TIESAS SPRIEDUMS (virspalāta)
2019. gada 24. septembrī (*)
Lūgums sniegt prejudiciālu nolēmumu – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Direktīva 95/46/EK – Regula (ES) 2016/679 – Interneta meklētājprogrammas – Tīmekļa lapās ietverto datu apstrāde – Tiesību uz atsauču atsaistīšanu teritoriālā piemērojamība
Lietā C‑507/17
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Conseil d’État (Valsts padome, Francija) iesniedza ar lēmumu, kas pieņemts 2017. gada 19. jūlijā un kas Tiesā reģistrēts 2017. gada 21. augustā, tiesvedībā
Google LLC, kas ir Google Inc. tiesību pārņēmēja,
pret
Commission nationale de l’informatique et des libertés (CNIL),
piedaloties:
Wikimedia Foundation Inc.,
Fondation pour la liberté de la presse,
Microsoft Corp.,
Reporters Committee for Freedom of the Press u.c.,
Article 19 u.c.,
Internet Freedom Foundation u.c.,
Défenseur des droits,
TIESA (virspalāta)
šādā sastāvā: priekšsēdētājs K. Lēnartss [K. Lenaerts], palātu priekšsēdētāji A. Arabadžijevs [A. Arabadjiev], J. Regans [E. Regan], T. fon Danvics [T. von Danwitz], K. Toadere [C. Toader] un F. Biltšens [F. Biltgen], tiesneši M. Ilešičs [M. Ilešič] (referents), L. Bejs Larsens [L. Bay Larsen], M. Safjans [M. Safjan], D. Švābi [D. Šváby], K. G. Fernlunds [C. G. Fernlund], K. Vajda [C. Vajda] un S. Rodins [S. Rodin],
ģenerāladvokāts: M. Špunars [M. Szpunar],
sekretāre: V. Džakobo-Peironnela [V. Giacobbo-Peyronnel], administratore,
ņemot vērā rakstveida procesu un 2018. gada 11. septembra tiesas sēdi,
ņemot vērā apsvērumus, ko sniedza:
– Google LLC vārdā – P. Spinosi, Y. Pelosi un W. Maxwell, avocats,
– Commission nationale de l’informatique et des libertés (CNIL) vārdā – I. Falque-Pierrotin, kā arī J. Lessi un G. Le Grand, pārstāvji,
– Wikimedia Foundation Inc. vārdā – C. Rameix-Seguin, avocate,
– Fondation pour la liberté de la presse vārdā – T. Haas, avocat,
– Microsoft Corp. vārdā – E. Piwnica, avocat,
– Reporters Committee for Freedom of the Press u.c. vārdā – F. Louis, avocat, kā arī H.‑G. Kamann, C. Schwedler un M. Braun, Rechtsanwälte,
– Article 19 u.c. vārdā – G. Tapie, avocat, G. Facenna, QC, un E. Metcalfe, barrister,
– Internet Freedom Foundation u.c. vārdā – T. Haas, avocat,
– Défenseur des droits vārdā – J. Toubon, pārstāvis,
– Francijas valdības vārdā – D. Colas un R. Coesme, kā arī E. de Moustier un S. Ghiandoni, pārstāvji,
– Īrijas vārdā – M. Browne, G. Hodge un J. Quaney, kā arī A. Joyce, pārstāvji, kam palīdz M. Gray, BL,
– Grieķijas valdības vārdā – E.‑M. Mamouna, G. Papadaki, E. Zisi un S. Papaioannou, pārstāves,
– Itālijas valdības vārdā – G. Palmieri, pārstāve, kurai palīdz R. Guizzi, avvocato dello Stato,
– Austrijas valdības vārdā – G. Eberhard un G. Kunnert, pārstāvji,
– Polijas valdības vārdā – B. Majczyna, kā arī M. Pawlicka un J. Sawicka, pārstāvji,
– Eiropas Komisijas vārdā – A. Buchet, H. Kranenborg un D. Nardi, pārstāvji,
noklausījusies ģenerāladvokāta secinājumus 2019. gada 10. janvāra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.).
2 Šis lūgums ir iesniegts saistībā ar tiesvedību Google LLC, Google Inc. tiesību pārņēmējas, prasībā pret Commission nationale de l’informatique et des libertés (CNIL) (Valsts informātikas un brīvību komisija, Francija) par sodu 100 000 EUR apmērā, ko šī komisija uzlikusi Google tāpēc, ka šī sabiedrība, apmierinot lūgumu atsaistīt atsauces, atsakās attiecināt šo atsaistīšanu uz visiem savas meklētājprogrammas domēna nosaukuma paplašinājumiem.
Atbilstošās tiesību normas
Savienības tiesības
Direktīva 95/46
3 Direktīvas 95/46 mērķis – saskaņā ar tās 1. panta 1. punktā noteikto – ir aizsargāt fizisko personu pamattiesības un brīvības, tostarp viņu privātās dzīves neaizskaramību saistībā ar personas datu apstrādi, kā arī novērst šķēršļus šo datu brīvai apritei.
4 Direktīvas 95/46 2., 7., 10., 18., 20. un 37. apsvērumā ir teikts:
“(2) tā kā datu apstrādes sistēmas ir paredzētas tam, lai kalpotu cilvēkam; tā kā tām neatkarīgi no fizisku personu pilsonības vai pastāvīgas dzīves vietas jārespektē viņu pamattiesības un brīvības, jo īpaši privātās dzīves neaizskaramības tiesības, un jāveicina [..] personu labklājība;
[..]
(7) tā kā atšķirība personas tiesību un brīvību, jo īpaši tiesību uz privātās dzīves neaizskaramību, aizsardzības līmeņos attiecībā uz dalībvalstīs sniegto personas datu apstrādi var aizkavēt šo datu pārsūtīšanu no vienas dalībvalsts teritorijas uz otru; tā kā šī atšķirība tādēļ var radīt šķērsli, lai iesaistītos virknē ekonomisku darbību Kopienas līmenī, [..]
[..]
(10) tā kā valstu likumu par personas datu apstrādi mērķis ir aizsargāt pamattiesības un brīvības, īpaši privātās dzīves neaizskaramības tiesības, ko atzīst gan Eiropas Konvencijas par cilvēka tiesību un pamatbrīvību aizsardzību[, kas parakstīta Romā 1950. gada 4. novembrī,] 8. pants, gan Kopienas tiesību vispārīgie principi; tā kā šā iemesla dēļ valstu likumu tuvināšanas rezultāts nedrīkst būt jebkādas to sniegtās aizsardzības samazinājums, bet gan tieši pretēji, tiem jācenšas nodrošināt Kopienā augstu aizsardzības līmeni;
[..]
(18) tā kā, lai nodrošinātu, ka personas nezaudē aizsardzību, uz kuru viņām ir tiesības saskaņā ar šo direktīvu, jebkura personas datu apstrāde Kopienā jāveic saskaņā ar kādas dalībvalsts likumiem; [..]
[..]
(20) tā kā fakts, ka datu apstrādi veic persona, kura reģistrēta trešajā valstī, nedrīkst būt pretrunā ar šajā direktīvā paredzēto personu aizsardzību; tā kā šajos gadījumos apstrādi jāreglamentē ar valsts, kurā atrodas izmantojamie līdzekļi, likumiem un būtu jābūt garantijām, ka šajā direktīvā paredzētās tiesības un pienākumus ievēro praksē;
[..]
