NÁVRHY GENERÁLNEHO ADVOKÁTA
MICHAL BOBEK
prednesené 19. decembra 2018 (1)
Vec C‑40/17
Fashion ID GmbH & Co.KG
proti
Verbraucherzentrale NRW e.V.
vedľajší účastníci konania:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen
[návrh na začatie prejudiciálneho konania, ktorý podal Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko)]
„Návrh na začatie prejudiciálneho konania – Smernica 95/46/ES – Ochrana osobných údajov používateľov internetovej stránky – Aktívna legitimácia združenia na ochranu spotrebiteľov podať žalobu – Zodpovednosť prevádzkovateľa internetovej stránky – Prenos osobných údajov tretej osobe – Umiestnenie zásuvného modulu – Ikona ‚Páči sa mi to‘ spoločnosti Facebook – Legitímne záujmy – Súhlas dotknutej osoby – Povinnosť poskytnúť informácie“
I. Úvod
1. Fashion ID GmbH & Co. KG je internetový maloobchodný predajca módnych výrobkov. Na svojej internetovej stránke umiestnila zásuvný modul: ikonu „Páči sa mi to“ spoločnosti Facebook. V dôsledku toho ak používateľ navštívi internetovú stránku spoločnosti Fashion ID, spoločnosti Facebook sa prenesú informácie o jeho adrese IP a textovom reťazci internetového prehliadača (tzv. browser‑string). K tomuto prenosu dochádza automaticky po načítaní internetovej stránky spoločnosti Fashion ID bez ohľadu na to, či používateľ klikol na ikonu „Páči sa mi to“, a bez ohľadu na to, či má alebo nemá konto Facebook.
2. Verbraucherzentrale NRW e.V, nemecké združenie na ochranu záujmov spotrebiteľov, podalo žalobu na zdržanie sa konania proti spoločnosti Fashion ID na základe skutočnosti, že používaním tohto zásuvného modulu dochádza k porušovaniu právnych predpisov v oblasti ochrany osobných údajov.
3. Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko), ktorý koná v tejto veci, žiada o výklad viacerých ustanovení smernice 95/46/EHS (ďalej len „smernica 95/46“)(2). Vnútroštátny súd sa vo forme prejudiciálnej otázky pýta, či uvedená smernica pripúšťa, aby spotrebiteľská organizácia na základe vnútroštátnych právnych predpisov získala aktívnu legitimáciu na podanie takej žaloby, aká bola podaná v prejednávanej veci. Vo veci samej je kľúčovou otázkou to, či Fashion ID musí byť vo vzťahu k spracovaniu údajov, ktoré sa uskutočňuje, považovaná za „prevádzkovateľa“, a ak áno, ako je vlastne potrebné plniť jednotlivé povinnosti vyplývajúce zo smernice 95/46 za týchto okolností. Koho legitímne záujmy je potrebné zohľadňovať pri zvažovaní záujmov podľa článku 7 písm. f) smernice 95/46? Je Fashion ID povinná informovať dotknuté osoby o spracovaní? A musí Fashion ID v tomto zmysle získať informovaný súhlas dotknutých osôb?
II. Právny rámec
A. Právo Únie
Smernica 95/46
4. Účel smernice 95/46 je uvedený v jej prvom článku. Prvý odsek uvedeného článku znie: „V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.“ Podľa odseku 2 toho istého ustanovenia „členské štáty neobmedzujú, ani nebránia voľnému toku osobných údajov medzi členskými štátmi z dôvodov spojených s ochranou poskytnutou podľa odseku 1“.
5. Článok 2 obsahuje nasledujúce vymedzenie pojmov:
„a) ‚osobné údaje‘ znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘) [(‚dotknutej osoby‘) – neoficiálny preklad]; identifikovateľná osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu;
b) ‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom [prenos – neoficiálny preklad], šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie;
…
d) ‚kontrolór‘ [‚prevádzkovateľ‘ – neoficiálny preklad] znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami [zákonmi a inými právnymi predpismi – neoficiálny preklad], alebo zákonmi a nariadeniami [legislatívnymi aktmi a inými právnymi predpismi – neoficiálny preklad] Spoločenstva, ten, kto spracovanie riadi [prevádzkovateľ – neoficiálny preklad], alebo konkrétne kritéria pre jeho menovanie[osobitné kritériá na jeho určenie – neoficiálny preklad], môžu byť navrhnuté na základe vnútroštátneho práva alebo práva Spoločenstva;
…
h) ‚súhlas osoby pracujúcej s údajmi‘ [dotknutej osoby – neoficiálny preklad] znamená slobodne poskytnutú a informovanú indikáciu jeho prianí [poskytnutý a informovaný prejav jej vôle – neoficiálny preklad], ktorou osoba pracujúca s údajmi [ktorým dotknutá osoba – neoficiálny preklad] prejaví svoj súhlas, aby sa osobné údaje, ktoré sa ho [jej – neoficiálny preklad] týkajú, spracovali.“
6. V článku 7 sa uvádzajú kritériá, ktoré je potrebné splniť na to, aby spracovanie údajov bolo zákonné: „Členské štáty zabezpečia, aby bolo možné osobné údaje spracovať, iba ak:
a) osoba pracujúca s údajmi [dotknutá osoba – neoficiálny preklad] poskytla svoj súhlas jednoznačne; alebo
…
f) spracovanie je nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór [prevádzkovateľ – neoficiálny preklad], alebo tretia strana alebo strany, ktorým sú údaje odhalené [prenesené – neoficiálny preklad], s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi, ktoré potrebujú ochranu podľa článku 1 ods. 1 [s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu podľa článku 1 ods. 1 – neoficiálny preklad].“
7. V článku 10 sa stanovuje minimálny rozsah informácií, ktoré sa musia poskytnúť dotknutej osobe:
„Členské štáty zabezpečia, že kontrolór [prevádzkovateľ – neoficiálny preklad] alebo jeho zástupca, musí poskytnúť osobe pracujúcej s údajmi [dotknutej osobe – neoficiálny preklad], od ktorej sa údaje, ktoré sa jej týkajú, zbierajú, aspoň nasledujúce informácie, s výnimkou, ak ich tento subjekt už má:
a) identita kontrolóra [prevádzkovateľa – neoficiálny preklad] a jeho zástupcu;
b) účely spracovania, pre ktoré sú údaje potrebné;
c) akékoľvek ďalšie informácie, ako napríklad
príjemcovia alebo kategórie príjemcov údajov,
– či odpovede na otázky sú povinné alebo dobrovoľné, ako aj možné dôsledky neschopnosti odpovedať,
– existencia práva prístupu a práva skorigovania údajov, ktoré sa ho týkajú,
pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti za ktorých sa údaje zhromažďujú, zaručenie správneho spracovania vzhľadom na osobu pracujúcu s údajmi [dotknutú osobu – neoficiálny preklad].“
8. Kapitola III smernice 95/46 sa týka súdnych opravných prostriedkov, zodpovednosti a sankcií. V článkoch 22 až 24 uvedenej kapitoly sa stanovuje:
„Článok 22
Opatrenia
Bez toho, aby bol[i] dotknuté akékoľvek administratívne prostriedky nápravy, pre ktoré sa môže urobiť predpis [ktoré možno podať, – neoficiálny preklad], okrem iného pred dozorným orgánom uvedeným v článku 28[,] pred žiadosťou o súhlas súdneho orgánu [pred predložením veci súdnemu orgánu – neoficiálny preklad], zabezpečia členské štáty právo každej osoby na súdny opravný prostriedok za akékoľvek porušenie práv, ktoré [jej] zaručuje vnútroštátne právo, použiteľné na uvedené spracovanie.
Článok 23
Záväzok
1. Členské štáty zabezpečia, že každá osoba, ktorá utrpela škodu ako dôsledok nezákonnej operácie spracovania alebo akéhokoľvek činu nezlúčiteľného s prijatými vnútroštátnymi predpismi na základe tejto smernice, je oprávnená dostať kompenzáciu od kontrolóra [prevádzkovateľa – neoficiálny preklad] za spôsobenú škodu.
Kontrolór [prevádzkovateľ – neoficiálny preklad] môže byť vyňatý od tohto záväzku, buď úplne alebo čiastočne, ak dokáže, že nie je zodpovedný za udalosť spôsobujúcu škodu.
Článok 24
Sankcie
Členské štáty prijmú vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice a najmä ustanovia sankcie, ktoré sa uvalia v prípade porušenia ustanovení prijatých v súlade s touto smernicou.“
B. Nemecké právo
Gesetz gegen den unlauteren Wettbewerb
9. V § 3 ods. 1 Gesetz gegen den unlauteren Wettbewerb (zákon proti nekalej súťaži, ďalej len „UWG“) sa stanovuje, že nekalé obchodné konania sú neprípustné.
10. V § 8 ods. 1 a § 8 ods. 3 bode 3 UWG sa uvádza, že voči osobe, ktorá sa dopustí protiprávneho obchodného konania, môžu podať žalobu na odstránenie protiprávneho stavu alebo žalobu o zdržanie sa nedovoleného konania „oprávnené subjekty“ uvedené v Unterlassungsklagegesetz (zákon o žalobách na zdržanie sa konania) alebo v zozname Európskej komisie podľa článku 4 ods. 3 smernice 2009/22/ES o súdnych príkazoch na ochranu spotrebiteľských záujmov.(3)
Unterlassungsklagengesetz
11. V § 2 ods. 1 a § 2 ods. 2 bode 11 Unterlassungsklagegesetz sa stanovuje:
„1. Proti každému, kto poruší právne predpisy na ochranu spotrebiteľov (zákon na ochranu spotrebiteľov) iným spôsobom ako pri uplatnení alebo odporučení všeobecných obchodných podmienok, môže byť podaná žaloba na zdržanie sa konania a žaloba na odstránenie protiprávneho stavu v záujme ochrany spotrebiteľov.
