WYROK TRYBUNAŁU (trzecia izba)
z dnia 22 listopada 2012 r.(*)
Łączność elektroniczna – Dyrektywa 2002/58/WE – Artykuł 6 ust. 2 i 5 – Przetwarzanie danych osobowych – Dane o ruchu niezbędne do celów obliczenia i pobierania opłat – Windykacja wierzytelności przez spółkę zewnętrzną – Osoby działające z upoważnienia dostawców publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej
W sprawie C‑119/12
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesgerichtshof (Niemcy) postanowieniem z dnia 16 lutego 2012 r., które wpłynęło do Trybunału w dniu 6 marca 2012 r., w postępowaniu:
Josef Probst
przeciwko
mr.nexnet GmbH,
TRYBUNAŁ (trzecia izba),
w składzie: K. Lenaerts (sprawozdawca), pełniący obowiązki prezesa trzeciej izby, E. Juhász, G. Arestis, T. von Danwitz i D. Šváby, sędziowie,
rzecznik generalny: P. Cruz Villalón,
sekretarz: A. Calot Escobar,
uwzględniając pisemy etap postępowania,
rozważywszy uwagi przedstawione:
– w imieniu mr.nexnet GmbH przez P. Wassermanna, Rechtsanwalt,
– w imieniu Komisji Europejskiej przez F. Wilmana oraz F. Bulsta, działających w charakterze pełnomocników,
podjąwszy, po wysłuchaniu rzecznika generalnego, decyzję o rozstrzygnięciu sprawy bez opinii,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 6 ust. 2 i 5 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. L 201, s. 37).
2 Wniosek ten został złożony w ramach sporu pomiędzy z jednej strony spółką mr.nexnet GmbH (zwaną dalej „nexnet”), cesjonariuszem wierzytelności dotyczących świadczenia usług dostępu do internetu świadczonych przez spółkę Verizon Deutschland GmbH (zwaną dalej „Verizon”), i z drugiej strony J. Probstem, odbiorcą tych usług.
Ramy prawne
Dyrektywa 95/46/WE
3 Artykuł 16 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31) stanowi:
„Żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, włączając samego przetwarzającego, który [która] ma dostęp do danych osobowych, nie może przetwarzać ich bez polecenia administratora danych, chyba że wymaga tego prawo”.
4 Artykuł 17 dyrektywy 95/46 przewiduje:
„1. Państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania.
Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, przyjęte zostaną takie środki, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną.
2. Państwa członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań.
3. Przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych i które w szczególności postanawiają, że:
– przetwarzający działa wyłącznie na polecenie administratora danych,
– obowiązki wymienione w ust. 1, określone przez ustawodawstwo państwa członkowskiego, w którym przetwarzający prowadzi działalność gospodarczą, dotyczą również przetwarzającego.
4. Do celów zachowania dowodów części umowy lub aktu prawnego dotyczącego [dotyczące] ochrony danych i wymagań dotyczących środków wymienionych w ust. 1 są sporządzane na piśmie lub w innej równorzędnej formie”.
Dyrektywa 2002/58/WE
5 Artykuł 1 ust. 1 i 2 dyrektywy 2002/58 stanowi:
„1. Niniejsza dyrektywa harmonizuje przepisy państw członkowskich wymagane dla zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu [w Unii Europejskiej] tego typu danych oraz urządzeń i usług łączności elektronicznej.
2. Przepisy niniejszej dyrektywy dookreślają i uzupełniają [dyrektywę 95/46] zgodnie z celami przedstawionymi w ust. 1. […]”.
6 Zgodnie z art. 2 akapit drugi lit. b) tej dyrektywy „dane o ruchu oznaczają wszelkie dane przetwarzane do celów przekazywania komunikatu w sieci łączności elektronicznej lub naliczania opłat za te usługi”.
