STANOVISKO GENERÁLNÍHO ADVOKÁTA
MICHALA BOBKA
přednesené dne 19. prosince 2018(1)
Věc C‑40/17
Fashion ID GmbH & Co. KG
proti
Verbraucherzentrale NRW e.V.
další účastníci:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
[žádost o rozhodnutí o předběžné otázce podaná Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu, Německo)]
„Řízení o předběžné otázce – Směrnice 95/46/ES – Ochrana osobních údajů uživatelů internetové stránky – Aktivní legitimace sdružení na ochranu spotřebitelů k podání žaloby – Odpovědnost provozovatele internetové stránky – Předávání osobních údajů třetí osobě – Začleněný zásuvný modul – Facebook ‚Like Box‘ – Oprávněné zájmy – Souhlas subjektu údajů – Informační povinnost“
I. Úvod
1. Fashion ID GmbH & Co. KG je společnost obchodující na internetu s módním zbožím. Na svou internetovou stránku začlenila zásuvný modul: Facebook „Like Box“ [Facebookové tlačítko „To se mi líbí“]. Důsledkem je, že když uživatel vstoupí na internetovou stránku Fashion ID, dojde k odeslání informace o jeho IP adrese a názvu jeho prohlížeče společnosti Facebook. K tomuto předání dochází automaticky v okamžiku, kdy se internetová stránka Fashion ID načte, bez ohledu na to, zda uživatel na tlačítko „Like“ klikne a zda má či nemá účet na síti Facebook.
2. Verbraucherzentrale NRW e.V., německé sdružení na ochranu spotřebitelů, podalo proti společnosti Fashion ID žalobu na zdržení se jednání s odůvodněním, že použití tohoto zásuvného modulu vede k porušování právních předpisů na ochranu osobních údajů.
3. Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu, Německo), který ve věci rozhoduje, žádá o výklad několika ustanovení směrnice 95/46/ES (dále jen „směrnice 95/46“)(2). Předkládající soud se nejprve dotazuje, zda tato směrnice umožňuje, aby vnitrostátní právní předpisy přiznaly spotřebitelskému sdružení aktivní legitimaci k podání žaloby, jako je žaloba v projednávaném případě. Pokud jde o věc samou, hlavní otázka zní, zda společnost Fashion ID je třeba v souvislosti s probíhajícím zpracováním údajů považovat za „správce“, a pokud ano, jak konkrétně mají v takovém případě být splněny jednotlivé povinnosti uložené směrnicí 95/46. Čí oprávněné zájmy je třeba posuzovat v rámci vážení požadovaného dle ustanovení čl. 7 písm. f) směrnice 95/46? Má společnost Fashion ID povinnost informovat subjekty údajů o zpracování? A platí rovněž, že společnost Fashion ID má v tomto ohledu povinnost získat vědomý souhlas subjektů údajů?
II. Právní rámec
A. Unijní právo
Směrnice 95/46
4. Účel směrnice 95/46 je stanovený v jejím prvním článku. První odstavec tohoto článku zní: „[č]lenské státy zajišťují v souladu s touto směrnicí ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů“. Dle druhého odstavce daného ustanovení pak „[č]lenské státy nemohou omezit ani zakázat volný pohyb osobních údajů mezi členskými státy z důvodů ochrany zajištěné podle odstavce 1“.
5. Článek 2 obsahuje následující definice:
„a) ‚osobními údaji‘ [se rozumí] veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity;
b) ‚zpracováním osobních údajů‘ (‚zpracování‘) [se rozumí] jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace;
[…]
d) ‚správcem‘ [se rozumí] fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; jsou-li účel a prostředky zpracování určeny právními a správními předpisy na úrovni jednotlivých států či Společenství, je možné určit správce nebo zvláštní kritéria pro jeho určení právem jednotlivých států nebo Společenství;
[…]
h) ‚souhlasem subjektu údajů‘ [se rozumí] jakýkoli svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování.“
6. Článek 7 stanoví kritéria, která musí být splněna, aby bylo zpracování údajů oprávněné: „Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud:
a) subjekt údajů nezpochybnitelně udělil souhlas; nebo
[…]
f) je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1.“
7. Článek 10 stanoví minimální informace, které musí být subjektu údajů poskytnuty:
„Členské státy stanoví, že správce nebo jeho zástupce musí poskytnout osobě, od které získává údaje, které se jí týkají, alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen:
a) totožnost správce a popřípadě jeho zástupce;
b) účely zpracování, pro které jsou údaje určeny;
c) veškeré doplňující informace jako:
– příjemci nebo kategorie příjemců údajů,
– skutečnost, zda jsou odpovědi na otázky povinné nebo dobrovolné a případné důsledky neposkytnutí odpovědi;
– existence práva na přístup k údajům, které se subjektu údajů týkají, a právo na jejich opravu,
v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů, s ohledem na zvláštní okolnosti, za jakých jsou údaje shromažďovány.“
8. Kapitola III směrnice 95/46 se týká soudního přezkumu, odpovědnosti a sankcí. Články 22 až 24 tam uvedené stanoví:
„Článek 22
Soudní přezkum
Aniž je tím dotčena možnost opravného prostředku ve správním řízení, který je možno podat, zejména orgánu dozoru uvedenému v článku 28, stanoví všechny členské státy, že každá osoba má právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené zpracování, předložit věc soudu.
Článek 23
Odpovědnost
1. Členské státy stanoví, že kdokoli, kdo byl poškozen neoprávněným zpracováním nebo jinou činností neslučitelnou s vnitrostátními předpisy přijatými k provedení této směrnice, má právo na náhradu utrpěné škody od správce.
Správce může být částečně nebo zcela zbaven této odpovědnosti, pokud prokáže, že za vznik škody neodpovídá.
Článek 24
Sankce
Členské státy přijmou vhodná opatření, kterými zajistí uplatňování ustanovení této směrnice, a zejména určí sankce, které se uplatní v případě porušení předpisů přijatých na základě této směrnice.“
B. Německé právo
Gesetz gegen den unlauteren Wettbewerb
9. Ustanovení § 3 odst. 1 Gesetz gegen den unlauteren Wettbewerb (zákon na ochranu proti nekalé hospodářské soutěži, dále jen „UWG“) stanoví, že protiprávní obchodní praktiky jsou zakázány.
10. Ustanovení § 8 odst. 1 a odst. 3 bodu 3 UWG stanoví, že obchodní praktika, která je protiprávní, může vést k uložení povinnosti zdržet se těchto praktik anebo k uložení zákazu na základě žádosti podané „oprávněnými subjekty“ uvedenými v Unterlassungsklagengesetz (zákon o žalobách na zdržení se jednání) nebo na seznamu Evropské komise podle čl. 4 odst. 3 směrnice 2009/22/ES o žalobách na zdržení se jednání v oblasti ochrany zájmů spotřebitelů(3).
Unterlassungsklagengesetz
11. Ustanovení § 2 odst. 1 a odst. 2 bodu 11 Unterlassungsklagengesetz (zákon o žalobách na zdržení se jednání) stanoví:
„(1) Proti každému, kdo poruší právní předpisy na ochranu spotřebitele (zákony o ochraně spotřebitele) jinak než za uplatnění nebo doporučení všeobecných prodejních podmínek, může být podána žaloba na zdržení se jednání v zájmu ochrany spotřebitele.
(2) Ve smyslu tohoto ustanovení se ,zákony o ochraně spotřebitele‘ rozumí zejména
[…]
11. předpisy upravující zákonnost
a) shromažďování osobních údajů o uživateli ze strany hospodářského subjektu nebo
b) zpracovávání nebo používání osobních údajů, které hospodářský subjekt shromáždil o určitém uživateli,
pokud jsou tyto údaje shromažďovány, zpracovávány nebo používány za účelem reklamy, průzkumu trhu nebo veřejného mínění, provozování informační agentury, vytváření osobnostních nebo uživatelských profilů, obchodování s adresami, cíleného obchodování s daty nebo k podobným komerčním účelům.“
Telemediengesetz
12. Ustanovení § 2 odst. 1 Telemediengesetz (zákon o službách elektronických informací a komunikací, dále jen „TMG“) stanoví:
„Ve smyslu tohoto zákona
1. je poskytovatelem služeb každá fyzická nebo právnická osoba, která umožňuje využívání vlastních nebo cizích služeb elektronických informací a komunikací zajišťováním jejich přípravy nebo jejich zpřístupňováním; […]“
13. Ustanovení § 12 odst. 1 TMG stanoví: „Poskytovatel služeb může shromažďovat a používat osobní údaje za účelem poskytování služeb elektronických informací a komunikací pouze tehdy, pokud to dovoluje tento zákon nebo jiný právní předpis, který se výslovně týká služeb elektronických informací a komunikací, nebo pokud s tím uživatel souhlasil.“
14. Ustanovení § 13 odst. 1 TMG stanoví:
„Poskytovatel služeb na začátku využívání těchto služeb uživatele všeobecně srozumitelnou formou poučí o způsobu, rozsahu a účelech shromažďování a používání osobních údajů, jakož i o zpracovávání jeho údajů ve státech, které nespadají do oblasti působnosti [směrnice 95/46], pokud tak neučinil již dříve. V případě automatizovaného postupu, který umožňuje pozdější identifikaci uživatele a připravuje shromažďování nebo používání osobních údajů, musí být uživatel poučen na začátku tohoto postupu. Uživatel musí mít možnost stálého přístupu k obsahu tohoto poučení.“
15. Ustanovení § 15 odst. 1 TMG stanoví:
„Poskytovatel služeb může shromažďovat a využívat osobní údaje uživatele, pouze pokud je to nezbytné k tomu, aby bylo umožněno a vyúčtováno použití služeb elektronických informací a komunikací (údaje o použití). Údaji o použití jsou zejména:
1. údaje potřebné pro identifikaci uživatele,
2. údaje týkající se začátku a konce, jakož i rozsahu konkrétního použití a
3. údaje týkající se služeb elektronických informací a komunikací využitých uživatelem.“
III. Skutkové okolnosti, řízení a předběžné otázky
16. Společnost Fashion ID (dále jen „žalovaná“) je internetový maloobchodní prodejce. Na své internetové stránce prodává módní zboží. Žalovaná do své internetové stránky začlenila zásuvný modul „Like Box“, poskytovaný společností Facebook Ireland Limited (dále jen „Facebook Ireland“)(4). V důsledku toho se na internetové stránce žalované zobrazuje tzv. Facebook „Like Box“.