(37) tā kā personas datu apstrādei žurnālistikas nolūkiem vai literārās vai mākslinieciskās izteiksmes nolūkiem, īpaši audiovizuālajā jomā, būtu jānosaka atbrīvojums no šīs direktīvas zināmu nosacījumu prasībām, ciktāl tas vajadzīgs, lai saskaņotu personu pamattiesības ar informācijas brīvību un jo īpaši ar tiesībām saņemt un sniegt informāciju, kā to garantē 10. pants Eiropas Konvencijā par cilvēka tiesību un pamatbrīvību aizsardzību; tā kā dalībvalstīm tādēļ būtu jānosaka nepieciešamie atbrīvojumi un atkāpes līdzsvara radīšanai starp pamattiesībām attiecībā uz vispārējiem pasākumiem datu apstrādes likumībā, [..].”
5 Šīs direktīvas 2. pantā ir noteikts:
“Šajā direktīvā:
a) “personas dati” ir jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu (“datu subjektu”); [..]
b) “personu datu apstrāde” (“apstrāde”) ir jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana;
[..]
d) “personas datu apstrādātājs” ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]
[..].”
6 Minētās direktīvas 4. pantā “Piemērojamās valsts tiesības” ir paredzēts:
“1. Katra dalībvalsts piemēro savas valsts noteikumus personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja:
a) apstrādi veic saistībā ar personas datu apstrādātāja pasākumiem dalībvalsts teritorijā; ja viens un tas pats personas datu apstrādātājs ir reģistrēts vairāku dalībvalstu teritorijā, tam jāveic nepieciešamie pasākumi, lai nodrošinātu katras šīs iestādes atbilstību šīs valsts piemērojamo tiesību noteiktajām saistībām;
b) personas datu apstrādātājs ir reģistrēts nevis dalībvalsts teritorijā, bet gan vietā, kur šīs valsts tiesības piemēro, pamatojoties uz starptautiskajām publiskajām tiesībām;
c) personas datu apstrādātājs nav reģistrēts Kopienas teritorijā un personas datu apstrādes nolūkiem izmanto automatizētu un citādu aprīkojumu, kas atrodas minētās dalībvalsts teritorijā, ja vien šis aprīkojums netiek izmantots vienīgi tranzīta nolūkiem caur Kopienas teritoriju.
2. Šā panta 1. punkta c) apakšpunktā minētajos apstākļos personas datu apstrādātājam jānozīmē attiecīgās dalībvalsts teritorijā izveidots pārstāvis, neliekot šķēršļus juridiskām darbībām, kuras varētu uzsākt pret pašu personas datu apstrādātāju.”
7 Direktīvas 95/46 9. pantā “Personas datu apstrāde un vārda brīvība” ir noteikts:
“Dalībvalstis nosaka izņēmumus vai atkāpes no šīs nodaļas, IV nodaļas un VI nodaļas noteikumiem personas datu apstrādei, kas veikta tikai un vienīgi žurnālistikas nolūkiem vai mākslinieciskās vai literārās izteiksmes nolūkiem, tikai tad, ja tie vajadzīgi, lai saskaņotu tiesības uz privātās dzīves neaizskaramību ar normām, kas reglamentē vārda brīvību.”
8 Šīs direktīvas 12. pantā “Piekļuves tiesības” ir paredzēts:
“Dalībvalstis garantē katram datu subjektam tiesības iegūt no personas datu apstrādātāja:
[..]
b) atkarībā no apstākļiem datu izlabošanu, dzēšanu vai piekļuves noslēgšanu, ja šo datu apstrāde neatbilst šīs direktīvas noteikumiem, īpaši datu nepilnības vai neprecizitātes dēļ,
[..].”
9 Minētās direktīvas 14. pantā “Datu subjekta tiesības iebilst” ir noteikts:
“Dalībvalstis piešķir datu subjektam tiesības:
a) vismaz 7. panta e) un f) [..]punktā norādītajos gadījumos jebkurā laikā uz viņa konkrēto situāciju attiecināmu nenoraidāmu likumīgu iemeslu dēļ iebilst pret datu apstrādi, kas attiecas uz viņu, ja vien attiecīgās valsts tiesību akti neparedz citādi. Ja iebildums ir pamatots, personas datu apstrādātāja ierosinātajā apstrād[ē] vairs nedrīkst iesaistīt šos datus;
[..].”
10 Direktīvas 95/46 24. pantā “Sankcijas” ir paredzēts:
“Dalībvalstis paredz atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, un īpaši nosaka sankcijas, kas jāuzliek gadījumā, ja tiek pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi.”
11 Šīs direktīvas 28. pants “Uzraudzības iestāde” ir formulēts šādi:
“1. Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā.
[..]
3. Katrai iestādei ir piešķirtas:
– izmeklēšanas pilnvaras, tādas kā datu, kuri veido apstrādes darbību priekšmetu, piekļuves pilnvaras un pilnvaras ievākt tās uzraudzības pienākumu izpildei visu vajadzīgo informāciju;
– efektīvas iejaukšanās pilnvaras, tādas kā, piemēram, [..] likt noslēgt piekļuvi, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei [..]
[..]
Uzraudzības iestādes lēmumus, kuri dod tiesības uz sūdzību procedūru, [nelabvēlīgos lēmumus] var pārsūdzēt tiesā.
4. Katra uzraudzības iestāde uzklausa jebkuras personas vai šo personu pārstāvošas apvienības iesniegtu prasību, kas saistīta ar šīs personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Ieinteresēt[ā] person[a] jāinformē par prasības rezultātu.
[..]
6. Katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras. Katru uzraudzības iestādi var lūgt citas dalībvalsts iestāde realizēt tās pilnvaras.
Uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei, jo īpaši apmainoties ar visu lietderīgo informāciju.
[..]”
Regula (ES) 2016/679
12 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., un labojums OV 2018, L 127, 2. lpp.), kas ir pieņemta, pamatojoties uz LESD 16. pantu, – atbilstoši tās 99. panta 2. punktā noteiktajam – ir piemērojama no 2018. gada 25. maija. Šīs regulas 94. panta 1. punktā ir noteikts, ka no tās pašas dienas tiek atcelta Direktīva 95/46.
13 Minētās regulas 1., 4., 9.–11., 13., 22.–25. un 65. apsvērumā ir teikts:
“(1) Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un [LESD] 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.
[..]
(4) Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti hartā un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves, [..] personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, [..]
[..]
(9) [Direktīva] 95/46/EK [..] nav spējusi novērst datu aizsardzības īstenošanas sadrumstalotību Savienībā [..]. [..] aizsardzības līmeņa atšķirības [..] dalībvalstīs [..] var kavēt personas datu brīvu apriti Savienībā. Minētās atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī [..].
(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. [..]
(11) Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs.
[..]
(13) Lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai nodrošinātu juridisko noteiktību un pārredzamību ekonomikas dalībniekiem [..] un nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs, kā arī efektīvu sadarbību starp uzraudzības iestādēm dažādās dalībvalstīs. Iekšējā tirgus pienācīgai darbībai nepieciešams, lai personas datu brīva aprite Savienībā nav ierobežota vai aizliegta, pamatojoties uz iemesliem, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi. [..]
[..]
(22) Personas datu apstrādei, kas notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbībā Savienībā, būtu jānotiek saskaņā ar šo regulu neatkarīgi no tā, vai pati apstrāde notiek Savienībā. [..]
(23) Lai nodrošinātu, ka fiziskām personām netiek liegta aizsardzība, kas tām pienākas saskaņā ar šo regulu, Savienībā esošu datu subjektu personas datu apstrāde, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, būtu jāveic saskaņā ar šo regulu, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem, neatkarīgi no tā, vai tā ir saistīta ar samaksu. Lai noteiktu, vai šāds pārzinis vai apstrādātājs piedāvā preces vai pakalpojumus datu subjektiem, kuri ir Savienībā, būtu jāpārliecinās, vai ir acīmredzams, ka pārzinis vai apstrādātājs ir iecerējis piedāvāt pakalpojumus datu subjektiem vienā vai vairākās Savienības dalībvalstīs. [..]
