Language of document : ECLI:EU:C:2018:388

Privremena verzija

PRESUDA SUDA (veliko vijeće)

5. lipnja 2018.(*)

„Zahtjev za prethodnu odluku – Direktiva 95/46/EZ – Osobni podaci – Zaštita pojedinaca u vezi s obradom tih podataka – Nalog za deaktivaciju Facebook stranice (stranica obožavatelja) koja omogućava prikupljanje i obradu određenih podataka u vezi s njezinim posjetiteljima – Članak 2. točka (d) – Nadzornik obrade osobnih podataka – Članak 4. – Primjenjivo nacionalno pravo – Članak 28. – Nacionalna nadzorna tijela – Ovlast za posredovanje tih tijela”

U predmetu C-210/16,

povodom zahtjeva za prethodnu odluku na temelju članka 267. UFEU-a, koji je uputio Bundesverwaltungsgericht (Savezni upravni sud, Njemačka), odlukom od 25. veljače 2016., koju je Sud zaprimio 14. travnja 2016., u postupku

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

protiv

Wirtschaftsakademie Schleswig-Holstein GmbH,

uz sudjelovanje:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

SUD (veliko vijeće),

u sastavu: K. Lenaerts, predsjednik, A. Tizzano (izvjestitelj), potpredsjednik, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský i E. Levits, predsjednici vijeća, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras i E. Regan, suci,

nezavisni odvjetnik: Y. Bot,

tajnik: C. Strömholm, administratorica,

uzimajući u obzir pisani postupak i nakon rasprave održane 27. lipnja 2017.,

uzimajući u obzir očitovanja koja su podnijeli:

–        za Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, U. Karpenstein i M. Kottmann, Rechtsanwälte,

–        za Wirtschaftsakademie Schleswig-Holstein GmbH, C. Wolff, Rechtsanwalt,

–        za Facebook Ireland Ltd, C. Eggers, H.-G. Kamann i M. Braun, Rechtsanwälte, te I. Perego, avvocato,

–        za njemačku vladu, J. Möller, u svojstvu agenta,

–        za belgijsku vladu, L. Van den Broeck, C. Pochet, P. Cottin i J.-C. Halleux, u svojstvu agenata,

–        za češku vladu, M. Smolek, J. Vláčil i L. Březinová, u svojstvu agenata,

–        za Irsku, M. Browne, L. Williams, E. Creedon, G. Gilmore i A. Joyce, u svojstvu agenata,

–        za talijansku vladu, G. Palmieri, u svojstvu agenta, uz asistenciju P. Gentilija, avvocato dello Stato,

–        za nizozemsku vladu, C. S. Schillemans i K. Bulterman, u svojstvu agenata,

–        za finsku vladu, J. Heliskoski, u svojstvu agenta,

–        za Europsku komisiju, H. Krämer i D. Nardi, u svojstvu agenata,

saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 24. listopada 2017.,

donosi sljedeću

Presudu

1        Zahtjev za prethodnu odluku odnosi se na tumačenje Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.).

2        Zahtjev je podnesen u okviru spora između Unabhängiges Landeszentruma für Datenschutz Schleswig-Holstein (neovisno regionalno tijelo za zaštitu podataka savezne zemlje Schleswig-Holstein, Njemačka; u daljnjem tekstu: ULD) i Wirtschaftsakademie Schleswig-Holstein GmbH, društva privatnog prava specijaliziranog u području obrazovanja (u daljnjem tekstu: Wirtschaftsakademie), u vezi sa zakonitošću ULD-ova naloga potonjem da deaktivira svoju stranicu obožavatelja na društvenoj mreži Facebook (u daljnjem tekstu: Facebook).

 Pravni okvir

 Pravo Unije

3        Uvodne izjave 10., 18., 19. i 26. Direktive 95/46 određuju:

„(10)      budući da je cilj nacionalnog zakonodavstva u vezi s obradom osobnih podataka zaštititi temeljna prava i slobode, posebno pravo na privatnost koje je priznato u članku 8. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda te u općim načelima prava [Unije]; budući da iz tog razloga usklađivanje tih zakona ne smije dovesti do bilo kakvog smanjenja zaštite koju pružaju, nego naprotiv moraju težiti tome da osiguraju visoku razinu zaštite u [Uniji];

[...]

(18)      budući da [se], kako bi se osiguralo da pojedinci nisu lišeni zaštite na koju imaju pravo na temelju ove direktive, bilo kakva [svaka] obrada osobnih podataka u [Uniji] mora […] izvršavati u skladu sa zakonodavstvom jedne od država članica; budući da se u vezi s time obrada za koju je odgovoran nadzornik s poslovnim nastanom u državi članici treba urediti zakonodavstvom te države;

(19)      budući da poslovni nastan na području države članice podrazumijeva učinkovito i stvarno provođenje aktivnosti kroz stabilne dogovore [posredstvom stalne poslovne jedinice]; budući da pravni oblik takvog poslovnog nastana, bilo da je to podružnica ili društvo kći s pravnom osobnošću, nije odlučujući činitelj u tome smislu; budući da […] pojedini nadzornik[, kada] ima poslovni nastan na području nekoliko država članica, posebno putem društava kćeri, […] mora osigurati, kako bi spriječio izbjegavanje nacionalnih propisa, da svaki poslovni nastan ispunjava obveze koje nalaže nacionalno zakonodavstvo koje se primjenjuje na njegove aktivnosti;

[...]

(26)      budući da se načela zaštite moraju primjenjivati na sve podatke u vezi s utvrđenim osobama ili osobama koje se mogu utvrditi; budući da je, kako bi se utvrdilo može li se osobu utvrditi potrebno uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti da utvrdi navedenu osobu; budući da se načela zaštite ne primjenjuju na podatke koji su anonimni na takav način da se osoba čiji se podaci obrađuju više ne može utvrditi; [...]”

4        Člankom 1. Direktive 95/46, naslovljenim „Cilj Direktive”, propisano je:

„1.      U skladu s ovom direktivom, države članice štite temeljna prava i slobode fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka.

2.      Države članice ne ograničavaju ni zabranjuju slobodni prijenos osobnih podataka između država članica iz razloga povezanih sa zaštitom osiguranom u stavku 1. ovog članka.”

5        Članak 2. te direktive, naslovljen „Definicije”, glasi kako slijedi:

„U smislu ove direktive:

[...]

(b)      ‚obrada osobnih podataka’ (‚obrada’) znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne, kao što je prikupljanje, snimanje, organiziranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, blokiranje, brisanje ili uništavanje;

[...]

(d)      ‚nadzornik’ znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; kada su svrha i načini obrade utvrđeni nacionalnim zakonodavstvom ili pravom [Unije], nadzornik ili posebna mjerila za njegovo imenovanje mogu se utvrditi nacionalnim zakonodavstvom ili pravom [Unije];

(e)      ‚obrađivač’ znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

(f)      ‚treća strana’ znači bilo koja fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo osim osobe čiji se podaci obrađuju, nadzornika, obrađivača i osoba koje su na temelju izravne ovlasti nadzornika ili obrađivača ovlaštene obrađivati podatke;

[...]”