7 Artykuł 5 ust. 1 dyrektywy 2002/58 stanowi:
„Państwa członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej [poufność komunikacji za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej, a także związanych z nią danych o ruchu] […]”.
8 Zgodnie z art. 6 tej dyrektywy:
„1. Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu […].
2. Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę [lub w którym można dochodzić jego zapłaty].
[...]
5. Przetwarzanie danych o ruchu, zgodnie z ust. 1–3 i 4, musi być ograniczone do osób działających z upoważnienia dostawców publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej, zajmujących się naliczaniem opłat lub ruchem, obsługą klienta, systemem wykrywania nadużyć finansowych, marketingiem usług łączności elektronicznej lub świadczeniem usług tworzących wartość dodaną, oraz musi być ograniczone do celów niezbędnych przy takich działaniach.
[...]”.
Prawo niemieckie
9 Paragraf 97 ust. 1 zdania trzecie i czwarte Telekommunikationsgesetz (niemieckiej ustawy o telekomunikacji) z dnia 22 czerwca 2004 r. (BGBl. 2004 I, s. 1190, zwanej dalej „TKG”) brzmi następująco:
„Określenie i naliczenie opłat należnych dostawcy usług
[...] Jeśli dostawca usług zawarł z podmiotem zewnętrznym umowę w sprawie pobierania opłat, może przekazać mu dane [o ruchu] w zakresie, w jakim jest to konieczne w celu pobierania opłat i sporządzenia rachunku szczegółowego. Umowa powinna zobowiązywać podmiot zewnętrzny do zachowania tajemnicy telekomunikacyjnej zgodnie z art. 88 i do ochrony danych zgodnie z §§ 93, 95, 96, 97, 99 i 100.
[...]”.
10 Według sądu odsyłającego uprawnienie przewidziane w § 97 ust. 1 zdanie trzecie TKG w zakresie przekazywania danych odnosi się nie tylko do umów, których przedmiotem jest windykacja wierzytelności pozostających w majątku ich pierwotnych właścicieli, lecz obejmuje również inne umowy cesji, w szczególności umowy dotyczące nabycia wierzytelności i przewidujące, że scedowane roszczenie ostatecznie przysługuje cesjonariuszowi, zarówno pod względem prawnym, jak i ekonomicznym.
Postępowanie główne i pytanie prejudycjalne
11 J. Probst jest posiadaczem przyłącza telefonicznego należącego do Deutsche Telekom AG, poprzez które jego komputer jest połączony z internetem. W okresie od dnia 28 czerwca 2009 r. do dnia 6 września 2009 r. korzystał on z numeru należącego do Verizon, w celu uzyskiwania indywidualnego dostępu do internetu. Początkowo opłaty z tego tytułu należne od J. Probsta były naliczane przez Deutsche Telekom AG jako „opłaty na rzecz innych dostawców usług”. W następstwie niedokonania przez J. Probsta żadnych wpłat z tego tytułu spółka nexnet, będąca cesjonariuszem tej wierzytelności na mocy umowy faktoringu zawartej pomiędzy poprzednikami prawnymi Verizon i nexnet, zażądała od niego zapłaty naliczonych kwot powiększonych o różne koszty. Na podstawie umowy faktoringu nexnet ponosi ryzyko wypłacalności dłużnika.
12 Poprzednicy prawni nexnet i Verizon zawarli ponadto „porozumienie w sprawie ochrony danych i poufności”, które przewiduje, co następuje:
„I. Ochrona danych
[...]
(5) Strony umowy zobowiązują się do przetwarzania i wykorzystywania chronionych danych tylko w ramach ww. współpracy i wyłącznie w celu leżącym u podstawy tej umowy oraz w sposób w niej określony.
(6) Z chwilą gdy wgląd do chronionych danych nie będzie już konieczny do zrealizowania tego celu, wszystkie istniejące w tym zakresie chronione dane należy niezwłocznie usunąć w sposób uniemożliwiający ich odtworzenie lub zwrócić. [...]