17. Předkládací rozhodnutí dále objasňuje funkci (neviditelné) části zásuvného modulu: v okamžiku, kdy návštěvník zobrazí internetovou stránku žalované, na které je umístěn Facebook „Like Box“, jeho prohlížeč automaticky odešle údaje o jeho IP adrese a názvu prohlížeče společnosti Facebook Ireland. K předání této informace dojde, aniž by bylo třeba na tlačítko Facebook „Like Box“ skutečně kliknout. Z předkládacího rozhodnutí podle všeho plyne rovněž to, že v okamžiku, kdy je internetová stránka žalované zobrazena, společnost Facebook Ireland na zařízení uživatele umístí různé druhy souborů cookies (session, datr a fr cookies).
18. Verbraucherzentrale NRW (dále jen „žalobce“), sdružení na ochranu spotřebitelů, podalo proti žalované žalobu k Landgericht (zemský soud v Německu). Žalobce se domáhal, aby žalované byla uložena povinnost upustit od začleňování sociálního zásuvného modulu „Like Box“ od společnosti Facebook s odůvodněním, že žalovaná údajně opomněla:
– „výslovně a jasně vysvětlit účel shromažďování a použití tímto způsobem předávaných údajů uživatelům internetové stránky před tím, než poskytovatel zásuvného modulu začne zjišťovat IP adresu uživatele a název uživatelova prohlížeče; nebo
– získat souhlas uživatelů internetové stránky s přístupem poskytovatele zásuvného modulu k údajům o jejich IP adrese a názvu prohlížeče a k použití těchto údajů, v každém případě před samotným přístupem; nebo
– poučit uživatele, kteří udělili svůj souhlas ve smyslu druhého bodu návrhového žádání, že tento souhlas mohou kdykoli s účinkem do budoucna odvolat; nebo
– uvést sdělení ‚Jste-li členem sociální sítě a nechcete, aby tato sociální síť spojovala údaje shromážděné při vaší návštěvě naší internetové stránky s vašimi uživatelskými údaji uloženými na této sociální síti, musíte se před návštěvou naší internetové stránky z této sociální sítě odhlásit‘.“
19. Žalobce tvrdil, že společnost Facebook Inc. nebo společnost Facebook Ireland ukládá IP adresu a údaje o názvu prohlížeče a spojuje je s příslušnými uživateli (členy i nečleny). Žalovaná proti tomu namítá nedostatečnou znalost dané problematiky. Facebook Ireland tvrdí, že IP adresy jsou generalizovány a ukládány pouze v této pozměněné podobě a že k přiřazování IP adres a názvů prohlížečů k uživatelským účtům nedochází.
20. Landgericht (zemský soud) v případě prvních třech žalobních důvodů rozhodl v neprospěch žalované. Žalovaná podala odvolání. Žalobce podal vedlejší opravný prostředek proti rozhodnutí o čtvrtém žalobním důvodu.
21. S ohledem na tyto skutkové a právní okolnosti se Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu) rozhodl položit Soudnímu dvoru následující otázky:
„1) Brání ustanovení článků 22, 23 a 24 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355) vnitrostátní právní úpravě, která vedle intervenčních pravomocí orgánů pro ochranu údajů a možností dotčené strany v oblasti soudního přezkumu přiznává veřejně prospěšným sdružením na ochranu zájmů spotřebitelů pravomoc zahájit v případě porušování těchto zájmů postup proti jejich porušovateli?
V případě, že bude na první otázku odpovězeno záporně:
2) Je v takovém případě, o jaký se jedná v projednávané věci, kdy určitá osoba začlení do své webové stránky programový kód, v jehož důsledku je prohlížeč uživatele instruován, aby žádal obsahy od třetí osoby a za tímto účelem předával této třetí osobě osobní údaje, osoba, která tento programový kód začlenila do své webové stránky, ‚správcem‘ ve smyslu čl. 2 písm. d) směrnice 95/46[…], i když tato osoba sama nemůže toto zpracování údajů ovlivnit?
3) V případě záporné odpovědi na druhou otázku: Musí být čl. 2 písm. d) směrnice 95/46[…] vykládán v tom smyslu, že odpovědnost je v něm upravena s konečnou platností tak, že brání občanskoprávnímu řízení s třetí osobou, která sice není ‚správcem‘, ale založila důvod ke zpracování údajů, které nemůže ovlivnit?
4) Co lze v situaci, jaká nastala v projednávané věci, považovat při vážení zájmů v souvislosti s čl. 7 písm. f) směrnice 95/46[…] za ‚oprávněné zájmy‘? Je to zájem na vkládání obsahů poskytnutých třetí osobou, nebo zájem této třetí osoby?
5) Komu musí být v situaci, jaká nastala v projednávané věci, poskytnut souhlas podle čl. 7 písm. a) a čl. 2 písm. h) směrnice 95/46[…]?
6) Týká se povinnost poskytnutí informací, kterou stanoví článek 10 směrnice 95/46[…], v situaci, jaká nastala v projednávané věci, i provozovatele internetové stránky, který do ní začlenil předmětný obsah poskytnutý třetí osobou, a založil tak důvod ke zpracování osobních údajů touto třetí osobou?“
22. Písemná vyjádření předložili žalobce, žalovaná, společnost Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Zemský úřad pro ochranu údajů a svobody informací v Severním Porýní-Vestfálsku, Německo) (dále jen „LDI NW“), belgická, německá, italská, rakouská a polská vláda, jakož i Komise. Ústní vyjádření na jednání konaném dne 6. září 2018 podali žalobce, žalovaná, společnost Facebook Ireland, LDI NW, Belgie, Německo, Rakousko a Komise.
IV. Posouzení
23. V tomto stanovisku navrhuji uvést, že směrnice 95/46 nebrání tomu, aby vnitrostátní právní úprava přiznala sdružení pověřenému ochranou spotřebitelů (jako je žalobce) aktivní legitimaci k podání žaloby proti údajnému porušiteli právních předpisů na ochranu údajů (A). Mám rovněž za to, že žalovaná je spolu se společností Facebook Ireland společným správcem, přičemž její odpovědnost je však omezena na určitou fázi zpracování údajů (B). Zatřetí mám za to, že vážení ve smyslu čl. 7 písm. f) směrnice 95/46 vyžaduje, aby byly vzaty v úvahu nejen oprávněné zájmy žalované, ale i společnosti Facebook Ireland (a samozřejmě i práva subjektů údajů) (C). Začtvrté vědomý souhlas subjektu údajů s danou fází zpracování údajů musí být udělen žalované. Žalovaná má rovněž povinnost poskytnout subjektu údajů informace (D).
A. Vnitrostátní právní úprava, která přiznává sdružení pověřenému ochranou zájmů spotřebitelů aktivní legitimaci
24. Podstatou první otázky předkládajícího soudu je, zda směrnice 95/46 brání takovému vnitrostátnímu pravidlu, které umožňuje sdružením na ochranu zájmů spotřebitelů zahájit právní řízení proti osobě, která údajně porušila právní předpisy o ochraně údajů. V tomto ohledu předkládající soud výslovně uvádí články 22 až 24 směrnice 95/46. Konstatuje, že dotčená vnitrostátní právní úprava může být považována za „vhodné opatření“ ve smyslu článku 24. Navíc zdůrazňuje, že nařízení (EU) 2016/679 (dále jen „obecné nařízení o ochraně osobních údajů“)(5), které směrnici 95/46 nahradilo, nyní sdružením toto právo v čl. 80 odst. 2 výslovně přiznává(6).
25. Žalovaná a společnost Facebook Ireland tvrdí, že směrnice 95/46 neumožňuje přiznat aktivní legitimaci těmto sdružením, jelikož v ní není jejich aktivní legitimace výslovně stanovena, přičemž směrnice 95/46 podle jejich názoru stanoví úplnou harmonizaci. Podle žalované by takové přiznání aktivní legitimace ohrozilo nezávislost orgánů dozoru v důsledku veřejného tlaku, kterému by tyto orgány byly vystaveny.
26. Žalobce, LDI NW a všechny vlády, které se k projednávané věci vyjádřily, se shodují na tom, že směrnice 95/46 předmětné právní úpravě nebrání.
27. Souhlasím s posledně uvedeným názorem(7).
28. Považuji za důležité na úvod připomenout, že (výchozí) ústavní pravidlo zakotvené v článku 288 třetím pododstavci SFEU, podle něhož „směrnice je závazná pro každý stát, kterému je určena, pokud jde o výsledek, jehož má být dosaženo, přičemž volba formy a prostředků,“ které nejlépe zajistí výsledek, jehož má být prostřednictvím směrnice dosaženo, „se ponechává vnitrostátním orgánům“(8).
29. Z toho vyplývá, že za účelem provedení povinností vyplývajících ze směrnice mohou členské státy přijmout jakákoliv opatření, která považují za vhodná, pokud sama směrnice tato opatření výslovně nevylučuje nebo nejsou v rozporu s cíli uvedené směrnice.
30. Znění směrnice 95/46 výslovně nevylučuje možnost přiznat ve vnitrostátních právních předpisech aktivní legitimaci sdružení pověřenému ochranou práv spotřebitelů.
