SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
MICHALA BOBKA,
predstavljeni 19. decembra 2018(1)
Zadeva C‑40/17
Fashion ID GmbH & Co.KG
proti
Verbraucherzentrale NRW e.V.
ob udeležbi
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija))
„Predhodno odločanje – Direktiva 95/46/ES – Varstvo osebnih podatkov uporabnikov spletnih strani – Procesno upravičenje združenja za varstvo potrošnikov – Odgovornost upravljavca spletne strani – Posredovanje osebnih podatkov tretji osebi – Vstavljeni vtičnik – Facebookov gumb za všečkanje – Zakoniti interesi – Privolitev posameznika, na katerega se nanašajo osebni podatki – Obveznost zagotovitve informacij“
I. Uvod
1. Družba Fashion ID GmbH & Co. KG je spletni trgovec z modnimi artikli. V svojo spletno stran je vstavila vtičnik, in sicer Facebookov gumb za všečkanje. To pomeni, da se, ko uporabnik pride na spletno stran družbe Fashion ID, informacije o njegovem naslovu IP in identifikacijskem nizu brskalnika posredujejo Facebooku. To posredovanje se izvede samodejno, ko se naloži spletna stran družbe Fashion ID, ne glede na to, ali uporabnik klikne na gumb za všečkanje in ali ima račun pri Facebooku ali ne.
2. Verbraucherzentrale NRW e. V., nemško združenje za varstvo potrošnikov, je zoper družbo Fashion ID vložilo opustitveno tožbo z obrazložitvijo, da se z uporabo tega vtičnika krši zakonodaja o varstvu podatkov.
3. Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija), ki mu je bila zadeva predložena v odločanje, sprašuje, kako razlagati več določb Direktive 95/46/ES (v nadaljevanju: Direktiva 95/46).(2) Predhodni vidik, v zvezi s katerim se sprašuje predložitveno sodišče, je, ali navedena direktiva dopušča možnost, da se z nacionalno zakonodajo potrošniškemu združenju dovoli vložitev tožbe, kakršna je ta iz obravnavane zadeve. Glede bistvenega vidika pa je ključno postavljeno vprašanje to, ali je treba družbo Fashion ID z vidika obdelave podatkov, ki se opravi, opredeliti kot „upravljavca“ in – če je tako – kako točno je treba v takem primeru izpolniti posamezne obveznosti, naložene z Direktivo 95/46. Čigave zakonite interese je treba upoštevati pri tehtanju, ki se zahteva na podlagi člena 7(f) Direktive 95/46? Ali je družbi Fashion ID naložena obveznost zagotovitve informacij posameznikom, na katere se nanašajo osebni podatki? In ali mora tudi ta družba v zvezi s tem pridobiti informirano privolitev zadevnih posameznikov?
II. Pravni okvir
A. Pravo EU
Direktiva 95/46
4. Namen Direktive 95/46 je določen v členu 1. Člen 1(1) določa: „[…] [D]ržave članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.“ V skladu s členom 1(2) „[d]ržave članice ne omejujejo niti ne prepovedujejo prostega prenosa osebnih podatkov med državami članicami zaradi razlogov, povezanih z varstvom, ki je zagotovljeno na podlagi odstavka 1“.
5. Člen 2 vsebuje te opredelitve:
„(a) ‚osebni podatek‘ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (‚posameznik, na katerega se nanašajo osebni podatki‘); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;
(b) ‚obdelava osebnih podatkov‘ (‚obdelava‘) pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;
[…]
(d) ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa nacionalna zakonodaja ali zakonodaja Skupnosti, lahko upravljavca ali posebna merila za njegovo imenovanje določi nacionalna zakonodaja ali zakonodaja Skupnosti;
[…]
(h) ,privolitev posameznika, na katerega se nanašajo osebni podatki‘ pomeni vsako prostovoljno dano posebno in informirano izjavo volje, s katero posameznik, na katerega se osebni podatki nanašajo, izrazi soglasje, da se osebni podatki o njem obdelujejo.“
6. Člen 7 določa merila, ki morajo biti izpolnjena, da je obdelava podatkov zakonita: „Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:
(a) je posameznik, na katerega se osebni podatki nanašajo, nedvoumno dal svojo privolitev; ali
[…]
(f) je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1).“
7. Člen 10 določa najmanjši nabor informacij, ki morajo biti zagotovljene posamezniku:
„Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:
(a) istovetnost upravljavca ali njegovega predstavnika, če obstaja;
(b) namene obdelave podatkov;
(c) vse nadaljnje informacije, npr.
– prejemnike ali vrste prejemnikov podatkov,
– ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice, če ne odgovori,
– obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,
kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.“
8. Poglavje III Direktive 95/46 se nanaša na pravna sredstva, odgovornost in sankcije. Členi od 22 do 24 tega poglavja določajo:
„Člen 22
Pravna sredstva
Brez poseganja v upravnopravna pravna sredstva pred predložitvijo zadeve sodnemu organu, ki jih je možno med drugim predvideti pred nadzornim organom iz člena 28, države članice zagotovijo, da ima vsaka oseba v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo, pravico vložiti pravno sredstvo na sodišču.
Člen 23
Odgovornost
1. Države članice določijo, da je katera koli oseba, ki je utrpela škodo kot posledico nezakonitega postopka obdelave ali katerega koli dejanja, ki je nezdružljivo z nacionalnimi določbami, sprejetimi v skladu s to direktivo, upravičena od upravljavca zahtevati odškodnino za to škodo.
Upravljavec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.
Člen 24
Sankcije
Države članice sprejmejo ustrezne ukrepe za zagotovitev popolne izvedbe določb te direktive in predvsem določijo sankcije, ki se naložijo ob kršitvi določb, sprejetih v skladu s to direktivo.“
B. Nemško pravo
Gesetz gegen den unlauteren Wettbewerb
9. Člen 3(1) Gesetz gegen den unlauteren Wettbewerb (zakon o preprečevanju nelojalne konkurence, v nadaljevanju: UWG) določa, da je vsako nelojalno poslovno ravnanje prepovedano.
10. Člen 8(1) in (3), točka 3, UWG določa, da je zoper vsakogar, čigar poslovno ravnanje je prepovedano, mogoče vložiti tožbo za odpravo posledic prepovedanega ravnanja ali opustitveno tožbo, ki jo vložijo „kvalificirani subjekti“, vneseni na seznam iz Unterlassungsklagengesetz (zakon o opustitvenih tožbah) ali seznam Evropske komisije iz člena 4(3) Direktive 2009/22/ES o opustitvenih tožbah zaradi varstva interesov potrošnikov.(3)
Unterlassungsklagengesetz
11. Člen 2(1) in (2), točka 11, Unterlassungsklagengesetz (zakon o opustitvenih tožbah) določa:
„(1) Zoper vsakega, ki kako drugače kot z uporabo ali priporočanjem splošnih poslovnih pogojev krši določbe za varstvo potrošnikov (zakoni o varstvu potrošnikov), je v interesu varstva potrošnikov mogoče vložiti opustitveno tožbo in tožbo za odpravo posledic te kršitve.
(2) ‚Zakoni o varstvu potrošnikov‘ v smislu tega člena so zlasti:
[…]
11. določbe o dopustnosti
(a) zbiranja osebnih podatkov potrošnika s strani podjetnika ali
(b) obdelave ali uporabe s strani podjetnika osebnih podatkov, ki so bili zbrani v zvezi s potrošnikom,
če so podatki obdelani ali uporabljeni za oglaševanje, tržne in mnenjske raziskave, izvajanje dejavnosti zbiranja informacij, izdelavo osebnostnih in uporabniških profilov, trgovanje z naslovi, druge vrste trgovanja s podatki ali za primerljive poslovne namene.“
Telemediengesetz
12. Člen 2(1) Telemediengesetz (zakon o elektronskih medijih, v nadaljevanju: TMG) določa:
„V smislu tega zakona
1. je ponudnik storitev vsaka fizična ali pravna oseba, ki ima za uporabo pripravljene lastne ali tuje elektronske medije ali posreduje dostop za uporabo […]“.