(24) Savienībā esošu datu subjektu personas datu apstrāde, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, būtu jāveic saskaņā ar šo regulu arī tad, ja tā ir saistīta ar šādu datu subjektu uzvedības novērošanu, ciktāl to uzvedība notiek Savienībā. Lai noteiktu, vai apstrādes darbību var uzskatīt par datu subjektu “uzvedības novērošanu”, būtu jāpārliecinās, vai fiziska persona tiek izsekota internetā, tostarp vai var turpmāk izmantot personas datu apstrādes paņēmienus, kas ietver fiziskas personas profilēšanu, jo īpaši, lai pieņemtu lēmumus par datu subjektu vai lai analizētu vai iepriekš paredzētu datu subjekta personīgās vēlmes, uzvedību un attieksmi.
(25) Ja, ievērojot starptautiskās publiskās tiesības, ir piemērojamas dalībvalsts tiesības, tad šī regula būtu piemērojama arī pārzinim, kas neveic uzņēmējdarbību Savienībā, piemēram, pārzinim dalībvalsts diplomātiskajā pārstāvniecībā vai konsulātā.
[..]
(65) Datu subjektam vajadzētu būt [..] “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības vai dalībvalsts tiesību aktus, kas ir piemērojami pārzinim. [..] Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju [..].”
14 Regulas Nr. 2016/679 3. pants “Teritoriālā darbības joma” ir formulēts šādi:
“1. Šo regulu piemēro personas datu apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā.
2. Šo regulu piemēro Savienībā esošu datu subjektu personas datu apstrādei, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, ja apstrādes darbības ir saistītas ar:
a) preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem Savienībā, neatkarīgi no tā, vai no datu subjekta tiek prasīta samaksa; vai
b) viņu uzvedības novērošanu, ciktāl viņu uzvedība notiek Savienībā.
3. Šo regulu piemēro personas datu apstrādei, ko veic pārzinis, kas neveic uzņēmējdarbību Savienībā, bet vietā, kur saskaņā ar starptautiskajām publiskajām tiesībām ir piemērojamas dalībvalsts tiesības.”
15 Šīs regulas 4. panta 23. punktā jēdziens “pārrobežu apstrāde” ir definēts šādi:
“a) personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai
b) personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī”.
16 Minētās regulas 17. pants “Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)” ir formulēts šādi:
“1. Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:
a) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
b) datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;
c) datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 2. punktu;
d) personas dati ir apstrādāti nelikumīgi;
e) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim;
f) personas dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts 8. panta 1. punktā.
[..]
3. Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:
a) lai īstenotu tiesības uz vārda brīvību un informāciju;
[..].”
17 Šīs pašas regulas 21. panta “Tiesības iebilst” 1. punktā ir paredzēts:
“Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.”
18 Regulas 2016/679 55. panta “Kompetence” – kas ietilpst šīs regulas VI nodaļā “Neatkarīgas uzraudzības iestādes” – 1. punktā ir noteikts:
“Katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo regulu.”
19 Minētās regulas 56. pantā “Vadošās uzraudzības iestādes kompetence” ir noteikts:
“1. Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru.
2. Atkāpjoties no 1. punkta, ikviena uzraudzības iestāde ir kompetenta izskatīt tai iesniegto sūdzību vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī.
3. Šā panta 2. punktā minētajos gadījumos uzraudzības iestāde nekavējoties par minēto jautājumu informē vadošo uzraudzības iestādi. Trīs nedēļu laikā pēc informēšanas vadošā uzraudzības iestāde nolemj, vai tā izskatīs vai neizskatīs jautājumu saskaņā ar 60. pantā paredzēto procedūru, ņemot vērā to, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tajā dalībvalstī, kuras uzraudzības iestāde sniegusi informāciju.
4. Ja vadošā uzraudzības iestāde nolemj izskatīt jautājumu, piemēro 60. pantā paredzēto procedūru. Uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, vadošajai uzraudzības iestādei var iesniegt lēmuma projektu. Vadošā uzraudzības iestāde maksimāli ņem vērā minēto projektu, kad tā izstrādā 60. panta 3. punktā minēto lēmuma projektu.
5. Ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, tā uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, izskata jautājumu saskaņā ar 61. un 62. pantu.
6. Vadošā uzraudzības iestāde ir vienīgais pārziņa vai apstrādātāja partneris saistībā ar minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi.”
20 Šīs pašas regulas 58. panta “Pilnvaras” 2. punktā ir paredzēts:
“Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:
[..]
g) izdot rīkojumu par personas datu [..] dzēšanu [..], ievērojot [..] 17. [..] pantu [..];
[..]
i) piemērot administratīvu naudas sodu [..], papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem”.
21 Regulas 2016/679 VII nodaļā “Sadarbība un konsekvence” ietilpstošajā 1. iedaļā “Sadarbība” ir iekļauti šīs regulas 60.–62. pants. Šajā 60. pantā “Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm” ir noteikts:
“1. Vadošā uzraudzības iestāde sadarbojas ar citām attiecīgajām uzraudzības iestādēm saskaņā ar šo pantu nolūkā panākt konsensu. Vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes savstarpēji apmainās ar visu būtisko informāciju.
2. Vadošā uzraudzības iestāde jebkurā laikā var lūgt citām attiecīgajām uzraudzības iestādēm sniegt savstarpēju palīdzību saskaņā ar 61. pantu un var veikt kopīgas operācijas saskaņā ar 62. pantu, jo īpaši nolūkā veikt izmeklēšanu vai uzraudzīt pasākuma īstenošanu saistībā ar pārzini vai apstrādātāju, kas veic uzņēmējdarbību citā dalībvalstī.
3. Vadošā uzraudzības iestāde nekavējoties nosūta attiecīgo informāciju par lietu citām attiecīgajām uzraudzības iestādēm. Tā nekavējoties nosūta citām attiecīgajām uzraudzības iestādēm lēmuma projektu, lai saņemtu to atzinumu un pienācīgi ņemtu vērā to viedokli.
4. Ja kāda no citām attiecīgajām uzraudzības iestādēm četru nedēļu laikā pēc konsultēšanās saskaņā ar šā panta 3. punktu izsaka būtisku un motivētu iebildumu par lēmuma projektu, vadošā uzraudzības iestāde, ja tā neņem vērā būtisku un motivētu iebildumu vai uzskata, ka iebildums nav būtisks vai motivēts, iesniedz lietu izskatīšanai saskaņā ar 63. pantā minēto konsekvences mehānismu.
5. Ja vadošā uzraudzības iestāde ir nolēmusi piekrist izteiktajam būtiskajam un motivētajam iebildumam, tā citām attiecīgajām uzraudzības iestādēm nosūta pārskatītu lēmuma projektu atzinuma saņemšanai. Uz minēto pārskatīto lēmuma projektu divu nedēļu laikposmā attiecas 4. punktā minētā procedūra.
6. Ja neviena no citām attiecīgajām uzraudzības iestādēm 4. un 5. punktā minētajā laikposmā neiebilst pret vadošās uzraudzības iestādes nosūtīto lēmuma projektu, uzskata, ka vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes ir vienojušās par minēto lēmuma projektu un tas viņām ir saistošs.
7. Vadošā uzraudzības iestāde pieņem lēmumu un to paziņo attiecīgi uz pārziņa vai apstrādātāja galveno vai vienīgo uzņēmējdarbības vietu un par minēto lēmumu informē attiecīgās uzraudzības iestādes un kolēģiju, tostarp sniedzot attiecīgo faktu un pamatojumu kopsavilkumu. Uzraudzības iestāde, kurā iesniegta sūdzība, informē sūdzības iesniedzēju par lēmumu.