31. Pokud jde o cíle, které směrnice 95/46 sleduje, tak zahrnují „zaji[štění] účinn[é] a úpln[é] ochran[y] základních práv a svobod fyzických osob, zejména práva na soukromí, ve vztahu ke zpracování osobních údajů“(9). Bod 10 odůvodnění směrnice 95/46 navíc uvádí, že „sblížení těchto právních předpisů nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany ve Společenství“(10).
32. Z předkládacího rozhodnutí lze vyvodit, že Německo přiznalo sdružením, jako je žalobce, aktivní legitimaci, aby napadla to, co tato sdružení považují za protiprávní obchodní praktiky nebo praktiky porušující právní předpisy v oblasti ochrany spotřebitele, včetně právních předpisů na ochranu údajů.
33. V této souvislosti mi není jasné, jakým způsobem by přiznání aktivní legitimace sdružení bylo v rozporu s cíli směrnice 95/46 nebo by oslabovalo úsilí o dosažení těchto cílů. Jeví se, že přiznání aktivní legitimace tomuto druhu sdružení spíše podporuje takové dosažení cílů a provádění směrnice tím, že účinně přispívá k posílení práv subjektů údajů, a to prostřednictvím kolektivního nápravného prostředku(11).
34. Domnívám se, že členským státům tudíž nic nebrání v tom, aby přijímaly předpisy, které přiznávají aktivní legitimaci sdružením, jako ty, které žalobci umožnily podat žalobu ve věci v původním řízení, jestliže si to členské státy přejí.
35. Ve světle této odpovědi se domnívám, že diskuse, která se v průběhu tohoto řízení rozvinula a která se zaměřuje na to, zda dotčené vnitrostátní právní předpisy by jako „vhodné opatření“ měly spadat konkrétně pod článek 24 směrnice 95/46, anebo zda by mohly spadat do oblasti působnosti článku 22, nás odvádí od podstaty problému. Jestliže členské státy mají povinnost provést směrnici jakýmikoli prostředky, které považují za vhodné, a jestliže tento konkrétní způsob provedení není vyloučen podle znění směrnice ani jejím cílem a účelem, je vedlejší, pod který konkrétní článek směrnice lze určité vnitrostátní opatření podřadit(12). V každém případě však lze „vhodná opatření, kterými zajistí uplatňování ustanovení této směrnice“ podle článku 24 zajisté vykládat tak, že zahrnují ustanovení vnitrostátních předpisů, jako jsou ta, která jsou předmětem projednávané věci.
36. Nedomnívám se, že by tento obecný závěr byl jakkoliv zpochybněn následující úvahou, která byla v průběhu tohoto řízení diskutována.
37. Zaprvé je pravda, že směrnice 95/46 není obsažena na seznamu uvedeném v příloze I směrnice 2009/22. Tato směrnice stanoví pravidla týkající se žalob na zdržení se jednání, které mohou být podány tzv. „oprávněnými subjekty“ za účelem posílení ochrany kolektivních zájmů spotřebitelů(13). Seznam uvedený v příloze I obsahuje několik směrnic a směrnice 95/46 mezi nimi není.
38. Jak však uvedla německá vláda, seznam uvedený v příloze I směrnice 2009/22 nelze považovat za vyčerpávající v tom smyslu, že by bránil takové vnitrostátní právní úpravě žalob na zdržení se jednání, která se týká dodržování pravidel obsažených v jiných směrnicích než těch uvedených v příloze I směrnice 2009/22. A fortiori, bylo by dosti překvapivé, kdyby takový ilustrativní seznam obsažený v sekundárním právním předpisu byl náhle vykládán tak, že zbavuje členské státy jejich volby přiznané Smlouvou, pokud jde o způsob provedení směrnice.
39. Zadruhé se budu zabývat argumentem, který předložila žalovaná a společnost Facebook Ireland a který se týká úplné harmonizace uskutečněné směrnicí 95/46, která by podle jejich názoru vylučovala jakákoliv výslovně nepředvídaná opatření.
40. Je pravda, že Soudní dvůr je ve své judikatuře konzistentní, pokud je o konstatování, že harmonizace vyplývající ze směrnice 95/46 se neomezuje na minimální harmonizaci, ale vede k harmonizaci, která je „v zásadně úplná“(14). Zároveň bylo rovněž uznáno, že tato směrnice „přiznává členským státům v některých oblastech určitý rozhodovací prostor“ za předpokladu, že je zajištěn soulad se směrnicí 95/46(15).
41. Jak jsem uvedl na jiném místě(16), otázku, zda jde na úrovni unijního práva o „úplnou harmonizaci“ (ve smyslu legislativního zákazu, spočívajícího ve vyloučení jakýchkoli legislativních opatření ze strany členských států), nelze řešit v obecné rovině ve vztahu k určité celé oblasti práva nebo předmětu směrnice. Naopak, toto posouzení musí být provedeno s ohledem na každé jednotlivé ustanovení (určité pravidlo nebo konkrétní aspekt) dotčené směrnice.
42. Pokud jde o specifická „procesní“ ustanovení směrnice 95/46, která jsou dotčena v projednávané věci, a sice články 22 až 24, tato jsou formulována velmi obecně(17). Vezmeme-li v potaz míru obecnosti a abstrakce těchto ustanovení, bylo by dosti zarážející tvrdit, že mají účinek legislativního zákazu, který by vylučoval jakákoliv opatření, která mohou být přijata členskými státy, ale která v těchto článcích nejsou výslovně uvedena(18).
43. Zatřetí se další argument, který žalovaná vznesla, týkal ohrožení nezávislosti orgánů dohledu(19). Žalovaná v podstatě tvrdila, že pokud by byla aktivní legitimace sdružení spotřebitelů přiznána, tato sdružení by podávala žaloby souběžně s orgánem dozoru nebo namísto něho, což by vedlo k vytvoření tlaku veřejnosti na orgán dozoru a jeho podjatosti, a případně bylo v rozporu s požadavkem úplné nezávislosti orgánů dozoru podle čl. 28 odst. 1 této směrnice.
44. Tento argument nemá žádnou váhu. Za předpokladu, že by orgán dozoru byl skutečně nezávislý(20), neshledávám, stejně jako německá vláda, jak by žaloba, jako žaloba ve věci v původním řízení, mohla ohrozit jeho nezávislost. Sdružení se nemůže domáhat práva v tom smyslu, že by svým názorem zavazovalo orgány dozoru. To je ve výlučné pravomoci soudů. Sdružení spotřebitelů pouze mohou podat žalobu jako každý jednotlivý spotřebitel. Tvrzení, že každá jednotlivá (soukromá) žaloba podaná jednotlivcem nebo sdružením spotřebitelů by vyvíjela nátlak na (veřejné) orgány vymáhající právo, a proto tyto žaloby nemohou existovat souběžně se systémem veřejnoprávního prosazování práva, je natolik podivné, že je mizivá potřeba se tímto argumentem dále zabývat(21).
45. Začtvrté a na závěr se budu zabývat argumentem, podle kterého je třeba čl. 80 odst. 2 obecného nařízení o ochraně osobních údajů chápat jako změnu (a zvrat) dřívější situace, kdy nyní je umožněno něco (aktivní legitimace sdružení), co dříve dovoleno nebylo.
46. Tato argumentace není přesvědčivá.
47. Je důležité připomenout, že s obecným nařízením o ochraně osobních údajů, které nahradilo směrnici 95/46, došlo ke změně povahy právního nástroje, ve kterém jsou pravidla stanovena, ze směrnice na nařízení. Tato změna rovněž znamená, že na rozdíl od směrnice, kde členské státy mají volnou volbu, pokud jde o to, jak obsah daného legislativního nástroje provedou, vnitrostátní předpisy provádějící nařízení mohou být přijaty v zásadě pouze v případě, že je to výslovně připuštěno.
48. Z tohoto hlediska je argument, že z výslovného ustanovení o aktivní legitimaci sdružení, které je nyní uvedeno v obecném nařízení o ochraně osobních údajů, vyplývá, že aktivní legitimace byla podle směrnice 95/46 vyloučena, sporný. Pokud by z tohoto porovnání bylo možno vyvodit argument(22), pak by šlo o argument spíše opačný: jestliže daná směrnice přiznání aktivní legitimace daným způsobem nevylučovala (na základě argumentů, které jsem uvedl výše), změna právní formy ze směrnice na nařízení by zařazení takového ustanovení odůvodňovala, aby bylo jasné, že tato možnost se uplatní i nadále.
49. S ohledem na výše uvedené proto můj první dílčí závěr zní, že směrnice 95/46 nebrání vnitrostátní právní úpravě, která přiznává veřejně prospěšným sdružením aktivní legitimaci k zahájení soudního řízení proti domnělému porušiteli právních předpisů v oblasti ochrany údajů s cílem chránit zájmy spotřebitelů.
B. Je Fashion ID správcem údajů?
50. Podstatou druhé otázky předkládajícího soudu je, zda je žalovanou, s ohledem na skutečnost, že na své internetové stránky začlenila zásuvný modul, který způsobuje, že prohlížeč uživatele je instruován, aby žádal obsahy od třetí osoby a předával této třetí osobě osobní údaje, třeba považovat za „správce“ ve smyslu čl. 2 písm. d) směrnice 95/46, i když žalovaná nemůže toto zpracování údajů ovlivnit.
51. V kontextu projednávané věci chápu absenci schopnosti ovlivnit úkony zpracování údajů, na kterou ve své otázce poukazuje předkládající soud, tak, že se nevztahuje na zapříčinění procesu předávání údajů (a na faktické rovině lze konstatovat, že žalovaná má zjevný vliv díky tomu, že daný zásuvný modul začlenila). Zdá se, že tento argument se spíše týká případného následného zpracování údajů společností Facebook Ireland.
