Language of document : ECLI:EU:C:2018:388

Προσωρινό κείμενο

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)

της 5ης Ιουνίου 2018 (*)

«Προδικαστική παραπομπή – Οδηγία 95/46/ΕΚ – Δεδομένα προσωπικού χαρακτήρα – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών – Διαταγή για την απενεργοποίηση σελίδας στο Facebook (fan page) μέσω της οποίας είναι δυνατή η συλλογή και η επεξεργασία ορισμένων δεδομένων που αφορούν τους επισκέπτες της σελίδας αυτής – Άρθρο 2, στοιχείο δʹ – Υπεύθυνος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Άρθρο 4 – Εφαρμοστέο εθνικό δίκαιο – Άρθρο 28 – Εθνικές αρχές ελέγχου – Εξουσίες παρεμβάσεως των αρχών αυτών»

Στην υπόθεση C-210/16,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο, Γερμανία) με απόφαση της 25ης Φεβρουαρίου 2016, η οποία περιήλθε στο Δικαστήριο στις 14 Απριλίου 2016, στο πλαίσιο της δίκης

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

κατά

Wirtschaftsakademie Schleswig-Holstein GmbH,

παρισταμένων των:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),

συγκείμενο από τους K. Lenaerts, Πρόεδρο, A. Tizzano (εισηγητή), Αντιπρόεδρο, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský και E. Levits, προέδρους τμήματος, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, Κ. Λυκούργο, Μ. Βηλαρά και E. Regan, δικαστές,

γενικός εισαγγελέας: Y. Bot

γραμματέας: C. Strömholm, διοικητική υπάλληλος,

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 27ης Ιουνίου 2017,

λαμβάνοντας υπόψη τις παρατηρήσεις που κατέθεσαν:

–        η Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, εκπροσωπούμενη από τους U. Karpenstein και M. Kottmann, Rechtsanwälte,

–        η Wirtschaftsakademie Schleswig-Holstein GmbH, εκπροσωπούμενη από τον C. Wolff, Rechtsanwalt,

–        η Facebook Ireland Ltd, εκπροσωπούμενη από τους C. Eggers, H.‑G. Kamann και M. Braun, Rechtsanwälte, καθώς και από τον I. Perego, avvocato,

–        η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τον J. Möller,

–        η Βελγική Κυβέρνηση, εκπροσωπούμενη από τις L. Van den Broeck και C. Pochet, καθώς και από τους P. Cottin και J.-C. Halleux,

–        η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek και J. Vláčil, καθώς και από την L. Březinová,

–        η Ιρλανδία, εκπροσωπούμενη από τις M. Browne, L. Williams, E. Creedon και G. Gilmore, καθώς και από τον A. Joyce,

–        η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από τον P. Gentili, avvocato dello Stato,

–        η Ολλανδική Κυβέρνηση εκπροσωπούμενη από τις C. S. Schillemans και M. K. Bulterman,

–        η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από τον J. Heliskoski,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους H. Krämer και D. Nardi,

αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 24ης Οκτωβρίου 2017,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ανεξάρτητης περιφερειακής αρχής προστασίας δεδομένων του Schleswig-Holstein, Γερμανία) (στο εξής: ULD) και της Wirtschaftsakademie Schleswig-Holstein GmbH, εταιρίας ιδιωτικού δικαίου ειδικευμένης στον τομέα της εκπαιδεύσεως (στο εξής: Wirtschaftsakademie), με αντικείμενο τη νομιμότητα διαταγής που εξέδωσε η ULD έναντι της εν λόγω εταιρίας να απενεργοποιήσει τη σελίδα της (fan page, στο εξής: σελίδα) που φιλοξενείται στον ιστότοπο του μέσου κοινωνικής δικτυώσεως Facebook (στο εξής: Facebook).

 Το νομικό πλαίσιο

 Το δίκαιο της Ένωσης

3        Οι αιτιολογικές σκέψεις 10, 18, 19 και 26 της οδηγίας 95/46 έχουν ως εξής:

«(10)      [εκτιμώντας] ότι στόχος των εθνικών νομοθεσιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων και ιδίως της ιδιωτικής ζωής, όπως επίσης αναγνωρίζεται στο άρθρο 8 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών καθώς και στις γενικές αρχές του [...] δικαίου [της Ένωσης]· ότι, για τον λόγο αυτό, η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην [Ένωση]·

[...]

(18)      ότι, προκειμένου να αποφευχθεί ο αποκλεισμός ενός προσώπου από τη δυνάμει της παρούσας οδηγίας προστασία, είναι απαραίτητο κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στην [Ένωση] να τηρεί τη νομοθεσία ενός από τα κράτη μέλη· ότι είναι σκόπιμο οι επεξεργασίες που εκτελούνται από πρόσωπα ενεργούντα υπό τον έλεγχο του υπευθύνου της επεξεργασίας ο οποίος είναι εγκατεστημένος σε κράτος μέλος να υπόκεινται στη νομοθεσία του κράτους αυτού·

(19)      ότι η εγκατάσταση στο έδαφος κράτους μέλους περιλαμβάνει την πραγματική άσκηση δραστηριότητας βάσει μονίμου καταστήματος· ότι η νομική μορφή ενός τέτοιου καταστήματος, είτε πρόκειται για απλό υποκατάστημα είτε για θυγατρική με νομική προσωπικότητα, δεν συνιστά καθοριστικό παράγοντα εν προκειμένω· ότι, όταν [ο ίδιος] υπεύθυνος επεξεργασίας είναι εγκατεστημένος στο έδαφος πλειόνων κρατών μελών, ιδίως μέσω θυγατρικής, πρέπει να εξασφαλίζει, κυρίως για να αποφεύγονται οι καταστρατηγήσεις, ότι κάθε κατάστημά του πληροί τις απαιτήσεις τις οποίες προβλέπει η οικεία εθνική νομοθεσία·

[…]

(26)      ότι οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί· ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνεται υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου· ότι οι αρχές της προστασίας δεν εφαρμόζονται σε δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε να μην μπορεί να εξακριβωθεί πλέον η ταυτότητα του προσώπου στο οποίο αναφέρονται· [...]».

4        Το άρθρο 1 της οδηγίας 95/46, το οποίο επιγράφεται «Στόχος της οδηγίας», προβλέπει τα εξής:

«1.      Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2.      Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.»

5        Το άρθρο 2 της οδηγίας αυτής, που φέρει τον τίτλο «Ορισμοί», έχει ως εξής:

«Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:

[…]

β)      “επεξεργασία δεδομένων προσωπικού χαρακτήρα” “επεξεργασία”, κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·

[...]

δ)      “υπεύθυνος της επεξεργασίας”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή [ενωσιακές], ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από το εθνικό ή το […] δίκαιο [της Ένωσης]·

ε)      “εκτελών την επεξεργασία”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας·

στ)      “τρίτοι”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, εκτός από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, [τον εκτελούντα] την επεξεργασία καθώς και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία ή για λογαριασμό του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα·

[...]».

6        Το άρθρο 4 της εν λόγω οδηγίας, με τίτλο «Εφαρμοστέο εθνικό δίκαιο», ορίζει, στην παράγραφο 1, τα εξής:

«Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον:

α)      η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων [εγκατάστασης του] υπευθύνου […] στο έδαφος του κράτους μέλους. Όταν ο ίδιος υπεύθυνος είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία·

β)      ο υπεύθυνος δεν είναι εγκατεστημένος στο έδαφος του κράτους μέλους, αλλά σε τόπο όπου εφαρμόζεται η εθνική του νομοθεσία δυνάμει του δημοσίου διεθνούς δικαίου·

γ)      ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστημένος στο έδαφος της [Ένωσης] και για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα προσφεύγει σε μέσα, αυτοματοποιημένα ή όχι, ευρισκόμενα στο έδαφος του εν λόγω κράτους μέλους, εκτός εάν τα μέσα αυτά χρησιμοποιούνται μόνο με σκοπό τη διέλευση από το έδαφος της [Ένωσης].»

7        Το άρθρο 17 της οδηγίας 95/46, με τίτλο «Ασφάλεια της επεξεργασίας», ορίζει, στις παραγράφους 1 και 2, τα εξής:

«1.      Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, ιδίως εάν η επεξεργασία συμπεριλαμβάνει και διαβίβαση των δεδομένων μέσω δικτύου, και από κάθε άλλη μορφή αθέμιτης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Τα μέτρα αυτά πρέπει να εξασφαλίζουν, λαμβανομένης υπόψη της τεχνολογικής εξέλιξης και του κόστους εφαρμογής τους, επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που απορρέουν από την επεξεργασία και τη φύση των δεδομένων που απολαύουν προστασίας.

2.      Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας οφείλει, σε περίπτωση επεξεργασίας για λογαριασμό του, να επιλέγει προς εκτέλεση της επεξεργασίας πρόσωπο το οποίο παρέχει επαρκείς εγγυήσεις όσον αφορά τα μέτρα τεχνικής ασφάλειας και οργάνωσης της επεξεργασίας και να εξασφαλίζει την τήρηση των μέτρων αυτών.»

8        Το άρθρο 24 της οδηγίας αυτής, με τίτλο «Κυρώσεις», προβλέπει τα ακόλουθα:

«Τα κράτη μέλη λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας και προβλέπουν ιδίως κυρώσεις για παράβαση των διατάξεων εφαρμογής της.»

9        Το άρθρο 28 της οδηγίας αυτής, που επιγράφεται «Αρχή ελέγχου», έχει ως εξής:

«1.      Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογήν της παρούσας οδηγίας.

Οι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία.

