OPINIA RZECZNIKA GENERALNEGO
YVES’A BOTA
przedstawiona w dniu 24 października 2017 r.(1)
Sprawa C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
przeciwko
Wirtschaftsakademie Schleswig-Holstein GmbH,
przy udziale
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesverwaltungsgericht (federalny sąd administracyjny, Niemcy)]
Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Artykuły 2, 4 i 28 – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych – Nakaz dezaktywacji fanpage’a na portalu społecznościowym Facebook – Pojęcie „administratora danych” – Odpowiedzialność administratora fanpage’a – Wspólna odpowiedzialność – Właściwe prawo krajowe – Zakres uprawnień interwencyjnych organów nadzorczych
1. Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 2 lit. d), art. 4 ust. 1, art. 17 ust. 2 oraz art. 28 ust. 3 i 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(2), zmienionej rozporządzeniem (WE) nr 1882/2003 Parlamentu Europejskiego i Rady z dnia 29 września 2003 r.(3).
2. Wniosek ten został złożony w ramach sporu między Wirtschaftsakademie Schleswig-Holstein GmbH, spółką prawa prywatnego specjalizującą się w dziedzinie edukacji (zwaną dalej „Wirtschaftsakademie”) a Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, regionalnym organem ds. ochrony danych kraju związkowego Schlezwik-Holsztyn (zwanym dalej „ULD”) w przedmiocie zgodności z prawem nakazu wydanego przez ULD wobec Wirtschaftsakademie, w którym to nakazie zażądano od niej dezaktywacji fanpage’a (Fanpage) prowadzonego na stronie Facebook Ireland Ltd.
3. Powyższy nakaz jest uzasadniony podnoszonym naruszeniem przepisów prawa niemieckiego transponujących dyrektywę 95/46, w szczególności okolicznością, że osoby odwiedzające fanpage nie są informowane o tym, iż ich dane osobowe są gromadzone przez portal społecznościowy Facebook (zwany dalej „Facebookiem”) dzięki plikom cookies instalowanym na ich twardym dysku, zaś dane te są gromadzone w celu sporządzenia statystyk przeznaczonych dla administratora tej strony i umożliwienia Facebookowi emitowania dedykowanych reklam.
4. Tłem niniejszej sprawy jest zjawisko „webtrackingu”, które polega na obserwowaniu i analizowaniu zachowań użytkowników Internetu w celach handlowych i marketingowych. Ten webtracking pozwala w szczególności określić główne zainteresowania użytkowników Internetu na podstawie obserwowania ich zachowań w sieci. Chodzi więc o „webtracking behawioralny”. Ten ostatni jest prowadzony co do zasady dzięki wykorzystaniu plików cookies.
5. Owe pliki cookies to pliki szpiegujące, które są zapisywane na komputerze internauty podczas przeglądania strony internetowej.
6. Webtracking jest wykorzystywany w szczególności w celu optymalizacji i skuteczniejszej konfiguracji strony internetowej. Pozwala on także reklamodawcom zwracać się w dedykowany sposób do różnych segmentów użytkowników.
7. Zgodnie z definicją podaną przez Grupę Roboczą Artykułu 29 ds. Ochrony Danych(4) w jej opinii 2/2010 z dnia 22 czerwca 2010 r. w sprawie internetowej reklamy behawioralnej(5) „[r]eklama behawioralna to reklama oparta na obserwacji zachowania osób fizycznych przez pewien czas. Dąży do zbadania charakterystyki tego zachowania poprzez analizę działań użytkowników (powtórnie odwiedzane strony, interakcje, słowa kluczowe, produkcja treści internetowych itd.) w celu opracowania specjalnego profilu, a co za tym idzie zapewnienia osobom, których dane dotyczą, reklam dopasowanych do ich ustalonych zainteresowań”(6). Aby uzyskać ten efekt, informacje pochodzące z wyszukiwarki i urządzenia końcowego użytkownika muszą zostać zgromadzone, a następnie wykorzystane. Główna technika śledzenia stosowana w celu monitorowania użytkowników w Internecie bazuje na „szpiegujących plikach cookies”(7). I tak „[m]arketing behawioralny wykorzystuje zgromadzone informacje na temat zachowań użytkowników w zakresie przeglądania stron internetowych, takie jak odwiedzane strony lub wyszukiwania, w celu dobrania do jednostki odpowiedniej reklamy”(8).
8. Śledzenie zachowania w sieci pozwala również na dostarczenie operatorom stron internetowych statystyk użytkowników dotyczących osób oglądających te strony.
9. Gromadzenie i wykorzystywanie danych osobowych do celów tworzenia statystyk użytkowników i emitowania dedykowanych reklam powinny spełniać pewne warunki, aby mogły być zgodne z przepisami dotyczącymi ochrony danych osobowych zawartymi w dyrektywie 95/46. W szczególności, przetwarzanie to nie może następować bez uprzedniego poinformowania zainteresowanych osób i bez ich uprzedniej zgody.
10. Badanie tej zgodności wymaga jednak wcześniejszego rozwiązania szeregu kwestii dotyczących definicji tego, co oznacza administrator danych, ustalenia właściwego prawa krajowego i ustalenia organu właściwego do wykonywania swoich uprawnień interwencyjnych.
11. Kwestia dotycząca określenia administratora danych staje się szczególnie problematyczna w sytuacji, gdy podmiot gospodarczy postanawia nie zainstalować na swojej stronie internetowej narzędzi potrzebnych do stworzenia statystyk użytkowników i emitowania dedykowanych reklam, ale posłużyć się portalem społecznościowym takim jak Facebook, tworząc fanpage w celu skorzystania z podobnych narzędzi.
12. Kwestie dotyczące określenia właściwego prawa krajowego i organu właściwego do wykonywania swoich uprawnień interwencyjnych również komplikują się, gdy rozpatrywane przetwarzanie danych osobowych przebiega z udziałem wielu podmiotów zarówno poza Unią Europejską, jak i w Unii Europejskiej.
13. W sytuacji gdy organy nadzorcze wielu państw członkowskich postanowiły, w ostatnich miesiącach, nałożyć grzywny na Facebooka z powodu naruszenia przepisów dotyczących ochrony danych jego użytkowników(9), rozpatrywana sprawa umożliwi Trybunałowi wyjaśnienie zakresu uprawnień interwencyjnych, jakimi dysponuje organ nadzorczy taki jak ULD w odniesieniu do przetwarzania danych osobowych, w którym uczestniczy wiele podmiotów.
14. Aby dobrze zrozumieć zagadnienia prawne występujące w niniejszej sprawie, należy na wstępie opisać ramy faktyczne sporu w postępowaniu głównym.
I. Okoliczności faktyczne sporu w postępowaniu głównym i pytania prejudycjalne
15. Wirtschaftsakademie oferuje usługi kształcenia przy użyciu fanpage’a prowadzonego na stronie portalu społecznościowego Facebook.
16. Fanpage’e to konta użytkowników, które mogą być skonfigurowane na Facebooku w szczególności przez osoby fizyczne lub przedsiębiorstwa. W tym celu administrator fanpage’a musi zarejestrować się na Facebooku i może w ten sposób wykorzystywać platformę oferowaną przez Facebook do zaprezentowania się użytkownikom tego portalu społecznościowego oraz do umieszczenia informacji wszelkiego rodzaju, aby w szczególności rozwinąć działalność handlową.
17. Administratorzy fanpage’ów mogą uzyskać statystyki użytkowników za pomocą narzędzia „Facebook Insights” udostępnionego im nieodpłatnie przez Facebook w ramach niepodlegających zmianie warunków korzystania. Statystyki te są opracowywane przez Facebook i personalizowane przez administratora fanpage’a za pomocą różnych kryteriów, które może on wybrać, takich jak wiek i płeć. Omawiane statystyki dostarczają więc anonimowych informacji o cechach i zwyczajach osób odwiedzających fanpage’e, pozwalając w ten sposób administratorom tych stron na lepsze dostosowanie ich przekazu.
18. W celu stworzenia takich statystyk użytkowników przynajmniej jeden plik cookie zawierający unikalny numer ID, który jest aktywny przez dwa lata, jest zapisywany przez Facebook na twardym dysku osoby odwiedzającej fanpage. Numer ID, który można powiązać z danymi połączenia użytkowników zarejestrowanych na Facebooku, zostaje pobrany i przetworzony w chwili otwarcia stron Facebooka.
19. Decyzją z dnia 3 listopada 2011 r. ULD nakazał Wirtschaftsakademie na podstawie § 38 ust. 5 zdanie pierwsze Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych, zwanej dalej „BDSG”)(10) dezaktywację fanpage’a utworzonego przez nią na portalu Facebook pod następującym adresem internetowym: https://www.facebook.com/wirtschaftsakademie, pod groźbą grzywny w przypadku niewykonania w wyznaczonym terminie, z tego powodu, że ani Wirtschaftsakademie, ani Facebook nie informowali użytkowników fanpage’a o tym, iż Facebook gromadził ich dane osobowe za pomocą plików cookies oraz że następnie przetwarzał te dane. Wirtschaftsakademie wniosła odwołanie od tej decyzji, w którym podniosła w istocie, że nie była odpowiedzialna z punktu widzenia mającego zastosowanie prawa do ochrony danych ani za przetwarzanie danych dokonywane przez Facebook, ani za zainstalowane przez niego pliki cookies.
20. Decyzją z dnia 16 grudnia 2011 r. ULD oddalił to odwołanie, uznając, że odpowiedzialność Wirtschaftsakademie jako usługodawcy została ustalona na podstawie § 3 ust. 3 pkt 4 i § 12 ust. 1 Telemediengesetz (ustawy o mediach elektronicznych)(11). Tworząc fanpage, Wirtschaftsakademie wniosła również aktywny i dobrowolny wkład w gromadzenie danych osobowych przez Facebook, z którego korzystała dzięki statystykom dotyczącym użytkowników udostępnianym przez ten portal społecznościowy.
21. Wirtschaftsakademie wniosła następnie skargę na tę decyzję do Verwaltungsgericht (sądu administracyjnego, Niemcy), podnosząc, że nie można jej przypisać operacji przetwarzania danych przez Facebook oraz że nie powierzyła ona również Facebookowi, w rozumieniu § 11 BDSG(12), przetwarzania danych, które byłoby przez nią kontrolowane lub na które mogłaby ona wywierać wpływ. Wirtschaftsakademie uważa więc, że ULD niesłusznie zwrócił się przeciwko niej, zamiast bezpośrednio przeciwko Facebookowi.
22. Wyrokiem z dnia 9 października 2013 r. Verwaltungsgericht (sąd administracyjny) uchylił zaskarżoną decyzję, podnosząc w istocie, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG(13) oraz że Wirtschaftsakademie nie mogła w związku z tym być adresatem środka podjętego na podstawie § 38 ust. 5 BDSG.
23. Oberverwaltungsgericht (wyższy sąd administracyjny, Niemcy) oddalił następnie odwołanie ULD od powyższego wyroku jako bezzasadne, uznając w istocie, że zakaz przetwarzania danych nałożony zaskarżoną decyzją był niezgodny z prawem, ponieważ w § 38 ust. 5 zdanie drugie BDSG przewidziano postępowanie progresywne, którego pierwszy etap umożliwia jedynie przyjęcie środków zmierzających do usunięcia stwierdzonych naruszeń przy przetwarzaniu danych. Natychmiastowy zakaz przetwarzania danych jest możliwy tylko wtedy, gdy proces przetwarzania danych jest w całości niezgodny z prawem i tylko wstrzymanie tego procesu może naprawić to naruszenie. Zdaniem Oberverwaltungsgericht (wyższego sądu administracyjnego) nie jest tak w niniejszej sprawie, ponieważ Facebook ma możliwość położenia kresu naruszeniom zarzucanym przez ULD.