8. Atkāpjoties no 7. punkta, ja sūdzība ir noraidīta, uzraudzības iestāde, kurā bija iesniegta sūdzība, pieņem lēmumu un to paziņo sūdzības iesniedzējam un par to informē pārzini.
9. Ja vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes vienojas noraidīt daļu no sūdzības un rīkoties attiecībā uz pārējo minētās sūdzības daļu, par katru no šā jautājuma daļām pieņem atsevišķu lēmumu. [..]
10. Pēc vadošās uzraudzības iestādes lēmuma saņemšanas saskaņā ar 7. un 9. punktu pārzinis vai apstrādātājs īsteno vajadzīgos pasākumus, lai nodrošinātu atbilstību šim lēmumam attiecībā uz apstrādes darbībām visās tā uzņēmējdarbības vietās Savienībā. Pārzinis vai apstrādātājs par pasākumiem, kas īstenoti nolūkā nodrošināt atbilstību šim lēmumam, paziņo vadošajai uzraudzības iestādei, kura informē citas attiecīgās uzraudzības iestādes.
11. Ja ārkārtas apstākļos attiecīgajai uzraudzības iestādei ir pamats uzskatīt, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu intereses, piemēro 66. pantā minēto steidzamības procedūru.
[..]”
22 Minētās regulas 61. panta “Savstarpēja palīdzība” 1. punktā ir noteikts:
“Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas.”
23 Šīs pašas regulas 62. pantā “Uzraudzības iestāžu kopīgās operācijas” ir paredzēts:
“1. Uzraudzības iestādes vajadzības gadījumā veic kopīgas operācijas, tostarp kopīgu izmeklēšanu un kopīgus izpildes pasākumus, kuros iesaistās citu dalībvalstu uzraudzības iestāžu locekļi vai personāls.
2. Ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairākās dalībvalstīs vai apstrādes darbības var būtiski ietekmēt ievērojamu skaitu datu subjektu vairāk nekā vienā dalībvalstī, uzraudzības iestādei katrā no šīm dalībvalstīm ir tiesības piedalīties kopīgajās operācijās. [..]”
24 Regulas 2016/679 VII nodaļas 2. iedaļā “Konsekvence” ir iekļauti šīs regulas 63.–67. pants. Šis 63. pants “Konsekvences mehānisms” ir formulēts šādi:
“Lai sekmētu šīs regulas konsekventu piemērošanu visā Savienībā, uzraudzības iestādes sadarbojas cita ar citu un attiecīgā gadījumā ar Komisiju, izmantojot konsekvences mehānismu, kā izklāstīts šajā iedaļā.”
25 Minētās regulas 65. panta “Strīdu risināšana kolēģijā” 1. punktā ir paredzēts:
“Lai nodrošinātu šīs regulas pareizu un konsekventu piemērošanu katrā atsevišķā gadījumā, kolēģija pieņem saistošu lēmumu šādos gadījumos:
a) ja 60. panta 4. punktā minētajā gadījumā attiecīgā uzraudzības iestāde ir cēlusi būtisku un motivētu iebildumu pret vadošās iestādes lēmuma projektu vai vadošā iestāde ir noraidījusi šādu iebildumu kā nebūtisku vai nemotivētu. Saistošais lēmums skar visus jautājumus, kas ir būtiskā un motivētā iebilduma priekšmets, jo īpaši jautājumu par to, vai ir pārkāpta šī regula;
b) ja ir pretēji viedokļi par to, kurai attiecīgajai uzraudzības iestādei ir kompetence par galveno uzņēmējdarbības vietu;
[..].”
26 Šīs pašas regulas 66. panta “Steidzamības procedūra” 1. punktā ir noteikts:
“Ārkārtas apstākļos, ja kāda attiecīgā uzraudzības iestāde uzskata, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, tā, atkāpjoties no 63., 64. un 65. pantā minētā konsekvences mehānisma vai 60. pantā minētās procedūras, var nekavējoties pieņemt pagaidu pasākumus, kuru nolūks ir radīt tiesiskas sekas savā teritorijā, norādot konkrētu spēkā esamības laikposmu, kas nepārsniedz trīs mēnešus. Uzraudzības iestāde šos pasākumus un to pieņemšanas iemeslus nekavējoties dara zināmus citām attiecīgajām uzraudzības iestādēm, kolēģijai un Komisijai.”
27 Regulas 2016/679 85. pantā “Apstrāde un vārda un informācijas brīvība” ir noteikts:
“1. Dalībvalstis ar tiesību aktiem saglabā līdzsvaru starp tiesībām uz personas datu aizsardzību saskaņā ar šo regulu un tiesībām uz vārda un informācijas brīvību, tostarp apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām.
2. Apstrādei žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām dalībvalstis paredz izņēmumus vai atkāpes no II nodaļas (Principi), III nodaļas (Datu subjekta tiesības), IV nodaļas (Pārzinis un apstrādātājs), V nodaļas (Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām), VI nodaļas (Neatkarīgas uzraudzības iestādes), VII nodaļas (Sadarbība un konsekvence) un IX nodaļas (Īpašas datu apstrādes situācijas) attiecībā apstrādi, ja tas ir nepieciešams, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un vārda un informācijas brīvību.
[..]”
Francijas tiesības
28 Direktīvas 95/46 transponēšana Francijas tiesībās ir nodrošināta ar loi n° 78‑17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés [1978. gada 6. janvāra Likums Nr. 78‑17 par informātiku, datnēm un brīvībām], redakcijā, kas piemērojama pamatlietas faktiskajiem apstākļiem, (turpmāk tekstā – “1978. gada 6. janvāra likums”).
29 Šā likuma 45. pantā ir noteikts, ka gadījumā, ja pārzinis nepilda no minētā likuma izrietošos pienākumus, CNIL priekšsēdētājs var tam izteikt brīdinājumu, liekot izbeigt konstatēto pārkāpumu noteiktā termiņā. Ja pārzinis nepilda tam adresētajā brīdinājumā noteikto, CNIL kolēģija var uz sacīkstes principa balstītas procedūras iznākumā uzlikt tostarp naudas sodu.
Pamatlieta un prejudiciālie jautājumi
30 2015. gada 21. maija lēmumā CNIL priekšsēdētāja izteica brīdinājumu sabiedrībai Google, pieprasot, lai tā – apmierinot fiziskas personas lūgumu no rezultātu saraksta, kas parādās, veicot meklēšanu pēc šīs personas vārda, izņemt saites uz tīmekļa lapām – šo izņemšanu attiecinātu uz visiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem.
31 Google atteicās izpildīt šo brīdinājumā izteikto prasību, attiecīgās saites izņemdama tikai no rezultātiem, kas parādās, veicot meklēšanu no tiem šīs sabiedrības meklētājprogrammas domēna nosaukuma paplašinājumiem, kas atbilst dalībvalstīm paredzētajām šīs meklētājprogrammas versijām.
32 Turklāt CNIL uzskatīja par nepietiekamu Google pēc šīs prasības izpildei noteiktā termiņa beigām izteikto piedāvājumu papildus veikt tā saukto “ģeobloķēšanu”, proti, izskaust iespēju no IP (Internet Protocol) adreses, par kuru tiek pieņemts, ka tā atrodas datu subjekta dzīvesvietas dalībvalstī, piekļūt strīdīgajiem rezultātiem, veicot meklēšanu pēc šā subjekta vārda, neatkarīgi no tā, kādu meklētājprogrammas versiju izmanto interneta lietotājs.
