Language of document : ECLI:EU:C:2017:796

Неокончателна редакция

ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

Y. BOT

представено на 24 октомври 2017 година(1)

Дело C−210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

срещу

Wirtschaftsakademie Schleswig-Holstein GmbH

в присъствието на

Facebook Ireland Ltd

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

(Преюдициално запитване, отправено от Bundesverwaltungsgericht (Федерален върховен административен съд, Германия)

„Преюдициално запитване — Директива 95/46/ЕО — Членове 2, 4 и 28 — Защита на физическите лица при обработване на лични данни и свободно движение на такива данни — Разпореждане за деактивиране на фенстраница в социалната мрежа Facebook — Понятие „администратор“ — Отговорност на оператора на фенстраница — Съвместна отговорност — Приложимо национално право — Обхват на правомощията за намеса на надзорните органи“






1.        Настоящото преюдициално запитване се отнася до тълкуването на член 2, буква г), на член 4, параграф 1, на член 17, параграф 2 и на член 28, параграфи 3 и 6 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни(2), изменена с Регламент (ЕО) № 1882/2003 на Европейския парламент и на Съвета от 29 септември 2003 г.(3).

2.        Запитването е отправено в рамките на спор между Wirtschaftsakademie Schleswig-Holstein GmbH, частноправно дружество, специализирано в областта на образованието (наричано по-нататък „Wirtschaftsakademie“), и Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, регионален орган за защита на данните на Шлезвиг-Холщайн (наричан по-нататък „ULD“), във връзка със законосъобразността на разпореждане, прието от последно посочения орган срещу Wirtschaftsakademie, с което се иска деактивиране на „фенстраница“ (Fanpage), хоствана на сайта на Facebook Ireland Ltd (наричано по-нататък „Facebook Ireland“).

3.        Това разпореждане е мотивирано от твърдяното нарушение на разпоредбите на германското право за транспониране на Директива 95/46, по-специално поради факта, че посетителите на дадена фенстраница не са информирани за това, че техните лични данни се събират от социалната мрежа Facebook (наричана по-нататък „Facebook“) благодарение на „бисквитки“, които се разполагат на техния твърд диск, като това събиране се извършва с цел да се изготвят статистически данни за посетителите, които са предназначени за оператора на посочената страница, и за да се предостави възможност на Facebook да разпространява целеви реклами.

4.        В основата на настоящото дело е феноменът webtracking (проследяване в уебмрежата), който се изразява в наблюдаване и анализиране на поведението на ползвателите на интернет за търговски и маркетингови цели. Проследяването в уебмрежата по-специално позволява да се определи центърът на интересите на ползвателите на интернет, като се наблюдава начинът на сърфиране в мрежата. Тогава става дума за поведенческо проследяване в уебмрежата. Последното се осъществява основно благодарение на използването на „бисквитки“.

5.        Тези бисквитки представляват файлове, които се записват на компютъра на интернет потребителя, докато той консултира даден уебсайт.

6.        Проследяването в уебмрежата се използва по-специално с цел да се оптимизира и по-ефективно да се конфигурира даден уебсайт. То позволява също рекламодателите да отправят по-целенасочени послания към различни категории потребители.

7.        Съгласно определението, дадено от работната група по член 29 за защита на личните данни(4) в нейното Становище 2/2010 относно поведенческите реклами онлайн, прието на 22 юни 2010 г.(5), „[п]оведенческата реклама се основава на наблюдението на поведението на лицата в течение на времето. Поведенческата реклама има за цел изучаването на характеристиките на това поведение чрез действията на лицата (повтарящи се посещения на уебсайтове, взаимен обмен, ключови думи, съдържание, генерирано онлайн, и др.), за да им бъде разработен конкретен профил и по този начин да се изпращат реклами според предполагаемите им интереси“(6). За да се достигне до този резултат, трябва да се събере информация от програмата за браузване и крайното оборудване на ползвателя, която след това да бъде използвана. Основната технология за проследяване, която се използва при наблюдение на ползвателите в интернет, се базира на „проследяващи бисквитки“(7). Така „[п]оведенческото рекламиране използва информацията, събрана относно поведението на дадено физическо лице при търсене в интернет, като посетени страници или извършени търсения, за да се направи избор кои реклами да се показват на това лице“(8).

8.        Проследяването на начина на сърфиране също така позволява на операторите на уебсайтове да се предоставят статистически данни за посетителите във връзка с лицата, които консултират тези сайтове.

9.        Събирането и използването на лични данни с цел изготвяне на статистически данни за посетителите и за разпространяване на целеви реклами трябва да отговаря на определени условия, за да съответства на правилата за защита на личните данни по Директива 95/46. По-специално такова обработване не може да бъде извършвано без предварително информиране и съгласие на заинтересованите лица.

10.      Проверката на това съответствие обаче изисква първо да бъде даден отговор на няколко въпроса във връзка с определението кой може да бъде администратор, с определянето на приложимото национално право и на органа, който е компетентен да упражнява правомощията си за намеса.

11.      Въпросът за идентифициране на администратора е особено деликатен в ситуация, при която икономическият оператор решава да не инсталира на своя уебсайт инструментите, необходими за изготвяне на статистически данни за посетителите и разпространяване на целеви реклами, а да използва услугите на социална мрежа като Facebook чрез създаване на фенстраница, за да ползва сходни инструменти.

12.      Въпросите за определянето на приложимото национално право и за органа, който е компетентен да упражнява правомощията си за намеса, също имат комплексен характер, когато разглежданото обработване на лични данни обхваща участието на няколко образувания, намиращи се както в Европейския съюз, така и извън него.

13.      В момент, когато надзорните органи на няколко държави членки са решили през последните месеци да наложат глоби на Facebook за нарушаване на правилата за защита на личните данни на неговите потребители(9), разглежданото дело ще даде възможност на Съда да уточни обхвата на правомощията за намеса, с които разполага надзорен орган като ULD при обработване на лични данни, включващо участието на няколко субекта.

14.      За да се разбере по-добре правната значимост на разглежданите по настоящото дело въпроси, най-напред следва да се опише фактическата обстановка на спора в главното производство.

I.      Фактите по делото в главното производство и преюдициалните въпроси

15.      Wirtschaftsakademie предлага услуги за обучение чрез фенстраница, която се хоства на уебсайта на социалната мрежа Facebook.

16.      Фенстраниците представляват потребителски профили, които могат да бъдат конфигурирани във Facebook по-специално от частноправни субекти или от предприятия. Във връзка с това операторът на фенстраницата трябва да има регистрация във Facebook, след което може да използва поддържаната от последното платформа, за да представи себе си на ползвателите на тази социална мрежа и да пуска изявления от всякакъв вид с цел по-специално да развива търговска дейност.

17.      Операторите на фенстраници могат да получават статистически данни за посетителите с помощта на инструмента Facebook Insights, който е предоставен безплатно на тяхно разположение от Facebook в рамките на условия за ползване, които не могат да бъдат променяни. Тези статистически данни се изготвят от Facebook и се персонализират от оператора на фенстраницата с помощта на различни критерии, които той може да избере, като възраст или пол. С посочените статистически данни също така се предоставя анонимизирана информация относно характеристиките и навиците на лицата, които консултират фенстраниците, като по този начин се дава възможност на операторите на тези страници по-добре да насочват съобщенията си.

18.      За целите на изготвянето на такива статистически данни за посетителите, на твърдия диск на лицето, което е консултирало фенстраницата, Facebook запазва поне една „бисквитка“, съдържаща уникален идентификационен номер, която е валидна в продължение на две години. Идентификационният номер, който може да бъде свързан с данните за връзка на регистрираните във Facebook ползватели, се събира и обработва към момента на отварянето на страниците на Facebook.

19.      С решение от 3 ноември 2011 г. ULD разпорежда на Wirtschaftsakademie съгласно член 38, параграф 5, първо изречение от Bundesdatenschutzgesetz (Федерален закон за защита на данните, наричан по-нататък „BDSG“)(10) да деактивира създадената от него фенстраница във Facebook на интернет адрес https://www.facebook.com/wirtschaftsakademie, като в случай на неизпълнение в определения срок ще му бъде наложена периодична имуществена санкция, поради това че нито Wirtschaftsakademie, нито Facebook предоставят информация на посетителите на фенстраницата, че последното дружество събира личните им данни с помощта на „бисквитки“ и че впоследствие обработва тези данни. Wirtschaftsakademie подава жалба по административен ред срещу това решение, в която по същество твърди, че с оглед на приложимото право за защита на данните то не е отговорно нито за извършваното от Facebook обработване на данните, нито за инсталираните от последното „бисквитки“.

20.      С решение от 16 декември 2011 г. ULD отхвърля подадената по административен ред жалба, като приема, че отговорността на Wirtschaftsakademie като доставчик на услуги е установена съгласно член 3, параграф 3, точка 4 и член 12, параграф 1 от Telemediengesetz (Закон за електронните медии)(11). Като е създало фенстраницата, Wirtschaftsakademie също е допринесло активно и съзнателно за събирането на лични данни от Facebook, от което е извлякло полза чрез предоставяните от тази социална мрежа статистически данни за ползвателите.

21.      След това Wirtschaftsakademie подава жалба срещу това решение пред Verwaltungsgericht (Административен съд, Германия), в която твърди, че не носи отговорност за операциите по обработване на данни от Facebook, както и че то не е възложило на Facebook по смисъла на член 11 от BDSG(12) да извършва обработване на данни, върху която би могло да осъществява надзор или да оказва влияние. Wirtschaftsakademie също смята, че ULD неправилно се е обърнал към него, а не директно към Facebook.

22.      С решение от 9 октомври 2013 г. Verwaltungsgericht (Административен съд) отменя обжалваното решение, като по същество приема, че операторът на фенстраница във Facebook не е „отговорна структура“ по смисъла на член 3, параграф 7 от BDSG(13) и че поради това Wirtschaftsakademie не би могло да бъде адресат на мярка, приета на основание член 38, параграф 5 от BDSG.

23.      Впоследствие Oberverwaltungsgericht (Областен административен съд, Германия) отхвърля жалба на ULD срещу това решение като неоснователна и по същество приема, че съдържащата се в обжалваното решение забрана за обработване на данни е незаконосъобразна, доколкото в член 38, параграф 5, второ изречение от BDSG се предвижда поетапен процес, като първият етап допуска единствено да бъдат приети мерки за отстраняване на констатираните нарушения при обработването на данните. Може да се наложи незабавна забрана за обработване на данни само ако процедурата за обработване на данните е неправомерна в своята цялост и ако единствено спирането на тази процедура би позволило коригирането на това положение. Според Oberverwaltungsgericht (Областен административен съд) обаче настоящият случай не е такъв, тъй като Facebook действително е можело да прекрати твърдените от ULD нарушения.

24.      Разпореждането също така било незаконосъобразно, тъй като жалбоподателят не бил отговорна структура по смисъла на член 3, параграф 7 от BDSG по отношение на данните, събирани от Facebook във връзка с администрирането на фенстраницата, а разпореждане на основание член 38, параграф 5 от BDSG можело да бъде издадено само срещу такава структура. В случая единствено Facebook било взело решение относно целта и средствата за събиране и обработване на личните данни, които са използвани за функцията Facebook Insights. Що се отнася до жалбоподателя, той получавал само анонимизирана статистическа информация.