24. Nakaz był także niezgodny z prawem z tego powodu, że skarżąca nie była administratorem danych w rozumieniu § 3 ust. 7 BDSG w odniesieniu do danych zgromadzonych przez Facebook przy okazji administrowania fanpage’em oraz że nakaz na podstawie § 38 ust. 5 BDSG może zostać wydany jedynie wobec takiego podmiotu. W niniejszym przypadku wyłącznie Facebook decydował o celu i sposobach związanych z gromadzeniem i przetwarzaniem danych osobowych wykorzystywanych w ramach „Facebook Insights”. Skarżąca natomiast otrzymywała jedynie zanonimizowane informacje statystyczne.
25. Paragraf 38 ust. 5 BDSG nie upoważnia do wydawania nakazów wobec osób trzecich. Tak zwana pośrednia odpowiedzialność („Störerhaftung”) zakłócającego w Internecie, wypracowana w orzecznictwie sądów cywilnych, nie może zostać zastosowana odpowiednio do uprawnień władzy publicznej. Nawet jeśli § 38 ust. 5 BDSG nie wymienia wyraźnie adresatów nakazu zakazu, z systematyki, celu i ducha tego uregulowania, a także z genezy jego powstania wynika, iż adresatem może być jedynie administrator danych.
26. W swojej skardze rewizyjnej (Revision) wniesionej do Bundesverwaltungsgericht (federalnego sądu administracyjnego, Niemcy) ULD podnosi między innymi naruszenie § 38 ust. 5 BDSG i wymienia szereg błędów proceduralnych popełnionych przez sąd odwoławczy. Uważa on, że naruszenie popełnione przez Wirtschaftsakademie polega na tym, iż zleciła ona niewłaściwemu dostawcy, ponieważ nieprzestrzegającemu właściwego prawa w zakresie ochrony danych – w niniejszym przypadku Facebook Ireland – realizację, hosting i prowadzenie strony internetowej. Nakaz dezaktywacji zmierza więc do naprawienia tego naruszenia popełnionego przez Wirtschaftsakademie, ponieważ prowadzi do zakazania jej dalszego używania infrastruktury Facebooka jako technicznej bazy swojej strony internetowej.
27. Sąd odsyłający uważa, że w odniesieniu do gromadzenia i przetwarzania danych osób odwiedzających fanpage przez przypozwaną w postępowaniu głównym, mianowicie Facebook Ireland, Wirtschaftsakademie nie jest „podmiotem, który gromadzi, przetwarza i wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom” w rozumieniu § 3 ust. 7 BDSG ani „organem, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych [osobowych]” w rozumieniu art. 2 lit. d) dyrektywy 95/46. Co prawda, poprzez swoją decyzję o utworzeniu fanpage’a na platformie prowadzonej przez przypozwaną w postępowaniu głównym lub przez jej spółkę dominującą (w niniejszym przypadku Facebook Inc., USA) Wirtschaftsakademie daje w sposób obiektywny przypozwanej w postępowaniu głównym możliwość instalowana plików cookies podczas otwierania tego fanpage’a i gromadzenia tą drogą danych. Decyzja ta nie pozwala jednak Wirtschaftsakademie na wywieranie wpływu, kierowanie, kształtowanie czy też kontrolowanie charakteru i zakresu przetwarzania danych użytkowników jej fanpage’a przez przypozwaną w postępowaniu głównym. Warunki korzystania z fanpage’a nie dają również Wirtschaftsakademie prawa do interwencji lub kontroli. Warunki korzystania ustalone jednostronnie przez przypozwaną w postępowaniu głównym nie są wynikiem procesu negocjacji i nie dają również Wirtschaftsakademie prawa do zakazania przypozwanej w postępowaniu głównym gromadzenia i przetwarzania danych użytkowników fanpage’a.
28. Sąd odsyłający przyznaje, że definicję prawną „administratora danych” zawartą w art. 2 lit. d) dyrektywy 95/46 należy co do zasady interpretować w sposób rozszerzający w interesie skutecznej ochrony prawa do życia prywatnego. Niemniej jednak Wirtschaftsakademie nie odpowiada tej definicji, ponieważ nie ma ona żadnego wpływu pod względem prawnym ani faktycznym na sposoby przetwarzania danych osobowych, które jest dokonywane przez przypozwaną w postępowaniu głównym na jej własną odpowiedzialność i w sposób całkowicie niezależny. W tym względzie nie jest wystarczająca okoliczność, że Wirtschaftsakademie może obiektywnie korzystać z funkcji „Facebook Insights” oferowanej przez przypozwaną w postępowaniu głównym z tego powodu, iż zanonimizowane dane są jej przekazywane w celu korzystania z jej fanpage’a.
29. Zdaniem sądu odsyłającego Wirtschaftsakademie nie może także być uważana za administratora danych działającego na podstawie zlecenia w rozumieniu § 11 BDSG oraz art. 2 lit. e) i art. 17 ust. 2 i 3 dyrektywy 95/46.
30. Sąd ten uważa, że należy wyjaśnić kwestię, czy i pod jakimi warunkami uprawnienia kontrolne i interwencyjne organów nadzorczych w dziedzinie ochrony danych mogą być wykonywane wyłącznie wobec „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46 lub czy jest możliwe przyjęcie odpowiedzialności podmiotu, który nie jest administratorem danych zgodnie z definicją wynikającą z tego samego przepisu z tego powodu, że podmiot ten zdecydował się na korzystanie z Facebooka dla celów swojej oferty informacyjnej.
31. W tej ostatniej sytuacji sąd odsyłający zastanawia się, czy taka odpowiedzialność mogłaby być oparta na stosowaniu przez analogię obowiązków wyboru i kontroli wynikających z art. 17 ust. 2 dyrektywy 95/46 w ramach przetwarzania danych w imieniu administratora danych.
32. Aby móc orzec o zgodności z prawem nakazu wydanego w niniejszej sprawie, sąd odsyłający uważa, że niezbędne jest również wyjaśnienie pewnych kwestii dotyczących właściwości organów nadzorczych i zakresu ich uprawnień interwencyjnych.
33. W szczególności sąd odsyłający zastanawia się nad podziałem kompetencji między organy nadzorcze w przypadku, w którym spółka dominująca, taka jak Facebook Inc., posiada szereg przedsiębiorstw na terytorium Unii, a przedsiębiorstwom tym w ramach grupy powierzone są różne zadania.
34. Sąd odsyłający przypomina w tym względzie, że Trybunał orzekł w swoim wyroku z dnia 13 maja 2014 r., Google Spain i Google(14), iż „art. 4 ust. 1 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że przetwarzanie danych osobowych ma miejsce w ramach działalności gospodarczej prowadzonej przez zakład administratora danych odpowiedzialnego za to przetwarzanie na terytorium danego państwa członkowskiego w rozumieniu tego przepisu, jeśli operator wyszukiwarki internetowej ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo”(15). Sąd odsyłający zastanawia się, czy to powiązanie z przedsiębiorstwem takim jak Facebook Germany GmbH, któremu zostały zgodnie z informacjami zawartymi w postanowieniu odsyłającym powierzone promocja i sprzedaż powierzchni reklamowych oraz inne działania marketingowe skierowane do osób zamieszkujących Niemcy, można odpowiednio zastosować – do celów stosowania dyrektywy 95/46 oraz ustalenia właściwego organu nadzorczego – w sytuacji, w której spółka zależna mająca siedzibę w innym państwie członkowskim (w niniejszym przypadku w Irlandii) działa jako „administrator danych” na całym terytorium Unii.
35. Jeśli chodzi o adresatów środka przyjętego na podstawie art. 28 ust. 3 dyrektywy 95/46, sąd odsyłający wskazuje, że środek w postaci nakazu przyjęty wobec Wirtschaftsakademie mógł wynikać z błędu w ocenie i w konsekwencji być niezgodny z prawem, jeśli można było naprawić zarzucane przez ULD naruszenia właściwego prawa dotyczącego ochrony danych za pomocą środka skierowanego bezpośrednio do spółki zależnej Facebook Germany, która ma siedzibę w Niemczech.
36. Sąd odsyłający zauważa także, że ULD uznał, iż nie jest on związany ustaleniami i ocenami Data Protection Commissioner (organu nadzorczego w zakresie ochrony danych, Irlandia), który zgodnie z informacjami dostarczonymi przez Wirtschaftsakademie oraz przez przypozwaną w postępowaniu głównym nie kwestionował przetwarzania danych osobowych będącego przedmiotem sporu w postępowaniu głównym. Sąd ten zmierza zatem do ustalenia z jednej strony, czy taka niezależna ocena dokonana przez ULD jest dopuszczalna i z drugiej strony, czy art. 28 ust. 6 zdanie drugie dyrektywy 95/46 nakazuje ULD zwrócenie się do organu nadzorczego w zakresie ochrony danych, biorąc pod uwagę rozbieżność w ocenie między tymi dwoma organami nadzorczymi co do zgodności przetwarzania danych rozpatrywanego w postępowaniu głównym z przepisami dyrektywy 95/46, o wykonanie jego uprawnień wobec Facebook Ireland.
37. W takich okolicznościach Bundesverwaltungsgericht (federalny sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy art. 2 lit. d) dyrektywy 95/46/WE należy interpretować w ten sposób, że reguluje on w sposób wyczerpujący odpowiedzialność za naruszenia ochrony danych, czy też w ramach „odpowiednich środków”, o których mowa w art. 24 [tej dyrektywy], i „skutecznych uprawnień interwencyjnych”, o których mowa w art. 28 ust. 3 tiret trzecie [tej dyrektywy], w wielostopniowych stosunkach między zamieszczającymi [udostępniającymi] informacje pozostaje miejsce na odpowiedzialność podmiotu, który nie jest administratorem danych w rozumieniu art. 2 lit. d) [omawianej dyrektywy], w przypadku wyboru operatora udostępnianych przez ten podmiot informacji?
2) Czy z przewidzianego w art. 17 ust. 2 dyrektywy 95/46/WE obowiązku państw członkowskich zobowiązania administratora danych, w przypadku przetwarzania danych w jego imieniu, „do wybrania przetwarzającego o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa” wynika a contrario, że w przypadku innych stosunków użytkowania, które nie są związane z przetwarzaniem danych w imieniu administratora danych w rozumieniu art. 2 lit. e) [tej dyrektywy], nie istnieje obowiązek starannego wyboru i nie może on zostać ustanowiony również na podstawie prawa krajowego?
3) Czy w przypadkach, w których spółka dominująca mająca siedzibę poza Unią Europejską utrzymuje w różnych państwach członkowskich prawnie samodzielne przedsiębiorstwa (spółki zależne), organ nadzorczy państwa członkowskiego (tutaj: Niemiec) jest uprawniony zgodnie z art. 4 i art. 28 ust. 6 dyrektywy 95/46/WE do wykonywania uprawnień powierzonych mu zgodnie z art. 28 ust. 3 [tej dyrektywy] wobec przedsiębiorstwa położonego na jej terytorium również wtedy, jeżeli przedsiębiorstwo to jest odpowiedzialne wyłącznie za promocję sprzedaży reklam i inne działania marketingowe skierowane do mieszkańców tego państwa członkowskiego, podczas gdy zgodnie z podziałem zadań wewnątrz koncernu wyłączna odpowiedzialność za gromadzenie i przetwarzanie danych osobowych na całym terytorium Unii Europejskiej i tym samym również w innym państwie członkowskim (tutaj: Niemczech) spoczywa na położonym w innym państwie członkowskim (tutaj: Irlandii) samodzielnym przedsiębiorstwie (spółce zależnej), jeżeli decyzja o przetwarzaniu danych jest faktycznie podejmowana przez spółkę dominującą?
