odločitve, da družabno omrežje, kot je Facebook, uporabi za posredovanje svoje ponudbe informacij.
41. Ti vprašanji temeljita na premisi, da Wirtschaftsakademie ni „upravljavec“ v smislu člena 2(d) Direktive 95/46. Zato želi to sodišče izvedeti, ali se odredba, kakršna je ta v postopku v glavni stvari, lahko izda proti osebi, ki ne izpolnjuje meril iz te določbe.
42. Vendar menim, da je ta premisa napačna. Za Wirtschaftsakademie je treba namreč po mojem mnenju šteti, da je skupno odgovorna za fazo obdelave, ki zajema zbiranje osebnih podatkov, ki ga izvaja Facebook.
43. „Upravljavec“ v smislu člena 2(d) Direktive 95/46 pomeni „fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov“.(16)
44. Upravljavec ima temeljno vlogo v okviru sistema, vzpostavljenega z Direktivo 95/46, zato je opredelitev, kdo je to, bistvena. Ta direktiva namreč določa, da mora upravljavec izpolnjevati nekatere obveznosti, namenjene zagotavljanju varstva osebnih podatkov.(17) To temeljno vlogo je Sodišče poudarilo v sodbi z dne 13. maja 2014, Google Spain in Google.(18) Odločilo je namreč, da mora upravljavec v okviru svojih odgovornosti, pristojnosti in zmožnosti zagotoviti, da zadevna obdelava podatkov izpolnjuje zahteve iz Direktive 95/46, tako da ima lahko varstvo, ki ga ta direktiva zagotavlja, polni učinek in da se lahko zadevnim osebam dejansko zagotovi učinkovito in popolno varstvo med drugim pravice do spoštovanja zasebnosti.(19)
45. Iz sodne prakse Sodišča izhaja tudi, da je treba ta pojem opredeliti široko, da se zagotovi učinkovito in popolno varstvo oseb, na katere se osebni podatki nanašajo.(20)
46. Upravljavec osebnih podatkov je oseba, ki odloči, zakaj in kako bodo ti podatki obdelani. Kot je navedla delovna skupina iz člena 29, je „[p]ojem upravljavec […] funkcionalen pojem, namenjen dodeljevanju odgovornosti tistemu, ki ima dejanski vpliv, tako da ta pojem bolj kot na formalni analizi temelji na analizi dejstev“.(21)
47. Kot snovalca te obdelave sta po mojem mnenju Facebook Inc. in, v zvezi z Unijo, Facebook Ireland, tista, ki sta primarno določila cilje in načine te obdelave.
48. Natančneje, Facebook Inc. je izpopolnil splošen ekonomski model, v katerem zbiranje osebnih podatkov ob ogledu strani oboževalcev in nato njihova uporaba lahko omogočita posredovanje prilagojenih oglasov na eni strani in pripravo statističnih podatkov o uporabnikih za skrbnike teh strani na drugi.
49. Dalje je iz listin iz spisa razvidno, da je Facebook Inc. zadolžil Facebook Ireland za obdelavo osebnih podatkov v Uniji. Glede na pojasnila Facebook Ireland se lahko načini delovanja družabnega omrežja nekoliko prilagajajo znotraj Unije.(22)
50. Poleg tega, čeprav ni sporno, da morajo vse osebe, ki prebivajo na ozemlju Unije in želijo uporabljati Facebook, ob registraciji podpisati pogodbo z družbo Facebook Ireland, je treba ugotoviti, da se hkrati osebni podatki uporabnikov Facebooka, ki prebivajo na ozemlju Unije, v celoti ali delno prenesejo na strežnike družbe Facebook Inc., ki so na ozemlju Združenih držav in na katerih se obdelujejo.(23)
51. Ob upoštevanju vpletenosti družbe Facebook Inc. in – posebej v zvezi z Unijo – družbe Facebook Ireland v določitev namenov in sredstev obdelave osebnih podatkov, ki je predmet spora o glavni stvari, je treba za ta subjekta glede na podatke, ki jih imam na voljo, šteti, da sta skupaj odgovorna za to obdelavo. V zvezi s tem je treba ugotoviti, da je v členu 2(d) Direktive 95/46 izrecno predvidena možnost take skupne odgovornosti. Kot je navedlo predložitveno sodišče, bo moralo nazadnje sámo pojasniti strukture odločanja in obdelave podatkov v skupini Facebook, da bi se ugotovilo, katera oziroma katere poslovne enote so upravljavci v smislu člena 2(d) Direktive 95/46.(24)
52. Skupni odgovornosti družb Facebook Inc. in Facebook Ireland je treba po mojem mnenju, glede faze obdelave, ki zajema zbiranje osebnih podatkov s strani Facebooka,(25) dodati odgovornost skrbnika strani oboževalcev, kot je Wirtschaftsakademie.
53. Skrbnik strani oboževalcev je seveda predvsem uporabnik Facebooka, ki ga uporablja zaradi njegovih orodij in boljše vidnosti. Vendar s to ugotovitvijo ni mogoče izključiti, da se ga lahko obravnava tudi kot odgovornega za fazo obdelave osebnih podatkov, ki je predmet spora o glavni stvari, in sicer za zbiranje takih podatkov s strani Facebooka.
54. Glede vprašanja, ali skrbnik strani oboževalcev „določi“ namene in sredstva obdelave, je treba preveriti, ali ta skrbnik dejansko ali pravno vpliva na te namene in sredstva. Na podlagi tega elementa opredelitve je mogoče ugotoviti, da upravljavec ni tisti, ki obdeluje osebne podatke, temveč tisti, ki določi sredstva in namene te obdelave.
55. Skrbnik strani oboževalcev, ki uporabi Facebook za posredovanje svoje ponudbe informacij, se strinja z načelom izvajanja obdelave osebnih podatkov obiskovalcev svoje strani za namene priprave statističnih podatkov o uporabnikih.(26) Čeprav ta skrbnik seveda ni snovalec orodja „Facebook Insights“, s tem ko ga uporablja, sodeluje pri določitvi namenov in sredstev obdelave osebnih podatkov obiskovalcev svoje strani.
56. Na eni strani namreč do te obdelave ne bi moglo priti brez predhodne odločitve skrbnika strani oboževalcev, da to stran ustvari in uporablja na družabnem omrežju Facebook. S tem ko upravitelj strani oboževalcev omogoči obdelavo osebnih podatkov uporabnikov te strani, se strinja s sistemom, ki ga je vzpostavil Facebook. Tako doseže večjo vidnost na profilu uporabnikov svoje strani oboževalcev in hkrati Facebooku omogoči, da bolje usmerja oglase, ki se objavljajo v okviru tega družabnega omrežja. Ker se upravljavec strani oboževalcev strinja s sredstvi in nameni obdelave osebnih podatkov, kot jih vnaprej določi Facebook, je treba šteti, da sodeluje pri njihovi določitvi. Poleg tega, tako kot skrbnik strani oboževalcev odločilno vpliva na sprožitev obdelave osebnih podatkov oseb, ki obiščejo to stran, ima tudi možnost ustaviti to obdelavo, tako da zapre svojo stran oboževalcev.