(7) Każda ze stron umowy jest uprawniona do kontrolowania przestrzegania przez drugą stronę określonych w umowie zasad bezpieczeństwa i ochrony danych. […]
II. Poufność
[...]
(2) Strony umowy będą przetwarzały i wykorzystywały przekazane poufne dokumenty i informacje wyłącznie w celu wykonania zawartej między nimi umowy. Będą one je również udostępniały tylko tym pracownikom, którym są one niezbędne do wykonania umowy. Strony umowy zobowiążą tych pracowników do zachowania poufności stosownie do postanowień niniejszego porozumienia.
(3) Na żądanie jednej ze stron lub najpóźniej z chwilą zakończenia współpracy między stronami wszystkie istniejące w tym zakresie poufne informacje należy usunąć w sposób uniemożliwiający ich odtworzenie lub zwrócić drugiej stronie. […]
[...]”.
13 Według J. Probsta umowa faktoringu jest nieważna, ponieważ narusza w szczególności § 97 ust. 1 TKG. Amtsgericht (sąd rejonowy) oddalił żądanie zapłaty wniesione przez nexnet, natomiast sąd odwoławczy uznał je co do istoty. Do Bundesgerichtshof została wniesiona skarga rewizyjna.
14 Sąd odsyłający uważa, że art. 6 ust. 2 i 5 dyrektywy 2002/58 ma istotne znaczenie dla wykładni § 97 ust. 1 TKG. Sąd odsyłający wskazuje, po pierwsze, że „naliczanie opłat”, stanowiące jeden z celów, ze względu na które art. 6 ust. 2 i 5 zezwala na przetwarzanie danych o ruchu, niekoniecznie obejmuje windykację naliczonych opłat. Sąd ten uważa jednak, że nie ma obiektywnego powodu, aby w sposób zróżnicowany traktować naliczanie i windykację wierzytelności w odniesieniu do ochrony danych. Po drugie, art. 6 ust. 5 wspomnianej dyrektywy ogranicza przetwarzanie danych wyłącznie do osób działających „z upoważnienia” dostawcy publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej (zwanego dalej „dostawcą usług”). Zdaniem sądu odsyłającego pojęcie to nie rozstrzyga, czy dla dostawcy usług należy zastrzec konkretną możliwość decydowania o wykorzystaniu danych również w indywidualnym przypadku, czy też wystarczające są ogólnie sformułowane postanowienia dotyczące przestrzegania tajemnicy telekomunikacji i ochrony danych, tak jak są one określone w spornych w niniejszej sprawie umowach, oraz możliwość żądania usunięcia danych lub ich zwrotu.
15 W tych okolicznościach Bundesgerichtshof postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy art. 6 ust. 2 i 5 dyrektywy 2002/58 zezwala na przekazanie cesjonariuszowi wierzytelności z tytułu opłat za usługi telekomunikacyjne, przez usługodawcę, danych o ruchu, jeżeli u podstaw cesji dokonanej w celu windykacji zaległych wierzytelności, poza ogólnym obowiązkiem przestrzegania tajemnicy łączności i ochrony danych na podstawie obowiązującego ustawodawstwa, leżą następujące warunki określone w umowie:
– dostawca usług i cesjonariusz zobowiązują się do przetwarzania i wykorzystywania chronionych danych tylko w ramach ich współpracy i wyłącznie w celu leżącym u podstawy zawartej umowy oraz w sposób w niej określony;
– z chwilą gdy wgląd do chronionych danych nie będzie już konieczny do zrealizowania tego celu, wszystkie istniejące w tym zakresie chronione dane należy niezwłocznie usunąć w sposób uniemożliwiający ich odtworzenie lub zwrócić;
– każda ze stron umowy jest uprawniona do kontrolowania przestrzegania przez drugą stronę określonych w umowie zasad bezpieczeństwa i ochrony danych;
– poufne dokumenty i informacje będą udostępniane tylko tym pracownikom, którym są one niezbędne do wykonania umowy;
– strony umowy zobowiążą swoich pracowników do zachowania poufności stosownie do postanowień umowy;
– na żądanie jednej ze stron lub najpóźniej z chwilą zakończenia współpracy między stronami wszystkie istniejące w tym zakresie poufne informacje należy usunąć w sposób uniemożliwiający ich odtworzenie lub zwrócić drugiej stronie?”.