4) Czy art. 4 ust. 1 lit. a) i art. 28 ust. 3 dyrektywy 95/46/WE należy interpretować w ten sposób, że w przypadkach, w których administrator danych prowadzi przedsiębiorstwo na terytorium jednego państwa członkowskiego (tutaj: Irlandii) i na terytorium innego państwa członkowskiego (tutaj: Niemiec) istnieje kolejne, prawnie samodzielne przedsiębiorstwo, które w szczególności jest odpowiedzialne za sprzedaż powierzchni reklamowych, i którego działalność jest skierowana do mieszkańców tego państwa, właściwy w tym innym państwie członkowskim (tutaj: Niemczech) organ nadzorczy może skierować środki i nakazy w celu egzekwowania ochrony danych również wobec kolejnego przedsiębiorstwa (tutaj: w Niemczech), do którego zgodnie z podziałem zadań wewnątrz koncernu nie należy administrowanie danymi, czy też rzeczone środki i nakazy może stosować jedynie organ nadzorczy państwa członkowskiego (tutaj: Irlandii), na terytorium którego ma swoją siedzibę przedsiębiorstwo administrujące danymi zgodnie z podziałem zadań wewnątrz koncernu?
5) Czy art. 4 ust. 1 lit. a) oraz art. 28 ust. 3 i 6 dyrektywy 95/46/WE należy interpretować w ten sposób, że w przypadkach, w których organ nadzorczy państwa członkowskiego (tutaj: Niemiec) występuje przeciwko działającej na jego terytorium osobie lub jednostce zgodnie z art. 28 ust. 3 [tej dyrektywy] w związku niestarannym wyborem osoby trzeciej włączonej w proces przetwarzania danych (tutaj: przedsiębiorstwa Facebook) z uwagi na to, że ta osoba trzecia narusza przepisy dotyczące ochrony danych, działający organ nadzorczy (tutaj: Niemcy) jest włączony w ocenę dokonywaną przez organ nadzorczy innego państwa członkowskiego, w którym administrująca danymi osoba trzecia ma swoją siedzibę (tutaj: Irlandii) w tym znaczeniu, że nie może dokonać odmiennej oceny prawnej, czy też podejmujący działanie organ nadzorczy (tutaj: Niemcy) może samodzielnie zbadać zgodność z prawem przetwarzania danych przez mającą siedzibę w innym państwie członkowskim (tutaj: Irlandii) osobę trzecią jako kwestię wstępną, zanim organ ten podejmie działania we własnym zakresie?
6) Jeżeli podejmujący działanie organ nadzorczy (tutaj: w Niemczech) może dokonać samodzielnej weryfikacji: czy art. 28 ust. 6 zdanie drugie dyrektywy 95/46/WE należy interpretować w ten sposób, że organ ten może wykonywać powierzone mu zgodnie z art. 28 ust. 3 [tej dyrektywy] skuteczne uprawnienia interwencyjne wobec mającej siedzibę na jego terytorium osoby lub jednostki w związku ze współodpowiedzialnością mającej siedzibę w innym państwie członkowskim osoby trzeciej za naruszenia przepisów dotyczących ochrony danych wyłącznie wtedy, jeżeli wcześniej organ nadzorczy tego innego państwa członkowskiego (tutaj: Irlandii) zwrócił się z żądaniem wykonania jego uprawnień?”.
II. Analiza
38. Należy wyjaśnić, że pytania prejudycjalne przedstawione przez sąd odsyłający nie dotyczą kwestii, czy przetwarzanie danych osobowych, do którego odnoszą się zarzuty podniesione przez ULD, mianowicie gromadzenie i wykorzystywanie danych osób odwiedzających fanpage’e bez wcześniejszego poinformowania o tym tych osób, jest sprzeczne z przepisami dyrektywy 95/46 czy nie.
39. Zgodnie z wyjaśnieniami dostarczonymi przez sąd odsyłający zgodność z prawem nakazu przedłożonego do jego oceny zależy od następujących elementów. Z jego punktu widzenia należy na wstępie ustalić, czy ULD miał podstawy do wykonania swoich uprawnień interwencyjnych wobec osoby niebędącej administratorem danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Następnie sąd odsyłający uważa, że zgodność z prawem nakazu zależy również od tego, czy ULD miał kompetencje do działania w odniesieniu do przetwarzania danych osobowych rozpatrywanego w postępowaniu głównym, czy okoliczność, iż nie skierował swojego nakazu raczej do Facebook Germany niż do Wirtschaftsakademie, nie stanowiła błędu w ocenie i wreszcie, czy ULD nie popełnił innego błędu w ocenie, nakazując Wirtschaftsakademie zamknięcie swojego fanpage’a, podczas gdy powinien był on uprzednio zwrócić się do organu nadzorczego w zakresie ochrony danych o wykonanie jego uprawnień wobec Facebook Ireland.
A. W przedmiocie pierwszego i drugiego pytania prejudycjalnego
40. W swoim pierwszym i drugim pytaniu prejudycjalnym, które moim zdaniem należy przeanalizować łącznie, sąd odsyłający zwraca się w istocie do Trybunału o orzeczenie, czy art. 17 ust. 2, art. 24 i art. 28 ust. 3 tiret drugie dyrektywy 95/46 należy interpretować w ten sposób, że umożliwiają one organom nadzorczym wykonywanie ich uprawnień interwencyjnych wobec podmiotu, którego nie można uznać za „administratora danych” w rozumieniu art. 2 lit. d) tej samej dyrektywy, ale który mimo to może zostać pociągnięty do odpowiedzialności w przypadku naruszenia przepisów dotyczących ochrony danych osobowych ze względu na decyzję tego podmiotu o korzystaniu z portalu społecznościowego takiego jak Facebook w celu upowszechniania swojej oferty informacyjnej.
41. Powyższe pytania opierają się na założeniu, zgodnie z którym Wirtschaftsakademie nie jest „administratorem danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46. Z tego powodu sąd ten zmierza do ustalenia, czy środek w postaci nakazu taki jak ten będący przedmiotem sporu w postępowaniu głównym może być skierowany do osoby niespełniającej kryteriów ustanowionych w tym przepisie.
42. Uważam jednak, że powyższe założenie jest błędne. Wirtschaftsakademie należy bowiem moim zdaniem uważać za współodpowiedzialną za etap przetwarzania polegający na gromadzeniu danych osobowych przez Facebook.
43. „Administrator danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46 oznacza „osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych [osobowych]”(16).
44. Administrator danych odgrywa podstawową rolę w ramach systemu ustanowionego w dyrektywie 95/46, a jego ustalenie jest zatem kluczowe. Dyrektywa ta przewiduje bowiem, że na administratorze danych ciąży pewna liczba obowiązków służących zapewnieniu ochrony danych osobowych(17). Ta podstawowa rola została podkreślona przez Trybunał w jego wyroku z dnia 13 maja 2014 r., Google Spain i Google(18). Orzekł on bowiem, że administrator danych winien zapewnić w ramach swoich obowiązków, swoich kompetencji i swoich możliwości, by dane przetwarzanie danych spełniało wymogi dyrektywy 95/46, tak aby przewidziane w niej gwarancje były w pełni skuteczne i aby można było rzeczywiście zrealizować jej cel polegający na skutecznej i pełnej ochronie objętych nią osób, w szczególności w odniesieniu do ich prawa do poszanowania życia prywatnego(19).
45. Z orzecznictwa Trybunału wynika również, że pojęcie, o którym mowa, należy definiować w sposób rozszerzający w celu zapewnienia skutecznej i pełnej ochrony osób, których dane dotyczą(20).
46. Administrator danych osobowych to osoba, która decyduje o tym, dlaczego i w jaki sposób te dane będą przetwarzane. Jak wskazuje grupa robocza art. 29, „[p]ojęcie administratora danych jest pojęciem funkcjonalnym, mającym na celu przypisanie obowiązków tam, gdzie występuje faktyczny wpływ, a zatem raczej w oparciu o analizę okoliczności faktycznych niż o analizę formalną”(21).
47. Jako podmioty, które wprowadziły w życie to przetwarzanie, to moim zdaniem właśnie Facebook Inc., a w odniesieniu do Unii – Facebook Ireland, określiły głównie jego cele i sposoby.
48. Dokładniej rzecz ujmując, Facebook Inc. stworzył ogólny model gospodarczy prowadzący do tego, że gromadzenie danych osobowych podczas przeglądania fanpage’ów, a następnie wykorzystywanie tych danych umożliwia z jednej strony emitowanie spersonalizowanych reklam, a z drugiej strony tworzenie statystyk użytkowników przeznaczonych dla administratorów tych stron.
49. Ponadto z akt sprawy wynika, że Facebook Inc. powierzył Facebook Ireland przetwarzanie danych osobowych na terenie Unii. Zgodnie z wyjaśnieniami dostarczonymi przez Facebook Ireland sposoby funkcjonowania portalu społecznościowego mogą podlegać w Unii pewnym dostosowaniom(22).
50. Co więcej, jakkolwiek bezsporne jest, że każda osoba mieszkająca na terytorium Unii i pragnąca korzystać z Facebooka musi podpisać podczas rejestracji umowę z Facebook Ireland, należy zwrócić uwagę, iż w tym samym czasie dane osobowe użytkowników Facebooka mieszkających na terytorium Unii są, w całości lub częściowo, przekazywane na serwery należące do Facebook Inc., położone na terytorium Stanów Zjednoczonych, gdzie dane te są przetwarzane(23).
51. Biorąc pod uwagę udział Facebook Inc., a jeśli chodzi o Unię - Facebook Ireland, w określaniu celów i sposobów przetwarzania danych osobowych rozpatrywanego w postępowaniu głównym, te dwa podmioty powinny, w świetle dostępnych mi dowodów, być uważane za wspólnie odpowiedzialne za to przetwarzanie. Należy w tym względzie wskazać, że w art. 2 lit. d) dyrektywy 95/46 przewidziano wyraźnie możliwość takiej wspólnej odpowiedzialności. Jak wskazał sam sąd odsyłający, ostatecznie to do niego będzie należało wyjaśnienie struktur decyzyjnych i wewnętrznego przetwarzania danych w grupie Facebook w celu ustalenia, który podmiot lub które podmioty są administratorami danych w rozumieniu art. 2 lit. d) dyrektywy 95/46(24).
52. W odniesieniu do etapu przetwarzania polegającego na gromadzeniu danych osobowych przez Facebook(25) poza wspólną odpowiedzialnością Facebook Inc. i Facebook Ireland powinna moim zdaniem wchodzić w grę odpowiedzialność administratora fanpage’a takiego jak Wirtschaftsakademie.
53. Administrator fanpage’a jest co prawda przede wszystkim użytkownikiem Facebooka, którego narzędziami się posługuje w celu uzyskania większej widoczności. Nie wyklucza to jednak wcale tego, że może on również zostać uznany za odpowiedzialnego za etap przetwarzania danych osobowych, który jest przedmiot sporu w postępowaniu głównym, mianowicie gromadzenie takich danych przez Facebook.
54. Jeśli chodzi o to, czy administrator fanpage’a „określa” cele i sposoby przetwarzania, należy zbadać, czy administrator ten wywiera wpływ pod względem prawnym lub faktycznych na te cele i te sposoby. Ten element definicji pozwala na uznanie, że administratorem danych nie jest ten, kto dokonuje przetworzenia danych osobowych, ale ten, kto określa jego sposoby i cele.
55. Posługując się Facebookiem przy upowszechnianiu swojej oferty informacyjnej, administrator fanpage’a zgadza się na zasadę dokonywania przetworzenia danych osobowych osób odwiedzających jego stronę w celu stworzenia statystyk użytkowników(26). Chociaż nie jest on oczywiście twórcą narzędzia „Facebook Insights”, administrator ten, posługując się nim, bierze udział w określaniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego stronę.