2. V zmysle tohto ustanovenia sa ‚zákonmi na ochranu spotrebiteľov‘ rozumejú najmä:
…
(11) ustanovenia, ktoré upravujú prípustnosť
a) zberu osobných údajov spotrebiteľa zo strany podnikateľa alebo
b) spracovania alebo používania osobných údajov, ktoré boli nazbierané o spotrebiteľovi, zo strany podnikateľa,
ak sa zber, spracovanie alebo používanie osobných údajov uskutočňuje na účely reklamy, prieskumu trhu a verejnej mienky, prevádzkovania informačnej kancelárie, vypracovania osobných a používateľských profilov, obchodovania s adresami, iného obchodovania s osobnými údajmi alebo na porovnateľné komerčné účely.“
Telemediengesetz
12. V § 2 ods. 1 bode 1 Telemediengesetz (zákon o on‑line mediálnych službách) (ďalej len „TMG“) sa uvádza:
„Na účely tohto zákona:
(1) je poskytovateľom služieb každá fyzická alebo právnická osoba, ktorá má pripravené na používanie vlastné či cudzie elektronické médiá alebo sprostredkúva prístup k používaniu;…“
13. V § 12 ods. 1 TMG sa stanovuje: „1. Poskytovateľ služieb je oprávnený získavať a spracúvať osobné údaje na sprístupnenie elektronických médií len v rozsahu, v akom to povoľuje tento zákon alebo iný právny predpis vzťahujúci sa výslovne na elektronické médiá, alebo v akom na to dal používateľ súhlas.“
14. V § 13 ods. 1 TMG sa stanovuje:
„Poskytovateľ služieb je povinný poučiť používateľa na začiatku používania o type, rozsahu a účele zberu a použitia osobných údajov, ako aj o spracovaní jeho osobných údajov v štátoch, na ktoré sa nevzťahuje pôsobnosť [smernice 95/46], vo všeobecne zrozumiteľnej forme, pokiaľ sa také poučenie už neuskutočnilo. Pri automatizovanom postupe, ktorý umožňuje neskoršiu identifikáciu používateľa a predstavuje prípravu na zber alebo na použitie osobných údajov, treba používateľa poučiť na začiatku tohto procesu. Používateľ musí mať kedykoľvek možnosť prístupu k obsahu poučenia.“
15. V zmysle § 15 ods. 1 TMG:
„Poskytovateľ služieb je oprávnený získavať a spracúvať osobné údaje používateľa len v rozsahu nevyhnutnom na umožnenie a zúčtovanie využitia elektronického média (údaje o využívaní). Údajmi o využívaní sú predovšetkým
(1) údaje na identifikovanie používateľa;
(2) údaje o začiatku a konci, ako aj o rozsahu jednotlivého používania;
(3) údaje o elektronických médiách využitých používateľom.“
III. Skutkový stav, konanie a prejudiciálne otázky
16. Fashion ID (ďalej len „žalovaná“) je internetový maloobchodný predajca. Na svojej internetovej stránke predáva módne výrobky. Žalovaná umiestnila do svojej internetovej stránky zásuvný modul „Páči sa mi to“, ktorý poskytuje spoločnosť Facebook Ireland Limited (ďalej len „Facebook Ireland“).(4) V dôsledku toho sa na internetovej stránke žalovanej zobrazuje tzv. ikona „Páči sa mi to“ spoločnosti Facebook.
17. V návrhu na začatie prejudiciálneho konania sa ďalej vysvetľuje, ako funguje (nezobrazovaná) časť zásuvného modulu: pri návšteve internetovej stránky žalovanej, na ktorej je umiestnená ikona „Páči sa mi to“ spoločnosti Facebook, prehliadač návštevníka automaticky odosiela spoločnosti Facebook Ireland informácie o jeho adrese IP a textovom reťazci internetového prehliadača. K prenosu týchto informácií dochádza bez toho, aby bolo vôbec potrebné na ikonu „Páči sa mi to“ spoločnosti Facebook kliknúť. Z návrhu na začatie prejudiciálneho konania taktiež podľa všetkého vyplýva, že pri návšteve internetovej stránky žalovanej Facebook Ireland vkladá do zariadenia používateľa rôzne druhy súborov cookie (typu session, datr a fr).
18. Verbraucherzentrale NRW(ďalej len „žalobca“), združenie na ochranu záujmov spotrebiteľov, podalo žalobu proti žalovanej na Landgericht (Krajinský súd, Nemecko). Žalobca požadoval, aby žalovaná prestala umiestňovať sociálny zásuvný modul „Páči sa mi to“ spoločnosti Facebook, keďže žalovaná údajne konala:
– „bez toho, aby používateľov internetovej stránky do okamihu, keď poskytovateľ zásuvného modulu získa prístup k adrese IP a k textovému reťazcu internetového prehliadača (tzv. browser‑string) používateľa, výslovne a neprehliadnuteľne informovala o účele zberu osobných údajov a použití takto získaných údajov a/alebo
– bez súhlasu používateľov internetovej stránky s tým, že prostredníctvom poskytovateľa zásuvného modulu získa prístup k adrese IP a k textovému reťazcu internetového prehliadača a k využitiu osobných údajov, a to vždy skôr, ako získa prístup, a/alebo
– bez toho, aby používateľov, ktorí udelili svoj súhlas v zmysle bodu 2 žalobného návrhu, informovala o tom, že ho s účinnosťou do budúcnosti môžu kedykoľvek odvolať, a/alebo
– bez toho, aby použila toto upozornenie: ‚Keď ste používateľmi sociálnej siete a nechcete, aby sociálna sieť prostredníctvom našej internetovej prezentácie o Vás zbierala údaje a spájala ich s Vašimi používateľskými údajmi uloženými na sociálnej sieti, musíte sa pred návštevou našej internetovej prezentácie odhlásiť zo sociálnej siete‘.“
19. Žalobca tvrdí, že Facebook Inc. alebo Facebook Ireland ukladajú poskytnutú adresu IP a textový reťazec internetového prehliadača a spájajú ich s určitým používateľom (či už členom alebo nečlenom). Žalovaná v tejto veci argumentuje, že o tom nevedela. Facebook Ireland tvrdí, že adresa IP sa mení na generickú adresu IP a iba ako taká sa uloží a že nedochádza k priradeniu adresy IP a textového reťazca internetového prehliadača k používateľským účtom.
20. Landgericht (krajinský súd) rozhodol v neprospech žalovanej v prvých troch žalobných dôvodoch. Žalovaná sa odvolala. Vo veci štvrtého žalobného dôvodu podal žalobca vzájomné odvolanie.
21. V tomto skutkovom a právnom kontexte Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf) rozhodol predložiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Bráni úprava v článkoch 22, 23 a 24 smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355) takej vnútroštátnej úprave, ktorá okrem intervenčných právomocí úradov na ochranu osobných údajov a možností dotknutej osoby podať opravné prostriedky priznáva neziskovým združeniam na ochranu záujmov spotrebiteľov právomoc zakročiť v prípade porušenia voči porušovateľovi?
V prípade zápornej odpovede na prvú otázku:
2. Predstavuje v prípade, o aký ide v prejednávanej veci, keď niekto vloží do svojej stránky programový kód, ktorý umožní prehliadaču návštevníka, aby si vyžiadal obsah od tretích strán, a na tento účel prenesie osobné údaje tejto tretej strane, subjekt, ktorý uvedené zapracovanie uskutočnil, ‚prevádzkovateľa‘ v zmysle článku 2 písm. d) [smernice 95/46], pokiaľ on sám nemôže mať nijaký vplyv na dané spracovanie osobných údajov?
3. Treba v prípade zápornej odpovede na druhú otázku článok 2 písm. d) smernice [95/46] vykladať v tom zmysle, že taxatívne upravuje zodpovednosť tak, že bráni tomu, aby sa občianskoprávny nárok uplatnil proti tretej strane, ktorá síce nie je ‚prevádzkovateľ‘, ale dá podnet na spracovanie údajov bez toho, aby mohla mať naň vplyv?
4. Z koho ‚legitímnych záujmov‘ treba vychádzať v situácii, aká nastala v prejednávanej veci, pri rozhodovaní, ktoré treba uskutočniť podľa článku 7 písm. f) [smernice 95/46]? Zo záujmu na umiestnení obsahu tretej strany alebo zo záujmu tretej strany?
5. Komu treba podľa článku 7 písm. a) a článku 2 písm. h) [smernice 95/46] udeliť požadovaný súhlas v situácii, aká nastala v prejednávanej veci?
6. Týka sa informačná povinnosť podľa článku 10 [smernice 95/46] v situácii, aká nastala v prejednávanej veci, aj správcu internetovej stránky, ktorý umiestnil obsah tretej strany, a dal tak podnet na spracovanie osobných údajov touto stranou?“
22. Písomné pripomienky predložil žalobca, žalovaná, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Krajinský splnomocnenec pre ochranu dát a slobodu informácií, Severné Porýnie‑Vestfálsko, Nemecko, ďalej len „LDI NW“), belgická, nemecká, talianska, rakúska, poľská vláda, ako aj Komisia. Ústne pripomienky predniesol žalobca, žalovaná, Facebook Ireland, LDI NW, Belgicko, Nemecko, Rakúsko a Komisia na pojednávaní, ktoré sa konalo 6. septembra 2018.
IV. Posúdenie
23. V týchto návrhoch sa domnievam, že smernica 95/46 nebráni tomu, aby sa vnútroštátnou právnou úpravou poskytla aktívna legitimácia združeniu poverenému ochranou záujmov spotrebiteľov (ako je žalobca) na podanie žaloby proti údajnému porušovateľovi právnych predpisov na ochranu osobných údajov (časť A). Okrem toho zastávam názor, že žalovaná je spolu so spoločnosťou Facebook Ireland spoločným prevádzkovateľom, jej zodpovednosť sa však obmedzuje na konkrétnu fázu spracovania údajov (časť B). Po tretie sa domnievam, že zvažovanie záujmov podľa článku 7 písm. f) smernice 95/46 si vyžaduje zohľadnenie legitímnych záujmov nielen žalovanej, ale aj spoločnosti Facebook Ireland (ako aj, samozrejme, práv dotknutých osôb) (časť C). Po štvrté dotknutá osoba musí žalovanej pre danú fázu spracovania údajov poskytnúť informovaný súhlas. Žalovaná je okrem toho povinná dotknutej osobe poskytnúť informácie (časť D).
A. Vnútroštátne právne predpisy poskytujúce aktívnu legitimáciu združeniam povereným ochranou záujmov spotrebiteľov
24. Prvou predloženou otázkou sa vnútroštátny súd v podstate pýta, či smernica 95/46 bráni tomu, aby vnútroštátny predpis umožňoval združeniam na ochranu záujmov spotrebiteľov začať konanie proti osobe údajne porušujúcej právne predpisy na ochranu osobných údajov. V tejto súvislosti vnútroštátny súd poukazuje konkrétne na články 22 až 24 smernice 95/46. Konštatuje, že predmetné vnútroštátne právne predpisy môžu byť považované za „vhodné opatrenie“ podľa článku 24. Okrem toho zdôrazňuje, že v nariadení (EÚ) 2016/679 (ďalej len „GDPR“)(5), ktorým bola nahradená smernica 95/46, sa teraz takéto právo združeniam výslovne poskytuje v článku 80 ods. 2(6)
25. Žalovaná a Facebook Ireland tvrdia, že smernica 95/46 aktívnu legitimáciu takýmto združeniam neposkytuje, pretože sa to v nej výslovne neuvádza, pričom cieľom smernice 95/46 je podľa ich názoru úplná harmonizácia. Podľa žalovanej by poskytnutie takejto aktívnej legitimácie ohrozilo nezávislosť dozorných orgánov, keďže tieto orgány by boli vystavené verejnému tlaku.
26. Žalobca, LDI NW a všetky vlády, ktoré v prejednávanej veci zaujali stanovisko, sa domnievajú, že smernica 95/46 predmetnej vnútroštátnej právnej úprave nebráni.
27. S posledným uvedeným názorom súhlasím.(7)
28. Považujem za dôležité na úvod pripomenúť, že (štandardné) ústavné pravidlo zakotvené v treťom odseku článku 288 ZFEÚ, podľa ktorého „smernica je záväzná pre každý členský štát, ktorému je určená, a to vzhľadom na výsledok, ktorý sa má dosiahnuť, pričom sa voľba foriem a metód [ktoré umožňujú čo najlepšie dosiahnutie výsledku zamýšľaného smernicou] ponecháva vnútroštátnym orgánom“(8).
