Language of document : ECLI:EU:C:2017:796

Laikina versija

GENERALINIO ADVOKATO

YVES BOT IŠVADA,

pateikta 2017 m. spalio 24 d.(1)

Byla C210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

prieš

Wirtschaftsakademie Schleswig-Holstein GmbH,

dalyvaujant

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

(Bundesverwaltungsgericht (Federalinis administracinis teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)

„Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – 2, 4 ir 28 straipsniai – Fizinių asmenų apsauga tvarkant asmens duomenis ir laisvas šių duomenų judėjimas – Įpareigojimas deaktyvinti socialiniame tinkle Facebook esantį gerbėjų tinklalapį – Sąvoka „duomenų valdytojas“ – Gerbėjų tinklalapio administratoriaus atsakomybė – Bendroji atsakomybė – Taikytina nacionalinė teisė – Priežiūros institucijų įgaliojimų imtis veiksmų apimtis“






1.        Šis prašymas priimti prejudicinį sprendimą susijęs su 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo(2), iš dalies pakeistos 2003 m. rugsėjo 29 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1882/2003(3), 2 straipsnio d punkto, 4 straipsnio 1 dalies, 17 straipsnio 2 dalies ir 28 straipsnio 3 bei 6 dalių išaiškinimu.

2.        Šis prašymas pateiktas nagrinėjant privatinės teisės reglamentuojamos bendrovės Wirtschaftsakademie Schleswig-Holstein GmbH, kuri specializuojasi švietimo srityje (toliau – Wirtschaftsakademie), ir Šlėzvigo-Holšteino regioninės duomenų apsaugos institucijos Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (toliau – ULD) ginčą dėl pastarosios Wirtschaftsakademie skirto įpareigojimo deaktyvinti „gerbėjų tinklalapį“ (Fanpage), esantį Facebook Ireland Ltd (toliau – Facebook Ireland) interneto svetainėje.

3.        Nustatyti šį įpareigojimą paskatino tariamas Vokietijos teisės aktų nuostatų, kuriomis į Vokietijos teisę perkelta Direktyva 95/46, pažeidimas, be kita ko, todėl, kad gerbėjų tinklalapio lankytojai nėra informuojami apie tai, kad socialinis tinklas Facebook (toliau – Facebook) renka jų asmens duomenis, naudodamas jų standžiajame diske išsaugomus slapukus, o ši informacija kaupiama siekiant nustatyti lankytojų statistiką, skirtą šio tinklalapio administratoriui ir leidžiančią per Facebook platinti tikslinę reklamą.

4.        Šios bylos esmę sudaro vadinamasis „webtracking“ – reiškinys, kai komerciniais ir rinkodaros tikslais stebimas ir analizuojamas interneto naudotojų elgesys. Šis webtracking, be kita ko, leidžia nustatyti, kuo daugiausia domisi interneto naudotojai, stebint jų naršymo internete elgesį. Taigi kalbama apie elgsena grindžiamą webtracking. Paprastai tai daroma naudojant slapukus.

5.        Slapukai – tai duomenų rinkiniai, registruojami internauto kompiuteryje tuo metu, kai jis naršo interneto svetainėje.

6.        Webtracking naudojamas, be kita ko, siekiant veiksmingiau optimizuoti ir konfigūruoti interneto svetainę. Be to, jį naudodami reklamuotojai gali tikslingai nusitaikyti į įvairius visuomenės segmentus.

7.        Kaip 29 straipsnio duomenų apsaugos darbo grupė(4) yra apibrėžusi savo 2010 m. birželio 22 d. Nuomonėje 2/2010 dėl vartotojų elgesiu grindžiamos internetinės reklamos(5), „vartotojų elgesiu grindžiama reklama – reklama, grindžiama asmenų elgesio stebėjimu ilgą laiką. Vartotojų elgesiu grindžiama reklama siekiama ištirti šio elgesio savybes remiantis vartotojų veiksmais (kartotiniais apsilankymais svetainėse, sąveikomis, reikšminiais žodžiais, internetinio turinio gamyba ir pan.), kad būtų galima sukurti konkretų profilį ir taip duomenų subjektams pateikti numanomus jų pomėgius atitinkančius konkrečiam asmeniui pritaikytus reklaminius pranešimus“(6). Kad tai būtų galima padaryti, turi būti surenkama ir paskui apdorojama informacija iš vartotojų naršyklės ir galinės įrangos. Pagrindinė vartotojams stebėti internete skirta sekimo technologija yra stebėjimo slapukai(7). Taigi „vartotojų elgesiu grindžiamoje reklamoje naudojama surinkta informacija apie internete naršančio asmens elgesį, kaip antai tinklalapius, kuriuose lankytasi, arba atliktas paieškas; pagal tai parenkami tam konkrečiam asmeniui pritaikyti reklaminiai pranešimai“(8).

8.        Sekdami naršymo internete elgesį, interneto svetainių eksploatuotojai taip pat gali teikti statistinius duomenis apie šiose svetainėse besilankančius asmenis.

9.        Asmens duomenų rinkimas ir naudojimas siekiant surinkti lankymosi statistiką ir platinti tikslinę reklamą turi atitikti tam tikras sąlygas, kad ši veikla atitiktų Direktyvoje 95/46 nustatytas asmens duomenų apsaugos taisykles. Visų pirma šių duomenų negalima tvarkyti neinformavus atitinkamų asmenų ir iš anksto negavus jų sutikimo.

10.      Vis dėlto norint patikrinti, ar šių reikalavimų laikomasi, prieš tai reikia atsakyti į kelis klausimus, susijusius tuo, ką reiškia už duomenų tvarkymą atsakingas asmuo, nustatyti taikytiną nacionalinę teisę ir kompetentingą instituciją, kuri įgyvendintų įgaliojimus imtis veiksmų.

11.      Kausimas, susijęs su asmens, atsakingo už duomenų tvarkymą, nustatymu, tampa ypač sudėtingas tuo atveju, kai ūkio subjektas nusprendžia savo interneto svetainėje neįdiegti priemonių, kurios yra būtinos apsilankymų statistikai rinkti ir tikslinei reklamai platinti, ir naudojasi socialiniu tinklu, pavyzdžiui, Facebook, sukurdamas jame gerbėjų tinklalapį, kad pasinaudotų panašiomis priemonėmis.

12.      Klausimai, susiję su taikytinos nacionalinės teisės ir institucijos, kompetentingos įgyvendinti įgaliojimus imtis veiksmų, nustatymu, taip pat tampa sudėtingesni, jeigu nagrinėjamas asmens duomenų tvarkymas apima kelis subjektus, kurie yra įsikūrę ir Europos Sąjungoje, ir už jos ribų.

13.      Tokiomis aplinkybėmis, kai daugelio valstybių narių priežiūros institucijos pastaraisiais mėnesiais nusprendė skirti baudas Facebook dėl taisyklių, susijusių su naudotojų asmens duomenų apsauga, pažeidimo(9), šioje byloje Teisingumo Teismas turi galimybę patikslinti, kokios apimties įgaliojimus tvarkant asmens duomenis turi tokia priežiūros institucija, kokia yra ULD, kai juos tvarkant dalyvauja keli subjektai.

14.      Siekiant geriau suprasti šios bylos teisinę pusę, pirmiausia reikėtų aprašyti pagrindinės bylos faktines aplinkybes.

I.      Pagrindinės bylos faktinės aplinkybės ir prejudiciniai klausimai

15.      Wirtschaftsakademie teikia mokymo paslaugas per socialiniame tinkle Facebook sukurtą gerbėjų tinklalapį.

16.      Gerbėjų tinklalapiai – tai vartotojų paskyros, kurias per Facebook gali konfigūruoti fiziniai asmenys arba įmonės. Šiuo tikslu gerbėjų tinklalapio administratorius turi užsiregistruoti Facebook ir tada gali naudoti šio tinklo valdomą platformą, siekdamas prisistatyti šio socialinio tinklo vartotojams ir skelbti įvairaus pobūdžio pranešimus, visų pirma – vykdyti komercinę veiklą.

17.      Gerbėjų tinklalapių administratoriai gali gauti statistinius duomenis apie lankytojus naudodami įrankį „Facebook Insights“, kurį Facebook savo vartotojams pateikia nemokamai naudotis nekeičiamomis sąlygomis. Šiuos statistinius duomenis surenka Facebook, o pritaiko gerbėjų tinklalapio administratorius, taikydamas įvairius kriterijus, kuriuos gali pasirinkti, pavyzdžiui, amžių arba lytį. Šie statistiniai duomenys pateikia anoniminę informaciją apie gerbėjų tinklalapiuose besilankančių asmenų savybes ir įpročius, leidžiančią šių tinklalapių administratoriams tikslingiau nukreipti savo komunikaciją.

18.      Siekiant surinkti tokius lankytojų statistinius duomenis naudojamas slapukas su unikaliuoju ID numeriu, kuris veikia dvejus metus ir kurį Facebook išsaugo gerbėjų tinklalapyje apsilankiusio asmens standžiajame diske. ID numeris, kurį galima susieti su Facebook prisiregistravusių vartotojų prisijungimo duomenimis, gaunamas ir tvarkomas atidarant Facebook tinklalapius.

19.      2011 m. lapkričio 3 d. sprendimu ULD nurodė Wirtschaftsakademie pagal Bundesdatenschutzgesetz (Federalinis duomenų apsaugos įstatymas, toliau – BDSG)(10) 38 straipsnio 5 dalies pirmą sakinį deaktyvinti gerbėjų tinklalapį, kurį ji sukūrė interneto adresu www.facebook.com/wirtschaftsakademie; neįvykdžius šio nurodymo, per nustatytą terminą bus skirta bauda, motyvuojant tuo, kad nei Wirtschaftsakademie, nei Facebook nepraneša gerbėjų tinklalapio lankytojams, kad naudodamos slapukus renka jų asmens duomenis, paskui juos tvarko. Wirtschaftsakademie apskundė šį sprendimą, iš esmės teigdama, kad pagal taikytiną duomenų apsaugos teisę ji nėra atsakinga nei už Facebook atliekamą duomenų tvarkymą, nei už jos diegiamus slapukus.

20.      2011 m. gruodžio 16 d. sprendimu ULD atmetė šį skundą, nusprendusi, kad Wirtschaftsakademie, kaip paslaugų teikėjos, atsakomybė nustatyta pagal TelemediengesetzĮstatymas dėl elektroninės žiniasklaidos)(11) 3 straipsnio 3 dalies 4 punktą ir 12 straipsnio 1 dalį. Sukurdama gerbėjų tinklalapį Wirtschaftsakademie taip pat aktyviai ir savanoriškai dalyvavo Facebook renkant asmens duomenis, kuriuos ji gaudavo iš šio socialinio tinklo pateikiamų statistinių duomenų, susijusių su vartotojais.

21.      Wirtschaftsakademie apskundė tokį sprendimą Verwaltungsgericht (Administracinis teismas, Vokietija), teigdama, kad Facebook vykdomos duomenų tvarkymo operacijos jai nepriskirtinos ir kad ji neįgaliojo Facebook, kaip tai suprantama pagal BDSG 11 straipsnį(12), tvarkyti duomenų, kuriuos ji kontroliuoja arba galėtų paveikti. Taigi, Wirtschaftsakademie nuomone, ULD klaidingai kreipiasi į ją, užuot tiesiogiai kreipusis į Facebook.

22.      2013 m. spalio 9 d. Verwaltungsgericht (Administracinis teismas) panaikino ginčijamą sprendimą, iš esmės nurodęs, kad Facebook esančio gerbėjų tinklalapio administratorius nėra „atsakingas subjektas“, kaip tai suprantama pagal BDSG 3 straipsnio 7 dalį(13), ir kad Wirtschaftsakademie negalėjo būti skirta priemonė, kurios imtasi pagal BDSG 38 straipsnio 5 dalį.

23.      Oberverwaltungsgericht (Aukštesnysis administracinis teismas, Vokietija) atmetė ULD apeliacinį skundą dėl minėto sprendimo kaip nepagrįstą, iš esmės nusprendęs, kad ginčijamame sprendime įtvirtintas draudimas tvarkyti duomenis yra neteisėtas, nes BDSG 38 straipsnio 5 dalies antrame sakinyje numatytas laipsniškas procesas, ir jo pirmasis etapas leidžia imtis tik tokių priemonių, kuriomis siekiama ištaisyti tvarkant duomenis padarytus pažeidimus. Iš karto taikomą draudimą tvarkyti duomenis galima nustatyti tik jeigu visa duomenų tvarkymo procedūra yra neteisėta ir padėtį galima ištaisyti tik šią procedūrą sustabdžius. Tačiau, Oberverwaltungsgericht (Aukštesnysis administracinis teismas) teigimu, šioje byloje taip nėra, nes Facebook turėjo galimybę nutraukti ULD nurodytus pažeidimus.

24.      Įpareigojimas taip pat yra neteisėtas todėl, kad ieškovė nėra atsakingas subjektas, kaip tai suprantama pagal BDSG 3 straipsnio 7 dalį, kalbant apie duomenis, kuriuos Facebook renka administruojant gerbėjų tinklalapį, ir kad BDSG 38 straipsnio 5 dalyje numatytas įpareigojimas gali būti taikomas tik tokiam subjektui. Šioje byloje tik Facebook sprendžia, kokiu tikslu ir kokiomis priemonėmis bus renkami ir tvarkomi asmens duomenys, naudojami „Facebook Insight“ funkcijai. Pati ieškovė gaudavo tik statistinę informaciją, kuri buvo anonimiška.

25.      BDSG 38 straipsnio 5 dalyje įpareigojimų neleidžiama taikyti tretiesiems asmenims. Civilinių bylų teismų praktikoje išplėtota vadinamoji „netiesioginė“ atsakomybė (Störerhaftung) internete netaikoma viešosios valdžios įgyvendinamiems įgaliojimams. Nors BDSG 38 straipsnio 5 dalyje aiškiai nenurodyta įpareigojimo adresato, iš šio teisės akto struktūros, tikslo, esmės ir kilmės aišku, kad įpareigojimas gali būti skirtas tik atsakingam subjektui.