57. Na drugi strani, čeprav namene in sredstva orodja „Facebook Insights“ kot takega na splošno določa Facebook Inc. skupaj s Facebook Ireland, ima skrbnik strani oboževalcev možnost vplivati na konkretno uporabo tega orodja, tako da opredeli merila, na podlagi katerih se pripravijo statistični podatki o uporabnikih. Ko Facebook povabi skrbnika strani oboževalcev, naj ustvari ali spremeni uporabnike svoje strani, mu sporoči, da bo storil vse za to, da bo to stran pokazal osebam, ki so zanj najpomembnejše. Skrbnik strani oboževalcev lahko s filtri opredeli prilagojene uporabnike, kar mu omogoča, ne le da natančneje določi skupino oseb, ki ji bodo posredovane informacije o njegovi poslovni ponudbi, temveč da zlasti opredeli kategorije oseb, katerih osebne podatke bo zbiral Facebook. Tako skrbnik strani oboževalcev z določitvijo uporabnikov, ki jih želi doseči, hkrati določi ciljno javnost, katere osebne podatke bi lahko zbiral in nato uporabljal Facebook. Zato ima skrbnik strani oboževalcev poleg tega, da s tem, ko ustvari to stran, sproži obdelavo takih podatkov, odločilno vlogo v izvajanju te obdelave s strani Facebooka. Tako sodeluje pri določitvi namenov in sredstev navedene obdelave, s čimer dejansko vpliva na to obdelavo.
58. Iz navedenega sklepam, da je treba v okoliščinah, kakršne so te iz spora o glavni stvari, skrbnika strani oboževalcev na družabnem omrežju, kot je Facebook, šteti za odgovornega za fazo obdelave osebnih podatkov, ki zajema zbiranje podatkov o osebah, ki obiščejo to stran, s strani tega družabnega omrežja.
59. Ta sklep je še trdnejši zaradi ugotovitve, da imajo skrbnik strani oboževalcev, kot je Wirtschaftsakademie, na eni strani in ponudniki storitev, kot sta Facebook Inc. in Facebook Ireland, na drugi strani tesno povezane namene. Wirtschaftsakademie želi dobiti statistične podatke o uporabnikih za namene vodenja pospeševanja svoje dejavnosti, za to pa je potrebna obdelava osebnih podatkov. Ta ista obdelava tudi Facebooku omogoča boljše usmerjanje oglasov, ki jih posreduje prek svojega omrežja.
60. Zato je treba zavrniti razlago, ki bi se nanašala izključno na klavzule in pogoje pogodbe, sklenjene med Wirtschaftsakademie in Facebook Ireland. Pogodbeno določena delitev nalog je namreč lahko le indic glede dejanske vloge pogodbenih strank pri izvajanju obdelave osebnih podatkov. Sicer bi ti stranki lahko umetno dodelili odgovornost za obdelavo eni od njiju. To velja še toliko bolj v primeru, ko družabno omrežje vnaprej pripravi splošne pogoje, o katerih se ni mogoče pogajati. Zato ni mogoče šteti, da tisti, ki lahko samo sprejme ali zavrne pogodbo, ne more biti upravljavec. Če ta pogodbena stranka prostovoljno sklene dogovor, je lahko še vedno upravljavec glede na konkretni vpliv, ki ga ima na sredstva in namene te obdelave.
61. Dejstvo, da pogodbo in njene splošne pogoje določi ponudnik storitev in da subjekt, ki uporabi storitve, ki jih ponuja ta ponudnik, nima dostopa do podatkov, torej ne izključuje, da ga je mogoče šteti za upravljavca, ker je prostovoljno sprejel pogodbene klavzule, s čimer je prevzel polno odgovornost zanje.(27) Po zgledu delovne skupine iz člena 29 je treba priznati tudi, da morebitno neravnovesje v razmerju sil med ponudnikom in prejemnikom storitve ne preprečuje, da je prejemnik lahko opredeljen kot „upravljavec“.(28)
62. Poleg tega, da se oseba lahko šteje za upravljavca v smislu člena 2(d) Direktive 95/46, ni nujno, da ima pooblastilo za popoln nadzor nad vsemi vidiki obdelave. Kot je na obravnavi pravilno navedla belgijska vlada, je v praksi takega nadzora vse manj. Obdelave so vse bolj zapletene, ker gre za več ločenih obdelav, ki vključujejo več strani, ki same izvajajo različne stopnje nadzora. Zato bi lahko razlaga, ki daje prednost obstoju pooblastila za popoln nadzor nad vsemi vidiki obdelave, povzročila resne pomanjkljivosti v varstvu osebnih podatkov.
63. Dejansko stanje, ki je bilo podlaga za sodbo z dne 13. maja 2014, Google Spain in Google,(29) to ponazarja. V tej zadevi je šlo namreč za položaj večstopenjskih razmerij med ponudniki informacij, v katerem je vsaka od različnih strani ločeno vplivala na obdelavo. Sodišče je v tej zadevi zavrnilo ozko razlago pojma „upravljavec“. Menilo je, da mora družba, ki upravlja iskalnik, „kot oseba, ki določa namene in sredstva [svoje] dejavnosti, v okviru svojih odgovornosti, pristojnosti in zmožnosti zagotoviti, da ta dejavnost izpolnjuje zahteve Direktive 95/46“.(30) Sodišče je poleg tega omenilo možnost skupne odgovornosti družbe, ki upravlja iskalnik, in izdajateljev spletnih mest.(31)
64. Tako kot belgijska vlada menim, da lahko široka razlaga pojma „upravljavec“ v smislu člena 2(d) Direktive 95/46, ki mora po mojem mnenju prevladati v okviru te zadeve, prepreči zlorabe. Sicer bi namreč zadostovalo, da podjetje uporabi storitve tretje osebe in se tako izogne svojim obveznostim na področju varstva osebnih podatkov. Povedano drugače, po mojem mnenju ni treba razlikovati med podjetjem, ki na svojem spletnem mestu namesti orodja, podobna tistim, ki jih ponuja Facebook, in podjetjem, ki se priključi družabnemu omrežju Facebook, da bi uporabljalo orodja, ki jih ponuja to omrežje. Tako je treba zagotoviti, da se gospodarski subjekti, ki uporabljajo storitev gostovanja svojega spletnega mesta, ne morejo izogniti svoji odgovornosti s tem, da sprejmejo splošne pogoje ponudnika storitev. Poleg tega, kot je ta vlada navedla na obravnavi, ni nerazumno pričakovati od podjetij, da ob izbiri svojega ponudnika storitev ravnajo skrbno.
65. Zato menim, da skrbnika strani oboževalcev dejstvo, da uporablja platformo, ki jo ponuja Facebook, in z njo povezane storitve, ne razrešuje obveznosti, ki jih ima na področju varstva osebnih podatkov. V zvezi s tem ugotavljam, da če Wirtschaftsakademie svojega spletnega mesta ne bi odprla na Facebooku in bi za pripravo statističnih podatkov o uporabnikih uporabila orodje, podobno „Facebook Insights“, bi se štela za upravljavca, odgovornega za obdelavo, ki je potrebna za pripravo takih podatkov. Po mojem mnenju tak gospodarski subjekt ne bi smel biti oproščen upoštevanja pravil o varstvu osebnih podatkov, ki izhajajo iz Direktive, samo zato, ker za oglaševanje svojih dejavnosti uporablja platformo družabnega omrežja Facebook. Kot pravilno navaja sámo predložitveno sodišče, ponudnik storitev ne sme imeti možnosti, da se z izbiro določenega ponudnika infrastrukture izogne obveznostim, ki jih ima na podlagi prava, ki se uporablja za varstvo podatkov, do uporabnikov svoje ponudbe informacij in ki bi jih moral izpolnjevati, če bi bil samo ponudnik vsebine.(32) Nasprotna razlaga bi povzročila tveganje izogibanja pravilom o varstvu osebnih podatkov.