13. Člen 12(1) TMG določa: „Ponudnik storitev lahko zaradi dajanja elektronskih medijev na razpolago osebne podatke zbira in uporabi le, če ta zakon ali drug predpis, ki se izrecno nanaša na elektronske medije, to dopušča ali če je uporabnik v to privolil.“
14. Člen 13(1) TMG določa:
„Ponudnik storitev mora uporabnika pred začetkom uporabe na splošno razumljiv način obvestiti o vrsti, obsegu in namenu zbiranja in uporabe osebnih podatkov ter o obdelavi njegovih podatkov v državah zunaj področja uporabe [Direktive 95/46/], če taka obvestitev ni bila že opravljena. V primeru avtomatiziranega procesa, ki omogoča poznejšo identifikacijo uporabnika in s katerim se ustvarijo pogoji za zbiranje ali uporabo osebnih podatkov, mora biti uporabnik obveščen pred začetkom tega procesa. Uporabnik mora vselej imeti možnost znova prikazati vsebino obvestitve.“
15. Člen 15(1) TMG določa:
„Ponudnik lahko osebne podatke uporabnika zbira in uporabi le, če je to potrebno za omogočanje in zaračunavanje uporabe elektronskih medijev (podatki o uporabi). Podatki o uporabi so zlasti
1. podatki, ki omogočajo identifikacijo uporabnika,
2. podatki o začetku in koncu ter obsegu uporabe in
3. podatki o elektronskih medijih, ki jih je uporabnik uporabil.“
III. Dejansko stanje, postopek in vprašanja za predhodno odločanje
16. Družba Fashion ID (v nadaljevanju: tožena stranka) je spletni trgovec. Na svoji spletni strani prodaja modne artikle. V to spletno stran je vstavila vtičnik za všečkanje, ki ga zagotavlja družba Facebook Ireland Limited (v nadaljevanju: družba Facebook Ireland).(4) Zato se na spletni strani tožene stranke prikaže tako imenovani „Facebookov gumb za všečkanje“
17. V predložitveni odločbi je še pojasnjeno, kako deluje (nevidni) del vtičnika: ko obiskovalec pride na spletno stran tožene stranke, na kateri je Facebookov gumb za všečkanje, njegov brskalnik informacije o njegovem naslovu IP in identifikacijskem nizu brskalnika samodejno pošlje družbi Facebook Ireland. Za posredovanje teh informacij ni potreben dejanski klik na navedeni gumb. Zdi se, da iz predložitvene odločbe izhaja še, da družba Facebook Ireland ob obisku spletne strani tožene stranke na uporabnikovo napravo namesti različne piškotke (sejne, datr in fr piškotke).
18. Verbraucherzentrale NRW (v nadaljevanju: tožeča stranka), združenje za varstvo potrošnikov, je zoper toženo stranko vložila tožbo pri Landgericht (deželno sodišče, Nemčija). Tožeča stranka je predlagala, naj se toženi stranki odredi prenehanje vgradnje vtičnika za všečkanje družbenega omrežja Facebook, ker naj ta stranka ne bi:
– „uporabnikov spletne strani do trenutka, ko ponudnik vtičnika začne dostopati do naslova IP [internetnega protokola] in browser string [identifikacijskega niza brskalnika] uporabnika, izrecno in očitno poučila o namenu zbiranja in uporabe tako posredovanih podatkov in/ali
– vsakokrat pridobila predhodnega privoljenja uporabnikov spletne strani za to, da ponudnik vtičnika dostopi do naslova IP in identifikacijskega niza brskalnika, in za uporabo podatkov, in/ali
– uporabnikov, ki so dali svoje privoljenje v smislu drugega tožbenega predloga, obvestila o tem, da lahko privoljenje vselej z učinkom za naprej prekličejo, in/ali
– obvestila: ‚Če ste uporabnik družbenega omrežja in ne želite, da družbeno omrežje prek našega spletnega mesta zbira podatke o vas in jih poveže z vašimi uporabniškimi podatki, shranjenimi pri družbenem omrežju, se morate pred obiskom našega spletnega mesta odjaviti iz družbenega omrežja‘.“
19. Tožeča stranka je trdila, da družba Facebook Inc. ali Facebook Ireland naslov IP in identifikacijski niz brskalnika shrani in poveže s posameznim uporabnikom (z uporabniškim računom ali brez njega). Tožena stranka se v odgovor sklicuje na pomanjkljivo znanje v zvezi s tem. Družba Facebook Ireland trdi, da se naslov IP pretvori v generični naslov IP in shrani zgolj kot tak ter da se povezovanje naslova IP in identifikacijskega niza brskalnika z uporabniškimi računi ne izvaja.
20. Landgericht (deželno sodišče) je v zvezi s prvimi tremi tožbenimi razlogi odločilo zoper toženo stranko. Ta se je pritožila. Tožeča stranka je vložila nasprotno pritožbo v zvezi s četrtim tožbenim razlogom.
21. Ob upoštevanju navedenega dejanskega in pravnega okvira je Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu) Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali ureditev iz členov 22, 23 in 24 Direktive 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) nasprotuje nacionalni ureditvi, s katero je poleg pooblastil za posredovanje, ki jih imajo organi za varstvo podatkov, in pravnih sredstev, ki jih lahko vložijo prizadete osebe, določeno tudi upravičenje nepridobitnih združenj za varstvo interesov potrošnikov, da v primerih kršitev proti kršiteljem začnejo postopek?
Če je odgovor na prvo vprašanje nikalen:
2. Ali je v primeru, kakršen je ta iz obravnavane zadeve, v katerem subjekt v svojo spletno stran vstavi programsko kodo, zaradi katere uporabnikov brskalnik izvede zahtevo za pridobitev vsebin od tretje osebe in tej za ta namen posreduje osebne podatke, ta subjekt ‚upravljavec‘ v smislu člena 2(d) [Direktive 95/46], če sam na ta proces obdelave podatkov nima vpliva?
3. Če je odgovor na drugo vprašanje nikalen: Ali je treba člen 2(d) [Direktive 95/46] o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov razlagati tako, da sta z njim jamstvo in odgovornost izčrpno urejena v tem smislu, da nasprotuje začetku civilnopravnega spora zoper tretjo osebo, ki sicer ni ‚upravljavec‘, vendar povzroči proces obdelave, ne da bi nanj vplivala?
4. Čigavi ‚zakoniti interesi‘ morajo biti v primeru, kakršen je ta iz obravnavane zadeve, odločilni pri tehtanju, ki ga je treba opraviti v skladu s členom 7(f) [Direktive 95/46]? Je to interes za vstavljanje vsebin tretjih oseb ali interes tretje osebe?
5. Komu mora biti v primeru, kakršen je ta iz obravnavane zadeve, dana privolitev, zahtevana v skladu s členoma 7(a) in 2(h) [Direktive 95/46]?
6. Ali ima v položaju, kakršen je ta iz obravnavane zadeve, obveznost zagotovitve informacij iz člena 10 [Direktive 95/46] tudi upravljavec spletne strani, ki je vanjo vstavil vsebino tretje osebe in s tem povzročil obdelavo osebnih podatkov s strani tretje osebe?“
22. Pisna stališča so predložili tožeča stranka, tožena stranka, družba Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (deželni komisar za varstvo podatkov in svobodo obveščanja za Severno Porenje-Vestfalijo, v nadaljevanju: LDI NW), Belgija, nemška, italijanska, avstrijska in poljska vlada ter Komisija. Tožeča stranka, tožena stranka, družba Facebook Ireland, LDI NW, Belgija, Nemčija, Avstrija in Komisija so na obravnavi 6. septembra 2018 ustno podali stališča.
IV. Presoja
23. V teh sklepnih predlogih predlagam odgovor, da Direktiva 95/46 ne nasprotuje nacionalni zakonodaji, s katero je združenju, katerega naloga je varstvo potrošnikov, kakršno je tožeča stranka, podeljeno procesno upravičenje, na podlagi katerega lahko vloži tožbo zoper zatrjevanega kršitelja zakonov o varstvu podatkov (A). Menim še, da je tožena stranka skupaj z družbo Facebook Ireland skupni upravljavec, vendar je njena odgovornost omejena na posebno fazo obdelave podatkov (B). Tretjič, po mojem mnenju tehtanje, določeno s členom 7(f) Direktive 95/46, pomeni, da je treba upoštevati zakonite interese ne le tožene stranke, ampak tudi družbe Facebook Ireland (in seveda tudi pravice posameznikov, na katere se nanašajo osebni podatki) (C). Četrtič, tožena stranka mora pridobiti informirano privolitev posameznika, na katerega se nanašajo osebni podatki, za dano fazo obdelave podatkov. Hkrati mora takemu posamezniku tudi zagotoviti informacije (D).