26.      Bundesverwaltungsgericht (Federalinis administracinis teismas, Vokietija) paduotame kasaciniame skunde ULD kaltina, be kita ko, BDSG 38 straipsnio 5 dalies pažeidimu ir nurodo kelias apeliacinio teismo padarytas procedūrines klaidas. Jos nuomone, Wirtschaftsakademie padarytas pažeidimas susijęs su tuo, kad ji įgaliojo netinkamą paslaugų teikėją, nes jis nesilaikė duomenų apsaugai taikytinų teisės aktų (šioje byloje – Facebook Ireland) sukurti ir prižiūrėti interneto svetainę. Taigi deaktyvinimo įpareigojimu buvo siekiama ištaisyti šį Wirtschaftsakademie padarytą pažeidimą, kad jai būtų uždrausta toliau naudoti Facebook infrastruktūrą kaip savo interneto svetainės techninę bazę.

27.      Prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, kalbant apie į pagrindinę bylą įstojusios šalies, t. y. Facebook Ireland, atliekamą gerbėjų tinklalapio lankytojų asmens duomenų rinkimą ir tvarkymą, Wirtschaftsakademie nėra „subjektas, kuris renka, tvarko arba naudoja asmens duomenis savo vardu arba per kitą asmenį kaip duomenų tvarkytoją“, kaip tai suprantama pagal BDSG 3 straipsnio 7 dalį, arba „subjektas, kuris vienas ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Žinoma, nusprendusi sukurti gerbėjų tinklalapį į pagrindinę bylą įstojusios šalies arba jos kontroliuojančiosios bendrovės (šioje byloje – Facebook Inc., JAV) eksploatuojamoje platformoje Wirtschaftsakademie į pagrindinę bylą įstojusiai šaliai objektyviai pasiūlė galimybę įdiegti slapukus atidarant šį gerbėjų tinklalapį ir taip renkant duomenis. Vis dėlto šis sprendimas neleido Wirtschaftsakademie paveikti, vadovauti, modeliuoti arba kontroliuoti įstojusios į pagrindinę bylą šalies atliekamo jos gerbėjų tinklalapio vartotojų duomenų tvarkymo pobūdžio ir apimties. Be to gerbėjų tinklalapio naudojimo sąlygos nesuteikė Wirtschaftsakademie teisės imtis veiksmų ar kontroliuoti. Įstojusios į pagrindinę bylą šalies vienašališkai nustatytos naudojimo sąlygos nebuvo derybų proceso rezultatas ir jos nesuteikė Wirtschaftsakademie teisės uždrausti įstojusiai į pagrindinę bylą šaliai rinkti ir tvarkyti gerbėjų tinklalapio vartotojų duomenų.

28.      Prašymą priimti prejudicinį sprendimą pateikęs teismas pripažįsta, kad Direktyvos 95/46 2 straipsnio d punkte įtvirtinta teisinė sąvoka „duomenų valdytojas“ iš esmės turi būti aiškinama plačiai, siekiant veiksmingai apsaugoti teisę į privatų gyvenimą. Tačiau Wirtschaftsakademie neatitinka šios apibrėžties, nes ji neturi jokios teisinės ar faktinės įtakos įstojusios į pagrindinę bylą šalies jos pačios atsakomybe ir visiškai nepriklausomai atliekamo asmens duomenų tvarkymo taisyklėms. Šiuo klausimu nepakanka to, kad Wirtschaftsakademie objektyviai gali naudotis įstojusios į pagrindinę bylą šalies eksploatuojama funkcija „Facebook Insights“, motyvuodama tuo, kad anonimizuoti duomenys perduodami jos gerbėjų tinklalapio naudojimo tikslais.

29.      Kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, Wirtschaftsakademie negalėtų būti laikoma atsakinga už duomenų tvarkymą ir kaip duomenų tvarkytoja, kaip tai suprantama pagal BDSG 11 straipsnį ir Direktyvos 95/46 2 straipsni e punktą bei 17 straipsnio 2 ir 3 dalis.

30.      Minėto teismo nuomone, reikėtų išsiaiškinti, ar (o jei taip, tai kokiomis sąlygomis) priežiūros institucijų įgaliojimai ir įgaliojimai imtis veiksmų duomenų apsaugos srityje galėtų būti įgyvendinami tik „duomenų valdytojo“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, atžvilgiu, ar vis dėlto galima laikyti atsakingu subjektą, kuris nėra duomenų valdytojas pagal iš tos pačios nuostatos kylančią apibrėžtį, atsižvelgiant į šio subjekto pasirinkimą kreiptis į Facebook dėl jos siūlomos informacijos.

31.      Pastaruoju atveju prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar ši atsakomybė galėtų būti grindžiama pasirinkimo ir priežiūros įpareigojimų, kylančių iš Direktyvos 95/46 17 straipsnio 2 dalies, kai duomenis tvarko duomenų tvarkytojas, analogišku taikymu.

32.      Kad galėtų priimti sprendimą dėl šioje byloje paskelbto įpareigojimo teisėtumo, prašymą priimti prejudicinį sprendimą pateikęs teismas nusprendė, kad taip pat būtina išsiaiškinti kelis aspektus, susijusius su priežiūros institucijų kompetencija ir jų intervencinių įgaliojimų apimtimi.

33.      Visų pirma prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl kompetencijos pasidalijimo tarp priežiūros institucijų tuo atveju, jei kontroliuojančioji bendrovė, kaip antai Facebook Inc., turi kelis padalinius Sąjungos teritorijoje ir jei šiems padaliniams patikėtos užduotys grupėje yra skirtingos.

34.      Prašymą priimti prejudicinį sprendimą pateikęs teismas šiuo klausimu primena, jog Teisingumo Teismas 2014 m. gegužės 13 d. Sprendime Google Spain ir Google (C‑131/12, EU:C:2014:317)(14) konstatavo, kad „Direktyvos 95/46 4 straipsnio 1 dalies a punktas aiškintinas taip, kad asmens duomenys yra tvarkomi duomenų valdytojo padaliniui vykdant veiklą valstybės narės teritorijoje, kaip tai suprantama pagal šią nuostatą, jei paieškos variklio eksploatuotojas įsteigia valstybėje narėje savo filialą arba dukterinę bendrovę, kurių veikla orientuojama į šios valstybės gyventojus, kad reklamuotų ir parduotų šio paieškos variklio rodomiems reklaminiams pranešimams skirtas vietas“(15). Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar šį susiejimą su tokiu padaliniu, koks yra Facebook Germany GmbH, kuris, remiantis sprendime dėl prašymo priimti prejudicinį sprendimą pateikta informacija, yra atsakingas už reklamos vietų pardavimo skatinimą ir pardavimą, taip pat už kitą rinkodaros veiklą, skirtą Vokietijos Federacinės Respublikos gyventojams, siekiant taikyti Direktyvą 95/46 ir nustatyti kompetentingą priežiūros instituciją, galima pritaikyti tokiam atvejui, kai kitoje valstybėje narėje (šioje byloje – Airijoje) įsteigta dukterinė bendrovė įstoja į bylą kaip „duomenų valdytoja“ visoje Sąjungos teritorijoje.

35.      Kalbant apie priemonės, kurios imtasi pagal Direktyvos 95/46 28 straipsnio 3 dalį, adresatus, prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad įpareigojimo priemonė, kurios imtasi prieš Wirtschaftsakademie,galėjo būti susijusi su vertinimo klaida, todėl neteisėta, jeigu būtų galima ištaisyti ULD nurodomus teisės į duomenų apsaugą pažeidimus taikant priemonę tiesiogiai dukterinei bendrovei Facebook Germany, kuri įsteigta Vokietijoje.

36.      Prašymą priimti prejudicinį sprendimą pateikęs teismas taip pat pažymi, kad, ULD nuomone, jam nėra privalomos Data Protection Commissioner (Duomenų apsaugos priežiūros institucija, Airija) konstatuotos aplinkybės ir vertinimai, nes jis, remdamasis Wirtschaftsakademie ir įstojusios į pagrindinę bylą šalies pateikta informacija, neginčijo pagrindinėje byloje nagrinėjamo asmens duomenų tvarkymo. Taigi šis teismas nori sužinoti, pirma, ar toks savarankiškas ULD vertinimas yra galimas, ir, antra, ar pagal Direktyvos 95/46 28 straipsnio 6 dalies antrą sakinį ULD privalo prašyti duomenų apsaugos priežiūros institucijos įgyvendinti savo įgaliojimus dėl Facebook Ireland, atsižvelgiant į skirtingus šių dviejų priežiūros institucijų vertinimus, susijusius su pagrindinėje byloje nagrinėjamo duomenų tvarkymo atitiktimi iš Direktyvos 95/46 kylančioms taisyklėms.

37.      Šiomis aplinkybėmis Bundesverwaltungsgericht (Federalinis administracinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.      Ar Direktyvos 95/46 2 straipsnio d punktas aiškintinas taip, kad juo išsamiai ir galutinai reglamentuojama atsakomybė už duomenų saugumo pažeidimus, ar vis dėlto taikant „tinkamas priemones“ pagal [šios direktyvos] 24 straipsnį ir „įgaliojimus veiksmingai įsikišti“ pagal [jos] 28 straipsnio 3 dalies antrą įtrauką daugiapakopėje informacijos teikėjų struktūroje galima įžvelgti institucijos, kuri nėra atsakinga už duomenų tvarkymą pagal [minėtos direktyvos] 2 straipsnio d dalį, atsakomybę už savo siūlomos informacijos valdytojo pasirinkimą?

2.      Ar vis dėlto valstybių narių pareiga pagal Direktyvos 95/46 17 straipsnio 2 dalį tais atvejais, kai duomenys tvarkomi duomenų valdytojo vardu, numatyti, kad duomenų valdytojas turi „parinkti <…> duomenų tvarkytoją, kuris garantuotų reikiamas techninio saugumo ir organizacines priemones, taikomas tvarkant numatytus duomenis“, aiškintina taip, kad kitų su naudojimu susijusių santykių atveju, kurie nėra susiję su duomenų tvarkymu duomenų valdytojo vardu pagal [šios direktyvos] 2 straipsnio e punktą, nėra pareigos rūpestingai pasirinkti tokį tvarkytoją ir jos negalima pagrįsti pagal nacionalinę teisę?

3.      Ar tais atvejais, kai už Europos Sąjungos ribų įsisteigusi patronuojančioji bendrovė įvairiose valstybėse narėse turi teisiškai nepriklausomus padalinius (dukterines bendroves), pagal Direktyvos 95/46 4 straipsnį, 28 straipsnio 6 dalį valstybės narės (šiuo atveju Vokietijos) priežiūros institucija turi teisę įgyvendinti jai pagal [šios direktyvos] 28 straipsnio 3 dalį suteiktus įgaliojimus jos teritorijoje esančio padalinio atžvilgiu net tuomet, kai tas padalinys yra atsakingas tik už reklamos pardavimo skatinimą ir kitas rinkodaros priemones, skirtas tos valstybės narės gyventojams, o kitas kitoje valstybėje narėje (šiuo atveju Airijoje) esantis nepriklausomas padalinys (dukterinė bendrovė) remiantis vidiniu koncerno užduočių paskirstymu yra atsakingas tik už asmens duomenų rinkimą ir tvarkymą visoje Europos Sąjungoje, t. y. ir kitoje valstybėje narėje (šiuo atveju Vokietijoje), jei iš tiesų sprendimą dėl duomenų tvarkymo priima patronuojančioji bendrovė?

4.      Ar Direktyvos 95/46 4 straipsnio 1 dalies a punktas, 28 straipsnio 3 dalis yra aiškintini taip, kad tais atvejais, kai duomenų valdytojas turi padalinį vienos valstybės narės teritorijoje (šiuo atveju Airijoje), o kitos valstybės narės teritorijoje (šiuo atveju Vokietijoje) turi dar vieną teisiškai nepriklausomą padalinį, kuris, be kita ko, yra atsakingas už reklaminio ploto pardavimą ir jo veikla skirta tos valstybės gyventojams, toje kitoje valstybėje narėje (šiuo atveju Vokietijoje) kompetentinga priežiūros institucija gali taikyti priemones ir nurodyti įgyvendinti duomenų apsaugą reglamentuojančius teisės aktus kito padalinio (esančio Vokietijoje), kuris, remiantis vidiniu koncerno užduočių ir atsakomybės paskirstymu, nėra atsakingas už duomenų tvarkymą, atžvilgiu ar vis dėlto tokiu atveju taikyti priemones ir teikti nurodymus gali tik valstybės narės (šiuo atveju Airijos), kurios teritorijoje yra pagal vidinę koncerno tvarką atsakingas padalinys, priežiūros institucija?

5.      Ar Direktyvos 95/46 4 straipsnio 1 dalies a punktas, 28 straipsnio 3 ir 6 dalys aiškintini taip, kad tais atvejais, kai vienos valstybės narės (šiuo atveju Vokietijos) priežiūros institucija pagal Direktyvos 95/46/EB 28 straipsnio 3 dalį reiškia pretenzijas jos teritorijoje dirbančiam asmeniui ar veikiančiai institucijai dėl nerūpestingai pasirinkto į duomenų tvarkymo procesą įtraukto trečiojo asmens (šiuo atveju Facebook), nes tas trečiasis asmuo pažeidžia duomenų apsaugos teisės nuostatas, tai priežiūros institucijai, kuri imasi veiksmų (šiuo atveju Vokietijoje), yra privalomas kitos valstybės narės, kurioje už duomenų tvarkymą atsakingas trečiasis asmuo turi savo padalinį (šiuo atveju Airijoje), priežiūros institucijos atliktas su duomenų apsauga susijęs vertinimas ta prasme, kad pirmoji priežiūros institucija negali atlikti tokio teisinio vertinimo, kuris nukryptų nuo antrosios priežiūros institucijos vertinimo, ar vis dėlto priežiūros institucija, kuri imasi veiksmų (šiuo atveju Vokietijoje), gali savarankiškai prieš imdamasi veiksmų preliminariai tikrinti, ar kitoje valstybėje narėje (šiuo atveju Airijoje) įsisteigęs trečiasis asmuo teisėtai tvarko duomenis?