66. Po mojem mnenju tudi ni treba ustvariti umetnega razlikovanja med položajem, obravnavanim v tej zadevi, in položajem, obravnavanim v okviru zadeve Fashion ID (C‑40/17)(33).
67. Zadnjenavedena zadeva se nanaša na položaj, v katerem je upravljavec spletnega mesta v to spletno mesto vključil tako imenovani „družabni modul“ (v obravnavani zadevi Facebookov gumb „všeč mi je“) zunanjega ponudnika (to je Facebooka), ki povzroči posredovanje osebnih podatkov z računalnika uporabnika spletnega mesta zunanjemu ponudniku.
68. V okviru spora, ki je vzrok za to zadevo, združenje za varstvo potrošnikov družbi Fashion ID očita, da je z vključitvijo modula „všeč mi je“, ki ga zagotavlja družabno omrežje Facebook, temu omogočila dostop do osebnih podatkov uporabnikov tega spletnega mesta brez njihove privolitve in v nasprotju z obveznostmi obveščanja, določenimi v predpisih o varstvu osebnih podatkov. Zato se postavlja vprašanje, ali je družbo Fashion ID glede na to, da Facebooku omogoča dostop do osebnih podatkov uporabnikov svojega spletnega mesta, mogoče opredeliti kot „upravljavca“ v smislu člena 2(d) Direktive 95/46.
69. V zvezi s tem ne vidim bistvene razlike med položajem skrbnika strani oboževalcev in položajem družbe, ki upravlja spletno mesto in ki v to spletno mesto vgradi kodo ponudnika storitev webtrackinga ter tako brez vednosti internetnega uporabnika omogoča prenos podatkov, namestitev piškotkov in zbiranje podatkov v korist ponudnika storitev webtrackinga.
70. Družabni vtičniki družbam, ki upravljajo spletna mesta, omogočajo uporabo nekaterih storitev družabnih omrežij na lastnih spletnih mestih, da bi povečali njihovo vidnost, na primer tako, da v svoje spletno mesto vgradijo Facebookov gumb „všeč mi je“. Tako kot skrbniki strani oboževalcev lahko družbe, ki upravljajo spletna mesta, v katera so vgrajeni družabni vtičniki, uporabljajo storitev „Facebook Insights“, da bi dobile natančne statistične podatke o uporabnikih svojega spletnega mesta.
71. Po zgledu tega, kar se zgodi ob obisku strani oboževalcev, se ob obisku spletnega mesta, v katero je vgrajen družabni vtičnik, sproži posredovanje osebnih podatkov zadevnemu ponudniku.
72. Po mojem mnenju bi bilo treba v takem okviru in enako kot skrbnika strani oboževalcev upravljavca spletnega mesta, v katero je vgrajen družabni vtičnik, opredeliti kot „upravljavca“ v smislu člena 2(d) Direktive 95/46,(34) ker dejansko vpliva na fazo obdelave, ki zajema posredovanje osebnih podatkov Facebooku.
73. Dodati moram, kot pravilno navaja belgijska vlada, da ugotovitev, v skladu s katero Wirtschaftsakademie ravna kot soodgovorni upravljavec, če se odloči uporabiti Facebookove storitve za svojo ponudbo informacij, nič ne zmanjšuje obveznosti, ki so naložene družbama Facebook Inc. in Facebook Ireland kot upravljavcema. Jasno je namreč, da ta subjekta odločilno vplivata na namene in sredstva obdelave osebnih podatkov, ki se izvaja v okviru obiska strani oboževalcev, in da jih uporabljata tudi za svoje namene in interese.
74. Vendar priznanje skupne odgovornosti skrbnikov strani oboževalcev za fazo obdelave, ki zajema zbiranje osebnih podatkov s strani Facebooka, prispeva k zagotovitvi popolnejšega varstva pravic oseb, ki obiskujejo take strani. Poleg tega lahko dejavno vključevanje skrbnikov strani oboževalcev v upoštevanje pravil o varstvu osebnih podatkov, tako da se jih določi za upravljavce, zaradi sekundarnega učinka sámo platformo družabnega omrežja spodbuja k uskladitvi s takimi pravili.
75. Pojasniti je treba tudi, da obstoj skupne odgovornosti ne pomeni enakovredne odgovornosti. Nasprotno, različni upravljavci so lahko za obdelavo osebnih podatkov odgovorni v različnih fazah in v različnem obsegu.(35)
76. Po mnenju delovne skupine iz člena 29 se „zaradi možnosti večstranskega upravljanja […] pojavlja vse več primerov, ko različne stranke delujejo kot upravljavci. Presoja tega soupravljanja mora biti enaka kot presoja ‚enostranskega‘ upravljanja, pri njej pa je treba uporabiti vsebinski in funkcionalni pristop, ki je osredotočen na vprašanje, ali namene in ključne elemente sredstev določa več kot ena stranka. V okviru soupravljanja ima lahko sodelovanje strank pri določanju namenov in sredstev obdelave različne oblike in ni nujno, da je enakopravno.“(36) Namreč „v primeru več akterjev [je lahko] razmerje med njimi zelo tesno (ko imajo na primer skupne vse namene in sredstva obdelave) ali manj povezano (ko imajo na primer skupne samo namene ali sredstva ali del namenov ali sredstev). Zato je treba pri soupravljanju preučiti širok razpon tipologij in presoditi njihove pravne posledice ter pri tem ohraniti nekaj prožnosti, da se upošteva naraščajoča zapletenost dejanskega stanja obdelave podatkov.“(37)
77. Iz navedenega izhaja, da je treba po mojem mnenju skrbnika strani oboževalcev na družabnem omrežju Facebook obravnavati, kot da je poleg družb Facebook Inc. in Facebook Ireland upravljavec osebnih podatkov, ki se obdelujejo za pripravo statističnih podatkov o uporabnikih te strani.
B. Tretje in četrto vprašanje za predhodno odločanje
78. Predložitveno sodišče želi s tretjim in četrtim vprašanjem za predhodno odločanje, ki ju je treba po mojem mnenju obravnavati skupaj, od Sodišča dobiti pojasnila o razlagi členov 4(1)(a) ter 28(1), (3) in (6) Direktive 95/46 v primeru, ko matična družba s sedežem zunaj Unije, kot je Facebook Inc., ponuja storitve v zvezi z družabnim omrežjem na ozemlju Unije prek več poslovnih enot. Matična družba eno od teh poslovnih enot imenuje za upravljavca osebnih podatkov na ozemlju Unije (Facebook Ireland), drugo pa za promocijo, prodajo oglasnih prostorov in dejavnosti trženja, katerih ciljna skupina so prebivalci Nemčije (Facebook Germany). V tem primeru želi predložitveno sodišče izvedeti, prvič, ali je nemški nadzorni organ pooblaščen za izvajanje pooblastil za posredovanje, da bi prenehala sporna obdelava osebnih podatkov, in drugič, proti kateri poslovni enoti se taka pooblastila lahko izvajajo.