52. Jak uvádí předkládající soud, odpověď na druhou otázku má dopady, jež dalece přesahují projednávanou věc a sociální síť provozovanou společností Facebook Ireland. Řada internetových stránek začleňuje obsah třetích osob různé povahy. Pokud by osoba, jako je žalovaná, měla být kvalifikována jako „správce“ (spolu)odpovědný za jakékoli (následné) zpracování údajů shromážděných díky tomu, že provozovatel daných internetových stránek začlenil obsah náležející třetí osobě, který umožňuje předávání těchto údajů, pak by takové tvrzení jistě mělo širší dopady, pokud jde o způsob nakládání s obsahem třetích osob.
53. V rámci struktury daného případu je druhá otázka rovněž otázkou klíčovou, jež se dotýká podstaty problému: komu a za co přesně přísluší odpovědnost v případě začlenění obsahu třetí osoby do internetové stránky? (Ne)přesnost odpovědi na tuto otázku má rovněž vliv na zodpovězení následujících otázek, týkajících se oprávněných zájmů, souhlasu a informační povinnosti.
54. V tomto oddílu nejprve učiním několik úvodních poznámek k pojmu „osobní údaje“ relevantních pro projednávanou věc (1). Následně představím nedávnou judikaturu Soudního dvora, ze které vyplývá možná odpověď na druhou otázku, pokud by bez dalších otázek byla přijata dosavadní rozhodovací praxe Soudního dvora (2). Poté vysvětlím, proč by bylo vhodné položit další otázky a analýzu v rámci projednávané věci poněkud upřesnit (3). Na závěr pro účely definice pojmu (společné) správy zdůrazním význam jednoty „účelu a prostředků“, která by měla být ve vztahu k příslušné fázi dotčeného zpracovávání osobních údajů (operaci zpracování údajů) mezi (společnými) správci přítomna (4).
1. Osobní údaje v projednávané věci
55. Je třeba připomenout, že pojem „osobní údaje“ je v čl. 2 písm. a) směrnice 95/46 definován jako „veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů)“. Bod 26 odůvodnění této směrnice v této souvislosti uvádí, že „pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem[,] tak jakoukoli jinou osobou pro identifikaci dané osoby“.
56. Soudní dvůr již objasnil, že adresa IP může za určitých okolností představovat osobní údaj(23). Soudní dvůr v této souvislosti dále uvedl, že aby se jednalo o „identifikovatelnou osobu“ ve smyslu čl. 2 písm. a) směrnice 95/46, „není nutné, aby tato informace sama o sobě umožňovala identifikovat subjekt údajů“, a že může být nezbytné použít další údaje. Rovněž uvedl, že „není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby“, jestliže možnost kombinovat příslušné údaje „představuje prostředek, který může být rozumně použit pro identifikaci subjektu údajů“(24).
57. Předkládající soud se nezabývá otázkou, zda IP adresa, ať již samostatně, nebo v kombinaci s názvem prohlížeče, který je rovněž předáván, představuje osobní údaj ve smyslu tohoto kritéria. Zdá se, že společnost Facebook Ireland tuto kvalifikaci zpochybňuje(25).
58. Je zřejmé, že takové posouzení přísluší vnitrostátnímu soudu. Obecně lze říci, že s ohledem na jakýkoliv případně začleněný zásuvný modul nebo jakýkoli jiný obsah třetí osoby platí, že aby bylo možno údaje označit za osobní, je nezbytné, aby umožňovaly (přímou či nepřímou) identifikaci subjektu údajů. Pro účely projednávané věci budu vycházet z toho, jak patrně vyplývá z otázky předkládajícího soudu, že za okolností původního řízení IP adresy a název prohlížeče skutečně představují osobní údaje a splňují kritéria podle čl. 2 písm. a) směrnice 95/46 tak, jak je upřesnil Soudní dvůr.
2. Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?
59. Pokud jde o odpověď na druhou otázku, žalovaná a společnost Facebook Ireland uvedly, že žalovaná nemůže být považována za správce, protože nemá vliv na to, jaké osobní údaje budou zpracovávány. Z tohoto důvodu je možné takto klasifikovat pouze společnost Facebook Ireland. Jako podpůrný argument společnost Facebook Ireland uvedla, že žalovaná s ní jedná společně jakožto společný správce, přičemž však odpovědnost takové osoby, jako je žalovaná, je omezena na oblast jejího skutečného vlivu.
60. Žalobce, LDI NW a všechny vlády, které v projednávané věci předložily svá vyjádření, jakož i Komise v podstatě sdílejí názor, že pojem „správce“ je třeba chápat široce a že zahrnuje žalovanou. Jejich názory v jednotlivých podáních se nicméně značně liší, pokud jde o přesný rozsah odpovědnosti žalované. Odlišnosti se týkají otázky, zda by žalovaná a společnost Facebook Ireland měly být (či neměly) společně odpovědné, zda by měla či neměla být jejich společná odpovědnost omezena na fázi zpracování osobních údajů, do které je žalovaná skutečně zapojena, a zda by v této souvislosti mělo být rozlišováno mezi návštěvníky internetové stránky žalované, kteří mají účet na Facebooku, a těmi, kteří jej nemají.
61. Jako výchozí bod je třeba konstatovat, že podle čl. 2 písm. d) směrnice 95/46 pojem „správce“ zahrnuje osobu, která „sama nebo společně s jinými určuje účel a prostředky zpracování osobních údajů“(26). Pojem „správce“ tedy může odkazovat na několik subjektů podílejících se na zpracovávání osobních údajů(27) a měl by být vykládán široce(28).
62. Otázkou společné správy se nedávno zabýval Soudní dvůr v rozsudku ve věci Wirtschaftsakademie Schleswig-Holstein(29). Ve vztahu k roli správce fanouškovské stránky umístěné na Facebooku dospěl Soudní dvůr k závěru, že tento správce jednal, společně se společností Facebook Ireland, jako správce ve smyslu čl. 2 písm. d) směrnice 95/46. Důvodem bylo to, že se správce, společně se společností Facebook Ireland, podílel na určení účelů a prostředků zpracování osobních údajů návštěvníků fanouškovské stránky(30).
63. Soudní dvůr konkrétně poznamenal, že vytvořením dotčené fanouškovské stránky správce společnosti Facebook Ireland umožnil, „aby umisťovala soubory cookies na počítači nebo jakémkoli jiném zařízení osoby, která jeho fanouškovskou stránku navštívila,“ a zpracovává tak osobní údaje(31). Soudní dvůr konstatoval, že „vytvoření fanouškovské stránky na Facebooku na straně jejího správce znamená, že provedl úkon nastavení mimo jiné podle své cílové skupiny a cílů řízení nebo propagace svých činností, který má vliv na zpracování osobních údajů za účelem vypracování statistických výkazů získaných na základě návštěv fanouškovské stránky“(32). Sporné zpracování umožnilo společnosti Facebook Ireland „zlepšit její systém reklamy“, zatímco správci poskytlo prostředky k lepší správě propagace své vlastní činnosti s pomocí anonymizovaných statistik(33).
64. Soudní dvůr dospěl k závěru, že předmětný správce se „svým úkonem nastavení parametrů“ podílel na určení účelu a prostředků zpracování osobních údajů návštěvníků své fanouškovské stránky. Proto musí být považován za správce odpovědného za takové zpracování společně se společností Facebook Ireland (která má „ještě významnější“ odpovědnost, pokud jde o osobní údaje osob, které nejsou uživateli společnosti Facebook Ireland)(34).
65. V rozsudku ve věci Jehovan todistajat Soudní dvůr zdůraznil další aspekt důležitý k objasnění pojmu „společný správce“: k tomu, aby byla dána společná správa a společná odpovědnost, není nutné, aby každý ze správců měl přístup ke (všem) dotčeným osobním údajům. Náboženská společnost tak může být společným správcem také v případech, kdy společnost sama zjevně k předmětným shromážděným údajům neměla přístup. V daném případě měli osobní údaje ve fyzickém držení jednotliví členové náboženské společnosti Svědkové Jehovovi. Postačovalo, že kazatelská činnost, v jejímž rámci zjevně byly osobní údaje shromažďovány, byla touto společností organizována, koordinována a podporována(35).
66. V rámci úvahy na vyšší úrovni abstrakce a se zaměřením výhradně na pojem „společná správa“ musím souhlasit s tím, že s ohledem na tato nedávná soudní rozhodnutí je nutné dospět k závěru, že žalovaná jedná jako správce a je za zpracování údajů spolu se společností Facebook Ireland společně odpovědná(36).
67. Zaprvé se jeví, že žalovaná pomocí předmětného zásuvného modulu umožnila společnosti Facebook Ireland získat osobní údaje uživatelů internetové stránky žalované.
68. Zadruhé je pravda, že na rozdíl od správce dotčeného ve věci Wirtschaftsakademie Schleswig-Holstein žalovaná podle všeho nestanoví parametry žádných informací o uživatelích své internetové stránky, které by jí byly v anonymizované nebo jiné formě vraceny. Žádoucím „přínosem“ se zdá být bezplatná propagace jejích výrobků, ke které údajně dochází, když se uživatel na její internetové stránce rozhodne kliknout na tlačítko Facebook „Like Box“, aby prostřednictvím svého účtu na síti Facebook sdílel své úvahy například ohledně černých koktejlových šatů. S výhradou skutkového ověření ze strany předkládajícího soudu tak použití zásuvného modulu umožňuje žalované optimalizovat propagaci svých produktů tím, že jí umožní je na Facebooku zviditelnit.
69. Z jiného úhlu pohledu lze také tvrdit, že žalovaná (spolu)stanovila parametry shromažďovaných údajů toliko tím, že dotčený zásuvný modul začlenila do své internetové stránky. Zásuvný modul sám o sobě stanoví parametry osobních údajů, které mají být shromažďovány. Tím, že tento nástroj do své internetové stránky dobrovolně začlenila, žalovaná stanovila dané parametry ve vztahu ke všem návštěvníkům své internetové stránky.