6.      Jei priežiūros institucijai, kuri imasi veiksmų (šiuo atveju Vokietijoje), leidžiama atlikti savarankišką tyrimą, ar Direktyvos 95/46 28 straipsnio 6 dalies antras sakinys aiškintinas taip, kad ši priežiūros institucija gali įgyvendinti jai pagal [šios direktyvos] 28 straipsnio 3 dalį suteiktus įgaliojimus veiksmingai įsikišti dėl jos teritorijoje įsisteigusio asmens ar institucijos, nagrinėdama bendrą atsakomybę už duomenų saugumo pažeidimus, kuriuos daro kitoje valstybėje narėje įsisteigęs trečiasis asmuo, tik tokiu atveju, jei prieš tai ji kreipėsi į tos kitos valstybės narės (šiuo atveju Airijos) priežiūros instituciją su prašymu leisti įgyvendinti šiuos įgaliojimus?“

II.    Analizė

38.      Reikia pažymėti, kad prašymą priimti prejudicinį sprendimą pateikusio teismo klausimai nėra susiję su tuo, ar asmens duomenų tvarkymas, su kuriuo susiję ULD pateikti kaltinimai, t. y. asmenų, kurie lankosi gerbėjų tinklalapyje, asmens duomenų rinkimas ir eksploatavimas, prieš tai šių asmenų apie tai neinformavus, prieštarauja iš Direktyvos 95/46 kylančioms taisyklėms.

39.      Kaip paaiškino prašymą priimti prejudicinį sprendimą pateikęs teismas, jam pateikto vertinti įpareigojimo teisėtumas priklauso nuo toliau nurodytų aplinkybių. Jo nuomone, pirmiausia reikia nustatyti, ar ULD turėjo pagrindą įgyvendinti savo įgaliojimus imtis veiksmų dėl asmens, kuris nėra duomenų valdytojas, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Be to, prašymą priimti prejudicinį sprendimą pateikusio teismo nuomone, įpareigojimo teisėtumas taip pat priklauso nuo to, ar ULD buvo kompetentinga imtis veiksmų dėl pagrindinėje byloje nagrinėjamų asmens duomenų tvarkymo, ar tai, kad ji nustatė įpareigojimą Wirtschaftsakademie,užuot nustačiusi jį Facebook Germany, yra vertinimo klaida, ir galiausiai – ar ULD nepadarė kitos vertinimo klaidos, įpareigodama Wirtschaftsakademie uždaryti jos gerbėjų tinklalapį, nors iš pradžių ji privalėjo prašyti duomenų apsaugos priežiūros institucijos įgyvendinti savo įgaliojimus dėl Facebook Ireland.

A.      Dėl pirmojo ir antrojo prejudicinių klausimų

40.      Pirmuoju ir antruoju prejudiciniais klausimais, kuriuos, mano nuomone, reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės prašo Teisingumo Teismo nuspręsti, ar Direktyvos 95/46 17 straipsnio 2 dalis, 24 straipsnis ir 28 straipsnio 3 dalies trečia įtrauka turi būti aiškinami taip, kad pagal juos priežiūros institucijoms leidžiama įgyvendinti joms suteiktus įgaliojimus imtis veiksmų dėl subjekto, kurio negalima laikyti „duomenų valdytoju“, kaip tai suprantama pagal šios direktyvos 2 straipsnio d punktą, tačiau kuris, nepaisant visko, turi būti laikomas atsakingu, jeigu pažeidžiamos taisyklės, susijusios su asmens duomenų apsauga, dėl to, kad šis subjektas nusprendė pasinaudoti tokiu socialiniu tinklu, koks yra Facebook, siekdamas platinti savo siūlomą informaciją.

41.      Šie klausimai grindžiami prielaida, kad Wirtschaftsakademie nėra „duomenų valdytoja“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Todėl šis teismas siekia sužinoti, ar tokia įpareigojimo priemonė, kaip nagrinėjamoji pagrindinėje byloje, gali būti taikoma asmeniui, neatitinkančiam šioje nuostatoje nustatytų kriterijų.

42.      Vis dėlto manau, kad ši prielaida yra klaidinga. Iš tiesų manau, kad Wirtschaftsakademie turi būti laikoma bendrai atsakinga už tvarkymo etapą, kurį sudaro Facebook atliekamas asmens duomenų rinkimas.

43.      „Duomenų valdytojas“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, „reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“(16).

44.      Duomenų valdytojas atlieka esminį vaidmenį Direktyva 95/46 nustatytoje sistemoje, todėl jį labai svarbu nustatyti. Iš tiesų šioje direktyvoje numatyta, kad duomenų valdytojui tenka tam tikri įpareigojimai, kuriais siekiama užtikrinti asmens duomenų apsaugą(17). Šį esminį vaidmenį Teisingumo Teismas pabrėžė 2014 m. gegužės 13 d. Sprendime Google Spain(18). Jis nusprendė, kad duomenų valdytojas turi užtikrinti, kiek tai patenka į jo atsakomybės, kompetencijos ir galimybių sritį, kad nagrinėjamas duomenų tvarkymas atitiktų Direktyvos 95/46 reikalavimus, kad joje numatytos garantijos galėtų būti visiškai veiksmingos, ir kad būtų galima užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą, be kita ko, jų teisę į privataus gyvenimo gerbimą(19).

45.      Iš Teisingumo Teismo jurisprudencijos taip pat matyti, kad ši sąvoka turi būti apibrėžiama plačiai, siekiant užtikrinti veiksmingą ir išsamią atitinkamų asmenų apsaugą(20).

46.      Asmens duomenų valdytojas yra tas asmuo, kuris sprendžia, kodėl ir kaip šie duomenys bus tvarkomi. Kaip yra nurodžiusi 29 straipsnio darbo grupė, „duomenų valdytojas“ yra praktinė sąvoka, kurios paskirtis – priskirti atsakomybę tam, kas turi tikrąją įtaką, taigi atsakomybė priskiriama remiantis ne formalių aspektų, o konkrečių faktų analize“(21).

47.      Manau, kaip šio duomenų tvarkymo sumanytojos, Facebook Inc., o kalbant apie Sąjungą – Facebook Ireland, pirmiausia nustatė tvarkymo tikslus ir taisykles.

48.      Tiksliau, Facebook Inc. nustatė bendrą ekonominį modelį, pagal kurį asmens duomenų rinkimas lankantis gerbėjų tinklalapiuose, o vėliau – šių duomenų naudojimas galėtų leisti, pirma, platinti pritaikytą reklamą ir, antra, rinkti statistinius lankytojų duomenis, skirtus šių tinklalapių administratoriams.

49.      Be to, iš bylos medžiagos matyti, kad Facebook Inc. paskyrė Facebook Ireland atsakinga už asmens duomenų tvarkymą Sąjungoje. Remiantis Facebook Ireland pateiktais paaiškinimais, socialinio tinklo veikimo taisyklės Sąjungoje gali būti tam tikrais aspektais adaptuotos(22).

50.      Taip pat, nors neginčijama, kad kiekvienas Sąjungos teritorijoje gyvenantis asmuo, kuris pageidauja naudotis Facebook, užsiregistruodamas turi sudaryti sutartį su Facebook Ireland, reikia pažymėti, kad tuo pačiu metu visi Sąjungos teritorijoje gyvenančių Facebook vartotojų asmens duomenys ar jų dalis perduodami į Jungtinėse Amerikos Valstijose esančius Facebook Inc. priklausančius serverius ir ten yra tvarkomi(23).

51.      Atsižvelgiant į Facebook Inc. ir, konkrečiai kalbant apie Sąjungą, Facebook Ireland dalyvavimą nustatant pagrindinėje byloje nagrinėjamo asmens duomenų tvarkymo tikslus ir būdus, pažymėtina, kad šie du subjektai, įvertinus šioje byloje turimą informaciją, turi būti laikomi bendrai atsakingais už šį tvarkymą. Šiuo klausimu pažymėtina, kad Direktyvos 95/46 2 straipsnio d punkte aiškiai numatyta tokios bendros atsakomybės galimybė. Kaip nurodė pats prašymą priimti prejudicinį sprendimą pateikęs teismas, galiausiai jis pats turės išsiaiškinti sprendimų priėmimo struktūras ir vidaus duomenų tvarkymą Facebook grupėje, kad nustatytų, kas yra atsakingas už duomenų tvarkymą, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą(24).

52.      Manau, kad, be Facebook Inc. ir Facebook Ireland bendros atsakomybės, kiek tai susiję su duomenų tvarkymo etapu, kai asmens duomenis renka Facebook(25), egzistuoja ir gerbėjų tinklalapio administratoriaus, kaip antai Wirtschaftsakademie, atsakomybė.

53.      Žinoma, gerbėjų tinklalapio administratorius pirmiausia yra Facebook naudotojas, kuris kreipiasi į Facebook, siekdamas pasinaudoti šio tinklo priemonėmis ir taip tapti matomesnis. Vis dėlto ši išvada nereiškia, kad jo taip pat negalima laikyti atsakingu už pagrindinėje byloje nagrinėjamą asmens duomenų tvarkymo etapą, t. y. šių duomenų rinkimą Facebook.

54.      Kalbant apie tai, ar gerbėjų tinklalapio administratorius „nustato“ duomenų tvarkymo tikslus ir būdus, reikia patikrinti, ar jis daro teisinę arba faktinę įtaką šiems tikslams ir būdams. Šis apibrėžties elementas leidžia teigti, kad duomenų valdytojas yra ne tas, kuris tvarko asmens duomenis, o tas, kuris nustato šio tvarkymo būdus ir tikslus.

55.      Kreipdamasis į Facebook, kad šis išplatintų jo siūlomą informaciją, gerbėjų tinklalapio administratorius laikosi savo tinklalapio lankytojų asmens duomenų tvarkymo principo, siekdamas rinkti lankytojų statistinius duomenis(26). Nors šis administratorius nelaikomas įrankio „Facebook Insights“ autoriumi, naudodamas šią priemonę jis dalyvauja nustatant savo tinklalapio lankytojų asmens duomenų tvarkymo tikslus ir taisykles.

56.      Iš tiesų, pirma, šie duomenys negali būti tvarkomi be išankstinio gerbėjų tinklalapio administratoriaus sprendimo sukurti ir eksploatuoti šį tinklalapį socialiniame tinkle Facebook. Leisdamas tvarkyti gerbėjų tinklalapio vartotojų asmens duomenis šio tinklalapio valdytojas laikosi Facebook nustatytos sistemos. Taip jis tampa matomesnis gerbėjų tinklalapio naudotojų profilyje ir kartu leidžia Facebook tikslingiau nukreipti šiame socialiniame tinkle platinamą reklamą. Sutikdamas su asmens duomenų tvarkymo būdais ir tikslais, kurie yra iš anksto apibrėžti Facebook, gerbėjų tinklalapio valdytojas turi būti laikomas dalyvaujančiu juos nustatant. Be to, kadangi gerbėjų tinklalapio administratorius taip daro lemiamą įtaką šiame tinklalapyje besilankančių asmenų asmens duomenų tvarkymo pradžiai, jis taip pat turi įgaliojimus padaryti taip, kad šis duomenų tvarkymas būtų nutrauktas, uždarydamas savo gerbėjų tinklalapį.

57.      Antra, nors įrankio „Facebook Insights“ tikslus ir taisykles bendrai apibrėžia Facebook Inc. kartu su Facebook Ireland, gerbėjų tinklalapio administratorius turi galimybę paveikti konkretų šio įrankio įgyvendinimą, apibrėždamas kriterijus, kuriais remiantis būtų renkama lankytojų statistika. Jeigu Facebook paprašo gerbėjų tinklalapio administratoriaus sukurti arba pakeisti jo tinklalapio auditoriją, jis nurodo, kad darys viską, ką gali, kad parodytų šį tinklalapį asmenims, kurie jam yra svarbiausi. Naudodamas filtrus gerbėjų tinklalapio administratorius gali apibrėžti konkrečią auditoriją ir taip ne tik tiksliai nurodyti asmenų grupę, kuriai būtų platinama informacija, susijusi su jos komerciniu pasiūlymu, bet pirmiausia nustatyti kategorijas asmenų, kurių asmens duomenis rinks Facebook. Taigi nustatydamas auditoriją, kurią nori pasiekti, gerbėjų tinklalapio administratorius kartu nurodo, kokios tikslinės visuomenės duomenys gali būti renkami, paskui – kaip Facebook naudos jų asmens duomenis. Taigi gerbėjų tinklalapio administratorius ne tik inicijuoja šių duomenų tvarkymą, sukurdamas gerbėjų tinklalapį, – jam taip pat tenka lemiamas vaidmuo, kai Facebook įgyvendina šį duomenų tvarkymą. Jis dalyvauja nustatant šio tvarkymo būdus ir tikslus, darydamas faktinę įtaką Facebook.

58.      Iš to, kas nurodyta pirma, darau išvadą, kad tokiomis aplinkybėmis, kaip pagrindinėje byloje, tokio socialinio tinklo, koks yra Facebook,gerbėjų tinklalapio administratorius turi būti laikomas atsakingu už asmens duomenų tvarkymo etapą, kuriuo šis socialinis tinklas renka duomenis, susijusius su šiame tinklalapyje besilankančiais asmenimis.

59.      Šią išvadą patvirtina tai, kad toks gerbėjų tinklalapio administratorius, koks yra Wirtschaftsakademie, viena vertus, ir tokie paslaugų teikėjai, kokie yra Facebook Inc. ir Facebook Ireland, kita vertus, kiekvienas siekia glaudžiai tarpusavyje susijusių tikslų. Wirtschaftsakademie siekia gauti lankytojų statistinius duomenis, kad valdytų savo veiklos reklamą, o norint juos gauti, tenka tvarkyti asmens duomenis. Tvarkydamas šiuos duomenis Facebook gali tikslingiau nukreipti savo tinkle platinamą reklamą.