2.      Κάθε κράτος μέλος προβλέπει ότι ζητείται η γνώμη των αρχών ελέγχου κατά την εκπόνηση των διοικητικών ή κανονιστικών μέτρων που αφορούν την προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

3.      Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:

–        μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικαίωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,

–        αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν από την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,

–        την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ' εφαρμογή της παρούσας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.

Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα.

[...]

6.      Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους.

Οι αρχές ελέγχου διατηρούν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή όλων των χρήσιμων πληροφοριών.

[...]»

 Το γερμανικό δίκαιο

10      Το άρθρο 3, παράγραφος 7, του Bundesdatenschutzgesetz (ομοσπονδιακού νόμου για την προστασία δεδομένων), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης (στο εξής: BDSG), έχει ως εξής:

«Ως υπεύθυνος φορέας νοείται κάθε πρόσωπο ή κάθε φορέας που συλλέγει, επεξεργάζεται ή χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα για ίδιο λογαριασμό ή αναθέτει σε άλλους την εκτέλεση των ανωτέρω για λογαριασμό του.»

11      Το άρθρο 11 του BDSG, με τίτλο «Συλλογή, επεξεργασία ή χρήση δεδομένων προσωπικού χαρακτήρα μέσω άλλου προσώπου που ενεργεί κατ’ ανάθεση», έχει ως εξής:

«(1) Αν δεδομένα προσωπικού χαρακτήρα συγκεντρώνονται, υφίστανται επεξεργασία ή χρησιμοποιούνται μέσω άλλου φορέα που ενεργεί κατ’ ανάθεση, ο υπεύθυνος της επεξεργασίας που προβαίνει στην ανάθεση φέρει την ευθύνη για την τήρηση των διατάξεων του παρόντος νόμου και άλλων διατάξεων για την προστασία των δεδομένων. [...]

(2) Ο κατ’ ανάθεση ενεργών πρέπει να επιλέγεται βάσει αυστηρών κριτηρίων λαμβανομένης ιδιαιτέρως υπόψη της καταλληλότητας των τεχνικών και οργανωτικών μέτρων που έχει λάβει. Ο ορισμός του κατ’ ανάθεση ενεργούντος περιβάλλεται τον έγγραφο τύπο, πρέπει δε, μεταξύ άλλων, να καθορίζονται λεπτομερώς: [...]

Ο υπεύθυνος της επεξεργασίας που προβαίνει στην ανάθεση πρέπει να βεβαιώνεται για την τήρηση των τεχνικών και οργανωτικών μέτρων που έχει λάβει ο κατ’ ανάθεση ενεργών πριν από την έναρξη της επεξεργασίας των δεδομένων και, στη συνέχεια, ανά τακτά χρονικά διαστήματα. Το αποτέλεσμα πρέπει να καταγράφεται.

[...]»

12      Το άρθρο 38, παράγραφος 5, του BDSG ορίζει τα εξής:

«Για τη διασφάλιση της τηρήσεως του παρόντος νόμου και άλλων διατάξεων σχετικών με την προστασία των δεδομένων, η αρχή ελέγχου δύναται να διατάσσει μέτρα για την άρση των παραβάσεων που διαπιστώνονται κατά τη συλλογή, την επεξεργασία ή τη χρήση δεδομένων προσωπικού χαρακτήρα ή για την επανόρθωση τεχνικών ή οργανωτικών παραλείψεων. Σε περίπτωση σοβαρών παραβάσεων ή παραλείψεων, ιδίως όταν αυτές συνεπάγονται ιδιαίτερο κίνδυνο προσβολής του δικαιώματος στην ιδιωτική ζωή, η αρχή ελέγχου δύναται να απαγορεύει τη συλλογή, την επεξεργασία ή τη χρήση, ακόμη και την εφαρμογή ορισμένων διαδικασιών, όταν, κατά παράβαση της μνημονευόμενης στο πρώτο εδάφιο διαταγής και παρά την επιβολή χρηματικής ποινής, οι παραβάσεις ή οι παραλείψεις δεν επανορθώνονται εμπροθέσμως. Η αρχή ελέγχου δύναται να ζητήσει την αποπομπή του υπευθύνου προστασίας των δεδομένων, εάν αυτός δεν διαθέτει την αναγκαία ειδική γνώση και αξιοπιστία για την άσκηση των καθηκόντων του.»

13      Το άρθρο 12 του Telemediengesetz (νόμου περί ηλεκτρονικών μέσων) της 26ης Φεβρουαρίου 2007 (BGBl. 2007 I, σ. 179, στο εξής: TMG), έχει ως εξής:

«(1)      Ο φορέας παροχής υπηρεσιών δύναται, στο πλαίσιο διαθέσεως ηλεκτρονικών μέσων, να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα, μόνον υπό τους όρους του παρόντος νόμου ή άλλου νομοθετήματος που ρυθμίζει ρητώς θέματα ηλεκτρονικών μέσων ή εφόσον έχει συναινέσει ο χρήστης.

[...]

Εφόσον δεν ορίζεται διαφορετικά, εφαρμόζονται οι εκάστοτε ισχύουσες διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα, ακόμη και αν τα δεδομένα δεν υπόκεινται σε αυτοματοποιημένη επεξεργασία.»

 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

14      Η Wirtschaftsakademie παρέχει εκπαιδευτικές υπηρεσίες μέσω της σελίδας της στο Facebook.

15      Οι σελίδες αυτές είναι λογαριασμοί χρηστών που μπορούν να δημιουργούνται στο Facebook από ιδιώτες ή από επιχειρήσεις. Συγκεκριμένα, ο δημιουργός της σελίδας, ο οποίος έχει προηγουμένως εγγραφεί στο Facebook, μπορεί να χρησιμοποιήσει την πλατφόρμα του εν λόγω μέσου κοινωνικής δικτυώσεως για να προβάλει τις δραστηριότητές του στους χρήστες του Facebook, καθώς και στα πρόσωπα που επισκέπτονται τη σελίδα του, και να διοχετεύει κάθε είδους ανακοινώσεις στην αγορά των μέσων επικοινωνίας και της δημόσιας εκφράσεως. Οι διαχειριστές σελίδων μπορούν να λαμβάνουν ανώνυμα στατιστικά στοιχεία σχετικά με τους επισκέπτες των σελίδων αυτών, με τη βοήθεια του εργαλείου Facebook Insight, το οποίο τίθεται δωρεάν στη διάθεσή τους από το Facebook σύμφωνα με όρους χρήσεως μη δυνάμενους να τροποποιηθούν. Τα στοιχεία αυτά συλλέγονται χάρη σε αναγνωριστικά αρχεία (στο εξής: cookies) τα οποία διαθέτουν καθένα τον δικό του κωδικό χρήσεως, παραμένουν ενεργά επί δύο έτη και αποθηκεύονται από το Facebook στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή ή σε οποιαδήποτε άλλη συσκευή των επισκεπτών της σελίδας. Ο κωδικός χρήσεως, ο οποίος μπορεί να συσχετιστεί με τα δεδομένα συνδέσεως των εγγεγραμμένων χρηστών του Facebook, συλλέγεται και υποβάλλεται σε επεξεργασία κατά το άνοιγμα των σελίδων. Συναφώς, από τη διάταξη περί παραπομπής προκύπτει ότι ούτε η Wirtschaftsakademie ούτε η Facebook Ireland Ltd αναφέρθηκαν στην αποθήκευση και λειτουργία του επίμαχου cookie ή στην επακόλουθη επεξεργασία δεδομένων, τουλάχιστον κατά το χρονικό διάστημα που είναι κρίσιμο στην υπόθεση της κύριας δίκης.

16      Με απόφαση της 3ης Νοεμβρίου 2011 (στο εξής: προσβαλλόμενη απόφαση), η ULD, ως αρχή ελέγχου κατά την έννοια του άρθρου 28 της οδηγίας 95/46, επιφορτισμένη με την εποπτεία της εφαρμογής στο έδαφος του Land Schleswig-Holstein (Γερμανία) των διατάξεων που έχει θεσπίσει η Ομοσπονδιακή Δημοκρατία της Γερμανίας κατ’ εφαρμογήν της οδηγίας αυτής, διέταξε την Wirtschaftsakademie, συμφώνως προς το άρθρο 38, παράγραφος 5, πρώτη περίοδος, του BDSG, να απενεργοποιήσει τη σελίδα που είχε δημιουργήσει στο Facebook στη διεύθυνση: www.facebook.com/wirtschaftsakademie, με απειλή χρηματικής ποινής σε περίπτωση μη συμμορφώσεως εντός της ταχθείσας προθεσμίας, με την αιτιολογία ότι ούτε η Wirtschaftsakademie ούτε το Facebook ενημέρωναν τους επισκέπτες της σελίδας αυτής ότι το Facebook συνέλεγε, με τη χρήση cookies, πληροφορίες προσωπικού χαρακτήρα που τους αφορούν και ότι, στη συνέχεια, πραγματοποιούνταν επεξεργασία των πληροφοριών αυτών. Η Wirtschaftsakademie υπέβαλε ένσταση κατά της ως άνω αποφάσεως, υποστηρίζοντας, κατ’ ουσίαν, ότι δεν ήταν υπεύθυνη, βάσει του εφαρμοστέου επί της προστασίας δεδομένων δικαίου, ούτε για την επεξεργασία των δεδομένων από το Facebook ούτε για τα cookies που αυτό τοποθετεί.