A. Nacionalna zakonodaja, s katero je združenjem, katerih naloga je varstvo interesov potrošnikov, podeljeno procesno upravičenje
24. Predložitveno sodišče s prvim postavljenim vprašanjem v bistvu sprašuje, ali Direktiva 95/46 nasprotuje nacionalnemu pravilu, na podlagi katerega je združenjem za varstvo interesov potrošnikov dovoljeno, da vložijo tožbo zoper osebo, ki naj bi kršila zakone o varstvu podatkov. V zvezi s tem predložitveno sodišče posebej navaja člene od 22 do 24 Direktive 95/46. Glede tega navaja, da bi bilo zadevno nacionalno zakonodajo mogoče obravnavati kot „ustrezen ukrep“ na podlagi člena 24. Poleg tega še poudarja, da Uredba (EU) 2016/679 (v nadaljevanju: GDPR)(5), ki je nadomestila Direktivo 95/46, zdaj v členu 80(2) združenjem izrecno podeljuje tako pravico.(6)
25. Tožena stranka in družba Facebook Ireland trdita, da Direktiva 95/46 ne omogoča procesnega upravičenja takih združenj, ker ni nobeno tako upravičenje izrecno določeno, pri čemer je po njunem mnenju namen te direktive popolna harmonizacija. Tožena stranka meni, da bi s tem, da bi na ta način dovolili procesno upravičenje, ogrozili samostojnost nadzornih organov, saj bi bili ti izpostavljeni pritisku javnosti.
26. Tožeča stranka, LDI NW in vse vlade, ki so v obravnavani zadevi zavzele stališče, so si enotne, da Direktiva 95/46 ne nasprotuje zadevni zakonodaji.
27. Strinjam se z drugim stališčem.(7)
28. Menim, da je treba najprej opozoriti na (privzeto) temeljno pravilo iz tretjega odstavka člena 288 PDEU, v skladu s katerim „je direktiva za vsako državo članico, na katero je naslovljena, zavezujoča glede cilja, ki ga je treba doseči, vendar prepušča nacionalnim organom izbiro oblike in metod“, ki omogočajo najboljše zagotavljanje rezultata, ki se želi doseči z direktivo.(8)
29. Iz tega izhaja, da imajo države članice za izpolnitev obveznosti na podlagi direktive proste roke za sprejetje kakršnih koli ukrepov, ki so po njihovem mnenju ustrezni, če ti niso izrecno izključeni s samo direktivo ali niso v nasprotju z njenimi cilji.
30. Z besedilom Direktive 95/46 ni izrecno izključena možnost, da se v nacionalni zakonodaji združenjem, katerih naloga ja varstvo pravic potrošnikov, podeli procesno upravičenje.
31. Glede ciljev Direktive 95/46, ti vključujejo „zagot[avljanje] učinkovit[ega] in popoln[ega] varstv[a] temeljnih pravic in svoboščin fizičnih oseb ter predvsem pravice do zasebnosti pri obdelavi osebnih podatkov“.(9) Poleg tega je v uvodni izjavi 10 Direktive 95/46 navedeno, da „približevanje nacionalnih zakonodaj, ki se uporabljajo na tem področju, ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora imeti za cilj zagotovitev visoke ravni varstva v Skupnosti“.(10)
32. Iz predložitvene odločbe je mogoče razbrati, da je Nemčija združenjem, kakršno je tožeča stranka, podelila procesno upravičenje, na podlagi katerega lahko izpodbijajo vse, za kar menijo, da je nezakonita poslovna praksa ali praksa, s katero se kršijo zakoni o varstvu potrošnikov, to pa zajema tudi zakonodajo o varstvu podatkov.
33. V tem okviru mi ni jasno, kako bi bila podelitev takega upravičenja kakor koli v nasprotju s cilji Direktive 95/46 ali bi slabila prizadevanja za uresničitev teh ciljev. Če že, se prej zdi, da se s tem, da se združenjem dovoli tako upravičenje, izboljša tako uresničevanje ciljev in izvajanje Direktive, saj se s tem prek kolektivne tožbe dejansko prispeva h krepitvi pravic posameznikov, na katere se nanašajo osebni podatki.(11)
34. Torej menim, da državam članicam – če to želijo – ni prepovedno, da določijo pravilo, s katerim je združenjem podeljeno procesno upravičenje, kakršno je tisto, na podlagi katerega je tožeči stranki omogočena vložitev zadevne tožbe v postopku v glavni stvari.
35. Ob upoštevanju tega odgovora menim, da je razprava, ki se je razvila v tem postopku in se je osredotočala na vprašanje, ali naj zadevna nacionalna zakonodaja spada na področje uporabe člena 24 Direktive 95/46 kot vrsta „ustreznega ukrepa“ ali pa bi jo bilo mogoče konkretno uvrstiti na področje uporabe člena 22, bolj kot ne odvračanje pozornosti od bistva. Če naj bi države članice direktivo uveljavile s kakršnimi koli sredstvi, ki se jim zdijo primerna, in konkretni način uveljavitve ni prepovedan niti z besedilom niti s ciljem in namenom Direktive, potem je točno določeni člen Direktive, na področje katerega je mogoče uvrstiti posamezni nacionalni ukrep, drugotnega pomena.(12) Ko pa smo že pri tem, naj še dodam, da je mogoče besedno zvezo „ustrezne ukrepe za zagotovitev popolne izvedbe določb te direktive“ iz člena 24 prav gotovo razlagati tako, da vključuje nacionalne določbe, kakršne so tiste iz obravnavane zadeve.
36. Menim, da te splošne ugotovitve nikakor ni mogoče omajati s spodaj navedenimi preudarki, o katerih se je razpravljalo v postopku.
37. Prvič, drži sicer, da Direktive 95/46 ni na seznamu iz Priloge I k Direktivi 2009/22. V zadnjenavedeni so določena pravila o opustitvenih tožbah, ki jih lahko vložijo tako imenovani „kvalificirani subjekti“ za izboljšanje varstva kolektivnih interesov potrošnikov.(13) Na seznamu iz Priloge I je več direktiv, med katerimi pa ni Direktive 95/46.
38. Vendar – kot poudarja nemška vlada – seznama iz Priloge I k Direktivi 2009/22 ni mogoče obravnavati kot izčrpnega v smislu, da bi nasprotoval nacionalni zakonodaji, ki določa še druge opustitvene tožbe v zvezi z upoštevanjem pravil iz direktiv poleg tistih, navedenih v Prilogi I k Direktivi 2009/22. Še toliko bolj bi bilo prej kot ne presenetljivo, če bi tak informativni seznam, vključen v akt sekundarne zakonodaje, nenadoma razlagali, kot da so zaradi njega države članice prikrajšane za s Pogodbo določeno izbiro, kako uveljaviti direktivo.
39. Drugič, naj nadaljujem s trditvijo tožene stranke in družbe Facebook Ireland v zvezi s popolno harmonizacijo, ki naj bi bila izvedena z Direktivo 95/46 in zaradi katere je po njunem mnenju izključena kakršna koli tožba, ki ni izrecno predvidena.
40. Res je, da je Sodišče že večkrat navedlo, da harmonizacija, ki izhaja iz Direktive 95/46, ni omejena na minimalno harmonizacijo, ampak vodi do harmonizacije, ki je „načeloma celovita“.(14) Hkrati pa je bilo tudi priznano, da je z isto direktivo „državam članicam na nekaterih področjih priznan manevrski prostor“, če se zagotovi skladnost z Direktivo 95/46.(15)
41. Kot sem že nakazal drugje,(16) vprašanja, ali obstaja „popolna harmonizacija“ na ravni Unije (v smislu vnaprejšnjega zakonodajnega delovanja, ki bi preprečevalo kakršno koli zakonodajno delovanje držav članic), ni mogoče obravnavati na splošno ob upoštevanju celotnega pravnega področja ali predmeta direktive. Namesto tega je treba presojo opraviti ob upoštevanju vsake posamezne določbe (določenega pravila ali konkretnega vidika) zadevne direktive.
42. Glede posebnih „postopkovnih“ določb Direktive 95/46, ki se obravnavajo v tej zadevi, to je členov od 22 do 24, je njihovo besedilo zelo splošno.(17) Glede na raven splošnosti in abstraktnosti teh določb bi bilo tako dokaj nenavadno trditi, da povzročijo učinek vnaprejšnjega zakonodajnega delovanja, zaradi katerega so izključeni kakršni koli ukrepi, ki jih lahko sprejmejo države članice, vendar niso posebej navedeni v teh členih.(18)
43. Tretjič, druga trditev tožene stranke se je nanašala na ogrozitev samostojnosti nadzornih organov.(19) V zvezi s tem je v bistvu navedla, da bi – če bi potrošniškim združenjem priznali procesno upravičenje – ta združenja vlagala tožbe vzporedno z nadzornim organom in/ali namesto njega, kar bi povzročilo pritisk javnosti in vplivanje na nadzorni organ, to pa bi navsezadnje lahko privedlo do kršitve zahteve po popolni samostojnosti teh organov iz člena 28(1) Direktive.