29. Z toho vyplýva, že pri vykonávaní povinností podľa smernice môžu členské štáty prijať akékoľvek opatrenia, ktoré považujú za vhodné, pokiaľ tieto opatrenia nie sú výslovne vylúčené priamo v smernici, alebo nie sú v rozpore s cieľmi danej smernice.
30. V znení smernice 95/46 sa výslovne nevylučuje možnosť, že by sa podľa vnútroštátnej právnej úpravy poskytovala aktívna legitimácia združeniam chrániacim práva spotrebiteľov.
31. Medzi ciele smernice 95/46 patrí „chrániť základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov“(9). Okrem toho sa v odôvodnení 10 smernice 95/46 uvádza, že „aproximácia právnych predpisov v tejto oblasti nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v Spoločenstve“(10).
32. Na základe návrhu vnútroštátneho súdu na začatie prejudiciálneho konania sa možno domnievať, že Nemecko poskytlo aktívnu legitimáciu združeniam, akým je žalobca, aby mohli napádať obchodné konanie, ktoré považujú za nekalé, alebo postupy, ktorými sa porušujú právne predpisy na ochranu spotrebiteľa, ktoré zahŕňajú aj právne predpisy na ochranu osobných údajov.
33. V tomto kontexte nevidím, ako by poskytnutie takejto aktívnej legitimácie akýmkoľvek spôsobom odporovalo cieľom smernice 95/46 alebo oslabovalo úsilie pri dosahovaní uvedených cieľov. Ak už, tak poskytnutie aktívnej legitimácie takémuto druhu združení podľa všetkého skôr podporuje dosahovanie cieľov a vykonávanie smernice, keďže prostredníctvom kolektívneho uplatňovania nárokov na nápravu účinne prispieva k posilneniu práv dotknutých osôb.(11)
34. Domnievam sa, že členským štátom preto nie je bránené v stanovení pravidla týkajúceho sa aktívnej legitimácie združení, akým je pravidlo, ktoré žalobcovi umožňuje podať predmetnú žalobu vo veci samej.
35. Vzhľadom na túto odpoveď považujem diskusiu, ktorá prebiehala počas tohto konania a sústredila sa na to, či predmetná vnútroštátna úprava podlieha konkrétne článku 24 smernice 95/46 ako druh „vhodného opatrenia“, alebo či by mohla podliehať článku 22, tak trochu za zavádzajúcu. Ak majú členské štáty vykonávať smernicu akýmkoľvek spôsobom, ktorý považujú za vhodný, a daný konkrétny spôsob vykonávania nie je vylúčený ani v znení smernice, ani na základe jej cieľa či účelu, konkrétny článok smernice, pod ktorý je konkrétne vnútroštátne opatrenie možné zaradiť, bude mať len druhoradý význam.(12) Napriek tomu však „vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice“ podľa článku 24 možno určite chápať aj tak, že zahŕňajú vnútroštátne ustanovenia, ako sú ustanovenia, ktoré sú predmetom sporu v prejednávanej veci.
36. Domnievam sa, že tento všeobecný záver nijako neoslabujú nasledujúce úvahy, o ktorých sa diskutovalo v priebehu týchto konaní.
37. Po prvé je pravda, že smernica 95/46 nie je na zozname predloženom v prílohe I k smernici 2009/22. V smernici 2002/29 sa stanovujú pravidlá týkajúce sa súdnych príkazov, o ktoré môžu žiadať tzv. „oprávnené subjekty“ na posilnenie ochrany kolektívnych záujmov spotrebiteľov.(13) Zoznam v prílohe I obsahuje viaceré smernice a smernica 95/46 medzi nimi nie je.
38. Napriek tomu, a ako uvádza nemecká vláda, zoznam v prílohe I k smernici 2002/29 nemožno považovať za vyčerpávajúci v tom zmysle, že by bránil vnútroštátnej právnej úprave žalôb o súdne príkazy týkajúce sa dodržiavania pravidiel obsiahnutých v smerniciach, ktoré nie sú v zozname v prílohe I k smernici 2002/29. Tým skôr by bolo prekvapujúce, ak by sa takýto vzorový zoznam, ktorý je súčasťou sekundárneho právneho predpisu, zrazu začal chápať ako zbavujúci členské štáty ich možnosti rozhodnúť o spôsobe vykonávania určitej smernice, ktorá vyplýva zo Zmluvy.
39. Po druhé chcem sa venovať tvrdeniu, ktoré predložila žalovaná a Facebook Ireland a ktoré sa týkalo úplnej harmonizácie dosahovanej na základe smernice 95/46, ktorá by podľa ich názoru vylučovala akékoľvek výslovne nepredpokladané opatrenia.
40. Je pravda, že podľa ustálenej judikatúry Súdneho dvora sa harmonizácia na základe smernice 95/46 neobmedzuje na minimálnu harmonizáciu, ale smeruje k takej harmonizácii, ktorá je „v zásade úplná“(14). Zároveň sa však uznáva, že táto smernica „priznáva členským štátom v určitých oblastiach rozhodovací priestor“ za predpokladu, že sa dodržiava smernica 95/46.(15)
41. Ako som už navrhol inde(16), otázku existencie „úplnej harmonizácie“ na úrovni práva EÚ (v zmysle prednostného práva týchto právnych predpisov, brániaceho legislatívnej činnosti členských štátov) nie je možné riešiť všeobecne, vo vzťahu k celej oblasti práva alebo predmetu smernice. Namiesto toho je potrebné posúdiť každé ustanovenie (konkrétne pravidlo alebo konkrétny aspekt) predmetnej smernice samostatne.
42. Pokiaľ ide o konkrétne „procesné“ ustanovenia smernice 95/46, ktoré sú predmetom sporu v prejednávanej veci, konkrétne články 22 až 24, tieto ustanovenia sú formulované veľmi všeobecne.(17) Vzhľadom na úroveň všeobecnosti a abstraktnosti týchto ustanovení by bolo naozaj skutočne pozoruhodné domnievať sa, že výsledkom týchto ustanovení je prednosť právnych predpisov, vylučujúca akékoľvek opatrenia, ktoré by členské štáty mohli prijať, ale ktoré nie sú v uvedených článkoch konkrétne spomenuté.(18)
43. Po tretie ďalšie tvrdenie, ktoré žalovaná predložila, sa týka ohrozenia nezávislosti dozorných orgánov.(19) V podstate naznačovalo, že ak by bola prípustná aktívna legitimácia spotrebiteľských združení, tieto združenia by podávali žaloby súbežne s dozorným orgánom a/alebo namiesto dozorného orgánu, čo by viedlo k tlaku verejnosti a zaujatosti zo strany dozorného orgánu a v konečnom dôsledku by to bolo v rozpore s požiadavkou úplnej nezávislosti dozorných orgánov podľa článku 28 ods. 1 smernice.
44. Toto tvrdenie je bezvýznamné. Za predpokladu, že by takýto dozorný orgán bol skutočne naozaj nezávislý,(20) rovnako ako nemecká vláda nevidím, ako by taká žaloba, aká je predmetom veci samej, mohla ohrozovať jeho nezávislosť. Združenie nemôže presadzovať právo v tom zmysle, že by jeho stanovisko bolo pre dozorné orgány záväzné. To je výlučne oblasťou pôsobnosti súdov. Spotrebiteľské združenie môže v tomto smere iba podať žalobu, rovnako ako každý jednotlivý spotrebiteľ. Preto tvrdenie, že v podstate každá (súkromnoprávna) žaloba, ktorú podá jednotlivec alebo spotrebiteľské združenie, by orgány poverené presadzovaním práva (verejno)právnymi prostriedkami vystavila tlaku, a preto nemôže existovať paralelne k systému verejnoprávneho presadzovania práva, je také zvláštne, že nie je potrebné sa týmto argumentom ďalej zaoberať.(21)
45. Po štvrté a na záver sa venujem tvrdeniu, podľa ktorého je článok 80 ods. 2 všeobecného nariadenia o ochrane údajov potrebné chápať ako článok upravujúci (a meniaci) pôvodnú situáciu tým, že sa v ňom pripúšťa niečo (aktívna legitimácia združení), čo predtým nebolo povolené.
46. Táto argumentácia nie je presvedčivá.
47. Je potrebné pripomenúť, že tým, že všeobecné nariadenie o ochrane údajov nahradilo smernicu 95/46, sa právny nástroj obsahujúci príslušné pravidlá zmenil zo smernice na nariadenie. V porovnaní so smernicou, pri ktorej členské štáty majú voľnosť pri výbere spôsobu vykonávania obsahu daného legislatívneho nástroja, táto zmena znamenala aj to, že vnútroštátne pravidlá, ktorými sa vykonáva nariadenie, sa môžu v podstate prijímať len vo výslovne povolených prípadoch.
48. Z tohto pohľadu je sporné tvrdenie, že výslovné ustanovenie týkajúce sa aktívnej legitimácie združení, ktoré je teraz zahrnuté vo všeobecnom nariadení o ochrane údajov, znamená, že táto aktívna legitimácia bola podľa smernice 95/46 vylúčená. Ak by sa na základe takéhoto porovnania malo dospieť k určitému záveru,(22) bolo by to skôr opačné tvrdenie: ak stanovenie pravidiel na umožnenie takejto aktívnej legitimácie nebolo neskoršou smernicou vylúčené (na základe tvrdení, ktoré som uviedol vyššie), zmena právnej formy zo smernice na nariadenie by odôvodňovala zahrnutie takéhoto ustanovenia, aby bolo jasné, že takáto možnosť je k dispozícii aj naďalej.
49. Preto vzhľadom na vyššie uvedené je mojím prvým predbežným návrhom, že smernica 95/46 nebráni vnútroštátnej právnej úprave, ktorá poskytuje verejnoprospešným združeniam aktívnu legitimáciu na začatie konania proti údajnému porušovateľovi právnych predpisov na ochranu osobných údajov s cieľom chrániť záujmy spotrebiteľov.
B. Je Fashion ID prevádzkovateľom?
50. V druhej otázke sa vnútroštátny súd pýta, či sa žalovaná, keďže na svojej internetovej stránke umiestnila zásuvný modul, ktorý inštruuje používateľov prehliadač, aby si vyžiadal obsahy od tretích strán a poskytol osobné údaje tejto tretej strane, má považovať za „prevádzkovateľa“ v zmysle článku 2 písm. d) smernice 95/46, aj napriek tomu, že žalovaná nemôže ovplyvniť dané spracovanie osobných údajov.
51. Na základe neschopnosti regulovať spracovanie osobných údajov, ako uvádza vnútroštátny súd vo svojej otázke, sa domnievam, že v kontexte prejednávanej veci sa to netýka podnetu na začatie postupu prenosu týchto údajov (v skutkovej rovine žalovaná jednoznačne vplyv má, keďže umiestnila dotknutý zásuvný modul). Podľa všetkého sa to týka skôr možného následného spracovania údajov spoločnosťou Facebook Ireland.