25.      Член 38, параграф 5 от BDSG не допускал издаването на разпореждания срещу трети лица. Така наречената „непряка“ отговорност (Störerhaftung) в интернет, развита в практиката на гражданските съдилища, не можела да бъде приложена към правомощията на публичната власт. Въпреки че в член 38, параграф 5 от BDSG не се упоменава изрично адресатът на разпореждането за забрана, от структурата, предмета и духа на тази правна уредба, както и от нейния генезис следвало, че адресат може да бъде само отговорната структура.

26.      В ревизионната си жалба, подадена пред Bundesverwaltungsgericht (Федерален върховен административен съд, Германия), ULD освен това твърди, че е нарушен член 38, параграф 5 от BDSG, и изтъква няколко процесуални нарушения, допуснати от въззивния съд. Той счита, че извършеното от Wirtschaftsakademie нарушение се дължи на факта, че последното е възложило на неподходящ доставчик — в случая Facebook Ireland — създаването, хостването и поддържането на интернет сайта, като той не е спазвал приложимото право в областта на защитата на данните. Разпореждането за деактивиране също така целяло да отстрани извършеното от Wirtschaftsakademie нарушение, тъй като с него му се забранявало да продължава да използва инфраструктурата на Facebook като техническа база за своя интернет сайт.

27.      Запитващата юрисдикция счита, че що се отнася до събирането и обработването от встъпилата в главното производство страна, а именно Facebook Ireland, на данни на лица, посещаващи фенстраницата, Wirtschaftsakademie не е „структурата, която събира, обработва или използва лични данни за собствена сметка или чрез посредничеството на друго обработващо личните данни лице“, по смисъла на член 3, параграф 7 от BDSG или „орган, който сам или съвместно с други определя целите и средствата на обработването на лични данни“, по смисъла на член 2, буква г) от Директива 95/46. Безспорно с решението си за създаване на фенстраница на платформата, управлявана от встъпилата в главното производство страна или от дружеството майка (в случая Facebook Inc., САЩ), Wirtschaftsakademie обективно било предоставило на встъпилата в главното производство страна възможност да инсталира „бисквитки“ при отварянето на тези фенстраница и по този начин да събира данни. Това решение обаче не позволявало на Wirtschaftsakademie да влияе, да направлява, да променя или пък да осъществява надзор върху естеството и обхвата на обработването на данните на ползвателите на неговата фенстраница чрез встъпилата в главното производство страна. Освен това условията за използване на фенстраницата не предоставяли на Wirtschaftsakademie права за намеса или осъществяване на надзор. Условията за използване, които са едностранно определени от встъпилата в главното производство страна, не били договорени в процес на преговори, а освен това не предоставяли на Wirtschaftsakademie право да забранява на встъпилата в главното производство страна да събира и обработва данните на ползвателите на фенстраницата.

28.      Запитващата юрисдикция признава, че посочената в член 2, буква г) от Директива 95/46 правна дефиниция за „администратор“ по принцип трябва да се тълкува разширително, за да се предостави ефикасна защита на правото на личен живот. Wirtschaftsakademie обаче не отговаряло на тази дефиниция, доколкото не оказва никакво правно или фактическо влияние върху условията за обработване на личните данни, което встъпилата по главното производство страна извършва на собствена отговорност и напълно независимо. В това отношение обстоятелството, че Wirtschaftsakademie може обективно да извлече полза от функцията „Facebook Insights“, използвана от встъпилата в главното производство страна, с мотива, че анонимизираните данни са му били предадени с оглед използване на фенстраницата му, било недостатъчно.

29.      Съгласно запитващата юрисдикция Wirtschaftsakademie освен това не би могло да се счита за отговорно за обработване на данни, извършвано от обработващо лични данни лице, по смисъла на член 11 от BDSG, член 2, буква д) и член 17, параграфи 2 и 3 от Директива 95/46.

30.      Посочената юрисдикция счита, че е необходимо да се изясни дали и при какви обстоятелства правомощията за надзор и намеса на надзорните органи в областта на защитата на данните могат да бъдат упражнявани само от „администратора“ по смисъла на член 2, буква г) от Директива 95/46, както и дали е възможно да се ангажира отговорността на структура, която не е отговорна за обработването на данните, съгласно произтичащата от тази разпоредба дефиниция, въз основа на избора на тази структура да прибегне до Facebook, за да предложи информацията си.

31.      В тази последна хипотеза запитващата юрисдикция иска да се установи дали такава отговорност може да се основава на прилагане по аналогия на задълженията за избор и за надзор, които следват от член 17, параграф 2 от Директива 95/46 в рамките на обработване на данни, извършвано от обработващо лични данни лице.

32.      За да може да се произнесе по законосъобразността на постановеното в настоящия случай разпореждане, запитващата юрисдикция счита, че е необходимо да се изяснят определени въпроси относно компетентността на надзорните органи и обхвата на техните правомощия за намеса.

33.      По-специално, запитващата юрисдикция иска да се установи какво е разпределянето на компетентността между надзорните органи в хипотеза, в която дружество майка като Facebook Inc. разполага с няколко обекта, установени на територията на Съюза, и когато задачите, възложени на тези обекти в рамките на групата, са различни.

34.      Във връзка с това запитващата юрисдикция припомня, че Съдът е постановил в решението си от 13 май 2014 г., Google Spain и Google(14), че „член 4, параграф 1, буква а) от Директива 95/46 трябва да се тълкува в смисъл, че обработване на лични данни се извършва в контекста на дейностите на установен на територията на държава членка обект на администратора по смисъла на посочената разпоредба, когато лицето, което управлява интернет търсачка, създава в държава членка клон или дъщерно дружество, чието предназначение е да осигури рекламирането и продажбата на рекламните пространства, предлагани от търсачката, и чиято дейност е насочена към жителите на тази държава членка“(15). Запитващата юрисдикция иска да се установи дали това препращане към обект като Facebook Germany GmbH, който съгласно съдържащата се в акта за преюдициално запитване информация отговаря за рекламирането и продажбата на рекламни пространства и за други маркетингови дейности, насочени към лицата, живеещи в Германия, е приложимо за целите на прилагането на Директива 95/46 и за определянето на компетентността на надзорния орган към положение, при което дъщерно дружество, установено в друга държава членка (в случая Ирландия), действа като „администратор“ на цялата територия на Съюза.

35.      Що се отнася до адресатите на мярка, приета съгласно член 28, параграф 3 от Директива 95/46, запитващата юрисдикция посочва, че постановеното срещу Wirtschaftsakademie разпореждане можело да съдържа грешка в преценката и следователно да бъде незаконосъобразно, ако е било възможно твърдените от ULD нарушения на приложимото право за защита на данните да бъдат отстранени чрез мярка, която е директно насочена срещу установеното в Германия дъщерно дружество Facebook Germany.

36.      Запитващата юрисдикция също така посочва, че според ULD той не е обвързан от констатациите и преценките на Data Protection Commissioner (надзорен орган в областта на защита на данните, Ирландия), който съгласно данните, предоставени от Wirtschaftsakademie и от встъпилата в главното производство страна, не бил оспорил разглежданото в главното производство обработване на лични данни. Поради това посочената юрисдикция иска да се установи, от една страна, дали е допустимо ULD да направи такава самостоятелна преценка, и от друга страна, дали с оглед на различията в преценката между двата надзорни органа относно това дали разглежданото в главното производство обработване на данни съответства на правилата, произтичащи от Директива 95/46, член 28, параграф 6, второ изречение от Директива 95/46 задължава ULD да поиска от надзорния орган в областта на защита на данните да упражни правомощията си срещу Facebook Ireland.

37.      При тези обстоятелства Bundesverwaltungsgericht (Федерален върховен административен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Трябва ли член 2, буква г) от Директива 95/46 да се тълкува в смисъл, че урежда окончателно и изчерпателно задълженията и отговорността за нарушения на правилата за защита на данните, или — в хипотеза на многостепенни отношения между доставчик и клиент на информация — в рамките на „подходящите мерки“ по член 24 от [тази директива] и на „ефективните правомощия за намеса“ по член 28, параграф 3, второ тире от [същата] е възможно структура, която не е „администратор“ по смисъла на член 2, буква г) от [посочената директива], да носи отговорност за избора на оператор за предлаганата от нея информация?

2)      От задължението на държавите членки по член 17, параграф 2 от Директива 95/46 да предвидят, че когато обработването се извършва от негово име, администраторът трябва „да избере [обработващо данните лице], което осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки“, следва ли a contrario, че при друг вид отношения между доставчик и ползвател, които не са свързани с обработка на лични данни от името на администратора по смисъла на член 2, буква д) от [тази директива], не съществува задължение за полагане на дължимата грижа при избора и такова не [би могло] да се обоснове и по националното право?

3)      В хипотези, в които установено извън Европейския съюз дружество майка поддържа юридически самостоятелни обект (дъщерни дружества) в различни държави членки, има ли право съгласно член 4 и член 28, параграф 6 от Директива 95/46 надзорният орган на дадена държава членка (в настоящия случай Германия) да упражни правомощията си по член 28, параграф 3 от [същата] спрямо установен на негова територия обект, включително в случаите, когато този обект отговаря единствено за рекламирането и продажбата на рекламни пространства и за други маркетингови мерки, насочени към жителите на тази държава членка, докато съгласно вътрешнокорпоративното разпределение на дейностите за събирането и обработването на лични данни на цялата територия на Европейския съюз и следователно и на територията на другата държава членка (в настоящия случай Германия) отговаря изключително установеният в друга държава членка (в настоящия случай Ирландия) самостоятелен обект (дъщерно дружество), при положение че в действителност решението относно обработката на данни се взема от дружеството майка?

4)      Трябва ли член 4, параграф 1 и член 28, параграф 3 от Директива 95/46 да се тълкуват в смисъл, че в хипотези, в които администраторът има обект на територията на държава членка (в настоящия случай Ирландия) и съществува друг, юридически самостоятелен обект на територията на друга държава членка (в настоящия случай Германия), който по-специално отговаря за продажбата на рекламни пространства и чиято дейност е насочена към жителите на тази държава членка, компетентният надзорен орган в тази друга държава членка (в настоящия случай Германия) може да предприеме мерки и да издаде разпореждания с цел прилагането на законодателството за защита на данните, включително срещу този друг обект (в настоящия случай в Германия), който според вътрешнокорпоративното разпределение на дейностите и отговорностите не отговаря за обработката на данни, или в такава хипотеза мерките и разпорежданията са в компетентността само на надзорния орган на държавата членка (в настоящия случай Ирландия), на чиято територия се намира седалището на структурата, която в рамките на групата отговаря за обработката на данните?