56. Z jednej strony bowiem przetwarzanie to nie może nastąpić bez uprzedniej decyzji administratora fanpage’a o jego utworzeniu i prowadzeniu na portalu społecznościowym Facebook. Umożliwiając przetwarzanie danych osobowych użytkowników fanpage’a, zarządzający tą stroną przystępuje do systemu ustanowionego przez Facebook. Uzyskuje on w ten sposób lepszy obraz na temat profilu użytkowników jego fanpage’a i umożliwia on jednocześnie Facebookowi lepsze ukierunkowanie reklamy emitowanej na tym portalu społecznościowym. Skoro akceptuje on te sposoby i cele przetwarzania danych osobowych, które zostały uprzednio zdefiniowane przez Facebook, zarządzającego tym fanpage’em należy uważać za uczestniczącego w ich określaniu. Co więcej, podobnie jak administrator fanpage’a wywiera w ten sposób decydujący wpływ na rozpoczęcie przetwarzania danych osobowych osób, które odwiedzają tę stronę, ma on także możliwość zakończenia tego przetwarzania poprzez zamknięcie swojego fanpage’a.
57. Z drugiej strony, jakkolwiek cele i sposoby narzędzia „Facebook Insights” jako takiego zostały określone ogólnie przez Facebook Inc. łącznie z Facebook Ireland, administrator fanpage’a ma możliwość wpływania na konkretne zastosowanie tego narzędzia poprzez określenie kryteriów, na podstawie których są tworzone statystyki użytkowników. Gdy Facebook prosi administratora fanpage’a o określenie lub zmianę publiczności jego strony, wskazuje mu on, że uczyni, co w jego mocy, aby pokazać tę stronę osobom, które najbardziej się dla niego liczą. Administrator fanpage’a może za pomocą filtrów określić spersonalizowaną publiczność, co pozwoli mu nie tylko na doprecyzowanie grupy osób, do których zostaną skierowane informacje dotyczące jego oferty handlowej, ale przede wszystkim na określenie kategorii osób, których dane osobowe będą gromadzone przez Facebook. Tak więc określając publiczność, do której chce dotrzeć, administrator fanpage’a określa jednocześnie docelową publiczność, która będzie mogła stać się przedmiotem gromadzenia, a następnie wykorzystania jej danych osobowych przez Facebook. Poza tym, że administrator fanpage’a daje impuls do przetwarzania takich danych poprzez utworzenie tej strony, odgrywa on także następnie istotną rolę przy dokonywaniu tego przetworzenia przez Facebook. Bierze on w ten sposób udział w określaniu sposobów i celów omawianego przetwarzania, wywierając na nie faktyczny wpływ.
58. Z powyższych rozważań wyciągam wniosek, że w okolicznościach takich jak w sporze w postępowaniu głównym administratora fanpage’a na portalu społecznościowym takim jak Facebook należy uważać za odpowiedzialnego za etap przetwarzania danych osobowych polegający na gromadzeniu przez ten portal społecznościowy danych dotyczących osób, które odwiedzają tę stronę.
59. Powyższy wniosek znajduje potwierdzenie w stwierdzeniu, że administrator fanpage’a taki jak Wirtschaftsakademie, z jednej strony, i usługodawcy tacy jak Facebook Inc. i Facebook Ireland, z drugiej strony, dążą do osiągnięcia ściśle powiązanych celów. Wirtschaftsakademie pragnie uzyskać statystyki użytkowników w celach zarządzania promowaniem swojej działalności, a do ich uzyskania niezbędne jest przetwarzanie danych osobowych. To samo przetwarzanie pozwala także Facebookowi na lepsze ukierunkowanie reklam, które emituje on poprzez swój portal.
60. Należy zatem odrzucić wykładnię opartą wyłącznie na postanowieniach i warunkach umowy zawartej między Wirtschaftsakademie a Facebook Ireland. Podział zadań określony w umowie może bowiem dostarczyć jedynie wskazówki co do rzeczywistej roli odgrywanej przez strony umowy w prowadzeniu przetwarzania danych osobowych. W innym wypadku strony te mogłyby sztucznie przypisać odpowiedzialność za przetwarzanie jednej z nich. Dotyczy to tym bardziej sytuacji, w której ogólne warunki zostały przygotowane z góry przez portal społecznościowy i nie podlegają negocjacjom. Nie można zatem uznać, że podmiot, który może jedynie przystąpić lub odmówić przystąpienia do umowy, nie może być administratorem danych. Od chwili, w której ten sam kontrahent zawarł z własnej woli umowę, może on nadal być administratorem danych, biorąc pod uwagę jego konkretny wpływ na sposoby i cele tego przetwarzania.
61. Tak więc okoliczność, że umowa i jej warunki ogólne zostały przygotowane przez usługodawcę, zaś podmiot korzystający z usług oferowanych przez tego usługodawcę nie ma dostępu do danych, nie wyklucza tego, iż może on być uważany za administratora danych, ponieważ dobrowolnie zaakceptował warunki umowne, tym samym przyjmując za nie pełną odpowiedzialność(27). Podobnie jak to zrobiła grupa robocza art. 29, należy również uznać, że ewentualna nierównowaga sił między usługodawcą a usługobiorcą nie stanowi przeszkody do uznania tego ostatniego za „administratora danych”(28).
62. Co więcej, aby osobę można było uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, nie jest niezbędne, by osoba ta dysponowała pełnymi uprawnieniami kontrolnymi w odniesieniu do każdego aspektu przetwarzania. Jak słusznie wskazał rząd belgijski na rozprawie, taka kontrola występuje coraz rzadziej w praktyce. Przetwarzanie przybiera coraz bardziej złożone formy, tak że w grę wchodzi wiele odrębnych procesów przetwarzania, w których uczestniczy szereg podmiotów sprawujących kontrolę w różnym stopniu. W konsekwencji, wykładnia uprzywilejowująca występowanie pełnej kontroli nad wszystkimi aspektami przetwarzania może pociągnąć za sobą poważne luki w dziedzinie ochrony danych osobowych.
63. Okoliczności faktyczne leżące u podstaw wyroku z dnia 13 maja 2014 r., Google Spain i Google(29) są tego ilustracją. W owej sprawie chodziło bowiem o sytuację wielostopniowych stosunków dostawców informacji, w których poszczególne podmioty wywierały odmienny wpływ na przetwarzanie. W owej sprawie Trybunał odrzucił zawężającą wykładnię pojęcia „administratora danych”. Uznał on, że operator wyszukiwarki, „jako osoba określająca cele i sposoby prowadzenia [swojej] działalności, winien w ramach spoczywającej na nim odpowiedzialności, przysługujących mu uprawnień i posiadanych możliwości, zapewnić, by działalność ta spełniała określone w dyrektywie 95/46 wymogi”(30). Trybunał wspomniał zresztą możliwość wspólnej odpowiedzialności operatora wyszukiwarki i wydawców stron internetowych(31).
64. Podobnie do rządu belgijskiego uważam, że rozszerzająca wykładnia pojęcia „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46, która powinna moim zdaniem przeważyć w ramach niniejszej sprawy, może zapobiegać nadużyciom. W przeciwnym bowiem razie przedsiębiorstwo mogłoby jedynie skorzystać z usług osoby trzeciej, aby uchylić się od ciążących na nim zobowiązań w dziedzinie ochrony danych osobowych. Innymi słowy, nie można moim zdaniem dokonywać rozróżnienia między przedsiębiorstwem, które wyposaża swoją stronę internetową w narzędzia analogiczne do narzędzi oferowanych przez Facebook, a przedsiębiorstwem, które przystępuje do portalu społecznościowego w celu korzystania z narzędzi oferowanych przez ten portal. Należy zatem zapewnić, że podmioty gospodarcze posługujące się usługami hostingu ich strony internetowej nie mogły uniknąć ich odpowiedzialności poddając się ogólnym warunkom usługodawcy. Ponadto, jak ten sam rząd wskazał na rozprawie, nie byłoby nierozsądnym oczekiwać, aby przedsiębiorstwa wykazały staranność przy wyborze ich usługodawców.
65. Uważam zatem, że okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go z jego obowiązków w dziedzinie ochrony danych osobowych. Pragnę w tym względzie zauważyć, że gdyby Wirtschaftsakademie utworzyła stronę internetową poza Facebookiem, posługując się narzędziem analogicznym do „Facebook Insights” w celu stworzenia statystyk użytkowników, byłaby ona uważana za administratora danych, których przetwarzanie jest niezbędne do stworzenia takich statystyk. Moim zdaniem taki podmiot gospodarczy nie powinien zostać zwolniony z obowiązku przestrzegania przepisów dotyczących ochrony danych osobowych zawartych w dyrektywie 95/46 z tego tylko powodu, że posługuje się on platformą portalu społecznościowego Facebook w celu promowania swojej działalności. Jak słusznie wskazał sam sąd odsyłający, dostawca informacji nie powinien móc się zwolnić, poprzez wybór określonego dostawcy infrastruktury, z obowiązków, jakie na nim ciążą zgodnie z właściwym prawem dotyczącym ochrony danych w stosunku do osób korzystających z jego oferty informacyjnej, a które musiałby spełnić, gdyby chodziło o zwykłego dostawcę treści(32). Przeciwna wykładnia wywoływałaby ryzyko obejścia przepisów dotyczących ochrony danych osobowych.
66. Należy również moim zdaniem powstrzymać się od tworzenia sztucznych rozróżnień między sytuacją rozpatrywaną w ramach niniejszej sprawy, a sytuacją rozpatrywaną w ramach sprawy C‑40/17, Fashion ID(33).
67. Ta ostatnia sprawa dotyczy sytuacji, w której administrator strony internetowej wprowadza na swoją stronę coś, co nazywamy „modułem społecznościowym” (w danym przypadku przycisk „lubię to” Facebooka) zewnętrznego dostawcy (czyli Facebooka), który pociąga za sobą przesyłanie danych osobowych z komputera użytkownika strony internetowej do zewnętrznego dostawcy.
68. W ramach sporu leżącego u podstaw omawianej sprawy stowarzyszenie ochrony konsumentów zarzuca spółce Fashion ID, że poprzez wprowadzenie na swojej stronie internetowej modułu „lubię to” dostarczonego przez portal społecznościowy Facebook umożliwia ona temu ostatniemu dostęp do danych osobowych użytkowników jej strony bez ich zgody i z naruszeniem obowiązków informowania przewidzianych w przepisach dotyczących ochrony danych osobowych. Powstaje w ten sposób kwestia, czy z uwagi na okoliczność, że spółka Fashion ID umożliwia Facebookowi dostęp do danych osobowych użytkowników jej strony internetowej, spółkę tę można uznać za „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46, czy nie.
69. Nie dostrzegam w tym względzie istotnej różnicy między sytuacją administratora fanpage’a a sytuacją operatora strony internetowej, który umieszcza kod usługodawcy webtrackingu na swojej stronie internetowej i wspiera w ten sposób, bez wiedzy internautów, przesyłanie danych, instalację plików cookies i gromadzenie danych na rzecz usługodawcy webtrackingu.
70. Wtyczki społecznościowe umożliwiają operatorom stron internetowych korzystanie z niektórych usług portali społecznościowych na ich własnych stronach internetowych w celu zwiększenia widoczności tych stron, na przykład poprzez wprowadzenie przycisku „lubię to” Facebooka. Podobnie jak administratorzy fanpage’ów, operatorzy stron internetowych stosujący wtyczki społecznościowe mogą korzystać z usługi „Facebook Insights” w celu uzyskania dokładnych informacji statystycznych dotyczących użytkowników ich strony.