79. V odgovor na dvom, ki sta ga ULD in italijanska vlada izrazila glede dopustnosti tretjega in četrtega vprašanja za predhodno odločanje, naj navedem, da Bundesverwaltungsgericht (zvezno upravno sodišče) v predložitveni odločbi pojasnjuje, da potrebuje pojasnila o teh vprašanjih, da bi lahko odločilo o zakonitosti odredbe iz spora o glavni stvari. To sodišče zlasti navaja, da bi bila lahko v zvezi z odredbo, izdano proti Wirtschaftsakademie, storjena napaka pri presoji in da bi bila zato ta odredba lahko nezakonita, če bi bilo kršitve zakonodaje o varstvu podatkov, ki jih zatrjuje ULD, mogoče odpraviti z neposrednim ukrepanjem proti hčerinski družbi Facebook Germany, ki ima sedež v Nemčiji.(38) Na podlagi tega premisleka predložitvenega sodišča je po mojem mnenju mogoče dobro razumeti razloge za postavitev tretjega in četrtega vprašanja za predhodno odločanje Sodišču. Glede na domnevo upoštevnosti, ki je povezana s predlogi za sprejetje predhodne odločbe,(39) zato Sodišču predlagam, naj odgovori na ti vprašanji.
80. Člen 4 Direktive 95/46, naslovljen „Uporaba nacionalne zakonodaje“, določa:
„1. Vsaka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme v skladu s to direktivo, kadar:
(a) se obdelava izvaja v okviru dejavnosti ustanovitve [poslovne enote] upravljavca na ozemlju države članice; kadar je isti upravljavec ustanovljen na ozemlju več držav članic, mora sprejeti potrebne ukrepe za zagotovitev, da vsaka od teh ustanovitev [poslovnih enot] izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo;
[…]“
81. Delovna skupina iz člena 29 v Mnenju 8/2010 z dne 16. decembra 2010 o pravu, ki se uporablja,(40) omenja uporabo člena 4(1)(a) Direktive 95/46 v naslednjem primeru: „Platforma socialnega omrežja ima sedež v tretji državi in ustanovitev [poslovno enoto] v državi članici. Ustanovitev [poslovna enota] določa in izvaja politiko, ki se nanaša na obdelavo osebnih podatkov prebivalcev [Unije]. Socialno omrežje je aktivno usmerjeno na državljane vseh držav članic [Unije], ki predstavljajo velik del njegovih uporabnikov in prihodka. Poleg tega tudi namešča piškotke na računalnike uporabnikov v [Uniji]. V tem primeru je v skladu s členom 4(1)a [Direktive 95/46] pravo, ki se uporablja, pravo o varstvu podatkov države članice, v kateri ima družba v [Uniji] svojo ustanovitev [poslovno enoto]. Vprašanje, ali socialno omrežje uporablja opremo, ki se nahaja na ozemlju druge države članice, ni pomembno, ker celotna obdelava poteka v okviru dejavnosti ene ustanovitve [poslovne enote] in Direktiva izključuje kumulativno uporabo členov 4(1)(a) in 4(1)c [te direktive].“(41) Delovna skupina iz člena 29 pojasnjuje še, da je „v skladu s členom 28(6) [navedene direktive] dolžnost nadzornega organa države članice, v kateri je socialno omrežje ustanovljeno v EU, da sodeluje z drugimi nadzornimi organi, da lahko na primer obravnava zahteve ali pritožbe prebivalcev drugih držav [Unije]“.(42)
82. Primer, predstavljen v prejšnji točki, nikakor ne povzroča težav v zvezi z določitvijo nacionalnega prava, ki se uporablja. Ker ima namreč v tem primeru matična družba v Uniji samo eno poslovno enoto, se za zadevno obdelavo osebnih podatkov uporablja pravo države članice, v kateri je ta poslovna enota.
83. Položaj se zaplete, če – tako kot v tej zadevi – družba s sedežem v tretji državi, kot je Facebook Inc., opravlja svoje dejavnosti v Uniji na eni strani prek poslovne enote, ki ji je podelila izključno odgovornost za zbiranje in obdelavo osebnih podatkov v skupini Facebook na celotnem ozemlju Unije (Facebook Ireland), ter na drugi strani prek drugih poslovnih enot, od katerih je ena na ozemlju Nemčije (Facebook Germany) in je glede na navedbe v predložitveni odločbi zadolžena za promocijo in prodajo oglasnih prostorov in druge dejavnosti trženja, katerih ciljna skupina so prebivalci te države članice.(43)
84. Ali je v takem primeru nemški nadzorni organ pristojen za izvajanje pooblastil za posredovanje, katerih namen je ustaviti obdelavo osebnih podatkov, za katero sta skupaj odgovorni družbi Facebook Inc. in Facebook Ireland?
85. Za odgovor na to vprašanje je treba ugotoviti, ali je nemški nadzorni organ upravičen uporabiti svoje nacionalno pravo za tako obdelavo.
86. V zvezi s tem iz člena 4(1)(a) Direktive 95/46 izhaja, da obdelavo podatkov, ki se izvaja v okviru dejavnosti poslovne enote, ureja pravo države članice, na ozemlju katere je ta poslovna enota.
87. Sodišče je že odločilo, da glede na cilj te direktive, da se zagotovi učinkovito in popolno varstvo temeljnih svoboščin in pravic fizičnih oseb ter predvsem pravice do zasebnosti pri obdelavi osebnih podatkov, izraza „v okviru dejavnosti“ iz člena 4(1)(a) navedene direktive ni mogoče razlagati ozko.(44)
88. Uporaba zakona države članice o prenosu za obdelavo osebnih podatkov predpostavlja, da sta izpolnjena dva pogoja. Prvič, upravljavec te obdelave mora imeti „poslovno enoto“ v tej državi članici. Drugič, navedena obdelava se mora opravljati „v okviru dejavnosti“ te poslovne enote.
89. Na prvem mestu je Sodišče glede pojma „poslovna enota“ v smislu člena 4(1)(a) Direktive 95/46 s široko in prožno razlago tega pojma že pojasnilo, da obsega vsakršno resnično in dejansko, čeprav majhno, dejavnost, ki se opravlja prek stalne enote,(45) kar torej izključuje vsakršen formalistični pristop.(46)
90. S tega vidika je treba presoditi tako stopnjo stalnosti poslovne enote kot dejanskost opravljanja dejavnosti v zadevni državi članici,(47) pri tem pa upoštevati posebno naravo obravnavanih gospodarskih dejavnosti in storitev.(48) V zvezi s tem ni sporno, da družba Facebook Germany, ki ima sedež v Hamburgu (Nemčija), dejansko in resnično opravlja dejavnost prek stalne enote v Nemčiji. Zato je „poslovna enota“ v smislu člena 4(1)(a) Direktive 95/46.