6        Članak 4. spomenute direktive, naslovljen „Primjena nacionalnog prava”, u stavku 1. propisuje:

„Svaka država članica na obradu osobnih podataka primjenjuje nacionalne propise koje donese u skladu s ovom direktivom kada:

(a)      se obrada provodi u smislu [u okviru] aktivnosti poslovnog nastana nadzornika na području države članice; kada taj nadzornik ima poslovni nastan na području nekoliko država članica, on mora poduzeti potrebne mjere kako bi osigurao da svaki od tih poslovnih nastana ispunjava obveze propisane važećim nacionalnim pravom;

(b)      nadzornik nema poslovni nastan na području države članice, nego na mjestu na kojem se njezino nacionalno pravo primjenjuje na temelju međunarodnog javnog prava;

(c)      nadzornik nema poslovni nastan na području [Unije] i u svrhu obrade osobnih podataka koristi opremu, bilo da je automatizirana ili ne, smještenu na području navedene države članice, ako se takva oprema ne koristi isključivo u svrhe prijenosa preko područja [Unije].”

7        Članak 17. Direktive 95/46, naslovljen „Sigurnost obrade”, u stavcima 1. i 2. određuje:

„1.      Države članice utvrđuju da nadzornik mora provoditi odgovarajuće tehničke i organizacijske mjere kako bi zaštitio osobne podatke od slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže te protiv svih drugih nezakonitih oblika obrade.

Uzimajući u obzir najnovija dostignuća i trošak njihove provedbe, takve mjere osiguravaju razinu sigurnosti koja odgovara rizicima obrade i prirodi podataka koje je potrebno zaštititi.

2.      Države članice utvrđuju da nadzornik mora, kada se obrada provodi u njegovo ime, izabrati obrađivača koji daje dovoljna jamstva u vezi mjera tehničke sigurnosti [i organizacijskih mjera] kojima je uređena obrada koju je potrebno izvršiti, te da osigura poštivanje tih mjera.”

8        Članak 24. te direktive, naslovljen „Sankcije”, predviđa:

„Države članice donose odgovarajuće mjere kako bi osigurale potpunu provedbu odredbi ove direktive i posebno propisuju sankcije koje se nameću u slučaju kršenja odredbi donesenih u skladu s ovom direktivom.”

9        Članak 28. navedene direktive, naslovljen „Nadzorno tijelo”, glasi kako slijedi:

„1.      Svaka država članica osigurava da je jedno ili više javnih tijela na njezinu području odgovorno za nadzor primjene odredbi koje su donijele države članice u skladu s ovom direktivom.

Ta tijela u provedbi funkcija koje su im povjerene djeluju potpuno neovisno.

2.      Svaka država članica osigurava da se pri izradi zakonodavnih i upravnih akata u vezi zaštite prava i sloboda pojedinaca u odnosu na obradu osobnih podataka savjetuju nadzorna tijela.

3.      Svako tijelo osobito dobiva:

–        istražne ovlasti, kao što je ovlast pristupa podacima koji su predmet postupaka obrade i ovlasti za prikupljanje svih podataka potrebnih za izvršavanje svojih nadzornih dužnosti,

–        učinkovite ovlasti za posredovanje, kao što je na primjer davanje mišljenja prije nego li se izvrše postupci obrade, u skladu s člankom 20. ove direktive, te osiguranje odgovarajuće objave takvih mišljenja te ovlasti naređivanja blokiranja, brisanja ili uništavanja podataka, nametanja privremene ili konačne zabrane obrade, upozoravanja ili opominjanja nadzornika ili upućivanja predmeta nacionalnim parlamentima ili drugim političkim institucijama,

–        ovlast za sudjelovanje u sudskim postupcima ako su prekršene nacionalne odredbe donesene u skladu s ovom direktivom ili za upoznavanje sudskih tijela [s] tim kršenjima.

Protiv odluka nadzornog tijela mogu se izjaviti žalbe putem sudova.

[...]

6.      Svako nadzorno tijelo je na području svoje države članice nadležno za provedbu ovlasti koje su mu dodijeljene u skladu sa stavkom 3. ovog članka, neovisno o tome koje se nacionalno pravo primjenjuje na tu obradu. Svako tijelo može zatražiti tijelo druge države članice da provodi svoje ovlasti.

Nadzorna tijela međusobno surađuju u mjeri potrebnoj za izvršavanje svojih ovlasti, posebno razmjenom korisnih podataka.

[...]”

 Njemačko pravo

10      Članak 3. stavak 7. Bundesdatenschutzgesetza (Savezni zakon o zaštiti podataka), u verziji koja se primjenjuje na činjenice u glavnom postupku (u daljnjem tekstu: BDSG), glasi kako slijedi:

„Odgovorno tijelo znači svaka osoba ili svako tijelo koje prikuplja, obrađuje ili upotrebljava osobne podatke za svoj račun ili putem posrednika koji je obrađivač.”

11      Članak 11. BDSG-a, naslovljen „Prikupljanje, obrada ili upotreba osobnih podataka putem posrednika koji je obrađivač”, određuje:

„(1)      Ako se osobni podaci prikupljaju, obrađuju ili upotrebljavaju putem posrednika koji je obrađivač, nadzornik je odgovoran za poštovanje odredbi ovog zakona i drugih propisa o zaštiti podataka. [...]

(2)      Obrađivač mora biti pažljivo odabran, vodeći osobito računa o prikladnosti tehničkih i organizacijskih mjera koje provodi. Obrada putem posrednika zahtijeva pisani oblik, pri čemu se podrazumijeva da valja detaljno urediti, među ostalim, sljedeće: [...]

Nadzornik mora prije početka obrade podataka, a nakon toga redovito, osigurati poštovanje tehničkih i organizacijskih mjera koje provodi obrađivač. Rezultat se mora dokumentirati.

[...]”

12      Člankom 38. stavkom 5. BDSG-a određuje se:

„Kako bi se osiguralo poštovanje ovog zakona i drugih odredbi o zaštiti podataka, nadzorno tijelo može odrediti mjere za otklanjanje utvrđenih povreda u prikupljanju, obradi ili uporabi osobnih podataka ili tehničkih ili organizacijskih propusta. U slučaju teških povreda ili propusta, među ostalim, kada predstavljaju osobitu opasnost od povrede prava na privatni život, to tijelo može zabraniti prikupljanje, obradu ili uporabu ili čak primjenu određenih postupaka, kada povrede ili propusti nisu pravodobno otklonjeni, protivno nalogu iz prve rečenice i unatoč primjeni periodične novčane kazne. To tijelo može zatražiti opoziv službenika za zaštitu podataka ako nije dovoljno stručan i pouzdan za izvršenje svojih zadaća.”

13      Članak 12. Telemediengesetza (Zakon o elektroničkim medijima) od 26. veljače 2007. (BGBl. 2007. I, str. 179.; u daljnjem tekstu: TMG) glasi kako slijedi:

„(1)      Pružatelj usluga ne smije prikupljati niti upotrebljavati osobne podatke u svrhu stavljanja na raspolaganje elektroničkim medijima, osim ako se to dopušta ovim zakonom ili drugim pravnim instrumentom koji se odnosi izričito na elektroničke medije ili ako je korisnik na to pristao.

[...]

(3)      Ako odredbama nije drukčije predviđeno, važeće zakonodavstvo kojim se uređuje zaštita osobnih podataka treba primijeniti čak i ako podaci nisu predmet automatske obrade.”