17      Με απόφαση της 16ης Δεκεμβρίου 2011, η ULD απέρριψε την ως άνω ένσταση, εκτιμώντας ότι στοιχειοθετούνταν ευθύνη της Wirtschaftsakademie ως φορέα παροχής υπηρεσιών, βάσει του άρθρου 3, παράγραφος 3, σημείο 4, και του άρθρου 12, παράγραφος 1, του TMG, σε συνδυασμό με το άρθρο 3, παράγραφος 7, του BDSG. Η ULD εξέθεσε ότι η Wirtschaftsakademie, με τη δημιουργία της δικής της σελίδας, συμβάλλει ενεργά και οικειοθελώς στην εκ μέρους του Facebook συλλογή δεδομένων προσωπικού χαρακτήρα σχετικών με τους επισκέπτες της σελίδας αυτής, από τα οποία η Wirtschaftsakademie επωφελείται μέσω των στατιστικών επισκεψιμότητας που θέτει στη διάθεσή της το συγκεκριμένο μέσο κοινωνικής δικτυώσεως.

18      Η Wirtschaftsakademie προσέφυγε κατά της ως άνω αποφάσεως ενώπιον του Verwaltungsgericht (διοικητικού πρωτοδικείου, Γερμανία), διατεινόμενη ότι δεν είναι δυνατόν να της καταλογιστεί η επεξεργασία δεδομένων προσωπικού χαρακτήρα που εξετέλεσε το Facebook και ότι δεν ανέθεσε στο Facebook να προβεί, κατά την έννοια του άρθρου 11 του BDSG, σε επεξεργασία δεδομένων την οποία η ίδια ελέγχει ή μπορεί να επηρεάσει. Με βάση τα ανωτέρω, η Wirtschaftsakademie υποστήριξε ότι η ULD όφειλε να ενεργήσει απευθείας κατά της Facebook και να μην εκδώσει την προσβαλλόμενη απόφαση σε βάρος της ίδιας.

19      Με απόφαση της 9ης Οκτωβρίου 2013, το Verwaltungsgericht (διοικητικό πρωτοδικείο) ακύρωσε την προσβαλλόμενη απόφαση με το σκεπτικό, κατ’ ουσίαν, ότι, δεδομένου ότι ο διαχειριστής σελίδας στο Facebook δεν είναι «υπεύθυνος φορέας» κατά την έννοια του άρθρου 3, παράγραφος 7, του BDSG, η Wirtschaftsakademie δεν μπορούσε να είναι αποδέκτης μέτρου ληφθέντος βάσει του άρθρου 38, παράγραφος 5, του BDSG.

20      Το Oberverwaltungsgericht (διοικητικό εφετείο, Γερμανία) απέρριψε την έφεση που άσκησε η ULD κατά της ως άνω αποφάσεως ως αβάσιμη. Το δικαστήριο αυτό δέχθηκε, κατ’ ουσίαν, ότι η απαγόρευση επεξεργασίας των δεδομένων που επιβλήθηκε με την προσβαλλόμενη απόφαση είναι παράνομη, καθόσον το άρθρο 38, παράγραφος 5, δεύτερο εδάφιο, του BDSG προβλέπει κλιμακωτή διαδικασία, κατά το πρώτο στάδιο της οποίας επιτρέπεται μόνον η λήψη μέτρων για την άρση των παραβάσεων που διαπιστώνονται κατά την επεξεργασία δεδομένων. Άμεση απαγόρευση επεξεργασίας δεδομένων μπορεί να επιβληθεί μόνον αν η διαδικασία επεξεργασίας δεδομένων είναι παράνομη στο σύνολό της και η παρανομία μπορεί να αρθεί μόνο εάν παύσει η διαδικασία αυτή. Εντούτοις, κατά το Oberverwaltungsgericht (διοικητικό εφετείο), τέτοια περίπτωση δεν συνέτρεχε εν προκειμένω, δεδομένου ότι το Facebook είχε τη δυνατότητα να προβεί σε ενέργειες για την παύση των παραβάσεων που προβάλλει η ULD.

21      Το Oberverwaltungsgericht (διοικητικό εφετείο) προσέθεσε ότι η προσβαλλόμενη απόφαση ήταν παράνομη επίσης για τον λόγο ότι διαταγή δυνάμει του άρθρου 38, παράγραφος 5, του BDSG μπορεί να εκδίδεται μόνο σε βάρος του υπεύθυνου φορέα, κατά την έννοια του άρθρου 3, παράγραφος 7, του BDSG, ιδιότητα που δεν διαθέτει η Wirtschaftsakademie όσον αφορά τα συλλεγόμενα από το Facebook δεδομένα. Ειδικότερα, μόνον το Facebook αποφασίζει για τους σκοπούς και τον τρόπο συλλογής και επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται στο πλαίσιο της λειτουργίας Facebook Insight, η δε Wirtschaftsakademie λαμβάνει μόνο ανωνυμοποιημένες στατιστικές πληροφορίες.

22      Η ULD άσκησε αναίρεση ενώπιον του Bundesverwaltungsgericht (Ανώτατου Ομοσπονδιακού Διοικητικού Δικαστηρίου, Γερμανία), προβάλλοντας, μεταξύ άλλων επιχειρημάτων, παράβαση του άρθρου 38, παράγραφος 5, του BDSG καθώς και διάφορες δικονομικές πλημμέλειες με τις οποίες βαρυνόταν, κατ’ αυτήν, η απόφαση του δευτεροβάθμιου δικαστηρίου. Η ULD φρονεί ότι η παράβαση που διέπραξε η Wirtschaftsakademie συνίσταται στο ότι ανέθεσε σε ακατάλληλο πάροχο υπηρεσιών, ο οποίος δεν τηρεί το εφαρμοστέο επί της προστασίας δεδομένων δίκαιο, εν προκειμένω, στην Facebook Ireland, τη δημιουργία, τη φιλοξενία και τη συντήρηση διαδικτυακού τόπου. Επομένως, η διαταγή που επιβλήθηκε με την προσβαλλόμενη απόφαση στην Wirtschaftsakademie να απενεργοποιήσει τη σελίδα της έχει ως σκοπό την άρση της ως άνω παραβάσεως, καθόσον της απαγορεύει να συνεχίσει να χρησιμοποιεί την υποδομή του Facebook ως τεχνική βάση για τον διαδικτυακό τόπο της.

23      Όπως και το Oberverwaltungsgericht (διοικητικό εφετείο), το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο) εκτιμά ότι η Wirtschaftsakademie δεν μπορεί η ίδια να χαρακτηριστεί ως υπεύθυνη της επεξεργασίας δεδομένων, κατά την έννοια του άρθρου 3, παράγραφος 7, του BDSG ή του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Εντούτοις, το δικαστήριο αυτό εκτιμά ότι η ανωτέρω έννοια πρέπει, καταρχήν, να ερμηνεύεται διασταλτικώς, με σκοπό την αποτελεσματική προστασία του δικαιώματος στην ιδιωτική ζωή, όπως έχει δεχθεί το Δικαστήριο με την πρόσφατη σχετική νομολογία του. Επίσης, εκφράζει αμφιβολίες ως προς τις εξουσίες που διαθέτει, εν προκειμένω, η ULD έναντι της Facebook Germany, λαμβανομένου υπόψη ότι υπεύθυνη για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός του ομίλου Facebook είναι, σε επίπεδο Ένωσης, η Facebook Ireland. Τέλος, διερωτάται κατά πόσον οι εκτιμήσεις που διατυπώθηκαν από την αρχή ελέγχου στην οποία υπάγεται η Facebook Ireland, αναφορικά με τη νομιμότητα της επεξεργασίας των επίμαχων προσωπικών δεδομένων, επηρεάζει την άσκηση των εξουσιών παρεμβάσεως της ULD.

24      Υπό τις συνθήκες αυτές, το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Έχει το άρθρο 2, στοιχείο δʹ, της οδηγίας [95/46] την έννοια ότι ρυθμίζει αποκλειστικώς και εξαντλητικώς την ευθύνη και τις υποχρεώσεις λόγω παραβάσεων σχετικών με την προστασία δεδομένων ή είναι επίσης δυνατόν, λαμβανομένων υπόψη των “κατάλληλων μέτρων” κατά το άρθρο 24 της [εν λόγω οδηγίας] και των “αποτελεσματικών εξουσιών παρέμβασης” κατά το άρθρο 28, παράγραφος 3, δεύτερη περίπτωση, [αυτής], να υφίσταται, στο πλαίσιο των πολυεπίπεδων έννομων σχέσεων βάσει των οποίων παρέχονται οι πληροφορίες, ευθύνη και άλλου φορέα, ο οποίος δεν είναι υπεύθυνος επεξεργασίας δεδομένων κατά την έννοια του άρθρου 2, στοιχείο δʹ, της [εν λόγω οδηγίας], όσον αφορά την επιλογή του παρόχου μέσω του οποίου ο φορέας αυτός διακινεί τις πληροφορίες του;

2)      Μπορεί από την επιβαλλόμενη με το άρθρο 17, παράγραφος 2, της οδηγίας [95/46] υποχρέωση των κρατών μελών να προβλέπουν ότι ο “υπεύθυνος της επεξεργασίας” οφείλει, σε περίπτωση επεξεργασίας για λογαριασμό του, “να επιλέγει προς εκτέλεση της επεξεργασίας πρόσωπο το οποίο παρέχει επαρκείς εγγυήσεις όσον αφορά τα μέτρα τεχνικής ασφάλειας και οργάνωσης της επεξεργασίας”, να συναχθεί εξ αντιδιαστολής ότι, όσον αφορά άλλες έννομες σχέσεις με αντικείμενο τη χρήση δεδομένων οι οποίες δεν συνδέονται με την ανάθεση της επεξεργασίας δεδομένων κατά την έννοια του άρθρου 2, στοιχείο εʹ, της [εν λόγω οδηγίας], δεν υφίσταται, ούτε μπορεί να θεσπισθεί από το εθνικό δίκαιο, υποχρέωση επιμέλειας κατά τη σχετική επιλογή;