33 Konstatējusi, ka Google noteiktajā termiņā nav izpildījusi minētajā brīdinājumā prasīto, CNIL ar 2016. gada 10. marta lēmumu tai uzlika sodu 100 000 EUR apmērā, un tas tika pasludināts publiski.
34 Ar prasības pieteikumu, kas iesniegts Conseil d’État (Valsts padome, Francija), Google lūdz atcelt šo lēmumu.
35 Conseil d’État konstatē, ka personas datu apstrāde, kas ir veikta ar sabiedrības Google pārvaldīto meklētājprogrammu, ņemot vērā reklāmas darbību un reklāmas izvietošanai paredzēto laukumu pārdošanu Francijā ar tās meitasuzņēmuma Google France starpniecību, ietilpst 1978. gada 6. janvāra likuma piemērošanas jomā.
36 Conseil d’État arī norāda, ka Google pārvaldītā meklētājprogramma ar ģeogrāfiskiem paplašinājumiem ir sadalīta vairākos domēnu nosaukumos, lai iegūtos rezultātus pielāgotu dažādu valstu, kurās šī sabiedrība veic savu darbību, īpatnībām, tostarp lingvistiskajām īpatnībām. Ja meklēšana tiek veikta vietnē “Google.com”, tad Google principā šo meklējumu automātiski pārvirzot uz tās valsts domēna nosaukuma paplašinājumu, no kuras atbilstoši identificētajai IP adresei tikusi veikta meklēšana. Tomēr neatkarīgi no atrašanās vietas interneta lietotājam joprojām ir iespējams veikt meklēšanu citos meklētājprogrammas domēna nosaukuma paplašinājumos. Turklāt, lai gan rezultāti var atšķirties atkarībā no tā, kurā domēna nosaukuma paplašinājumā tiek veikts meklējums meklētājprogrammā, netiek apstrīdēts, ka meklējuma rezultātā parādītās saites ir kopīgs datubāzes un indeksācijas procesa rezultāts.
37 Conseil d’État uzskata, ka, ņemot vērā, pirmkārt, faktu, ka visi Google meklētājprogrammas domēna nosaukuma paplašinājumi ir pieejami no Francijas teritorijas, un, otrkārt, vārtejas, kas pastāv starp šiem dažādajiem domēna nosaukuma paplašinājumiem, par ko liecina tostarp automātiskā pārvirzīšana, un arī cookies (sīkdatņu) esamību ne tikai tajos meklētājprogrammas paplašinājumos, kur tās tika sākotnēji saglabātas, bet arī citos paplašinājumos, šī meklētājprogramma, par kuru turklāt CNIL ir iesniegts tikai viens paziņojums, ir jāuzskata par tādu, kas veic vienotu personas datu apstrādi 1978. gada 6. janvāra likuma izpratnē. No tā izrietot, ka ar Google pārvaldīto meklētājprogrammu veiktā personas datu apstrāde tiek veikta saistībā ar darbību, ko veic kāds tās dibinājums, proti, Google France, kurš ir reģistrēts Francijas teritorijā un kuram tāpēc ir piemērojams 1978. gada 6. janvāra likums.
38 Google apgalvo Conseil d’État, ka apstrīdētais sods ir balstīts uz kļūdainu to 1978. gada 6. janvāra likuma tiesību normu interpretāciju, ar kurām ir transponēti Direktīvas 95/46 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, pamatojoties uz kuriem, Tiesa 2014. gada 13. maija spriedumā Google Spain un Google (C‑131/12, EU:C:2014:317) ir atzinusi “tiesības uz atsauču atsaistīšanu”. Google norāda, ka šīs tiesības nebūt katrā ziņā nenozīmē, ka strīdīgās saites bez ģeogrāfiska ierobežojuma ir jāizņem no rezultātu sarakstiem visos tās domēna nosaukuma paplašinājumos. Turklāt, izmantojot šādu interpretāciju, CNIL neesot ievērojusi starptautiskajās publiskajās tiesībās atzītos iecietības un neiejaukšanās principus un esot nesamērīgi pārkāpusi vārda, informācijas, saziņas un preses brīvības, kas ir garantētas tostarp Hartas 11. pantā.
39 Konstatējusi, ka no šīs argumentācijas izriet vairākas nopietnas grūtības saistībā ar Direktīvas 95/46 interpretāciju, Conseil d’État nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai “tiesības uz atsauču atsaistīšanu”, kas ir atzītas [Tiesas] 2014. gada 13. maija spriedumā [Google Spain un Google (C‑131/12, EU:C:2014:317)], pamatojoties uz Direktīvas [95/46] 12. panta b) punkta un 14. panta [pirmās daļas] a) apakšpunkta normām, ir jāinterpretē tādējādi, ka meklētājprogrammas pakalpojumu sniedzējam, apmierinot lūgumu par atsauču atsaistīšanu, ir pienākums veikt šo atsauču atsaistīšanu visos viņa meklētājprogrammas domēnu nosaukumu paplašinājumos tādējādi, lai strīdīgās saites vairs neparādītos, neatkarīgi no vietas, no kuras ir izdarīts meklējums, ievadot lūguma iesniedzēja vārdu, tostarp ārpus Direktīvas [95/46] teritoriālās piemērošanas jomas?
2) Noliedzošas atbildes uz šo pirmo jautājumu gadījumā, vai “tiesības uz atsauču atsaistīšanu”, kas ir atzītas iepriekš minētajā [Tiesas] spriedumā, ir jāinterpretē tādējādi, ka meklētājprogrammas pakalpojumu sniedzējam, apmierinot lūgumu par atsauču atsaistīšanu, ir vienīgi pienākums izņemt strīdīgās saites no meklēšanas rezultātiem, kuri tiek parādīti, veicot meklēšanu pēc pieprasītāja vārda meklētājprogrammā ar domēna nosaukuma paplašinājumu, kas ir paredzēts valstij, no kuras, kā tiek pieņemts, meklēšana tiek veikta, vai, plašāk, ievadot lūguma iesniedzēja vārdu meklētājprogrammā ar domēna nosaukumiem, kas ir paredzēti šīs meklētājprogrammas visu [..] dalībvalstu paplašinājumiem?
3) Turklāt, vai papildus [otrajā jautājumā] minētajam pienākumam “tiesības uz atsauču atsaistīšanu”, kas ir atzītas iepriekš minētajā [Tiesas] spriedumā, ir jāinterpretē tādējādi, ka meklētājprogrammas pakalpojumu sniedzējam, apmierinot lūgumu par atsauču atsaistīšanu, ir pienākums, izmantojot t.s. “ģeobloķēšanas” tehniku, no IP adreses, par kuru tiek pieņemts, ka tā atrodas personas, kurai ir “tiesības uz atsauču atsaistīšanu”, dzīvesvietas valstī, izņemt strīdīgos rezultātus, kas parādās, veicot meklēšanu pēc šīs personas vārda, vai pat, plašāk, – no IP adreses, par kuru tiek pieņemts, ka tā atrodas kādā no dalībvalstīm, kam ir piemērojama Direktīva [95/46], neatkarīgi no meklēšanu veicošā interneta lietotāja izmantotā domēna nosaukuma paplašinājuma?”
Par prejudiciālajiem jautājumiem
40 Pamatlieta izriet no strīda starp Google un CNIL par to, kā meklētājprogrammas pakalpojumu sniedzējam – konstatējušam, ka datu subjektam ir tiesības, lai viena vai vairākas saites uz tīmekļa lapām, kurās ir ietverti viņa personas dati, tiktu dzēstas no rezultātu saraksta, kas parādās, veicot meklēšanu pēc šā subjekta vārda, – ir jānodrošina šo tiesību uz atsauču atsaistīšanu īstenošana. Lai arī lūguma sniegt prejudiciālu nolēmumu iesniegšanas brīdī bija piemērojama Direktīva 95/46, no 2018. gada 25. maija tā ir atcelta, un kopš tā laika ir piemērojama Regula 2016/679.