71. Podobnie jak ma to miejsce w przypadku odwiedzania fanpage’a, przeglądanie strony internetowej zawierającej wtyczkę społecznościową spowoduje przesłanie danych osobowych do danego dostawcy.
72. Moim zdaniem w takich okolicznościach i podobnie do administratora fanpage’a, administrator strony internetowej zawierającej wtyczkę społecznościową, o ile wywiera on faktyczny wpływ na etap przetwarzania dotyczący przesyłania danych osobowych do Facebooka, powinien zostać uznany za „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46(34).
73. Pragnę dodać, że jak słusznie wskazuje rząd belgijski, stwierdzenie, zgodnie z którym Wirtschaftsakademie działa jako współodpowiedzialna za przetwarzanie, gdy postanawia korzystać z usług Facebooka do celów swojej oferty informacyjnej, nie zmienia w żaden sposób obowiązków, jakie ciążą na Facebook Inc. i Facebook Ireland jako na administratorach danych. Jasne jest bowiem, że te dwa podmioty wywierają decydujący wpływ na cele i sposoby przetwarzania danych osobowych, które następuje w ramach odwiedzania fanpage’a, a które wykorzystują one także do swoich własnych celów i interesów.
74. W każdym razie uznanie wspólnej odpowiedzialności administratorów fanpage’ów za etap przetwarzania polegający na gromadzeniu danych osobowych przez Facebook przyczynia się do zapewnienia pełniejszej ochrony praw, jakie przysługują osobom odwiedzającym ten rodzaj stron. Co więcej, z okoliczności aktywnego włączenia administratorów fanpage’ów w przestrzeganie przepisów dotyczących ochrony danych osobowych poprzez uznanie ich za administratorów danych może wynikać skutek w postaci zachęty dla samej platformy portalu społecznościowego do zapewnienia zgodności z tymi przepisami.
75. Należy również wyjaśnić, że występowanie wspólnej odpowiedzialności nie oznacza odpowiedzialności na zasadzie równości. Przeciwnie, różni administratorzy danych mogą brać udział w przetwarzaniu danych osobowych na różnych etapach i w różnym stopniu(35).
76. Zdaniem grupy roboczej art. 29, „[m]ożliwość kontroli pluralistycznej przewiduje rosnącą liczbę sytuacji, w których różne strony działają jako administratorzy danych. Ocena wspólnej kontroli powinna odzwierciedlać ocenę »pojedynczej« kontroli poprzez przyjęcie konkretnego i funkcjonalnego podejścia, a także koncentrując się na tym, czy cele i zasadnicze elementy sposobów są określane przez więcej stron niż jedną. Udział stron w określaniu celów i sposobów przetwarzania w kontekście wspólnej kontroli może przyjmować różne formy i nie musi być jednakowy”(36). W istocie, „w przypadku wielu podmiotów mogą one być bardzo ściśle ze sobą powiązane (mając na przykład wspólne wszystkie cele i sposoby przetwarzania) lub pozostawać w luźniejszych stosunkach (na przykład, mając tylko wspólne cele lub wspólne sposoby przetwarzania lub ich część). W związku z tym należy uwzględnić dużą różnorodność rodzajów wspólnej kontroli i ocenić ich skutki prawne, dopuszczając pewną elastyczność, aby przygotować się na rosnącą złożoność obecnych realiów w zakresie przetwarzania danych”(37).
77. Z powyższych rozważań wynika, że moim zdaniem administratora fanpage’a na portalu społecznościowym Facebook należy uważać, obok Facebook Inc. i Facebook Ireland, za administratora danych osobowych, których przetwarzanie jest dokonywane z zamiarem stworzenia statystyk użytkowników dotyczących tej strony.
B. W przedmiocie trzeciego i czwartego pytania prejudycjalnego
78. W swoim trzecim i czwartym pytaniu prejudycjalnym, które należy moim zdaniem przeanalizować łącznie, sąd odsyłający zwraca się do Trybunału o udzielenie wyjaśnień co do wykładni art. 4 ust. 1 lit. a) i art. 28 ust. 1, 3 i 6 dyrektywy 95/46 w sytuacji, w której spółka dominująca z siedzibą poza Unią Europejską, taka jak Facebook Inc., świadczy usługi dotyczące portalu społecznościowego na terytorium Unii za pośrednictwem wielu podmiotów. Spośród tych podmiotów jeden został wyznaczony przez spółkę dominującą jako administrator danych osobowych na terytorium Unii (Facebook Ireland), a drugi zapewnia promocję i sprzedaż przestrzeni reklamowych oraz działania marketingowe mieszkańcom Niemiec (Facebook Germany). W takiej sytuacji sąd odsyłający zmierza do ustalenia z jednej strony, czy niemiecki organ nadzorczy jest uprawniony do wykonywania swoich uprawnień interwencyjnych mających na celu przerwanie spornego przetwarzania danych osobowych, a z drugiej strony, wobec którego podmiotu mogą zostać wykonane takie uprawnienia.
79. W odpowiedzi na wątpliwości wyrażone przez ULD i przez rząd włoski w przedmiocie dopuszczalności trzeciego i czwartego pytania prejudycjalnego, pragnę wskazać, że Bundesverwaltungsgericht (federalny sąd administracyjny) wyjaśnia w swoim postanowieniu odsyłającym, iż potrzebuje on wyjaśnień w tej kwestii, aby móc orzec w przedmiocie zgodności z prawem nakazu rozpatrywanego w postępowaniu głównym. W szczególności, sąd ów twierdzi, że środek w postaci nakazu przyjęty wobec Wirtschaftsakademie może wynikać z błędu w ocenie oraz, w konsekwencji, być niezgodny z prawem, jeśli można było naprawić zarzucane przez ULD naruszenia właściwego prawa dotyczącego ochrony danych za pomocą środka skierowanego bezpośrednio do spółki zależnej Facebook Germany, która ma siedzibę w Niemczech(38). Ta refleksja sądu odsyłającego pozwala moim zdaniem zrozumieć dobrze powody, dla których sąd ów przedstawia Trybunałowi trzecie i czwarte pytanie prejudycjalne. Z uwagi na domniemanie istotności, z jakiego korzystają wnioski o wydanie orzeczenia w trybie prejudycjalnym(39), proponuję w konsekwencji Trybunałowi udzielenie odpowiedzi na te pytania.
80. Zgodnie z art. 4 dyrektywy 95/46, zatytułowanym „Odpowiednie prawo krajowe”:
„1. Każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:
a) przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego;
[…]”.
81. W swojej opinii 8/2010 z dnia 16 grudnia 2010 r. w sprawie prawa właściwego(40) grupa robocza art. 29 wymienia stosowanie art. 4 ust. 1 lit. a) dyrektywy 95/46 w następującej sytuacji: „Serwis społecznościowy posiadający główną siedzibę w państwie trzecim prowadzi działalność gospodarczą w państwie członkowskim UE. W ramach działalności gospodarczej określana i realizowana jest polityka związana z przetwarzaniem danych osobowych mieszkańców [Unii]. Serwis społecznościowy aktywnie skupia się na mieszkańcach wszystkich państw członkowskich UE, którzy stanowią znaczną część jego klientów, i którzy są źródłem dużej części jego dochodów. Instaluje on również tzw. ciasteczka (ang. cookies) na komputerach użytkowników pochodzących z [Unii]. W tym przypadku prawem właściwym będą – zgodnie z art. 4 ust. 1 lit. a) [dyrektywy 95/46] – przepisy o ochronie danych państwa członkowskiego, w którym przedsiębiorstwo zarejestrowało swoją działalność gospodarczą na terytorium [Unii]. Kwestia, czy serwis społecznościowy wykorzystuje środki znajdujące się na terytorium innego państwa członkowskiego, nie jest istotna, ponieważ całość przetwarzania odbywa się w kontekście działań jednej działalności gospodarczej, zaś dyrektywa wyklucza jednoczesne stosowanie art. 4 ust. 1 lit. a) oraz art. 4 ust. 1 lit. c) [tej dyrektywy]”(41). Grupa robocza art. 29 wyjaśnia także, że „organ nadzorczy państwa członkowskiego, w którym portal społecznościowy prowadzi swoją europejską działalność gospodarczą, będzie miał jednak obowiązek – zgodnie z art. 28 ust. 6 [omawianej dyrektywy] – współpracować z innymi organami nadzorczymi, między innymi w celu realizowania wniosków lub skarg napływających od mieszkańców z innych państw [Unii]”(42).
82. Przypadek przedstawiony w poprzednim punkcie nie powoduje żadnej trudności, jeśli chodzi o określenie właściwego prawa krajowego. W takiej sytuacji bowiem skoro spółka dominująca posiada tylko jedno przedsiębiorstwo w Unii, to prawo państwa członkowskiego, w którym to przedsiębiorstwo jest położone, ma zastosowanie do danego przetwarzania danych osobowych.
83. Sytuacja komplikuje się, gdy – podobnie jak w sytuacji rozpatrywanej w ramach niniejszej sprawy – spółka z siedzibą w państwie trzecim, taka jak Facebook Inc., prowadzi swoją działalność w Unii z jednej strony za pośrednictwem podmiotu, który został przez tę spółkę wskazany jako wyłącznie odpowiedzialny za gromadzenie i przetwarzanie danych osobowych w ramach grupy Facebook na całym terytorium Unii Europejskiej (Facebook Ireland), a z drugiej strony za pośrednictwem innych podmiotów, z których jeden położony jest w Niemczech (Facebook Germany) i któremu zostały powierzone, zgodnie z informacjami zamieszczonymi w postanowieniu odsyłającym, promocja i sprzedaż przestrzeni reklamowych i inne działania marketingowe skierowane do mieszkańców tego państwa członkowskiego(43).
84. Czy w takiej sytuacji niemiecki organ nadzorczy jest właściwy do wykonywania uprawnień interwencyjnych mających na celu zakończenie przetwarzania danych osobowych, za które Facebook Inc. i Facebook Ireland są wspólnie odpowiedzialne?
85. Aby udzielić odpowiedzi na powyższe pytanie, należy ustalić, czy niemiecki organ nadzorczy słusznie zastosował swoje prawo krajowe do takiego przetwarzania.
86. Z art. 4 ust. 1 lit. a) dyrektywy 95/46 wynika w tym względzie, że przetwarzanie danych odbywające się w kontekście działalności przedsiębiorstwa jest regulowane prawem państwa członkowskiego, na którego terytorium położone jest to przedsiębiorstwo.
87. Trybunał orzekł już, że biorąc pod uwagę cel dyrektywy 95/46 polegający na zapewnieniu skutecznej i pełnej ochrony swobód i praw podstawowych osób fizycznych, w szczególności ich prawa do życia prywatnego, w zakresie przetwarzania danych osobowych wyrażeniu „w kontekście prowadzenia […] działalności gospodarczej” zawartemu w art. 4 ust. 1 lit. a) tej dyrektywy nie można nadać wykładni zawężającej(44).
88. Stosowanie ustawy transponującej państwa członkowskiego do przetwarzania danych osobowych wymaga spełnienia dwóch warunków. Po pierwsze, administrator danych dokonujący tego przetworzenia powinien mieć „przedsiębiorstwo” w tym państwie członkowskim. Po drugie, przetwarzanie to powinno odbywać się „w kontekście prowadzenia […] działalności” przez to przedsiębiorstwo.
89. Jeśli chodzi w pierwszej kolejności o pojęcie „prowadzenia działalności gospodarczej” w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46, Trybunał wyjaśnił już, dokonując rozszerzającej i elastycznej wykładni tego pojęcia, że rozciąga się ono na jakąkolwiek faktyczną i efektywną działalność, choćby nawet drobną, prowadzoną poprzez stabilne rozwiązanie organizacyjne(45), wykluczając w ten sposób wszelkie formalistyczne podejście(46).