3)      Στην περίπτωση κατά την οποία μια εδρεύουσα εκτός της Ένωσης μητρική επιχείρηση διατηρεί νομικά αυτοτελείς εγκαταστάσεις (θυγατρικές εταιρίες) σε διάφορα κράτη μέλη, δύναται η αρχή ελέγχου ορισμένου κράτους μέλους (εν προκειμένω της Γερμανίας), δυνάμει των άρθρων 4 και 28, παράγραφος 6, της οδηγίας [95/46], να ασκήσει τις εξουσίες που της απονέμει το άρθρο 28, παράγραφος 3, [αυτής] έναντι της ευρισκόμενης στο έδαφός της εγκαταστάσεως, ακόμη και αν η συγκεκριμένη εγκατάσταση είναι επιφορτισμένη μόνο με την προώθηση της πωλήσεως διαφημίσεων και άλλες δραστηριότητες μάρκετινγκ με αποδέκτες τους κατοίκους του συγκεκριμένου κράτους μέλους, ενώ η ευρισκόμενη σε άλλο κράτος μέλος (εν προκειμένω στην Ιρλανδία) αυτοτελής εγκατάσταση (θυγατρική επιχείρηση) είναι, βάσει της ενδοομιλικής κατανομής καθηκόντων, αποκλειστικά υπεύθυνη για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ολόκληρο το έδαφος της Ένωσης, και συνεπώς και στο άλλο κράτος μέλος (εν προκειμένω τη Γερμανία), όταν οι αποφάσεις σχετικά με την επεξεργασία δεδομένων λαμβάνονται στην πράξη από τη μητρική επιχείρηση;

4)      Έχουν τα άρθρα 4, παράγραφος 1, στοιχείο αʹ και 28, παράγραφος 3, της οδηγίας [95/46] την έννοια ότι, στην περίπτωση κατά την οποία ο υπεύθυνος της επεξεργασίας διαθέτει εγκατάσταση στο έδαφος ορισμένου κράτους μέλους (εν προκειμένω της Ιρλανδίας) και άλλη μία, νομικά αυτοτελή, εγκατάσταση στο έδαφος άλλου κράτους μέλους (εν προκειμένω της Γερμανίας), η οποία είναι, μεταξύ άλλων, επιφορτισμένη με την πώληση διαφημιστικού χώρου και της οποίας η δραστηριότητα κατευθύνεται προς τους κατοίκους του συγκεκριμένου κράτους μέλους, η αρμόδια σε αυτό το άλλο κράτος μέλος (εν προκειμένω στη Γερμανία) αρχή ελέγχου δύναται να λαμβάνει μέτρα και να εκδίδει διαταγές προς διασφάλιση της εφαρμογής της νομοθεσίας περί προστασίας δεδομένων ακόμη και έναντι της άλλης εγκαταστάσεως (εν προκειμένω της γερμανικής), η οποία δεν είναι υπεύθυνη για την επεξεργασία δεδομένων με βάση την ενδοομιλική κατανομή καθηκόντων και αρμοδιοτήτων, ή μήπως τα εν λόγω μέτρα και διαταγές μπορούν να επιβάλλονται μόνο από την αρχή ελέγχου του κράτους μέλους (εν προκειμένω της Ιρλανδίας) στο έδαφος του οποίου εδρεύει ο κατά τους εσωτερικούς κανονισμούς του ομίλου υπεύθυνος φορέας;

5)      Έχουν τα άρθρα 4, παράγραφος 1, στοιχείο αʹ και 28, παράγραφοι 3 και 6, της οδηγίας [95/46] την έννοια ότι, στην περίπτωση κατά την οποία η αρχή ελέγχου ορισμένου κράτους μέλους (εν προκειμένω της Γερμανίας) λαμβάνει μέτρα κατά το άρθρο 28, παράγραφος 3, της [εν λόγω οδηγίας] έναντι εγκατεστημένου στο έδαφός της προσώπου ή φορέα για τον λόγο ότι αυτός δεν επέδειξε επιμέλεια κατά την επιλογή του εμπλεκόμενου στη διαδικασία επεξεργασίας δεδομένων τρίτου (εν προκειμένω του Facebook), ο οποίος φέρεται να παραβίασε τη νομοθεσία περί προστασίας δεδομένων, η επιληφθείσα αρχή ελέγχου (εν προκειμένω η γερμανική) δεσμεύεται, υπό την έννοια ότι δεν επιτρέπεται να αποκλίνει από τη σχετική με την προστασία των δεδομένων νομική εκτίμηση της αρχής ελέγχου του άλλου κράτους μέλους, στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας των δεδομένων τρίτος (εν προκειμένω στην Ιρλανδία), ή μήπως η επιληφθείσα αρχή ελέγχου (εν προκειμένω η γερμανική) επιτρέπεται να ελέγξει αυτοτελώς τη νομιμότητα της επεξεργασίας δεδομένων από τον εγκατεστημένο σε άλλο κράτος μέλος (εν προκειμένω στην Ιρλανδία) τρίτο ως προκαταρκτικό ζήτημα της δικής της παρεμβάσεως;

6)      Σε περίπτωση που η επιληφθείσα αρχή ελέγχου (εν προκειμένω η γερμανική) δύναται να προβεί σε αυτοτελή έλεγχο: Έχει το άρθρο 28, παράγραφος 6, δεύτερο εδάφιο, της οδηγίας [95/46] την έννοια ότι η εν λόγω αρχή ελέγχου δύναται να ασκήσει τις αποτελεσματικές εξουσίες παρεμβάσεως που διαθέτει δυνάμει του άρθρου 28, παράγραφος 3, της [εν λόγω οδηγίας] έναντι εγκατεστημένου στο έδαφός της προσώπου ή φορέα για τον λόγο ότι αυτός φέρει επίσης ευθύνη για τις παραβάσεις της νομοθεσίας περί προστασίας δεδομένων τις οποίες διέπραξε ο εγκατεστημένος σε άλλο κράτος μέλος τρίτος, μόνον αν προηγουμένως η ως άνω αρχή καλέσει την αρχή ελέγχου του άλλου κράτους μέλους (εν προκειμένω της Ιρλανδίας) να ασκήσει τις εξουσίες της;»

 Επί των προδικαστικών ερωτημάτων

 Επί του πρώτου και του δεύτερου ερωτήματος

25      Με το πρώτο και το δεύτερο ερώτημα, τα οποία πρέπει να συνεξεταστούν, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 2, στοιχείο δʹ, το άρθρο 17, παράγραφος 2, το άρθρο 24 και το άρθρο 28, παράγραφος 3, δεύτερη περίπτωση, της οδηγίας 95/46 έχουν την έννοια ότι δεν αποκλείουν να ευθύνεται, σε περίπτωση παραβάσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, ένας φορέας, υπό την ιδιότητα του διαχειριστή σελίδας σε μέσο κοινωνικής δικτυώσεως, λόγω της επιλογής του να χρησιμοποιήσει το εν λόγω μέσο κοινωνικής δικτυώσεως για τη διάδοση των προτεινόμενων από αυτόν πληροφοριών.

26      Προκειμένου να δοθεί απάντηση στα ερωτήματα αυτά, πρέπει να υπομνησθεί ότι, όπως προκύπτει από το άρθρο 1, παράγραφος 1, και από την αιτιολογική σκέψη 10, η οδηγία 95/46 αποσκοπεί στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, ιδίως δε της ιδιωτικής τους ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (απόφαση της 11ης Δεκεμβρίου 2014, Ryneš, C-212/13, EU:C:2014:2428, σκέψη 27 και εκεί παρατιθέμενη νομολογία).

27      Συμφώνως προς τον σκοπό αυτό, το άρθρο 2, στοιχείο δʹ, της οδηγίας αυτής δίδει στην έννοια «υπεύθυνος της επεξεργασίας» ευρύ ορισμό που καλύπτει κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

28      Πράγματι, όπως έχει κρίνει το Δικαστήριο, σκοπός της διατάξεως αυτής είναι να διασφαλιστεί, μέσω του ευρέος ορισμού της έννοιας «υπεύθυνος», αποτελεσματική και πλήρης προστασία των υποκειμένων των δεδομένων (απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C-131/12, EU:C:2014:317, σκέψη 34).

29      Εξάλλου, δεδομένου ότι, όπως ρητώς προβλέπει το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46, ως «υπεύθυνος της επεξεργασίας» νοείται ο «φορέας που, μόνος ή από κοινού με άλλους», καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, η έννοια αυτή δεν αφορά κατ’ ανάγκη έναν και μόνο φορέα, αλλά μπορεί να αφορά πολλούς φορείς που μετέχουν στην επεξεργασία αυτή, με αποτέλεσμα καθένας από τους φορείς αυτούς να υπόκειται στις διατάξεις που ισχύουν για την προστασία των δεδομένων.

30      Εν προκειμένω, πρέπει να γίνει δεκτό ότι η Facebook Inc. και, σε επίπεδο Ένωσης, η Facebook Ireland είναι αυτές που, κατά κύριο λόγο, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των χρηστών του Facebook, καθώς και των επισκεπτών των σελίδων που φιλοξενούνται στο Facebook, και, συνεπώς, εμπίπτουν στην έννοια «υπεύθυνος της επεξεργασίας», κατά το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46, πράγμα το οποίο δεν αμφισβητείται στην υπό κρίση υπόθεση.