5)      Трябва ли член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46 да се тълкуват в смисъл, че в хипотези, в които надзорният орган на държава членка (в настоящия случай Германия) предприема мерки по член 28, параграф 3 от [тази директива] спрямо лице или структура, извършващи дейност на нейна територия, на основание, че не е положена дължимата грижа при избора на участващо в процеса на обработката на данни трето лице (в настоящия случай Facebook), тъй като това трето лице нарушавало законодателството за защита на данните, предприемащият мерки надзорен орган (в настоящия случай Германия) е обвързан с правната преценка относно спазването на правилата на защитата на данните на надзорния орган на другата държава членка, в която е установено отговорното за обработването на данните трето лице (в настоящия случай Ирландия), така че той не може да се отклонява от тази правна преценка, или пък предприемащият мерки надзорен орган (в настоящия случай Германия) може самостоятелно да проверява законосъобразността на обработката на данни от страна на установеното в друга държава членка (в настоящия случай Ирландия) трето лице като предварителен въпрос с оглед на предприемане на неговите собствени действия?

6)      Доколкото предприемащият мерки надзорен орган (в настоящия случай Германия) [би могъл] да извършва самостоятелна проверка: трябва ли член 28, параграф 6, второ изречение от Директива 95/46 да се тълкува в смисъл, че надзорният орган може да упражнява предоставените му по член 28, параграф 3 от [тази директива] ефективни правомощия за намеса спрямо установени на неговата територия лице или структура на основание съвместна отговорност за нарушения на правилата за защита на данните, извършени от установеното в друга държава членка трето лице, само и едва когато предварително е поискал от надзорния орган на тази друга държава членка (в настоящия случай Ирландия) да упражни своите правомощия?“.

II.    Моят анализ

38.      Следва да се уточни, че поставените от запитващата юрисдикция преюдициални въпроси не се отнасят до това дали обработването на лични данни, към което е насочена отправената от ULD критика, а именно събирането и използването на данни на лица, консултиращи фенстраници, без тези лица да са били предварително уведомени за това, противоречи на произтичащите от Директива 95/46 правила.

39.      Съгласно представените от запитващата юрисдикция разяснения законосъобразността на представеното на преценката ѝ разпореждане зависи от по-долу посочените елементи. Според нея, най-напред, следва да се определи дали ULD разполага с основание да упражни правомощията си за намеса срещу лице, което няма качеството на администратор по смисъла на член 2, буква г) от Директива 95/46. По-нататък, запитващата юрисдикция счита, че законосъобразността на разпореждането зависи и от това дали ULD е бил компетентен да предприема действия срещу разглежданото в главното производство обработване на лични данни, дали фактът, че не е адресирал разпореждането си до Facebook Germany, а до Wirtschaftsakademie, не представлява грешка в преценката, и накрая, дали ULD не е допуснал друга грешка в преценката, като е изискал от Wirtschaftsakademie да закрие фенстраницата си, въпреки че той е трябвало предварително да поиска от надзорния орган в областта на защита на данните да упражни правомощията си срещу Facebook Ireland.

1.      По първия и втория преюдициален въпрос

40.      С първия и втория си преюдициален въпрос, които според мен следва да бъдат разгледани заедно, запитващата юрисдикция иска по същество от Съда да се произнесе по въпроса дали член 17, параграф 2, член 24 и член 28, параграф 3, второ тире от Директива 95/46 трябва да се тълкуват в смисъл, че допускат надзорни органи да упражняват правомощията си за намеса срещу структура, която не може да се счита за „администратор“ по смисъла на член 2, буква г) от същата директива, но която въпреки това може да носи отговорност в случай на нарушаване на правилата относно защитата на личните данни поради направения от тази структура избор да прибегне до социална мрежа като Facebook, за да разпространява предлаганата от нея информация.

41.      Тези въпроси се основават на схващането, че Wirtschaftsakademie не е „администратор“ по смисъла на член 2, буква г) от Директива 95/46. Ето защо посочената юрисдикция иска да се установи дали разпореждане като разглежданото в главното производство може да бъде издадено срещу лице, което не отговаря на определените в тази разпоредба критерии.

42.      Според мен обаче това схващане е погрешно. По мое мнение трябва да се счита, че Wirtschaftsakademie отговаря заедно с Facebook на етапа на обработване, който се състои в събирането на лични данни от последното.

43.      Съгласно член 2, буква г) от Директива 95/46 „администратор“ означава „физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни“(16).

44.      Администраторът играе ключова роля в рамките на системата, установена с Директива 95/46, и поради това неговото идентифициране е от основно значение. Всъщност в тази директива се предвижда, че администраторът трябва да изпълнява определен брой задължения, които трябва да осигурят защитата на личните данни(17). Съдът в своето решение Google Spain и Google(18) е акцентирал върху тази основна роля. Всъщност той е постановил, че администраторът трябва да гарантира в рамките на своята отговорност, компетентност и възможности, че разглежданото обработване на данни отговаря на изискванията на Директива 95/46, за да могат предвидените в нея гаранции да разгърнат цялостното си действие и за да може действително да се осъществи ефикасна и пълна защита на съответните лица, по-специално на тяхното право на зачитане на личния им живот(19).

45.      От практиката на Съда също така следва, че това понятие трябва да бъде определено разширително, за да се гарантира ефикасна и пълна защита на съответните лица(20).

46.      Администратор на лични данни е лицето, което решава защо и как ще бъдат обработвани тези данни. Както посочва работната група по член 29, „[п]онятието „администратор“ е функционално понятие, имащо за цел да разпредели отговорностите там, където е фактическото влияние, и по този начин се основава по-скоро на фактически, отколкото на формален анализ“(21).

47.      Като създател на проекта за това обработване на данни според мен именно Facebook Inc., а що се отнася до Съюза — Facebook Ireland, основно са определили неговите цели и съответните условия.

48.      По-специално Facebook Inc. е създал общ бизнес модел, водещ до това, че събирането на лични данни при консултирането на фенстраници и впоследствие използването на тези данни може да доведе, от една страна, до изпращане на реклами според личните предпочитания, и от друга страна, до изготвянето на статистически данни за посетителите, предназначени за администраторите на тези страници.

49.      Освен това от материалите по делото е видно, че Facebook Ireland е определено от Facebook Inc. да извършва обработването на лични данни в рамките на Съюза. Съгласно представените от Facebook Ireland разяснения условията за функционирането на социалната мрежа могат да бъдат в известна степен адаптирани в Съюза(22).

50.      Освен това, въпреки че е безспорно, че всяко пребиваващо на територията на Съюза лице, което иска да използва Facebook, при регистрацията си е длъжно да сключи договор с Facebook Ireland, следва в същото време да се отбележи, че личните данни на пребиваващите на територията на Съюза потребители на Facebook Ireland изцяло или частично се прехвърлят към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват(23).

51.      С оглед участието на Facebook Inc., и по-специално що се отнася до Съюза, на Facebook Ireland при определяне на целите и средствата за обработка на разглежданите в главното производство лични данни и предвид всички елементи, с които разполагаме, трябва да се счита, че тези две образувания отговарят съвместно за посоченото обработване. Във връзка с това следва да се отбележи, че в член 2, буква г) от Директива 95/46 се предвижда изрично възможността за такава съвместна отговорност. Както самата запитваща юрисдикция посочва, на последно място тя трябва да изясни вътрешните структури за вземане на решения и за обработване на данни в групата Facebook, за да определи кой или кои обекти са администратори по смисъла на член 2, буква г) от Директива 95/46(24).

52.      Към съвместната отговорност на Facebook Inc. и на Facebook Ireland според мен трябва да се добави, що се отнася до етапа на обработване, който се състои от събирането на лични данни от Facebook(25), тази на оператора на фенстраница, какъвто представлява Wirtschaftsakademie.

53.      Безспорно операторът на фенстраница е преди всичко ползвател на Facebook, към който се е обърнал, за да ползва неговите инструменти и по този начин да се възползва от възможността за придобиване на по-голяма популярност. Тази констатация обаче не е от естество да изключи възможността той също така да бъде считан за отговорен на етапа на обработването на лични данни, който е предмет на спора по главното производство, а именно събирането на такива данни от Facebook.

54.      Що се отнася до това дали операторът на фенстраница „определя“ целите и средствата на обработването, следва да се провери дали този оператор оказва правно или фактическо влияние върху тези цели и средства. Този елемент от определението позволява да се приеме, че администраторът не е лицето, което извършва обработването на лични данни, а това, което определя съответните средства и цели.

55.      Като е прибегнал до Facebook за разпространяване на предлаганата от него информация, операторът на фенстраницата е приел принципа за обработване на лични данни на посетителите на неговата страница с цел изготвяне на статистически данни за тях(26). Въпреки че несъмнено той не е лицето, разработило инструмента Facebook Insights, като го е използвал, този оператор е взел участие при определяне на целите и условията на обработването на личните данни на посетителите на неговата страница.

56.      Всъщност, от една страна, това обработване не би могло да бъде извършвано, без операторът на фенстраница да вземе предварително решение да създаде и използва такава фенстраница в социалната мрежа Facebook. Като е направило възможно обработването на лични данни на ползвателите на фенстраницата, управляващото тази страница лице е приело установената от Facebook система. Така е било възможно то да получи по-добра информация за профила на ползвателите на неговата фенстраница и същевременно е позволило на Facebook по-добре да насочва рекламата, разпространявана в рамките на посочената социална мрежа. Тъй като е приело средствата и целите на обработването на лични данни, така както са били предварително определени от Facebook, лицето, управляващо фенстраницата, трябва да се счита за участващо в тяхното определяне. Освен това също както операторът на фенстраница по този начин упражнява решаващо влияние относно започването на обработването на личните данни на лицата, които консултират тази страница, то разполага също с правото да прекрати това обработване, като закрие своята фенстраница.

57.      От друга страна, макар целите и условията на самия инструмент Facebook Insights да са били определени най-общо от Facebook Inc. съвместно с Facebook Ireland, операторът на фенстраница има възможност да влияе върху конкретното прилагане на този инструмент, като определи критериите, въз основа на които се изготвят статистическите данни за посетителите. Когато Facebook приканва оператор на фенстраница да създаде или измени аудиторията на страницата си, той му указва, че ще направи всичко възможно, за да покаже тази страница на лицата, които са с най-голямо значение за него. Операторът на фенстраница може с помощта на филтри да определени конкретна аудитория, което му позволява не само да определи по-точно дадена група лица по отношение на които информацията относно неговото търговско предложение ще бъде разпространена, но преди всичко да определи категориите лица, чиито лични данни ще бъдат събирани от Facebook. По този начин, като определя аудиторията, до която иска да достигне, операторът на фенстраница също така идентифицира от кои целеви потребители могат да бъдат събирани, след това и използвани личните им данни от страна на Facebook. Освен че той е този, който поставя началото на обработването на такива данни, когато създава фенстраница, операторът на тази страница има и решаваща роля при извършването на посоченото обработване от Facebook. По този начин той участва в определянето на средствата и целите на посоченото обработване, като упражнява върху него фактическо влияние.

58.      Гореизложените съображения ме навеждат на извода, че при обстоятелства като тези по спора в главното производство оператор на фенстраница в социална мрежа като Facebook трябва да се счита за лице, което носи отговорност за етапа на обработване на лични данни, състоящ се в събирането от тази социална мрежа на данни относно лицата, които консултират посочената страница.

59.      Този извод се потвърждава от констатацията, че операторът на фенстраница, какъвто е Wirtschaftsakademie, от една страна, и доставчиците на услуги, каквито са Facebook Inc. и Facebook Ireland, от друга страна, преследват тясно свързани цели. Wirtschaftsakademie иска да получи статистически данни за посетителите, за да управлява популяризирането на своята дейност, и за тяхното получаване е необходимо да се извършва обработване на лични данни. Същото това обработване позволява и на Facebook по-добре да насочва рекламата, която разпространява чрез своята мрежа.