41 Uzdotos jautājumus, lai gādātu, ka tās atbildes iesniedzējtiesai katrā ziņā izrādītos noderīgas, Tiesa izskatīs gan šīs direktīvas, gan šīs regulas gaismā.
42 Tiesā notikušās tiesvedības gaitā Google paskaidroja, ka pēc tam, kad tika iesniegts lūgums sniegt prejudiciālu nolēmumu, tā ir pārveidojusi savas meklētājprogrammas nacionālo versiju izkārtojumu tādējādi, ka tas, kurai meklētājprogrammas versijai interneta lietotājs piekļūst, vairs neesot atkarīgs no viņa ievadītā domēna nosaukuma paplašinājuma. Tādējādi turpmāk interneta lietotājs automātiski nonākšot tajā Google meklētājprogrammas nacionālajā versijā, kas ir paredzēta vietai, no kuras viņš, domājams, veic meklēšanu, un meklēšanas rezultāti tikšot parādīti atkarībā no šīs vietas, kuru Google noteikšot ar kāda ģeolokācijas paņēmiena palīdzību.
43 Šajos apstākļos uzdotie jautājumi, kas jāiztirzā kopā, ir jāsaprot kā tādi, kuros būtībā tiek vaicāts, vai Direktīvas 95/46 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, kā arī Regulas 2016/679 17. panta 1. punkts ir jāinterpretē tādējādi, ka gadījumā, ja meklētājprogrammas pakalpojumu sniedzējs saskaņā ar šīm tiesību normām apmierina lūgumu par atsauču atsaistīšanu, tam ir pienākums veikt šo atsaistīšanu visās viņa meklētājprogrammas versijās vai arī, gluži pretēji, tam šī atsaistīšana ir jāveic tikai visās dalībvalstīm paredzētajās viņa meklētājprogrammas versijās vai arī vienīgi tajā versijā, kas ir paredzēta dalībvalstij, kurā ir iesniegts lūgums veikt atsauču atsaistīšanu, vajadzības gadījumā – vienlaikus izmantojot paņēmienu, sauktu par “ģeobloķēšanu”, lai nodrošinātu, ka interneta lietotājs nespēj – lai kādu meklētājprogrammas nacionālo versiju viņš arī neizmantotu – piekļūt saitēm, uz kurām attiecas atsauču atsaistīšana, veicot meklēšanu no IP adreses, par kuru tiek pieņemts, ka tā atrodas dalībvalstī, kurā atrodas atsauču atsaistīšanu prasīt tiesīgās personas dzīvesvieta, vai plašāk – kādā no dalībvalstīm.
44 Vispirms ir jāatgādina, ka Tiesa ir nospriedusi, ka Direktīvas 95/46 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts ir jāinterpretē tādējādi, ka, lai ievērotu šajās tiesību normās paredzētās tiesības, ja tajās paredzētie nosacījumi patiešām ir izpildīti, meklētājprogrammas pakalpojumu sniedzējam no rezultātu saraksta, kas atspoguļots pēc meklējuma veikšanas, izmantojot personas vārdu, ir jāizņem saites uz tīmekļa lapām, kuras publicējušas trešās personas un kurās ir informācija saistībā ar šo personu, arī gadījumā, ja šis vārds vai šī informācija nav iepriekš vai vienlaicīgi tikusi izdzēsta no šīm tīmekļa lapām, attiecīgajā gadījumā, pat ja to publicēšana šajās lapās ir likumīga (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 88. punkts).
45 Tiesa turklāt ir precizējusi, ka, izvērtējot šo tiesību normu piemērošanas nosacījumus, ir tostarp jāizvērtē, vai datu subjektam ir tiesības uz to, lai informācija par viņa personu šobrīd vairs netiktu saistīta ar viņa vārdu rezultātu sarakstā, kas parādās, veicot meklēšanu pēc viņa vārda, un šādu tiesību konstatēšanai nav vajadzīgs, lai ar attiecīgās informācijas iekļaušanu šajā sarakstā šai personai tiktu nodarīts kaitējums. Tā kā attiecīgais datu subjekts, pamatojoties uz savām pamattiesībām saskaņā ar Hartas 7. un 8. pantu, var lūgt, lai attiecīgā informācija vairs netiktu sniegta plašai sabiedrībai, to iekļaujot šādā rezultātu sarakstā, šīs tiesības principā ir svarīgākas ne tikai par meklētājprogrammas pakalpojumu sniedzēja ekonomisko interesi, bet arī par šīs sabiedrības interesi atrast šo informāciju, veicot meklēšanu pēc šā datu subjekta vārda. Tomēr tas tā nebūtu gadījumā, ja tādu īpašu iemeslu dēļ kā attiecīgā datu subjekta loma sabiedriskajā dzīvē izrādītos, ka iejaukšanās tā pamattiesībās ir attaisnota ar īpašām sabiedrības interesēm saņemt piekļuvi attiecīgajai informācijai, pateicoties šai iekļaušanai (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 99. punkts).
46 Regulas 2016/679 ietvaros šo datu subjekta tiesību uz atsauču atsaistīšanu pamats tagad ir rodams tās 17. pantā, kurā īpaši reglamentētas “tiesības uz dzēšanu”, kas šā panta virsrakstā ir sauktas arī par tiesībām “tikt aizmirstam”.
47 Saskaņā ar Regulas 2016/679 17. panta 1. punktu datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst šos datus, ja pastāv kāds no šajā tiesību normā uzskaitītajiem iemesliem. Šīs regulas 17. panta 3. punktā ir precizēts, ka minētā 17. panta 1. punktu nepiemēro, ciktāl attiecīgā apstrāde ir nepieciešama kāda no šajā pirmajā minētajā tiesību normā minētajiem iemesliem dēļ. Šo iemeslu starpā šīs regulas 17. panta 3. punkta a) apakšpunktā ir minēta interneta lietotāju tiesību tostarp uz informācijas brīvību īstenošana.
48 No Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta un Regulas 2016/679 3. panta 1. punkta izriet, ka gan šajā direktīvā, gan šajā regulā datu subjektiem ir ļauts izmantot savas tiesības uz atsauču atsaistīšanu pret meklētājprogrammas pakalpojumu sniedzēju, kuram ir viens vai vairāki dibinājumi Savienības teritorijā, kuru darbības ietvaros tas veic šo subjektu personas datu apstrādi, neatkarīgi no tā, vai šī apstrāde notiek Savienībā vai ārpus tās.
49 Šajā ziņā Tiesa ir nospriedusi, ka personas datu apstrāde tiek veikta šīs apstrādes pārziņa dalībvalsts teritorijā esošā dibinājuma darbības ietvaros, ja meklētājprogrammas pakalpojumu sniedzējs izveido dalībvalstī filiāli vai meitasuzņēmumu, kas ir paredzēts reklāmas laukumu meklētājprogrammā reklamēšanai un pārdošanai un kura darbība ir domāta šīs dalībvalsts iedzīvotājiem (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 60. punkts).
50 Proti, šādos apstākļos meklētājprogrammas pakalpojumu sniedzēja darbības ir nesaraujami saistītas ar tā Savienībā esošā dibinājuma darbībām, jo darbības saistībā ar reklāmas laukumiem ir līdzeklis, lai padarītu attiecīgo meklētājprogrammu ekonomiski rentablu, un šī programma tajā pašā laikā ir līdzeklis, kas ļauj paveikt šīs darbības, jo meklēšanas rezultāti parādās tajā pašā lapā, kurā parādās ar meklēšanas terminiem saistītā reklāma (šajā nozīmē skat. spriedumu, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 56. un 57. punkts).