31      Πάντως, και προκειμένου να δοθεί απάντηση στα υποβληθέντα ερωτήματα, πρέπει να εξεταστεί αν και σε ποιο βαθμό ο διαχειριστής σελίδας στο Facebook, όπως είναι η Wirtschaftsakademie, συμβάλλει, στο πλαίσιο της σελίδας αυτής, στον καθορισμό, από κοινού με τη Facebook Ireland και τη Facebook Inc., των σκοπών και του τρόπου επεξεργασίας των προσωπικών δεδομένων των επισκεπτών της εν λόγω σελίδας και αν, επομένως, μπορεί να θεωρηθεί και αυτός «υπεύθυνος της επεξεργασίας», κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46.

32      Συναφώς επισημαίνεται ότι προφανώς όποιος επιθυμεί να δημιουργήσει μια σελίδα στο Facebook συνάπτει με τη Facebook Ireland ειδική σύμβαση για το άνοιγμα τέτοιας σελίδας και αποδέχεται, στο πλαίσιο αυτό, τους όρους χρήσεως της σελίδας αυτής, συμπεριλαμβανομένης της σχετικής με την εν λόγω σελίδα πολιτικής για τα cookies, πράγμα το οποίο εναπόκειται στο εθνικό δικαστήριο να εξακριβώσει.

33      Όπως προκύπτει από την ενώπιον του Δικαστηρίου δικογραφία, οι επίμαχες στην υπόθεση της κύριας δίκης πράξεις επεξεργασίας δεδομένων διενεργούνται ουσιαστικά με την τοποθέτηση cookies από το Facebook στον ηλεκτρονικό υπολογιστή ή σε οποιαδήποτε άλλη συσκευή των προσώπων που επισκέπτονται τη σελίδα, με σκοπό την αποθήκευση πληροφοριών σχετικών με τους φυλλομετρητές ιστού, τα οποία παραμένουν ενεργά επί δύο έτη εφόσον δεν διαγραφούν. Από τη δικογραφία αυτή προκύπτει επίσης ότι, στην πράξη, το Facebook λαμβάνει, αποθηκεύει και επεξεργάζεται τις αποθηκευμένες στα cookies πληροφορίες, ιδίως όταν ένα πρόσωπο χρησιμοποιεί τις «υπηρεσίες Facebook, τις υπηρεσίες που παρέχονται από άλλες εταιρίες Facebook και τις υπηρεσίες που παρέχονται από άλλες επιχειρήσεις οι οποίες χρησιμοποιούν τις υπηρεσίες Facebook». Επιπλέον, άλλοι φορείς, όπως οι συνεργαζόμενες με το Facebook επιχειρήσεις ή ακόμη και τρίτοι, «είναι δυνατόν να χρησιμοποιούν cookies στις υπηρεσίες του Facebook προκειμένου να [προσφέρουν την παροχή υπηρεσιών απευθείας στο εν λόγω μέσο κοινωνικής δικτυώσεως], καθώς και στις επιχειρήσεις που διαφημίζονται στο Facebook».

34      Σκοπός των ανωτέρω πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι, μεταξύ άλλων, να παρέχεται η δυνατότητα, αφενός, στο Facebook να βελτιώνει το σύστημα δημοσιεύσεως διαφημίσεων μέσω του δικτύου του και, αφετέρου, στον διαχειριστή της σελίδας να λαμβάνει στατιστικές που καταρτίζει το Facebook με βάση τις επισκέψεις στη σελίδα αυτή, προκειμένου να καθορίσει πώς θα προωθήσει τη δραστηριότητά του, στατιστικές οι οποίες του επιτρέπουν να γνωρίζει, παραδείγματος χάριν, το προφίλ των επισκεπτών που εκδηλώνουν την προτίμησή τους για τη σελίδα του ή που χρησιμοποιούν δικές του εφαρμογές, ώστε να μπορεί να τους προσφέρει καλύτερο περιεχόμενο και να αναπτύξει λειτουργίες που θα μπορούσαν να τους ενδιαφέρουν περισσότερο.

35      Πάντως, μολονότι απλώς και μόνο η χρήση ορισμένου μέσου κοινωνικής δικτυώσεως, όπως είναι το Facebook, δεν καθιστά τον χρήστη του Facebook συνυπεύθυνο για τη διενεργούμενη από το μέσο αυτό επεξεργασία δεδομένων προσωπικού χαρακτήρα, εντούτοις, πρέπει να επισημανθεί ότι ο διαχειριστής σελίδας φιλοξενούμενης στο Facebook, με τη δημιουργία της σελίδας αυτής, παρέχει τη δυνατότητα στο Facebook να τοποθετεί cookies στον ηλεκτρονικό υπολογιστή ή σε οποιαδήποτε άλλη συσκευή του επισκέπτη της σελίδας του εν λόγω διαχειριστή, ανεξαρτήτως του αν ο επισκέπτης αυτός διαθέτει ή όχι λογαριασμό στο Facebook.

36      Στο πλαίσιο αυτό, από τα στοιχεία που υποβλήθηκαν στο Δικαστήριο προκύπτει ότι η δημιουργία σελίδας στο Facebook προϋποθέτει την εκ μέρους του διαχειριστή της επιλογή συγκεκριμένων ρυθμίσεων με γνώμονα, μεταξύ άλλων, το κοινό στο οποίο στοχεύει (στο εξής: κοινό-στόχος), καθώς και τους σκοπούς διαχειρίσεως ή προωθήσεως των δραστηριοτήτων του, επιλογή η οποία ασκεί επιρροή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται για την κατάρτιση στατιστικών με βάση τις επισκέψεις στη σελίδα αυτή. Ο διαχειριστής αυτός μπορεί, με τη βοήθεια φίλτρων που θέτει στη διάθεσή του το Facebook, να καθορίζει τα κριτήρια βάσει των οποίων θα καταρτίζονται οι στατιστικές, ακόμη και να ορίζει τις κατηγορίες προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα θα αποτελούν αντικείμενο εκμεταλλεύσεως από το Facebook. Κατά συνέπεια, ο διαχειριστής σελίδας στο Facebook συμβάλλει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του.

37      Ειδικότερα, ο διαχειριστής της σελίδας μπορεί να ζητήσει να λάβει –και άρα να ζητήσει να τύχουν επεξεργασίας– δημογραφικά δεδομένα που αφορούν το κοινό-στόχο, ιδίως δεδομένα σχετικά με τα κυρίαρχα χαρακτηριστικά του από απόψεως ηλικίας, φύλου, προσωπικής και επαγγελματικής καταστάσεως, πληροφορίες σχετικά με τον τρόπο ζωής και τα ενδιαφέροντα του κοινού-στόχου και πληροφορίες σχετικά με τις αγορές και την αγοραστική συμπεριφορά στο διαδίκτυο των επισκεπτών της σελίδας του, τις κατηγορίες προϊόντων ή υπηρεσιών που τους ενδιαφέρουν περισσότερο, καθώς και γεωγραφικά δεδομένα που παρέχουν στον διαχειριστή της σελίδας τη δυνατότητα να αποφασίζει πού θα πραγματοποιήσει ειδικές προσφορές ή πού θα διοργανώσει εκδηλώσεις και, γενικότερα, να κατευθύνει αποτελεσματικότερα τις προτεινόμενες από αυτόν πληροφορίες.

38      Μολονότι οι στατιστικές επισκεψιμότητας που καταρτίζει το Facebook διαβιβάζονται στον διαχειριστή της σελίδας αποκλειστικώς σε ανωνυμοποιημένη μορφή, γεγονός πάντως παραμένει ότι η κατάρτιση των στατιστικών αυτών βασίζεται στην προηγούμενη συλλογή, μέσω των cookies που τοποθετεί το Facebook στους ηλεκτρονικούς υπολογιστές ή σε οποιαδήποτε άλλη συσκευή των προσώπων που έχουν επισκεφθεί τη σελίδα αυτή, και στην επεξεργασία των προσωπικών δεδομένων των επισκεπτών αυτών για στατιστικούς σκοπούς. Εν πάση περιπτώσει, η οδηγία 95/46 δεν απαιτεί, στην περίπτωση που υφίσταται από κοινού ευθύνη διαφόρων φορέων για μία και την αυτή επεξεργασία, να έχει καθένας από αυτούς πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα.

39      Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι ο διαχειριστής σελίδας στο Facebook, όπως είναι η Wirtschaftsakademie, συμμετέχει, μέσω της επιλογής των σχετικών ρυθμίσεων, η οποία αποτελεί συνάρτηση, μεταξύ άλλων, του κοινού-στόχου, καθώς και των σκοπών διαχειρίσεως ή προωθήσεως των δραστηριοτήτων του, στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας που έχει δημιουργήσει. Για τον λόγο αυτό, ο διαχειριστής αυτός πρέπει, εν προκειμένω, να χαρακτηριστεί ως υπεύθυνος σε επίπεδο Ένωσης, από κοινού με την Facebook Ireland, για την επεξεργασία αυτή, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46.

40      Πράγματι, η εκ μέρους του διαχειριστή της σελίδας χρήση της πλατφόρμας που παρέχει το Facebook με σκοπό την αξιοποίηση των σχετικών υπηρεσιών δεν τον απαλλάσσει από την τήρηση των υποχρεώσεών του όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.

41      Κατά τα λοιπά, υπογραμμίζεται ότι τις σελίδες που φιλοξενούνται στο Facebook μπορούν να επισκέπτονται και άλλα πρόσωπα που δεν είναι χρήστες του Facebook και, επομένως, δεν διαθέτουν λογαριασμό χρήστη για το εν λόγω μέσο κοινωνικής δικτυώσεως. Στην περίπτωση αυτή, η ευθύνη του διαχειριστή της σελίδας αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των προσώπων αυτών καθίσταται ακόμη πιο σημαντική, δεδομένου ότι η απλή επίσκεψη της σελίδας αυτής συνεπάγεται αυτομάτως την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του επισκέπτη.