 Glavni postupak i prethodna pitanja

14      Wirtschaftsakademie pruža usluge osposobljavanja posredstvom stranice obožavatelja koja se nalazi na Facebooku.

15      Stranice obožavatelja korisnički su računi kojima na Facebooku mogu upravljati pojedinci ili poduzetnici. Da bi to učinio, autor spomenute stranice, nakon što se registrirao na Facebooku, može se poslužiti platformom koju je ta društvena mreža pripremila kako bi se predstavio njezinim korisnicima i osobama koje posjećuju stranicu obožavatelja te objavljivao obavijesti svih vrsta na tržištu medija i javnog mnijenja. Administratori stranica obožavatelja mogu dobiti anonimne statističke podatke o njihovim posjetiteljima s pomoću alata Facebook Insight, koji im Facebook besplatno stavlja na raspolaganje u okviru uvjeta korištenja koji se ne mogu mijenjati. Ti se podaci prikupljaju zahvaljujući tekstualnim datotekama (u daljnjem tekstu: kolačići) koje sadržavaju jedinstveni identifikacijski broj, a koje su aktivne tijekom dvije godine i koje Facebook pohranjuje na tvrdom disku računala ili na nekom drugom mediju posjetitelja stranice obožavatelja. Identifikacijski broj, koji se može povezati s podacima o spajanju korisnika registriranih na Facebooku, prikuplja se i obrađuje u trenutku otvaranja stranica obožavatelja. U tom pogledu iz odluke kojom se upućuje prethodno pitanje proizlazi da ni Wirtschaftsakademie ni Facebook Ireland Ltd nisu spominjali radnju pohranjivanja i funkcioniranje tog kolačića odnosno uzastopnu obradu podataka, u najmanju ruku tijekom razdoblja relevantnog za glavni postupak.

16      Odlukom od 3. studenoga 2011. (u daljnjem tekstu: pobijana odluka) ULD, u svojstvu nadzornog tijela u smislu članka 28. Direktive 95/46, zaduženog da na području savezne zemlje Schleswig-Holstein (Njemačka) nadzire provedbu propisa koje je Savezna Republika Njemačka donijela na temelju te direktive, naložio je društvu Wirtschaftsakademie, u skladu s člankom 38. stavkom 5. prvom rečenicom BDSG-a, da deaktivira stranicu obožavatelja koju je izradio na Facebooku, na adresi www.facebook.com/wirtschaftsakademie, pod prijetnjom izricanja periodične novčane kazne u slučaju neizvršenja u propisanom roku, uz obrazloženje da ni on ni Facebook nisu obavještavali posjetitelje stranice obožavatelja o tome da potonji s pomoću kolačića prikuplja njihove osobne podatke i da ih potom obrađuje. Wirtschaftsakademie izjavio je prigovor protiv te odluke u kojem je u biti istaknuo da, s obzirom na primjenjivo pravo o zaštiti podataka, nije bio odgovoran ni za obradu podataka koju provodi Facebook ni za kolačiće koje je potonji instalirao.

17      Odlukom od 16. prosinca 2011. ULD je odbio taj prigovor smatrajući da je odgovornost društva Wirtschaftsakademie kao pružatelja usluga utvrđena u skladu s člankom 3. stavkom 3. točkom 4. i člankom 12. stavkom 1. TMG-a, u vezi s člankom 3. stavkom 7. BDSG-a. ULD je upozorio da je izradom stranice obožavatelja Wirtschaftsakademie aktivno i svojevoljno pridonio Facebookovu prikupljanju osobnih podataka koji se odnose na njezine posjetitelje, a koje je ta društvena mreža spomenutom društvu stavila na raspolaganje u obliku statistika.

18      Wirtschaftsakademie podnio je tužbu protiv te odluke Verwaltungsgerichtu (Upravni sud, Njemačka), ističući da mu se ne mogu pripisati Facebookovi postupci obrade osobnih podataka te da spomenutu društvenu mrežu nije zadužio, u smislu članka 11. BDSG-a, da provodi obradu podataka koju bi nadzirao ili na koju bi mogao utjecati. Wirtschaftsakademie iz toga zaključuje da ULD nije smio protiv njega donositi pobijanu odluku, već je morao postupati izravno protiv Facebooka.

19      Presudom od 9. listopada 2013. Verwaltungsgericht (Upravni sud) poništio je pobijanu odluku, u bitnome tvrdeći da administrator stranice obožavatelja na Facebooku nije odgovorno tijelo u smislu članka 3. stavka 7. BDSG-a te da Wirtschaftsakademie stoga nije mogao biti adresat mjere poduzete na temelju članka 38. stavka 5. BDSG-a.

20      Oberverwaltungsgericht (Visoki upravni sud, Njemačka) odbio je kao neosnovanu ULD-ovu žalbu protiv navedene presude. Taj je sud u bitnome smatrao da je zabrana obrade podataka koja je izrečena u pobijanoj odluci nezakonita, s obzirom na to da se u drugoj rečenici članka 38. stavka 5. BDSG-a predviđa postupan proces, u čijoj se prvoj fazi dopušta samo donošenje mjera za otklanjanje povreda utvrđenih tijekom obrade podataka. Trenutačna zabrana obrade podataka moguća je samo ako je postupak obrade u potpunosti nezakonit te se povreda može otkloniti samo njegovim prekidom. Međutim, prema mišljenju Oberverwaltungsgerichta (Visoki upravni sud), u ovom predmetu to nije slučaj jer je Facebook mogao okončati povrede koje navodi ULD.

21      Oberverwaltungsgericht (Visoki upravni sud) dodaje da je pobijana odluka nezakonita i zato što se nalog na temelju članka 38. stavka 5. BDSG-a može izreći samo protiv odgovornog tijela u smislu članka 3. stavka 7. BDSG-a, a to, prema njegovu mišljenju, kada je riječ o podacima koje je prikupio Facebook, nije Wirtschaftsakademie. Naime, samo Facebook odlučuje o svrsi i načinima prikupljanja i obrade osobnih podataka koji se upotrebljavaju za funkciju Facebook Insight, pri čemu Wirtschaftsakademie prima isključivo anonimne statističke podatke.

22      ULD podnio je prijedlog za ponavljanje postupka Bundesverwaltungsgerichtu (Savezni upravni sud, Njemačka), ističući, među ostalim argumentima, povredu članka 38. stavka 5. BDSG-a te više postupovnih pogrešaka prilikom donošenja odluke žalbenog suda. On smatra da se povreda koju je počinio Wirtschaftsakademie sastoji u tome što je za izradu, smještaj na poslužitelju i održavanje internetske stranice zadužio pružatelja usluga, u ovom slučaju Facebook Ireland, koji je neprikladan jer ne poštuje primjenjivo pravo o zaštiti podataka. ULD stoga smatra da je cilj naloga iz pobijane odluke – kojim se od društva Wirtschaftsakademie zahtijeva da deaktivira svoju stranicu obožavatelja – otklanjanje te povrede jer se time navedenom društvu zabranjuje daljnja upotreba Facebookove infrastrukture kao tehničke osnove za njegovu internetsku stranicu.