91. Na drugem mestu je Sodišče glede vprašanja, ali se zadevna obdelava osebnih podatkov izvaja „v okviru dejavnosti“ te poslovne enote v smislu člena 4(1)(a) Direktive 95/46, že ugotovilo, da ta določba ne zahteva, naj se obdelava zadevnih osebnih podatkov izvede „s strani“ zadevne poslovne enote, ampak zgolj, da se izvaja v „okviru dejavnosti“, ki jo ta poslovna enota opravlja.(49)
92. Kot izhaja iz Mnenja 8/2010 je „[p]ojem ‚okvir dejavnosti‘ (in ne lokacija podatkov) […] odločilen dejavnik pri določanju obsega uporabe veljavnega prava. Pojem ‚okvir dejavnosti‘ pomeni, da veljavno pravo ni pravo države članice, v kateri je ustanovljen upravljavec, temveč je to pravo države članice, v kateri ustanovitev [poslovna enota] upravljavca sodeluje v dejavnostih [v zvezi z obdelavo osebnih podatkov ali ki vključujejo to obdelavo]. V tej zvezi je stopnja vključenosti ustanovitve(-ev) [poslovne enote oziroma poslovnih enot] v dejavnosti, v okviru katerih se obdelujejo osebni podatki, bistvenega pomena. Poleg tega je treba upoštevati naravo dejavnosti ustanovitev [poslovnih enot] in potrebo po zagotavljanju učinkovitega varstva pravic posameznikov. Pri analiziranju teh meril je potreben funkcijski pristop: bolj kot teoretično vrednotenje, ki ga stranke izvajajo glede veljavnega prava, sta odločilnega pomena njihovo praktično vedenje in medsebojno delovanje.“(50)
93. Sodišče je moralo v sodbi z dne 13. maja 2014, Google Spain in Google,(51) preveriti upoštevanje tega pogoja. Uporabilo je široko razlago, ko je menilo, da se obdelava osebnih podatkov, ki se izvaja za potrebe iskalnika, kot je Google Search, ki ga upravlja podjetje s sedežem v tretji državi, ki pa ima poslovno enoto v državi članici, izvaja „v okviru dejavnosti“ te poslovne enote, če je namen te poslovne enote, da v tej državi članici zagotovi trženje in prodajo oglasnega prostora na tem iskalniku, namen katerega je, da je storitev, ki se zagotavlja z iskalnikom, donosna.(52) Sodišče je namreč ugotovilo, da so „[v] takih okoliščinah […] dejavnosti upravljavca iskalnika in dejavnosti njegove poslovne enote v zadevni državi članici neločljivo povezane, ker so dejavnosti, ki se nanašajo na oglasni prostor, sredstvo, s katerim iskalnik postane donosen, in ker je hkrati ta iskalnik sredstvo, ki omogoča izvajanje teh dejavnosti“.(53) Sodišče je v podporo svoji rešitvi dodalo, da ker je prikazu osebnih podatkov na strani zadetkov iskanja „na isti strani dodan prikaz oglasov, povezanih z iskanimi izrazi, je treba ugotoviti, da je obdelava zadevnih osebnih podatkov izvedena v okviru oglaševalne in tržne dejavnosti poslovne enote upravljavca na ozemlju države članice, ki je v obravnavanem primeru Španija“.(54)
94. Glede na navedbe v predložitveni odločbi pa je družba Facebook Germany zadolžena za promocijo in prodajo oglasnega prostora ter druge dejavnosti trženja, katerih ciljna skupina so prebivalci Nemčije. Ker je namen obdelave osebnih podatkov, ki je obravnavana v postopku v glavni stvari in zajema zbiranje takih podatkov prek piškotkov, nameščenih na računalnikih obiskovalcev strani oboževalcev, predvsem Facebooku omogočiti boljše usmerjanje oglasov, ki jih posreduje, je treba za tako obdelavo šteti, da se izvaja v okviru dejavnosti, ki jih Facebook Germany opravlja v Nemčiji. V zvezi s tem ob upoštevanju tega, da družabno omrežje, kot je Facebook, ustvari večino prihodkov z oglaševanjem na spletnih straneh, ki jih vzpostavijo uporabniki in do katerih dostopajo uporabniki,(55) je treba ugotoviti, da so dejavnosti skupnih upravljavcev, ki sta družbi Facebook Inc. in Facebook Ireland, neločljivo povezane z dejavnostmi poslovne enote, kot je Facebook Germany. Poleg tega je po obdelavi osebnih podatkov, omogočeni z namestitvijo piškotka na računalnik osebe, ki obišče stran z imenom domene Facebook.com, obisk Facebookove strani povezan s prikazom oglasov, povezanih s središči interesov tega obiskovalca, na isti spletni strani. Iz tega je treba sklepati, da je obdelava zadevnih osebnih podatkov izvedena v okviru oglaševalske in tržne dejavnosti poslovne enote upravljavca na ozemlju države članice, ki je v obravnavanem primeru Nemčija.
95. Okoliščina, da ima skupina Facebook, drugače kot v zadevi, v kateri je bila izdana sodba z dne 13. maja 2014, Google Spain in Google,(56) evropski sedež, v obravnavanem primeru na Irskem, ne nasprotuje temu, da se razlaga člena 4(1)(a) Direktive 95/46, ki jo je Sodišče uporabilo v tej sodbi, prenese na okvir te zadeve. Sodišče je v navedeni sodbi izrazilo željo preprečiti, da za obdelavo osebnih podatkov ne bi veljale obveznosti in jamstva iz te direktive. V okviru tega postopka je bilo navedeno, da naj v tem primeru ne bi bilo težave, povezane s takim izogibanjem, saj ima upravljavec sedež v državi članici, v obravnavanem primeru na Irskem. Zato naj bi bilo treba po tej logiki člen 4(1)(a) navedene direktive razlagati tako, da temu upravljavcu nalaga, da upošteva samo eno nacionalno zakonodajo in da je zanj pristojen samo en nadzorni organ, to sta irska zakonodaja in irski organ.
96. Vendar je taka razlaga v nasprotju z besedilom člena 4(1)(a) Direktive 95/46 in zgodovino nastanka te določbe. Kot je belgijska vlada pravilno ugotovila na obravnavi, se namreč s to direktivo ne uvaja niti sistem „vse na enem mestu“ niti načelo izvorne države.(57) V zvezi s tem ne smemo mešati političnega cilja, ki ga je Evropska komisija uresničevala v predlogu direktive, in rešitve, ki jo je nazadnje potrdil Svet Evropske unije. Ta zakonodajalec se je v navedeni direktivi odločil, da ne bo dal prednosti uporabi nacionalnega prava države članice, v kateri je glavna poslovna enota upravljavca. Rezultat Direktive 95/46 kaže voljo držav članic, da ohranijo svoja nacionalna izvedbena pooblastila. S tem ko zakonodajalec Unije ni upošteval načela izvorne države, je vsaki državi članici omogočil, da uporablja svojo nacionalno zakonodajo, s tem pa je omogočil prekrivanje nacionalnih zakonodaj, ki se uporabljajo.(58)
97. Zakonodajalec Unije se je s členom 4(1)(a) navedene direktive namerno odločil, da v primeru več poslovnih enot upravljavca znotraj Evropske unije omogoči, da se za obdelave osebnih podatkov rezidentov zadevnih držav članic lahko uporablja več nacionalnih zakonodaj o varstvu osebnih podatkov, da se zagotovi učinkovito varstvo pravic teh rezidentov v teh državah članicah.
98. To je potrjeno v uvodni izjavi 19 Direktive 95/46, v kateri je pojasnjeno, da „kadar je ustanovljen en sam upravljavec na ozemlju več držav članic predvsem prek podružnic, mora zato da bi preprečil vsakršno izogibanje nacionalnim predpisom, zagotoviti, da vsaka izmed ustanovitev izpolnjuje obveznosti, ki jih nalaga nacionalna zakonodaja na področju njenih dejavnosti“.
99. Iz člena 4(1)(a) Direktive 95/46, ki v drugem stavku v skladu s tem, kar je navedeno v uvodni izjavi 19 te direktive, določa, da kadar je isti upravljavec ustanovljen na ozemlju več držav članic, mora sprejeti potrebne ukrepe za zagotovitev, da vsaka od teh poslovnih enot izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo, torej sklepam, da struktura skupine, za katero je značilnih več poslovnih enot upravljavca v več državah članicah, ne sme povzročiti, da se ta lahko izogne pravu države članice, na ozemlju katere je ustanovljena vsaka od teh poslovnih enot.