42      Υπό τις συνθήκες αυτές, η αναγνώριση της από κοινού ευθύνης του φορέα εκμεταλλεύσεως του μέσου κοινωνικής δικτυώσεως και του διαχειριστή σελίδας φιλοξενούμενης στο μέσο αυτό για την επεξεργασία των προσωπικών δεδομένων των επισκεπτών της σελίδας αυτής συμβάλλει στη διασφάλιση πληρέστερης προστασίας των δικαιωμάτων των προσώπων που επισκέπτονται μια τέτοια σελίδα, συμφώνως προς τις απαιτήσεις της οδηγίας 95/46.

43      Πάντως, πρέπει να διευκρινιστεί ότι, όπως επισήμανε ο γενικός εισαγγελέας στα σημεία 75 και 76 των προτάσεών του, η ύπαρξη από κοινού ευθύνης δεν συνεπάγεται κατ’ ανάγκη ότι η ευθύνη την οποία υπέχουν οι διάφοροι φορείς που εμπλέκονται σε μια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι ισοδύναμη. Αντιθέτως, οι εν λόγω φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας αυτής και σε διαφορετικό βαθμό, με αποτέλεσμα το επίπεδο ευθύνης καθενός από αυτούς να πρέπει να εκτιμάται λαμβανομένων υπόψη όλων των κρίσιμων περιστάσεων της συγκεκριμένης περιπτώσεως.

44      Υπό το πρίσμα των ανωτέρω εκτιμήσεων, στο πρώτο και στο δεύτερο ερώτημα πρέπει να δοθεί η απάντηση ότι, κατ’ ορθή ερμηνεία του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, η έννοια «υπεύθυνος της επεξεργασίας», όπως ορίζεται με τη διάταξη αυτή, καλύπτει και τον διαχειριστή σελίδας που φιλοξενείται σε μέσο κοινωνικής δικτυώσεως.

 Επί του τρίτου και ου τέταρτου ερωτήματος

45      Με το τρίτο και το τέταρτο ερώτημα, τα οποία πρέπει να συνεξεταστούν, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν τα άρθρα 4 και 28 της οδηγίας 95/46 έχουν την έννοια ότι, όταν επιχείρηση εγκατεστημένη εκτός της Ένωσης διαθέτει πλείονες εγκαταστάσεις εντός διαφόρων κρατών μελών, η αρχή ελέγχου ενός κράτους μέλους δύναται αρμοδίως να ασκήσει τις εξουσίες που της παρέχει το άρθρο 28, παράγραφος 3, της οδηγίας αυτής, έναντι εγκαταστάσεως της ως άνω επιχειρήσεως ευρισκόμενης στο έδαφος του κράτους μέλους αυτού, μολονότι, δυνάμει της ενδοομιλικής κατανομής δραστηριοτήτων, αφενός, η εγκατάσταση αυτή είναι επιφορτισμένη αποκλειστικώς με την πώληση διαφημιστικού χώρου και με άλλες δραστηριότητες μάρκετινγκ στο έδαφος του εν λόγω κράτους μέλους και, αφετέρου, αποκλειστικώς υπεύθυνη για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα, σε ολόκληρο το έδαφος της Ένωσης, είναι εγκατάσταση ευρισκόμενη σε άλλο κράτος μέλος, ή αν η αρχή ελέγχου του τελευταίου αυτού κράτους μέλους είναι εκείνη η οποία οφείλει να ασκήσει τις εξουσίες αυτές έναντι της δεύτερης εγκαταστάσεως.

46      Η ULD και η Ιταλική Κυβέρνηση εκφράζουν αμφιβολίες ως προς το παραδεκτό των ερωτημάτων αυτών, υποστηρίζοντας ότι δεν είναι λυσιτελή για την επίλυση της διαφοράς της κύριας δίκης. Συγκεκριμένα, η προσβαλλόμενη απόφαση έχει ως αποδέκτη την Wirtschaftsakademie και, επομένως, δεν αφορά τη Facebook Inc. ούτε κάποια από τις θυγατρικές της που είναι εγκατεστημένες στο έδαφος της Ένωσης.

47      Υπενθυμίζεται συναφώς ότι, στο πλαίσιο της συνεργασίας μεταξύ του Δικαστηρίου και των εθνικών δικαστηρίων την οποία προβλέπει το άρθρο 267 ΣΛΕΕ, εναπόκειται αποκλειστικώς στο εθνικό δικαστήριο που έχει επιληφθεί της διαφοράς και φέρει την ευθύνη της δικαστικής αποφάσεως που πρόκειται να εκδώσει να εκτιμήσει, λαμβάνοντας υπόψη τις ιδιαιτερότητες της υποθέσεως, τόσο την αναγκαιότητα μιας προδικαστικής αποφάσεως για την έκδοση της δικής του αποφάσεως όσο και τη λυσιτέλεια των ερωτημάτων που υποβάλλει στο Δικαστήριο. Συνεπώς, εφόσον τα υποβληθέντα ερωτήματα αφορούν την ερμηνεία του δικαίου της Ένωσης, το Δικαστήριο υποχρεούται καταρχήν να απαντήσει (απόφαση της 6ης Σεπτεμβρίου 2016, Petruhhin, C-182/15, EU:C:2016:630, σκέψη 19 και εκεί παρατιθέμενη νομολογία).

48      Εν προκειμένω, επισημαίνεται ότι το αιτούν δικαστήριο εκτιμά ότι η απάντηση του Δικαστηρίου στο τρίτο και στο τέταρτο προδικαστικό ερώτημα του είναι αναγκαία προκειμένου να αποφανθεί επί της διαφοράς της κύριας δίκης. Ειδικότερα, εξηγεί ότι, σε περίπτωση που διαπιστωθεί, με βάση την απάντηση αυτή, ότι η ULD μπορούσε να άρει την προβαλλόμενη προσβολή του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, με τη λήψη ορισμένου μέτρου κατά της Facebook Germany, το στοιχείο αυτό θα είναι ικανό να αποδείξει ότι η προσβαλλόμενη απόφαση βαρύνεται με σφάλμα εκτιμήσεως, διότι κακώς εκδόθηκε σε βάρος της Wirtschaftsakademie.

49      Υπό τις περιστάσεις αυτές, το τρίτο και το τέταρτο ερώτημα είναι παραδεκτά.

50      Προκειμένου να δοθεί απάντηση στα ερωτήματα αυτά, πρέπει προκαταρκτικώς να υπομνησθεί ότι, δυνάμει του άρθρου 28, παράγραφοι 1 και 3, της οδηγίας 95/46, κάθε αρχή ελέγχου ασκεί το σύνολο των εξουσιών που της παρέχει το εθνικό δίκαιο στο έδαφος του κράτους μέλους στο οποίο υπάγεται, προς εξασφάλιση, εντός του κράτους αυτού, της τηρήσεως των κανόνων στον τομέα της προστασίας των δεδομένων (βλ., υπ’ αυτή την έννοια, απόφαση της 1ης Οκτωβρίου 2015, Weltimmo, C-230/14, EU:C:2015:639, σκέψη 51).

51      Το ζήτημα του εφαρμοστέου επί της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δικαίου ρυθμίζεται από το άρθρο 4 της οδηγίας 95/46. Κατά την παράγραφο 1, στοιχείο αʹ, του άρθρου αυτού, κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της οδηγίας αυτής σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον η επεξεργασία εκτελείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως του υπευθύνου της σχετικής επεξεργασίας, η οποία βρίσκεται στο έδαφος του κράτους μέλους αυτού. Η διάταξη αυτή διευκρινίζει ότι όταν ο ίδιος υπεύθυνος της επεξεργασίας είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία.

52      Επομένως, από τον συνδυασμό της διατάξεως αυτής και του άρθρου 28, παράγραφοι 1 και 3, της οδηγίας 95/46 προκύπτει ότι, όταν το εθνικό δίκαιο του κράτους μέλους στο οποίο υπάγεται η αρχή ελέγχου είναι εφαρμοστέο δυνάμει του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας αυτής, για τον λόγο ότι η επίμαχη επεξεργασία εκτελείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως του υπευθύνου της επεξεργασίας, η οποία βρίσκεται στο έδαφος του κράτους μέλους αυτού, η εν λόγω αρχή ελέγχου δύναται να ασκήσει το σύνολο των εξουσιών που της παρέχει το δίκαιο αυτό έναντι της ως άνω εγκαταστάσεως, τούτο δε ανεξαρτήτως του αν ο υπεύθυνος της επεξεργασίας διαθέτει εγκαταστάσεις και σε άλλα κράτη μέλη.

53      Συνεπώς, για να διαπιστωθεί αν μια αρχή ελέγχου είναι αρμόδια, υπό περιστάσεις όπως αυτές της υποθέσεως της κύριας δίκης, να ασκήσει έναντι εγκαταστάσεως ευρισκόμενης στο έδαφος του κράτους μέλους στο οποίο υπάγεται η αρχή αυτή τις εξουσίες που της παρέχει το εθνικό δίκαιο, πρέπει να εξεταστεί αν συντρέχουν οι δύο προϋποθέσεις του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 96/46, και συγκεκριμένα, αφενός, αν πρόκειται για «[εγκατάσταση] του υπευθύνου [της επεξεργασίας]», κατά την έννοια της διατάξεως αυτής, και, αφετέρου, αν η εν λόγω επεξεργασία εκτελείται «στα πλαίσια των δραστηριοτήτων» της εν λόγω εγκαταστάσεως, κατά την έννοια της ιδίας διατάξεως.