23      Bundesverwaltungsgericht (Savezni upravni sud) dijeli mišljenje Oberverwaltungsgerichta (Visoki upravni sud) da se sâm Wirtschaftsakademie ne može smatrati odgovornim za obradu podataka u smislu članka 3. stavka 7. BDSG-a odnosno članka 2. točke (d) Direktive 95/46. Prvonavedeni sud smatra, međutim, da taj pojam treba u načelu široko tumačiti, u interesu učinkovite zaštite prava na privatnost, kao što je to Sud prihvatio u novijoj sudskoj praksi u tom području. S druge strane, on dvoji o ULD-ovim ovlastima, konkretno u odnosu na Facebook Germany, s obzirom na to da je za prikupljanje i obradu osobnih podataka na razini Unije unutar Facebook grupe odgovoran Facebook Ireland. Naposljetku, nije siguran na koji način ocjene zakonitosti obrade predmetnih osobnih podataka što ih je donijelo nadzorno tijelo odgovorno za Facebook Ireland utječu na izvršavanje ULD-ovih ovlasti za posredovanje.

24      U tim je okolnostima Bundesverwaltungsgericht (Savezni upravni sud) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

„1.      Treba li članak 2. točku (d) Direktive [95/46] tumačiti na način da se njime konačno i iscrpno uređuje odgovornost u slučaju povrede zaštite podataka ili se pak u okviru ‚odgovarajućih mjera’ iz članka 24. [te direktive] i ‚učinkovitih ovlasti za posredovanje’ iz članka 28. stavka 3. druge alineje [te direktive] u višestupanjskim odnosima između pružatelja informacija može prihvatiti odgovornost tijela koje u smislu članka 2. točke (d) [navedene direktive] nije nadzornik obrade podataka na temelju izbora administratora za svoju ponudu informacija?

2.      Proizlazi li, a contrario, iz obveze koju države članice imaju u skladu s člankom 17. stavkom 2. Direktive [95/46] da se prilikom obrade podataka koju izvršava obrađivač mora zahtijevati da nadzornik ‚[odabere] obrađivača koji daje dovoljna jamstva u vezi mjera tehničke sigurnosti [i organizacijskih mjera] kojima je uređena obrada koju je potrebno izvršiti’, da u okviru drugih korisničkih odnosa koji ne podrazumijevaju nikakvu obradu podataka koju izvršava obrađivač u smislu članka 2. točke (e) [te direktive] ne postoji nikakva obveza pažljivog izbora i da se ni ta obveza ne [može] uvesti na temelju nacionalnog prava?

3.      Kada društvo majka sa sjedištem izvan Europske unije u različitim državama članicama ima pravno samostalne poslovne nastane (društva kćeri), je li nadzorno tijelo države članice (u ovom slučaju Njemačke) na temelju članka 4. i članka 28. stavka 6. Direktive [95/46] također ovlašteno za izvršavanje ovlasti koje su mu dodijeljene u skladu s člankom 28. stavkom 3. [te direktive] u odnosu na poslovni nastan na njegovu državnom području, ako je taj poslovni nastan osnovan jedino s ciljem promocije i prodaje oglašivačkog prostora kao i ostalih marketinških mjera namijenjenih stanovnicima te države članice, dok samostalni poslovni nastan (društvo kći) sa sjedištem u drugoj državi članici (u ovom slučaju Irskoj), na temelju podjele zadaća unutar grupe, ima isključivu odgovornost prikupljanja i obrade osobnih podataka na cjelokupnom području Europske unije te stoga i u drugoj državi članici (u ovom slučaju Njemačkoj), ako odluku o obradi podatka stvarno donosi društvo majka?

4.      Treba li članak 4. stavak 1. i članak 28. stavak 3. Direktive [95/46] tumačiti na način da u slučajevima u kojima nadzornik ima poslovni nastan na državnom području jedne države članice (u ovom slučaju Irske), a drugi pravno samostalni poslovni nastan postoji na državnom području druge države članice (u ovom slučaju Njemačke), čija je zadaća, među ostalim, prodaja oglašivačkog prostora i čija je djelatnost namijenjena stanovnicima te države, nadzorno tijelo nadležno u toj drugoj državi članici (u ovom slučaju Njemačkoj) može donositi mjere i naloge radi provedbe prava koje se primjenjuje na zaštitu podataka, uključujući protiv drugog poslovnog nastana koji prema podjeli zadaća i odgovornosti unutar grupe nije nadzornik obrade podataka (u ovom slučaju u Njemačkoj), ili mjere i naloge u tom slučaju može donositi samo nadzorno tijelo države članice (u ovom slučaju Irske) na čijem državnom području sjedište ima tijelo odgovorno unutar grupe?

5.      Treba li članak 4. stavak 1. točku (a) i članak 28. stavke 3. i 6. Direktive [95/46] tumačiti na način da je u slučajevima u kojima nadzorno tijelo države članice (u ovom slučaju Njemačke) pokreće postupak protiv osobe ili tijela koje obavlja svoje djelatnosti na njezinu državnom području u skladu s člankom 28. stavkom 3. [te direktive] zbog nepažljivog izbora treće osobe uključene u postupak obrade podataka (u ovom slučaju društva Facebook) jer je ta treća osoba povrijedila primjenjivo pravo zaštite podataka, nadzorno tijelo koje intervenira (u ovom slučaju Njemačke) obvezano ocjenom u pogledu prava koje se primjenjuje na zaštitu podataka koje je utvrdilo nadzorno tijelo druge države članice, u kojoj treća osoba, koja je nadzornik obrade podataka, ima poslovni nastan (u ovom slučaju Irska), tako da nije ovlašteno dati drukčiju pravnu ocjenu, ili da nadzorno tijelo koje intervenira (u ovom slučaju Njemačke) smije samostalno ispitivati zakonitost obrade podataka koju je provela treća osoba sa sekundarnim poslovnim nastanom u drugoj državi članici (u ovom slučaju Irskoj)?

6.      U slučaju da [je] nadzorno tijelo koje intervenira (u ovom slučaju Njemačke) ovlašteno samostalno provoditi nadzor: treba li drugu rečenicu članka 28. stavka 6. Direktive [95/46] tumačiti na način da ono može izvršavati stvarne ovlasti za posredovanje, koje su mu dodijeljene u skladu s člankom 28. stavkom 3. [te] direktive, protiv osobe ili tijela s poslovnim nastanom na njegovu državnom području na temelju suodgovornosti za povrede zaštite podataka koje je počinila treća osoba s poslovnim nastanom u drugoj državi članici, samo ako je ono zatražilo od nadzornog tijela te druge države članice (u ovom slučaju Irske) da izvrši svoje ovlasti?”

 O prethodnim pitanjima

 Prvo i drugo pitanje

25      Svojim prvim i drugim pitanjem, koja valja razmotriti zajedno, sud koji je uputio zahtjev u biti želi doznati treba li članak 2. točku (d), članak 17. stavak 2., članak 24. i članak 28. stavak 3. drugu alineju Direktive 95/46 tumačiti na način da, u slučaju povrede pravila o zaštiti osobnih podataka, dopuštaju da se administrator stranice obožavatelja koja se nalazi na društvenoj mreži proglasi odgovornim tijelom zbog odabira da se koristi uslugama te mreže radi širenja svoje ponude informacija.