51 Šajos apstākļos tas, ka šo meklētājprogrammu pārvalda kādas trešās valsts uzņēmums, nedrīkst izraisīt to, ka uz personas datu apstrādi, kas veikta minētās meklētājprogrammas darbības vajadzībām saistībā ar reklāmas darbību un komercdarbību, ko šīs apstrādes pārziņa dibinājums veic kādā dalībvalstī, neattiektos pienākumi un garantijas, kas paredzētas Direktīvā 95/46 un Regulā 2016/679 (šajā nozīmē skat. spriedumu, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 58. punkts).
52 Šajā gadījumā no iesniedzējtiesas lēmumā norādītā izriet, pirmkārt, ka Francijas teritorijā esošais Google dibinājums nodarbojas tostarp ar komercdarbību un reklāmas darbību, kas ir nesaraujami saistītas ar personas datu apstrādi, kura tiek veikta attiecīgās meklētājprogrammas darbības vajadzībām, un, otrkārt, ka šī meklētājprogramma, ņemot vērā konkrēti vārtejas starp tās dažādajām nacionālajām versijām, ir jāuzskata par tādu, kas veic personas datu vienotu apstrādi. Iesniedzējtiesa uzskata, ka šajos apstākļos minētā apstrāde tiek veikta Francijas teritorijā esošā Google dibinājuma ietvaros. Tādējādi ir redzams, ka šāda situācija ietilpst Direktīvas 95/46 un Regulas 2016/679 teritoriālās piemērojamības jomā.
53 Ar saviem jautājumiem iesniedzējtiesa vēlas noskaidrot, kādai šādā situācijā ir jābūt atsauču atsaistīšanas teritoriālajai piemērojamībai.
54 Šajā ziņā no Direktīvas 95/46 10. apsvēruma un uz LESD 16. panta pamata pieņemtās Regulas 2016/679 10., 11. un 13. apsvēruma izriet, ka šīs direktīvas un šīs regulas mērķis ir nodrošināt personas datu aizsardzību augstā līmenī visā Savienībā.
55 Atsauču atsaistīšana, kas tiek veikta visās meklētājprogrammas versijās, pēc savas iedabas patiešām pilnībā atbilst šim mērķim.
56 Proti, internets ir globāls tīkls bez robežām, un meklētājprogrammas padara par visuresošām gan informāciju, gan saites, kas rodamas rezultātu sarakstā, kurš parādās, veicot meklēšanu pēc fiziskas personas vārda (šajā nozīmē skat. spriedumus, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 80. punkts, kā arī 2017. gada 17. oktobris, Bolagsupplysningen un Ilsjan, C‑194/16, EU:C:2017:766, 48. punkts).
57 Tādējādi globalizētā pasaulē interneta lietotāju, tostarp ārpus Savienības esošu lietotāju, piekļuve rezultātu sarakstam, kurā ir saite uz informāciju par kādu personu, kuras interešu centrs atrodas Savienībā, var iespējami radīt šai personai tūlītējas un būtiskas sekas pašā Savienībā.
58 Šādu apsvērumu dēļ var tikt pamatota Savienības likumdevēja kompetence paredzēt meklētājprogrammas pakalpojumu sniedzējam pienākumu, apmierinot šādas personas izteiktu lūgumu atsaistīt atsauces, veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
59 Tomēr jāuzsver, ka daudzas trešās valstis atsauču atsaistīšanu vai nu nepazīst, vai arī ar šīm tiesībām apietas citādi.
60 Turklāt tiesības uz personas datu aizsardzību nav absolūtas tiesības, bet gan ir jāaplūko saistībā ar to funkciju sabiedrībā un jāsamēro ar citām pamattiesībām atbilstoši samērīguma principam (šajā nozīmē skat. spriedumu, 2010. gada 9. novembris, Volker und Markus Schecke un Eifert, C‑92/09 un C‑93/09, EU:C:2010:662, 48. punkts, kā arī atzinumu 1/15 (ES un Kanādas nolīgums par PRD), 2017. gada 26. jūlijs, EU:C:2017:592, 136. punkts). Arī samērs starp tiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, no vienas puses, un interneta lietotāju informācijas brīvību, no otras puses, pasaulē var būt visai atšķirīgs.
61 Lai arī Savienības likumdevējs Regulas 2016/679 17. panta 3. punkta a) apakšpunktā šīs tiesības ir samērojis ar šo brīvību, ciktāl tas attiecas uz Savienību (šajā nozīmē skat. šodienas spriedumu GC u.c. (Atsauču uz sensitīviem datiem atsaistīšana), C‑136/17, 59. punkts), tomēr ir jākonstatē, ka šobrīd tas vēl nav veicis šādu samērošanu jautājumā par atsauču atsaistīšanas tvērumu ārpus Savienības.
62 Konkrēti, no Direktīvas 95/46 12. panta b) punkta un 14. panta pirmās daļas a) apakšpunkta vai Regulas 2016/679 17. panta formulējuma nekādi neizriet, ka, lai nodrošinātu šā sprieduma 54. punktā minētā mērķa sasniegšanu, Savienības likumdevējs būtu izvēlējies šajās tiesību normās nostiprinātajām tiesībām piešķirt tvērumu, kas būtu plašāks par dalībvalstu teritoriju, un ka tas būtu gribējis operatoram, kurš kā, piemēram, Google ietilpst šīs direktīvas vai šīs regulas piemērošanas jomā, uzlikt pienākumu veikt atsauču atsaistīšanu arī tajās viņa meklētājprogrammas nacionālajās versijās, kas nav paredzētas dalībvalstīm.
63 Turklāt, lai arī Regulas 2016/679 56. un 60.–66. pantā dalībvalstu uzraudzības iestāžu rīcībā tiek nodoti instrumenti un mehānismi, kas tām ļauj vajadzības gadījumā sadarboties, lai panāktu kopīgu lēmumu, kura pamatā ir datu subjekta tiesību uz privātās dzīves neaizskaramību un savu personas datu aizsardzību samērošana ar dažādu dalībvalstu sabiedrības interesēm piekļūt informācijai, tomēr nākas konstatēt, ka šādi sadarbības instrumenti un mehānismi Savienības tiesībās šobrīd nav paredzēti attiecībā uz atsauču atsaistīšanas tvērumu ārpus Savienības.
64 Tā rezultātā meklētājprogrammas pakalpojumu sniedzējam, kurš datu subjekta lūgumu atsaistīt atsauces apmierina, piemēram, izpildot kādas dalībvalsts uzraudzības iestādes vai tiesas rīkojumu, šobrīd nav no Savienības tiesībām izrietoša pienākuma veikt šo atsauču atsaistīšanu visās viņa meklētājprogrammas versijās.
65 Ņemot vērā visus šos apsvērumus, meklētājprogrammas pakalpojumu sniedzējam saskaņā ar Direktīvas 95/46 12. panta b) punktu un 14. panta pirmās daļas a) apakšpunktu, kā arī Regulas 2016/679 17. panta 1. punktu nav jāveic atsauču atsaistīšana visās viņa meklētājprogrammas versijās.
66 Runājot par to, vai šāda atsauču atsaistīšana ir jāveic dalībvalstīm paredzētajās meklētājprogrammas versijās vai vienīgi tajā šīs meklētājprogrammas versijā, kas ir paredzēta dalībvalstij, kurā atrodas atsauču atsaistīšanu prasīt tiesīgās personas dzīvesvieta, ir jāteic, ka tostarp no apstākļa, ka Savienības likumdevējs tagad ir izvēlējies datu aizsardzības jomu reglamentēt visās dalībvalstīs tieši piemērojamā regulā tālab, lai – kā uzsvērts Regulas 2016/679 10. apsvērumā – nodrošinātu konsekventu un augsta līmeņa aizsardzību visā Savienībā un novērstu šķēršļus datu apritei tajā, izriet, ka attiecīgajai atsauču atsaistīšanai principā būtu jāattiecas uz visām dalībvalstīm.