60.      Taigi reikia atmesti aiškinimą, grindžiamą išimtinai Wirtschaftsakademie ir Facebook Ireland sudarytos sutarties sąlygomis. Iš tiesų sutartyje nurodytų užduočių pasidalijimas yra tik požymis, susiję su tikruoju sutarties šalių vaidmeniu tvarkant asmens duomenis. Antraip šios šalys galėtų dirbtinai priskirti atsakomybę už duomenų tvarkymą vienai iš jų. Juo labiau taip yra tuo atveju, kai socialinis tinklas iš anksto parengia bendrąsias sąlygas, dėl kurių nėra galimybių derėtis. Todėl negalima teigti, kad tas asmuo, kuris gali tiesiog sutikti arba nesutikti su sutartimi, negali būti duomenų valdytojas. Nuo tada, kai tas asmuo laisva valia sudarė sutartį, jis visada gali būti duomenų valdytojas, atsižvelgiant į jo daromą konkrečią įtaką šio tvarkymo būdams ir tikslams.

61.      Taigi tai, kad sutartį ir jos bendrąsias sąlygas parengia paslaugų teikėjas, o ūkio subjektas, kuris naudojasi šio paslaugų teikėjo teikiamomis paslaugomis, neturi prieigos prie duomenų, nereiškia, kad jo negalima laikyti duomenų valdytoju, jeigu jis laisva valia sutiko su sutarties sąlygomis, taip prisiimdamas visišką atsakomybę už jas(27). Kaip tai padarė 29 straipsnio darbo grupė, reikia pripažinti, kad galimas paslaugos teikėjo ir gavėjo santykių disbalansas nekliudo paslaugų gavėjo laikyti „duomenų valdytoju“(28).

62.      Be to, tam, kad asmenį būtų galima laikyti duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, šiam asmeniui nebūtina turėti išsamių priežiūros įgaliojimų visais duomenų tvarkymo aspektais. Kaip teisingai per posėdį nurodė Belgijos vyriausybė, praktiškai tokios priežiūros yra vis mažiau. Vis dažniau duomenų tvarkymas yra kompleksinis, t. y. kalbama apie kelis atskirus tvarkymus, kai dalyvauja kelios šalys, kurios pačios atlieka skirtingo lygio kontrolę. Todėl aiškinimas, jog esą egzistuoja vienas subjektas, prižiūrintis visus duomenų tvarkymo aspektus, gali sukurti didelių spragų asmens duomenų apsaugos srityje.

63.      Tai parodo 2014 m. gegužės 13 d. Sprendimo Google Spain(29) faktinės aplinkybės. Iš tiesų toje byloje buvo nagrinėjama situacija, kai informacija teikiama keliomis pakopomis ir skirtingos šalys daro skirtingą įtaką duomenų tvarkymui. Toje byloje Teisingumo Teismas atsisakė siaurai aiškinti sąvoką „duomenų valdytojas“. Jo nuomone, paieškos variklio eksploatuotojas „kaip asmuo, kuris nustato šios veiklos tikslus ir būdus, turi užtikrinti, kiek tai patenka į jo atsakomybės, kompetencijos ir galimybių sritį, kad ši veikla atitiktų Direktyvos reikalavimus“(30). Be to, Teisingumo Teismas paminėjo paieškos variklio eksploatuotojo ir interneto svetainių redaktorių bendros atsakomybės galimybę(31).

64.      Kaip ir Belgijos vyriausybė, laikausi nuomonės, kad platus sąvokos „duomenų valdytojas“, kaip ji suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, aiškinimas, kuriam, mano nuomone, turėtų būti teikiama pirmenybė šioje byloje, padėtų išvengti piktnaudžiavimų. Aiškinant šią sąvoką kitaip, įmonei pakaktų pasitelkti trečiojo asmens paslaugas, kad ji išvengtų įpareigojimų, susijusių su asmens duomenų apsauga. Kitaip tariant, manau, nereikia daryti skirtumo tarp įmonės, kuri savo interneto svetainėje pateikia priemones, analogiškas Facebook siūlomoms priemonėms, ir įmonės, kuri naudoja socialinį tinklą Facebook,siekdama pasinaudoti jo teikiamais įrankiais. Reikėtų užtikrinti, kad ūkio subjektai, kurie naudojasi savo interneto svetainės prieglobos paslauga, negalėtų išvengti atsakomybės, laikydamiesi bendrųjų paslaugų teikėjo sąlygų. Be to, kaip per posėdį nurodė minėta vyriausybė, pagrįsta tikėtis, kad įmonės, pasirinkdamos paslaugų teikėją, elgsis apdairiai.

65.      Taigi laikausi nuomonės, jog tai, kad gerbėjų tinklalapio administratorius naudoja Facebook siūlomą platformą ir gauna su tuo susijusias paslaugas, neatleidžia jo nuo įpareigojimų, susijusių su asmens duomenų apsauga. Šiuo klausimu pažymėtina, kad jeigu Wirtschaftsakademie būtų atidariusi interneto svetainę ne Facebook, įdiegdama analogišką „Facebook Insights“ įrankį, ji būtų laikoma duomenų valdytoja, nes siekiant gauti tokius statistinius duomenis yra būtina tvarkyti asmens duomenis. Mano nuomone, toks ūkio subjektas neturi būti atleistas nuo pareigos laikytis iš Direktyvos 95/46 kylančių asmens duomenų apsaugos taisyklių vien todėl, kad savo veiklai reklamuoti naudoja socialinio tinklo Facebook platformą. Kaip teisingai nurodo pats prašymą priimti prejudicinį sprendimą pateikęs teismas, informacijos teikėjas, pasirinkęs konkretų infrastruktūros teikėją, neturi turėti galimybės būti atleistas nuo įpareigojimų, kurie jam yra privalomi pagal taikytinus duomenų apsaugos teisės aktus jo siūlomos informacijos naudotojų atžvilgiu ir kuriuos jis turėtų įvykdyti, jeigu būtų tiesiog turinio teikėjas(32). Kitoks aiškinimas keltų grėsmę, kad bus išvengta taisyklių, susijusių su asmens duomenų apsauga.

66.      Be to, manau, nereikėtų dirbtinai atskirti šioje byloje ir byloje Fashion ID, C‑40/17(33) nagrinėjamų situacijų.

67.      Pastaroji byla susijusi su situacija, kai interneto svetainės valdytojas savo svetainėje įdiegia vadinamąjį „socialinį modulį“ (šiuo atveju – Facebook mygtuką „patinka“), kuris yra išorinio paslaugų teikėjo (t. y. Facebook) modulis, ir dėl to iš interneto svetainės vartotojo kompiuterio išorės tiekėjui perduodami asmens duomenys.

68.      Toje byloje vartotojų apsaugos asociacija kaltina bendrovę Fashion ID tuo, kad ji, savo interneto svetainėje įdiegusi socialinio tinklo Facebook tiekiamą modulį „patinka“, leido šiam tinklui gauti šios interneto svetainės vartotojų asmens duomenis be jų sutikimo ir taip pažeidė nuostatose, susijusiose su asmens duomenų apsauga, numatytus informavimo įpareigojimus. Taigi kyla klausimas, ar, atsižvelgiant į tai, kad bendrovė Fashion ID leidžia Facebook gauti jos interneto svetainės vartotojų asmens duomenis, ši bendrovė gali būti laikoma „duomenų valdytoja“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą.

69.      Šiuo klausimu neįžvelgiu esminio skirtumo tarp gerbėjų tinklalapio administratoriaus situacijos ir interneto svetainės eksploatuotojo, savo interneto svetainėje įdiegiančio webtracking paslaugų teikėjo kodą ir taip, interneto vartotojui nežinant, perduodančio duomenis, diegiančio slapukus ir renkančio duomenis webtracking paslaugų teikėjo naudai, situacijos.

70.      Socialiniai papildiniai (plug-ins) leidžia interneto svetainių eksploatuotojams naudotis tam tikromis socialinių tinklų paslaugomis savo pačių interneto svetainėse siekiant padidinti jų matomumą, pavyzdžiui, savo interneto svetainėje įdiegiant Facebook mygtuką „patinka“. Kaip ir gerbėjų tinklalapių administratoriai, papildinius diegiančių interneto svetainių eksploatuotojai gali naudotis paslauga „Facebook Insights“, siekdami gauti tikslią statistinę informaciją apie jų interneto svetainės naudotojus.

71.      Kaip ir gerbėjų tinklalapyje, lankantis interneto svetainėje, kurioje yra socialinis papildinys, atitinkamam tiekėjui perduodami asmens duomenys.

72.      Mano nuomone, tokiomis aplinkybėmis, būdamas gerbėjų tinklalapio administratorius, interneto svetainės, kurioje yra socialinis papildinys, valdytojas tiek, kiek daro faktinę įtaką duomenų tvarkymo, susijusio su asmens duomenų perdavimu Facebook, etapui, turi būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą(34).

73.      Norėčiau pridurti, kad, kaip teisingai nurodo Belgijos vyriausybė, išvada, kad Wirtschaftsakademie veikia kaip asmuo, bendrai atsakingas už duomenų tvarkymą, kai priima sprendimą pasinaudoti Facebook paslaugomis savo siūlomai informacijai, neturi jokios įtakos įpareigojimams, kurie tenka Facebook Inc. ir Facebook Ireland kaip duomenų valdytojams. Iš tiesų yra aišku, kad šie du subjektai daro lemiamą įtaką asmens duomenų tvarkymo, vykdomo lankantis gerbėjų tinklalapyje, tikslams ir būdams, kuriuos jie taip pat naudoja siekdami savo tikslų ir interesų.

74.      Vis dėlto bendros gerbėjų tinklalapių administratorių atsakomybės pripažinimas duomenų tvarkymo etape, kuriame Facebook renka asmens duomenis, padeda užtikrinti išsamesnę šio pobūdžio tinklalapiuose besilankančių asmenų turimų teisių apsaugą. Be to, tai, kad gerbėjų tinklalapių administratoriai aktyviai įpareigojami laikytis asmens duomenų taisyklių, paskiriant juos atsakingais už duomenų tvarkymą, netiesiogiai skatina pačią socialinio tinklo platformą laikytis šių taisyklių.

75.      Taip pat reikėtų pažymėti, jog bendros atsakomybės buvimas nereiškia, kad ši atsakomybė yra vienoda. Priešingai, skirtingi duomenų valdytojai gali dalyvauti tvarkant asmens duomenis skirtinguose etapuose ir skirtingu mastu(35).

76.      Kaip yra nurodžiusi 29 straipsnio darbo grupė, „galimybė duomenis valdyti keliems subjektams reikalinga, nes daugėja atvejų, kai kelios šalys veikia kaip duomenų valdytojai. Šio bendro valdymo vertinimas turėtų atitikti vieno subjekto valdymo vertinimą – reikėtų laikytis savarankiško bei praktinio požiūrio ir atkreipti dėmesį į tai, ar duomenų tvarkymo tikslus ir pagrindinius jų tvarkymo būdų aspektus nustato daugiau kaip viena šalis. Tačiau bendro valdymo atveju šalių dalyvavimas nustatant duomenų tvarkymo tikslus ir būdus gali būti įvairaus pobūdžio ir nebūtinai vienodo lygio“(36). Iš tiesų, „jei subjektų yra daug, jie gali palaikyti labai glaudžius ryšius (pavyzdžiui, visi duomenų tvarkymo tikslai ir būdai gali būti bendri) arba jų ryšiai gali būti laisvesnio pobūdžio (pavyzdžiui, bendri gali būti tik duomenų tvarkymo tikslai arba tik būdai ar jų dalis). Todėl reikėtų atsižvelgti į didelę galimų bendro valdymo klasifikacijų įvairovę ir įvertinti jų teisines pasekmes, paliekant šiek tiek laisvės atsižvelgti į vis sudėtingesnes šiuolaikinio duomenų tvarkymo aplinkybes“(37).

77.      Iš to, kas nurodyta, darytina išvada, kad, mano nuomone, socialiniame tinkle Facebook esančio gerbėjų tinklalapio administratorius, greta Facebook Inc. ir Facebook Ireland, turi būti laikomas atsakingu už asmens duomenų tvarkymą, atliekamą siekiant surinkti šio tinklalapio lankytojų statistinius duomenis.

B.      Dėl trečiojo ir ketvirtojo prejudicinių klausimų

78.      Trečiuoju ir ketvirtuoju klausimais, kuriuos, mano nuomone, reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas prašo Teisingumo Teismo patikslinti, kaip aiškinti Direktyvos 95/46 4 straipsnio 1 dalies a punktą bei 28 straipsnio 1, 3 ir 6 dalis esant situacijai, kai už Sąjungos ribų įsteigta patronuojančioji bendrovė, kaip antai Facebook Inc., paslaugas, susijusias su socialiniu tinklu Sąjungos teritorijoje, teikia per kelis padalinius. Vieną iš šių padalinių patronuojančioji bendrovė yra paskyrusi atsakingu už asmens duomenų tvarkymą Sąjungos teritorijoje (Facebook Ireland), o kitas užtikrina reklamos vietų pardavimo skatinimą, pardavimą ir rinkodaros veiklą, skirtą Vokietijos gyventojams (Facebook Germany). Esant tokiai struktūrai, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, pirma, ar Vokietijos priežiūros institucija turi teisę įgyvendinti savo įgaliojimus imtis veiksmų, kad ginčijamas asmens duomenų tvarkymas būtų nutrauktas, ir, antra, kurio padalinio atžvilgiu galima įgyvendinti tuos įgaliojimus.