26      Da bi se odgovorilo na ta pitanja, valja podsjetiti na to da Direktiva 95/46, kao što to proizlazi iz njezina članka 1. stavka 1. i uvodne izjave 10., jamči visoku razinu zaštite temeljnih prava i sloboda fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka (presuda od 11. prosinca 2014., Ryneš, C-212/13, EU:C:2014:2428, t. 27. i navedena sudska praksa).

27      U skladu s tim ciljem, članak 2. točka (d) te direktive široko definira pojam „nadzornik”, tako da on obuhvaća fizičku ili pravnu osobu, javno tijelo, agenciju ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka.

28      Naime, kao što je to Sud već naglasio, cilj je te odredbe da širokom definicijom pojma „nadzornik” osigura učinkovitu i potpunu zaštitu osoba čiji se podaci obrađuju (presuda od 13. svibnja 2014., Google Spain i Google, C-131/12, EU:C:2014:317, t. 34.).

29      Nadalje, budući da – kao što to izričito predviđa članak 2. točka (d) Direktive 95/46 – pojam „nadzornik” obuhvaća tijelo koje „samo ili zajedno s drugima” utvrđuje svrhu i načine obrade osobnih podataka, taj pojam ne upućuje nužno na jedno tijelo te se može odnositi na više sudionika u obradi, pri čemu svaki od njih podliježe odredbama koje se primjenjuju u području zaštite podataka.

30      U predmetnom slučaju valja smatrati da Facebook Inc. i, kada je riječ o Uniji, Facebook Ireland utvrđuju ponajprije svrhu i načine obrade osobnih podataka Facebookovih korisnika i posjetitelja stranica obožavatelja smještenih na toj društvenoj mreži te su stoga obuhvaćeni pojmom „nadzornik” u smislu članka 2. točke (d) Direktive 95/46, što se u ovom predmetu nije dovodilo u pitanje.

31      Da bi se odgovorilo na upućena pitanja, a imajući u vidu navedeno, treba ispitati pridonosi li i u kojoj mjeri administrator stranice obožavatelja koja se nalazi na Facebooku, kao što je to u predmetnom slučaju Wirtschaftsakademie, u okviru spomenute stranice obožavatelja tomu da zajednički s društvima Facebook Ireland i Facebook Inc. utvrdi svrhu i načine obrade osobnih podataka njezinih posjetitelja, zbog čega bi se i on mogao smatrati „nadzornikom” u smislu članka 2. točke (d) Direktive 95/46.

32      U tom pogledu očito je da sve osobe koje na Facebooku namjeravaju izraditi stranicu obožavatelja sklapaju s društvom Facebook Ireland poseban ugovor o izradi te stranice i u tu svrhu prihvaćaju uvjete njezina korištenja, uključujući i dio koji se odnosi na kolačiće, što je na nacionalnom sudu da provjeri.

33      Kao što to proizlazi iz spisa dostavljenog Sudu, obrade podataka o kojima je riječ u glavnom postupku uglavnom se provode na način da Facebook na računalo ili bilo koji drugi uređaj posjetitelja stranice obožavatelja postavi kolačiće s ciljem pohranjivanja informacija na internetskim preglednicima, koji su, ako se ne izbrišu, aktivni tijekom dvije godine. Iz spisa također proizlazi da Facebook u praksi prima, pohranjuje i obrađuje informacije pohranjene u kolačićima osobito onda kada osoba posjećuje „njegove usluge, usluge koje pružaju ostala društva iz njegove grupe i usluge koje pružaju drugi poduzetnici koji se koriste njegovim uslugama”. Nadalje, drugi subjekti, poput Facebookovih partnera ili čak i trećih osoba, „mogu se koristiti kolačićima na Facebookovim uslugama kako bi [izravno nudili usluge toj društvenoj mreži] odnosno poduzetnicima koji se na njoj oglašavaju”.

34      Cilj je spomenutih obrada osobnih podataka, među ostalim, omogućiti da Facebook unaprijedi postojeći sustav oglašavanja na svojoj mreži, a administrator stranice obožavatelja dobije statističke podatke koje na temelju posjeta toj stranici utvrđuje navedena društvena mreža u svrhu upravljanja promidžbom vlastite djelatnosti, što navedenom administratoru omogućuje da se, primjerice, upozna s profilom posjetitelja kojima se svidjela njegova stranica obožavatelja ili se koriste njegovim aplikacijama, kako bi im mogao ponuditi još relevantniji sadržaj i razviti funkcije koje bi im bile još zanimljivije.

35      Međutim, iako sama činjenica da korištenje društvenom mrežom poput Facebooka ne čini njezina korisnika suodgovornim za obradu osobnih podataka koju provodi ta mreža, valja istaknuti da administrator stranice obožavatelja koja se nalazi na Facebooku njezinom izradom omogućava toj društvenoj mreži postavljanje kolačića na računalo ili bilo koji drugi uređaj posjetitelja svoje stranice obožavatelja, bez obzira na to raspolaže li on korisničkim računom na Facebooku.

36      S tim u vezi, iz navoda danih Sudu proizlazi da izrada stranice obožavatelja na Facebooku uključuje i to da njezin administrator utvrdi postavke vodeći osobito računa o svojoj ciljanoj publici i o ciljevima upravljanja svojim aktivnostima odnosno svrsi njihove promidžbe, što utječe na obradu osobnih podataka prilikom utvrđivanja statističkih podataka na temelju posjeta stranici obožavatelja. Navedeni administrator može, s pomoću filtara koje mu Facebook stavlja na raspolaganje, odrediti kriterije za utvrđivanje tih statističkih podataka pa čak i navesti kategorije osoba čije će osobne podatke Facebook iskorištavati. Slijedom navedenog, administrator stranice obožavatelja koja se nalazi na Facebooku pridonosi obradi osobnih podataka posjetitelja svoje stranice.

37      Konkretno, administrator stranice obožavatelja može zatražiti prikupljanje – i, prema tome, obradu – demografskih podataka o svojoj ciljanoj publici, osobito trendova u pogledu dobi, spola, statusa ljubavne veze i zanimanja, informacija o stilu života i interesima svoje ciljane publike te informacija o kupnjama posjetitelja svoje stranice i o njihovu ponašanju prilikom kupnje putem interneta, kategorijama proizvoda ili usluga koje ciljanu publiku najviše zanimaju kao i zemljopisnih podataka kojima se administratoru stranice obožavatelja omogućuje da dozna gdje da provodi posebne promocije i organizira događanja te da, općenito, na najbolji mogući način usmjeri svoju ponudu informacija.

38      Iako je točno da se statistički podaci o publici koje utvrđuje Facebook dostavljaju isključivo administratoru stranice obožavatelja u anonimiziranom obliku, njihovo utvrđivanje temelji se na prethodnom prikupljanju – posredstvom kolačića koje Facebook postavlja na računalo ili bilo koji drugi uređaj posjetitelja te stranice – i obradi osobnih podataka posjetitelja u navedene statističke svrhe. Kako bilo, u slučaju postojanja zajedničke odgovornosti više subjekata za istu obradu, Direktiva 95/46 ne zahtijeva da svaki od njih ima pristup osobnim podacima o kojima je riječ.