44. Ta trditev nima nobene teže. Če bi bil tak nadzorni organ že v osnovi resnično samostojen,(20) potem mi podobno kot nemški vladi ni jasno, kako bi lahko tožba, kakršna je tista iz postopka v glavni stvari, ogrozila njegovo samostojnost. Združenje ne more uveljaviti zakona v smislu, da bi njegovo stališče za nadzorni organ postalo zavezujoče. To je v izključni pristojnosti sodišč. Potrošniško združenje lahko zgolj – s tega vidika enako kot kateri koli posamezni potrošnik – vloži tožbo. Torej je trditev, da bi katera koli in vsaka (zasebna) tožba, ki jo vloži posameznik ali potrošniško združenje, pomenila pritisk na organe, katerih naloga je (javno) uveljavljanje zadevnih pravil, in da zato taka tožba ne sme soobstajati vzporedno s sistemom javnega uveljavljanja, tako nenavadna, da ni posebne potrebe po tem, da bi jo še dodatno obravnaval.(21)
45. Četrtič in nazadnje, oglejmo si še trditev, da je treba člen 80(2) GDPR razumeti, kot da je z njim spremenjen (in preobrnjen) predhodni položaj, ker je s tem členom omogočeno nekaj (procesno upravičenje združenj), kar prej ni bilo dovoljeno.
46. Ta trditev ni prepričljiva.
47. Pomembno je spomniti, da se je z GDPR, s katero je bila nadomeščena Direktiva 95/46, narava zakonskega akta, ki vsebuje pravila, spremenila iz direktive v uredbo. Ta sprememba je hkrati pomenila, da je mogoče – v nasprotju z direktivo, kjer lahko države članice prosto izbirajo, kako bodo uveljavile vsebino tega zakonodajnega akta – nacionalna pravila za uveljavitev uredbe načeloma sprejeti le, če je to izrecno dovoljeno.
48. S tega vidika je trditev, da izrecna določba o procesnem upravičenju združenj, ki je zdaj vključena v GDPR, pomeni, da je bilo to upravičenje na podlagi Direktive 95/46 izključeno, sporna. Če bi bilo iz takega vzporejanja že mogoče izpeljati kakršno koli trditev,(22) potem bi bilo to prej nasprotno: če zadnjenavedena direktiva ni nasprotovala določitvi pravil, ki bi omogočala tako upravičenje (na podlagi trditev, ki sem jih predstavil zgoraj), potem bi sprememba pravne oblike iz direktive v uredbo upravičevala vključitev take določbe, da se jasno pokaže, da taka možnost dejansko še naprej obstaja.
49. Ob upoštevanju navedenega je torej moj prvi vmesni predlog ta, da Direktiva 95/46 ne nasprotuje nacionalni zakonodaji, s katero je nepridobitnim združenjem podeljeno procesno upravičenje, na podlagi katerega lahko vložijo tožbo proti zatrjevanemu kršitelju zakonodaje o varstvu podatkov, da se tako zavarujejo interesi potrošnikov.
B. Ali je družba Fashion ID upravljavec?
50. Z drugim vprašanjem predložitveno sodišče sprašuje, ali je treba toženo stranko – ker je v svojo spletno stran vstavila vtičnik, zaradi katerega uporabnikov brskalnik izvede zahtevo za pridobitev vsebine od tretje osebe in tej posreduje osebne podatke – obravnavati kot „upravljavca“ v smislu člena 2(d) Direktive 95/46, tudi če na ta postopek obdelave podatkov ne more vplivati.
51. Glede nezmožnosti vpliva na postopek obdelave podatkov, ki jo predložitveno sodišče navaja v svojem vprašanju, razumem, da se ta v okoliščinah obravnavane zadeve ne nanaša na povzročitev postopka posredovanja teh podatkov (na dejanski ravni je namreč očitno, da tožena stranka ima vpliv, saj je vstavila zadevni vtičnik). Prej se zdi, da se nanaša na morebitno poznejšo obdelavo podatkov, ki jo izvede družba Facebook Ireland.
52. Kot je navedlo predložitveno sodišče, odgovor na njegovo drugo vprašanje vsebuje vidike, ki močno presegajo obravnavano zadevo in družbeno omrežje, ki ga upravlja družba Facebook Ireland. Številne spletne strani vstavljajo raznovrstne vsebine tretjih oseb. Če je treba osebo, kakršna je tožena stranka, opredeliti kot „upravljavca“, (so)odgovornega za kakršno koli (poznejšo) obdelavo, ki se izvede v zvezi z zbranimi podatki, ker je ta upravljavec spletne strani vstavil vsebino tretje osebe, ki omogoča posredovanje takih podatkov, bi imela taka ugotovitev namreč širše posledice za to, kako ravnati z vsebino tretje osebe.
53. Znotraj zgradbe obravnavane zadeve je drugo vprašanje hkrati ključno vprašanje, ki se dotika samega bistva zadeve: kdo in za kaj točno nosi odgovornost v primerih vstavitve vsebine tretje osebe v spletno stran? Prav tako je (ne)natančnost pri odgovoru na to vprašanje tista, ki vpliva na odgovore na nadaljnja vprašanja o zakonitih interesih, privolitvi in obveznosti zagotovitve informacij.
54. V tem oddelku bom najprej podal nekaj uvodnih pripomb v zvezi s pojmom osebnih podatkov, pomembnih za obravnavano zadevo (1). Nato bom predstavil nedavno sodno prakso Sodišča in nakazal, kako bi bilo mogoče odgovoriti na drugo vprašanje, če bi brez nadaljnjih vprašanj uporabili predhodne odločbe Sodišča (2). Zatem bom pojasnil, zakaj bi si bilo morda treba zastaviti dodatna vprašanja in – v okoliščinah obravnavane zadeve – analizo nekoliko izpopolniti (3). Za konec bom za namene opredelitve pojma (skupnega) upravljanja poudaril pomen enotnosti „namenov in sredstev“, ki bi morala obstajati med (skupnimi) upravljavci glede posamezne faze zadevne obdelave osebnih podatkov (postopek obdelave podatkov) (4).
1. Osebni podatki v obravnavani zadevi
55. Spomniti je treba, da je pojem „osebni podatek“ v členu 2(a) Direktive 95/46 opredeljen kot „kater[a] koli informacij[a], ki se nanaša na določeno ali določljivo fizično osebo (posameznik, na katerega se nanašajo osebni podatki)“. V zvezi s tem je v uvodni izjavi 26 iste direktive navedeno, „da bi bilo treba za odločitev o tem, ali je oseba določljiva ali ne, upoštevati vsa sredstva, za katera se pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe“.
56. Sodišče je že pojasnilo, da je naslov IP v določenih okoliščinah lahko osebni podatek.(23) Sodišče je v zvezi s tem tudi navedlo, da za to, da gre za „določljivo osebo“ v smislu člena 2(a) Direktive 95/46, „ni nujno, da zgolj ta informacija omogoči identifikacijo posameznika, na katerega se nanašajo osebni podatki“, in da se torej lahko uporabijo dodatni podatki. Prav tako je navedlo, da „ni nujno, da se vse informacije, ki omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki, znajdejo v rokah samo ene osebe“, če možnost povezovanja zadevnih podatkov „pomeni sredstvo, za katero se razumno pričakuje, da se bo uporabilo za identifikacijo posameznika, na katerega se nanašajo osebni podatki“.(24)
57. Predložitveno sodišče ne razpravlja o tem, ali je naslov IP sam ali v povezavi z identifikacijskim nizom brskalnika, ki se prav tako posreduje, osebni podatek v smislu teh meril. Zdi se, da družba Facebook Ireland to opredelitev izpodbija.(25)
58. Jasno je, da mora tako presojo opraviti nacionalno sodišče. Če naj se informacije opredelijo kot osebne, je na splošno – glede katerega koli vtičnika, ki ga je mogoče vstaviti, ali kakršne koli vsebine tretje osebe – nujno, da ti podatki omogočajo (neposredno ali posredno) identifikacijo posameznika, na katerega se nanašajo osebni podatki. Za namene te zadeve bom kot nesporno štel – kot se zdi, da izhaja iz vprašanj, ki jih je postavilo predložitveno sodišče – da v okoliščinah postopka v glavni stvari naslov IP in identifikacijski niz brskalnika dejansko pomenita osebne podatke in izpolnjujeta merila iz člena 2(a) Direktive 95/46, kot jih je pojasnilo Sodišče.
2. Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?
59. Glede odgovora na drugo vprašanje tožena stranka in družba Facebook Ireland trdita, da tožene stranke ni mogoče obravnavati kot upravljavca, ker nima nobenega vpliva na osebne podatke, ki se bodo obdelovali. Torej naj bi bilo mogoče kot upravljavca opredeliti zgolj družbo Facebook Ireland. Ta družba podredno še trdi, da tožena stranka deluje skupaj z njo kot skupni upravljavec, vendar je odgovornost osebe, kakršna je tožena stranka, omejena na območje njenega dejanskega vpliva.
60. Tožeča stranka, LDI NW, vse vlade, ki so se v obravnavano zadevo vključile kot intervenientke, in Komisija se v bistvu strinjajo s stališčem, da ima pojem „upravljavec“ širok pomen in da vključuje toženo stranko. Vendar se mnenja iz njihovih vlog glede točnega obsega odgovornosti tožene stranke med seboj precej razlikujejo. Razlike se nanašajo na vprašanje, ali bi morala tožena stranka nositi odgovornost skupaj z družbo Facebook Ireland ali ne, ali bi morala biti njuna solidarna odgovornost odgovornost omejena na fazo obdelave osebnih podatkov, pri kateri je tožena stranka dejansko udeležena, in ali bi bilo treba v tem okviru razlikovati med obiskovalci njene spletne strani, ki imajo račun pri Facebooku, in tistimi, ki ga nimajo.
61. Najprej, jasno je, da v skladu s členom 2(d) Direktive 95/46 pojem „upravljavec“ zajema osebo, ki „sam[a] ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov“.(26) Pojem upravljavca se tako lahko nanaša na več akterjev, udeleženih pri obdelavi osebnih podatkov(27), in bi ga bilo treba razlagati široko(28).
62. Sodišče je vprašanje skupnega upravljanja pred kratkim obravnavalo v sodbi Wirtschaftsakademie Schleswig-Holstein.(29) Glede vloge skrbnika strani oboževalcev na Facebooku je Sodišče razsodilo, da je skrbnik skupaj z družbo Facebook Ireland deloval kot upravljavec v smislu člena 2(d) Direktive 95/46. Tako je bilo, ker je skrbnik skupaj z navedeno družbo prispeval k določanju namenov in sredstev obdelave osebnih podatkov obiskovalcev strani oboževalcev.(30)
63. Natančneje, Sodišče je navedlo, da je skrbnik s tem, da je ustvaril zadevno stran oboževalcev, družbi Facebook Ireland „omogoči[l], da namesti piškotke na računalnik ali katero koli drugo napravo osebe, ki je obiskala njegovo stran oboževalcev“, in s tem tudi obdelavo osebnih podatkov.(31) Sodišče je poudarilo, „da to, da se na Facebooku ustvari stran oboževalcev, zajema, da njen skrbnik izbere nastavitve med drugim glede na svojo ciljno javnost in cilje upravljanja oziroma pospeševanja svojih dejavnosti, kar vpliva na obdelavo osebnih podatkov za pripravo statistik, sestavljenih glede na obiske strani obiskovalcev“.(32) Zadevna obdelava je družbi Facebook Ireland omogočila, „da izboljša svoj sistem oglasov“, hkrati pa je skrbnik prek anonimiziranih statističnih podatkov pridobil sredstvo za boljše upravljanje pospeševanja svoje dejavnosti.(33)
64. Sodišče je menilo, da je zadevni skrbnik „z izbiro nastavitev“ sodeloval pri določanju namenov in sredstev obdelave osebnih podatkov obiskovalcev svoje strani oboževalcev. Torej ga je bilo treba obravnavati kot upravljavca, ki je skupaj z družbo Facebook Ireland odgovoren za to obdelavo (s „še pomembnejšo“ odgovornostjo v odnosu do osebnih podatkov oseb, ki niso uporabniki storitev družbe Facebook Ireland).(34)
65. V sodbi Jehovan todistajat(35) je Sodišče izpostavilo še eno pomembno pojasnilo v zvezi s pojmom skupnega upravljavca: za skupen nadzor in solidarno odgovornost ni treba, da ima vsak od upravljavcev nujno dostop do (vseh) zadevnih osebnih podatkov. Tako bi lahko bila verska skupnost skupni upravljavec v primerih, ko sama skupnost očitno ni imela nobenega dostopa do zadevnih zbranih podatkov. V tem primeru so bili posamezni člani skupnosti Jehovih prič tisti, ki so fizično posedovali osebne podatke. Zadostovalo je že to, da je oznanjevanje, med katerim so se osebni podatki očitno zbirali, organizirala, usklajevala in spodbujala ta skupnost.
66. Če preidemo na višjo raven abstrakcije in se osredotočimo le na pojem skupnega upravljanja, se moram strinjati, da je treba ob upoštevanju takih nedavnih sodnih odločitev ugotoviti, da tožena stranka deluje kot upravljavec in je skupaj z družbo Facebook Ireland solidarno odgovorna za obdelavo podatkov.(36)
67. Prvič, zdi se, da je tožena stranka z uporabo zadevnega vtičnika družbi Facebook Ireland omogočila, da pridobi osebne podatke uporabnikov svoje spletne strani.
68. Drugič, zdi se sicer, da tožena stranka – v nasprotju s skrbnikom iz zadeve Wirtschaftsakademie Schleswig-Holstein – ne določa nastavitev nobene informacije o uporabnikih svoje spletne strani, ki bi ji bila vrnjena v anonimizirani ali kakršni koli drugi obliki. Torej je želena „korist“ očitno brezplačno oglaševanje njenih izdelkov, do katere naj bi prišlo, ko se uporabnik njene spletne strani odloči za klik na Facebookov gumb za všečkanje, da bi tako prek svojega računa pri Facebooku delil svoje misli o, denimo, črni svečani obleki. Torej – pri čemer mora dejstva preveriti predložitveno sodišče – uporaba vtičnika toženi stranki omogoča izboljšanje oglaševanja njenih izdelkov, saj lahko tako postanejo opazni na Facebooku.
69. Oziroma z drugega vidika, lahko bi tudi trdili, da tožena stranka (so)določa nastavitve podatkov, ki se zbirajo, že s tem, da v svojo spletno stran vstavi zadevni vtičnik. Nastavitve osebnih podatkov, ki naj se zbirajo, namreč opredeljuje sam vtičnik. Tako je tožena stranka s prostovoljno vstavitvijo tega orodja v svojo spletno stran določila navedene nastavitve v zvezi s katerim koli njenim obiskovalcem.
70. Tretjič in vsekakor, ob upoštevanju sodbe Jehovan todistajat je mogoče skupnega upravljavca še vedno obravnavati kot takega, tudi če sploh ne dostopa do kakršnih koli „plodov skupnega dela“. Torej se dejstvo, da tožena stranka nima dostopa do podatkov, ki jih posreduje naprej Facebooku, ali da v zameno očitno ne prejema nikakršnih prilagojenih ali zbirnih statistik, ne zdi odločilno.