79.      Reaguodamas į ULD ir Italijos vyriausybės abejones dėl trečiojo ir ketvirtojo prejudicinių klausimų priimtinumo norėčiau pažymėti, kad Bundesverwaltungsgericht (Federalinis administracinis teismas) sprendime dėl prašymo priimti prejudicinį sprendimą paaiškina, kad jam reikia išsiaiškinti šiuos aspektus, kad galėtų priimti sprendimą dėl pagrindinėje byloje nagrinėjamo įpareigojimo teisėtumo. Visų pirma minėtas teismas nurodo, kad Wirtschaftsakademie nustatytas įpareigojimas galėtų reikšti vertinimo klaidą, todėl būti neteisėtas, jeigu būtų galima ištaisyti ULD nurodytus teisės į duomenų apsaugą pažeidimus, taikant priemonę tiesiogiai dukterinei bendrovei Facebook Germany, kuri įsteigta Vokietijoje(38). Manau, kad šie prašymą priimti prejudicinį sprendimą pateikusio teismo svarstymai leidžia suprasti priežastis, dėl kurių jis pateikia Teisingumo Teismui trečiąjį ir ketvirtąjį prejudicinius klausimus. Atsižvelgdamas į prašymams priimti prejudicinį sprendimą taikomą reikšmingumo prielaidą(39) siūlau Teisingumo Teismui atsakyti į šiuos klausimus.

80.      Direktyvos 95/46 4 straipsnyje „Taikytina nacionalinė teisė“ nurodyta:

„1.      Kiekviena valstybė narė taiko nacionalines nuostatas, kurias ji priima pagal šią direktyvą, kai tvarkomi asmens duomenys, jeigu:

a)      tvarkoma, duomenų valdytojo padaliniui veikiant [duomenys tvarkomi duomenų valdytojo padaliniui vykdant veiklą] valstybės narės teritorijoje; jeigu tas pats duomenų valdytojas steigiamas kelių valstybių narių teritorijoje, jis privalo imtis reikalingų priemonių, kad kiekvienas jo padalinys vykdytų taikytinų nacionalinių įstatymų nustatytas prievoles.

<...>.“

81.      2010 m. gruodžio 16 d. Nuomonėje 8/2010 dėl taikytinos teisės(40) 29 straipsnio darbo grupė kalba apie Direktyvos 95/46 4 straipsnio 1 dalies a punkto taikymą tokiu atveju: „socialinio tinklo būstinė yra trečiojoje šalyje, o padalinys – valstybėje narėje. Padalinio veikla skirta su ES gyventojų asmens duomenų tvarkymu susijusiai politikai apibrėžti ir įgyvendinti. Socialinio tinklo tikslinė auditorija – visų ES valstybių narių gyventojai, kurie sudaro didelę jo klientų dalį ir iš kurių jis gauna nemažai pajamų. Socialinis tinklas taip pat diegia slapukus ES vartotojų kompiuteriuose. Šiuo atveju pagal [Direktyvos 95/46] 4 straipsnio 1 dalies a punktą taikytina tos ES valstybės narės, kur įsisteigusi įmonė, duomenų apsaugos teisė. Nesvarbu, ar socialinis tinklas naudojasi kitų valstybių narių teritorijoje esančia įranga, nes visų duomenų tvarkymas yra vieno padalinio veiklos dalis, o direktyvoje draudžiama taikyti 4 straipsnio 1 dalies a ir c punktus kartu“(41). 29 straipsnio darbo grupė taip pat pažymi, kad „ES valstybės narės, kurioje yra įsisteigęs socialinis tinklas, priežiūros institucija pagal [šios direktyvos] 28 straipsnio 6 dalį privalo bendradarbiauti su kitomis priežiūros institucijomis siekdama, pavyzdžiui, išnagrinėti kitų [Sąjungos] valstybių gyventojų prašymus arba skundus“(42).

82.      Pirmesniame punkte nurodytas atvejis nekelia sunkumų nustatant taikytiną nacionalinę teisę. Iš tiesų, kadangi šiuo atveju patronuojančioji bendrovė turi tik vieną padalinį Sąjungoje, nagrinėjamam asmens duomenų tvarkymui taikoma valstybės narės, kurioje yra šis padalinys, teisė.

83.      Situacija tampa sudėtingesnė, jei, kaip šioje byloje nagrinėjamu atveju, trečiojoje valstybėje įsteigta bendrovė, kaip antai Facebook Inc., vykdo veiklą Sąjungoje, pirma, per padalinį, kurį ši bendrovė paskiria vieninteliu atsakingu už asmens duomenų rinkimą ir tvarkymą Facebook grupėje visoje Sąjungos teritorijoje (Facebook Ireland), ir, antra, per kitus padalinius, iš kurių vienas yra Vokietijoje (Facebook Germany) ir kuris, remiantis sprendime dėl prašymo priimti prejudicinį sprendimą pateikta informacija, yra atsakingas už reklamos vietų pardavimo skatinimą, pardavimą ir kitą rinkodaros veiklą, skirtą šios valstybės narės gyventojams(43).

84.      Ar tokiu atveju Vokietijos priežiūros  institucija yra kompetentinga įgyvendinti įgaliojimus imtis veiksmų, kad būtų nutrauktas asmens duomenų tvarkymas, už kurį Facebook Inc. ir Facebook Ireland yra bendrai atsakingos?

85.      Siekiant atsakyti į šį klausimą, reikia nustatyti, ar Vokietijos priežiūros institucija turi pagrindą taikyti savo nacionalinę teisę tokiam duomenų tvarkymui.

86.      Šiuo klausimu iš Direktyvos 95/46 straipsnio 1 dalies a punkto darytina išvada, kad duomenų tvarkymą vykdant padalinio veiklą reglamentuoja šio padalinio įsteigimo valstybės narės teisė.

87.      Teisingumo Teismas jau yra nusprendęs, kad, atsižvelgiant į šia direktyva siekiamą tikslą užtikrinti veiksmingą ir visapusišką fizinių asmenų pagrindinių laisvių ir teisių, ypač teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis, formuluotės „padaliniui veikiant [padaliniui vykdant veiklą]“ negalima aiškinti siaurai“(44).

88.      Kad valstybės narės perkėlimo į nacionalinę teisę aktas būtų taikomas asmens duomenų tvarkymui, turi būti įvykdytos dvi sąlygos. Pirma, už šį tvarkymą atsakingas asmuo turi turėti „padalinį“ šioje valstybėje narėje. Antra, šis šie duomenys turi būti tvarkomi šiam padaliniui „vykdant veiklą“.

89.      Pirma, kalbant apie sąvoką „padalinys“, kaip ji suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą, Teisingumo Teismas, aiškindamas šią sąvoką plačiai ir lanksčiai, yra pažymėjęs, kad ji apima visą realią ir faktinę, nors ir minimalią, veiklą, vykdomą per nuolatinį padalinį(45), taigi jis atmetė bet kokį formalų požiūrį(46).

90.      Šiuo požiūriu reikia įvertinti įsisteigimo stabilumo lygį ir veiklos vykdymo tikrumą atitinkamoje valstybėje narėje(47), atsižvelgiant į specifinį ekonominės veiklos pobūdį ir nagrinėjamas teikiamas paslaugas(48). Šiuo klausimu neginčijama, kad Facebook Germany, kurios buveinė yra Hamburge (Vokietija), faktiškai ir realiai vykdo veiklą per Vokietijoje įsteigtą nuolatinį padalinį. Taigi tai yra „padalinys“, kaip tai suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą.

91.      Antra, dėl to, ar nagrinėjamas asmens duomenų tvarkymas atliekamas „padaliniui veikiant [vykdant veiklą]“, kaip tai suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą, Teisingumo Teismas yra priminęs, kad šioje nuostatoje reikalaujama ne to, kad nagrinėjamus asmens duomenis atitinkamai tvarkytų „pats padalinys“, o to, kad tai būtų daroma jam „vykdant veiklą“(49).

92.      Taigi, kaip matyti iš Nuomonės 8/2010, „sąvoka „vykdant veiklą“, o ne duomenų lokalizavimas, yra lemiamas veiksnys apibrėžiant taikytiną teisę. Ši sąvoka reiškia, kad taikytina ne valstybės narės, kurioje įsteigtas duomenų valdytojas, o valstybės, kurioje duomenų valdytojo padalinys dalyvauja vykdant veiklą [susijusią su asmens duomenų tvarkymu arba reiškiančią šį tvarkymą], teisė. Šiomis aplinkybėmis padalinio ar padalinių dalyvavimo vykdant veiklą, kai tvarkomi asmens duomenys, laipsnis turi labai didelę reikšmę. Be to, reikėtų atsižvelgti į padalinių veiklos pobūdį, taip pat būtinybę užtikrinti veiksmingą asmenų teisių apsaugą. Šių kriterijų analizei reikėtų pasitelkti funkcinį metodą: lemiami veiksniai nustatant taikytiną teisę turėtų būti ne teorinis šalių svarstymas taikytinos teisės klausimais, o šalių elgesys ir sąveika“(50).

93.      2014 m. gegužės 13 d. Sprendime Google Spain ir Google(51) Teisingumo Teismas turėjo patikrinti, ar šios sąlygos laikomasi. Jis pateikė platų aiškinimą, teigdamas, kad asmens duomenų tvarkymas, vykdomas dėl paslaugos, kaip antai Google Search, teikiamos įmonės, kurios buveinė trečiojoje valstybėje, bet padalinys yra valstybėje narėje, eksploatuojamu paieškos varikliu, poreikių, atliekamas šiam padaliniui „vykdant veiklą“, jei šio padalinio paskirtis – šioje valstybėje narėje reklamuoti ir parduoti šio paieškos variklio rodomiems reklaminiams pranešimams skirtas vietas, kad juo teikiama paslauga duotų pelno(52). Iš tiesų Teisingumo Teismas yra pažymėjęs, kad „tokiomis aplinkybėmis paieškos variklio eksploatuotojo veikla ir atitinkamoje valstybėje narėje esančio jo padalinio veikla yra neatsiejamai susijusios, nes su reklaminiams pranešimams skirtomis vietomis susijusi veikla yra priemonė, kuria siekiama padaryti atitinkamą paieškos variklį ekonomiškai pelningą, o šis variklis savo ruožtu yra šią veiklą leidžianti vykdyti priemonė“(53). Teisingumo Teismas savo sprendimui pagrįsti pridūrė: „kadangi tame pačiame puslapyje kartu su šiais rezultatais rodomos ir su paieškos žodžiais siejamos reklamos, reikia konstatuoti, kad atitinkamas asmens duomenų tvarkymas atliekamas duomenų valdytojo padaliniui valstybės narės, nagrinėjamu atveju – Ispanijos, teritorijoje vykdant reklaminę ir komercinę veiklą“(54).

94.      Vis dėlto, remiantis sprendime dėl prašymo priimti prejudicinį sprendimą pateikta informacija, Facebook Germany yra atsakinga už reklamos vietų pardavimo skatinimą, pardavimą ir kitą rinkodaros veiklą, skirtą Vokietijos gyventojams. Kadangi pagrindinėje byloje nagrinėjamu asmens duomenų tvarkymu, kai duomenys renkami naudojant gerbėjų tinklalapio lankytojų kompiuteriuose diegiant slapukus, visų pirma siekiama leisti Facebook tikslingiau nukreipti savo platinamą reklamą, tokį tvarkymą reikia laikyti atliekamu vykdant veiklą, kuria Facebook Germany verčiasi Vokietijoje. Šiuo tikslu, atsižvelgiant į tai, kad toks socialinis tinklas, koks yra Facebook, daugiausia pajamų gauna iš reklamos, platinamos interneto tinklalapiuose, kuriuos sukuria vartotojai ir kuriuose jie lankosi(55), reikia manyti, kad duomenų bendravaldytojų, t. y. Facebook Inc. ir Facebook Ireland, veikla yra neatsiejama nuo tokio padalinio, koks yra Facebook Germany, duomenų tvarkymo veiklos. Be to, po asmens duomenų tvarkymo, kuris yra galimas įdiegus slapuką Facebook.com srities vardui priklausančiame tinklalapyje apsilankiusio asmens kompiuteryje, tuo metu, kai lankomasi Facebook tinklalapyje, jame rodoma reklama, susijusi su šio lankytojo svarbiausiais interesais.

95.      Tai, kad Facebook grupė, skirtingai nei byloje, kurioje priimtas 2014 m. gegužės 13 d. Sprendimas Google Spain ir Google(56), turi buveinę Europoje, šiuo atveju – Airijoje, nedraudžia Direktyvos 95/46 4 straipsnio 1 dalies a punkto aiškinimo, kurį Teisingumo Teismas pateikė minėtame sprendime, pritaikyti šiai bylai. Minėtame sprendime Teisingumo Teismas išreiškė siekį neleisti, kad tvarkant asmens duomenis būtų išvengta šioje direktyvoje numatytų įpareigojimų ir garantijų. Toje byloje buvo teigiama, kad problemos, susijusios su teisės aktų apėjimu, nekyla, nes duomenų valdytojas yra įsteigtas valstybėje narėje, šiuo atveju – Airijoje. Todėl, vadovaujantis šia logika, minėtos direktyvos 4 straipsnio 1 dalies a punktą reikia aiškinti kaip įpareigojantį duomenų valdytoją atsižvelgti tik į nacionalinės teisės aktus, t. y. Airijos teisės aktus, ir priklausyti tik nuo vienos priežiūros institucijos, t. y. Airijos priežiūros institucijos.

96.      Vis dėlto toks aiškinimas prieštarauja Direktyvos 95/46 4 straipsnio 1 dalies a punkto formuluotei ir šios nuostatos genezei. Iš tiesų, kaip per posėdį teisingai pažymėjo Belgijos vyriausybė, šia direktyva nenustatoma nei vieno langelio principu grindžiamo mechanizmo, nei kilmės šalies principo(57). Šiuo atžvilgiu nereikėtų painioti to, kas priskiriama prie politikos tikslo, kurio Europos Komisija siekė direktyvos pasiūlyme, ir sprendimo, kurį galiausiai patvirtino Europos Sąjungos Taryba. Minėtoje direktyvoje šis teisės aktų leidėjas nusprendė neteikti pirmenybės valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, nacionalinės teisės taikymui. Nepasirinkęs kilmės šalies principo, Sąjungos teisės aktų leidėjas leido kiekvienai valstybei narei taikyti savo nacionalinės teisės aktus, o kartu – ir taikytinų nacionalinės teisės aktų kumuliaciją(58).