54      Όσον αφορά, πρώτον, την προϋπόθεση να διαθέτει ο υπεύθυνος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εγκατάσταση στο έδαφος του κράτους μέλους στο οποίο υπάγεται η οικεία αρχή ελέγχου, πρέπει να υπομνησθεί ότι, κατά την αιτιολογική σκέψη 19 της οδηγίας 95/46, η εγκατάσταση στο έδαφος κράτους μέλους προϋποθέτει την πραγματική άσκηση δραστηριότητας βάσει μονίμου καταστήματος και ότι η νομική μορφή ενός τέτοιου καταστήματος, είτε πρόκειται για απλό υποκατάστημα είτε για θυγατρική με νομική προσωπικότητα, δεν συνιστά καθοριστικό παράγοντα (απόφαση της 1ης Οκτωβρίου 2015, Weltimmo, C-230/14, EU:C:2015:639, σκέψη 28 και εκεί παρατιθέμενη νομολογία).

55      Εν προκειμένω, δεν αμφισβητείται ότι η Facebook Inc., ως υπεύθυνη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, από κοινού με τη Facebook Ireland, διαθέτει μόνιμη εγκατάσταση στη Γερμανία, και συγκεκριμένα τη Facebook Germany, με έδρα το Αμβούργο, και ότι η τελευταία αυτή εταιρία ασκεί πραγματικά και ουσιαστικά δραστηριότητες στο εν λόγω κράτος μέλος. Για τον λόγο αυτό, η εταιρία αυτή συνιστά «εγκατάσταση» κατά την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46.

56      Όσον αφορά, δεύτερον, την προϋπόθεση να εκτελείται η επεξεργασία δεδομένων προσωπικού χαρακτήρα «στα πλαίσια των δραστηριοτήτων» της οικείας εγκαταστάσεως, πρέπει να υπομνησθεί, καταρχάς, ότι, λαμβανομένου υπόψη του σκοπού που επιδιώκει η οδηγία 95/46, ο οποίος συνίσταται στη διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ιδίως του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η έκφραση «στα πλαίσια των δραστηριοτήτων [εγκαταστάσεως]» δεν μπορεί να ερμηνεύεται στενά (απόφαση της 1ης Οκτωβρίου 2015, Weltimmo, C-230/14, EU:C:2015:639, σκέψη 25 και εκεί παρατιθέμενη νομολογία).

57      Περαιτέρω, υπογραμμίζεται ότι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 δεν απαιτεί η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα να γίνεται «από» την οικεία εγκατάσταση, αλλά απλώς να γίνεται «στα πλαίσια των δραστηριοτήτων» της εγκαταστάσεως αυτής (απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C-131/12, EU:C:2014:317, σκέψη 52).

58      Εν προκειμένω, από τη διάταξη περί παραπομπής, καθώς και από τις γραπτές παρατηρήσεις που κατέθεσε η Facebook Ireland προκύπτει ότι η Facebook Germany είναι επιφορτισμένη με την προώθηση και την πώληση διαφημιστικού χώρου και αναπτύσσει δραστηριότητες προοριζόμενες για πρόσωπα που κατοικούν στη Γερμανία.

59      Όπως υπομνήσθηκε στις σκέψεις 33 και 34 της παρούσας αποφάσεως, η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία εκτελείται από την Facebook Inc. από κοινού με την Facebook Ireland και η οποία συνίσταται στη συλλογή τέτοιων δεδομένων μέσω cookies τοποθετούμενων στους ηλεκτρονικούς υπολογιστές ή σε οποιαδήποτε άλλη συσκευή των επισκεπτών σελίδων στο Facebook, έχει, μεταξύ άλλων, ως σκοπό να παράσχει στο εν λόγω μέσο κοινωνικής δικτυώσεως τη δυνατότητα να βελτιώσει το διαφημιστικό σύστημά του, ώστε να κατευθύνει αποτελεσματικότερα τις ανακοινώσεις που δημοσιεύει.

60      Όπως, όμως, επισήμανε ο γενικός εισαγγελέας στο σημείο 94 των προτάσεών του, δεδομένου, αφενός, ότι ένα μέσο κοινωνικής δικτυώσεως, όπως το Facebook, εξασφαλίζει ουσιώδες μέρος των εσόδων του, μεταξύ άλλων, από τη διαφήμιση η οποία διοχετεύεται μέσω των σελίδων που δημιουργούν και επισκέπτονται οι χρήστες του και, αφετέρου, ότι η ευρισκόμενη στη Γερμανία εγκατάσταση της Facebook προορίζεται να διασφαλίσει την προώθηση και την πώληση, εντός του κράτους μέλους αυτού, διαφημιστικού χώρου, ώστε να καταστούν οικονομικώς αποδοτικές οι υπηρεσίες που παρέχονται από το Facebook, οι δραστηριότητες της εγκαταστάσεως αυτής πρέπει να θεωρηθούν άρρηκτα συνδεδεμένες με την επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα, για την οποία υπεύθυνη είναι η Facebook Inc. από κοινού με την Facebook Ireland. Επομένως, πρέπει να γίνει δεκτό ότι η επεξεργασία αυτή εκτελείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως του υπευθύνου της επεξεργασίας, κατά την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 (βλ., υπ’ αυτή την έννοια, απόφαση της 13ης Μαΐου 2014, Google Spain και Google, C-131/12, EU:C:2014:317, σκέψεις 55 και 56).

61      Από τα ανωτέρω έπεται ότι, δεδομένου ότι, δυνάμει του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το γερμανικό δίκαιο είναι εφαρμοστέο επί της επίμαχης στην υπόθεση της κύριας δίκης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η γερμανική αρχή ελέγχου ήταν αρμόδια, συμφώνως προς το άρθρο 28, παράγραφος 1, της οδηγίας αυτής, να εφαρμόσει το δίκαιο αυτό επί της εν λόγω επεξεργασίας.

62      Κατά συνέπεια, η ως άνω αρχή ελέγχου ήταν αρμόδια, προς τον σκοπό της διασφαλίσεως, στο γερμανικό έδαφος, της τηρήσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, να ασκήσει έναντι της Facebook Germany το σύνολο των εξουσιών που διαθέτει δυνάμει των εθνικών διατάξεων περί μεταφοράς του άρθρου 28, παράγραφος 3, της οδηγίας 95/46 στην εθνική έννομη τάξη.

63      Πρέπει ακόμη να διευκρινιστεί ότι το γεγονός, στο οποίο έδωσε έμφαση το αιτούν δικαστήριο με το τρίτο ερώτημά του, ότι οι στρατηγικές λήψεως αποφάσεων όσον αφορά τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικών με πρόσωπα τα οποία κατοικούν στο έδαφος της Ένωσης καθορίζονται από τη μητρική εταιρία που είναι εγκαταστημένη σε τρίτη χώρα, εν προκειμένω την Facebook Inc., δεν είναι ικανό να θέσει εν αμφιβόλω την αρμοδιότητα της αρχής ελέγχου που υπάγεται στο δίκαιο ενός κράτους μέλους έναντι εγκαταστάσεως που διαθέτει ο υπεύθυνος της επεξεργασίας των εν λόγω δεδομένων στο έδαφος του ίδιου αυτού κράτους.

64      Κατόπιν των προεκτεθέντων, στο τρίτο και στο τέταρτο ερώτημα πρέπει να δοθεί η απάντηση ότι τα άρθρα 4 και 28 της οδηγίας 95/46 έχουν την έννοια ότι, όταν μια επιχείρηση εγκατεστημένη εκτός της Ένωσης διαθέτει πλείονες εγκαταστάσεις εντός διαφόρων κρατών μελών, η αρχή ελέγχου ενός κράτους μέλους δύναται αρμοδίως να ασκήσει τις εξουσίες που της παρέχει το άρθρο 28, παράγραφος 3, της οδηγίας αυτής, έναντι εγκαταστάσεως της ως άνω επιχειρήσεως ευρισκόμενης στο έδαφος του κράτους μέλους αυτού, μολονότι, δυνάμει της ενδοομιλικής κατανομής δραστηριοτήτων, αφενός, η εγκατάσταση αυτή είναι επιφορτισμένη αποκλειστικώς με την πώληση διαφημιστικού χώρου και με άλλες δραστηριότητες μάρκετινγκ στο έδαφος του εν λόγω κράτους μέλους και, αφετέρου, αποκλειστικώς υπεύθυνη για τη συλλογή και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, σε ολόκληρο το έδαφος της Ένωσης, είναι εγκατάσταση ευρισκόμενη σε άλλο κράτος μέλος.

 Επί του πέμπτου και έκτου ερωτήματος

65      Με το πέμπτο και το έκτο ερώτημα, τα οποία πρέπει να συνεξεταστούν, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 4, παράγραφος 1, στοιχείο αʹ, καθώς και το άρθρο 28, παράγραφοι 3 και 6, της οδηγίας 95/46 έχουν την έννοια ότι, σε περίπτωση που η αρχή ελέγχου κράτους μέλους προτίθεται να ασκήσει έναντι φορέα εγκατεστημένου στο έδαφος του κράτους μέλους αυτού τις εξουσίες παρεμβάσεως που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας αυτής, λόγω παραβάσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα από τρίτο υπεύθυνο επεξεργασίας των δεδομένων αυτών που έχει την έδρα του σε άλλο κράτος μέλος, η εν λόγω αρχή ελέγχου είναι αρμόδια να εκτιμήσει, αυτοτελώς σε σχέση με την αρχή ελέγχου του τελευταίου αυτού κράτους μέλους, τη νομιμότητα της προαναφερθείσας επεξεργασίας δεδομένων και δύναται να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει έναντι του φορέα που είναι εγκατεστημένος στο έδαφος της δικαιοδοσίας της χωρίς προηγουμένως να καλέσει την αρχή ελέγχου του άλλου κράτους μέλους να παρέμβει.