90. W tym kontekście należy dokonać oceny zarówno stopnia stabilności rozwiązania organizacyjnego, jak i faktycznego charakteru prowadzenia działalności w danym państwie członkowskim(47), z uwzględnieniem szczególnego charakteru rozpatrywanej działalności gospodarczej oraz świadczenia rozpatrywanych usług(48). Nie jest w tym względzie sporne, że Facebook Germany, którego siedziba jest położona w Hamburgu (Niemcy), prowadzi efektywną i faktyczną działalność poprzez stabilne rozwiązanie organizacyjne w Niemczech. Stanowi ono zatem „przedsiębiorstwo” w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46.
91. W drugiej kolejności w odniesieniu do kwestii, czy przetwarzanie danych osobowych jest dokonywane „w kontekście prowadzenia działalności” tego przedsiębiorstwa w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46, Trybunał przypomniał już, że przepis ten wymaga nie tego, by przetwarzanie danych osobowych było dokonywane „przez” sam podmiot prowadzący działalność gospodarczą, lecz jedynie „w kontekście prowadzenia przez” niego działalności gospodarczej(49).
92. Jak wynika z opinii 8/2010, „czynnikiem determinującym określenie prawa właściwego jest pojęcie »kontekstu działalności gospodarczej«, nie zaś miejsca, w którym znajdują się dane. Pojęcie »kontekstu działalności gospodarczej« nie implikuje, że prawem właściwym jest prawo państwa członkowskiego, w którym administrator danych prowadzi działalność gospodarczą, lecz w którym działalność gospodarcza administratora danych jest zaangażowana w działania [związane z przetwarzaniem danych osobowych lub wymagających tego przetwarzania]. W tym kontekście kluczowy jest stopień zaangażowania działalności gospodarczej (działalności gospodarczych) w działania, w kontekście których przetwarzane są dane osobowe. Ponadto należy rozważyć charakter działań realizowanych przez działalność gospodarczą oraz potrzebę zagwarantowania skutecznej ochrony praw osób fizycznych. W analizie tych kryteriów należy przyjąć podejście funkcjonalne: bardziej niż teoretyczne wskazanie przez strony prawa właściwego, to ich postępowanie w praktyce i interakcje stanowią czynniki, które powinny być czynnikami decydującymi”(50).
93. W wyroku z dnia 13 maja 2014 r., Google Spain i Google(51), Trybunał miał okazję zbadać przestrzeganie tego warunku. Przyjął on rozszerzającą jego wykładnię, uznając, że przetwarzanie danych osobowych na potrzeby funkcjonowania wyszukiwarki internetowej takiej jak Google Search – której operatorem jest mające siedzibę w państwie trzecim przedsiębiorstwo dysponujące jednak w państwie członkowskim zakładem – jest dokonywane „w kontekście prowadzenia działalności gospodarczej”, jeśli ma ona na celu zapewnienie w tym państwie członkowskim promocji i sprzedaży powierzchni reklamowych przez wyszukiwarkę, co zapewnia rentowność oferowanej przez tę wyszukiwarkę usługi(52). Trybunał wskazał bowiem, że „[w] takich okolicznościach działalność prowadzona przez operatora wyszukiwarki oraz działalność jego zakładu na terenie danego państwa członkowskiego są bowiem ze sobą nierozerwalnie powiązane, gdyż działalność związana z powierzchniami reklamowymi stanowi środek służący uczynieniu rozpatrywanej wyszukiwarki internetowej opłacalną pod względem gospodarczym, a wyszukiwarka ta stanowi jednocześnie środek umożliwiający prowadzenie tej działalności”(53). Trybunał dodał na poparcie tego rozwiązania, że skoro dane osobowe są wyświetlane na stronie zawierającej listę wyników wyszukiwania, a „razem z tymi wynikami wyświetlane są powiązane z tematami wyszukiwania reklamy, należy stwierdzić, iż rozpatrywane przetwarzanie danych osobowych jest dokonywane w ramach komercyjnych działań reklamowych dokonywanych w ramach prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego – w niniejszym przypadku na terytorium hiszpańskim”(54).
94. Zgodnie z informacjami zawartymi we wniosku o wydanie orzeczenia w trybie prejudycjalnym Facebook Germany zostało powierzone zadanie promocji i sprzedaży powierzchni reklamowych i inne działania marketingowe skierowane do osób mieszkających w Niemczech. Jako że przetwarzanie danych osobowych rozpatrywane w postępowaniu głównym, które polega na gromadzeniu takich danych za pomocą plików cookies zainstalowanych na komputerach osób odwiedzających fanpage, ma w szczególności na celu umożliwić Facebookowi lepsze ukierunkowanie emitowanych przez niego reklam, należy uznać, że takie przetwarzanie następuje w kontekście działalności prowadzonej przez Facebook Germany w Niemczech. W tym względzie, biorąc pod uwagę okoliczność, że portal społecznościowy taki jak Facebook większą część swoich przychodów generuje poprzez reklamy emitowane na stronach internetowych tworzonych i odwiedzanych przez użytkowników(55), należy uznać, że działalność podmiotów współodpowiedzialnych za przetwarzanie, jakimi są Facebook Inc. i Facebook Ireland, jest nierozerwalnie związana z działalnością przedsiębiorstwa takiego jak Facebook Germany. Co więcej, w wyniku przetwarzania danych osobowych umożliwionego poprzez instalację pliku cookie na komputerze osoby odwiedzającej stronę należącą do domeny Facebook.com, odwiedzeniu strony Facebooka towarzyszy wyświetlanie, na tej samej stronie internetowej, reklam dotyczących zainteresowań tej odwiedzającej osoby. Należy z tego wysnuć wniosek, że rozpatrywane przetwarzanie danych osobowych jest dokonywane w ramach działalności reklamowej i handlowej przedsiębiorstwa administratora danych na terytorium państwa członkowskiego, w niniejszym przypadku na terytorium Niemiec.
95. Okoliczność, że grupa Facebook, w przeciwieństwie do sytuacji w sprawie, w której zapadł wyrok z dnia 13 maja 2014 r., Google Spain i Google(56), posiada europejską siedzibę, konkretnie w Irlandii, nie stoi na przeszkodzie temu, aby wykładnia art. 4 ust. 1 lit. a) dyrektywy 95/46, którą Trybunał przyjął w tym wyroku, została odpowiednio zastosowana w ramach niniejszej sprawy. W omawianym wyroku Trybunał wyraził wolę uniknięcia wyłączenia przetwarzania danych osobowych spod obowiązków i gwarancji przewidzianych w dyrektywie 95/46. W ramach niniejszego postępowania podniesiono, że problem związany z takim obejściem nie powstaje w niniejszej sprawie, ponieważ administrator danych ma siedzibę w państwie członkowskim, konkretnie w Irlandii. Zgodnie z tą logiką należałoby więc interpretować art. 4 ust. 1 lit. a) wspomnianej dyrektywy w ten sposób, że ów administrator danych jest obowiązany uwzględniać wyłącznie ustawodawstwo krajowe, czyli ustawodawstwo irlandzkie, i podlega tylko jednemu organowi nadzorczemu, mianowicie organowi irlandzkiemu.
96. Taka wykładnia jest jednak sprzeczna z brzmieniem art. 4 ust. 1 lit. a) dyrektywy 95/46 oraz z genezą tego przepisu. Jak bowiem słusznie wskazał rząd belgijski na rozprawie, dyrektywa 95/46 nie wprowadza ani mechanizmu kompleksowej współpracy, ani zasady państwa pochodzenia(57). Nie można w tym względzie mylić tego, co było objęte politycznym celem, do którego zmierzała Komisja Europejska w swoim wniosku dotyczącym dyrektywy, i rozwiązania, które zostało ostatecznie przyjęte przez Radę Unii Europejskiej. We wspomnianej dyrektywie prawodawca ten podjął decyzję o nieprzyznawaniu pierwszeństwa stosowaniu prawa krajowego państwa członkowskiego, w którym jest położone główne przedsiębiorstwo administratora danych. Wynik, którym jest dyrektywa 95/46, wyraża wolę państw członkowskich zachowania ich krajowych kompetencji wykonawczych. Nie przyjmując zasady państwa pochodzenia, prawodawca Unii zezwolił każdemu państwu członkowskiemu na stosowanie swojego własnego ustawodawstwa krajowego i umożliwił w ten sposób kumulację właściwych ustawodawstw krajowych(58).
97. Poprzez art. 4 ust. 1 lit. a) omawianej dyrektywy prawodawca Unii rozmyślnie zdecydował o zezwoleniu w przypadku występowania wielu przedsiębiorstw administratora danych w Unii Europejskiej, aby wiele ustawodawstw krajowych dotyczących ochrony danych osobowych mogło mieć zastosowanie do przetwarzania danych osobowych osób mieszkających w danych państwach członkowskich w celu zagwarantowania skutecznej ochrony praw tych osób w tych państwach członkowskich.
98. Potwierdza to motyw 19 dyrektywy 95/46, w którym wyjaśniono, że „w przypadku ustanowienia jednego administratora danych na terytorium kilku państw członkowskich, szczególnie w postaci filii, musi on zapewnić, w celu uniknięcia obejścia przepisów krajowych, że każda z prowadzonych działalności gospodarczych będzie spełniać obowiązki wynikające z prawa krajowego”.
99. Z art. 4 ust. 1 lit. a) dyrektywy 95/46, w której zdaniu drugim wyjaśniono – zgodnie z treścią motywu 19 tej dyrektywy – że jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych we właściwym prawie krajowym, wyciągam wniosek, iż struktura grupy, która charakteryzuje się występowaniem przedsiębiorstw administratora danych w wielu państwach członkowskich, nie może skutkować umożliwieniem temu administratorowi obchodzenia prawa państwa członkowskiego, na którego obszarze właściwości ma siedzibę każde z tych przedsiębiorstw.
100. Pragnę dodać, że wykładni przychylnej wyłącznemu stosowaniu prawa państwa członkowskiego, w którym jest położona europejska siedziba międzynarodowej grupy, nie da się już moim zdaniem obronić po wydaniu wyroku z dnia 28 lipca 2016 r., Verein für Konsumenteninformation(59). W owym wyroku Trybunał orzekł, że przetwarzanie danych osobowych dokonywane przez przedsiębiorstwo handlu elektronicznego jest regulowane prawem państwa członkowskiego, do którego przedsiębiorstwo to kieruje swoją działalność, jeśli okaże się, że przedsiębiorstwo to przetwarza rozpatrywane dane w ramach działalności przedsiębiorstwa położonego w tym państwie członkowskim. Trybunał przyjął takie rozwiązanie mimo to, że Amazon, podobnie jak Facebook, jest przedsiębiorstwem posiadającym nie tylko europejską siedzibę w państwie członkowskim, ale które jest także fizycznie obecne w wielu państwach członkowskich Unii. W takiej sytuacji również należy zbadać, czy przetwarzanie danych jest dokonywane w kontekście działalności przedsiębiorstwa w państwie członkowskim innym niż państwo, w którym jest położona europejska siedziba administratora danych.
101. Jak wskazuje rząd belgijski, zupełnie możliwe jest więc, że działalność gospodarcza inna niż działalność europejskiej siedziby przedsiębiorstwa będzie miała znaczenie dla stosowania art. 4 ust. 1 lit. a) dyrektywy 95/46.
102. W ramach systemu wprowadzonego tą dyrektywą miejsce, w którym jest dokonywane przetwarzanie, a także miejsce, w którym administrator danych ma swoją siedzibę w Unii, nie są więc decydujące w przypadku występowania wielu przedsiębiorstw tego administratora w Unii dla określenia prawa krajowego właściwego dla przetwarzania danych oraz dla przyznania organowi nadzorczemu właściwości do wykonywania uprawnień interwencyjnych.