3. Težave: kdo potem ni skupni upravljavec?
71. Ali se bo dejansko varstvo izboljšalo, če se odgovornost za njegovo zagotavljanje naloži vsakomur?
72. V grobem je to globlja moralna in praktična dilema, ki se postavlja z obravnavano zadevo in ki se s pravnega vidika kaže v obsegu opredelitve (skupnega) upravljavca. V razumljivi želji zagotoviti dejansko varstvo osebnih podatkov je bila nedavna sodna praksa Sodišča, glede vprašanja take ali drugačne opredelitve pojma (skupnega) upravljavca, zelo vključujoča. Vendar se Sodišče doslej še ni srečalo s praktičnimi posledicami, ki jih ima tak posplošujoč pristop k opredelitvi za poznejše faze, povezane z natančnimi dolžnostmi in konkretno odgovornostjo oseb, ki se opredelijo kot skupni upravljavci. Ker se z obravnavano zadevo ponuja prav taka priložnost, bi predlagal, naj se izkoristi za izboljšanje natančnosti opredelitev, potrebnih v zvezi s pojmom (skupnega) upravljavca.
a) Obveznost in odgovornost
73. Ob kritičnem pregledu upoštevnega preizkusa za opredelitev „skupnega upravljavca“ se zdi, da je bilo v sodbah Wirtschaftsakademie Schleswig-Holstein in Jehovan todistajat ključno merilo to, da je zadevna oseba „omogočila“ zbiranje in posredovanje osebnih podatkov, pri čemer ima lahko skupni upravljavec nekaj besede pri nastavitvah (ali jih vsaj potrdi z molkom).(37) Če to dejansko drži, potem je kljub temu, da je bila v sodbi Wirtschaftsakademie Schleswig-Holstein(38) v zvezi s tem jasno izražena namera o izključitvi, težko razbrati, kako običajni uporabniki spletne aplikacije (ali aplikacije, ki temelji na spletu) – bodisi družbenega omrežja ali kakršne koli druge platforme za sodelovanje bodisi drugih programov(39) – ne bi prav tako postali skupni upravljavci. Uporabnik običajno vzpostavi svoj račun, pri čemer skrbniku priskrbi nastavitve v zvezi s tem, kako naj bo njegov račun strukturiran ter katere informacije o čem in kom želi prejemati. Poleg tega prek aplikacije povabi še prijatelje, sodelavce in druge, naj delijo informacije v obliki (običajno dokaj občutljivih) osebnih podatkov, s čimer ne le priskrbi podatke v zvezi s temi osebami, ampak jih tudi povabi, naj same sodelujejo, ter tako jasno prispeva k pridobivanju in obdelavi njihovih osebnih podatkov.
74. Dalje, kaj pa drugi udeleženci v tej „verigi osebnih podatkov“? Ali v skrajnem primeru: če je edino upoštevno merilo za skupno upravljanje to, da je nekdo omogočil obdelavo podatkov in s tem prispeval k obdelavi v kateri koli fazi, ali ne bi bil torej tudi ponudnik internetnega dostopa, ki omogoča obdelavo podatkov, ker zagotavlja dostop do interneta, ali celo ponudnik električne energije prav tako skupni upravljavec, ki bi bil lahko solidarno odgovoren za obdelavo osebnih podatkov?
75. Intuitiven odgovor je seveda „ne“. Težava je v tem, da na podlagi široke opredelitve upravljavca doslej ni bila jasno začrtana odgovornost. Nevarnost preširoke opredelitve je, da privede do soodgovornosti številnih oseb za obdelavo osebnih podatkov.
76. Vendar – v nasprotju z zadevami, ki sem jih povzel v predhodnem oddelku – se vprašanja, ki jih je predložitveno sodišče postavilo v obravnavani zadevi, ne zaustavijo pri tem, kako opredeliti „upravljavca“. Z njimi se odpirajo in dodatno obravnavajo povezani vidiki, ki se nanašajo na pripis dejanskih obveznosti, naloženih z Direktivo 95/46. Ti vidiki že sami po sebi razkrivajo težave preveč vključujoče opredelitve upravljavca, zlasti ker ni natančnega pravila v zvezi s tem, kaj točno so posebne dolžnosti in odgovornosti upravljavcev na podlagi Direktive 95/46. To ponazarjajo tudi navedbe zadevnih strani v odgovor na peto in šesto vprašanje, ki se nanašata na točen pripis odgovornosti na podlagi Direktive.
77. Peto vprašanje se v bistvu nanaša na to, kdo in za kakšen namen naj bi pridobil privolitev posameznika, na katerega se nanašajo osebni podatki. Predlagani odgovori na to vprašanje se med seboj precej razlikujejo.
78. Tožeča stranka in LDI NW menita, da mora informirano privolitev posameznika, na katerega se nanašajo osebni podatki, pridobiti tožena stranka, ki se je odločila vstaviti zadevni vtičnik. Tožeča stranka meni, da je to še toliko pomembneje za neuporabnike Facebooka, ki se niso strinjali s splošnimi pogoji tega družbenega omrežja. Tožena stranka meni, da je treba privolitev dati tretji osebi, ki zagotavlja vstavljeno vsebino, torej družbi Facebook Ireland. Družba Facebook Ireland meni, da privolitve ni treba dati posebnemu naslovniku, saj je v Direktivi 95/46 pojasnjeno le, da mora biti ta privolitev prostovoljna, posebna in informirana.
79. Avstrija, Nemčija in Poljska trdijo, da je treba privolitev dati, preden se izvede obdelava podatkov, Avstrija pa še meni, da se mora nanašati tako na zbiranje kot na morebitno posredovanje podatkov. Poljska poudarja, da je treba privolitev dati toženi stranki. Nemčija meni, da ga je treba dati ali toženi stranki ali tretji osebi, ki zagotavlja vstavljeno vsebino (družbi Facebook Ireland), saj sta obe soodgovorni za obdelavo. Tožena stranka mora po njenem mnenju pridobiti zgolj privolitev za posredovanje podatkov tretji osebi, saj v zvezi z vso preostalo obdelavo in uporabo zbranih podatkov ne deluje več kot upravljavec. Vendar naj to še ne bi izključevalo možnosti, da upravljavec spletne strani prejme privolitev v zvezi z obdelavo s strani tretje osebe, kar je lahko urejeno z dogovorom med njima. Italija trdi, da je treba privolitev dati vsem, ki so udeleženi v obdelavi osebnih podatkov, torej toženi stranki in družbi Facebook Ireland. Belgija in Komisija poudarjata, da v Direktivi 95/46 ni natančno določeno, komu je treba dati privolitev.
80. Podobno raznolikost stališč zaznamo glede vprašanja, komu je naložena obveznost zagotovitve informacij na podlagi člena 10 Direktive 95/46 in v zvezi s čim točno, na kar se nanaša šesto vprašanje, ki ga je postavilo predložitveno sodišče.
81. Po mnenju tožeče stranke je upravljavec spletne strani tisti, ki mora posamezniku, na katerega se nanašajo osebni podatki, zagotoviti potrebne informacije. Tožena stranka je trdila nasprotno in poudarila, da je družba Facebook Ireland tista, ki mora zagotoviti informacije, saj tožena stranka z njimi ni natančno seznanjena. Podobno družba Facebook Ireland poudarja, da ji je naložena obveznost zagotovitve informacij, saj je ta obveznost naslovljena le na upravljavca (ali njegovega predstavnika). Glede tega navaja, da je odgovor na šesto vprašanje tesno povezan s tem, ali je upravljavec spletne strani tudi upravljavec. Člen 10 naj bi kazal na to, da upravljavca spletne strani ni primerno opredeliti za upravljavca, saj ni v položaju, da bi lahko zagotovil te informacije. LDI NW meni, da mora te informacije dati upravljavec spletne strani, vendar hkrati priznava, da je težko opredeliti, katere informacije bi bilo treba dati, saj tožena stranka nima nobenega vpliva na obdelavo podatkov, ki jo izvaja družba Facebook Ireland. Prepletanje ciljev obdelave podatkov kaže na to, da bi moral biti upravljavec spletne strani soodgovoren za obdelavo, ki jo je omogočil.
82. Belgija, Italija in Poljska navajajo, da se obveznost zagotovitve informacij uporablja tudi za upravljavca spletne strani, kot je tisti iz obravnavane zadeve, če ga je mogoče opredeliti kot upravljavca. Belgija še dodaja, da je upravljavcu spletne strani lahko naložena tudi obveznost, da preveri namen poznejše obdelave podatkov in sprejme ustrezne ukrepe, da se zagotovi varstvo fizičnih oseb. Nemška vlada trdi, da se obveznost zagotovitve informacij uporablja za upravljavca spletne strani toliko, kolikor je odgovoren za obdelavo, torej za posredovanje podatkov zunanjemu subjektu, ki zagotavlja vstavljeno vsebino, ne pa za vse poznejše postopke obdelave podatkov, za katere je odgovoren ta zunanji subjekt. Avstrija in Komisija obe menita, da morata tako upravljavec spletne strani kot tudi zunanji subjekt, ki zagotavlja navedeno vsebino, zagotoviti informacije na podlagi člena 10 Direktive 95/46.