70. Zatřetí pak v každém případě ve světle rozhodnutí ve věci Jehovan todistajat platí, že společného správce lze takto klasifikovat, i když nemá přístup ke všem „plodům společné práce“. Skutečnost, že žalovaná nemá přístup k údajům přenášeným na Facebook nebo že zřejmě na oplátku nedostává žádné přizpůsobené nebo souhrnné statistiky, se tedy nezdá být rozhodující.
3. Problémy: Kdo tedy není společným správcem?
71. Bude účinná ochrana posílena tím, že za její zajištění ponese odpovědnost každý?
72. Toto je stručné vyjádření hlubšího morálního a praktického dilematu, které se v tomto případě vyjevuje a které lze v právních termínech vyjádřit jako rozsah definice (společného) správce. V pochopitelné snaze zajistit účinnou ochranu osobních údajů byl Soudní dvůr ve své nedávné judikatuře velmi inkluzivní, když byl vyzván, aby tím či oním způsobem definoval pojem (společného) správce. Soudní dvůr se však zatím nezabýval praktickými důsledky tohoto rozmáchlého definičního přístupu s ohledem na specifické následné povinnosti a zvláštní odpovědnost stran, které jsou klasifikovány jako společní správci. Vzhledem k tomu, že projednávaná věc přesně takovou příležitost nabízí, navrhuji ji využít za účelem upřesnění definic, které by ve vztahu k pojmu „(společný) správce“ měly existovat.
a) O povinnosti a odpovědnosti
73. Pokud se na test užívaný pro identifikaci „společného správce“ podíváme kritickým pohledem, zdá se, že po rozhodnutích ve věcech Wirtschaftsakademie Schleswig-Holstein a Jehovan todistajat rozhodujícím hlediskem je, zda dotyčná osoba „umožnila“ shromažďování a předávání osobních údajů, případně ve spojení s určitým vlivem, který takový společný správce má, pokud jde o parametry (nebo přinejmenším ve spojení s jejich tichým potvrzením)(37). Pokud tomu tak skutečně je, pak je i přes záměr, který je jasně vyjádřený ve věci Wirtschaftsakademie Schleswig-Holstein, tomu zabránit(38), obtížné pochopit, proč by normální uživatelé online aplikací, ať už jde o sociální síť nebo jakoukoli jinou platformu pro spolupráci, ale i jiné programy(39), neměli rovněž být společnými správci. Uživatel si zpravidla vytvoří účet, přičemž vůči správci stanoví parametry svého účtu ohledně toho, jak by měl být uspořádán a jaké informace, o kom, o čem a od koho chce získávat. Rovněž prostřednictvím aplikace vyzve své přátele, kolegy a další osoby ke sdílení informací ve formě (často značně citlivých) osobních údajů, čímž nejenže poskytuje údaje týkající se těchto osob, ale také tyto osoby vyzývá k tomu, aby se samy zapojily, čímž nepochybně přispívá k získávání a zpracování osobních údajů těchto osob.
74. A co ostatní strany v „řetězci osobních údajů“? Dovedeno do extrému, kdyby jediným relevantním kritériem pro společnou správu bylo umožnění zpracování údajů, tedy v zásadě jakékoliv přispění k takovému zpracování v kterékoliv fázi, nebyl by pak společným správcem, který potenciálně nese spoluodpovědnost za zpracování osobních údajů, i poskytovatel internetového připojení, který zpracování údajů umožňuje tím, že poskytuje přístup k internetu, nebo dokonce i dodavatel elektrické energie?
75. Intuitivní odpověď je samozřejmě „ne“. Problém spočívá v tom, že vymezení rozsahu odpovědnosti z široké definice správce nevyplývá. Problém, který z přílišné šíře této definice plyne, spočívá v tom, že zakládá spoluodpovědnost velkého počtu osob za zpracování osobních údajů.
76. Na rozdíl od případů uvedených v předcházející části se však otázky položené předkládajícím soudem v projednávané věci neomezují na definici „správce“. Navazují na ni a dále zkoumají související otázky, pokud jde o rozdělení konkrétních povinností, které směrnice 95/46 ukládá. Tyto problémy samy o sobě poukazují na nedostatky příliš široké definice správce, zejména ve spojení s nejasným vymezením toho, jaké konkrétně jsou specifické povinnosti a odpovědnost správců podle směrnice 95/46. Dobře to ilustrují vyjádření zúčastněných stran k páté a šesté otázce, které se týkají přesného vymezení odpovědnosti podle směrnice.
77. Pátá otázka se v podstatě táže, kdo by měl získat souhlas subjektu údajů a k jakému účelu. Navrhované odpovědi na tuto otázku se významně liší.
78. Žalobce a LDI NW mají za to, že povinnost získat vědomý souhlas subjektu údajů je na žalované, která učinila rozhodnutí předmětný zásuvný modul začlenit. Podle žalobce je to o to zásadnější v případě osob, které nejsou uživateli Facebooku a které nepřijaly všeobecné obchodní podmínky Facebooku. Žalovaná zastává postoj, že souhlas má být udělen třetí osobě, která začleněný obsah poskytuje, konkrétně společnosti Facebook Ireland. Společnost Facebook Ireland se domnívá, že souhlas nemusí být udělen konkrétnímu adresátovi, jelikož směrnice 95/46 stanoví pouze to, že souhlas musí být svobodný, výslovný a vědomý.
79. Rakousko, Německo a Polsko uvedlo, že souhlas musí být udělen před zpracováním údajů, a podle Rakouska se musí týkat jak shromažďování údajů, tak i jejich případného předávání. Polsko zdůrazňuje, že souhlas musí být udělen žalované. Německo se domnívá, že souhlas musí být udělen žalované nebo třetí osobě, která začleněný obsah poskytuje (společnost Facebook Ireland), protože obě jsou za zpracování spoluodpovědné. Žalovaná musí obdržet pouze souhlas k předávání údajů třetí osobě, protože ve vztahu ke všem ostatním zpracováním a užitím shromážděných údajů již nevystupuje v roli správce. Toto ovšem nevylučuje možnost, aby provozovatel internetové stránky získal souhlas se zpracováním prováděným třetí osobou, což může být mezi nimi upraveno dohodou. Itálie tvrdí, že souhlas musí být udělen všem osobám, které se na zpracování osobních údajů podílejí, konkrétně žalované a společnosti Facebook Ireland. Belgie a Komise zdůrazňují, že směrnice 95/46 blíže neuvádí, komu má být souhlas udělen.
80. Obdobně rozmanité jsou názory i na otázku, komu náleží informační povinnost v souladu s článkem 10 směrnice 95/46 a co přesně obnáší, která je předmětem šesté otázky položené předkládajícím soudem.
81. Podle žalobce je to provozovatel internetové stránky, komu náleží povinnost sdělovat subjektu údajů nezbytné informace. Žalovaná tvrdí opak, přičemž zdůrazňuje, že povinnost poskytovat informace náleží společnosti Facebook Ireland, protože žalovaná nemá přesné informace k dispozici. Obdobně společnost Facebook Ireland zdůrazňuje, že to ona má informační povinnost, jelikož tato povinnost se vztahuje pouze na správce (nebo jeho zástupce). Poznamenává, že odpověď na šestou otázku je úzce spjata s otázkou, zda je provozovatel internetové stránky správcem. Z článku 10 vyplývá, že klasifikovat provozovatele internetové stránky jako správce je nevhodné, protože tento není schopen dané informace poskytnout. LDI NW se domnívá, že informace mají být poskytnuty provozovatelem internetové stránky, byť připouští, že je s ohledem na skutečnost, že žalovaná nemá na zpracování údajů ze strany společnosti Facebook Ireland žádný vliv, obtížné určit, jaké informace by to měly být. Vzájemné provázání účelů zpracování údajů naznačuje, že provozovatel internetové stránky by měl být za zpracování, které umožnil, spoluodpovědný.
82. Belgie, Itálie a Polsko uvádějí, že informační povinnost se vztahuje rovněž na provozovatele internetové stránky, jako je ten v projednávané věci, vzhledem k tomu, že jej lze kvalifikovat jako správce. Belgie dodává, že provozovatel internetové stránky může rovněž mít povinnost ověřit účel následného zpracování údajů a přijmout vhodná opatření, aby zajistil ochranu fyzických osob. Německá vláda má za to, že informační povinnost se vztahuje i na provozovatele internetové stránky, a to v rozsahu, v němž je za zpracování odpovědný, tedy za předávání údajů externímu poskytovateli včleněného obsahu, nikoliv však za veškeré následné fáze zpracování údajů, za které odpovídá externí poskytovatel. Podle názoru Rakouska a Komise informační povinnosti podle článku 10 směrnice 95/46 náleží jak provozovateli internetové stránky, tak externímu poskytovateli.
83. Nad rámec otázek vznesených v rámci páté a šesté otázky lze dodat, že podobné koncepční obtíže pravděpodobně vyvstanou i při zvažování dalších povinností stanovených směrnicí 95/46, jako je právo na přístup podle článku 12 této směrnice. Je pravda, že Soudní dvůr v rozhodnutí ve věci Wirtschaftsakademie Schleswig-Holstein prohlásil, že „směrnice 95/46 [….] nevyžaduje, když je dána společná odpovědnost několika aktérů za totéž zpracování, aby měl každý z nich přístup k dotčeným osobním údajům“(40). Správce, který sám nemá přístup k údajům, ve vztahu k nimž je nicméně považován za (společného) správce, však zcela logicky nemůže poskytnout přístup žádnému subjektu údajů (nemluvě o dalších úkonech, jako je například oprava nebo výmaz).