103. W tym względzie Trybunał nie powinien moim zdaniem uprzedzać systemu wprowadzonego ogólnym rozporządzeniem w sprawie ochrony danych(60), które wejdzie w życie w dniu 25 maja 2018 r. W ramach tego systemu wprowadzony został mechanizm kompleksowej współpracy. Oznacza to, że administrator danych dokonujący transgranicznego przetwarzania, taki jak Facebook, będzie miał tylko jeden organ nadzorczy jako partnera, mianowicie wiodący organ nadzorczy, którym będzie organ miejsca, w którym jest położone główne przedsiębiorstwo administratora danych. Niemniej jednak system ten oraz wyszukany mechanizm współpracy, jaki on wprowadza, nie ma jeszcze zastosowania.
104. Co prawda, skoro Facebook zdecydował się umieścić swoją główną siedzibę w Unii w Irlandii, organ nadzorczy tego państwa członkowskiego siłą rzeczy odgrywa ważną rolę przy weryfikacji, czy Facebook przestrzega przepisów dyrektywy 95/46. Jednakże, jak ten organ sam przyznał, nie oznacza to, że ma on, w ramach obecnego systemu opartego na tej dyrektywie, wyłączną właściwość w odniesieniu do działalności Facebooka w Unii(61).
105. Całość powyższych rozważań skłania mnie do wniosku – podobnie do poglądu rządu belgijskiego, rząd niderlandzkiego i ULD – że wykładnia art. 4 ust. 1 lit. a) dyrektywy 95/46, jaką Trybunał przyjął w swoim wyroku z dnia 13 maja 2014 r., Google Spain i Google(62), ma również zastosowanie w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której administrator danych ma siedzibę w państwie członkowskim Unii i posiada w Unii szereg przedsiębiorstw.
106. Wobec powyższego na podstawie wskazówek dostarczonych przez sąd odsyłający co do charakteru działalności prowadzonej przez Facebook Germany, należy uznać, że przetwarzanie danych osobowych jest dokonywane w kontekście działalności tego przedsiębiorstwa oraz że art. 4 ust. 1 lit. a) dyrektywy 95/46 zezwala w sytuacji takiej jak ta rozpatrywana w postępowaniu głównym na stosowanie prawa niemieckiego dotyczącego ochrony danych osobowych(63).
107. Niemiecki organ nadzorczy jest zatem uprawniony do stosowania swojego prawa krajowego do przetwarzania danych osobowych będącego przedmiotem sporu w postępowaniu głównym.
108. Z art. 28 ust. 1 omawianej dyrektywy wynika, że każdy organ nadzorczy powołany przez państwo członkowskie powinien czuwać nad przestrzeganiem na terytorium tego państwa członkowskiego przepisów wydanych przez państwa członkowskie w celu wykonania tej dyrektywy.
109. Zgodnie z art. 28 ust. 3 dyrektywy 95/46 organy nadzorcze, o których mowa, są w szczególności wyposażone w uprawnienia dochodzeniowe, jak np. prawo gromadzenia wszelkich informacji potrzebnych do wykonywania ich funkcji nadzorczych, oraz w skuteczne uprawnienia interwencyjne, jak np. prawo do zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych, ostrzegania lub upominania administratora danych. Te uprawnienia interwencyjne mogą obejmować uprawnienie do nakładania na administratora danych sankcji w postaci grzywny(64).
110. Artykuł 28 ust. 6 dyrektywy 95/46 ma natomiast następujące brzmienie:
„Każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania [na] terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego państwa członkowskiego.
Organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji”.
111. Biorąc pod uwagę okoliczność, że prawo jego państwa członkowskiego ma zastosowanie do przetwarzania danych osobowych będącego przedmiotem sporu w postępowaniu głównym, niemiecki organ nadzorczy może wykonywać wszystkie swoje uprawnienia interwencyjne w celu zagwarantowania, że Facebook będzie stosował i przestrzegał prawa niemieckiego na terytorium Niemiec. Taki wniosek wypływa z wyroku z dnia 1 października 2015 r., Weltimmo(65), który umożliwił doprecyzowanie zakresu art. 28 ust. 1, 3 i 6 dyrektywy 95/46.
112. Zasadniczym zagadnieniem w owej sprawie było ustalenie kompetencji węgierskiego organu nadzorczego do nałożenia grzywny na usługodawcę z siedzibą w innym państwie członkowskim, mianowicie na Słowacji. Ustalenie tej kompetencji miało przebiegać po wcześniejszym zbadaniu kwestii, czy na podstawie kryterium ustanowionego w art. 4 ust. 1 lit. a) dyrektywy 95/46 prawo węgierskie znajdowało zastosowanie, czy nie.
113. W pierwszej części swojej odpowiedzi Trybunał udzielił sądowi odsyłającemu pewnej liczby wskazówek umożliwiających mu ustalenie istnienia przedsiębiorstwa administratora danych na Węgrzech. Ponadto uznał on, że przetwarzanie to było dokonywane w kontekście działalności tego przedsiębiorstwa oraz że art. 4 ust. 1 lit. a) dyrektywy 95/46 pozwala, w sytuacji takiej jak ta rozpatrywana w owej sprawie, na stosowanie prawa węgierskiego dotyczącego ochrony danych osobowych.
114. Ta pierwsza część odpowiedzi Trybunału potwierdzała więc kompetencje węgierskiego organu nadzorczego do nałożenia na podstawie prawa węgierskiego grzywny na usługodawcę z siedzibą w innym państwie członkowskim, w owym przypadku Weltimmo.
115. Innymi słowy, od chwili, w której na podstawie kryterium zawartego w art. 4 ust. 1 lit. a) dyrektywy 95/46 prawo węgierskie można było uznać za właściwe prawo krajowe, węgierski organ nadzorczy miał kompetencje do zapewnienia przestrzegania tego prawa w przypadku jego naruszenia przez administratora danych nawet, jeśli był on zarejestrowany na Słowacji. Na podstawie tego przepisu dyrektywy 95/46 można było uznać, że Weltimmo, choć zarejestrowane na Słowacji, prowadziło także działalność gospodarczą na Węgrzech. Obecność na Węgrzech przedsiębiorstwa administratora danych wykonującego działalność, w której ramach było dokonywane przetwarzanie danych, stanowiła więc łącznik niezbędny do uznania możliwości stosowania prawa węgierskiego, a jednocześnie kompetencji węgierskiego organu nadzorczego do zapewnienia przestrzegania tego prawa na terytorium Węgier.
116. Druga część odpowiedzi Trybunału, w której miał on okazję podkreślić zasadę terytorialnego stosowania uprawnień każdego organu nadzorczego, została udzielona jedynie posiłkowo, mianowicie „na wypadek, gdyby węgierski organ nadzorczy uznał, że Weltimmo prowadzi działalność gospodarczą w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46 nie na Węgrzech, lecz w innym państwie członkowskim, i w kontekście tej działalności dokonywane jest przetwarzanie […] danych osobowych”(66). Chodzi więc o odpowiedź na pytanie, czy „w przypadku gdyby węgierski organ nadzorczy doszedł do wniosku, że prawem właściwym dla przetwarzania danych osobowych nie jest prawo węgierskie, lecz prawo innego państwa członkowskiego, art. 28 ust. 1, 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że organ ten mógłby wykonywać jedynie swoje uprawnienia określone w art. 28 ust. 3 tej dyrektywy, zgodnie z prawem tego drugiego państwa członkowskiego i nie mógłby nakładać sankcji”(67).
117. W tej drugiej części swojej odpowiedzi Trybunał wyjaśnił w konsekwencji zarówno przedmiotowy, jak i terytorialny zakres uprawnień, jakie organ nadzorczy może wykonywać w szczególnej sytuacji, mianowicie w sytuacji, w której prawo państwa członkowskiego, któremu ten organ nadzorczy podlega, nie znajduje zastosowania.
118. W takiej sytuacji Trybunał uznał, że „uprawnienia [danego] organu niekoniecznie obejmują całość uprawnień przysługujących mu zgodnie z prawem państwa członkowskiego, któremu podlega”(68). Tak więc „organ ten może wykonywać swe uprawnienia dochodzeniowe niezależnie od właściwego prawa i zanim jeszcze zostanie ustalone, które prawo krajowe znajduje zastosowanie do spornego przetwarzania. Jednak, jeśli dojdzie on do wniosku, że właściwe jest prawo innego państwa członkowskiego, nie może on nałożyć sankcji poza terytorium państwa członkowskiego, któremu podlega. W takiej sytuacji powinien on, w myśl obowiązku współpracy przewidzianego w art. 28 ust. 6 tej dyrektywy, zwrócić się do organu nadzorczego tego drugiego państwa członkowskiego o stwierdzenie ewentualnego naruszenia prawa i o nałożenie sankcji, o ile prawo właściwe na to pozwala, w razie potrzeby w oparciu o przekazane przez niego informacje”(69).
119. Z wyroku z dnia 1 października 2015 r., Weltimmo(70) wynikają moim zdaniem następujące konsekwencje dla niniejszej sprawy.
120. W przeciwieństwie do przypadku, na którym Trybunał oparł swoje rozumowanie dotyczące uprawnień organu nadzorczego w tej drugiej części wyroku z dnia 1 października 2015 r., Weltimmo(71), rozpatrywana sprawa odpowiada sytuacji podobnej do sytuacji odpowiadającej pierwszej części owego wyroku, w której, jak już wcześniej wskazałem, właściwym prawem krajowym jest prawo krajowe państwa członkowskiego, któremu podlega organ nadzorczy wykonujący swoje uprawnienia interwencyjne, a to z powodu obecności na terytorium tego państwa członkowskiego przedsiębiorstwa administratora danych, którego działalność jest nierozerwalnie związana z przetwarzaniem danych. Obecność tego przedsiębiorstwa w Niemczech stanowi łącznik niezbędny do stosowania prawa niemieckiego do spornego przetwarzania danych osobowych.
121. Po spełnieniu tego warunku wstępnego niemiecki organ nadzorczy należy uznać za właściwy do zapewnienia przestrzegania na terytorium Niemiec przepisów w dziedzinie ochrony danych osobowych poprzez wykonanie wszystkich uprawnień, jakimi dysponuje on zgodnie z niemieckimi przepisami transponującymi art. 28 ust. 3 dyrektywy 95/46. Takie uprawnienia mogą obejmować nakaz polegający na tymczasowym lub ostatecznym zakazie przetwarzania.
122. Jeśli chodzi o kwestię, który podmiot winien być adresatem takiego środka, dwa rozwiązania wydają się wyobrażalne.
123. Pierwsze rozwiązanie polega na uznaniu, zgodnie ze ścisłą interpretacją terytorialnego zakresu stosowania uprawnień interwencyjnych, jakimi dysponują organy nadzorcze, że organy te mogą wykonywać swoje uprawnienia wyłącznie wobec przedsiębiorstwa administratora danych położonego na terytorium państwa członkowskiego, któremu one podlegają. Jeśli, jak w ramach niniejszej sprawy, przedsiębiorstwo to, w niniejszym przypadku Facebook Germany, nie jest administratorem danych i nie może zatem samo uczynić zadość żądaniu organu nadzorczego mającemu na celu zakończenie przetwarzania danych, powinno ono przekazać to żądanie administratorowi danych, aby on mógł je spełnić.
124. Drugie rozwiązanie polega natomiast na uznaniu, że ze względu na okoliczność, iż wyłącznie administrator danych wywiera decydujący wpływ na rozpatrywane przetwarzanie danych, to do niego należy skierować bezpośrednio środek w postaci nakazu zakończenia takiego przetwarzania.