100. Dodati moram, da razlage, ki je naklonjena izključni uporabi prava države članice, v kateri je evropski sedež mednarodne skupine, po mojem mnenju ni več mogoče zagovarjati od sodbe z dne 28. julija 2016, Verein für Konsumenteninformation.(59) Sodišče je v tej sodbi odločilo, da obdelavo osebnih podatkov, ki jo izvaja podjetje za elektronsko poslovanje, ureja pravo države članice, na katero to podjetje usmerja svojo dejavnost, če se izkaže, da to podjetje izvaja obdelavo zadevnih podatkov v okviru dejavnosti poslovne enote, ki je v tej državi članici. Sodišče je odločilo tako, čeprav je Amazon, tako kot Facebook, podjetje, ki ne le da ima evropski sedež v državi članici, ampak je tudi fizično prisotno v več državah članicah. Tudi v takem primeru je treba preučiti, ali se podatki obdelujejo v okviru dejavnosti poslovne enote v državi članici, ki ni država članica, v kateri je evropski sedež upravljavca.
101. Kot ugotavlja belgijska vlada, je torej povsem mogoče, da je za uporabo člena 4(1)(a) Direktive 95/46 upoštevna poslovna enota, ki ni poslovna enota evropskega sedeža podjetja.
102. V okviru sistema, vzpostavljenega s to direktivo, kraj, kjer se izvaja obdelava, kot tudi kraj, kjer ima upravljavec sedež v Uniji, torej nista odločilna –– za določitev nacionalnega prava, ki se uporablja za obdelavo podatkov, in pooblastitev nadzornega organa za izvajanje pooblastil za posredovanje, če ima ta upravljavec več poslovnih enot znotraj Unije.
103. V zvezi s tem Sodišče po mojem mnenju ne bi smelo prehitevati ureditve, ki je bila uvedena s Splošno uredbo o varstvu podatkov,(60) ki se bo uporabljala od 25. maja 2018. V okviru te ureditve je vzpostavljen sistem „vse na enem mestu“. To pomeni, da bo imel upravljavec, ki bo izvajal čezmejne obdelave – kot je Facebook – za sogovornika samo en nadzorni organ, in sicer vodilni nadzorni organ, ki bo organ v kraju, kjer ima upravljavec glavno poslovno enoto. Vendar se ta ureditev in izpopolnjen mehanizem sodelovanja, ki ga uvaja, še ne uporabljata.
104. Ker se je Facebook odločil, da je njegov glavni sedež v Uniji na Irskem, mora nadzorni organ te države članice imeti pomembno vlogo pri preverjanju, ali Facebook upošteva pravila, ki izhajajo iz Direktive 95/46. Kot ta organ sam priznava, pa to ne pomeni, da ima v okviru sedanjega sistema, temelječega na tej direktivi, izključno pristojnost v zvezi z dejavnostmi družbe Facebook v Uniji.(61)
105. Na podlagi vseh teh elementov tako kot belgijska in nizozemska vlada ter ULD menim, da se razlaga, ki jo je Sodišče v zvezi s členom 4(1)(a) Direktive 95/46 podalo v sodbi z dne 13. maja 2014,(62) Google Spain in Google, uporablja tudi v položaju, kakršen je ta v postopku v glavni stvari, ko ima upravljavec sedež v državi članici Unije in več poslovnih enot v Uniji.
106. Zato je treba na podlagi navedb predložitvenega sodišča v zvezi z naravo dejavnosti, ki jih opravlja Facebook Germany, sklepati, da se sporna obdelava osebnih podatkov izvaja v okviru dejavnosti te poslovne enote in da člen 4(1)(a) Direktive 95/46 v položaju, kakršen je ta v postopku v glavni stvari, omogoča uporabo nemškega prava o varstvu osebnih podatkov.(63)
107. Nemški nadzorni organ je torej pristojen, da za obdelavo osebnih podatkov, ki je predmet spora o glavni stvari, uporabi svoje nacionalno pravo.
108. Iz člena 28(1) te direktive izhaja, da vsak nadzorni organ, ki ga ustanovi država članica, zagotavlja, da se na ozemlju te države članice upoštevajo predpisi, ki so jih države članice sprejele na podlagi Direktive 95/46.
109. Na podlagi člena 28(3) Direktive 95/46 imajo ti nadzorni organi predvsem preiskovalna pooblastila, kakršna so pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njihovih nadzornih nalog, ter učinkovita pooblastila za posredovanje, kakršna so odrejanje blokiranja, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave ali opozarjanje ali opominjanje upravljavca. Ta pooblastila za posredovanje lahko vključujejo pooblastilo za sankcioniranje upravljavca podatkov s tem, da se mu naloži globa.(64)
110. Člen 28(6) Direktive 95/46 pa določa:
„Vsak nadzorni organ je pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo. Od vsakega nadzornega organa je mogoče zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice.
Nadzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij.“
111. Glede na to, da se za obdelavo osebnih podatkov, ki je predmet spora o glavni stvari, uporablja pravo njegove države članice, lahko nemški nadzorni organ izvaja vsa svoja pooblastila za posredovanje, da bi zagotovil, da Facebook na nemškem ozemlju uporablja in upošteva nemško pravo. Taka ugotovitev izhaja iz sodbe z dne 1. oktobra 2015, Weltimmo,(65) ki je omogočila, da se pojasni obseg člena 28(1), (3) in (6) Direktive 95/46.
112. Glavna težava te zadeve je bila določitev pristojnosti madžarskega nadzornega organa za naložitev globe ponudniku storitev s sedežem v drugi državi članici, to je na Slovaškem. Za določitev te pristojnosti je bilo treba najprej preučiti, ali se na podlagi merila iz člena 4(1)(a) Direktive 95/46 madžarsko pravo uporablja ali ne.
113. Sodišče je v prvem delu odgovora predložitvenemu sodišču podalo nekatere napotke, na podlagi katerih je lahko to ugotovilo obstoj poslovne enote upravljavca na Madžarskem. Poleg tega je ugotovilo, da se je ta obdelava podatkov izvajala v okviru dejavnosti te poslovne enote in da člen 4(1)(a) Direktive 95/46 v položaju, kakršen je bil v tej zadevi, omogoča uporabo madžarskega prava o varstvu osebnih podatkov.
114. S tem prvim delom odgovora Sodišča je bilo torej mogoče potrditi pristojnost madžarskega nadzornega organa, da na podlagi madžarskega prava ponudniku storitev s sedežem v drugi državi članici, v obravnavanem primeru družbi Weltimmo, naloži globo.
115. Povedano drugače, od trenutka, ko je bilo na podlagi merila iz člena 4(1)(a) Direktive 95/46 madžarsko pravo mogoče priznati kot nacionalno pravo, ki se uporablja, je bil madžarski nadzorni organ pristojen za zagotavljanje upoštevanja tega prava, če bi ga upravljavec, čeprav je registriran na Slovaškem, kršil. Na podlagi te določbe Direktive 95/46 se je lahko štelo, da je družba Weltimmo, čeprav je registrirana na Slovaškem, ustanovljena tudi na Madžarskem. Obstoj poslovne enote upravljavca, ki opravlja dejavnosti, v okviru katerih se je izvajala ta obdelava, na Madžarskem je bil torej temeljni kamen, potreben za priznanje uporabe madžarskega prava in posledično pristojnosti madžarskega nadzornega organa za zagotavljanje upoštevanja tega prava na madžarskem ozemlju.