52. Ako vnútroštátny súd poznamenáva, odpoveď na jeho druhú otázku má dôsledky, ktoré presahujú rámec prejednávanej veci a sociálnej siete, ktorú prevádzkuje Facebook Ireland. Mnohé internetové stránky umiestňujú rôzne druhy obsahov tretej strany. Ak by sa osoba, akou je žalovaná, mala považovať za „prevádzkovateľa“, (spolu)zodpovedného za akékoľvek (následné) spracovanie, ktoré sa vykoná vo vzťahu k získaným údajom, z toho dôvodu, že prevádzkovateľ tejto internetovej stránky umiestnil obsah tretej strany, ktorý umožňuje prenos takýchto údajov, takéto tvrdenie by skutočne malo rozsiahlejšie dôsledky na spôsob zaobchádzania s obsahom tretích strán.
53. V rámci štruktúry prejednávanej veci je druhá otázka zároveň kľúčovou otázkou, siahajúcou k jadru problému: v prípade umiestneného obsahu tretej strany na internetovej stránke, kto má akú zodpovednosť v súvislosti s čím presne? Od (ne)presnosti odpovede na túto otázku zároveň závisia odpovede na nasledujúce otázky týkajúce sa legitímneho záujmu, súhlasu a povinnosti informovať.
54. V tejto časti najskôr uvediem niekoľko úvodných poznámok k pojmu osobné údaje, ktoré sú relevantné v prejednávanej veci (časť 1). Potom uvediem nedávnu judikatúru Súdneho dvora, naznačujúcu odpoveď na druhú otázku v prípade, že by predošlé rozhodnutia Súdneho dvora boli akceptované bez ďalších otázok (časť 2). Následne vysvetlím, prečo by možno bolo potrebné klásť ďalšie otázky a v kontexte prejednávanej veci spresniť analýzu (časť 3). V závere zdôrazním, na účely vymedzenia pojmu (spoločné) prevádzkovanie, význam jednotnosti „účelov a prostriedkov“, ktorá by mala existovať medzi (spoločnými) prevádzkovateľmi vo vzťahu ku konkrétnej fáze predmetného spracovania osobných údajov (spracovateľská operácia) (časť 4).
1. Osobné údaje v prejednávanej veci
55. Je potrebné pripomenúť, že pojem „osobné údaje“ je vymedzený v článku 2 písm. a) smernice 95/46 ako „akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘ [dotknutej osoby – neoficiálny preklad])“. Z odôvodnenia 26 tej istej smernice v tomto zmysle vyplýva, že na „určenie toho, či je osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že ich využije kontrolór [prevádzkovateľ – neoficiálny preklad], alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby“.
56. Súdny dvor už objasnil, že adresa IP môže za určitých okolností predstavovať osobný údaj.(23) Súdny dvor ďalej konštatoval, že na tieto účely, aby bolo možné hovoriť o „identifikovateľnej osobe“ v zmysle článku 2 písm. a) smernice 95/46, „nie je nutné, aby táto informácia umožňovala sama osebe identifikovať dotknutú osobu“, pričom je možné, že bude potrebné využiť ďalšie údaje. Konštatoval takisto, že „nie je nevyhnutné, aby sa všetky informácie umožňujúce identifikovať dotknutú osobu museli nachádzať v rukách jedinej osoby“, pokiaľ možnosť spojenia príslušných údajov „predstavuje prostriedok, ktorý môže byť rozumne použitý pre identifikáciu dotknutej osoby“(24).
57. Vnútroštátny súd sa nezaoberá otázkou toho, či adresa IP sama osebe alebo v spojení s textovým reťazcom internetového prehliadača, ktorý sa takisto prenáša, predstavuje osobný údaj v zmysle tohto kritéria. Facebook Ireland podľa všetkého takéto vymedzenie spochybňuje.(25)
58. Je jasné, že vykonanie takéhoto posúdenia prináleží vnútroštátnemu súdu. Vo všeobecnosti, pokiaľ ide o akékoľvek zásuvné moduly, ktoré môžu byť umiestnené, alebo akýkoľvek obsah tretej strany, na klasifikáciu informácií ako osobných údajov je nevyhnutné, aby tieto údaje umožňovali identifikáciu dotknutej osoby (či už priamo alebo nepriamo). Na účely prejednávanej veci budem považovať za dané, že pri okolnostiach vo veci samej, keďže to podľa všetkého vyplýva z otázok, ktoré položil vnútroštátny súd, adresa IP a textový reťazec internetového prehliadača skutočne predstavujú osobné údaje a spĺňajú tak kritériá článku 2 písm. a) smernice 95/46, ako to uvádza Súdny dvor.
2. Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?
59. Pokiaľ ide o odpoveď na druhú otázku, žalovaná a Facebook Ireland tvrdia, že žalovaná nemôže byť považovaná za prevádzkovateľa, pretože nemôže nijako ovplyvniť osobné údaje, ktoré budú spracované. Za prevádzkovateľa sa preto môže považovať len Facebook Ireland. Facebook Ireland ako subsidiárne tvrdenie uvádza, že žalovaná koná spoločne s ňou ako spoločný prevádzkovateľ, pričom zodpovednosť osoby, akou je žalovaná, je obmedzená na skutočnú oblasť jej pôsobnosti.
60. Žalobca, LDI NW a všetky vlády, ktoré sa v prejednávanej veci vyjadrili, ako aj Komisia v podstate zastávajú názor, že pojem „prevádzkovateľ“ má širší význam a zahŕňa aj žalovanú. V príslušných podaniach sa však ich názory značne líšia, pokiaľ ide o presný rozsah zodpovednosti žalovanej. Rozdiely sa týkajú otázky, či zodpovednosť žalovanej má alebo nemá byť spoločnou zodpovednosťou so spoločnosťou Facebook Ireland, či má alebo nemá byť obmedzená na fázu spracovania osobných údajov, na ktorej sa žalovaná v skutočnosti zúčastňuje, a či sa má rozlišovať v tomto kontexte medzi návštevníkmi internetovej stránky žalovanej, ktorí majú konto Facebook, a tými, ktorí ho nemajú.
61. Pokiaľ ide o východiskový bod, je jasné, že v článku 2 písm. d) smernice 95/46 sa uvádza, že pojem „prevádzkovateľ“ sa vzťahuje na osobu, ktorá „sama alebo v spojení s inými určí účely a prostriedky spracovania osobných údajov“(26). Pojem prevádzkovateľ preto môže odkazovať na viaceré subjekty zapojené do spracovania osobných údajov(27) a mal by sa chápať v širšom zmysle.(28)
62. Otázkou spoločného prevádzkovania sa nedávno Súdny dvor zaoberal v rozsudku vo veci Wirtschaftsakademie Schleswig‑Holstein(29). Vo vzťahu k úlohe správcu fanúšikovskej stránky umiestnenej na sociálnej sieti Facebook Súdny dvor dospel k záveru, že správca konal ako prevádzkovateľ spolu so spoločnosťou Facebook Ireland v zmysle článku 2 písm. d) smernice 95/46. Dôvodom bolo to, že správca sa podieľal spoločne so spoločnosťou Facebook Ireland na určení účelov a prostriedkov spracovania osobných údajov návštevníkov tejto fanúšikovskej stránky.(30)
63. Súdny dvor konkrétne konštatoval, že vytvorením predmetnej fanúšikovskej stránky správca umožňuje spoločnosti Facebook Ireland, „aby umiestňovala súbory cookie v počítači alebo akomkoľvek inom zariadení osoby, ktorá jeho fanúšikovskú stránku navštívila“, a teda spracúval osobné údaje.(31) Súdny dvor poukázal na to, že „vytvorenie fanúšikovskej stránky na sociálnej sieti Facebook zo strany jej správcu znamená, že nastavil parametre okrem iného podľa svojej cieľovej skupiny, ako aj cieľov riadenia alebo podpory svojich činností, čo má vplyv na spracovanie osobných údajov na účely vypracovania štatistík získaných na základe návštev fanúšikovskej stránky“(32). Toto spracovanie osobných údajov umožnilo spoločnosti Facebook Ireland „zlepšiť svoj systém reklamy“, pričom správcovi poskytlo formou anonymných štatistických údajov spôsob, ako lepšie riadiť podporu svojej činnosti.(33)
64. Súdny dvor dospel k záveru, že „svojím nastavením parametrov“ sa správca podieľa na určení účelov a prostriedkov spracovania osobných údajov návštevníkov svojej fanúšikovskej stránky. Preto sa musí považovať za prevádzkovateľa zodpovedného za dané spracovanie spolu so spoločnosťou Facebook Ireland (s „ešte väčšou“ zodpovednosťou, pokiaľ ide o osobné údaje osôb, ktoré nie sú používateľmi spoločnosti Facebook Ireland).(34)
65. Vo veci Jehovan todistajat Súdny dvor zdôraznil ďalšie dôležité objasnenie pojmu spoločný prevádzkovateľ: existencia spoločného prevádzkovania a spoluzodpovednosti nepredpokladá, že každý z prevádzkovateľov má prístup k (všetkým) dotknutým osobným údajom. Náboženská spoločnosť preto môže byť spoločným prevádzkovateľom aj v prípadoch, keď samotná spoločnosť nemala prístup k predmetným získaným údajom. V danom prípade išlo o jednotlivých členov spoločnosti Jehovovi svedkovia, u ktorých sa osobné údaje fyzicky nachádzali. Stačilo, že táto evanjelizačná činnosť, počas ktorej sa podľa všetkého uskutočňoval zber osobných údajov, je organizovaná, koordinovaná a podporovaná uvedenou spoločnosťou.(35)
66. Pri posúdení na vyššej úrovni abstraktného uvažovania a pri zameraní sa len na pojem spoločného prevádzkovania musím súhlasiť, že z takýchto nedávnych súdnych prehlásení vyplýva záver, že žalovaná koná ako prevádzkovateľ, a je spoločne zodpovedná spolu so spoločnosťou Facebook Ireland za spracovanie údajov.(36)
67. Po prvé žalovaná podľa všetkého umožnila spoločnosti Facebook Ireland získať osobné údaje používateľov svojej internetovej stránky tým, že používala predmetný zásuvný modul.
68. Po druhé je pravda, že na rozdiel od správcu vo veci Wirtschaftsakademie Schleswig‑Holstein žalovaná podľa všetkého nestanovuje parametre žiadnych informácií o používateľoch svojej internetovej stránky, ktoré by jej boli poskytované naspäť v anonymizovanej alebo inej podobe. Želanou „výhodou“ má podľa všetkého byť bezplatná reklama jej produktov, ku ktorej údajne dochádza, ak sa používateľ jej internetovej stránky rozhodne kliknúť na ikonu „Páči sa mi to“ spoločnosti Facebook, aby prostredníctvom svojho konta Facebook zdieľal svoj názor napríklad na čierne večerné šaty. Preto, s výhradou overenia skutkových okolností zo strany vnútroštátneho súdu, používanie zásuvného modulu žalovanej umožňuje optimalizovať reklamu jej produktov tým, že umožňuje ich zviditeľnenie na sociálnej sieti Facebook.