39      U tim okolnostima valja smatrati da administrator stranice obožavatelja koja se nalazi na Facebooku, kao što je u predmetnom slučaju Wirtschaftsakademie – utvrđivanjem postavki, među ostalim, s obzirom na svoju ciljanu publiku i ciljeve upravljanja svojim aktivnostima odnosno ciljeve njihove promidžbe – pridonosi utvrđivanju svrhe i načina obrade osobnih podataka posjetitelja svoje stranice obožavatelja. Stoga valja smatrati da je na području Unije administrator u predmetnom slučaju suodgovoran s Facebookom Ireland za spomenutu obradu u smislu članka 2. točke (d) Direktive 95/46.

40      Naime, to što administrator stranice obožavatelja upotrebljava platformu koju nudi Facebook te se koristi pripadajućim uslugama ne može ga osloboditi obveza koje ima u području zaštite osobnih podataka.

41      Uostalom, važno je naglasiti da stranice obožavatelja koje se nalaze na Facebooku mogu posjetiti i osobe koje nisu njegovi korisnici i koje stoga ne raspolažu korisničkim računom na toj društvenoj mreži. U tom se slučaju odgovornost administratora stranice obožavatelja za obradu osobnih podataka navedenih osoba pokazuje još važnijom jer puko posjećivanje stranice obožavatelja automatski dovodi do obrade osobnih podataka posjetitelja.

42      U tim okolnostima prihvaćanje zajedničke odgovornosti operatera društvene mreže i administratora stranice obožavatelja koja se na njoj nalazi u vezi s obradom osobnih podataka posjetitelja te stranice pridonosi osiguravanju potpunije zaštite prava posjetitelja stranice obožavatelja, u skladu sa zahtjevima Direktive 95/46.

43      Unatoč tomu, valja precizirati, kako je to učinio nezavisni odvjetnik u točkama 75. i 76. svojeg mišljenja, da postojanje zajedničke odgovornosti ne znači nužno jednaku odgovornost različitih subjekata uključenih u obradu osobnih podataka. Naprotiv, ti subjekti mogu biti uključeni u obradu osobnih podataka u različitim fazama i stupnjevima, tako da razinu odgovornosti svakog od njih valja procjenjivati vodeći računa o svim relevantnim okolnostima predmetnog slučaja.

44      S obzirom na prethodna razmatranja, na prvo i drugo pitanje valja odgovoriti tako da članak 2. točku (d) Direktive 95/46 treba tumačiti na način da pojam „nadzornik” u smislu te odredbe obuhvaća administratora stranice obožavatelja koja se nalazi na društvenoj mreži.

 Treće i četvrto pitanje

45      Svojim trećim i četvrtim pitanjem, koja valja razmotriti zajedno, sud koji je uputio zahtjev u biti želi doznati treba li – u situaciji u kojoj poduzetnik sa sjedištem izvan Unije ima nekoliko poslovnih nastana u različitim državama članicama – članke 4. i 28. Direktive 95/46 tumačiti na način da nadzorno tijelo jedne države članice ima pravo izvršavati ovlasti iz članka 28. stavka 3. te direktive u odnosu na poslovni nastan koji se nalazi na državnom području te države članice iako je, u skladu s raspodjelom zadataka unutar grupe, s jedne strane, taj poslovni nastan odgovoran samo za prodaju oglašivačkog prostora i druge marketinške djelatnosti na državnom području spomenute države članice, dok je, s druge strane, za prikupljanje i obradu osobnih podataka na cijelom području Unije isključivo odgovoran poslovni nastan koji se nalazi u drugoj državi članici, ili je na nadzornom tijelu potonje države članice da izvršava spomenute ovlasti u odnosu na drugonavedeni poslovni nastan.

46      ULD i talijanska vlada dvoje o dopuštenosti tih pitanja jer ih smatraju irelevantnima za donošenje odluke u glavnom postupku. Naime, oni smatraju da je adresat pobijane odluke Wirtschaftsakademie, pa se ona ne odnosi ni na Facebook Inc. ni na neko od njegovih društava kćeri sa sjedištem na Unijinu području.

47      U tom smislu valja podsjetiti na to da je, u okviru suradnje između Suda i nacionalnih sudova koja je određena člankom 267. UFEU-a, isključivo na nacionalnom sudu pred kojim se vodi postupak i koji mora preuzeti odgovornost za sudsku odluku koja će biti donesena da, uvažavajući posebnosti predmeta, ocijeni nužnost prethodne odluke za donošenje svoje presude i relevantnost pitanja koja postavlja Sudu. Posljedično, ako se postavljena pitanja odnose na tumačenje prava Unije, Sud u načelu mora donijeti odluku (presuda od 6. rujna 2016., Petruhhin, C-182/15, EU:C:2016:630, t. 19. i navedena sudska praksa).

48      U predmetnom slučaju valja naglasiti da je sud koji je uputio zahtjev napomenuo da mu je odgovor Suda na treće i četvrto prethodno pitanje nužan za donošenje odluke u glavnom postupku. On, naime, pojašnjava da bi se – u slučaju utvrđenja da je ULD, s obzirom na dani odgovor, mogao otkloniti navodne povrede prava na zaštitu osobnih podataka poduzimanjem mjere protiv Facebooka Germany – moglo zaključiti da je pobijana odluka zasnovana na pogrešnoj ocjeni jer je upućena društvu Wirtschaftsakademie.

49      U tim okolnostima treće i četvrto pitanje su dopuštena.

50      Da bi se odgovorilo na ta pitanja, važno je najprije podsjetiti na to da na temelju članka 28. stavaka 1. i 3. Direktive 95/46 svako nadzorno tijelo izvršava sve ovlasti koje su mu nacionalnim pravom dodijeljene na području države članice kojoj pripada, kako bi osiguralo da se na tom području poštuju pravila o zaštiti podataka (vidjeti u tom smislu presudu od 1. listopada 2015., Weltimmo, C-230/14, EU:C:2015:639, t. 51.).

51      Pitanje koje se nacionalno pravo primjenjuje na obradu osobnih podataka uređeno je člankom 4. Direktive 95/46. U skladu s njegovim stavkom 1. točkom (a), svaka država članica na obradu osobnih podataka primjenjuje nacionalne propise koje donese u skladu s tom direktivom kada se obrada provodi u okviru aktivnosti poslovnog nastana nadzornika na njezinu državnom području. Spomenuta odredba propisuje da nadzornik s poslovnim nastanima na području više država članica mora poduzeti potrebne mjere kako bi osigurao da svaki od tih poslovnih nastana ispunjava obveze propisane važećim nacionalnim pravom.

52      Stoga iz zajedničkog tumačenja te odredbe i članka 28. stavaka 1. i 3. Direktive 95/46 proizlazi da – kada se na temelju njezina članka 4. stavka 1. točke (a) primjenjuje nacionalno pravo države članice kojem podliježe nadzorno tijelo zato što se predmetna obrada provodi u okviru aktivnosti poslovnog nastana nadzornika na njezinu državnom području – to nadzorno tijelo može izvršavati sve ovlasti koje su mu dodijeljene tim pravom u odnosu na spomenuti poslovni nastan, neovisno o tome ima li nadzornik poslovne nastane i u drugim državama članicama.