83. Zunaj okvira vidikov, izpostavljenih v petem in šestem vprašanju, bi lahko še dodali, da bi se podobne konceptualne težave verjetno pojavile tudi pri obravnavi drugih obveznosti, opredeljenih z Direktivo 95/46, kot je pravica dostopa iz člena 12 te direktive. Res je, da je Sodišče v sodbi Wirtschaftsakademie Schleswig-Holstein navedlo, da „Direktiva 95/46 nikakor ne zahteva, da bi moral ob solidarni odgovornosti več subjektov za isto obdelavo vsak od teh subjektov imeti dostop do zadevnih osebnih podatkov“.(40) Vendar je dokaj logično, da upravljavec, ki sam nima dostopa do podatkov, v zvezi s katerimi se kljub temu opredeljuje kot (skupni) upravljavec, tega dostopa ne more zagotoviti nobenemu posamezniku, na katerega se nanašajo osebni podatki (da sploh ne omenjam kakršnih koli nadaljnjih postopkov, na primer popravljanja ali brisanja).
84. Tako v tej fazi konceptualna nejasnost v zgornjem delu razmerja (kdo je upravljavec in točno v zvezi s čim), ki bi lahko v nekaterih primerih privedla do nejasnosti v spodnjem delu razmerja (čigava obveznost je kaj), privede do dejanske nezmožnosti potencialnega skupnega upravljavca, da se ravna v skladu z veljavno zakonodajo.
85. Prav gotovo bi lahko predlagali, da bi bilo treba za točen pripis odgovornosti med (potencialno precej številnimi skupnimi) upravljavci skleniti pogodbe. S tem ne bi bil določen zgolj pripis odgovornosti, ampak bi bila hkrati opredeljena tudi stranka, ki naj izpolni vsako od obveznosti, določenih z Direktivo, vključno s tistimi, ki jih lahko fizično izpolni le ena od strank.
86. Menim, da je tak predlog zelo problematičen. Prvič, glede na množico formalnih, standardnih pogodb, ki bi jih morala podpisati kakršna koli stranka, najverjetneje vključno s številnimi običajnimi uporabniki,(41) je popolnoma nerealističen. Drugič, uporaba veljavne zakonodaje in pripis odgovornosti, ki jo določa, bi se začela pogojevati z zasebnimi dogovori, do katerih tretje osebe, ki bi želele uveljaviti svoje pravice, lahko ne bi imele dostopa.
87. Tretjič, zdi se, da GDPR – s katero se morda delno prejudicirajo nekatera od teh vprašanj – v členu 26 uvaja novo ureditev solidarne odgovornosti. Seveda drži, da se GDPR ratione temporis ni uporabljala za zadeve, o katerih sem razpravljal v tem oddelku, ali za obravnavano zadevo. Vendar – razen če nova zakonodaja vsebuje posebno ali sistemsko odstopanje v zvezi z obstoječimi opredelitvami, kar pa se ne zdi, da bi veljalo za člen 4 GDPR, v katerem so večinoma ohranjeni isti ključni izrazi kot v členu 2 Direktive 95/46 (h katerim je bilo dodanih nekaj novih) – bi bilo dokaj presenetljivo, če bi se razlaga takih ključnih pojmov, vključno s pojmom upravljavca, obdelave ali osebnih podatkov, (brez zelo dobrega razloga) bistveno razlikovala od obstoječe sodne prakse.
88. Če bi bilo kljub vsemu tako, bi lahko tisto, za kar se zdi, da je ureditev solidarne odgovornosti za skupne upravljavce, uvedena s členom 26(3) GDPR, postalo precejšen izziv. Po eni strani je s členom 26(1) GDPR skupnim upravljavcem omogočeno, da „določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti“. Vendar je po drugi strani v členu 26(3) GDPR jasno navedeno, da lahko „posameznik, na katerega se nanašajo osebni podatki, […] uresničuje svoje pravice“ „glede vsakega od upravljavcev in proti vsakemu od njih“, ne glede na kakršen koli tak dogovor. Torej se lahko odgovornost za zadevno obdelavo podatkov uveljavlja zoper katerega koli od skupnih upravljavcev.
b) Širša slika
89. Dolgo je že tega (privrženci neke znanstvenofantastične franšize bi morda želeli pristaviti „v galaksiji daleč, daleč stran“), ko je bilo biti na družbenem omrežju frajersko. Nato je postopoma začelo postajati frajersko to, da nisi na družbenem omrežju. Dandanes se zdi, da je biti na katerem od njih že kaznivo (zato je treba vzpostaviti nove oblike posredne odgovornosti).
90. Ni mogoče zanikati, da se sodne odločitve sprejemajo v razvijajočih se družbenih okoliščinah. Prav gotovo se morajo odzivati na te okoliščine, ne bi jih pa te smele popolnoma obvladovati. Družbeno omrežje – kot katera koli druga aplikacija ali program – je orodje. Podobno kot nož ali avtomobil ga je mogoče uporabljati na več načinov. Prav tako ni nobenega dvoma o tem, da je mogoče njegovo uporabo za napačne namene preganjati. Vendar morda ni najboljša zamisel kaznovati kogar koli in vsakogar, ki je kdaj koli uporabil nož. Običajno se preganja(jo) oseba ali osebe, ki so uporabljale nož, ko je ta povzročil škodo.
91. Tako bi morala obstajati – morda ne vedno popolna, ampak vsaj razumna – soodvisnost med močjo, upravljanjem in odgovornostjo. Sodobno pravo seveda vključuje različne oblike objektivne odgovornosti, ki bodo sprožene zgolj v primeru nastanka nekaterih rezultatov. Vendar so to bolj kot ne utemeljene izjeme. Če se odgovornost brez razumnega pojasnila pripiše nekomu, ki ni imel vpliva na rezultat, bo tak pripis običajno obravnavan kot nerazumen ali nepošten.(42)
92. Poleg tega – in v odgovor na vprašanje, postavljeno na začetku tega oddelka (točka 71) – bi skeptik iz vzhodnejših delov Evropske unije na podlagi svoje zgodovinske izkušnje morda lahko pomislil, da se dejansko varstvo nečesa dramatično zmanjšuje, če je odgovornost zanj naložena vsakomur. Če se odgovornost naloži vsakomur, to pomeni, da ne bo nihče dejansko odgovarjal. Ali drugače, oseba, ki bi morala nositi odgovornost za določen potek dogodkov, torej oseba, ki je dejansko vlekla niti, se bo verjetno skrila za osebe, ki so nominalno „soodgovorne“, s čimer bo dejansko varstvo verjetno precej razvodenelo.
93. Nazadnje, noben dober zakon (ali njegova razlaga) ne bi smel privesti do rezultata, v skladu s katerim osebe, ki jim je namenjen, dejansko ne morejo izpolniti z njim določenih obveznosti. Če naj se torej robustna opredelitev (skupnega) upravljanja ne spremeni v sodno podprto povelje o odklopu, ki se uporablja za vse akterje, in o odpovedi uporabi kakršnih koli družbenih omrežij, vtičnikov in, ko smo že pri tem, potencialno tudi druge vsebine tretjih oseb, potem je treba pri opredelitvi obveznosti in odgovornosti upoštevati resničnost, znova vključno z vprašanji seznanjenosti in resnične pogajalske moči ter zmožnosti vpliva na kakršno koli pripisano dejavnost.(43)
4. Nazaj k (zakonodajnim) koreninam: enotnost namenov in sredstev glede posameznega postopka obdelave
94. Čeprav je Sodišče v sodbi Wirtschaftsakademie Schleswig-Holstein k opredelitvi skupnega upravljanja pristopilo dokaj robustno, je hkrati namignilo na potrebo po omejitvi odgovornosti (skupnega) upravljavca. Natančneje, Sodišče je poudarilo, „da obstoj solidarne odgovornosti ne pomeni nujno enake odgovornosti različnih subjektov, udeleženih pri obdelavi osebnih podatkov. […] [T]i subjekti so lahko udeleženi v različnih fazah te obdelave in v različnih obsegih, tako da je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera“.(44)
95. Medtem ko v zadevi Wirtschaftsakademie Schleswig-Holstein ni bilo nobene potrebe po obravnavi tega posebnega vprašanja, je v obravnavani zadevi, v kateri predložitveno sodišče Sodišču neposredno predlaga, naj potrdi morebitne obveznosti tožene stranke, ki izhajajo iz njenega statusa upravljavca, taka potreba prisotna.
96. Ob upoštevanju na novo uvedenega sistema solidarne odgovornosti iz člena 26 GDPR je morda težko razbrati, kako bi lahko solidarna odgovornost – glede na isti rezultat potencialno (ne)zakonite obdelave osebnih podatkov – pomenila neenako odgovornost. To še zlasti drži ob upoštevanju člena 26(3) GDPR, za katerega se zdi, da se nagiba k skupni (in solidarni) odgovornosti.(45)
97. Vendar menim, da je ključen drugi del navedbe Sodišča, in sicer da so lahko „subjekti […] udeleženi v različnih fazah te obdelave [osebnih podatkov] in v različnih obsegih“. Podkrepitev za tako trditev najdemo v opredelitvah iz Direktive 95/46, zlasti ob upoštevanju opredelitve (i) pojma obdelave iz člena 2(b) in (ii) pojma upravljavca iz člena 2(d).