69. Subsidiárne by sa z iného pohľadu dalo povedať, že žalovaná sa podieľa na stanovovaní parametrov získavaných údajov jednoducho tým, že umiestnila predmetný zásuvný modul do svojej internetovej stránky. Je to vlastne tento zásuvný modul, ktorý poskytuje parametre osobných údajov, ktoré sa majú získavať. Dobrovoľným včlenením tohto nástroja do internetovej stránky žalovanej preto žalovaná stanovila tieto parametre vo vzťahu ku všetkým návštevníkom svojej internetovej stránky.
70. Po tretie vzhľadom na vec Jehovan todistajat subjekt môže byť považovaný za spoločného prevádzkovateľa aj bez toho, aby mal prístup k akýmkoľvek „plodom spoločnej práce“. Preto skutočnosť, že žalovaná nemá prístup k údajom poskytovaným spoločnosti Facebook, alebo že podľa všetkého naspäť nezískava žiadne na mieru prispôsobené alebo súhrnné štatistické údaje, podľa všetkého nebude rozhodujúca.
3. Problémy: Kto teda nie je spoločným prevádzkovateľom?
71. Zlepší sa účinná ochrana, ak bude za jej zabezpečovanie zodpovedný každý?
72. To je v skratke hlbšia morálna a praktická dilema, ktorú prejednávaná vec predstavuje a ktorú z právneho hľadiska vyjadruje rozsah vymedzenia pojmu (spoločný) prevádzkovateľ. V pochopiteľnej snahe zabezpečiť účinnú ochranu osobných údajov bola nedávna judikatúra Súdneho dvora v reakcii na žiadosti o vymedzenie pojmu (spoločný) prevádzkovateľ veľmi inkluzívna. Súdny dvor však doteraz nebol konfrontovaný s praktickými dôsledkami takéhoto rozsiahleho prístupu k vymedzeniu tohto pojmu, pokiaľ ide o následné kroky týkajúce sa presných povinností a konkrétnej zodpovednosti strán, ktoré sú považované za spoločných prevádzkovateľov. Keďže táto vec ponúka presne takúto príležitosť, navrhujem ju využiť s cieľom spresniť definície, ktoré by mali existovať pre pojem (spoločný) prevádzkovateľ.
a) Povinnosť a zodpovednosť
73. Pri kritickom pohľade na kritérium, ktoré bolo uplatnené pri identifikácii „spoločného prevádzkovateľa“, sa zdá, že kľúčovým kritériom podľa vecí Wirtschaftsakademie Schleswig‑Holstein a Jehovan todistajat je skutočnosť, že predmetná osoba „umožnila“, aby osobné údaje boli získavané a prenášané, potenciálne v spojení s určitým vplyvom, ktorý takýto spoločný prevádzkovateľ má na parametre (alebo aspoň ich implicitne schvaľuje).(37) Ak je to naozaj tak, tak napriek jednoznačne uvedenému úmyslu tento prípad vylúčiť vo veci Wirtschaftsakademie Schleswig‑Holstein(38) je ťažké predstaviť si, ako by sa bežní používatelia internetovej aplikácie, či už ide o sociálnu sieť alebo akúkoľvek inú kolaboratívnu platformu, ale aj iných programov,(39) teda nestali spoločnými prevádzkovateľmi. Používateľ si obvykle zriadi konto, poskytne správcovi parametre, ako má jeho konto vyzerať, aké informácie si želá dostávať, o čom a od koho. Okrem toho pozve svojich priateľov, kolegov a iných, aby prostredníctvom danej aplikácie zdieľali informácie vo forme (často dosť citlivých) osobných údajov, čím nielen poskytne údaje týkajúce sa týchto osôb, ale taktiež vyzve tieto osoby, aby sa samy zúčastnili, a týmto spôsobom jednoznačne prispieva k získavaniu a spracovaniu osobných údajov týchto osôb.
74. Navyše sa nesmie zabúdať na ostatných účastníkov „reťazca osobných údajov“. V extrémnom prípade ak by jediným relevantným kritériom spoločného prevádzkovania bolo umožnenie spracovania údajov, čiže vlastne prispenie k tomuto spracovaniu v akejkoľvek fáze, nebol by potom poskytovateľ internetových služieb, ktorý spracovanie údajov umožňuje tým, že poskytuje prístup na internet, alebo dokonca dodávateľ elektrickej energie takisto spoločným prevádzkovateľom, potenciálne spoluzodpovedným za spracovanie osobných údajov?
75. Intuitívne je odpoveďou, samozrejme, „nie“. Problémom je však to, že vymedzenie zodpovednosti doposiaľ zo širokej definície prevádzkovateľa nevyplýva. Výsledkom toho, že je táto definícia taká široká, je riziko toho, že na jej základe je za spracovanie osobných údajov spoluzodpovedných viacero osôb.
76. No na rozdiel od vecí spomínaných v predošlej časti otázky, ktoré položil vnútroštátny súd v prejednávanej veci, sa netýkajú len vymedzenia pojmu „prevádzkovateľ“. Nadväzujú na skúmanie súvisiacich tém, pokiaľ ide o pridelenie skutočných povinností, ktoré ukladá smernica 95/46, a v tomto skúmaní pokračujú. Tieto otázky ako také odrážajú problémy príliš inkluzívnej definície prevádzkovateľa, najmä v spojení s neexistenciou presného pravidla, pokiaľ ide o konkrétne povinnosti a zodpovednosti prevádzkovateľov podľa smernice 95/46. Jasne to vyplýva aj z pripomienok zainteresovaných strán v reakcii na piatu a šiestu otázku, ktoré sa týkajú presného pridelenia zodpovedností podľa tejto smernice.
77. V piatej otázke sa v podstate zisťuje, kto má získať súhlas dotknutej osoby a s akým účelom má dotknutá osoba súhlasiť. Navrhované odpovede na túto otázku sa značne líšia.
78. Žalobca a LDI NW zastávajú názor, že povinnosť získať informovaný súhlas dotknutej osoby má žalovaná, ktorá sa rozhodla včleniť predmetný zásuvný modul. Podľa názoru žalobcu je to ešte oveľa dôležitejšie v prípade používateľov, ktorí nie sú používateľmi sociálnej siete Facebook a ktorí neakceptovali všeobecné obchodné podmienky spoločnosti Facebook. Žalovaná sa domnieva, že súhlas je potrebné poskytnúť tretej strane, ktorá umiestnila obsah poskytuje, to znamená spoločnosti Facebook Ireland. Facebook Ireland sa domnieva, že súhlas nie je potrebné poskytnúť konkrétnemu adresátovi, keďže v smernici 95/46 sa stanovuje len to, že súhlas má byť slobodný, konkrétny a informovaný.
79. Rakúsko, Nemecko a Poľsko tvrdia, že súhlas má byť poskytnutý predtým, než dôjde k spracovaniu údajov, a podľa Rakúska sa musí týkať získavania údajov, ako aj ich možného prenosu. Poľsko zdôrazňuje, že súhlas musí byť poskytnutý žalovanej. Nemecko sa domnieva, že súhlas musí byť poskytnutý žalovanej alebo tretej strane, ktorá poskytuje umiestnený obsah (spoločnosti Facebook Ireland), pretože obe sú spoluzodpovedné za spracovanie. V prípade žalovanej stačí, aby získala súhlas s prenosom údajov tretej strane, pretože pri všetkom ostatnom spracovaní a použití získaných údajov už nevystupuje ako prevádzkovateľ. Tým sa však nevylučuje možnosť, že prevádzkovateľ internetovej stránky získa súhlas týkajúci sa spracovania treťou stranou, ktorý môže byť upravený na základe dohody medzi týmito dvoma subjektmi. Taliansko tvrdí, že súhlas je potrebné poskytnúť všetkým subjektom, ktoré sa na spracovaní osobných údajov podieľajú, tzn. žalovanej a spoločnosti Facebook Ireland. Belgicko a Komisia zdôrazňujú, že v smernici 95/46 sa nekonkretizuje, komu je súhlas potrebné poskytnúť.
80. Podobne rôzne názory boli vyjadrené v súvislosti s otázkou, kto znáša povinnosť informovať podľa článku 10 smernice 95/46 a vo vzťahu k čomu presne, pričom táto záležitosť je predmetom šiestej otázky, ktorú položil vnútroštátny súd.
81. Podľa žalobcu má povinnosť poskytnúť dotknutej osobe potrebné informácie prevádzkovateľ internetovej stránky. Žalovaná predložila opačný argument, pričom zdôraznila, že poskytnúť informácie by mala Facebook Ireland, keďže žalovaná presné informácie nemá. Facebook Ireland podobne zdôrazňuje, že informačná povinnosť sa vzťahuje na ňu, keďže táto povinnosť sa týka len prevádzkovateľa (alebo jeho zástupcu). Poznamenáva, že odpoveď na šiestu otázku je úzko spojená s tým, či prevádzkovateľ internetovej stránky je prevádzkovateľom. Z článku 10 vyplýva, že nie je vhodné prevádzkovateľa internetovej stránky považovať za prevádzkovateľa, pretože nedokáže poskytovať tieto informácie. LDI NW sa domnieva, že informácie musí poskytnúť prevádzkovateľ internetovej stránky, ale uznáva, že je ťažké určiť, aké informácie by mali byť poskytnuté, keďže žalovaná nemá žiadny vplyv na spracovanie údajov, ktoré vykonáva Facebook Ireland. Prepletenosť cieľov spracovania údajov naznačuje, že prevádzkovateľ internetovej stránky by mal byť spoluzodpovedný za spracovanie, ktoré umožnil.
82. Belgicko, Taliansko a Poľsko uvádzajú, že povinnosť informovať sa vzťahuje aj na takého prevádzkovateľa internetovej stránky, akým je prevádzkovateľ v prejednávanej veci, keďže spĺňa kritériá prevádzkovateľa. Belgicko dodáva, že prevádzkovateľ internetovej stránky môže byť povinný overovať aj účel následného spracovania údajov a prijímať primerané opatrenia na zabezpečenie ochrany fyzických osôb. Nemecká vláda tvrdí, že informačná povinnosť sa vzťahuje na prevádzkovateľa internetovej stránky v prípade, že je zodpovedný za spracovanie, konkrétne v prípade prenosu údajov externému dodávateľovi umiestneného obsahu, ale nie v prípade všetkých následných spracovateľských štádií, za ktoré je zodpovedný daný externý dodávateľ. Podľa názoru Rakúska a Komisie sú povinní poskytovať informácie podľa článku 10 smernice 95/46 tak prevádzkovateľ internetovej stránky, ako aj externý dodávateľ.
83. Je potrebné dodať, že podobné problémy pri vymedzovaní pojmov sa pravdepodobne vyskytnú nielen pri záležitostiach, ktoré sú predmetom piatej a šiestej otázky, ale aj pri zvážení ďalších povinností vymedzených v smernici 95/46, ako napríklad právo prístupu podľa jej článku 12. Je pravda, že Súdny dvor vo veci Wirtschaftsakademie Schleswig‑Holstein konštatoval, že „smernica 95/46 v každom prípade nevyžaduje, aby v prípade, že ide o spoluzodpovednosť viacerých subjektov za to isté spracovanie, mal každý z nich prístup k dotknutým osobným údajom“(40). No prevádzkovateľ, ktorý sám nemá prístup k údajom, pri ktorých je napriek tomu považovaný za (spoločného) prevádzkovateľa, celkom logicky nemôže poskytnúť tento prístup žiadnym dotknutým osobám (nehovoriac o ďalších operáciách, ako je úprava alebo vymazanie).