116. Drugi del odgovora Sodišča, v katerem je to moralo poudariti načelo teritorialne uporabe pooblastil vsakega nadzornega organa, je bil dan samo podredno, in sicer „za primer, da bi madžarski nadzorni organ štel, da družba Weltimmo poslovne enote v smislu člena 4(1)(a) Direktive 95/46, ki opravlja dejavnosti, v okviru katerih se izvaja obdelava osebnih podatkov, nima na Madžarskem, temveč v drugi državi članici“.(66) Šlo je torej za odgovor na vprašanje, ali „bi bilo treba v primeru, da bi madžarski nadzorni organ ugotovil, da se za obdelavo osebnih podatkov ne uporabi madžarsko pravo, temveč pravo druge države članice, člen 28(1), (3) in (6) Direktive 95/46 razlagati tako, da lahko ta organ v skladu s pravom te druge države članice izvaja le pooblastila, določena v členu 28(3) te direktive, in ni pooblaščen za naložitev globe“.(67)
117. Sodišče je v tem drugem delu odgovora zato pojasnilo tako materialni kot teritorialni obseg pooblastil, ki jih nadzorni organ lahko izvaja v posebnem primeru, to je ko se ne uporablja pravo države članice tega nadzornega organa.
118. Sodišče je menilo, da v takem primeru „pooblastila tega organa ne obsegajo nujno vseh tistih, ki so mu podeljena v skladu s pravom lastne države članice“.(68) Tako „lahko ta organ svoja preiskovalna pooblastila izvaja ne glede na pravo, ki se uporablja, in celo preden izve, katero nacionalno pravo se uporablja za obravnavano obdelavo. Vendar če ugotovi, da se uporabi pravo druge države članice, ne more naložiti sankcij zunaj ozemlja lastne države članice. V takem položaju mora na podlagi dolžnosti sodelovanja, ki jo določa člen 28(6) te direktive, nadzornemu organu te druge države članice predlagati, naj ugotovi morebitno kršitev tega prava in naloži sankcije, če jih to pravo dopušča, pri čemer se po potrebi opre na informacije, ki jih je posredoval.“(69)
119. Iz sodbe z dne 1. oktobra 2015, Weltimmo,(70) sem za to zadevo izpeljal naslednja spoznanja.
120. Drugače kot v hipotezi, na katero je Sodišče oprlo premisleke o pooblastilih nadzornega organa v tem drugem delu sodbe z dne 1. oktobra 2015, Weltimmo,(71) tu obravnavana zadeva ustreza primeru, podobnemu tistemu, ki ustreza prvemu delu navedene sodbe, v katerem je – kot sem navedel zgoraj – nacionalno pravo, ki se uporablja, pravo države članice nadzornega organa, ki izvaja svoja pooblastila za posredovanje, in to zaradi obstoja poslovne enote upravljavca podatkov, katerega dejavnost je neločljivo povezana z obdelavo teh podatkov, na ozemlju te države članice. Obstoj te poslovne enote v Nemčiji je temeljni kamen, potreben za uporabo nemškega prava za sporno obdelavo osebnih podatkov.
121. Ko je ta pogoj izpolnjen, je treba nemškemu nadzornemu organu priznati pristojnost za zagotavljanje, da se na nemškem ozemlju upoštevajo pravila o varstvu osebnih podatkov, tako da izvaja vsa pooblastila, ki jih ima na podlagi nemških določb, s katerimi je prenesen člen 28(3) Direktive 95/46. Taka pooblastila lahko vključujejo odredbo o začasni ali dokončni prepovedi obdelave podatkov.
122. Glede vprašanja, na koga mora biti naslovljen tak ukrep, sta možni dve rešitvi.
123. V skladu s prvo rešitvijo ob strogem razumevanju ozemeljskega področja uporabe pooblastil za posredovanje, ki jih imajo nadzorni organi, lahko ti izvajajo ta pooblastila samo proti poslovni enoti upravljavca, ki se nahaja na ozemlju njihove države članice. Če ta poslovna enota, v obravnavanem primeru Facebook Germany, tako kot v okviru te zadeve, ni upravljavec in torej ne more sama izpolniti zahteve nadzornega organa v zvezi s prenehanjem obdelave podatkov, mora to zahtevo posredovati upravljavcu, da jo ta lahko izpolni.
124. Nasprotno pa je v skladu z drugo rešitvijo upravljavec, ker je edini, ki odločilno vpliva na zadevno obdelavo podatkov, tisti, na katerega bi moral biti neposredno naslovljen ukrep, s katerim je odrejeno prenehanje take obdelave.
125. Po mojem mnenju bi ta rešitev morala prevladati, ker je skladna s temeljno vlogo, ki jo ima upravljavec v okviru sistema, vzpostavljenega z Direktivo 95/46.(72) Ker se s tako rešitvijo izognemo obvezni vključitvi poslovne enote, ki opravlja dejavnosti, v okviru katerih se izvaja obdelava, bi lahko zagotovila takojšnjo in učinkovito uporabo nacionalnih pravil o varstvu osebnih podatkov. Poleg tega nadzorni organ, ki neposredno na upravljavca, ki ni ustanovljen na ozemlju njegove države članice, kot je Facebook Inc. ali Facebook Ireland, naslovi odredbo o prenehanju obdelave podatkov, ostane znotraj meja svoje pristojnosti, ki je zagotavljati, da je ta obdelava skladna s pravom te države na njenem ozemlju. V zvezi s tem ni pomembno, ali ima upravljavec ali upravljavci sedež v državi članici ali v tretji državi.
126. Naj v zvezi s predlogom odgovora na prvo in drugo vprašanje za predhodno odločanje pojasnim, da glede na cilj zagotavljanja čim popolnejšega varstva pravic oseb, ki obiskujejo strani oboževalcev, možnost ULD, da izvaja svoja pooblastila za posredovanje proti Facebook Inc. in Facebook Ireland, po mojem mnenju nikakor ne izključuje sprejetja ukrepov proti Wirtschaftsakademie in torej sama ne more vplivati na zakonitost teh ukrepov.(73)
127. Iz navedenega izhaja, da je treba člen 4(1)(a) Direktive 95/46 razlagati tako, da se obdelava osebnih podatkov, kakršna je ta iz spora o glavni stvari, izvaja v okviru dejavnosti poslovne enote upravljavca te obdelave na ozemlju države članice v smislu te določbe, če podjetje, ki upravlja družabno omrežje, v tej državi članici ustanovi hčerinsko družbo, ki se ukvarja s trženjem in prodajo oglasnega prostora, ki ga ponuja to podjetje, in katere dejavnost je usmerjena k prebivalcem te države članice.
128. Poleg tega v primeru, kakršen se obravnava v postopku v glavni stvari, ko je nacionalno pravo, ki se uporablja za zadevno obdelavo osebnih podatkov, pravo države članice nadzornega organa, je treba člen 28(1), (3) in (6) Direktive 95/46 razlagati tako, da lahko ta nadzorni organ vsa učinkovita pooblastila za posredovanje, ki so mu podeljena v skladu s členom 28(3) te direktive, izvaja proti upravljavcu, tudi ko ima ta upravljavec sedež v drugi državi članici ali tretji državi.