60.      Ето защо следва да се отхвърли тълкуването, което произтича единствено от клаузите и условията на договора, сключен между Wirtschaftsakademie и Facebook Ireland. Всъщност формулираното в договора разпределение на задачите представлява само индиция относно действителната роля на страните по договора при обработването на личните данни. Казано по друг начин, тези страни биха могли изкуствено да възложат на една от тях отговорността относно обработването на данни. Това важи в още по-голяма степен в положение, при което общите условия са изготвени предварително от социалната мрежа и не са предмет на договаряне. Следователно не може да се приеме, че този, който може единствено да се присъедини или да се откаже от договора, не може да бъде отговорен за обработването. От момента, в който този съдоговорител свободно е сключил договор, той може винаги да бъде считан за администратор с оглед на конкретното влияние, което оказва върху средствата и целите на посоченото обработване.

61.      Така фактът, че договорът и неговите общи условия са били изготвени от доставчик на услуги и че операторът, който е прибегнал до предложените от този доставчик услуги, няма достъп до данните, не изключва възможността той да бъде считан за администратор, доколкото той е приел свободно договорните условия, поемайки по този начин пълна отговорност за тях(27). Също като работната група по член 29 следва да се признае и че евентуалната липса на равновесие в съотношението на силите между доставчика и получателя на услугата не представлява пречка последният да може да бъде квалифициран като „администратор“(28).

62.      Освен това, за да може дадено лице да бъде считано като администратор по смисъла на член 2, буква г) от Директива 95/46, не е необходимо то да разполага с пълни надзорни правомощия върху всички аспекти на обработването. Както белгийското правителство правилно отбелязва в съдебно заседание, на практика се осъществява все по-малко такъв надзор. Все по-често обработването е сложно, в смисъл че се отнася до няколко отделни обработки, включващи няколко страни, като самите те осъществяват различни степени на надзор. Следователно тълкуване, отдаващо предпочитание на съществуването на пълни надзорни правомощия върху всички аспекти на обработването, може да доведе до сериозни пропуски в областта на защитата на личните данни.

63.      Фактите в основата на решение от 13 май 2014 г., Google Spain и Google(29), представляват пример за това. Всъщност в това дело става въпрос за положение, включващо многостепенни отношения между доставчик и клиент на информация, при което всяка една от различните страни оказва отделно влияние върху обработването. В това дело Съдът отказва да тълкува ограничително понятието „администратор“. Той е приел, че лицето, което управлява интернет търсачка трябва „в качеството си на лице, което определя целите и средствата на [своята] дейност, […] да гарантира в рамките на своята отговорност, компетентност и възможности, че дейността му отговаря на изискванията на Директива 95/46“(30). Освен това Съдът е изтъкнал възможността за съвместна отговорност на лицето, което управлява интернет търсачката, и издателите на уебсайтове(31).

64.      Също като белгийското правителство считам, че широкото тълкуване на понятието „администратор“ по смисъла на член 2, буква г) от Директива 95/46, което според мен трябва да има превес в рамките на настоящото дело, е от естество да доведе до избягване на злоупотребите. Всъщност в противен случай би било достатъчно предприятието да използва услугите на трето лице, да се освободи от задълженията си в областта на защитата на личните данни. С други думи, според мен не следва да се прави разлика между предприятие, което предоставя на своя интернет сайт инструменти, които са аналогични на предлаганите от Facebook, и предприятие, което се присъединява към социалната мрежа Facebook, за да се възползва от предлаганите от Facebook инструменти. По този начин следва да се гарантира, че икономическите оператори, които са прибегнали до услуга за хостване на интернет страницата си, не могат да се освободят от отговорността си, като приемат общите условия на доставчик на услугите. Освен това, както това правителство посочва в съдебното заседание, не е неоснователно да се очаква от предприятията, че ще проявят старание в момента на избирането на техния доставчик на услуги.

65.      Ето защо според мен фактът, че даден оператор на фенстраница използва предложената от Facebook платформа и се ползва от услугите, които тя предлага, не го освобождава от задълженията му в областта на защитата на личните данни. В това отношение ще отбележа, че ако Wirtschaftsakademie бе създало интернет сайт извън Facebook, като използва инструмент, аналогичен на Facebook Insights, за да изготвя статистически данни за посетителите, то би се считало за администратора за нуждите на изготвянето на тези статистически данни. Според мен такъв икономически оператор не би трябвало да бъде освободен от спазване на изведените от Директива 95/46 правила за защита на личните данни единствено поради това, че използва платформата на социалната мрежа Facebook, за да рекламира дейността си. Както правилно посочва самата запитваща юрисдикция, доставчикът на информация не трябва да има възможност чрез избора на определен доставчик на инфраструктура да се освободи от задълженията, наложени му от приложимото право за защита на личните данни, спрямо ползвателите на предлаганата от него информация, които той би трябвало да спазва, ако ставаше въпрос за обикновен доставчик на съдържание(32). Тълкуване в обратен смисъл би създало опасност от заобикаляне на правилата относно защитата на личните данни.

66.      Според мен също така не следва да се създава изкуствено разграничение между разглежданото по настоящото дело положение и разгледаното в рамките на дело C‑40/17, Fashion ID(33).

67.      Последното дело се отнася до положение, при което оператор на уебсайт е интегрирал в своя сайт така наречената „софтуерна приставка за споделяне в социалната мрежа“ (в случая бутона „харесва ми“ на Facebook) на външен доставчик (т.е. Facebook), което води до прехвърляне на лични данни от компютъра на ползвателя на уебсайта на външния доставчик.

68.      В рамките на спора, който е в основата на това дело, сдружение за защита на потребителите упреква дружеството Fashion ID, че като е интегрирало в своя уебсайт предоставената от социалната мрежа Facebook софтуерна приставка „харесва ми“, е позволило на социалната мрежа да има достъп до личните данни на ползвателите на този сайт без тяхно съгласие и в нарушение на задълженията за информиране, предвидени от разпоредбите относно защитата на личните данни. Така се поставя въпросът дали, тъй като дружеството Fashion ID е позволило на Facebook достъп до личните данни на ползвателите на неговия интернет сайт, това дружество може да бъде квалифицирано като „администратор“ по смисъла на член 2, буква г) от Директива 95/46.

69.      В това отношение не установявам съществена разлика между положението на оператора на фенстраница и това на лицето, управляващо уебсайт, което интегрирало код на доставчик на услуги за проследяване в уебмрежата на своя сайт и така допринася без знанието на интернет потребителя за прехвърляне на данни, инсталиране на „бисквитки“ и събиране на данни в полза на доставчика на услугите по проследяване в уебмрежата.

70.      Разширителните модули на социални мрежи позволяват на лицата, управляващи уебсайтове, да използват определени услуги на социалните мрежи на техните собствени уебсайтове, за да направят по-популярни последните, например като интегрират на своите сайтове бутона на Facebook „харесва ми“. Както операторите на фенстраници, лицата, които управляват уебсайтове, интегрирали разширителни модули на социалните мрежи, могат да се ползват от услугата Facebook Insights, за да получат точни статистически данни относно ползвателите на своите сайтове.

71.      Подобно на това, което се случва при консултиране на фенстраница, консултирането на уебсайт, който съдържа разширителен модул на социалните мрежи, ще задейства прехвърлянето на лични данни към съответния доставчик.

72.      Според мен в такъв контекст и както оператора на фенстраница, лице, което управлява уебсайт, съдържащ разширителен модул на социалните мрежи, трябва да бъде считано за „администратор“ по смисъла на член 2, буква г) от Директива 95/46, доколкото то оказва фактическо влияние върху етапа на обработване във връзка с прехвърлянето на лични данни на Facebook(34).

73.      Ще добавя, както правилно бе посочено от белгийското правителство, че констатацията, че Wirtschaftsakademie отговаря съвместно с Facebook за обработването, след като е решило да прибегне до услугите на последното за предлаганата от него информация, по никакъв начин не променя задълженията на Facebook Inc. и на Facebook Ireland в качеството им на администратори. Всъщност е ясно, че тези две образувания оказват решаващо влияние върху целите и средствата на обработването на личните данни, което се извършва в рамките на консултирането на фенстраница, и което те използват и за собствени цели и интереси.

74.      Признаването обаче на съвместна отговорност на операторите на фенстраници за етапа на обработване, който се състои в събирането на лични данни от Facebook, спомага за гарантирането на по-пълна защита на правата, с които разполагат лицата, консултиращи този вид страници. Освен това активното ангажиране на операторите на фенстраници за спазване на правилата за защита на личните данни чрез определянето им като администратори би могло да подтикне самата платформа на социалната мрежа да започне да спазва тези правила.

75.      Също така следва да се уточни, че наличието на съвместна отговорност не означава равностойна отговорност. Напротив, различните администратори могат да бъдат включени в обработването на лични данни на различни етапи и в различни степени(35).

76.      Съгласно работната група по член 29 „[в]ъзможността за множествено администриране обслужва все по-големия брой случаи, когато различни страни действат като администратори. Оценката на съвместното администриране трябва да отразява оценката на „единичното“ администриране, като се възприеме същностен и функционален подход и ударението се постави върху това дали целите и средствата се определят от повече от едно лице. В контекста на съвместното администриране участието на страните в определянето на целите и средствата на обработването може да приеме различни форми и невинаги е разпределено поравно“(36). И наистина „в случая с множество участници те може да имат много тясна връзка (напр. споделяне на всички цели и средства на дадено обработване) или пък връзката им да е по-слаба (напр. споделяне само на целите или на средствата, или пък на част от тях). Ето защо трябва да бъдат разгледани най-различни типологии за съвместно администриране и да се направи оценка на правните последици от тях, като се даде възможност за известна гъвкавост, за да бъде предвидена увеличаващата се сложност на настоящото действително положение с обработването на данни“(37).

77.      Според мен от гореизложеното следва, че оператор на фенстраница в социалната мрежа Facebook трябва да бъде считан заедно с Facebook Inc. и Facebook Ireland за администратор на лични данни, чието обработване се извършва с оглед на изготвянето на статистически данни за посетителите на тази страница.

2.      По третия и четвъртия преюдициален въпрос

78.      С третия и четвъртия си преюдициален въпрос, които според мен следва да бъдат разгледани заедно, запитващата юрисдикция по същество иска да получи разяснения от Съда относно тълкуването на член 4, параграф 1, буква a) и член 28, параграфи 1, 3 и 6 от Директива 95/46 в положение, при което дружество майка, установено извън Европейския съюз, каквото е Facebook Inc., предоставя свързани със социална мрежа услуги на територията на Съюза чрез посредничеството на няколко обекта. Сред тези обекти един е определен от дружеството майка като администратор на лични данни за територията на Съюза (Facebook Ireland), а друг осигурява рекламирането и продажбата на рекламни пространства, както и маркетингови дейности, насочени към лицата, живеещи в Германия (Facebook Germany). При тази конфигурация запитващата юрисдикция иска да се установи, от една страна, дали германският надзорен орган има право да упражнява правомощията си за намеса, за да бъде спряно спорното обработване на лични данни, и от друга страна, срещу кой обект може да се упражнят тези правомощия.