84. Preto v tejto fáze dochádza k tomu, že nejednoznačné vymedzenie pojmov v predchádzajúcej fáze (kto je prevádzkovateľ a vo vzťahu k čomu presne), ktoré v niektorých prípadoch môže viesť k nejasnostiam v nasledujúcej fáze (kto má aké povinnosti), sa preklápa do situácie, keď potenciálny spoločný prevádzkovateľ skutočne nemôže dodržiavať platné právne predpisy.
85. Určite je možné navrhnúť, že presné rozdelenie zodpovednosti medzi (spoločnými) prevádzkovateľmi (a to potenciálne ich väčším počtom) by mohlo byť predmetom zmlúv. Tieto by nielen zabezpečili rozdelenie zodpovednosti, ale identifikovala by sa v nich aj strana, ktorá má spĺňať jednotlivé povinnosti stanovené v smernici vrátane tých, ktoré fyzicky môže vykonávať len jedna strana.
86. Takéto tvrdenie považujem za veľmi problematické. Po prvé je to absolútne nereálne, ak sa vezme do úvahy hustá sieť formálnych, štandardných zmlúv, ktoré by musela podpísať každá strana pravdepodobne vrátane viacerých bežných používateľov.(41) Po druhé uplatňovanie platných právnych predpisov a pridelenie zodpovedností, ktoré sa v nich stanovujú, by tak bolo podmienené súkromnoprávnymi dohodami, ku ktorým by nemuseli mať prístup tretie strany domáhajúce sa uplatňovania svojich práv.
87. Po tretie v článku 26 všeobecného nariadenia o ochrane údajov sa podľa všetkého zavádza nový systém spoločnej zodpovednosti, ktorý možno čiastočne predchádza niektorým z týchto problémov. Je určite pravda, že všeobecné nariadenie o ochrane údajov nebolo uplatniteľné ratione temporis vo veciach riešených v tejto časti a ani v prejednávanej veci. Pokiaľ však nový právny predpis neobsahuje konkrétnu alebo systematickú odchýlku od príslušných definícií, k čomu podľa všetkého v tomto prípade nedochádza, keďže článok 4 všeobecného nariadenia o ochrane údajov do veľkej miery zachováva tie isté kľúčové pojmy ako článok 2 smernice 95/46 (pričom pridáva viacero nových), bolo by pomerne prekvapujúce, ak by výklad týchto kľúčových pojmov vrátane pojmov prevádzkovateľ, spracovanie, alebo osobné údaje bol značne odlišný (bez presvedčivého zdôvodnenia) od existujúcej judikatúry.
88. Ak by to tak naozaj bolo, zdanlivý systém spoločnej zodpovednosti pre spoločných prevádzkovateľov, zavedený v článku 26 ods. 3 všeobecného nariadenia o ochrane údajov, by mohol predstavovať problém. Na jednej strane v článku 26 ods. 1 všeobecného nariadenia o ochrane údajov sa umožňuje, aby spoloční prevádzkovatelia „určili svoje príslušné zodpovednosti za plnenie povinností“. Na druhej strane sa však v článku 26 ods. 3 všeobecného nariadenia o ochrane údajov objasňuje, že „dotknutá osoba môže uplatniť svoje práva“ „u každého prevádzkovateľa a voči každému prevádzkovateľovi“ bez ohľadu na podmienky takejto dohody. Každý spoločný prevádzkovateľ teda môže byť zodpovedný za predmetné spracovanie údajov.
b) Širšie súvislosti
89. Kedysi dávno (fanúšikovia istej science‑fiction filmovej série by možno dodali „v jednej preďalekej galaxii“) bolo moderné byť na sociálnych sieťach. Potom postupne naopak začínalo byť moderné na sociálnych sieťach nebyť. V súčasnosti sa zdá, že byť používateľom jednej z týchto sietí je priam zločinom (za ktorý je potrebné stanoviť nové formy zástupnej zodpovednosti).
90. Nie je možné poprieť, že k rozhodovaniu súdov dochádza v neustále sa vyvíjajúcom sociálnom prostredí. Rozhodovací proces by na to mal určite reagovať, no nenechať sa tým ovládať. Sociálna sieť, ako každá iná aplikácia alebo program, je nástrojom. Podobne ako nôž alebo auto, môže byť použitý rôznymi spôsobmi. Nemožno takisto pochybovať o tom, že ak sa použije na nesprávne účely, takéto použitie musí byť trestne stíhané. Potrestať každého, kto kedy nejaký nôž použil, však nemusí byť úplne najlepší nápad. Obvykle je trestne stíhaná osoba, ktorá nôž ovládala v čase, keď spôsobil škodu.
91. Mala by preto existovať, ak už nie vždy presná zhoda, tak aspoň primeraná vzájomná súvzťažnosť medzi mocou, ovládaním a zodpovednosťou. Moderné právne predpisy zahŕňajú rôzne formy objektívnej zodpovednosti, na ktorej uplatnenie stačí len to, že dôjde k určitému výsledku. Ide však o odôvodnené výnimky. Ak sa však bez odôvodneného vysvetlenia zodpovednosť prisúdila niekomu, kto nemal nad výsledkom žiadnu kontrolu, takéto pridelenie zodpovednosti sa obvykle považuje za neprimerané alebo nespravodlivé.(42)
92. Navyše pri odpovedaní na otázku položenú v úvode tejto časti (bod 71) by skeptický človek z východnejších častí Európskej únie mohol na základe skúseností z minulosti uviesť, že účinnosť ochrany sa zvykne dramaticky znižovať, ak je za ňu zodpovedný každý. Dať zodpovednosť každému znamená, že v skutočnosti nebude zodpovedný nikto. Alebo skôr presne tá strana, ktorá by sa mala zodpovedať za určité konanie a ktorá vlastne má v rukách prevádzkovanie, sa pravdepodobne schová za všetkými ostatnými stranami, ktoré sú formálne „spoluzodpovedné“, a účinná ochrana sa tým pravdepodobne značne oslabí.
93. A napokon výsledkom dobrého (výkladu) práva by nemalo byť to, že v ňom stanovené povinnosti jeho adresáti v skutočnosti nebudú môcť vykonávať. Preto pokiaľ sa rozsiahle vymedzenie pojmu (spoločné) prevádzkovanie nemá zmeniť na súdne podložený príkaz zrušiť prepojenie na sociálne siete, ktorý by sa vzťahoval na všetkých aktérov, a príkaz nepoužívať žiadne sociálne siete, zásuvné moduly ani možný iný obsah tretích strán, je potrebné, aby pri vymedzovaní povinností a zodpovedností zohrávala úlohu aj realita, znovu vrátane otázok informovanosti a skutočnej vyjednávacej moci a schopnosti ovplyvniť ktorúkoľvek z pripisovaných činností.(43)
4. Naspäť k (legislatívnym) základom: Jednotnosť účelov a prostriedkov vo vzťahu k určitej spracovateľskej operácii
94. Hoci Súdny dvor vo veci Wirtschaftsakademie Schleswig‑Holstein k vymedzeniu pojmu spoločné prevádzkovanie pristupoval pomerne rozsiahlo, naznačil aj potrebu obmedziť zodpovednosť (spoločného) prevádzkovateľa. Súdny dvor konkrétne konštatoval, „že existencia spoločnej zodpovednosti neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov, ktorých sa týka spracovanie osobných údajov. … tieto subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci“(44).
95. Hoci vo veci Wirtschaftsakademie Schleswig‑Holstein nebolo potrebné riešiť túto konkrétnu otázku, táto potreba v prejednávanej veci existuje, keďže vnútroštátny súd priamo vyzýva Súdny dvor, aby určil možné povinnosti žalovanej, ktoré vyplývajú z jej pozície prevádzkovateľa.
96. Vzhľadom na novozavedený systém spoločnej zodpovednosti v článku 26 všeobecného nariadenia o ochrane údajov môže byť náročné predpokladať, ako by zo spoločnej zodpovednosti mohla vyplývať, vzhľadom na ten istý výsledok z hľadiska možného (ne)zákonného zaobchádzania s osobnými údajmi, nerovnaká zodpovednosť. A to predovšetkým vzhľadom na článok 26 ods. 3 všeobecného nariadenia o ochrane údajov, ktorý podľa všetkého smeruje k spoločnej (a nerozdielnej) zodpovednosti.(45)
97. Domnievam sa však, že kľúčovým tvrdením Súdneho dvora je druhé tvrdenie, konkrétne že „subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch“. Takéto tvrdenie je podporené vymedzením pojmov obsiahnutým v smernici 95/46, pokiaľ ide o definíciu i) pojmu spracovanie v článku 2 písm. b) a ii) pojmu prevádzkovateľ v článku 2 písm. d).
98. Po prvé pojem spracovanie osobných údajov obsahuje „akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom [prenos – neoficiálny preklad], šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie“.
99. Aj keď pojem spracovanie je podobne ako pojem prevádzkovateľ pomerne široký,(46) jednoznačne zdôrazňuje fázu spracovania, na ktorú sa zameriava: odkazuje na operáciu alebo komplex operácií s ukážkovým zoznamom jednotlivých takýchto operácií. Logicky by sa však potom otázka prevádzkovania mala posudzovať skôr vzhľadom na konkrétnu predmetnú operáciu, a nie vzhľadom na neurčitý balík všetkých možných činností nazývaný spracovanie.(47)
100. Po druhé pojem spoločného prevádzkovania nie je v smernici 95/46 konkrétne vymedzený. Tento pojem však logicky vychádza z pojmu prevádzkovateľa v článku 2 písm. d): k situácii spoločného prevádzkovania dochádza, keď dve alebo viaceré osoby určujú účely a prostriedky spracovania osobných údajov spoločne.(48) Inými slovami na to, aby sa dve (alebo viaceré) osoby mohli považovať za spoločných prevádzkovateľov, musí medzi nimi existovať zhoda o účeloch a prostriedkoch spracovania osobných údajov.
101. Podľa môjho názoru by kombinácia týchto dvoch definícií mala určovať povinnosť a možnú zodpovednosť spoločných prevádzkovateľov. (Spoločný) prevádzkovateľ je zodpovedný za tú operáciu alebo súbor operácií, pri ktorých sa podieľa na účeloch a prostriedkoch alebo ktoré spoluurčuje, pokiaľ ide o danú spracovateľskú operáciu. Naopak, táto osoba nemôže niesť zodpovednosť ani za predchádzajúce fázy, ani za nasledujúce fázy celkového reťazca spracovania, pri ktorých nemala možnosť určovať ani účely, ani prostriedky danej fázy spracovania.
102. V prejednávanej veci zodpovedá relevantná fáza (operácie) spracovania získavaniu a prenosu osobných údajov, ku ktorému dochádza prostredníctvom ikony „Páči sa mi to“ spoločnosti Facebook.