W przedmiocie pytania prejudycjalnego
16 W swoim pytaniu sąd odsyłający zastanawia się w istocie, czy – a jeśli tak, to w jakich warunkach – art. 6 ust. 2 i 5 dyrektywy 2002/58 zezwala dostawcy usług na przekazanie danych o ruchu cesjonariuszowi wierzytelności, a temu ostatniemu na przetwarzanie tych danych.
17 Po pierwsze, zgodnie z art. 6 ust. 2 dyrektywy 2002/58 można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta. Jak wskazują nexnet i Komisja Europejska, owo postanowienie dyrektywy zezwala na przetwarzanie danych o ruchu nie tylko do celów naliczania opłat, ale także do celów ich windykacji. Zezwalając na przetwarzanie danych o ruchu „do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym można dochodzić jego zapłaty”, postanowienie to nie odnosi się bowiem wyłącznie do przetwarzania danych w chwili naliczania opłat, lecz również do przetwarzania koniecznego do celów uzyskania ich zapłaty.
18 Po drugie, zgodnie z art. 6 ust. 5 dyrektywy 2002/58 przetwarzanie danych o ruchu dozwolone na mocy jej art. 6 ust. 2 „musi być ograniczone do osób działających z upoważnienia dostawców [usług] zajmujących się naliczaniem opłat” i „musi być ograniczone do celów niezbędnych przy takich działaniach”.
19 Z łącznej analizy obu tych przepisów dyrektywy 2002/58 wynika, iż dostawca usług może przekazać dane o ruchu cesjonariuszowi swoich wierzytelności do celów ich windykacji, a ten ostatni może przetwarzać te dane, pod warunkiem że, po pierwsze, działa on „z upoważnienia” dostawcy usług, jeśli chodzi o przetwarzanie tych danych, a po drugie, ogranicza się do przetwarzania danych o ruchu, które są niezbędne do celów windykacji tych wierzytelności.
20 W tym względzie należy stwierdzić, że ani dyrektywa 2002/58, ani dokumenty mające znaczenie przy jej wykładni, takie jak prace przygotowawcze nie wyjaśniają dokładnego zakresu wyrażenia „z upoważnienia”. W tej sytuacji zgodnie z orzecznictwem Trybunału w celu określenia znaczenia tego wyrażenia należy odwołać się do jego zwyczajowego znaczenia w języku potocznym, przy jednoczesnym uwzględnieniu kontekstu, w którym zostało one użyte, i celów uregulowania, którego jest częścią (zob. podobnie wyrok z dnia 10 marca 2005 r. w sprawie C‑336/03 easyCar, Zb.Orz. s. I‑1947, pkt 20, 21; wyrok z dnia 5 lipca 2012 r. w sprawie C‑49/11 Content Services, pkt 32).
21 Jeśli chodzi o zwyczajowe znaczenie tego wyrażenia w języku potocznym, należy stwierdzić, że dana osoba działa „z upoważnienia” innej osoby, jeżeli pierwsza z tych osób działa na polecenie i pod kontrolą drugiej.
22 Co się tyczy kontekstu, w jaki wpisany jest art. 6 dyrektywy 2002/58, należy przypomnieć, że art. 5 ust. 1 tej dyrektywy stanowi, iż państwa członkowskie powinny zapewnić poufność komunikacji dokonywanej za pośrednictwem publicznie dostępnej sieci łączności i usług łączności elektronicznej, a także związanych z nią danych o ruchu.