79.      В отговор на съмненията, изразени от ULD и от италианското правителство, относно допустимостта на третия и четвъртия преюдициален въпрос, ще отбележа, че в акта си за преюдициално запитване Bundesverwaltungsgericht (Федерален върховен административен съд) посочва, че има нужда да получи разяснения по тези въпроси, за да може да се произнесе по законосъобразността на разглежданото в главното производство разпореждане. Във връзка с това тази юрисдикция твърди, че постановеното срещу Wirtschaftsakademie разпореждане може да съдържа грешка в преценката и следователно да бъде незаконосъобразно, ако е било възможно твърдените от ULD нарушения на приложимото право за защита на данните да бъдат отстранени чрез мярка, която е директно насочена срещу установеното в Германия дъщерно дружество Facebook Germany(38). Това становище на запитващата юрисдикция според мен позволява да бъдат добре очертани причините, поради които тя е поставила на Съда третия и четвъртия преюдициален въпрос. Ето защо с оглед на презумпцията за релевантност, която се отнася до преюдициалните запитвания(39), предлагам на Съда да отговори на тези въпроси.

80.      Съгласно член 4 от Директива 95/46, озаглавен „Приложимо национално право“:

„1.      Всяка държава членка прилага националните разпоредби, които приема в съответствие с настоящата директива, по отношение на обработването на лични данни, когато:

a)      обработването се извършва в контекста на дейностите на [установен] на територията на държавата членка [обект на администратора]; когато същият администратор е установен на територията на няколко държави членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези [негови обекти] спазва задълженията, установени от националното право;

[…]“.

81.      В Становище 8/2010 от 16 декември 2010 г. относно приложимото право(40) работната група по член 29 посочва, че член 4, параграф 1, буква a) от Директива 95/46 се прилага в следния случай: „Платформа на социална мрежа е с централно управление в трета държава и клон в държава членка. Клонът определя и прилага политиките, свързани с обработването на лични данни на лица, пребиваващи в [Съюза]. Социалната мрежа е активно насочена към лица, пребиваващи във всички държави членки на [Съюза], които съставят значителна част от нейните клиенти и приходи. Тя също инсталира „бисквитки“ на компютрите на потребителите от [Съюза]. В този случай приложимото право в съответствие с член 4, параграф 1, буква а) [от Директива 95/46] е правото за защита на данните на държавата членка, в която дружеството е установено в рамките на ЕС. Въпросът дали социалната мрежа използва оборудване, намиращо се на територията на други държави членки, е без значение, тъй като цялото обработване се извършва в контекста на дейностите на един клон, а Директивата изключва кумулативното прилагане на член 4, параграф 1, буква а) и на член 4, параграф 1, буква в) [от тази директива]“(41). Работната група по член 29 също така уточнява, че в „съответствие с член 28, параграф 6 [от посочената директива] надзорният орган на държавата членка, в която е установена социалната мрежа в ЕС, е длъжен да си сътрудничи с други надзорни органи, с цел например да разглежда искания или жалби от лица, пребиваващи в други държави на [Съюза]“(42).

82.      Изложеният в предходната точка случай не поставя трудности относно определянето на приложимото национално право. Всъщност в тази хипотеза, тъй като дружеството майка разполага само с един обект в Съюза, правото на държавата членка, в която този обект е установен, се прилага към разглежданото обработване на лични данни.

83.      Положението се усложнява, когато подобно на случая, разглеждан в настоящото дело, дадено дружество, установено в трета държава, каквото е Facebook Inc., осъществява дейността си в Съюза, от една страна, посредством обект, който е определен от това дружество да отговаря изключително за събирането и обработването на лични данни в рамките на групата Facebook на цялата територия на Съюза (Facebook Ireland), и от друга страна, посредством други обекти, един от които се намира в Германия (Facebook Germany) и съгласно информацията, която се съдържа в акта за преюдициално запитване, отговаря за рекламирането и продажбата на рекламни пространства и за други маркетингови дейности, насочени към лицата, живеещи в тази държава членка(43).

84.      При това положение компетентен ли е германският надзорен орган да упражни правомощията си за намеса, за да се прекрати обработването на лични данни, за което Facebook Inc. и Facebook Ireland отговарят съвместно?

85.      За да се отговори на този въпрос, следва да се определи дали германският надзорен орган има право да приложи собственото си национално право към това обработване.

86.      Във връзка с това от член 4, параграф 1, буква а) от Директива 95/46 следва, че обработването на данни, което даден обект извършва в контекста на дейността си, се урежда от правото на държавата членка, на чиято територия той е установен.

87.      Съдът вече е постановил, че предвид преследваната от тази директива цел да се осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на лична неприкосновеност при обработването на лични данни, изразът „в контекста на дейностите на […] [обект]“, посочен в член 4, параграф 1, буква а) от посочената директива, не може да бъде тълкуван ограничително(44).

88.      Транспониращото законодателство на държава членка е приложимо към обработването на лични данни, ако са изпълнени две условия. Първо, администраторът, който извършва обработването, трябва да разполага с „обект“ в тази държава членка. Второ, обработването трябва да се извършва „в контекста на дейностите“ на този обект.

89.      По отношение, на първо място, на понятието за „обект“ по смисъла на член 4, параграф 1, буква а) от Директива 95/46 Съдът вече е уточнил, тълкувайки широко и по-свободно това понятие, че то обхваща всяко, дори и минимално, ефективно и действително упражняване на дейност посредством постоянен обект(45), като по този начин е изключил формалистичния подход(46).

90.      С оглед на това следва по-скоро да се прецени както степента на устойчивост на съответния обект, така и действителното упражняване на дейност във въпросната държава членка(47), като се отчетат специфичната природа на икономическата дейност и предоставяните в конкретния случай услуги(48). В това отношение не се спори, че Facebook Germany, чието седалище се намира в Хамбург (Германия), осъществява ефективно и реално дейност посредством постоянен обект в Германия. Следователно той представлява „обект“ по смисъла на член 4, параграф 1, буква a) от Директива 95/46.

91.      По отношение, на второ място, на въпроса дали съответното обработване на лични данни се извършва „в контекста на дейностите“ на този обект по смисъла на член 4, параграф 1, буква а) от Директива 95/46, Съдът вече е напомнил, че тази разпоредба изисква въпросното обработване на лични данни да се извършва не „от“ самия обект, а единствено „в контекста на дейностите му“(49).

92.      Така от Становище 8/2010 следва, че „понятието „контекст на дейностите“ — а не местоположението на данните — е решаващ фактор при определяне на обхвата на приложимото право. Понятието „контекст на дейностите“ предполага, че приложимото право не е това на държавата членка, където администраторът е установен, а където клон на администратора участва в дейности, [свързани с обработването на личните данни или включващи такова обработване]. В този контекст степента на участие на клона(овете) в дейностите, в чийто контекст се обработват лични данни, е от ключово значение. В допълнение към това следва да се вземат предвид също естеството на дейностите на клоновете и нуждата да се гарантира ефективна защита на правата на лицата. При анализирането на тези критерии следва да се възприеме функционален подход: не теоретичното определяне на приложимото право от страните, а преди всичко тяхното поведение и взаимодействие на практика следва да бъдат определящите фактори“(50).

93.      В решение от 13 май 2014 г., Google Spain и Google(51), Съдът е трябвало да провери дали това условие е спазено. В случая той е направил широко тълкуване, като е приел, че обработването на лични данни за нуждите на услугите, предоставяни от интернет търсачка като Google Search, управлявана от предприятие, което има седалище в трета страна, но разполага с установен в държава членка обект, се извършва „в контекста на дейностите“ на този обект, ако предназначението на последния е да осигури в същата държава членка рекламирането и продажбата на рекламните пространства, предлагани от посочената търсачка, чрез които се рентабилизира предоставяната от нея услуга(52). Всъщност Съдът е отбелязал, че „при подобни обстоятелства дейностите на лицето, което управлява интернет търсачката, и тези на неговия обект, установен в съответната държава членка, са неразделно свързани, тъй като дейностите, свързани с рекламните пространства, представляват средството, даващо икономическа рентабилност на разглежданата търсачка, и тази търсачка е същевременно средството, което позволява осъществяването на тези дейности“(53). В подкрепа на решението си Съдът е добавил, че тъй като показването на лични данни на страница с резултатите от търсене „се придружава от показване на същата страница на реклами, свързани с търсените думи и изрази, налага се изводът, че посоченото обработване на лични данни се извършва в рамките на рекламната и търговската дейност на установения на територията на държава членка обект на администратора, в случая — на територията на Испания“(54).

94.      Съгласно обаче съдържащата се в акта за преюдициално запитване информация Facebook Germany отговаря за рекламирането и продажбата на рекламни пространства и за други маркетингови дейности, насочени към лицата, живеещи в Германия. Доколкото разглежданото в главното производство обработване на лични данни, което се състои в събирането на такива данни посредством „бисквитки“, инсталирани на компютрите на посетителите на фенстраници, по-специално има за цел да позволи на Facebook по-добре да насочва рекламите, които разпространява, едно такова обработване трябва да се счита за извършено в контекста на дейностите, които Facebook Germany осъществява в Германия. Във връзка с това и като се има предвид, че социална мрежа като Facebook генерира по-голямата част от приходите си посредством реклами, които се появяват на страниците, създавани и посещавани от потребителите(55), следва да се приеме, че дейностите, които извършват съвместно отговорните за обработването лица, каквито са Facebook Inc. и Facebook Ireland, са неразделно свързани с тези на обект като Facebook Germany. Освен това вследствие на обработването на лични данни, станало възможно чрез инсталирането на „бисквитка“ на компютъра на лицето, което посещава страница от домейна Facebook.com, консултирането на страница на Facebook се извършва заедно с показването на същата уебстраница на реклами, които се отнасят до центровете на интереси на този посетител. Оттук следва да се заключи, че посоченото обработване на лични данни се извършва в рамките на рекламната и търговската дейност на установения на територията на държава членка обект на администратора, в случая — на територията на Германия.

95.      Обстоятелството, че групата Facebook, за разлика от случая, по който е постановено решение от 13 май 2014 г., Google Spain и Google(56), разполага с европейско седалище, в случая в Ирландия, не представлява пречка тълкуването на член 4, параграф 1, буква a) от Директива 95/46, което Съдът е дал в това дело, да бъде приложено и в рамките на настоящото дело. С посоченото решение Съдът изразява намерение да се избегне възможността при обработване на лични данни да не се прилагат задълженията и гаранциите, предвидени в тази директива. В рамките на настоящото производство беше отбелязано, че в случая не се поставя проблемът за такова заобикаляне, тъй като администраторът е установен в държава членка, а именно в Ирландия. Ето защо съгласно тази логика член 4, параграф 1, буква a) от Директива 95/46 би следвало да се тълкува в смисъл, че налага на администратора да взема предвид само едно национално законодателство и да зависи само от един надзорен орган, а именно ирландското законодателство и ирландския орган.