97.      Priimdamas šios direktyvos 4 straipsnio 1 dalies a punktą Sąjungos teisės aktų leidėjas sąmoningai nusprendė: jeigu Sąjungoje duomenų valdytojas turi kelis padalinius, atitinkamų valstybių narių piliečių asmens duomenims tvarkyti galima taikyti kelių valstybių nacionalinės teisės aktus, susijusius su asmens duomenų apsauga, siekiant užtikrinti veiksmingą jų teisių apsaugą šiose valstybėse narėse.

98.      Tai patvirtina Direktyvos 95/46 19 konstatuojamoji dalis, kurioje pažymėta, kad „kai kelių valstybių narių teritorijoje steigiamas vienas duomenų valdytojas, ypač filialas, norėdamas išvengti bet kokio nacionalinių taisyklių apėjimo, jis privalo užtikrinti, kad kiekvienas įsteigtas padalinys vykdys nacionalinės teisės aktų nustatytas jo veiklai taikomas prievoles“.

99.      Taigi remdamasis Direktyvos 95/46 4 straipsnio 1 dalies a punktu, kurio antrame sakinyje, pratęsiant tai, kas nurodyta šios direktyvos 19 konstatuojamojoje dalyje, pažymėta, kad jeigu tas pats duomenų valdytojas yra įsteigtas kelių valstybių narių teritorijoje, jis turi imtis būtinų priemonių, kad užtikrintų, kad kiekvienas iš šių padalinių laikytųsi taikytinoje nacionalinėje teisėje numatytų įpareigojimų, darau išvadą, jog grupės, kuriai būdinga tai, kad duomenų valdytojas turi padalinius keliose valstybėse narėse, struktūra neturi leisti duomenų valdytojui išvengti valstybės narės, kurioje įsteigtas kiekvienas iš šių padalinių, teisės.

100. Norėčiau pridurti, kad išimtiniam valstybės narės, kurioje yra europinė tarptautinės grupės buveinė, teisės taikymui palankus aiškinimas nebegali būti taikomas nuo tada, kai buvo priimtas 2016 m. liepos 28 d. Sprendimas Verein für Konsumenteninformation(59). Tame sprendime Teisingumo Teismas konstatavo, kad asmens duomenų tvarkymas, kurį atliko elektroninės prekybos įmonė, yra reglamentuojamas valstybės narės, į kurią ši įmonė nukreipia savo veiklą, teisės, paaiškėjus, kad ši įmonė tvarko nagrinėjamus duomenis šioje valstybėje narėje įsteigtam padaliniui vykdant veiklą. Teisingumo Teismas priėmė tokį sprendimą, nepaisydamas to, kad Amazon, kaip ir Facebook, yra įmonė, turinti ne tik europinę buveinę valstybėje narėje, bet ir fizines buvimo vietas keliose valstybėse narėse. Tokiu atveju taip pat reikėtų išnagrinėti, ar duomenų tvarkymas priskiriamas prie padalinio veiklos kitoje valstybėje narėje nei ta, kurioje yra duomenų valdytojo europinė buveinė.

101. Taigi, kaip pažymi Belgijos vyriausybė, visai gali būti, kad taikant Direktyvos 4 straipsnio 1 dalies a punktą gali būti reikšmingas visai kitas padalinys nei įmonės europinės buveinės padalinys.

102. Taigi pagal šioje direktyvoje nustatytą sistemą vieta, kurioje tvarkomi duomenys, kaip ir vieta, kurioje duomenų valdytojas Sąjungoje yra įsteigęs savo buveinę, neturi lemiamos reikšmės, jeigu Sąjungoje šis duomenų valdytojas turi kelis padalinius, kai siekiama nustatyti duomenų tvarkymui taikytiną nacionalinę teisę ir suteikti priežiūros institucijai kompetenciją įgyvendinti jos įgaliojimus imtis veiksmų.

103. Manau, šiuo klausimu Teisingumo Teismas neturėtų iš anksto vadovautis Bendruoju duomenų apsaugos reglamente(60) nustatyta sistema, kuri bus pradėta taikyti nuo 2018 m. gegužės 25 d. Pagal šią sistemą yra nustatomas vieno langelio principu grindžiamas mechanizmas. Tai reiškia, kad duomenų valdytojas, tvarkantis duomenis tarpvalstybiniu mastu, kaip antai Facebook, kaip kontaktinį asmenį turi tik vieną priežiūros instituciją, t. y. pagrindinę priežiūros instituciją, esančią duomenų valdytojo pagrindinio padalinio buvimo vietoje. Tačiau ši sistema ir ja nustatytas sudėtingas bendradarbiavimo mechanizmas dar netaikomi.

104. Žinoma, kadangi Facebook nusprendė įsteigti pagrindinę buveinę Sąjungoje, Airijoje, šios valstybės narės priežiūros institucija turi atlikti svarbų vaidmenį tikrindama, ar Facebook laikosi iš Direktyvos 95/46 kylančių taisyklių. Tačiau, kaip pripažįsta pati ši institucija, tai nereiškia, kad pagal esamą šia direktyva grindžiamą sistemą ji turi išimtinę kompetenciją, susijusią su Facebook veikla Sąjungoje(61).

105. Atsižvelgdamas į visas šias aplinkybes, kaip ir Belgijos vyriausybė, Nyderlandų vyriausybė ir ULD, laikausi nuomonės, kad Direktyvos 95/46 4 straipsnio 1 dalies a punkto aiškinimas, kurį Teisingumo Teismas pateikė 2014 m. gegužės 13 d. Sprendime Google Spain ir Google(62), taip pat taikytinas tokiu atveju, kaip nagrinėjamasis pagrindinėje byloje, kai duomenų valdytojas yra įsteigtas Sąjungos valstybėje narėje ir turi kelis padalinius Sąjungoje.

106. Taigi, remiantis prašymą priimti prejudicinį sprendimą pateikusio teismo nurodyta informacija, susijusia su Facebook Germany vykdomos veiklos pobūdžiu, reikia manyti, kad ginčijamas asmens duomenų tvarkymas atliekamas šiam padaliniui vykdant veiklą ir kad Direktyvos 95/46 4 straipsnio 1 dalies a punktas tokiu atveju, kuris nagrinėjamas pagrindinėje byloje, leidžia taikyti Vokietijos teisę, susijusią su asmens duomenų apsauga(63).

107. Vadinasi, Vokietijos priežiūros institucija yra kompetentinga taikyti savo nacionalinę teisę pagrindinėje byloje nagrinėjamam asmens duomenų tvarkymui.

108. Iš šios direktyvos 28 straipsnio 1 dalies matyti, kad kiekviena valstybėje narėje įsteigta priežiūros institucija tos valstybės narės teritorijoje prižiūri, kaip laikomasi nuostatų, kurias vadovaudamosi Direktyva 95/46 priėmė valstybės narės.

109. Pagal Direktyvos 95/46 28 straipsnio 3 dalį šios priežiūros institucijos turi, be kita ko, tyrimo įgaliojimus, pavyzdžiui, surinkti visą informaciją, reikalingą jos priežiūros funkcijoms atlikti, ir įgaliojimus veiksmingai įsikišti, pavyzdžiui, nurodyti blokuoti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti juos tvarkyti, įspėti arba papeikti duomenų valdytoją. Šie įgaliojimai įsikišti gali apimti ir įgaliojimus bausti duomenų valdytoją, prireikus – skirti jam baudą(64).

110. Pati Direktyvos 95/46 28 straipsnio 6 dalis yra suformuluota taip:

„Kad ir kokie nacionaliniai įstatymai būtų taikomi tvarkant aptariamus duomenis, kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudotis pagal šio straipsnio 3 dalį jai suteiktais įgaliojimais.

Priežiūros institucijos tarpusavyje bendradarbiauja tiek, kiek tai reikalinga jų pareigoms vykdyti, ypač keisdamosi visa naudinga informacija.“

111. Atsižvelgiant į tai, kad pagrindinėje byloje nagrinėjamam asmens duomenų tvarkymui taikoma priežiūros institucijos valstybės narės teisė, Vokietijos priežiūros institucija gali įgyvendinti visus savo įgaliojimus imtis veiksmų, siekdama užtikrinti, kad būtų taikoma Vokietijos teisė ir Facebook jos laikytųsi Vokietijos teritorijoje. Tokia išvada darytina iš 2015 m. spalio 1 d. Sprendimo Weltimmo(65), kuris leido patikslinti Direktyvos 95/46 28 straipsnio 3 dalies taikymo sritį.

112. Pagrindinis tikslas toje byloje buvo nustatyti Vengrijos priežiūros institucijos kompetenciją skirti baudą kitoje valstybėje narėje, t. y. Slovakijoje įsteigtam paslaugų teikėjui. Ši kompetencija turi būti nustatoma prieš tai išnagrinėjus, ar, taikant Direktyvos 95/46 4 straipsnio 1 dalies a punkte nustatytą kriterijų, taikytina Vengrijos teisė.

113. Pirmojoje savo atsakymo dalyje Teisingumo Teismas pateikė prašymą priimti prejudicinį sprendimą pateikusiam teismui tam tikras gaires, kad jis galėtų nustatyti duomenų valdytojo padalinio buvimą Vengrijoje. Jis, be kita ko, manė, kad šis tvarkymas atliekamas šiam padaliniui vykdant veiklą ir kad Direktyvos 95/46 4 straipsnio 1 dalies a punktas esant tokiai situacijai, kaip nagrinėjamoji šioje byloje, leidžia taikyti Vengrijos teisę, susijusią su asmens duomenų apsauga.

114. Taigi ši pirma Teisingumo Teismo atsakymo dalis patvirtina Vengrijos priežiūros institucijos kompetenciją pagal Vengrijos teisę skirti baudą kitoje valstybėje narėje įsteigtam paslaugų teikėjui, šiuo atveju Weltimmo.

115. Kitaip tariant, nuo tada, kai, taikant Direktyvos 95/46 4 straipsnio 1 dalies a punkte nustatytą kriterijų, Vengrijos teisė gali būti pripažįstama nacionaline taikytina teise, Vengrijos priežiūros institucija turi kompetenciją užtikrinti, kad šios teisės būtų laikomasi, jeigu ją pažeidžia duomenų valdytojas, nors jis ir registruotas Slovakijoje. Pagal šią Direktyvos 95/46 nuostatą galima teigti, kad nors Weltimmo yra registruota Slovakijoje, ji taip pat yra įsteigta Vengrijoje. Taigi tai, kad Vengrijoje yra duomenų valdytojo, vykdančio veiklą, kai tvarkomi duomenys, padalinys, yra būtinas atspirties taškas pripažįstant Vengrijos teisės taikytinumą ir iš to kylančią Vengrijos priežiūros institucijos kompetenciją užtikrinti, kad šios teisės būtų paisoma Vengrijos teritorijoje.

116. Antra Teisingumo Teismo atsakymo dalis, kurioje jis pabrėžė kiekvienos priežiūros institucijos įgaliojimų teritorinio taikymo principą, buvo pateikta tik subsidiariai, t. y. „tik jeigu Vengrijos priežiūros institucija nuspręstų, kad Weltimmo turi padalinį, kaip tai suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą, ne Vengrijoje, bet kitoje valstybėje narėje, vykdantį veiklą, kurios pagrindu tvarkomi <...> asmens duomenys“(66). Taigi reikėjo atsakyti į klausimą, ar „jeigu Vengrijos priežiūros institucija padarytų išvadą, kad tvarkant asmens duomenis taikytina ne Vengrijos, bet kitos valstybės narės teisė, Direktyvos 95/46 28 straipsnio 1, 3 ir 6 dalys turėtų būti aiškinamos taip, kad ši institucija gali vykdyti tik šios direktyvos 28 straipsnio 3 dalyje numatytus įgaliojimus pagal šios kitos valstybės narės teisę ir negalėtų skirti sankcijų“(67).

117. Taigi antroje savo atsakymo dalyje Teisingumo Teismas išplėtė įgaliojimų, kuriuos priežiūros institucija galėtų įgyvendinti konkrečiu atveju, materialinę ir teritorinę apimtį, t. y. kai šiai institucijai taikoma valstybės narės teisė netaikytina.

118. Tokiu atveju Teisingumo Teismas nusprendė, kad „šios institucijos įgaliojimai nebūtinai apima visus tuos, kurie jai suteikti pagal jos valstybės narės teisę“(68). Taigi „[priežiūros institucija] gali įgyvendinti savo tyrimo įgaliojimus, nesvarbu, kokia teisė taikytina, ir netgi anksčiau, nei sužino, kokia nacionalinė teisė taikytina atitinkamam tvarkymui. Vis dėlto padariusi išvadą, kad taikytina kitos valstybės narės teisė, ji negali skirti sankcijų už savo valstybės narės teritorijos ribų. Esant tokiai situacijai, ji, vykdydama [Direktyvos 95/46] 28 straipsnio 6 dalyje numatytą bendradarbiavimo pareigą, privalo prašyti šios kitos valstybės narės priežiūros institucijos konstatuoti šios teisės pažeidimą ir taikyti sankcijas, jeigu pagal ją galima tai daryti, remdamasi perduota informacija“(69).

119. Iš 2015 m. spalio 1 d. Sprendimo Weltimmo(70) darau toliau nurodytas išvadas, skirtas šiai bylai.

120. Skirtingai, nei kalbant apie hipotezę, kuria Teisingumo Teismas grindė savo motyvus, susijusius su priežiūros institucijų įgaliojimais šioje antroje 2015 m. spalio 1 d. Sprendimo Weltimmo(71) dalyje, ši byla atitinka situaciją, analogišką aprašytajai pirmoje minėto sprendimo dalyje, kai, kaip jau nurodžiau, taikytina nacionalinė teisė yra valstybės narės, kuriai priklauso priežiūros institucija, įgyvendinanti įgaliojimus imtis veiksmų, teisė, būtent todėl, kad šios valstybės narės teritorijoje yra duomenų valdytojo, kurio veikla neatsiejama nuo šio tvarkymo, padalinys. Tai, kad Vokietijoje yra šis padalinys, laikoma būtinu atspirties tašku taikant Vokietijos teisę ginčijamam asmens duomenų tvarkymui.