23 Artykuł 6 ust. 2 i 5 dyrektywy 2002/58 przewiduje wyjątek od poufności komunikacji przewidzianej w jej art. 5 ust. 1, zezwalając na przetwarzanie danych o ruchu w związku z wymogami w zakresie naliczania opłat za usługi (zob. podobnie wyrok z dnia 29 stycznia 2008 r. w sprawie C‑275/06 Promusicae, Zb.Orz. s. I‑271, pkt 48). Jako wyjątek ów przepis wspomnianej dyrektywy, a zatem również wyrażenie „z upoważnienia” muszą podlegać wykładni ścisłej [zob. wyrok z dnia 17 lutego 2011 r. w sprawie C‑16/10 The Number (UK) i Conduit Enterprises, Zb.Orz. s. I‑691, pkt 31]. Taka wykładnia wymaga, aby dostawca usług posiadał rzeczywiste uprawnienia kontrolne umożliwiające mu sprawdzenie, czy cesjonariusz wierzytelności przestrzega warunków nałożonych na niego w zakresie przetwarzania danych o ruchu.
24 Za przyjęciem takiej wykładni przemawia również cel zarówno całej dyrektywy 2002/85, jak i w szczególności jej art. 6 ust. 5. Jak wynika z jej art. 1 ust. 1 i 2, dyrektywa 2002/58 dookreśla i uzupełnia, w sektorze łączności elektronicznej, dyrektywę 95/46 między innymi dla zapewnienia w państwach członkowskich równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej.
25 W tej sytuacji wykładni art. 6 ust. 5 dyrektywy 2002/58 należy dokonywać w świetle podobnych przepisów dyrektywy 95/46. Z art. 16 i 17 tej drugiej dyrektywy określających poziom kontroli, jaką administrator danych powinien sprawować nad wyznaczonym przez siebie przetwarzającym, wynika, że ten ostatni działa wyłącznie na polecenie administratora danych oraz że ów administrator czuwa nad przestrzeganiem środków przyjętych w celu ochrony danych osobowych przed wszelkimi nielegalnymi formami przetwarzania.
26 Co się tyczy w szczególności celu leżącego u podstaw art. 6 ust. 5 dyrektywy 2002/58, należy stwierdzić, że choć przepis ten zezwala na przetwarzanie danych o ruchu przez pewne osoby zewnętrzne wobec dostawcy usług w szczególności do celów windykacji wierzytelności tego ostatniego, umożliwiając mu w ten sposób skupienie się na świadczeniu usług łączności elektronicznej, rzeczony przepis służy zapewnieniu – poprzez postanowienie, iż przetwarzanie danych o ruchu musi być ograniczone do osób działających „z upoważnienia” dostawcy usług – że takie przekazanie na zewnątrz nie wpłynie na poziom ochrony danych osobowych, z jakiego korzysta użytkownik.
27 Z powyższych wywodów wynika, że – niezależnie od zakwalifikowania umowy cesji wierzytelności do celów ich windykacji, cesjonariusz wierzytelności z tytułu opłat za usługi telekomunikacyjne działa, w rozumieniu art. 6 ust. 5 dyrektywy 2002/58, „z upoważnienia” dostawcy rzeczonych usług, jeśli – w odniesieniu do przetwarzania danych o ruchu – cesjonariusz działa wyłącznie na polecenie i pod kontrolą tego dostawcy. W szczególności umowa zawarta pomiędzy dostawcą usług, który dokonuje cesji swoich wierzytelności, i ich cesjonariuszem powinna zawierać postanowienia zapewniające zgodne z prawem przetwarzanie przez tego ostatniego danych o ruchu i zapewniać dostawcy usług możliwość przekonania się w każdej chwili, czy postanowienia te są przestrzegane przez cesjonariusza.