125. Moim zdaniem to drugie rozwiązanie powinno przeważyć, ponieważ jest ono spójne z podstawową rolą, jaką administrator danych odgrywa w ramach systemu wprowadzonego w dyrektywie 95/46(72). Takie rozwiązanie, pozwalające uniknąć obowiązkowego posłużenia się pośrednikiem, jakim jest przedsiębiorstwo wykonujące działalność, w której ramach przetwarzanie jest dokonywane, może zagwarantować natychmiastowe i skuteczne stosowanie krajowych przepisów dotyczących ochrony danych osobowych. Co więcej, organ nadzorczy, który kieruje bezpośrednio do administratora danych niemającego siedziby na terytorium państwa członkowskiego, któremu on podlega, takiego jak Facebook Inc. lub Facebook Ireland, środek w postaci nakazu zakończenia przetwarzania danych, działa w granicach swojej kompetencji polegającej na zapewnieniu, że to przetwarzanie jest zgodne z prawem tego państwa na jego terytorium. Nie ma w tym względzie znaczenia, że administrator lub administratorzy danych mają siedziby w państwie członkowskim lub w państwie trzecim.
126. W związku z moją propozycją odpowiedzi na pierwsze i drugie pytanie prejudycjalne chciałbym uściślić, że z uwagi na cel polegający na zapewnieniu możliwie najpełniejszej ochrony praw, które przysługują osobom odwiedzającym fanpage, możliwość wykonywania przez ULD swoich uprawnień interwencyjnych wobec Facebook Inc. i Facebook Ireland nie wyklucza w moim przekonaniu podjęcia środków wobec Wirtschaftsakademie i nie może zatem jako taka wpłynąć na zgodność z prawem tych środków(73).
127. Z powyższych rozważań wynika, że art. 4 ust. 1 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, iż przetwarzanie danych osobowych takie jak będące przedmiotem sporu w postępowaniu głównym jest dokonywane w kontekście prowadzenia przez administratora danych odpowiedzialnego za to przetwarzanie działalności gospodarczej na terytorium państwa członkowskiego w rozumieniu tego przepisu, jeśli przedsiębiorstwo prowadzące portal społecznościowy tworzy w tym państwie członkowskim spółkę zależną, której zadaniem jest zapewnienie promocji i sprzedaży przestrzeni reklamowych oferowanych przez to przedsiębiorstwo, a jej działalność jest skierowana do osób mieszkających w tym państwie członkowskim.
128. Co więcej, w sytuacji takiej jak sytuacja rozpatrywana w postępowaniu głównym, w której prawem krajowym właściwym dla rozpatrywanego przetwarzania danych osobowych jest prawo państwa członkowskiego, któremu podlega organ nadzorczy, art. 28 ust. 1, 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że ten organ nadzorczy może wykonywać wszystkie skuteczne uprawnienia interwencyjne, które zostały mu przyznane zgodnie z art. 28 ust. 3 tej dyrektywy, wobec administratora danych, także wówczas, gdy administrator ten ma siedzibę w innym państwie członkowskim lub w państwie trzecim.
C. W przedmiocie piątego i szóstego pytania prejudycjalnego
129. W swoim piątym i szóstym pytaniu prejudycjalnym, które należy moim zdaniem zbadać łącznie, sąd odsyłający zwraca się w istocie do Trybunału o orzeczenie, czy art. 28 ust. 1, 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że w okolicznościach takich jak okoliczności rozpatrywane w postępowaniu głównym organ nadzorczy podlegający państwu członkowskiemu, w którym jest położone przedsiębiorstwo administratora danych (Facebook Germany), jest upoważniony do wykonywania swoich uprawnień interwencyjnych w sposób autonomiczny i bez obowiązku wcześniejszego zwrócenia się do organu nadzorczego państwa członkowskiego, w którym administrator danych (Facebook Ireland) ma siedzibę, o wykonanie jego uprawnień.
130. W swoim postanowieniu odsyłającym Bundesverwaltungsgericht (federalny sąd administracyjny) wyjaśnia związek między tymi dwoma pytaniami prejudycjalnymi i kontrolą zgodności z prawem nakazu, jakiej ma on dokonać w ramach sporu w postępowaniu głównym. Sąd ten wskazuje zatem w istocie, że wydanie nakazu wobec Wirtschaftsakademie można uznać za wynikające z błędu w ocenie po stronie ULD, jeśli art. 28 ust. 6 dyrektywy 95/46 należy interpretować w ten sposób, iż przewiduje on w okolicznościach takich jak okoliczności sporu w postępowaniu głównym obowiązek organu nadzorczego takiego jak ULD zwrócenia się do organu nadzorczego innego państwa członkowskiego, w niniejszej sprawie organu nadzorczego w zakresie ochrony danych, o wykonanie jego uprawnień w przypadku rozbieżności w ocenie między tymi dwoma organami co do zgodności przetwarzania danych dokonanego przez Facebook Ireland z przepisami dyrektywy 95/46.
131. Jak Trybunał orzekł w swoim wyroku z dnia 1 października 2015 r., Weltimmo(74), w sytuacji, w której do danego przetwarzania danych osobowych nie jest właściwe prawo państwa członkowskiego, któremu podlega organ nadzorczy zamierzający wykonać swoje uprawnienia interwencyjne, lecz prawo innego państwa członkowskiego, art. 28 ust. 1, 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że ten organ nadzorczy nie może nałożyć sankcji na podstawie prawa państwa członkowskiego, któremu podlega, na administratora danych niemającego siedziby na terytorium tego państwa członkowskiego, lecz powinien, na podstawie art. 28 ust. 6 tej dyrektywy, wystąpić o podjęcie działań do organu nadzorczego podległego państwu członkowskiemu, którego prawo jest właściwe(75).
132. W takiej sytuacji organ nadzorczy pierwszego państwa członkowskiego traci swoją kompetencję do wykonywania swojego uprawnienia do nakładania sankcji na administratora danych, który ma siedzibę w innym państwie członkowskim. W wykonaniu obowiązku współpracy przewidzianego w art. 28 ust. 6 omawianej dyrektywy powinien on zatem zwrócić się do organu nadzorczego tego innego państwa członkowskiego o stwierdzenie ewentualnego naruszenia prawa tego państwa i o nałożenie sankcji, o ile prawo to na to pozwala, w razie potrzeby w oparciu o przekazane mu przez niego informacje(76).
133. Jak wcześniej wskazałem, sytuacja rozpatrywana w niniejszej sprawie jest zupełnie inna, ponieważ prawem właściwym jest właśnie prawo państwa członkowskiego, któremu podlega organ nadzorczy zamierzający wykonać swoje uprawnienia interwencyjne. W takiej sytuacji art. 28 ust. 6 dyrektywy 95/46 należy interpretować w ten sposób, że nie nakazuje on temu organowi nadzorczemu zwrócenia się do organu nadzorczego podlegającego państwu członkowskiemu, w którym administrator danych ma siedzibę, o wykonanie jego uprawnień interwencyjnych wobec tego administratora.
134. Pragnę dodać, że zgodnie z art. 28 ust. 1 zdanie drugie dyrektywy 95/46 organ nadzorczy, który jest właściwy do wykonania swoich uprawnień interwencyjnych wobec administratora danych mającego siedzibę w państwie członkowskim innym niż państwo członkowskie, któremu on podlega, wykonuje całkowicie niezależnie zadania, które zostały mu powierzone.
135. Jak wynika z moich powyższych rozważań, w dyrektywie 95/46 nie przewidziano ani zasady państwa pochodzenia, ani mechanizmu kompleksowej współpracy takiego jak ten zawarty w rozporządzeniu 2016/679. Administrator danych, który ma przedsiębiorstwa w wielu państwach członkowskich, podlega w konsekwencji w pełni kontroli wielu organów nadzorczych, jeśli prawa państw członkowskich, którym te organy podlegają, mają zastosowanie. Jakkolwiek koordynacja i współpraca między tymi organami nadzorczymi są oczywiście pożądane, to jednak nic nie zobowiązuje organu nadzorczego, którego właściwość została ustalona, do uzgodnienia jego stanowiska ze stanowiskiem przyjętym przez inny organ nadzorczy.
136. Z powyższych rozważań wyciągam wniosek, że art. 28 ust. 1, 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, iż w okolicznościach takich jak okoliczności rozpatrywane w postępowaniu głównym organ nadzorczy podlegający państwu członkowskiemu, w którym jest położone przedsiębiorstwo administratora danych, jest upoważniony do wykonywania swoich uprawnień interwencyjnych wobec tego administratora w sposób autonomiczny i bez obowiązku uprzedniego zwrócenia się do organu nadzorczego państwa członkowskiego, w którym ma siedzibę ów administrator, o wykonanie jego uprawnień.
III. Wnioski
137. Mając na względzie powyższe rozważania, proponuję udzielenie następującej odpowiedzi na pytania prejudycjalne przedłożone przez Bundesverwaltungsgericht (federalny sąd administracyjny):
1) Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zmienionej rozporządzeniem (WE) nr 1882/2003 Parlamentu Europejskiego i Rady z dnia 29 września 2003 r., należy interpretować w ten sposób, że administratorem danych w rozumieniu tego przepisu jest administrator fanpage’a na portalu społecznościowym takim jak Facebook w odniesieniu do etapu przetwarzania danych osobowych polegającego na gromadzeniu przez ten portal społecznościowy danych dotyczących osób, które odwiedzają tę stronę, w celu stworzenia statystyk użytkowników dotyczących danej strony.
2) Artykuł 4 ust. 1 lit. a) dyrektywy 95/46, zmienionej rozporządzeniem (WE) nr 1882/2003, należy interpretować w ten sposób, że przetwarzanie danych osobowych takie jak będące przedmiotem sporu w postępowaniu głównym jest dokonywane w kontekście prowadzenia przez administratora danych odpowiedzialnego za to przetwarzanie działalności gospodarczej na terytorium państwa członkowskiego w rozumieniu tego przepisu, jeśli przedsiębiorstwo prowadzące portal społecznościowy tworzy w tym państwie członkowskim spółkę zależną, której zadaniem jest zapewnienie promocji i sprzedaży przestrzeni reklamowych oferowanych przez to przedsiębiorstwo, a jej działalność jest skierowana do osób mieszkających w tym państwie członkowskim.
3) W sytuacji takiej jak sytuacja rozpatrywana w postępowaniu głównym, w której prawem krajowym właściwym dla rozpatrywanego przetwarzania danych osobowych jest prawo państwa członkowskiego, któremu podlega organ nadzorczy, art. 28 ust. 1, 3 i 6 dyrektywy 95/46, zmienionej rozporządzeniem (WE) nr 1882/2003, należy interpretować w ten sposób, że ten organ nadzorczy może wykonywać wszystkie skuteczne uprawnienia interwencyjne, które zostały mu przyznane zgodnie z art. 28 ust. 3 tej dyrektywy, wobec administratora danych, także wówczas, gdy administrator ten ma siedzibę w innym państwie członkowskim lub w państwie trzecim.
4) Artykuł 28 ust. 1, 3 i 6 dyrektywy 95/46, zmienionej rozporządzeniem (WE) nr 1882/2003, należy interpretować w ten sposób, że w okolicznościach takich jak okoliczności rozpatrywane w postępowaniu głównym organ nadzorczy podlegający państwu członkowskiemu, w którym jest położone przedsiębiorstwo administratora danych, jest upoważniony do wykonywania swoich uprawnień interwencyjnych wobec tego administratora w sposób autonomiczny i bez obowiązku uprzedniego zwrócenia się do organu nadzorczego państwa członkowskiego, w którym ma siedzibę ów administrator, o wykonanie jego uprawnień.