53      Prema tome, da bi se utvrdilo smije li nadzorno tijelo u okolnostima poput onih u glavnom postupku izvršavati ovlasti koje su mu dodijeljene nacionalnim pravom u odnosu na poslovni nastan na području države članice kojoj pripada, valja provjeriti jesu li ispunjena dva uvjeta iz članka 4. stavka 1. točke (a) Direktive 96/46, to jest, s jedne strane, je li riječ o „poslovnom nastanu nadzornika” obrade i, s druge strane, provodi li se ona „[u okviru] aktivnosti” navedenog poslovnog nastana u smislu te odredbe.

54      Kada je, kao prvo, riječ o uvjetu prema kojem nadzornik obrade osobnih podataka treba imati poslovni nastan na području države članice kojoj pripada dotično nadzorno tijelo, valja podsjetiti na to da, u skladu s uvodnom izjavom 19. Direktive 95/46, poslovni nastan na području države članice podrazumijeva učinkovito i stvarno provođenje aktivnosti posredstvom stalne poslovne jedinice, pri čemu pravni oblik takvog poslovnog nastana, bilo da je to podružnica ili društvo kći s pravnom osobnošću, nije odlučujući činitelj (presuda od 1. listopada 2015., Weltimmo, C-230/14, EU:C:2015:639, t. 28. i navedena sudska praksa).

55      U predmetnom je slučaju nesporno da Facebook Inc., kao nadzornik obrade osobnih podataka, zajedno s Facebookom Ireland, ima stalni poslovni nastan u Njemačkoj – tj. Facebook Germany, sa sjedištem u Hamburgu – i da potonje društvo stvarno i učinkovito provodi aktivnosti u spomenutoj državi članici. Ono stoga čini „poslovni nastan” u smislu članka 4. stavka 1. točke (a) Direktive 95/46.

56      Kada je, kao drugo, riječ o uvjetu da se obrada osobnih podataka provodi „[u okviru] aktivnosti” dotičnog poslovnog nastana, najprije valja podsjetiti na to da se izraz „[u okviru] aktivnosti poslovnog nastana” ne može strogo tumačiti, s obzirom na cilj Direktive 95/46, koji se sastoji od potpune i učinkovite zaštite temeljnih prava i sloboda fizičkih osoba, a posebno njihova prava na privatnost, prilikom obrade osobnih podataka (presuda od 1. listopada 2015., Weltimmo, C-230/14, EU:C:2015:639, t. 25. i navedena sudska praksa).

57      Nadalje, treba naglasiti da članak 4. stavak 1. točka (a) Direktive 95/46 ne zahtijeva da navedenu obradu provodi sâm poslovni nastan o kojem je riječ, nego isključivo to da se ona provodi „[u okviru]” njegovih „aktivnosti” (presuda od 13. svibnja 2014., Google Spain i Google, C-131/12, EU:C:2014:317, t. 52.).

58      U predmetnom slučaju iz odluke kojom je upućeno prethodno pitanje i iz pisanih očitovanja Facebooka Ireland proizlazi da je Facebook Germany odgovoran za promidžbu i prodaju oglašivačkog prostora te su njegove aktivnosti usmjerene na osobe koje borave u Njemačkoj.

59      Kao što je to navedeno u točkama 33. i 34. ove presude, cilj je obrade osobnih podataka iz glavnog postupka – koju zajednički provode Facebook Inc. i Facebook Ireland i koja se sastoji od prikupljanja tih podataka s pomoću kolačića postavljenih na računalo ili bilo koji drugi uređaj posjetitelja stranica obožavatelja koje se nalaze na Facebooku –među ostalim, omogućiti toj društvenoj mreži da unaprijedi svoj sustav oglašavanja kako bi bolje usmjerila obavijesti koje objavljuje.

60      Kao što je to istaknuo nezavisni odvjetnik u točki 94. svojeg mišljenja, budući da, s jedne strane, društvena mreža poput Facebooka znatan dio svojih prihoda ostvaruje zahvaljujući oglasima na internetskim stranicama koje korisnici izrađuju i posjećuju te da je, s druge strane, Facebookov poslovni nastan u Njemačkoj na njezinu državnom području zadužen za promidžbu i prodaju oglašivačkog prostora kojim se ostvaruje prihod od Facebookovih usluga, aktivnosti tog poslovnog nastana treba smatrati neodvojivo povezanima s obradom osobnih podataka o kojoj je riječ u glavnom postupku i za koju je Facebook Inc. odgovoran zajedno s Facebookom Ireland. Prema tome, valja smatrati da se spomenuta obrada provodi u okviru aktivnosti poslovnog nastana nadzornika u smislu članka 4. stavka 1. točke (a) Direktive 95/46 (vidjeti u tom smislu presudu od 13. svibnja 2014., Google Spain i Google, C-131/12, EU:C:2014:317, t. 55. i 56.).

61      Prema tome, budući da se na temelju članka 4. stavka 1. točke (a) Direktive 95/46 na obradu osobnih podataka o kojoj je riječ u glavnom postupku primjenjuje njemačko pravo, njemačko nadzorno tijelo bilo je ovlašteno, u skladu s člankom 28. stavkom 1. te direktive, na navedenu obradu primijeniti to pravo.

62      Dakle, da bi na njemačkom državnom području osiguralo poštovanje pravila u području zaštite osobnih podataka, spomenuto je nadzorno tijelo bilo nadležno u odnosu na Facebook Germany izvršavati sve ovlasti kojima raspolaže na temelju nacionalnih odredbi kojima se prenosi članak 28. stavak 3. Direktive 95/46.

63      Preostaje pojasniti da okolnost – koju je u trećem pitanju istaknuo sud koji je uputio zahtjev – prema kojoj strateške odluke u vezi s prikupljanjem i obradom osobnih podataka pojedinaca s boravištem na području Unije donosi društvo majka sa sjedištem u trećoj zemlji, poput Facebooka Inc. u predmetnom slučaju, ne može dovesti u pitanje nadležnost nadzornog tijela koje podliježe pravu države članice u odnosu na poslovni nastan nadzornika obrade spomenutih podataka smješten na njezinu državnom području.

64      Imajući u vidu navedeno, na treće i četvrto pitanje valja odgovoriti tako da – u situaciji u kojoj poduzetnik sa sjedištem izvan Unije ima nekoliko poslovnih nastana u različitim državama članicama – članke 4. i 28. Direktive 95/46 treba tumačiti na način da nadzorno tijelo jedne države članice ima pravo izvršavati ovlasti iz članka 28. stavka 3. te direktive u odnosu na poslovni nastan tog poduzetnika koji se nalazi na državnom području te države članice iako je, u skladu s raspodjelom zadataka unutar grupe, s jedne strane, taj poslovni nastan odgovoran samo za prodaju oglašivačkog prostora i druge marketinške djelatnosti na državnom području spomenute države članice, dok je, s druge strane, za prikupljanje i obradu osobnih podataka na cijelom području Unije isključivo odgovoran poslovni nastan koji se nalazi u drugoj državi članici.