28 Na sądzie krajowym ciąży obowiązek dokonania oceny – w świetle wszystkich elementów akt sprawy – czy w sprawie głównej warunki te są spełnione. Natomiast okoliczność, że umowa faktoringu posiada cechy opisane w pytaniu prejudycjalnym, przemawia za tym, że umowa ta spełnia rzeczone warunki. Taka umowa pozwala bowiem na przetwarzanie danych o ruchu przez cesjonariusza wyłącznie w zakresie, w jakim przetwarzanie to jest niezbędne do celów windykacji tych wierzytelności, i nakłada na cesjonariusza obowiązek niezwłocznego usunięcia lub zwrócenia wspomnianych danych w sposób uniemożliwiający ich odtworzenie, z chwilą gdy wgląd do nich przestanie być niezbędny w celu windykacji odnośnych wierzytelności. Ponadto umowa ta umożliwia dostawcy usług kontrolowanie przestrzegania zasad bezpieczeństwa i ochrony danych przez cesjonariusza, który na żądanie może być zobowiązany do usunięcia lub zwrócenia danych o ruchu.
29 Mając na uwadze powyższe rozważania, na pytanie prejudycjalne należy odpowiedzieć, iż art. 6 ust. 2 i 5 dyrektywy 2002/58 należy interpretować w ten sposób, że zezwala on dostawcy usług na przekazanie danych o ruchu cesjonariuszowi wierzytelności dotyczących świadczenia usług telekomunikacyjnych do celów ich windykacji, a temu cesjonariuszowi na przetwarzanie tych danych, pod warunkiem że, po pierwsze, ów cesjonariusz działa z upoważnienia dostawcy usług, jeśli chodzi o przetwarzanie tych danych, a po drugie, ogranicza się on do przetwarzania danych o ruchu, które są niezbędne do celów windykacji wierzytelności będących przedmiotem cesji.
30 Niezależnie od zakwalifikowania umowy cesji należy uznać, że cesjonariusz działa z upoważnienia dostawcy usług w rozumieniu art. 6 ust. 5 dyrektywy 2002/58, jeśli w odniesieniu do przetwarzania danych o ruchu działa on wyłącznie na polecenie i pod kontrolą tego dostawcy. W szczególności zawarta pomiędzy nimi umowa powinna uwzględniać postanowienia zapewniające zgodne z prawem przetwarzanie danych o ruchu przez cesjonariusza i zapewniać dostawcy usług możliwość przekonania się w każdej chwili, czy postanowienia te są przestrzegane przez cesjonariusza.
W przedmiocie kosztów
31 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:
Artykuł 6 ust. 2 i 5 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) należy interpretować w ten sposób, że zezwala on dostawcy publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej na przekazanie danych o ruchu cesjonariuszowi wierzytelności dotyczących świadczenia usług telekomunikacyjnych do celów ich windykacji, a temu cesjonariuszowi na przetwarzanie tych danych, pod warunkiem że, po pierwsze, ów cesjonariusz działa z upoważnienia dostawcy usług, jeśli chodzi o przetwarzanie tych danych, a po drugie, ogranicza się on do przetwarzania danych o ruchu, które są niezbędne do celów windykacji wierzytelności będących przedmiotem cesji.
Niezależnie od zakwalifikowania umowy cesji należy uznać, że cesjonariusz działa z upoważnienia dostawcy usług w rozumieniu art. 6 ust. 5 dyrektywy 2002/58, jeśli w odniesieniu do przetwarzania danych o ruchu działa on wyłącznie na polecenie i pod kontrolą tego dostawcy. W szczególności zawarta pomiędzy nimi umowa powinna uwzględniać postanowienia zapewniające zgodne z prawem przetwarzanie danych o ruchu przez cesjonariusza i zapewniać dostawcy usług możliwość przekonania się w każdej chwili, czy postanowienia te są przestrzegane przez cesjonariusza.
Podpisy