96.      Едно такова тълкуване обаче противоречи на текста на член 4, параграф 1, буква a) от Директива 95/46, както и на генезиса на тази разпоредба. Всъщност, както белгийското правителство правилно отбелязва в съдебното заседание, Директива 95/46 не въвежда нито механизъм „обслужване на едно гише“, нито принципа на държавата на произход(57). В това отношение не трябва да се смесва политическата цел, преследвана от Европейската комисия в предложението ѝ за директива, с решението, което впоследствие е било възприето от Съвета на Европейския съюз. В Директива 95/46 законодателят е избрал да не предоставя предимство на прилагането на националното право на държавата членка, в която се намира основното място на установяване на администратора. Резултатът от това е Директива 95/46, която представлява израз на волята на държавите членки да запазят националните си изпълнителни правомощия. Като не е възприел принципа на държавата на произход, законодателят на Съюза е допуснал всяка държава членка да прилага собственото си национално законодателство и по този начин е предоставил възможност за кумулиране на няколко приложими национални законодателства(58).

97.      С член 4, параграф 1, буква a) от посочената директива законодателят на Съюза съзнателно е избрал да позволи, в случай че администраторът има няколко обекта в Съюза, няколко национални законодателства относно защитата на личните данни да могат да се прилагат към обработването на личните данни на лицата, пребиваващи в съответните държави членки, за да се гарантира ефективна защита на правата на последните в тези държави членки.

98.      Този извод се потвърждава от съображение 19 от Директива 95/46, в което се пояснява, че „когато на територията на няколко държави членки е установен един-единствен администратор, по-конкретно чрез дъщерни дружества, той трябва да гарантира, за да избегне всякакво заобикаляне на националните правила, че всеки от клоновете изпълнява задълженията, наложени му от националното законодателство по отношение на неговата дейност“.

99.      Следователно от член 4, параграф 1, буква a) от Директива 95/46, в чието второ изречение се прави уточнение в рамките на посоченото в съображение 19 от същата директива, че ако когато същият администратор е установен на територията на няколко държави членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези негови обекти спазва задълженията, установени от националното право, стигам до заключението, че структурата на група, при която администраторът разполага с няколко обекта на територията на няколко държави членки, не трябва да му позволява да заобикаля правото на държавата членка, на територията на която е установен всеки от тези обекти.

100. Ще добавя, че според мен след решение от 28 юли 2016 г., Verein für Konsumenteninformation (C−191/15, EU:C:2016:612)(59), не може да бъде поддържано тълкуване в подкрепа на изключителното прилагане на правото на държавата членка, в която се намира европейското седалище на международна група. В това решение Съдът е приел, че обработването на лични данни от предприятие за електронна търговия се урежда от правото на държавата членка, към която то насочва дейността си, ако се установи, че обработването на въпросните данни се извършва от предприятието в контекста на дейностите на находящ се в тази държава членка обект. Съдът е решил спора в този смисъл, въпреки че Amazon, също като Facebook, представлява предприятие, което разполага не само с европейско седалище в една държава членка, а физически присъства и в няколко държави членка. Следователно в такава хипотеза трябва също да се провери дали обработването на данни се вписва в контекста на дейностите на този обект в държава членка, различна от тази, в която се намира европейското седалище на администратора.

101. Както отбелязва белгийското правителство, следователно е напълно възможно обект, различен от представляващия европейското седалище на предприятието, да е от значение за прилагането на член 4, параграф 1, буква a) от Директива 95/46.

102. Поради това в рамките на въведената с тази директива система мястото, в което се извършва обработването, както и мястото, където администраторът е установил своето седалище в Съюза, в случай че този администратор има няколко обекта в Съюза, не са определящи за установяване на приложимото национално право при обработване на данни и за предоставяне на компетентност на надзорен орган да упражни правомощията си за намеса.

103. В това отношение според мен Съдът не би трябвало предсрочно да взема предвид режима, въведен с Общия регламент относно защитата на данните(60), който ще бъде приложим от 25 май 2018 г. В рамките на този режим е въведен механизъм за „обслужване на едно гише“. Това означава, че администратор, който извършва трансграничното обработване, какъвто е Facebook, комуникира единствено с един надзорен орган, а именно с водещия надзорен орган, който ще бъде органът на мястото, където се намира основното място на установяване на администратора. Този режим обаче, както и сложният механизъм за сътрудничество, който въвежда, все още не се прилагат.

104. Безспорно, доколкото Facebook е решило да установи в Ирландия основното си седалище в Съюза, надзорният орган на тази държава членка ще играе важна роля при извършване на проверката дали Facebook спазва правилата, произтичащи от Директива 95/46. Както самият орган признава, това обаче не означава, че в рамките на настоящата система, която се основава на посочената директива, той разполага с изключителна компетентност по отношение на дейностите на Facebook в Съюза(61).

105. Въз основа на всички гореизложени съображения също както белгийското и нидерландското правителство и ULD считам, че тълкуването, което Съдът е дал на член 4, параграф 1, буква a) от Директива 95/46 в решение от 13 май 2014 г., Google Spain и Google(62), се прилага и към случай като разглеждания в главното производство, при който администраторът е установен в една държава членка на Съюза и разполага с няколко обекта в Съюза.

106. Следователно въз основа на предоставените от запитващата юрисдикция данни относно естеството на дейностите, извършвани от Facebook Germany, следва да се приеме, че спорното обработване на лични данни се извършва в контекста на дейността на този обект и че член 4, параграф 1 буква а) от Директива 95/46 допуска в случай като разглеждания в главното производство да се приложи германското право относно защитата на личните данни(63).

107. Следователно германският надзорен орган е компетентен да прилага своето национално право при разглежданото в главното производство обработване на лични данни.

108. От член 28, параграф 1 от тази директива следва, че всеки надзорен орган, създаден от държава членка, трябва да следи дали на територията на тази държава членка се спазват разпоредбите, приети от държавите членки в съответствие с Директива 95/46.

109. Съгласно член 28, параграф 3 от Директива 95/46 тези надзорни органи разполагат по-специално с правомощия по разследване, като имат право да събират цялата информация, необходима за изпълнението на техните надзорни функции, както и с ефективни правомощия за намеса, като правомощието да разпореждат блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването, на отправяне на предупреждение или строга забележка към администратора. Тези правомощия за намеса могат да включват и възможността за санкциониране на администратора на данните, като му бъде наложена имуществена санкция(64).

110. Що се отнася до член 28, параграф 6 от Директива 95/46, той има следното съдържание:

„Независимо от националното право, приложимо към въпросната обработка, всеки надзорен орган може да упражнява на територията на своята държава членка правомощията, предоставени в съответствие с параграф 3. От всеки орган може да бъде поискано да упражни своите правомощия от страна на орган от друга държава членка.

Надзорните органи си сътрудничат, доколкото е необходимо за изпълнението на техните функции, в частност, чрез обмен на полезна информация“.

111. Предвид факта, че правото на неговата държавата членка се прилага към разглежданото в главното производство обработване на лични данни, германският надзорен орган може да упражни изцяло правомощията си за намеса, за да се гарантира, че германското право се прилага и спазва от Facebook на територията на Германия. Подобен извод следва от решение от 1 октомври 2015 г., Weltimmo(65), с което се уточнява обхватът на член 28, параграфи 1, 3 и 6 от Директива 95/46.

112. По това дело основният въпрос е бил да се определи дали унгарският надзорен орган е компетентен да наложи имуществена санкция на доставчик на услуги, установен в друга държава членка, а именно в Словакия. За да се определи компетентността, предварително е трябвало да се провери дали унгарското право е приложимо съгласно критерия по член 4, параграф 1, буква a) от Директива 95/46.

113. В първата част от отговора си Съдът дава на запитващата юрисдикция няколко разяснения, които да ѝ помогнат да установи дали е налице обект на администратора в Унгария. Освен това той е приел, че посоченото обработване се извършва в контекста на дейността на този обект и че член 4, параграф 1 буква а) от Директива 95/46 допуска в случай като разглеждания в това дело да се приложи унгарското право относно защитата на личните данни.

114. Следователно тази първа част от отговора на Съда е била от естество да потвърди, че въз основа на унгарското право унгарският надзорен орган е компетентен да наложи имуществена санкция на доставчик на услуги, установен в друга държава членка, в случая на Weltimmo.

115. С други думи, от момента, в който в резултат от прилагането на критерия, посочен в член 4, параграф 1, буква a) от Директива 95/46, унгарското право е могло да бъде признато за приложимо национално право, унгарският надзорен орган е разполагал с компетентност да гарантира спазването на това право, в случай че то бъде нарушено от даден администратор, въпреки че последният е регистриран в Словакия. Посредством тази разпоредба от Директива 95/46 би могло да се приеме, че макар да е регистрирано в Словакия, Weltimmo е било установено и в Унгария. Така фактът, че администраторът е разполагал в Унгария с обект, извършващ дейности в рамките на които е било извършено това обработване, е представлявал необходимата отправна точка за признаване на приложимостта на унгарското право и оттам — на компетентността на унгарския надзорен орган да гарантира спазването на това право на унгарска територия.

116. Втората част от отговора на Съда, в която му се е наложило да изтъкне принципа за териториално прилагане на правомощията на всеки един надзорен орган, е дадена единствено при условията на субсидиарност, а именно „в случай че унгарският надзорен орган приеме, че Weltimmo има обект по смисъла на член 4, параграф 1, буква а) от Директива 95/46 не в Унгария, а в друга държава членка, където това дружество упражнява дейност, в чийто контекст се извършва разглежданото обработване на лични данни“(66). Следователно е ставало дума за отговора на въпроса дали „в случай че унгарският надзорен орган стигне до заключението, че към обработването на личните данни следва да се приложи не унгарското право, а правото на друга държава членка — член 28, параграфи 1, 3 и 6 от Директива 95/46 следва да се тълкува в смисъл, че този орган може да упражни само правомощията, предвидени в член 28, параграф 3 от тази директива в съответствие с правото на тази другата държава членка, и не може да налага санкции“(67).

117. Във връзка с това в тази втора част от отговора си Съдът е уточнил както материалния, така и териториалния обхват на правомощията, които надзорният орган може да упражни в конкретна ситуация, а именно такава, при която не е приложимо правото на държавата членка на този надзорен орган.

118. В тази хипотеза Съдът е приел, че „правомощията на посочения орган не включват непременно всички от възложените му съгласно правото на неговата държава членка правомощия“(68). Ето защо „този орган може да упражнява правомощията си по разследване независимо от приложимото право и дори преди да бъде установено кое е националното право, приложимо към разглежданото обработване на данни. Въпреки това, ако този орган стигне до заключението, че е приложимо правото на друга държава членка, той няма право да налага санкции извън територията на собствената си държава членка. Ако случаят е такъв, този орган е длъжен, в изпълнение на задължението за сътрудничество по член 28, параграф 6 от [Директива 95/46], да поиска от надзорния орган на тази друга държава членка да установи евентуалното нарушение на това право и да наложи съответните санкции, ако националното му право допуска това, позовавайки се при необходимост на предоставената му информация“(69).

119. От решение от 1 октомври 2015 г., Weltimmo(70), може да се изведе следната информация, отнасяща се до настоящото дело.