C. Peto in šesto vprašanje za predhodno odločanje
129. Predložitveno sodišče s petim in šestim vprašanjem za predhodno odločanje, ki ju je treba po mojem mnenju preučiti skupaj, v bistvu Sodišče prosi za odločitev, ali je treba člen 28(1), (3) in (6) Direktive 95/46 razlagati tako, da je v okoliščinah, kakršne so te iz postopka v glavni stvari, nadzorni organ države članice, v kateri je poslovna enota upravljavca (Facebook Germany), pooblaščen, da svoja pooblastila za posredovanje izvaja samostojno in ne da bi moral nadzorni organ države članice, v kateri se nahaja upravljavec (Facebook Ireland), predhodno zaprositi, naj izvaja svoja pooblastila.
130. Bundesverwaltungsgericht (zvezno upravno sodišče) v predložitveni odločbi pojasnjuje povezavo med tema vprašanjema in nadzorom nad zakonitostjo odredbe, ki ga mora opraviti v okviru spora o glavni stvari. To sodišče tako v bistvu navaja, da bi bilo za odredbo proti Wirtschaftsakademie mogoče šteti, da je bila izdana zaradi napake pri presoji ULD, če bi bilo treba člen 28(6) Direktive 95/46 razlagati tako, da v okoliščinah, kakršne so te v sporu o glavni stvari, obveznost nadzornega organa, kot je ULD, da nadzorni organ druge države članice, v obravnavanem primeru Data Protection Commissioner (nadzorni organ za varstvo podatkov), zaprosi, naj izvaja svoja pooblastila v primeru različne presoje teh dveh organov glede skladnosti obdelave podatkov, ki jo izvaja Facebook, s pravili, ki izhajajo iz Direktive 95/46.
131. Kot je Sodišče odločilo v sodbi z dne 1. oktobra 2015, Weltimmo,(74) je treba v primeru, ko pravo, ki se uporablja za zadevno obdelavo osebnih podatkov, ni pravo države članice nadzornega organa, ki želi izvajati svoja pooblastila za posredovanje, temveč pravo druge države članice, člen 28(1), (3) in (6) Direktive 95/46 razlagati tako, da ta organ na podlagi prava svoje države članice ne more naložiti sankcij upravljavcu, ki nima sedeža na ozemlju te države članice, temveč mora na podlagi člena 28(6) te direktive zaprositi za posredovanje nadzorni organ države članice, katere pravo se uporablja.(75)
132. V takem primeru nadzorni organ prve države članice izgubi pristojnost za izvajanje pooblastila za sankcioniranje upravljavca, ki ima sedež v drugi državi članici. Zato mora na podlagi dolžnosti sodelovanja, ki jo določa člen 28(6) te direktive, nadzornemu organu te druge države članice predlagati, naj ugotovi morebitno kršitev prava navedene države in naloži sankcije, če jih to pravo dopušča, pri čemer se po potrebi opre na informacije, ki mu jih je posredoval.(76)
133. Kot sem navedel zgoraj, je položaj v tej zadevi povsem drugačen, ker se uporablja pravo države članice nadzornega organa, ki želi izvajati svoja pooblastila za posredovanje. V tem primeru je treba člen 28(6) Direktive 95/46 razlagati tako, da temu nadzornemu organu ne nalaga, da nadzorni organ države članice, v kateri ima sedež upravljavec, zaprosi za izvajanje njegovih pooblastil za posredovanje proti temu upravljavcu.
134. Dodati moram, da v skladu s členom 28(1), drugi stavek, Direktive 95/46 nadzorni organ, ki je pristojen za izvajanje svojih pooblastil za posredovanje proti upravljavcu s sedežem v državi članici, ki ni država članica tega organa, popolnoma samostojno izvaja naloge, ki so mu dodeljene.
135. Kot izhaja iz navedenega, Direktiva 95/46 ne določa niti načela izvorne države niti sistema „vse na enem mestu“, kot je predviden v Uredbi 2016/679. Upravljavec, ki ima poslovne enote v več državah članicah, je zato v celoti podvržen nadzoru več nadzornih organov, kadar se uporablja pravo držav članic teh nadzornih organov. Čeprav sta dogovarjanje in sodelovanje teh nadzornih organov seveda zaželena, pa nadzornega organa, katerega pristojnost je priznana, nič ne zavezuje, da svoje stališče uskladi s stališčem drugega nadzornega organa.
136. Iz navedenega sklepam, da je treba člen 28(1), (3) in (6) Direktive 95/46 razlagati tako, da sme v okoliščinah, kakršne so te iz postopka v glavni stvari, nadzorni organ države članice, v kateri je poslovna enota upravljavca, svoja pooblastila za posredovanje proti temu upravljavcu izvajati samostojno in ne da bi moral nadzorni organ države članice, v kateri je navedeni upravljavec, predhodno zaprositi za izvajanje njegovih pooblastil.
III. Predlog
137. Glede na zgoraj navedeno Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Bundesverwaltungsgericht (zvezno upravno sodišče, Nemčija), odgovori:
1. Člen 2(d) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov v nacionalnem pravu, kakor je bila spremenjena z Uredbo (ES) št. 1882/2003 Evropskega parlamenta in Sveta z dne 29. septembra 2003, je treba razlagati tako, da je skrbnik strani oboževalcev na družabnem omrežju, kot je Facebook, upravljavec v smislu te določbe v zvezi s fazo obdelave osebnih podatkov, ki zajema zbiranje podatkov o osebah, ki obiščejo to stran, s strani tega družabnega omrežja zaradi priprave statističnih podatkov o uporabnikih navedene strani.
2. Člen 4(1)(a) Direktive 95/46, kakor je bila spremenjena z Uredbo št. 1882/2003, je treba razlagati tako, da se obdelava osebnih podatkov, kakršna je ta iz postopka v glavni stvari, izvaja v okviru dejavnosti poslovne enote upravljavca te obdelave na ozemlju države članice v smislu te določbe, če podjetje, ki upravlja družabno omrežje, v tej državi članici ustanovi hčerinsko družbo, ki se ukvarja s trženjem in prodajo oglasnega prostora, ki ga ponuja to podjetje, in katere dejavnost je usmerjena k prebivalcem te države članice.
3. V položaju, kakršen je ta iz postopka v glavni stvari, ko je nacionalno pravo, ki se uporablja za zadevno obdelavo osebnih podatkov, pravo države članice nadzornega organa, je treba člen 28(1), (3) in (6) Direktive 95/46, kakor je bila spremenjena z Uredbo št. 1882/2003, razlagati tako, da lahko ta nadzorni organ vsa učinkovita pooblastila za posredovanje, ki so mu podeljena v skladu s členom 28(3) te direktive, izvaja proti upravljavcu, tudi če ima ta upravljavec sedež v drugi državi članici ali tretji državi.
4. Člen 28(1), (3) in (6) Direktive 95/46, kakor je bila spremenjena z Uredbo št. 1882/2003, je treba razlagati tako, da sme v okoliščinah, kakršne so te iz postopka v glavni stvari, nadzorni organ države članice, v kateri je poslovna enota upravljavca, svoja pooblastila za posredovanje proti temu upravljavcu izvajati samostojno in ne da bi moral nadzorni organ države članice, v kateri je navedeni upravljavec, predhodno zaprositi za izvajanje njegovih pooblastil.