84. V tomto okamžiku se tedy počáteční koncepční nejasnost (kdo je správcem a konkrétně ve vztahu k čemu), která v některých případech může vést k nejasnosti následné (která povinnost náleží komu), přelila v objektivní neschopnost případného společného správce zajistit soulad s platnými právními předpisy.
85. Je samozřejmě možné tvrdit, že za účelem přesného rozdělení odpovědnosti mezi (potenciálně početné společné) správce je třeba uzavřít smlouvy. Ty by stanovily nejen rozdělení odpovědnosti, ale také určily, kterou povinnost stanovenou směrnicí má splnit která strana, včetně těch povinností, které mohou být fyzicky vykonány pouze jednou ze stran.
86. Toto tvrzení považuji za velmi problematické. Zaprvé je zcela nerealistické s ohledem na hustou síť formálních standardních smluv, které by musela podepsat kterákoliv strana, pravděpodobně včetně řady běžných uživatelů(41). Zadruhé by uplatňování platných právních předpisů a v nich stanovené rozdělení odpovědnosti bylo závislé na soukromých dohodách, k nimž nemusí mít přístup třetí osoby, které chtějí uplatnit svá práva.
87. Zatřetí se zdá, že obecné nařízení o ochraně osobních údajů v článku 26 zavádí nový režim společné odpovědnosti, což možná částečně předjímá některé z těchto otázek. Je samozřejmě pravda, že obecné nařízení o ochraně osobních údajů nebylo ratione temporis použitelné na případy projednávané v tomto oddíle ani v projednávané věci. Pokud však v nových právních předpisech není žádná specifická nebo systematická odchylka v použití příslušných definic, což patrně je tento případ, jelikož článek 4 obecného nařízení o ochraně osobních údajů do velké míry zachovává klíčové pojmy stanovené v článku 2 směrnice 95/46 (přičemž řadu nových pojmů přidává), bylo by poněkud překvapivé, kdyby se výklad těchto klíčových pojmů, včetně pojmů „správce“, „zpracování“ nebo „osobní údaj“, od stávající judikatury (bez velmi dobrých důvodů) významně odchyloval.
88. Pokud by tomu tak skutečně bylo, pak by režim společné odpovědnosti společných správců zavedený v čl. 26 odst. 3 obecného nařízení o ochraně osobních údajů mohl představovat skutečnou výzvu. Na jedné straně čl. 26 odst. 1 obecného nařízení o ochraně osobních údajů umožňuje společným správcům „vymez[it] své podíly na odpovědnosti za plnění povinností“. Na druhé straně však čl. 26 odst. 3 obecného nařízení o ochraně osobních údajů jasně stanoví, že „může subjekt údajů vykonávat svá práva“ „u každého ze správců a vůči každému z nich“, bez ohledu na jakékoliv takové ujednání. Za zpracování dotčených údajů tedy může být odpovědný každý ze společných správců.
b) Obecnější pohled
89. Kdysi dávno (fanoušci jedené sci-fi franšízy by mohli dodat „v jedné daleké galaxii“) bylo módní být na sociálních sítích. Poté se postupně stávalo módním na sociálních sítích nebýt. V současné době je být na sociální síti téměř zločinem (a proto je třeba zavést nové formy objektivní odpovědnosti za jednání třetí osoby).
90. Nelze popřít, že soudní rozhodování se odehrává na pozadí vyvíjejícího se společenského kontextu. Na tento kontext by soudní rozhodování rozhodně mělo reagovat, nicméně nemělo by jím být řízeno. Sociální síť, jako každá jiná aplikace nebo program, je nástrojem. Podobně jako nůž nebo automobil ji lze použít mnoha způsoby. Je rovněž nepochybné, že pokud je použita k nesprávným účelům, je potřeba takové užití stíhat. Možná však není nejlepší nápad stíhat každého a všechny, kdo kdy použili nůž. Osoba, která nůž použila, je obvykle stíhána, jestliže dané použití způsobilo újmu.
91. Proto by měla mezi mocí, kontrolou a odpovědností existovat minimálně rozumná míra souvislosti, když už ne vždy absolutní shoda. Moderní právní předpisy přirozeně stanoví různé formy objektivní odpovědnosti, které se uplatní pouze v případě výskytu určitých následků. To ale bývají odůvodněné výjimky. Pokud je bez jakéhokoliv odůvodnění přičítána odpovědnost někomu, kdo nad výsledkem neměl žádnou kontrolu, takové rozdělení odpovědnosti bude obvykle považováno za nedůvodné nebo nespravedlivé(42).
92. Kromě toho by skeptik z východnější části Evropské unie, s ohledem na svou historickou zkušenost, mohl v odpovědi na otázku položenou na začátku tohoto oddílu (bod 71) poznamenat, že účinnost ochrany čehokoliv má tendenci výrazně slábnout, pokud je odpovědností všech. Jsou-li činěni odpovědnými všichni, vede to ve výsledku k tomu, že ve skutečnosti neodpovídá nikdo. Jinak řečeno, platí, že osoba, která by měla být za určitý průběh věcí odpovědná, tedy ta, která vykonává skutečnou kontrolu, se může skrývat za všechny ostatní formálně „spoluodpovědné“ osoby, přičemž účinná ochrana je výrazně oslabena.
93. A konečně žádný dobrý právní předpis (či jeho výklad) by neměl vést k situaci, kdy v něm stanovené povinnosti nemohou být jejich adresáty skutečně splněny. To znamená, že nemá-li robustní definice (společné) správy vést k soudem posvěcenému příkazu všem aktérům, aby se odpojili a aby se zdrželi používání jakýchkoli sociálních sítí, zásuvných modulů a případně i jakýchkoli jiných obsahů třetích osob, musí být při vymezování povinností a odpovědnosti brán zřetel k realitě, včetně otázek spojených s povědomím a skutečnou vyjednávací silou a schopností kteroukoli přičítanou činnost ovlivnit(43).
4. Zpět k (legislativním) kořenům: Jednota účelu a prostředků s ohledem na určité úkony zpracování údajů
94. Ačkoli Soudní dvůr ve věci Wirtschaftsakademie Schleswig-Holstein zaujal k definici společné správy poměrně robustní přístup, připomněl rovněž potřebu odpovědnost (společného) správce omezit. Přesněji řečeno, Soudní dvůr uvedl, že „z existence společné odpovědnosti nelze nezbytně dovozovat, že by jednotliví provozovatelé, jichž se zpracování osobních údajů týká, měli nést nezbytně stejný podíl odpovědnosti. […] tito provozovatelé mohou být zapojeni v různých fázích tohoto zpracování a v různé míře, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem projednávané věci“(44).
95. Ačkoliv ve věci Wirtschaftsakademie Schleswig-Holstein nebylo nutné tento specifický problém řešit, v projednávané věci, v níž předkládající soud Soudní dvůr přímo vyzývá, aby určil případné povinnosti žalované, které vyplývají z jejího postavení jakožto správce, to nutné je.
96. Ve světle nově zavedeného systému společné odpovědnosti podle článku 26 obecného nařízení o ochraně osobních údajů je obtížné stanovit, jak by společná odpovědnost mohla, s ohledem na potenciálně stejné důsledky (ne)dovoleného nakládání s osobními údaji, vést k odpovědnosti nerovné. To platí zejména s ohledem na čl. 26 odst. 3 obecného nařízení o ochraně osobních údajů, který zjevně směřuje k odpovědnosti společné (a nerozdílné)(45).
97. Domnívám se však, že klíčovým je druhý výrok Soudního dvora, tedy ten, že „provozovatelé mohou být zapojeni v různých fázích tohoto zpracování a v různé míře“. Toto konstatování se opírá o definice obsažené ve směrnici 95/46, zejména pokud jde o definici i) pojmu „zpracování“ v čl. 2 písm. b) a ii) pojmu „správce“ v čl. 2 písm. d).
98. Zaprvé pojem „zpracování osobních údajů“ zahrnuje „jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace“.
99. I když je pojem „zpracování“, podobně jako pojem „správce“, definován spíše široce(46), jasně podtrhuje a soustředí se na fáze zpracování: odkazuje na úkon nebo soubor úkonů, s demonstrativním výčtem toho, co by takovým jednotlivým úkonem mohlo být. Logicky by pak otázka správy měla být posuzována spíše s ohledem na jednotlivé dotčené úkony, než s ohledem na neurčitý soubor jakýchkoli a všech úkonů označovaných jako zpracování(47).
100. Zadruhé pojem společné správy není ve směrnici 95/46 specificky definován. Logicky se však tento pojem opírá o pojem „správce“ v čl. 2 písm. d): společná správa nastává, když dvě nebo více osob určují prostředky a účely zpracování osobních údajů společně(48). Jinými slovy, aby dvě (nebo více) osob mohly být kvalifikovány jako společní správci, musí mezi nimi existovat totožnost účelů a prostředků zpracování osobních údajů.
101. Podle mého názoru by povinnosti a případná odpovědnost společných správců měly vycházet z kombinace těchto dvou definic. Pokud jde o určitý úkon zpracování, (společný) správce je odpovědný za takový úkon nebo soubor úkonů, u nichž sdílí nebo spoluurčuje účely a prostředky. Naproti tomu taková osoba nemůže být považována za odpovědnou za předcházející fáze ani za následné fáze celého řetězce zpracování, ve vztahu k nimž nemohla určit účel ani prostředky zpracování.
102. V projednávaném případě relevantní fáze (úkony) zpracování odpovídá shromažďování a předávání osobních údajů, k nimž dochází prostřednictvím tlačítka Facebook „Like Box“.
103. Zaprvé, jak uvádí žalobce, LDI NW a německá vláda, pokud jde o prostředky použité v rámci těchto úkonů zpracování údajů, zdá se být prokázané, že žalovaná rozhoduje o použití předmětného zásuvného modulu, který slouží jako nástroj pro shromažďování a předávání osobních údajů. Toto shromažďování a předávání je zahájeno přístupem na internetovou stránku žalované. Tento zásuvný modul žalované poskytla společnost Facebook Ireland. Společnost Facebook Ireland a žalovaná tak patrně dobrovolně zapříčinily fáze zpracování spočívající ve shromažďování a předávání údajů. Je samozřejmě věcí vnitrostátního soudu, aby toto ověřil ze skutkového hlediska.