67 Tomēr jākonstatē, ka sabiedrības interese piekļūt informācijai pat Savienības iekšienē var atšķirties atkarībā no dalībvalsts, un tāpēc rezultāts, ko iegūst, veicot vajadzīgo šīs intereses samērošanu ar datu subjekta tiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, var arī nebūt vienāds visās dalībvalstīs, vēl jo vairāk tāpēc, ka saskaņā ar Direktīvas 95/46 9. pantu un Regulas 2016/679 85. pantu dalībvalstīm, tostarp attiecībā uz apstrādi, kas veikta tikai un vienīgi žurnālistikas un mākslinieciskās vai literārās izpausmes vajadzībām, ir jāparedz izņēmumi un atkāpes, kas ir vajadzīgas, lai šīs tiesības salāgotu tostarp ar informācijas brīvību.
68 Konkrēti no Regulas 2016/679 56. un 60. panta izriet, ka pārrobežu apstrādes gadījumā tās 4. panta 23. punkta izpratnē – ar šā 56. panta 2. punktā paredzēto izņēmumu – dažādajām valstu uzraudzības iestādēm ir šajās tiesību normās paredzētajā kārtībā jāsadarbojas, lai panāktu vienprātību un vienotu lēmumu, kas ir saistošs visām šīm iestādēm un kura ievērošana pārzinim ir jānodrošina attiecībā uz apstrādes darbībām, kas veiktas visu tā Savienībā esošo dibinājumu ietvaros. Turklāt Regulas 2016/679 61. panta 1. punktā uzraudzības iestādēm ir noteikts pienākums tostarp savstarpēji apmainīties ar vajadzīgo informāciju un sniegt savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu visā Savienībā, savukārt minētās regulas 63. pantā ir precizēts, ka tieši tam ir domāts ar šīs pašas regulas 64. un 65. pantu izveidotais konsekvences mehānisms. Visbeidzot, Regulas 2016/679 66. pantā paredzētā steidzamības procedūra ļauj ārkārtas apstākļos, ja kāda attiecīgā uzraudzības iestāde uzskata, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, nekavējoties veikt pagaidu pasākumus nolūkā radīt tiesiskas sekas savā teritorijā, norādot konkrētu spēkā esamības laikposmu, kas nepārsniedz trīs mēnešus.
69 Tādējādi šis regulējums nodrošina valsts uzraudzības iestādēm instrumentus un mehānismus, kas ir vajadzīgi, lai salāgotu datu subjekta tiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību ar visu dalībvalstu sabiedrības kopuma interesi piekļūt attiecīgajai informācijai un lai šādi vajadzības gadījumā varētu pieņemt lēmumu par atsauču atsaistīšanu, kas attiektos uz visiem meklējumiem, kuri veikti pēc šā subjekta vārda no Savienības teritorijas.
70 Meklētājprogrammas pakalpojumu sniedzējam ir arī pienākums vajadzības gadījumā veikt pietiekami iedarbīgus pasākumus, lai nodrošinātu datu subjekta pamattiesību faktisku aizsardzību. Savukārt šiem pasākumiem ir jāatbilst visām tiesību aktos noteiktajām prasībām un to rezultātā interneta lietotājiem jābūt liegtai piekļuvei attiecīgajām saitēm, veicot meklējumu pēc šā subjekta vārda, vai vismaz tie nopietni jāattur no šādas piekļūšanas (pēc analoģijas skat. spriedumus, 2014. gada 27. marts, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, 62. punkts, un 2016. gada 15. septembris, Mc Fadden, C‑484/14, EU:C:2016:689, 96. punkts).
71 Iesniedzējtiesai ir jāpārbauda, vai, ievērojot arīdzan šā sprieduma 42. punktā izklāstītās nesenās izmaiņas Google meklētājprogrammā, ar šīs sabiedrības veiktajiem vai piedāvātajiem pasākumiem šīs prasības tiek pildītas.
72 Visbeidzot ir jāuzsver, ka Savienības tiesībās – kā norādīts šā sprieduma 64. punktā – šobrīd netiek prasīts, lai atsauču atsaistīšana, kas tiek veikta, apmierinot lūgumu, attiektos uz visām attiecīgās meklētājprogrammas versijām, taču tas arīdzan netiek aizliegts. Tāpēc dalībvalsts uzraudzības iestādes vai tiesas kompetencē joprojām ir valstī esošo pamattiesību aizsardzības standartu gaismā (šajā nozīmē skat. spriedumus, 2013. gada 26. februāris, Åkerberg Fransson, C‑617/10, EU:C:2013:105, 29. punkts, un 2013. gada 26. februāris, Melloni, C‑399/11, EU:C:2013:107, 60. punkts) veikt datu subjekta tiesību uz privātās dzīves neaizskaramību un savu personas datu aizsardzību samērošanu ar tiesībām uz informācijas brīvību un šīs samērošanas iznākumā vajadzības gadījumā likt šīs meklētājprogrammas pakalpojumu sniedzējam veikt atsauču atsaistīšanu visās šīs meklētājprogrammas versijās.
73 Ņemot vērā visu iepriekš izklāstīto, uz uzdotajiem jautājumiem ir atbildams, ka Direktīvas 95/46 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, kā arī Regulas 2016/679 17. panta 1. punkts ir jāinterpretē tādējādi, ka gadījumā, ja meklētājprogrammas pakalpojumu sniedzējs saskaņā ar šīm tiesību normām apmierina lūgumu par atsauču atsaistīšanu, tam ir pienākums veikt šo atsaistīšanu nevis visās viņa meklētājprogrammas versijās, bet gan visās dalībvalstīm paredzētajās viņa meklētājprogrammas versijās un vajadzības gadījumā tas ir jādara apvienojumā ar tiesību aktos noteiktajām prasībām atbilstošiem pasākumiem, kas ļauj faktiski liegt interneta lietotājiem – kuri veic meklēšanu pēc datu subjekta vārda no kādas dalībvalsts – ar šīs meklēšanas iznākumā iegūtā rezultātu saraksta starpniecību piekļūt saitēm, uz kurām attiecas šis lūgums, vai vismaz tos nopietni atturēt no šādas piekļūšanas.
Par tiesāšanās izdevumiem
74 Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (virspalāta) nospriež:
Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 12. panta b) punkts un 14. panta pirmās daļas a) apakšpunkts, kā arī Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 17. panta 1. punkts ir jāinterpretē tādējādi, ka gadījumā, ja meklētājprogrammas pakalpojumu sniedzējs saskaņā ar šīm tiesību normām apmierina lūgumu par atsauču atsaistīšanu, tam ir pienākums veikt šo atsaistīšanu nevis visās viņa meklētājprogrammas versijās, bet gan visās dalībvalstīm paredzētajās viņa meklētājprogrammas versijās un vajadzības gadījumā tas ir jādara apvienojumā ar tiesību aktos noteiktajām prasībām atbilstošiem pasākumiem, kas ļauj faktiski liegt interneta lietotājiem – kuri veic meklēšanu pēc datu subjekta vārda no kādas dalībvalsts – ar šīs meklēšanas iznākumā iegūtā rezultātu saraksta starpniecību piekļūt saitēm, uz kurām attiecas šis lūgums, vai vismaz tos nopietni atturēt no šādas piekļūšanas.
[Paraksti]