103. Po prvé, pokiaľ ide o prostriedky týchto spracovateľských operácií, na základe tvrdení žalobcu, LDI NRW a nemeckej vlády je podľa všetkého preukázané, že žalovaná rozhoduje o používaní predmetného zásuvného modulu, ktorý slúži ako prostriedok získavania a prenosu osobných údajov. Toto získavanie a prenos spúšťa návšteva internetovej stránky žalovanej. Tento zásuvný modul poskytla žalovanej spoločnosť Facebook Ireland. Preto sa zdá, že fázu získavania a prenosu pri spracovaní údajov dobrovoľne zapríčinili obe spoločnosti, Facebook Ireland aj žalovaná. V skutkovej rovine to samozrejme musí overiť vnútroštátny súd.
104. Po druhé pri pohľade na účel spracovania údajov v návrhu na začatie prejudiciálneho konania sa neuvádzajú dôvody, na základe ktorých sa žalovaná rozhodla umiestniť ikonu „Páči sa mi to“ spoločnosti Facebook do svojej internetovej stránky. S výhradou overenia vnútroštátneho súdu však podľa všetkého toto rozhodnutie bolo inšpirované túžbou zvýšiť viditeľnosť produktov žalovanej prostredníctvom sociálnej siete. Zároveň sa však zdá, že údaje prenesené spoločnosti Facebook Ireland sa používajú na jej vlastné komerčné účely.
105. Napriek skutočnosti, že konkrétne komerčné využitie údajov nemusí byť rovnaké, vo všeobecnosti žalovaná aj Facebook Ireland podľa všetkého sledujú všeobecné komerčné ciele spôsobom, ktorý sa zdá byť vzájomne komplementárny. Na základe toho preto existuje jednotnosť, hoci nie zhoda účelu: komerčný a reklamný účel.
106. Pokiaľ ide o skutkové okolnosti prejednávanej veci, žalovaná a Facebook Ireland podľa všetkého spolurozhodujú o prostriedkoch a účeloch spracovania údajov vo fáze získavania a prenosu predmetných osobných údajov. V tomto rozsahu žalovaná koná ako prevádzkovateľ a jej zodpovednosť je v rovnakom rozsahu spoločná so zodpovednosťou spoločnosti Facebook Ireland.
107. Zároveň sa však domnievam, že zodpovednosť žalovanej musí byť obmedzená na fázu spracovania údajov, na ktorej sa podieľa, a že sa nemôže rozšíriť na žiadne iné možné následné fázy spracovania údajov, ak k takému spracovaniu dochádza mimo kontroly a podľa všetkého aj bez vedomosti žalovanej.
108. Vzhľadom na vyššie uvedené je mojím druhým predbežným návrhom to, že osoba, akou je žalovaná, ktorá umiestnila do svojej internetovej stránky zásuvný modul tretej strany, ktorý spôsobuje získavanie a prenos osobných údajov používateľa (pričom táto tretia strana tento zásuvný modul poskytla), sa považuje za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. (Spoločná) zodpovednosť tohto prevádzkovateľa je však obmedzená na tie operácie, pri ktorých reálne spolurozhoduje o prostriedkoch a účeloch spracovania osobných údajov.
109. Je potrebné dodať, že tento záver je zároveň odpoveďou na tretiu položenú otázku. V uvedenej otázke vnútroštátny súd chce v podstate zistiť, či smernica 95/46 bráni uplatňovaniu vnútroštátneho konceptu Störer (narušiteľ) na žalovanú v prípade, že bude konštatované, že žalovaná nemôže byť považovaná za prevádzkovateľa. Podľa návrhu na začatie prejudiciálneho konania sa v zmysle konceptu Störer od osoby, ktorá sama neporušila právo, ale ktorá vyvolala alebo zvýšila riziko, že právo poruší tretia strana, vyžaduje, aby vykonala všetko, čo je pre ňu primerané a možné, aby zabránila tomuto porušeniu práva. Ak žalovaná nemôže byť považovaná za prevádzkovateľa, vnútroštátny súd navrhuje, že predpoklady na uplatnenie konceptu Störer boli splnené, keďže umiestnením zásuvného modulu pre ikonu „Páči sa mi to“ spoločnosti Facebook žalovaná prinajmenšom vyvolala riziko porušenia práva zo strany spoločnosti Facebook.
110. Vzhľadom na odpoveď na druhú prejudiciálnu otázku vnútroštátneho súdu nie je potrebné odpovedať na tretiu prejudiciálnu otázku. Po stanovení toho, že určitá osoba sa má považovať za prevádzkovateľa v pôsobnosti smernice 95/46, je potrebné jej povinnosti posúdiť z hľadiska povinností stanovených v uvedenej smernici. Opačný záver by viedol k rozdielnej zodpovednosti prevádzkovateľov za konkrétne porušenie práva v rôznych členských štátoch. V tomto zmysle a vzhľadom na vymedzenie pojmu prevádzkovateľ smernica 95/46 naozaj má za cieľ úplnú harmonizáciu vo vzťahu k adresátom vymedzených povinností.(49)
C. Legitímne záujmy, ktoré je potrebné zohľadniť podľa článku 7 písm. f) smernice 95/46
111. Štvrtá prejudiciálna otázka v prejednávanej veci sa týka legitímnosti spracovania osobných údajov v prípade chýbajúceho súhlasu dotknutej osoby v zmysle článku 7 písm. a) smernice 95/46.
112. V tomto zmysle vnútroštátny súd poukazuje na článok 7 písm. f) smernice 95/46, v ktorom sa stanovuje, že osobné údaje môžu byť spracované, ak je to „nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór [prevádzkovateľ – neoficiálny preklad], alebo tretia strana alebo strany, ktorým sú údaje odhalené [prenesené – neoficiálny preklad], s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi [s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu podľa článku 1 ods. 1 – neoficiálny preklad]…“. Vnútroštátny súd konkrétnejšie chce zistiť, koho legitímne záujmy by mali byť zohľadňované v kontexte prejednávanej veci: žalovanej, ktorá umiestnila obsah tretej strany, alebo tretej strany (konkrétne spoločnosti Facebook Ireland).(50)
113. Na úvod je potrebné poznamenať, že Komisia sa domnieva, že štvrtá otázka nie je relevantná, pretože v tomto prípade používateľ musel súhlas poskytnúť aj tak na základe uplatnenia právnych predpisov, ktorými sa vykonáva smernica 2002/58/ES týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (ďalej len „smernica o súkromí a elektronických komunikáciách“)(51).
114. Súhlasím s Komisiou, že smernica o súkromí a elektronických komunikáciách (v ktorej sa podľa jej článku 1 ods. 2 objasňuje a doplňuje smernica 95/46 v sektore elektronických komunikácií)(52) sa podľa všetkého vzťahuje na predmetnú situáciu v prípade, že dochádza k vkladaniu súborov cookie do zariadenia používateľa.(53) Okrem toho sa v článku 2 písm. f) a odôvodnení 17 smernice o súkromí a elektronických komunikáciách súhlas vymedzuje odkazom na pojem súhlas v smernici 95/46/ES.
115. To, či došlo k vkladaniu súborov cookie v spore vo veci samej, bolo predmetom rozsiahlej diskusie počas pojednávania. Overenie týchto skutkových okolností prináleží vnútroštátnemu súdu. V každom prípade však, ako sa uvádza v návrhu na začatie prejudiciálneho konania, tento súd zastáva názor, že prenášané údaje predstavujú osobné údaje.(54) Otázka súborov cookie preto podľa všetkého neposkytuje odpoveď na všetky problémy, ktoré v prejednávanej veci vznikajú vo vzťahu k spracovaniu údajov.(55)
116. Domnievam sa preto, že štvrtá otázka si vyžaduje ďalšie zváženie.
117. Žalobca tvrdí, že legitímne záujmy, ktoré je potrebné zohľadniť, sú záujmy žalovanej. Dodáva, že ani žalovaná, ani Facebook Ireland sa nemôžu v prejednávanej veci domáhať legitímneho záujmu.
118. Žalovaná a Facebook Ireland v podstate tvrdia, že legitímne záujmy, ktoré je potrebné zohľadňovať, sú záujmy osoby, ktorá zapracuje obsah tretej strany, ako aj záujmy tretej strany pri zohľadnení záujmov návštevníkov internetovej stránky, ktorých základné práva môžu byť dotknuté.
119. LDI NW, Poľsko, Nemecko a Taliansko sa domnievajú, že by sa mali zohľadňovať legitímne záujmy žalovanej, ako aj spoločnosti Facebook Ireland, keďže obe z nich umožnili predmetné spracovanie. Rakúsko má podobný názor. Podobne a s odkazom na rozhodnutie Súdneho dvora vo veci Google Spain Belgicko zdôrazňuje, že legitímne záujmy, ktoré je potrebné zohľadniť, sú záujmy prevádzkovateľa, ako aj tretích strán, ktorým sa dotknuté osobné údaje poskytujú.
120. Na úvod je potrebné pripomenúť, že akékoľvek spracovanie osobných údajov musí okrem iného v zásade zodpovedať jednej zo zásad týkajúcich sa zákonnosti spracovania údajov podľa článku 7 smernice 95/46.(56)
121. Konkrétne pokiaľ ide o článok 7 písm. f), Súdny dvor pripomenul, že toto ustanovenie „stanovuje na to, aby spracovanie osobných údajov bolo zákonné, tri kumulatívne podmienky, a to po prvé sledovanie legitímneho záujmu osobou zodpovednou za spracovanie alebo tretími osobami, ktorým sú údaje oznámené, po druhé nevyhnutnosť spracovania osobných údajov na realizáciu sledovaného legitímneho záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka“(57).
122. V smernici 95/46 sa nevymedzujú ani nevymenúvajú „legitímne záujmy“. Tento pojem je podľa všetkého pomerne elastický a otvorený.(58) Neexistuje druh záujmu, ktorý by bol ako taký vylúčený, pokiaľ je sám osebe zákonný. Ako sa v podstate diskutovalo na pojednávaní a ako je uvedené vyššie,(59) problémom v prejednávanej veci je podľa všetkého získavanie a prenos osobných údajov na účely optimalizácie reklamy, hoci konkrétne konečné komerčné ciele žalovanej a spoločnosti Facebook Ireland nemusia byť úplne presne rovnaké.
123. Vzhľadom na tieto úvahy by som súhlasil, že marketing alebo reklama ako také môžu predstavovať takýto legitímny záujem.(60) V kontexte prejednávanej veci je pomerne náročné uviesť viac ako toto tvrdenie, keďže okrem týchto všeobecných vyhlásení nie je známe nič viac o presnom spôsobe, akým sa prenášané a získavané údaje používajú.
124. Vnútroštátny súd sa pritom nezaoberá otázkou posúdenia, ktoré je potrebné vykonať vzhľadom na konkrétne legitímne záujmy, ktoré sú predmetom prejednávanej veci, a ani k nemu nepožaduje usmernenie. Svojou štvrtou otázkou vnútroštátny súd chce zistiť len to, koho legitímne záujmy sa majú zohľadňovať pri zvažovaní záujmov podľa článku 7 písm. f) smernice 95/46.