104. Zadruhé s ohledem na účel zpracování údajů předkládací rozhodnutí neuvádí důvody, které žalovanou vedly k rozhodnutí začlenit tlačítko Facebook „Like Box“ do své internetové stránky. S výhradou ověření ze strany předkládajícího soudu se však zdá, že toto rozhodnutí bylo inspirováno přáním zvýšit prostřednictvím sociální sítě viditelnost produktů žalované. Zároveň se zdá, že údaje předané společnosti Facebook Ireland jsou touto společností využívány pro její vlastní obchodní účely.
105. Bez ohledu na skutečnost, že konkrétní obchodní využití údajů nemusí být totožné, celkově se zdá, že žalovaná i společnost Facebook Ireland zřejmě sledují obchodní účely způsobem, který se jeví být vzájemně komplementárním. Z tohoto pohledu, byť účely nejsou totožné, je dána jednota účelu: je přítomen obchodní a reklamní účel.
106. Na základě skutkových okolností projednávané věci se tedy jeví, že žalovaná a společnost Facebook Ireland spolurozhodují o prostředcích a účelech tohoto zpracování ve fázi shromažďování a předávání předmětných osobních údajů. V tomto rozsahu tedy žalovaná působí jako správce a v tomto rozsahu také nese se společností Facebook Ireland společnou odpovědnost.
107. Zároveň se domnívám, že odpovědnost žalované musí být omezena na tu fázi zpracování údajů, na níž se podílí, a že nemůže být rozšiřována na případné pozdější fáze zpracovávání údajů, pokud takové zpracování probíhá mimo kontrolu žalované a patrně i bez jejího vědomí.
108. S ohledem na výše uvedené skutečnosti tedy můj druhý dílčí závěr zní, že taková osoba, jako je žalovaná, která do své internetové stránky začlenila zásuvný modul třetí osoby, který shromažďuje a předává osobní údaje uživatele (přičemž tento zásuvný modul poskytla tato třetí osoba), by měla být považována za správce ve smyslu čl. 2 písm. d) směrnice 95/46. (Spolu)odpovědnost tohoto správce je však omezena pouze na ty úkony zpracování osobních údajů, o jejichž prostředcích a účelu účinně spolurozhoduje.
109. Je třeba dodat, že tento závěr rovněž odpovídá na třetí položenou otázku. Touto otázkou se předkládající soud v podstatě snaží zjistit, zda směrnice 95/46 brání použití pojmu Störer (škůdce) definovaného vnitrostátním právem na žalovanou, pokud je prokázáno, že žalovaná nemůže být považována za správce. Podle předkládacího rozhodnutí pojem Störer vyžaduje, aby osoba, která sama právo neporušila, ale vytvořila nebo zvýšila hrozbu takového porušování práva ze strany třetí osoby, přijala proveditelná a únosná opatření, aby porušování práv zabránila. Pokud by žalovaná nemohla být považována za správce, má předkládající soud za to, že nezbytné předpoklady pro použití pojmu Störer byly naplněny, neboť tím, že zásuvný modul Facebook „Like Box“ začlenila, žalovaná přinejmenším vytvořila hrozbu porušení ze strany společnosti Facebook.
110. Vzhledem k odpovědi poskytnuté na druhou otázku předkládajícího soudu není třeba na třetí otázku odpovídat. Jakmile bylo určeno, že daná osoba musí být kvalifikována jako správce ve smyslu směrnice 95/46, její povinnosti jakožto správce musí být posuzovány ve světle povinností stanovených touto směrnicí. Opačný závěr by v různých členských státech vedl k rozdílné odpovědnosti správců za určité konkrétní porušení právních předpisů. V tomto smyslu, a s ohledem na definici správce, směrnice 95/46 skutečně zajišťuje úplnou harmonizaci, pokud jde o adresáty vymezených povinností(49).
C. Oprávněné zájmy, které mají být zohledněny podle čl. 7 písm. f) směrnice 95/46
111. Čtvrtá v projednávané věci položená otázka se týká oprávněnosti zpracování osobních údajů při absenci souhlasu subjektu údajů ve smyslu čl. 7 písm. a) směrnice 95/46.
112. V této souvislosti předkládající soud odkazuje na čl. 7 písm. f) směrnice 95/46, dle kterého je zpracování osobních údajů přípustné, pokud „je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů […]“. Předkládající soud si přesněji řečeno přeje určit, čí oprávněné zájmy je třeba v kontextu projednávané věci vzít v úvahu: oprávněné zájmy žalované, která obsah třetí osoby začlenila, anebo oprávněné zájmy této třetí osoby (konkrétně společnosti Facebook Ireland)(50).
113. Úvodem je třeba poznamenat, že Komise považuje čtvrtou otázku za irelevantní, protože v tomto případě musí být souhlas uživatele poskytnut v každém případě, a to na základě právních předpisů, kterými se provádí směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (dále jen „směrnice o soukromí a elektronických komunikacích“)(51).
114. Souhlasím s Komisí, že směrnice o soukromí a elektronických komunikacích (která dle čl. 1 odst. 2 upřesňuje a doplňuje směrnici 95/46 v odvětví elektronických komunikací)(52) se na danou situaci zřejmě použije, a to v rozsahu, v němž dochází k umisťování souborů cookies na uživatelská zařízení(53). Kromě toho čl. 2 písm. f) a bod 17 odůvodnění směrnice o soukromí a elektronických komunikacích definují souhlas odkazem na pojem „souhlas“ dle směrnice 95/46.
115. Zda ve věci v původním řízení došlo k umisťování souborů cookies, bylo předmětem obsáhlé diskuse na jednání. Je na vnitrostátním soudu, aby objasnil skutkový stav. V každém případě má však předkládající soud za to, jak bylo popsáno v předkládacím rozhodnutí, že předávané údaje představují osobní údaje(54). Zdá se tedy, že otázka souborů cookies neposkytuje odpověď na všechny problémy, které v daném případě v souvislosti se zpracováním údajů zjevně vyvstávají(55).
116. Jsem tedy toho názoru, že čtvrtou otázku je třeba prozkoumat podrobněji.
117. Žalobce tvrdí, že oprávněný zájem, který je třeba vzít v úvahu, je oprávněný zájem žalované. Dodává, že v projednávaném případě se oprávněného zájmu nemůže dovolávat žalovaná ani společnost Facebook Ireland.
118. Žalovaná a společnost Facebook Ireland v podstatě uvedly, že oprávněné zájmy, které je třeba vzít v úvahu, jsou oprávněné zájmy osoby, která obsah třetí osoby začleňuje, jakož i oprávněné zájmy této třetí osoby, přičemž je třeba mít na zřeteli zájmy návštěvníků internetové stránky, jejichž základní práva mohou být dotčena.
119. LDI NW, Polsko, Německo a Itálie se domnívají, že je třeba zohlednit jak oprávněné zájmy žalované, tak společnosti Facebook Ireland, jelikož obě předmětné zpracování umožnily. Rakousko zastává obdobný názor. Podobně Belgie zdůrazňuje, s odkazem na rozsudek Soudního dvora ve věci Google Spain, že oprávněné zájmy, které je třeba vzít v úvahu, jsou oprávněné zájmy správce, jakož i třetích osob, jimž byly dotčené osobní údaje sděleny.
120. Je třeba na úvod připomenout, že veškeré zpracování osobních údajů musí být, mimo jiné, v zásadě v souladu s jedním z kritérií, která umožňují oprávněné zpracování údajů a která jsou uvedena v článku 7 směrnice 95/46(56).
121. Konkrétně v souvislosti s čl. 7 písm. f) směrnice 95/46 Soudní dvůr připomněl, že toto ustanovení „stanoví tři kumulativní podmínky pro to, aby bylo zpracování osobních údajů zákonné, a to zaprvé sledování oprávněného zájmu správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, zadruhé nezbytnost zpracování osobních údajů pro uskutečnění sledovaných oprávněných zájmů a zatřetí podmínku, že nemají přednost základní práva a svobody osoby, na kterou se vztahuje ochrana údajů“(57).
122. Směrnice 95/46 neobsahuje definici ani výčet „oprávněných zájmů“. Tento pojem se zdá být poměrně pružný a otevřený interpretaci(58). Neexistuje žádný typ zájmů, který by byl jako takový vyloučen, je-li ovšem sám o sobě legální. Jak bylo v podstatě diskutováno na jednání a jak již bylo uvedeno výše(59), otázka, která je podle všeho dotčena v projednávané věci, se týká shromažďování a předávání osobních údajů pro účely optimalizace reklamy, byť konečné specifické cíle žalované i společnosti Facebook Ireland nemusí být zcela totožné.
123. S ohledem na tyto úvahy souhlasím s tím, že marketing nebo reklama mohou jako takové takový oprávněný zájem představovat(60). Je poměrně těžké v kontextu projednávané věci jít nad rámec tohoto prohlášení, jelikož o přesném způsobu, jakým jsou předávané a získané údaje používány, nejsou nad rámec těchto obecných prohlášení žádné konkrétní informace.
124. Předkládající soud se však nezabývá posouzením konkrétních oprávněných zájmů sledovaných v rámci sporu v původním řízení ani v této souvislosti nežádá o vodítka. Ve své čtvrté otázce chce předkládající soud pouze zjistit, čí oprávněné zájmy by měly být vzaty v úvahu, aby bylo možno provést vážení podle čl. 7 písm. f) směrnice 95/46.