120. За разлика от случая, въз основа на който Съдът е развил съображенията си относно правомощията на надзорните органи във втората част от решение от 1 октомври 2015 г., Weltimmo(71), настоящото дело съответства на положение, което е аналогично с първата част на това решение, при която, както посочих по-горе, е приложимо националното право на държавата членка на надзорния орган, който упражнява правомощията си за намеса, тъй като на територията на тази държава членка администраторът има обект, чиято дейност е неразделно свързана с това обработване. Наличието на такъв обект в Германия представлява необходимата отправна точка за прилагането на германското право към спорното обработване на лични данни.

121. След като това предварително условие е изпълнено, на германския надзорен орган трябва да бъде призната компетентност да гарантира на германска територия спазването на правилата относно защитата на личните данни, като приложи всички правомощия, с които разполага съгласно германските разпоредби, транспониращи член 28, параграф 3 от Директива 95/46. Тези правомощия могат да включват разпореждане, с което се налага временна или окончателна забрана на обработването.

122. Що се отнася до въпроса кое образувание трябва да бъде адресат на такава мярка, две решения изглеждат възможни.

123. При стриктно възприемане на териториалния обхват на правомощията за намеса, с които разполагат надзорните органи, с първото решение се приема, че те могат да упражнят правомощията си само срещу обекта на администратора, който е разположен на територията на държавата членка, на която те действат. Ако, както в настоящото дело, този обект — в случая Facebook Germany — не е администраторът и следователно самият той не може да изпълни искането на надзорния орган за прекратяване на обработването на данни, той трябва да предаде това искане на администратора, за да може последният да го изпълни.

124. За разлика от това при второто решение се приема, че тъй като единствено администраторът оказва решаващо влияние върху разглежданото обработване на данни, мярката, с която се разпорежда прекратяването на това обработване, трябва да бъде адресирана директно до него.

125. Според мен второто решение би трябвало да има превес, доколкото е съгласувано с основната роля, която администраторът заема в рамките на въведената с Директива 95/46 система(72). Едно такова решение, с което се избягва задължителното прибягване до посредничеството на обекта, упражняващ дейности, в рамките на които се извършва обработването, е от естество да гарантира незабавно и ефективно прилагане на националните правила за защита на личните данни. Освен това надзорен орган, директно налагащ на администратор като Facebook Inc. или Facebook Ireland, който не е установен на територията на държавата членка на този орган, мярка, разпореждаща прекратяване на обработването на данни, остава в пределите на своята компетентност, която се състои в това да гарантира, че на територията на тази държава обработването на данни съответства на нейното право. Във връзка с това е без значение дали администраторът или администраторите са установени в дадена държава членка или пък в трета държава.

126. Във връзка с предложението ми за отговор на първия и втория преюдициален въпрос уточнявам също, че предвид целта да се осигури възможно най-пълна защита на правата на лицата, консултиращи фенстраници, възможността ULD да упражни правомощията си за намеса спрямо Facebook Inc. и Facebook Ireland според мен по никакъв начин не изключва вземането на мерки срещу Wirtschaftsakademie и поради това сама по себе си не може да засегне законосъобразността на последните(73).

127. От гореизложените съображения следва, че член 4, параграф 1, буква а) от Директива 95/46 трябва да се тълкува в смисъл, че обработване на лични данни като разглежданото в спора по главното производство се извършва в контекста на дейностите на установен на територията на държава членка обект на администратора по смисъла на посочената разпоредба, когато предприятието, което управлява социална мрежа, създава в тази държава членка дъщерно дружество, чието предназначение е да осигури рекламирането и продажбата на рекламните пространства, предлагани от това предприятие, и чиято дейност е насочена към лицата, живеещи в тази държава членка.

128. Освен това в положение като разглежданото в главното производство, при което към съответното обработване на лични данни се прилага националното право на държавата членка на надзорния орган, член 28, параграфи 1, 3 и 6 от Директива 95/46 трябва да се тълкува в смисъл, че този надзорен орган може да упражнява всички възложени му в съответствие с член 28, параграф 3 от посочената директива ефективни правомощия за намеса по отношение на администратора, включително когато администраторът е установен в друга държава членка или пък в трета държава.

3.      По петия и шестия преюдициален въпрос

129. С петия и шестия си преюдициален въпрос, които според мен следва да се разгледат заедно, запитващата юрисдикция иска по същество от Съда да установи дали член 28, параграфи 1, 3 и 6 от Директива 95/46 трябва да се тълкува в смисъл, че при обстоятелства като разглежданите в главното производство надзорният орган на държава членка, в която се намира обектът на администратора (Facebook Germany), има право да упражни самостоятелно правомощията си за намеса и без да е длъжен предварително да поиска от надзорния орган на държавата членка, в която се намира администраторът (Facebook Ireland), да упражни своите правомощия.

130. В акта си за преюдициално запитване Bundesverwaltungsgericht (Федерален върховен административен съд) обяснява връзката между тези два преюдициални въпроса и контрола за законосъобразност на разпореждането, който той трябва да извърши в рамките на спора по главното производство. Така посочената юрисдикция по същество отбелязва, че разпореждането срещу Wirtschaftsakademie би могло да бъде счетено като резултат от грешка в преценката от страна на ULD, ако член 28, параграф 6 от Директива 95/46 трябва да бъде тълкуван в смисъл, че при обстоятелства като тези в главното производство той предвижда задължение за надзорен орган като ULD да поиска от надзорния орган на друга държава членка, в случая надзорния орган в областта на защита на данните, да упражни правомощията си в случай на различие в преценката между тези два органа относно това дали извършваното от Facebook Ireland обработване на данни съответства на правилата, произтичащи от Директива 95/46.

131. Както Съдът постановява в решението си от 1 октомври 2015 г., Weltimmo(74), в хипотеза, в която към обработването на съответните лични данни следва да се приложи правото не на държавата членка на надзорния орган, който иска да упражни правомощията си за намеса, а това на друга държава членка, член 28, параграфи 1, 3 и 6 от Директива 95/46 следва да се тълкува в смисъл, че този орган не може на основание на правото на държавата членка, в която се намира, да налага санкции на администратор, който не е установен на територията на тази държава членка, а на основание член 28, параграф 6 от същата директива следва да поиска намеса от страна на надзорния орган на държавата членка, чието право е приложимо(75).

132. При това положение надзорният орган на първата държава членка губи компетентност да упражни правомощието си за налагане на санкция на администратор, който е установен в друга държава членка. Ето защо този орган е длъжен, в изпълнение на задължението за сътрудничество по член 28, параграф 6 от Директива 95/46, да поиска от надзорния орган на тази друга държава членка да установи евентуалното нарушение на правото на тази държава членка и да наложи съответните санкции, ако националното му право допуска това, позовавайки се при необходимост на предоставената му информация(76).

133. Както отбелязах по-горе, разглежданото в настоящото дело положение е съвсем различно, тъй като приложимото право е това на държавата членка на надзорния орган, който иска да упражни правомощията си за намеса. В тази хипотеза член 28, параграф 6 от Директива 95/46 трябва да се тълкува в смисъл, че не въвежда задължение за този надзорен орган да иска от надзорния орган на държавата членка, където е установен администраторът, да упражни правомощията си намеса срещу последния.

134. Ще добавя, че в съответствие с предвиденото в член 28, параграф 1, второ изречение от Директива 95/46 надзорният орган, който е компетентен да упражни правомощията си за намеса срещу администратор, установен в държава членка, различна от неговата, разполага с пълна независимост при упражняване на функциите, които са му възложени.

135. Както става ясно от предходните ми съображения, в Директива 95/46 не е предвиден нито принципът на държавата на произход, нито механизмът за „обслужване на едно гише“, посочен в Регламент 2016/679. Следователно администратор, който разполага с обекти в няколко държави членки, подлежи изцяло на контрол от няколко надзорни органа, когато се прилага правото на държавите членки на тези органи. Макар и несъмнено да е желателно тези надзорни органи да съгласуват действията си и да си сътрудничат, нищо не задължава надзорния орган, чиято компетентност е призната, да съобрази становището си с това на друг надзорен орган.

136. Според мен от гореизложеното следва, че член 28, параграфи 1, 3 и 6 от Директива 95/46 трябва да се тълкува в смисъл, че при обстоятелства като разглежданите в главното производство надзорният орган на държавата членка, в която се намира обектът на администратора, има право да упражни самостоятелно правомощията си за намеса по отношение на този администратор и без да е длъжен предварително да поиска от надзорния орган на държавата членка, в която се намира посоченият администратор, да упражни своите правомощия.

III. Заключение

137. С оглед на гореизложените съображения предлагам на Съда да отговори на поставените от Bundesverwaltungsgericht (Федерален върховен административен съд) преюдициални въпроси по следния начин:

„1)      Член 2, буква г) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, изменена с Регламент (ЕО) № 1882/2003 на Европейския парламент и на Съвета от 29 септември 2003 г., трябва да се тълкува в смисъл, че съгласно тази разпоредба за администратор следва да се счита операторът на фенстраница в социална мрежа като Facebook, що се отнася до етапа на обработване на лични данни, състоящ се в събирането от тази социална мрежа на данни относно лицата, които консултират тази страница, с оглед на изготвянето на статистически данни за посетителите на посочената страница.

2)      Член 4, параграф 1, буква а) от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че обработване на лични данни като разглежданото в главното производство, се извършва в контекста на дейностите на установен на територията на държава членка обект на администратора по смисъла на посочената разпоредба, когато предприятието, което управлява социална мрежа, създава в тази държава членка дъщерно дружество, чието предназначение е да осигури рекламирането и продажбата на рекламните пространства, предлагани от това предприятие, и чиято дейност е насочена към лицата, живеещи в тази държава членка.

3)      В положение като разглежданото в главното производство, при което към съответното обработване на лични данни се прилага националното право на държавата членка на надзорния орган, член 28, параграфи 1, 3 и 6 от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че този надзорен орган може да упражнява всички възложени му в съответствие с член 28, параграф 3 от посочената директива ефективни правомощия за намеса по отношение на администратора, включително когато администраторът е установен в друга държава членка или пък в трета държава.

4)      Член 28, параграфи 1, 3 и 6 от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че при обстоятелства като разглежданите в главното производство надзорният орган на държавата членка, в която се намира обектът на администратора, има право да упражнява самостоятелно правомощията си за намеса по отношение на този администратор и без да е длъжен предварително да поиска от надзорния орган на държавата членка, в която се намира посоченият администратор, да упражни своите правомощия“.


1      Език на оригиналния текст: френски.


2      ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10.


3      ОВ L 284, 2003 г., стр. 1; Специално издание на български език, 2007 г., глава 1, том 4, стр. 213, наричана по-нататък „Директива 95/46“.


4      Наричана по-нататък „работната група по член 29“.


5      Наричано по-нататък „Становище 2/2010“.


6      Становище 2/2010, стр. 5.


7      Становище 2/2010, стр. 7. Съгласно изложените от работната група по член 29 в това становище обяснения „[о]бикновено тези технологии работят по следния начин: доставчикът на мрежата, предоставяща реклама, записва „проследяваща бисквитка“ на крайното оборудване на субекта на данни, когато той за първи път осъществява достъп до уебсайт, който обслужва реклама от неговата мрежа. „Бисквитката“ е кратък буквено-цифров текст, който се запаметява (и по-късно се чете) от доставчика на мрежата върху крайното оборудване на субекта на данни. В контекста на поведенческата реклама „бисквитката“ позволява на доставчика на мрежата, предоставяща реклама, да разпознае предишен посетител, който отново посещава уебсайта или посещава друг уебсайт, който е партньор на рекламната мрежа. Тези многократни посещения позволяват на доставчика на мрежата, предоставяща реклама, да създаде профил на посетителя, който да се използва за изпращане на реклами според личните предпочитания“.