121. Jei ši išankstinė sąlyga įvykdyta, Vokietijos priežiūros institucija turi būti laikoma kompetentinga užtikrinti, kad Vokietijos teritorijoje būtų laikomasi taisyklių, susijusių su asmens duomenų apsauga, įgyvendinant visus įgaliojimus, turimus pagal Vokietijos nuostatas, kuriomis Direktyvos 95/46 28 straipsnio 3 dalis perkeliama į nacionalinę teisę. Šie įgaliojimai gali apimti įpareigojimą, kuriuo laikinai arba visam laikui uždraudžiama tvarkyti duomenis.

122. Kalbant apie tai, kuriam subjektui turi būti skirta tokia priemonė, atrodo galimi du sprendimai.

123. Pagal pirmąjį sprendimą, siaurai aiškinant priežiūros institucijų turimų įgaliojimų imtis veiksmų teritorinę taikymo sritį, išeitų, kad šios institucijos gali įgyvendinti šiuos įgaliojimus tik duomenų valdytojo padalinio, esančio šių institucijų valstybės narės teritorijoje, atžvilgiu. Jeigu, kaip yra šioje byloje, tas padalinys, šiuo atveju – Facebook Germany, neatsako už duomenų tvarkymą, todėl pats negali patenkinti priežiūros institucijos prašymo nutraukti duomenų tvarkymo, jam reikės perduoti tą prašymą duomenų valdytojui, kad šis galėtų jį vykdyti.

124. Vis dėlto antrasis sprendimas būtų apsvarstyti, kad, jeigu duomenų valdytojas vienintelis daro lemiamą įtaką nagrinėjamam duomenų tvarkymui, jam turi būti tiesiogiai skiriama priemonė – įpareigojimas nutraukti tokį duomenų tvarkymą.

125. Mano nuomone, šiam antrajam sprendimui reikėtų teikti pirmenybę, jeigu jis yra suderinamas su pagrindiniu duomenų valdytojo vaidmeniu Direktyva 95/46 nustatytoje sistemoje(72). Toks sprendimas, išvengiant būtinybės privalomai veikti per tarpininką – padalinį, vykdantį veiklą, kai yra tvarkomi asmens duomenys, gali užtikrinti nedelsiamą ir realų nacionalinių taisyklių, susijusių su asmens duomenų apsauga, taikymą. Be to, priežiūros institucija, įpareigojanti tiesiogiai duomenų valdytoją, kuris nėra įsisteigęs valstybės narės, kuriai priklauso ši institucija, teritorijoje, kaip antai Facebook Inc. arba Facebook Ireland, nutraukti duomenų tvarkymą, neperžengia savo kompetencijos užtikrinti, kad šis tvarkymas atitiktų šios valstybės teisę jos teritorijoje, ribų. Šiuo atveju nesvarbu, kad duomenų valdytojas ar valdytojai yra įsteigti kitoje valstybėje narėje arba kad turtas yra trečiojoje valstybėje.

126. Taip pat, siedamas su savo siūlomu atsakymu į pirmąjį ir antrąjį prejudicinius klausimus, pažymiu, kad, atsižvelgiant į tikslą užtikrinti kuo išsamiausią gerbėjų tinklalapiuose besilankančių asmenų teisių apsaugą, ULD galimybė įgyvendinti savo įgaliojimus įsikišti dėl Facebook Inc. ir Facebook Ireland, manau, visai nereiškia, kad Wirtschaftsakademie atžvilgiu negalima imtis priemonių, todėl tai savaime negali paveikti pastarųjų priemonių teisėtumo(73).

127. Iš to, kas nurodyta, darytina išvada, kad Direktyvos 95/46 4 straipsnio 1 dalies a punktas turi būti aiškinamas taip, kad toks asmens duomenų tvarkymas, kaip nagrinėjamas pagrindinėje byloje, atliekamas duomenų valdytojo padaliniui vykdant veiklą valstybės narės teritorijoje, kaip tai suprantama pagal šią nuostatą, jei šioje valstybėje narėje sukurtą socialinį tinklą eksploatuojanti įmonė toje valstybėje narėje įsteigia dukterinę bendrovę, kuri užtikrintų šios įmonės siūlomų reklamos plotų pardavimo skatinimą ir pardavimą, skirtą šios valstybės narės gyventojams.

128. Be to, esant tokiai situacijai, kaip nagrinėjamoji pagrindinėje byloje, kai asmens duomenų tvarkymui taikytina teisė yra valstybės narės, kuriai priklauso priežiūros institucija, teisė, Direktyvos 95/46 28 straipsnio 1, 3 ir 6 dalys turi būti aiškinamos taip, kad ši priežiūros institucija gali įgyvendinti visus faktinius įgaliojimus imtis veiksmų, kurie jai suteikti pagal šios direktyvos 28 straipsnio 3 dalį, duomenų valdytojo atžvilgiu, įskaitant atvejį, kai duomenų valdytojas yra įsteigtas kitoje valstybėje narėje arba trečiojoje valstybėje.

C.      Dėl penktojo ir šeštojo klausimų

129. Penktuoju ir šeštuoju prejudiciniais klausimais, kuriuos, mano nuomone, reikėtų nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės prašo Teisingumo Teismo nuspręsti, ar Direktyvos 28 straipsnio 1, 3 ir 6 dalys turi būti aiškinamos taip, kad tokiomis aplinkybėmis, kaip pagrindinėje byloje, priežiūros institucija, priklausanti valstybei narei, kurioje yra duomenų valdytojo padalinys (Facebook Germany), turi teisę savarankiškai įgyvendinti savo įgaliojimus imtis veiksmų, neprivalėdama prieš tai prašyti valstybės narės, kurioje yra įsteigtas duomenų valdytojas (Facebook Ireland), priežiūros institucijos įgyvendinti savo įgaliojimus.

130. Sprendime dėl prašymo priimti prejudicinį sprendimą Bundesverwaltungsgericht (Federalinis administracinis teismas) paaiškina šių dviejų prejudicinių klausimų ir įpareigojimo teisėtumo priežiūros, kurią reikia atlikti pagrindinėje byloje, tarpusavio ryšį. Šis teismas iš esmės nurodo, kad Wirtschaftsakademie įpareigojimas galėtų būti laikomas ULD vertinimo klaida, jeigu Direktyvos 95/46 28 straipsnio 6 dalis turėtų būti aiškinama taip, kad joje tokiomis aplinkybėmis, kaip nagrinėjamos pagrindinėje byloje, numatyta tokios priežiūros institucijos, kokia yra ULD, pareiga prašyti kitos valstybės narės priežiūros institucijos, šiuo atveju – Data Protection Commissioner (duomenų apsaugos priežiūros institucija), įgyvendinti savo įgaliojimus, jeigu skirtųsi šių dviejų institucijų vertinimas, susijęs su Facebook Ireland atliekamo duomenų tvarkymo atitiktimi iš Direktyvos 95/46 kylančioms taisyklėms.

131. Kaip Teisingumo Teismas konstatavo 2015 m. spalio 1 d. Sprendime Weltimmo(74), jeigu tvarkant asmens duomenis taikytina ne valstybės narės, kuriai priklauso priežiūros institucija, norinti įgyvendinti savo įgaliojimus imtis veiksmų, bet kitos valstybės narės teisė, Direktyvos 95/46 28 straipsnio 1, 3 ir 6 dalys turi būti aiškinamos taip, kad ši priežiūros institucija negali, remdamasi tos valstybės narės teise, taikyti sankcijų šių duomenų valdytojui, neįsisteigusiam toje teritorijoje, bet vadovaudamasi tos pačios direktyvos 28 straipsnio 6 dalimi privalo kreiptis į valstybės narės, kurios teisė taikytina, priežiūros instituciją, kad ši imtųsi veiksmų(75).

132. Tokiu atveju pirmosios valstybės narės priežiūros institucija praranda kompetenciją įgyvendinti įgaliojimus skirti sankcijas kitoje valstybėje narėje įsteigtam duomenų valdytojui. Tada ji, vykdydama Direktyvos 95/46 28 straipsnio 6 dalyje numatytą bendradarbiavimo pareigą, turi prašyti tos kitos valstybės narės priežiūros institucijos konstatuoti pirmosios valstybės teisės pažeidimą ir taikyti sankcijas, jeigu pagal ją galima tai daryti, prireikus remdamasi perduota informacija(76).

133. Kaip jau nurodžiau, šioje byloje susiklostė visai kitokia situacija, nes taikytina valstybės narės, kuriai priklauso priežiūros institucija, norinti įgyvendinti savo įgaliojimus imtis veiksmų, teisė. Tokiu atveju Direktyvos 95/46 28 straipsnio 6 dalis turi būti aiškinama taip, kad pagal ją ši priežiūros institucija neįpareigojama valstybei narei, kurioje yra įsteigtas duomenų valdytojas, priklausančios priežiūros institucijos prašyti įgyvendinti savo įgaliojimus imtis veiksmų dėl duomenų valdytojo.

134. Reikėtų pridurti, kad pagal tai, kas numatyta Direktyvos 95/46 28 straipsnio 1 dalies antrame sakinyje, priežiūros institucija, kompetentinga įgyvendinti įgaliojimus imtis veiksmų dėl duomenų valdytojo, įsteigto kitoje valstybėje narėje nei ta, kuriai ji priklauso, visiškai nepriklausomai įgyvendina jai pavestas užduotis.

135. Taigi, kaip matyti iš mano pateiktų svarstymų, Direktyvoje 95/46 nenumatyta nei kilmės šalies principo, nei vieno langelio mechanizmo, kuris yra numatytas Reglamente 2016/679. Todėl duomenų valdytojui, kuris keliose valstybėse narėse turi padalinių, taikoma visapusiška kelių priežiūros institucijų vykdoma priežiūra, jeigu taikytina valstybių narių, kurioms priklauso šios institucijos, teisė. Žinoma, nors pageidautina, kad šios priežiūros institucijos derintų savo veiklą ir bendradarbiautų, vis dėlto priežiūros institucija, kurios kompetencija yra pripažinta, visai neprivalo suderinti savo pozicijos su kitos priežiūros institucijos pozicija.

136. Iš to, kas nurodyta, darau išvadą, kad Direktyvos 95/46 28 straipsnio 1, 3 ir 6 dalys turi būti aiškinamos taip, kad tokiomis aplinkybėmis, kaip nagrinėjamos pagrindinėje byloje, priežiūros institucija, priklausanti valstybei narei, kurioje yra duomenų valdytojo padalinys, turi teisę įgyvendinti savo įgaliojimus imtis veiksmų dėl šio duomenų valdytojo savarankiškai, neprivalėdama iš anksto prašyti valstybės narės, kurioje yra įsteigtas šis duomenų valdytojas, priežiūros institucijos įgyvendinti savo įgaliojimus.

III. Išvada

137. Atsižvelgdamas į nurodytus argumentus, siūlau Teisingumo Teismui taip atsakyti į Bundesverwaltungsgericht (Federalinis administracinis teismas, Vokietija) pateiktus prejudicinius klausimus:

1.      1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, iš dalies pakeistos Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1882/2003, 2 straipsnio d punktas turi būti aiškinamas taip, kad pagal šią nuostatą duomenų valdytoju laikomas tokio socialinio tinklo, koks yra Facebook, gerbėjų tinklalapio administratorius, kiek tai susiję su asmens duomenų tvarkymo etapu, per kurį šis socialinis tinklas renka duomenis, susijusius su šiame tinklalapyje apsilankančiais asmenimis, kad būtų sukaupti to tinklalapio lankytojų statistiniai duomenys.

2.      Direktyvos 95/46, iš dalies pakeistos Reglamentu Nr. 1882/2003, 4 straipsnio 1 dalies a punktas turi būti aiškinamas taip, kad toks asmens duomenų tvarkymas, kaip nagrinėjamasis pagrindinėje byloje, atliekamas duomenų valdytojo padaliniui vykdant veiklą valstybės narės teritorijoje, kaip tai suprantama pagal šią nuostatą, jei šioje valstybėje narėje sukurtą socialinį tinklą eksploatuojanti įmonė šioje valstybėje narėje įsteigia dukterinę bendrovę, kuri užtikrintų šios įmonės siūlomų reklamos plotų pardavimo skatinimą ir pardavimą, skirtą šios valstybės narės gyventojams.

3.      Esant tokiai situacijai, kaip nagrinėjamoji pagrindinėje byloje, kai asmens duomenų tvarkymui taikytina teisė yra valstybės narės, kuriai priklauso priežiūros institucija, teisė, Direktyvos 95/46, iš dalies pakeistos Reglamentu Nr. 1882/2003, 28 straipsnio 1, 3 ir 6 dalys turi būti aiškinamos taip, kad ši priežiūros institucija gali įgyvendinti visus faktinius įgaliojimus imtis veiksmų, kurie jai suteikti pagal šios direktyvos 28 straipsnio 3 dalį, dėl duomenų valdytojo, įskaitant atvejį, kai duomenų valdytojas yra įsteigtas kitoje valstybėje narėje arba trečiojoje valstybėje.

4.      Direktyvos 95/46, iš dalies pakeistos Reglamentu Nr. 1882/2003, 28 straipsnio 1, 3 ir 6 dalys turi būti aiškinamos taip, kad tokiomis aplinkybėmis, kaip nagrinėjamos pagrindinėje byloje, priežiūros institucija, priklausanti valstybei narei, kurioje yra duomenų valdytojo padalinys, turi teisę įgyvendinti savo įgaliojimus imtis veiksmų dėl šio duomenų valdytojo savarankiškai, neprivalėdama iš anksto prašyti valstybės narės, kurioje įsteigtas šis duomenų valdytojas, priežiūros institucijos įgyvendinti savo įgaliojimus.