125. S ohledem na mou výše navrženou odpověď na druhou otázku mám za to, že je třeba zohlednit oprávněné zájmy jak žalované, tak i společnosti Facebook Ireland, jelikož obě ve vztahu k předmětnému úkonu zpracování osobních údajů jednají jako společní správci.
126. Jelikož jejich postavení jako společných správců znamená, že sdílejí rovněž cíle zpracování osobních údajů, je třeba existenci oprávněného zájmu prokázat ve vztahu k oběma z nich alespoň na obecné úrovni, jak je vysvětleno výše. Tento zájem musí být vážen oproti právům subjektů údajů, jak je stanoveno v poslední části čl. 7 písm. f) směrnice 95/46(61), přičemž toto vážení závisí „v zásadě na zvláštních okolnostech konkrétního případu“(62). Připomínám, že zpracování údajů musí za těchto okolností rovněž podléhat podmínce nezbytnosti(63).
127. S ohledem na výše uvedené skutečnosti můj třetí dílčí závěr zní, že pro účely posouzení možnosti zpracovávat osobní údaje za podmínek stanovených v čl. 7 písm. f) směrnice 95/46 musí být zohledněny oprávněné zájmy obou dotčených společných správců a tyto musí být váženy oproti právům subjektů údajů.
D. Povinnosti žalované týkající se souhlasu, který od subjektu údajů má získat, a informací, které mu má poskytnout
128. Prostřednictvím páté otázky chce předkládající soud zjistit, komu má být za okolností projednávaného případu poskytnut souhlas, který má být vyjádřen na základě čl. 7 písm. a) a čl. 2 písm. h) směrnice 95/46.
129. Prostřednictvím šesté otázky chce předkládající soud zjistit, zda se informační povinnost podle článku 10 směrnice 95/46 v dané situaci použije na provozovatele internetové stránky (jako je žalovaná), který obsah třetí osoby začlenil a zpracování osobních údajů touto třetí osobou tak zapříčinil.
130. Jak bylo uvedeno výše(64), na tyto otázky se nabízí mnoho odpovědí. Jakmile však byla určena přesná povaha povinnosti uvedené ve druhé otázce jak s ohledem na nositele (kdo), tak na povahu této povinnosti (za co), a tato otázka je tak vyjasněna ve vztahu k primárním povinnostem, rýsují se i odpovědi na pátou a šestou otázku, které se týkají určitých sekundárních povinností.
131. Zaprvé mám za to, že jak souhlas, tak i poskytnuté informace musí zahrnovat všechny aspekty úkonů zpracování údajů, za něž nesou společnou odpovědnost společní správci, konkrétně shromažďování a předávání. Souhlas a informační povinnosti se naopak nevztahují na následné fáze zpracování údajů, do kterých není žalovaná zapojena a ve vztahu k nimž logicky neurčuje prostředky ani účely.
132. Zadruhé by se za těchto podmínek bylo možno domnívat, že souhlas může být poskytnut kterémukoli z těchto společných správců. Vzhledem ke konkrétním okolnostem daného případu však souhlas musí být udělen žalované, neboť zpracování údajů je zahájeno v okamžiku zobrazení internetové stránky. Bylo by zjevně v rozporu s účinnou a včasnou ochranou práv subjektů údajů, pokud by souhlas byl udělen pouze společnému správci, který je zapojen v pozdější fázi (pokud vůbec), jestliže ke shromáždění a předání údajů již došlo.
133. Podobnou odpověď je třeba dát i s ohledem na informační povinnost, kterou má žalovaná podle článku 10 směrnice 95/46. Toto ustanovení stanoví minimální seznam informací, které musí správce (nebo jeho zástupce) subjektu údajů sdělit. Obsahuje následující prvky: totožnost správce (nebo jeho zástupce); účely zpracování, pro které jsou údaje určeny, a veškeré doplňující informace, pokud je to „nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů, s ohledem na zvláštní okolnosti, za jakých jsou údaje shromažďovány“. Článek 10 poskytuje příklady takových doplňujících informací, které v rozsahu, jenž může být relevantní v projednávané věci, zahrnují informace o příjemci údajů nebo o existenci práva na přístup a práva na opravu údajů týkajících se subjektu údajů.
134. Podíváme-li se na tento seznam, jeví se jasně, že žalovaná je s to poskytnout informace o totožnosti společných správců, o účelu příslušné fáze zpracování [úkonu(ů), ve vztahu k nimž jsou společnými správci]; a rovněž o skutečnosti, že tyto údaje budou předány.
135. Naopak, pokud jde o právo na přístup a právo na opravu, rozumím tomu, že žalovaná sama nemá k údajům předávaným společnosti Facebook Ireland takový přístup, neboť se nijak nepodílí na uchovávání údajů. Proto lze například tvrdit, že tato otázka by měla být předmětem dohody se společností Facebook Ireland.
136. Tento návrh by však vedle argumentů předložených výše(65) opět vedl k rozšíření povinností a odpovědnosti (společných) správců na úkony, za které nenesou odpovědnost. Jestliže společná správa zahrnuje odpovědnost za ty úkony, ve vztahu ke kterým mezi správci existuje jednota účelů a prostředků, pak logicky jakékoli další povinnosti podle této směrnice, jako je souhlas, právo na informace, právo na přístup či opravu, by měly odpovídat rozsahu této původní povinnosti(66).
137. Komise rovněž na jednání uvedla, že ti návštěvníci, kteří mají účet na síti Facebook, mohli již dříve s takovým přenosem vyslovit souhlas. To by mohlo vést k diferencované odpovědnosti žalované, přičemž Komise zřejmě naznačuje, že informační povinnost žalované a její povinnost vyžádat si souhlas by se pak vztahovaly pouze na osoby, které nejsou uživateli sítě Facebook a kteří navštívili internetovou stránku žalované.
138. S tím nesouhlasím. Je pro mě obtížné přijmout myšlenku, že by mělo být za okolností projednávané věci dáno rozdílné zacházení (poskytující nižší míru ochrany) ve vztahu k „uživatelům sítě Facebook“ z toho důvodu, že již možnost (jakéhokoli a každého) zpracování svých osobních údajů ze strany sítě Facebook přijali. Taková argumentace by vlastně znamenala, že založením účtu na síti Facebook uživatel předem souhlasí s jakýmkoli zpracováním údajů ve vztahu k jakékoliv online aktivitě těchto „uživatelů sítě Facebook“ ze strany jakékoli třetí osoby mající se sítí Facebook jakýkoli vztah. To platí i v situaci, ve které po takovém zpracování údajů nejsou žádné viditelné stopy (jako je tomu zřejmě v případě prosté návštěvy internetové stránky žalované). Jinými slovy, přijetí návrhu Komise by znamenalo, že založením účtu na síti Facebook by se uživatel ve vztahu ke společnosti Facebook skutečně vzdal veškeré ochrany osobních údajů online na internetu.
139. Mám tedy za to, že odpovědnost a související povinnost získat souhlas a informační povinnost žalované by měly být stejné ve vztahu ke všem subjektům údajů, bez ohledu na to, zda mají či nemají účet na síti Facebook.
140. Kromě toho je opět zřejmé, že tento souhlas musí být udělen a informace poskytnuty před shromážděním a předáním údajů(67).
141. S ohledem na výše uvedené je můj poslední dílčí závěr v odpovědi na pátou a šestou otázku takový, že v takové situaci, jako je situace v projednávané věci, musí být souhlas subjektu údajů získaný podle čl. 7 písm. a) směrnice 95/46 udělen provozovateli internetové stránky, jako je žalovaná, který obsah třetí osoby začlenil. Článek 10 směrnice 95/46 musí být vykládán v tom smyslu, že informační povinnost podle tohoto ustanovení se vztahuje také na tohoto provozovatele internetové stránky. Souhlas subjektu údajů podle čl. 7 písm. a) směrnice 95/46 musí být udělen a informace ve smyslu článku 10 téže směrnice poskytnuty předtím, než jsou údaje shromážděny a předány. Rozsah těchto povinností však musí odpovídat společné odpovědnosti správce za shromažďování a předávání osobních údajů.
V. Závěry
142. S ohledem na výše uvedené navrhuji, aby Soudní dvůr odpověděl na předběžné otázky položené Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu, Německo) takto:
„Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů nebrání vnitrostátní právní úpravě, která přiznává veřejně prospěšným sdružením aktivní legitimaci k zahájení soudního řízení proti domnělému porušiteli právních předpisů v oblasti ochrany údajů s cílem chránit zájmy spotřebitelů.
Osoba, která do své internetové stránky začlenila zásuvný modul třetí osoby, který shromažďuje a předává osobní údaje uživatele (přičemž tento zásuvný modul poskytla tato třetí osoba), by měla být považována za správce ve smyslu čl. 2 písm. d) směrnice 95/46. (Spolu)odpovědnost tohoto správce je však omezena pouze na ty úkony zpracování osobních údajů, o jejichž prostředcích a účelu účinně spolurozhoduje.
Pro účely posouzení možnosti zpracovávat osobní údaje za podmínek stanovených v čl. 7 písm. f) směrnice 95/46 musí být zohledněny oprávněné zájmy obou dotčených společných správců a tyto musí být váženy oproti právům subjektů údajů.
Souhlas subjektu údajů získaný podle čl. 7 písm. a) směrnice 95/46 musí být udělen provozovateli internetové stránky, který obsah třetí osoby začlenil. Článek 10 směrnice 95/46 musí být vykládán v tom smyslu, že informační povinnost podle tohoto ustanovení se vztahuje také na tohoto provozovatele internetové stránky. Souhlas subjektu údajů podle čl. 7 písm. a) směrnice 95/46 musí být udělen a informace ve smyslu článku 10 téže směrnice poskytnuty předtím, než jsou údaje shromážděny a předány. Rozsah těchto povinností však musí odpovídat společné odpovědnosti správce za shromažďování a předávání osobních údajů.“