66      Προκειμένου να δοθεί απάντηση στα ερωτήματα αυτά, υπενθυμίζεται ότι, όπως προκύπτει από την απάντηση που δόθηκε στο πρώτο και στο δεύτερο προδικαστικό ερώτημα, το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46 έχει την έννοια ότι δεν αποκλείει, υπό περιστάσεις όπως αυτές της υποθέσεως της κύριας δίκης, να ευθύνεται, σε περίπτωση παραβάσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, ένας φορέας, όπως η Wirtschaftsakademie, υπό την ιδιότητα του διαχειριστή σελίδας στο Facebook.

67      Επομένως, δυνάμει του άρθρου 4, παράγραφος 1, στοιχείο αʹ, καθώς και του άρθρου 28, παράγραφοι 1 και 3, της οδηγίας 95/46, η αρχή ελέγχου του κράτους μέλους στο οποίο είναι εγκατεστημένος ο φορέας αυτός είναι αρμόδια να εφαρμόσει το εθνικό της δίκαιο και, ως εκ τούτου, να κάνει χρήση, έναντι του εν λόγω φορέα, όλων των εξουσιών που της παρέχει το εθνικό αυτό δίκαιο, συμφώνως προς το άρθρο 28, παράγραφος 3, της οδηγίας αυτής.

68      Όπως προβλέπει το άρθρο 28, παράγραφος 1, δεύτερο εδάφιο, της εν λόγω οδηγίας, οι αρχές ελέγχου που επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφος των κρατών μελών στα οποία υπάγονται, των διατάξεων που έχουν θεσπιστεί από τα κράτη μέλη κατ’ εφαρμογήν της ίδιας οδηγίας, ασκούν με πλήρη ανεξαρτησία τα καθήκοντα που τους ανατίθενται. Η υποχρέωση αυτή απορρέει επίσης από το πρωτογενές δίκαιο της Ένωσης, ιδίως από το άρθρο 8, παράγραφος 3, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και από το άρθρο 16, παράγραφος 2, ΣΛΕΕ (βλ., υπ’ αυτή την έννοια, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C-362/14, EU:C:2015:650, σκέψη 40).

69      Εξάλλου, μολονότι, δυνάμει του άρθρου 28, παράγραφος 6, δεύτερο εδάφιο, της οδηγίας 95/46, οι αρχές ελέγχου συνεργάζονται μεταξύ τους στο μέτρο που είναι αναγκαίο για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή όλων των χρήσιμων πληροφοριών, η ίδια αυτή οδηγία δεν προβλέπει κανένα κριτήριο προτεραιότητας σε σχέση με την παρέμβαση των διαφόρων εμπλεκόμενων αρχών ούτε επιβάλλει υποχρέωση στην αρχή ελέγχου ενός κράτους μέλους να συμμορφωθεί προς την εκτίμηση που έχει, ενδεχομένως, διατυπώσει η αρχή ελέγχου άλλου κράτους μέλους.

70      Επομένως, ουδόλως υποχρεούται η αρχή ελέγχου που αναγνωρίζεται ως αρμόδια δυνάμει του εθνικού της δικαίου να υιοθετήσει τη λύση που έχει δεχθεί μια άλλα αρχή ελέγχου σε ανάλογη περίπτωση.

71      Υπενθυμίζεται συναφώς ότι, δεδομένου ότι οι εθνικές αρχές ελέγχου είναι, κατά το άρθρο 8, παράγραφος 3, του Χάρτη των Θεμελιωδών Δικαιωμάτων και το άρθρο 28 της οδηγίας 95/46, επιφορτισμένες με τον έλεγχο της τηρήσεως των κανόνων της Ένωσης περί προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, κάθε εθνική αρχή είναι αρμόδια να ελέγχει αν η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο έδαφος του κράτους μέλους στο οποίο υπάγεται συνάδει προς τις απαιτήσεις που ορίζει η οδηγία 95/46 (βλ., υπ’ αυτή την έννοια, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C-362/14, EU:C:2015:650, σκέψη 47).

72      Λαμβανομένου υπόψη ότι το άρθρο 28 της οδηγίας 95/46 εφαρμόζεται, ως εκ της φύσεώς του, σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ακόμη και αν έχει εκδοθεί απόφαση από αρχή ελέγχου άλλου κράτους μέλους, η αρχή ελέγχου στην οποία ορισμένο πρόσωπο έχει υποβάλει αίτηση για την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που το αφορούν, οφείλει να εξετάζει, με πλήρη ανεξαρτησία, αν η επεξεργασία των δεδομένων αυτών συνάδει προς τις απαιτήσεις που ορίζει η εν λόγω οδηγία (βλ., υπ’ αυτή την έννοια, απόφαση της 6ης Οκτωβρίου 2015, Schrems, C-362/14, EU:C:2015:650, σκέψη 57).

73      Από τα ανωτέρω έπεται ότι, εν προκειμένω, δυνάμει του συστήματος που έχει καθιερώσει η οδηγία 95/46, η ULD ήταν αρμόδια να εκτιμήσει, αυτοτελώς σε σχέση με τις εκτιμήσεις που διατύπωσε η ιρλανδική αρχή ελέγχου, τη νομιμότητα της επίμαχης στην υπόθεση της κύριας δίκης επεξεργασίας δεδομένων.

74      Κατά συνέπεια, στο πέμπτο και στο έκτο ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, και το άρθρο 28, παράγραφοι 3 και 6, της οδηγίας 95/46 έχουν την έννοια ότι, σε περίπτωση που η αρχή ελέγχου κράτους μέλους προτίθεται να ασκήσει έναντι φορέα εγκατεστημένου στο έδαφος του κράτους μέλους αυτού τις εξουσίες παρεμβάσεως που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας αυτής, λόγω παραβάσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα από τρίτο υπεύθυνο της επεξεργασίας των δεδομένων αυτών που έχει την έδρα του σε άλλο κράτος μέλος, η εν λόγω αρχή ελέγχου είναι αρμόδια να εκτιμήσει, αυτοτελώς σε σχέση με την αρχή ελέγχου του τελευταίου αυτού κράτους μέλους, τη νομιμότητα της προαναφερθείσας επεξεργασίας δεδομένων και δύναται να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει έναντι του φορέα που είναι εγκατεστημένος στο έδαφος της δικαιοδοσίας της χωρίς προηγουμένως να καλέσει την αρχή ελέγχου του άλλου κράτους μέλους να παρέμβει.

 Επί των δικαστικών εξόδων

75      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:

1)      Κατ’ ορθή ερμηνεία του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, η έννοια «υπεύθυνος της επεξεργασίας», όπως ορίζεται με τη διάταξη αυτή, καλύπτει και τον διαχειριστή σελίδας που φιλοξενείται σε μέσο κοινωνικής δικτυώσεως.

2)      Τα άρθρα 4 και 28 της οδηγίας 95/46 έχουν την έννοια ότι, όταν μια επιχείρηση εγκατεστημένη εκτός της Ευρωπαϊκής Ένωσης διαθέτει πλείονες εγκαταστάσεις εντός διαφόρων κρατών μελών, η αρχή ελέγχου ενός κράτους μέλους δύναται αρμοδίως να ασκήσει τις εξουσίες που της παρέχει το άρθρο 28, παράγραφος 3, της οδηγίας αυτής, έναντι εγκαταστάσεως της ως άνω επιχειρήσεως ευρισκόμενης στο έδαφος του κράτους μέλους αυτού, μολονότι, δυνάμει της ενδοομιλικής κατανομής δραστηριοτήτων, αφενός, η εγκατάσταση αυτή είναι επιφορτισμένη αποκλειστικώς με την πώληση διαφημιστικού χώρου και με άλλες δραστηριότητες μάρκετινγκ στο έδαφος του εν λόγω κράτους μέλους και, αφετέρου, αποκλειστικώς υπεύθυνη για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα, σε ολόκληρο το έδαφος της Ευρωπαϊκής Ένωσης, είναι εγκατάσταση ευρισκόμενη σε άλλο κράτος μέλος.

3)      Το άρθρο 4, παράγραφος 1, στοιχείο αʹ, και το άρθρο 28, παράγραφοι 3 και 6, της οδηγίας 95/46 έχουν την έννοια ότι, σε περίπτωση που η αρχή ελέγχου κράτους μέλους προτίθεται να ασκήσει έναντι φορέα εγκατεστημένου στο έδαφος του κράτους μέλους αυτού τις εξουσίες παρεμβάσεως που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας αυτής, λόγω παραβάσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα από τρίτο υπεύθυνο της επεξεργασίας των δεδομένων αυτών που έχει την έδρα του σε άλλο κράτος μέλος, η εν λόγω αρχή ελέγχου είναι αρμόδια να εκτιμήσει, αυτοτελώς σε σχέση με την αρχή ελέγχου του τελευταίου αυτού κράτους μέλους, τη νομιμότητα της προαναφερθείσας επεξεργασίας δεδομένων και δύναται να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει έναντι του φορέα που είναι εγκατεστημένος στο έδαφος της δικαιοδοσίας της χωρίς προηγουμένως να καλέσει την αρχή ελέγχου του άλλου κράτους μέλους να παρέμβει.

(υπογραφές)


*      Γλώσσα διαδικασίας: η γερμανική.