1      Originalo kalba: prancūzų.


2      OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355.


3      OL L 284, 2003, p. 1; 2004 m. specialusis leidimas lietuvių k., 1 sk., 4 t., p. 447 ; toliau – Direktyva 95/46.


4      Toliau – 29 straipsnio darbo grupė.


5      Toliau – Nuomonė 2/2010.


6      Nuomonė 2/2010, p. 5.


7      Nuomonė 2/2010, p. 7. Kaip šioje nuomonėje paaiškino 29 straipsnio darbo grupė, „tai dažniausiai veikia taip: reklamos skelbimų tinklo operatorius stebėjimo slapuką duomenų subjekto <...> galiniame įrenginyje paprastai įrašo tuo metu, kai duomenų subjektas pirmą kartą lankosi interneto svetainėje, kurioje skelbiama operatoriaus tinklo reklama. Slapukas – tai trumpas raidinis-skaitinis tekstas, kurį duomenų subjekto galinėje įrangoje saugo (o vėliau išgauna) tinklo operatorius <...>. Taikant vartotojų elgesiu grindžiamą reklamą, slapukas reklamos skelbimų tinklo operatoriui leidžia atpažinti ankstesnį lankytoją, kuris grįžta į tą interneto svetainę arba apsilanko bet kurioje kitoje interneto svetainėje, kuri yra reklamos skelbimų tinklo partnerė. Tokie pakartotiniai apsilankymai reklamos skelbimų tinklo operatoriui padeda sukurti lankytojo profilį, kuriuo bus naudojamasi suasmenintai reklamai pateikti“.


8      2010 m. vasario 16 d. 29 straipsnio darbo grupės Nuomonė 1/2010 dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“, p. 25.


9      Agencia española de protección de datos (Ispanijos duomenų apsaugos agentūra) 2017 m. rugsėjo 11 d. paskelbė, kad skyrė 2 mln. EUR baudą Facebook Inc. Prieš tai Commission Nationale de l’Informatique et des Libertés (Nacionalinė informatikos ir laisvių komisija, CNIL, Prancūzija) 2017 m. balandžio 27 d. posėdyje nusprendė bendrovėms Facebook Inc. ir Facebook Ireland solidariai skirti 150 000 EUR piniginę baudą.


10      BDSG 38 straipsnio 5 dalyje nurodyta:


      „Siekdama užtikrinti, kad būtų laikomasi šio įstatymo ir kitų nuostatų, susijusių su duomenų apsauga, priežiūros institucija gali įpareigoti taikyti priemones, kuriomis siekiama ištaisyti konstatuotus pažeidimus renkant, tvarkant arba naudojant asmens duomenis arba techninius ar organizacinius pažeidimus. Jeigu padaromi sunkūs nusikaltimai ar pažeidimai, be kita ko, jei yra konkretus pavojus, kad jais bus pažeista teisė į privatų gyvenimą, ji gali uždrausti rinkti, tvarkyti arba naudoti šiuos duomenis arba taikyti tam tikras procedūras, jeigu nusikaltimai ar pažeidimai neištaisomi laiku, pažeidžiant pirmajame sakinyje nurodytą draudimą ir nepaisant to, kad paskirta bauda. Ji gali prašyti atleisti duomenų apsaugos pareigūną, jeigu jis neturi patirties ir pasitikėjimo, kuris yra būtinas jo užduotims atlikti.“


11      TMG 12 straipsnis suformuluotas taip:


„(1)      Teikdamas elektroninę paslaugą paslaugų teikėjas gali rinkti ir panaudoti asmens duomenis tik tuo atveju, kai tai leidžiama pagal šį įstatymą ar kitą teisės aktą, aiškiai reglamentuojantį elektronines paslaugas, arba kai naudotojas su tuo sutiko.


<…>


(3)      Jei nenustatyta kitaip, taikomi galiojantys asmens duomenų apsaugos srities teisės aktai, net kai duomenys nėra tvarkomi automatiškai.“


12      Ši nuostata susijusi su asmens duomenų tvarkymo perdavimu tretiesiems asmenims.


13      Pagal šią nuostatą „atsakingu subjektu laikoma bet kuri organizacija, kuri renka, tvarko ar naudoja asmens duomenis pati arba per tarpininką trečiąjį asmenį“.


14      C‑131/12, EU:C:2014:317.


15      Šio sprendimo 60 punktas.


16      Remiantis Nuomonėje 1/2010 pateiktomis apibrėžtimis, sąvoka „tikslas“ apibrėžiamas kaip „norimas rezultatas, kurio siekiama arba kuriuo vadovaujamasi atliekant suplanuotus veiksmus“, o „būdas“ – „tai, kaip gaunamas rezultatas arba pasiekiamas tikslas“ (p. 13).


17      Taigi, pavyzdžiui, pagal šios direktyvos 6 straipsnio 2 dalį duomenų valdytojas privalo užtikrinti, kad būtų laikomasi su duomenų kokybe susijusių principų, išvardytų šios direktyvos 6 straipsnio 1 dalyje. Pagal Direktyvos 95/46 10 ir 11 straipsnius duomenų valdytojui nustatoma informuoti asmenis, su kuriais yra susijęs asmens duomenų tvarkymas. Pagal tos pačios direktyvos 12 straipsnį atitinkamų asmenų teisė susipažinti su duomenimis įgyvendinama kreipiantis į duomenų valdytoją. Tas pats pasakytina apie šios direktyvos 14 straipsnyje numatytą prieštaravimo teisę. Pagal Direktyvos 95/46 23 straipsnio 1 dalį valstybės narės turi numatyti, kad „bet kuris asmuo, patyręs nuostolių dėl neteisėtos tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su nacionalinėmis nuostatomis, priimtomis pagal šią direktyvą, turi teisę iš duomenų valdytojo gauti kompensaciją už patirtus nuostolius“. Galiausiai Direktyvos 95/46 28 straipsnio 3 dalyje numatyti priežiūros institucijų įgaliojimai veiksmingai imtis veiksmų įgyvendinami duomenų valdytojų atžvilgiu.


18      C‑131/12, EU:C:2014:317.


19      Šiuo klausimu žr. 2014 m. gegužės 13 d. Sprendimą Google Spain ir Google (C‑131/12, EU:C:2014:317, 38 ir 83 punktai).


20      Be kita ko, žr. 2014 m. gegužės 13 d. Sprendimą Google Spain ir Google (C‑131/12, EU:C:2014:317, 34 punktas).


21      Nuomonė 1/2010, p. 10.


22      Facebook Ireland paaiškina, kad reguliariai nustato funkcijas, kuriomis Sąjungoje naudojasi tik atitinkami asmenys ir kurios yra pritaikytos šiems asmenims. Kitais atvejais Facebook Ireland yra nusprendusi nesiūlyti Sąjungoje produktų, kuriuos Jungtinėse Amerikos Valstijose pateikia Facebook Inc.


23      Žr. 2015 m. spalio 6 d. Sprendimą Schrems (C‑362/14, EU:C:2015:650, 27 punktas).


24      Žr. sprendimo dėl prašymo priimti prejudicinį sprendimą 39 punktą.


25      Šioje byloje svarbu ne duomenų tvarkymo, kuris atliekamas po to, kai Facebook perduoda gerbėjų tinklalapyje apsilankiusių asmenų duomenis, tikslų ir būdų nustatymas. Reikėtų sutelkti dėmesį į šioje byloje nagrinėjamą duomenų tvarkymo etapą – gerbėjų tinklalapyje besilankančių asmenų duomenų rinkimo etapą, neinformavus šių asmenų ir tinkamai negavus jų sutikimo.


26      Iš Facebook naudojimo sąlygų matyti, kad lankytojų statistiniai duomenys leidžia gerbėjų tinklalapio administratoriui gauti informaciją apie jo tikslinę auditoriją, kad būtų galima sukurti jai aktualesnį turinį. Lankytojų statistika suteikia gerbėjų tinklalapio administratoriui demografinius duomenis apie jo tikslinę auditoriją, be kita ko, tendencijas, susijusias su jo tikslinės auditorijos amžiumi, lytimi, asmeniniais tarpusavio santykiais ir profesine situacija, informaciją apie gyvenimo būdą ir interesų centrus, taip pat informaciją, susijusią su jo tikslinės auditorijos pirkiniais, be kita ko, elgesiu apsiperkant internete, šią auditoriją labiausiai dominančių prekių ar paslaugų kategorijas, taip pat geografinius duomenis, leidžiančius gerbėjų tinklalapio administratoriui sužinoti apie specialias nuolaidas, taikyti šias nuolaidas ir organizuoti renginius.


27      Šiuo klausimu žr. Nuomonę 1/2010, p. 28.


28      Ten pat, p. 28: „tuo atveju, jei smulkus duomenų valdytojas ir didelės paslaugų įmonės pagal sutartį turi nevienodą galią, taip pat negalima pateisinti duomenų valdytojo sutikimo su duomenų apsaugos teisės aktų neatitinkančiomis sutarčių sąlygomis“.


29      C‑131/12, EU:C:2014:317.


30      2014 m. gegužės 13 d. Sprendimas Google Spain ir Google (C‑131/12, EU:C:2014:317, 38 punktas ir šiuo klausimu – 83 punktas).


31      2014 m. gegužės 13 d. Sprendimas Google Spain ir Google (C‑131/12, EU:C:2014:317, 40 punktas).


32      Žr. sprendimo dėl prašymo priimti prejudicinį sprendimą 35 punktą.


33      Teisingumo Teisme dar nagrinėjama byla.


34      Kaip nurodo Šveicarijos duomenų apsaugos institucija: „nors pačią duomenų analizę ir registravimą daugeliu atveju visiškai savo nuožiūra atlieka webtracking paslaugų teikėjas, už tai irgi atsakingas interneto svetainės eksploatuotojas. Iš tikrųjų jis įdiegia webtracking paslaugų teikėjo kodą savo interneto svetainėje ir taip, interneto vartotojui nežinant, skatina duomenų perdavimą, slapukų diegimą ir duomenų rinkimą webtracking paslaugų teikėjo naudai“: žr. „Paaiškinimai dėl webtracking“, Préposé fédéral à la protection des données et à la transparence (Federalinė duomenų apsaugos ir skaidrumo tarnyba, PFPDT), pateikiami adresu https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr


35      Šiuo klausimu žr. Nuomonę 1/2010, p. 24.


36      Nuomonė 1/2010, p. 35.


37      Nuomonė 1/2010, p. 20 ir 21.


38      Žr. sprendimo dėl prašymo priimti prejudicinį sprendimą 40 punktą.


39      Be kita ko, žr. 2017 m. sausio 31 d. Sprendimą Lounani (C‑573/14, EU:C:2017:71, 56 punktas ir jame nurodyta jurisprudencija).


40      Toliau – Nuomonė 8/2010.


41      Šios nuomonės p. 31.


42      Šios nuomonės p. 32.


43      Dėl tokių grupių, kokios yra Google ir Facebook, struktūros siekiant plėtoti jų veiklą pasaulyje tampa sunkiau nustatyti nacionalinę taikytiną teisę ir padalinį, prieš kurį nukentėję asmenys ir priežiūros institucijos gali imtis veiksmų. Šiais klausimais žr. D. Svantesson „Enforcing Privacy Across Different Jurisdiction“, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlynas, 2016, p. 195–222, ypač p. 216–218.


44      Be kita ko, žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 25 punktas ir jame nurodyta jurisprudencija).


45      Be kita ko, žr. 2016 m. liepos 28 d. Sprendimą Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, 75 punktas ir jame nurodyta jurisprudencija).


46      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 29 punktas).


47      Be kita ko, žr. 2016 m. liepos 28 d. Sprendimą Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, 77 punktas ir jame nurodyta jurisprudencija).


48      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 29 punktas).


49      Be kita ko, žr. 2016 m. liepos 28 d. Sprendimą Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, 78 punktas ir jame nurodyta jurisprudencija).


50      Nuomonės 8/2010 p.  33. Taip pat šiuo klausimu žr. šios nuomonės p. 15.


51      C‑131/12, EU:C:2014:317.


52      Šio sprendimo 55 punktas.


53      Šio sprendimo 56 punktas.


54      Šio sprendimo 57 punktas.


55      Šiuo klausimu žr. 2009 m. birželio 12 d. 29 straipsnio darbo grupės nuomonę 5/2009 dėl internetinių socialinių tinklų, p. 5.


56      C‑131/12, EU:C:2014:317.


57      Be kita ko, žr. 2015 m. gruodžio 16 d. 29 straipsnio darbo grupės „Update of Opinion 8/2010 on applicable law in the light of the CJEU judgment in Google Spain“, p. 6 ir 7.


58      Kalbant apie kelių šalių nacionalinės teisės taikymą, žr. 29 straipsnio darbo grupės nuomonę 8/2010 dėl taikytinos teisės: „nuoroda į duomenų valdytojo „padalinį“ reiškia, kad kai duomenų valdytojas yra įsisteigęs valstybėje narėje, jam taikytina tos valstybės narės teisė, o kai kiti to duomenų valdytojo padaliniai yra įsisteigę kitose valstybėse narėse, jų veiklai galėtų būti taikoma tų valstybių narių teisė“ (p. 33).


59      C‑191/15, EU:C:2016:612.


60      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL L 119, 2016, p. 1).


61      Šiuo klausimu žr. B. Hawkes „The Irish DPA and its Approach to Data Protection“, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlynas, 2016, p. 441–454, ypač p. 450, 11 išnaša. Autorius nurodo, kad „[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: “it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU“.


62      C‑131/12, EU:C:2014:317.


63      Panašią logiką žr. „Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, kurioje šios institucijos deklaruoja: „<…> the DPAs united in the Contact group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice <…>, the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are ‘inextricably linked’ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC“.


64      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 49 punktas).


65      C‑230/14, EU:C:2015:639.


66      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C 230/14, EU:C:2015:639, 42 punktas)


67      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 43 punktas).


68      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 55 punktas).


69      Žr. 2015 m. spalio 1 d. Sprendimą Weltimmo (C‑230/14, EU:C:2015:639, 57 punktas).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      Šiuo klausimu žr. šios išvados 44 punktą.


73      Taip pat žr. šios išvados 73–77 punktus.


74      C‑230/14, EU:C:2015:639.


75      2015 m. spalio 1 d. Sprendimas Weltimmo (C‑230/14, EU:C:2015:639, 60 punktas).


76      2015 m. spalio 1 d. Sprendimas Weltimmo (C‑230/14, EU:C:2015:639, 57 punktas).