 Peto i šesto pitanje

65      Svojim petim i šestim pitanjem, koja valja razmotriti zajedno, sud koji je uputio zahtjev u biti pita treba li članak 4. stavak 1. točku (a) i članak 28. stavke 3. i 6. Direktive 95/46 tumačiti na način da je nadzorno tijelo jedne države članice – kada namjerava izvršavati ovlasti za posredovanje iz članka 28. stavka 3. te direktive u odnosu na tijelo s poslovnim nastanom na državnom području te države članice, zbog povreda pravila o zaštiti osobnih podataka što ih je počinila treća osoba sa sjedištem u drugoj državi članici, koja je odgovorna za obradu podataka – nadležno ocjenjivati zakonitost te obrade neovisno o nadzornom tijelu druge države članice te može izvršavati svoje ovlasti za posredovanje u pogledu tijela s poslovnim nastanom na državnom području te države članice bez prethodnog pozivanja njezina nadzornog tijela na poduzimanje mjera.

66      Da bi se odgovorilo na ta pitanja, valja podsjetiti na to da, kao što to proizlazi iz odgovora na prvo i drugo prethodno pitanje, članak 2. točku (d) Direktive 95/46 treba tumačiti na način da dopušta da se u okolnostima poput onih u glavnom postupku Wirtschaftsakademie, kao administrator stranice obožavatelja koja se nalazi na Facebooku, proglasi tijelom odgovornim za povredu pravila o zaštiti osobnih podataka.

67      Iz toga proizlazi da na temelju članka 4. stavka 1. točke (a) i članka 28. stavaka 1. i 3. Direktive 95/46 nadzorno tijelo države članice na čijem državnom području to tijelo ima sjedište može primjenjivati njezino nacionalno pravo i stoga u odnosu na navedeno tijelo izvršavati sve ovlasti koje su mu dodijeljene tim pravom, u skladu s člankom 28. stavkom 3. spomenute direktive.

68      Kao što je to propisano u članku 28. stavku 1. drugom podstavku navedene direktive, nadzorna tijela koja na području svojih država članica nadziru primjenu propisa koje su one donijele u skladu s tom direktivom potpuno neovisno izvršavaju dodijeljene im ovlasti. Taj zahtjev također proizlazi iz primarnog prava Unije, osobito iz članka 8. stavka 3. Povelje Europske unije o temeljnim pravima te iz članka 16. stavka 2. UFEU‑a (vidjeti u tom smislu presudu od 6. listopada 2015., Schrems, C‑362/14, EU:C:2015:650, t. 40.).

69      Nadalje, iako na temelju članka 28. stavka 6. drugog podstavka Direktive 95/46 nadzorna tijela međusobno surađuju u mjeri potrebnoj za izvršavanje svojih ovlasti, posebno razmjenom korisnih podataka, ta direktiva ne predviđa nijedan kriterij za davanje prednosti pri intervenciji određenim nadzornim tijelima niti se njome propisuje obveza nadzornog tijela države članice da prihvati mišljenje koje je eventualno izrazilo nadzorno tijelo druge države članice.

70      Stoga nadzorno tijelo kojemu njegovo nacionalno pravo priznaje nadležnost nije ničim obvezano da u istovrsnoj situaciji prihvati rješenje drugog nadzornog tijela.

71      U tom pogledu važno je podsjetiti da – s obzirom na to da su nacionalna nadzorna tijela, u skladu s člankom 8. stavkom 3. Povelje o temeljnim pravima i člankom 28. Direktive 95/46, zadužena za kontrolu poštovanja Unijinih pravila o zaštiti pojedinaca u vezi s obradom osobnih podataka – svako od tih tijela nadležno je za provjeru poštuju li se prilikom obrade osobnih podataka na području njihovih država članica zahtjevi utvrđeni u Direktivi 95/46 (vidjeti u tom smislu presudu od 6. listopada 2015., Schrems, C-362/14, EU:C:2015:650, t. 47.).

72      Budući da se članak 28. Direktive 95/46 primjenjuje po svojoj prirodi na svaku obradu osobnih podataka, čak i kad postoji odluka nadzornog tijela druge države članice, nadzorno tijelo koje razmatra zahtjev pojedinca za zaštitu njegovih prava i sloboda u vezi s obradom osobnih podataka koji se na njega odnose moraju potpuno neovisno ispitati poštuju li se prilikom te obrade zahtjevi utvrđeni u navedenoj direktivi (vidjeti u tom smislu presudu od 6. listopada 2015., Schrems, C-362/14, EU:C:2015:650, t. 57.).

73      Iz navedenog proizlazi da je u predmetnom slučaju na temelju sustava ustanovljenog Direktivom 95/46 ULD bio ovlašten ocjenjivati zakonitost obrade podataka o kojoj je riječ u glavnom postupku neovisno o ocjenama irskog nadzornog tijela.

74      Prema tome, na peto i šesto pitanje valja odgovoriti tako da članak 4. stavak 1. točku (a) i članak 28. stavke 3. i 6. Direktive 95/46 treba tumačiti na način da je nadzorno tijelo jedne države članice – kada namjerava izvršavati ovlasti za posredovanje iz članka 28. stavka 3. te direktive u odnosu na tijelo s poslovnim nastanom na državnom području te države članice, zbog povreda pravila o zaštiti osobnih podataka što ih je počinila treća osoba sa sjedištem u drugoj državi članici, koja je odgovorna za obradu tih podataka – nadležno ocjenjivati zakonitost te obrade neovisno o nadzornom tijelu druge države članice te može izvršavati svoje ovlasti za posredovanje u pogledu tijela s poslovnim nastanom na državnom području te države članice bez prethodnog pozivanja njezina nadzornog tijela na poduzimanje mjera.

 Troškovi

75      Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

Slijedom navedenog, Sud (veliko vijeće) odlučuje:

1.      Članak 2. točku (d) Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka treba tumačiti na način da pojam „nadzornik” u smislu te odredbe obuhvaća administratora stranice obožavatelja koja se nalazi na društvenoj mreži.

2.      U situaciji u kojoj poduzetnik sa sjedištem izvan Europske unije ima nekoliko poslovnih nastana u različitim državama članicama članke 4. i 28. Direktive 95/46 treba tumačiti na način da nadzorno tijelo jedne države članice ima pravo izvršavati ovlasti iz članka 28. stavka 3. te direktive u odnosu na poslovni nastan tog poduzetnika koji se nalazi na državnom području te države članice iako je, u skladu s raspodjelom zadataka unutar grupe, s jedne strane, taj poslovni nastan odgovoran samo za prodaju oglašivačkog prostora i druge marketinške djelatnosti na državnom području spomenute države članice, dok je, s druge strane, za prikupljanje i obradu osobnih podataka na cijelom području Europske unije isključivo odgovoran poslovni nastan koji se nalazi u drugoj državi članici.

3.      Članak 4. stavak 1. točku (a) i članak 28. stavke 3. i 6. Direktive 95/46 treba tumačiti na način da je nadzorno tijelo jedne države članice – kada namjerava izvršavati ovlasti za posredovanje iz članka 28. stavka 3. te direktive u odnosu na tijelo s poslovnim nastanom na državnom području te države članice, zbog povreda pravila o zaštiti osobnih podataka što ih je počinila treća osoba sa sjedištem u drugoj državi članici, koja je odgovorna za obradu tih podataka – nadležno ocjenjivati zakonitost te obrade neovisno o nadzornom tijelu druge države članice te može izvršavati svoje ovlasti za posredovanje u pogledu tijela s poslovnim nastanom na državnom području te države članice bez prethodnog pozivanja njezina nadzornog tijela na poduzimanje mjera.

Potpisi


*      Jezik postupka: njemački