8      Становище 1/2010 на работната група по член 29 относно понятията „администратор на лични данни“ и „лице, което обработва данните“, прието на 16 февруари 2010 г., наричано по-нататък „Становище 1/2010“, стр. 27.


9      Така например на 11 септември 2017 г. Agencia española de protección de datos (испанската Агенция за защита на данните) е обявила, че налага глоба в размер на 1,2 милиона евро на Facebook Inc. Преди това, на 27 април 2017 г. Commission nationale de l’informatique et des libertés (Националната комисия по въпросите на информатиката и свободите, CNIL, Франция) приема решение срещу дружествата Facebook Inc. и Facebook Ireland, като при условията на солидарна отговорност им налага имуществена санкция в размер на 150 000 EUR.


10      Член 38, параграф 5 от BDSG гласи следното:


      „За да се гарантира спазването на настоящия закон и на други разпореди относно защитата на данните, надзорният орган може да разпореди мерки, целящи отстраняване на констатираните нарушения във връзка със събирането, обработването или използването на лични данни или във връзка с технически и организационни нередности. В случай на сериозни нарушения или нередности, по-специално когато те представляват конкретна опасност да бъде нарушено правото на личен живот, органът може да забрани събирането, обработването или използването на данните, както и прибягването до определени процедури, когато нарушенията или нередностите не са своевременно отстранени в нарушение на разпореждането, посочено в първото изречение, и въпреки налагането на периодична имуществена санкция. Той може да поиска отстраняване на лицето, отговарящо за защита на данните, ако последният не притежава необходимите експертни знания и надеждност за изпълнение на задачите му“.


11      Член 12 от Закона за електронните медии гласи следното:


„(1)      Доставчикът на услуги може да събира и използва лични данни с цел предоставяне на достъп до електронни медии само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, разрешава това или ако ползвателят е дал своето съгласие.


[…]


(3)      Съответните действащи разпоредби за защита на личните данни се прилагат и когато данните не се обработват автоматизирано, освен ако не е предвидено друго“.


12      Тази разпоредба се отнася до обработването на лични данни, извършвано от обработващо личните данни лице.


13      Съгласно тази разпоредба „под отговорна структура се разбира всяко лице или структура, която събира, обработва или използва лични данни за собствена сметка или чрез посредничеството на друго обработващо личните данни лице“.


14      C−131/12, EU:C:2014:317.


15      Точка 60 от това решение.


16      Съгласно определенията, посочени в Становище 1/2010, терминът „цел“ е определен като „очакван изход, който е желан или който ръководи планираните ви действия“, а „средства“ ― като „как се получава един резултат или се постига един изход“ (стр. 15).


17      Така например съгласно член 6, параграф 2 от Директивата администраторът осигурява спазването на принципите, отнасящи се до качеството на данните, които са изброени в член 6, параграф 1 от посочената директива. По силата на членове 10 и 11 от Директива 95/46 администраторът е длъжен да предостави на съответните лица информация за обработването на личните данни. Съгласно член 12 от същата директива правото на достъп на съответните лица се упражнява чрез администратора. Същото се отнася и до правото на възражение, предвидено в член 14 от посочената директива. Съгласно член 23, параграф 1 от Директива 95/46 държавите членки трябва да предвидят, че „всяко лице, което е понесло вреди в резултат на неправомерна операция по обработката или на каквото и да е действие, което е несъвместимо с националните разпоредби, приети съгласно [тази] директива, има право да получи обезщетение от администратора за понесените вреди“. Накрая, спрямо администратора се упражняват ефективни правомощия на намеса от надзорните органи, така както те са предвидени в член 28, параграф 3 от Директива 95/46.


18      C‑131/12, EU:C:2014:317.


19      Вж. в този смисъл решение от 13 май 2014 г., Google Spain и Google (C−131/12, EU:C:2014:317, т. 38 и 83).


20      Вж. по-специално решение от 13 май 2014 г., Google Spain и Google (C−131/12, EU:C:2014:317, т. 34).


21      Становище 1/2010, стр. 11.


22      Така Facebook Ireland посочва, че периодично е въвеждало функции, които са предоставени единствено на съответните физически лица в Съюза и които са адаптирани за тях. В други случаи Facebook Ireland избира да не предлага в Съюза продукти, които се предлагат в Съединените щати от Facebook Inc.


23      Вж. решение от 6 октомври 2015 г., Schrems (C‑362/14, EU:C:2015:650, т. 27).


24      Вж. акта за преюдициално запитване, т. 39.


25      В рамките на настоящото дело от значение е не определянето на целите и средствата на обработването, извършвано след прехвърлянето на Facebook на данните на лицата, които са консултирали дадена фенстраница. Вниманието трябва да се съсредоточи върху разглеждания в случая етап на обработка, а именно събирането на данни на лица, които консултират фенстраница, без последните да са били информирани за това и без да са дали надлежно съгласието си.


26      От условията за използване на Facebook става ясно, че статистическите данни за посетителите позволяват на оператора на фенстраница да има достъп до информация за целевата си аудитория, за да може да направи по-релевантно нейното съдържание по отношение на тази аудитория. Статистическите данни за посетителите предоставят на оператора на фенстраница демографски данни относно неговата целева аудитория, по-конкретно тенденциите във връзка с възрастта, пола, сантименталния живот и професионалното положение, информация относно начина на живот и интересите на неговата целева аудитория и информация относно извършените от неговата целева аудитория покупки, по-конкретно поведението ѝ при онлайн пазаруване, категориите продукти или услуги, от които най-много се интересува, както и географски данни, които позволяват на оператора на фенстраницата да разбере къде да прави специални намаления и да организира събития.


27      Вж. в този смисъл Становище 1/2010, стр. 30.


28      Пак там, стр. 30: „диспропорцията между договорната сила на един дребен администратор на данни в сравнение с тази на доставчиците на услуги не трябва да се разглежда като оправдание за администратора да приема клаузи и договорни условия, които не са в съответствие със законодателство за защита на данните“.


29      C‑131/12, EU:C:2014:317.


30      Решение от 13 май 2014 г., Google Spain и Google (C−131/12, EU:C:2014:317, т. 38 и в този смисъл т. 83).


31      Решение от 13 май 2014 г., Google Spain и Google (C−131/12, EU:C:2014:317, т. 40).


32      Вж. акта за преюдициално запитване, точка 35.


33      Делото все още е висящо пред Съда.


34      Както отбелязва швейцарският орган за защита на личните данни: „[м]акар че, строго погледнато, регистрирането и анализът на данни в повечето случаи се извършват дискретно от доставчика на услугите за проследяване в уебмрежата, лицето, което управлява уебсайта, също носи отговорност. То всъщност интегрира код на доставчик на услуги за проследяване в уебмрежата на своя сайт и така допринася без знанието на интернет потребителя за прехвърляне на данни, инсталиране на „бисквитки“ и събиране на данни в полза на доставчика на услугите по проследяване в уебмрежата“. Вж. „Разяснения относно проследяването в уебмрежата“ на Федералното длъжностно лице, отговарящо за защита на данните и за прозрачността (PFPDT), които са публикувани на следния интернет адрес: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr.


35      Вж. в този смисъл Становище 1/2010, стр. 26.


36      Становище 1/2010, стр. 37.


37      Становище 1/2010, стр. 22.


38      Вж. акта за преюдициално запитване, точка 40.


39      Вж. по-специално решение от 31 януари 2017 г., Lounani (C−573/14, EU:C:2017:71, т. 56 и цитираната съдебна практика).


40      Наричано по-нататък „Становище 8/2010“.


41      Стр. 32 от това становище.


42      Стр. 32 от това становище.


43      Структурата, която групи като Google и Facebook възприемат, за да развиват дейността си по цял свят, усложнява определянето на приложимото национално право, както и идентифицирането на обекта, срещу който засегнатите частноправни субекти, както и надзорните органи могат да предприемат действия. Вж. по тези въпроси Svantesson D. Enforcing Privacy Across Different Jurisdictions. — Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, р. 195—222, р. 216—218.


44      Вж. по-специално решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 25 и цитираната съдебна практика).


45      Вж. по-специално решение от 28 юли 2016 г., Verein für Konsumenteninformation (C−191/15, EU:C:2016:612, т. 75 и цитираната съдебна практика).


46      Вж. решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 29).


47      Вж. по-специално решение от 28 юли 2016 г., Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, т. 77 и цитираната съдебна практика).


48      Вж. решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 29).


49      Вж. по-специално решение от 28 юли 2016 г., Verein für Konsumenteninformation (C−191/15, EU:C:2016:612, т. 78 и цитираната съдебна практика).


50      Стр. 33 от Становище 8/2010. Вж. също в този смисъл стр. 17 от това становище.


51      C−131/12, EU:C:2014:317.


52      Точка 55 от това решение.


53      Точка 56 от посоченото решение.


54      Точка 57 от същото решение.


55      Вж. в този смисъл Становище 5/2009 от 12 юни 2009 г. относно социалните мрежи онлайн на работната група по член 29, стр. 5.


56      C−131/12, EU:C:2014:317.


57      Вж. по-специално Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain на работната група по член 29, 16 декември 2015 г., стр. 6 и 7.


58      Вж., в посока на възможното прилагане на няколко национални законодателства, Становище 8/2010: „използваната дума „клон“ означава, че приложимостта на правото на държава членка се задейства от местоположението на клон на администратора в тази държава членка и че законите на други държави членки могат да бъдат задействани от местоположението на други клонове на този администратор в тези държави членки“ (стр. 33).


59      C‑191/15, EU:C:2016:612.


60      Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46 (ОВ L 119, 2016 г., стр. 1).


61      Вж. във връзка с това Hawkes, B. The Irish DPA and Its Approach to Data Protection. — Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016 г., р. 441‑454, р. 450, nt. 11. Така авторът посочва, че „[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase“the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State“. The DPC, in its audit report, stated that: „it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this“should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU“.


62      C−131/12, EU:C:2014:317.


63      Изхождайки от сходна логика, вж. Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 май 2017 г., в което тези органи установяват следното: „[…] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice […], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are ‘inextricably linked’ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC“.


64      Вж. решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 49).


65      C−230/14, EU:C:2015:639.


66      Вж. решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 42).


67      Вж. решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 43).


68      Вж. решение от 1 октомври 2015, Weltimmo (C−230/14, EU:C:2015:639, т. 55).


69      Вж. решение от 1 октомври 2015 г., Weltimmo (C−230/14, EU:C:2015:639, т. 57).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      Вж. по този въпрос точка 44 от настоящото заключение.


73      Вж. също точки 73—77 от настоящото заключение.


74      C‑230/14, EU:C:2015:639.


75      Решение от 1 октомври 2015 г., Weltimmo (C‑230/14, EU:C:2015:639, т. 60).


76      Решение от 1 октомври 2015 г., Weltimmo (C‑230/14, EU:C:2015:639, т. 57).