125. Vzhľadom na moju vyššie navrhovanú odpoveď na druhú otázku sa domnievam, že je potrebné zohľadniť legitímne záujmy oboch spoločností, žalovanej aj spoločnosti Facebook Ireland, pretože obe konajú ako spoloční prevádzkovatelia vo vzťahu k príslušnej operácii spracovania osobných údajov.
126. Keďže z ich postavenia ako spoločných prevádzkovateľov takisto vyplýva, že majú spoločné ciele pri spracovaní osobných údajov, je potrebné konštatovať existenciu legitímneho záujmu oboch spoločností, a to aspoň na všeobecnej úrovni, ako sa uvádza vyššie. Tento záujem je potom potrebné zvážiť vo vzťahu k právam dotknutých osôb, stanoveným v poslednej časti článku 7 písm. f) smernice 95/46,(61) pričom toto zváženie „v zásade závisí od konkrétnych okolností jednotlivého prípadu“(62). Pripomínam, že spracovanie údajov za takýchto okolností musí podliehať aj podmienke nevyhnutnosti.(63)
127. Vzhľadom na vyššie uvedené je mojím tretím predbežným návrhom to, že na účely posúdenia možnosti spracovať osobné údaje za podmienok stanovených v článku 7 písm. f) smernice 95/46, je potrebné zohľadniť legitímne záujmy oboch spoločných prevádzkovateľov a zvážiť ich vo vzťahu k právam dotknutých osôb.
D. Povinnosti žalovanej týkajúce sa súhlasu dotknutej osoby a informácií poskytovaných dotknutej osobe
128. Piatou otázkou chce vnútroštátny súd zistiť, komu sa má za okolností prejednávanej veci poskytovať súhlas, ktorý má byť vyjadrený podľa článku 7 písm. a) a článku 2 písm. h) smernice 95/46.
129. Šiestou otázkou chce vnútroštátny súd zistiť, či sa povinnosť informovať podľa článku 10 smernice 95/46 uplatňuje v prejednávanej situácii na prevádzkovateľa internetovej stránky (akým je žalovaná), ktorý umiestnil obsah tretej strany a spôsobil tým spracovanie osobných údajov touto treťou stranou.
130. Ako sa uvádza vyššie,(64) na tieto otázky existuje mnoho navrhovaných odpovedí. Po stanovení presnej povahy povinnosti uvádzanej v druhej otázke, a to vo vzťahu k nositeľovi (kto), ako aj k povahe tejto povinnosti (v súvislosti s čím), a po objasnení tejto záležitosti pre predchádzajúce fázy sa však odpoveď na piatu a šiestu otázku, ktoré sa týkajú určitých povinností v nasledujúcej fáze, stáva jasnejšou.
131. Po prvé sa domnievam, že poskytnutý súhlas, ako aj poskytnuté informácie sa musia týkať všetkých aspektov operácie spracovania údajov, za ktoré sú spoloční prevádzkovatelia spoločne zodpovední, konkrétne získavania a prenosu. Naopak, tieto povinnosti vo vzťahu k súhlasu a informovaniu sa nerozširujú na nasledujúce fázy spracovania údajov, na ktorých sa žalovaná nepodieľa a pri ktorých logicky neurčuje ani prostriedky, ani účely.
132. Po druhé by za týchto podmienok bolo možné navrhnúť, že súhlas sa má poskytnúť ktorémukoľvek zo spoločných prevádzkovateľov. No vzhľadom na konkrétnu prejednávanú situáciu musí byť tento súhlas poskytnutý žalovanej, pretože fakticky pri návšteve jej internetovej stránky sa spúšťa spracovateľská operácia. Je jasné, že efektívnej a včasnej ochrane práv dotknutých osôb by nezodpovedal stav, pri ktorom by sa súhlas poskytoval len spoločnému prevádzkovateľovi, ktorý sa podieľa na neskoršej fáze (ak vôbec), po uskutočnení získavania a prenosu údajov.
133. Podobnú odpoveď je potrebné poskytnúť aj vo vzťahu k informačnej povinnosti, ktorú má žalovaná podľa článku 10 smernice 95/46. V tomto ustanovení sa vymedzuje zoznam minimálnych informácií, ktoré musí prevádzkovateľ (alebo jeho zástupca) dotknutej osobe poskytnúť. Obsahuje tieto prvky: identita prevádzkovateľa (alebo jeho zástupcu); účely spracovania, pre ktoré sú údaje potrebné a akékoľvek ďalšie informácie, či už sú takéto ďalšie informácie „potrebné, so zreteľom na špecifické okolnosti za ktorých sa údaje zhromažďujú, zaručenie správneho spracovania vzhľadom na osobu pracujúcu s údajmi [dotknutú osobu – neoficiálny preklad]“. V článku 10 sa uvádzajú príklady takýchto ďalších informácií, ktoré z hľadiska relevantnosti pre prejednávanú vec zahŕňajú informácie o príjemcovi údajov alebo o existencii práva prístupu a práva skorigovania údajov, ktoré sa dotknutej osoby týkajú.
134. Pokiaľ ide o tento zoznam, žalovaná je podľa všetkého jednoznačne schopná poskytovať informácie o identite spoločných prevádzkovateľov, o účele príslušnej fázy spracovania (operácie/operácií, pri ktorých vykonáva spoločné prevádzkovanie) a o skutočnosti, že tieto údaje budú poskytované ďalej.
135. Naopak, pokiaľ ide o právo prístupu a právo skorigovať údaje, domnievam sa, že žalovaná sama nemá takýto prístup k údajom, ktoré sa prenášajú spoločnosti Facebook Ireland, keďže sa nijako nezúčastňuje na uchovávaní údajov. Preto by bolo možné napríklad navrhnúť, že táto záležitosť by bola predmetom dohody so spoločnosťou Facebook Ireland.
136. Takýmito návrhmi by sa však, okrem už uvedených tvrdení,(65) opäť smerovalo k rozšíreniu povinností a zodpovednosti (spoločného) prevádzkovateľa na operácie, za ktoré zodpovedný nie je. Ak spoločné prevádzkovanie znamená zodpovednosť za tie operácie, pri ktorých existuje jednotnosť účelov a prostriedkov medzi prevádzkovateľmi, potom by logicky ostatné povinnosti vyplývajúce zo smernice, ako sú povinnosti vo vzťahu k súhlasu, informovaniu a úprave, mali zodpovedať rozsahu tejto pôvodnej povinnosti.(66)
137. Komisia takisto na pojednávaní poznamenala, že tí návštevníci, ktorí majú konto Facebook, mohli už predtým poskytnúť súhlas s vykonaním takéhoto prenosu. To by mohlo viesť k diferencovanej povinnosti žalovanej, keďže Komisia podľa všetkého navrhuje, že informačná povinnosť žalovanej a povinnosť vyžadovať súhlas by sa vzťahovali len na používateľov, ktorí nie sú používateľmi spoločnosti Facebook a navštívia internetovú stránku žalovanej.
138. S tým nesúhlasím. Je ťažké akceptovať myšlienku, že s „používateľmi spoločnosti Facebook“ by sa malo zaobchádzať odlišne (poskytovať im menej ochrany) za okolností prejednávanej veci, pretože už akceptovali možnosť spracovania (každého druhu) ich osobných údajov zo strany spoločnosti Facebook. Z takéhoto tvrdenia skutočne vyplýva, že zriadením konta Facebook dochádza už vopred k akceptovaniu akéhokoľvek spracovania údajov vo vzťahu k akejkoľvek on‑line činnosti takýchto „používateľov siete Facebook“ zo strany akejkoľvek tretej strany, ktorá je v ľubovoľnom vzťahu k spoločnosti Facebook. Je to tak aj v prípade, že neexistujú žiadne viditeľné známky takéhoto spracovania údajov (ako je to podľa všetkého v prípade návštevy internetovej stránky žalovanej). Inak povedané, akceptovanie návrhu Komisie by v podstate znamenalo, že zriadením konta Facebook sa používateľ v skutočnosti vzdal akejkoľvek ochrany osobných údajov on‑line vo vzťahu k spoločnosti Facebook.
139. Domnievam sa preto, že zodpovednosť žalovanej a jej príslušné povinnosti získavať súhlas a informovať by mali byť rovnaké vo vzťahu k dotknutým osobám bez ohľadu na to, či majú alebo nemajú konto Facebook.
140. Okrem toho je znovu jasné, že súhlas je potrebné získať a informácie poskytnúť pred získavaním a prenosom údajov.(67)
141. Preto vzhľadom na vyššie uvedené je mojím záverečným predbežným návrhom v reakcii na piatu a šiestu otázku to, že v takej situácii, aká je predmetom prejednávanej veci, sa súhlas dotknutej osoby získaný podľa článku 7 písm. a) smernice 95/46 musí poskytovať prevádzkovateľovi internetovej stránky, akým je žalovaná, ktorá umiestnila obsah tretej strany. Článok 10 smernice 95/46 sa má vykladať v tom zmysle, že informačná povinnosť podľa tohto ustanovenia sa vzťahuje aj na takéhoto prevádzkovateľa internetovej stránky. Súhlas dotknutej osoby podľa článku 7 písm. a) smernice 95/46 a informácie v zmysle článku 10 tej istej smernice je potrebné poskytnúť pred získavaním a prenosom údajov. Rozsah týchto povinností však má zodpovedať spoločnej zodpovednosti tohto prevádzkovateľa za získavanie a prenos osobných údajov.
V. Návrh
142. Vzhľadom na vyššie uvedené úvahy navrhujem, aby Súdny dvor na otázky, ktoré mu položil Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko), odpovedal takto:
Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov nebráni vnútroštátnej právnej úprave, ktorá verejnoprospešným združeniam priznáva aktívnu legitimáciu na podanie žaloby proti údajnému porušovateľovi právnych predpisov na ochranu osobných údajov s cieľom chrániť záujmy spotrebiteľov.
Osoba, ktorá vložila do svojej internetovej stránky zásuvný modul tretej strany, ktorý umožní získavanie a prenos osobných údajov používateľa (pričom táto tretia strana tento zásuvný modul poskytla), sa považuje za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. (Spoločná) zodpovednosť tohto prevádzkovateľa je však obmedzená na tie operácie, pri ktorých reálne spolurozhoduje o prostriedkoch a účeloch spracovania osobných údajov.
Na účely posúdenia možnosti spracovať osobné údaje za podmienok stanovených v článku 7 písm. f) smernice 95/46 je potrebné zohľadniť legitímne záujmy oboch spoločných prevádzkovateľov a zvážiť ich vo vzťahu k právam dotknutých osôb.
Súhlas dotknutej osoby získaný podľa článku 7 písm. a) smernice 95/46 sa musí poskytovať prevádzkovateľovi internetovej stránky, ktorý umiestnil obsah tretej strany. Článok 10 smernice 95/46 sa má vykladať v tom zmysle, že informačná povinnosť podľa tohto ustanovenia sa vzťahuje aj na takéhoto prevádzkovateľa internetovej stránky. Súhlas dotknutej osoby podľa článku 7 písm. a) smernice 95/46 a informácie v zmysle článku 10 tej istej smernice je potrebné poskytnúť pred získavaním a prenosom údajov. Rozsah týchto povinností však má zodpovedať spoločnej zodpovednosti tohto prevádzkovateľa za získavanie a prenos osobných údajov.