98. Prvič, pojem obdelave osebnih podatkov vsebuje „kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje“.
99. Čeprav je pojem obdelave – podobno kot pojem upravljavca – dokaj širok,(46) je z njim jasno poudarjeno, da se nanaša na fazo obdelave, saj napotuje na postopek ali niz postopkov z informativnim seznamom tega, kaj bi taki posamezni postopki lahko bili. Po drugi strani je logično, da bi bilo treba vprašanje upravljanja presojati ob upoštevanju zadevnega ločenega postopka, ne pa ob upoštevanju nedoločenega svežnja vsega in česar koli, čemur pravimo obdelava.(47)
100. Drugič, pojem skupnega upravljanja v Direktivi 95/46 ni posebej opredeljen. Vendar je logično, da ta pojem gradi na pojmu upravljavca iz člena 2(d): položaj skupnega upravljanja nastopi, ko dve ali več oseb skupaj določijo sredstva in namene obdelave osebnih podatkov.(48) Povedano drugače, da se dve osebi (ali več takih oseb) opredelita kot skupna upravljavca, mora med njima obstajati enotnost namenov in sredstev obdelave osebnih podatkov.
101. Menim, da bi bilo treba obveznosti in morebitno odgovornost skupnih upravljavcev določiti na podlagi povezave teh dveh opredelitev. (Skupni) upravljavec je odgovoren za postopek ali niz postopkov, za katerega deli namene in sredstva ali soodloča o njih, kolikor gre za dani postopek obdelave. Po drugi strani pa tej osebi ni mogoče naložiti odgovornosti za bodisi predhodne bodisi poznejše faze celotne verige obdelave, v zvezi s katerimi ni bila v položaju, da bi določila ali namene ali sredstva te faze obdelave.
102. V obravnavani zadevi se upoštevna faza (postopkov) obdelave ujema z zbiranjem in posredovanjem osebnih podatkov, do česar pride prek Facebookovega gumba za všečkanje.
103. Prvič, glede sredstev zadevnih postopkov obdelave podatkov se – kot navajajo tožeča stranka, LDI NW in nemška vlada – ne zdi sporno, da tožena stranka odloča o uporabi zadevnega vtičnika, ki služi kot orodje za zbiranje in posredovanje osebnih podatkov. To zbiranje in posredovanje se sproži ob obisku spletne strani tožene stranke. Ta vtičnik je toženi stranki zagotovila družba Facebook Ireland. Torej se zdi, da sta ta družba in tožena stranka prostovoljno povzročili fazo obdelave podatkov, ki zajema zbiranje in posredovanje. Na ravni dejanskega stanja mora to seveda preveriti nacionalno sodišče.
104. Drugič, glede namena obdelave podatkov v predložitveni odločbi niso navedeni razlogi, iz katerih se je tožena stranka odločila, da v svojo spletno stran vstavi Facebookov gumb za všečkanje. Vendar – kar mora preveriti predložitveno sodišče – se zdi, da je bil povod za to odločitev želja po povečanju opaznosti njenih izdelkov prek družbenega omrežja. Hkrati se zdi, da se podatki, posredovani družbi Facebook Ireland, uporabljajo tudi za poslovne namene te družbe.
105. Kljub dejstvu, da konkretna poslovna uporaba podatkov morda ni ista, se zdi, da si tožena stranka in družba Facebook Ireland na splošno prizadevata za uresničitev poslovnih namenov na – kot kaže – vzajemno dopolnjujoč se način. Torej namen sicer ni isti, je pa enoten, to je poslovni in oglaševalski namen.
106. Dejstva iz obravnavane zadeve tako kažejo na to, da tožena stranka in družba Facebook Ireland soodločata o sredstvih in namenih obdelave podatkov v fazi zbiranja in posredovanja zadevnih osebnih podatkov. V tem obsegu tožena stranka deluje kot upravljavec, zato odgovarja – prav tako v tem obsegu – solidarno z družbo Facebook Ireland.
107. Hkrati menim, da je treba odgovornost tožene stranke omejiti na fazo obdelave podatkov, v kateri je udeležena, in da se ta odgovornost ne more razširiti na kakršne koli morebitne poznejše faze obdelave podatkov, če do take obdelave pride zunaj tistega, kar upravlja, in – kot se zdi – tudi brez njene vednosti.
108. Ob upoštevanju navedenega je moj drugi vmesni predloga ta, da je treba osebo, kakršna je tožena stranka, ki je v svojo spletno stran vstavila vtičnik tretje osebe, ki povzroči zbiranje in posredovanje osebnih podatkov uporabnika (pri čemer je navedena tretja oseba zagotovila vtičnik), obravnavati kot upravljavca v smislu člena 2(d) Direktive 95/46. Vendar je (solidarna) odgovornost tega upravljavca omejena na tiste postopke, za katere dejansko soodloča o sredstvih in namenih obdelave osebnih podatkov.
109. K temu je treba dodati, da ta predlog vključuje tudi odgovor na tretje postavljeno vprašanje. S tem vprašanjem se želi predložitveno sodišče v bistvu prepričati, ali Direktiva 95/46 nasprotuje uporabi koncepta „Störer“ („motilec“) za toženo stranko, če bi se izkazalo, da te ni mogoče obravnavati kot upravljavca. Iz predložitvene odločbe je razvidno, da se na podlagi tega koncepta zahteva, da oseba, ki ne krši pravice, vendar je ustvarila ali povečala tveganje, da bo tako kršitev storila tretja oseba, stori vse, kar je razumno in v njeni moči, da prepreči navedeno kršitev. Predložitveno sodišče napeljuje na to, da so – če tožene stranke ni mogoče obravnavati kot upravljavca – izpolnjeni potrebni pogoji za uporabo koncepta „Störer“, saj je tožena stranka z vstavitvijo vtičnika za Facebookov gumb za všečkanje najmanj ustvarila tveganje za kršitev s strani Facebooka.
110. Ob upoštevanju odgovora na drugo vprašanje predložitvenega sodišča tretjega vprašanja ni treba obravnavati. Ko je namreč ugotovljeno, da je treba dano osebo opredeliti kot upravljavca v smislu Direktive 95/46, je treba njene obveznosti v vlogi upravljavca presojati ob upoštevanju obveznosti, opredeljenih s to direktivo. Nasprotna ugotovitev bi privedla do razlik v odgovornosti upravljavcev za določeno kršitev v posameznih državah članicah. V tem smislu in v zvezi z opredelitvijo upravljavca je z Direktivo 95/46 namreč izvedena popolna harmonizacija glede nosilcev opredeljenih obveznosti.(49)
C. Zakoniti interesi, ki jih je treba upoštevati na podlagi člena 7(f) Direktive 95/46
111. Četrto vprašanje, postavljeno v obravnavani zadevi, se nanaša na zakonitost obdelave osebnih podatkov brez privolitve posameznika, na katerega se ti nanašajo, v smislu člena 7(a) Direktive 95/46.
112. V zvezi s tem predložitveno sodišče opozarja na člen 7(f) Direktive 95/46, v skladu s katerim je obdelava osebnih podatkov zakonita, če je „potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo“. Natančneje, predložitveno sodišče se želi prepričati, čigave zakonite interese je treba upoštevati v okoliščinah obravnavane zadeve: interese tožene stranke, ki je vstavila vsebino tretje osebe, ali interese te tretje osebe (torej družbe Facebook Ireland)?(50)
113. Uvodoma je treba pripomniti, da Komisija meni, da je četrto vprašanje ni nebistveno, saj je treba v obravnavanem primeru privolitev uporabnika vsekakor pridobiti na podlagi zakonodaje, s katero je prenesena Direktiva 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (v nadaljevanju: Direktiva o e-zasebnosti).(51)
114. Strinjam se s Komisijo, da se zdi, da se za obravnavani položaj uporablja Direktiva o e-zasebnosti (v členu 1(2) katere je navedeno, da njene določbe podrobno opredeljujejo in dopolnjujejo Direktivo 95/46 na področju elektronskih komunikacij)(52), kolikor pride do namestitve piškotkov na naprave uporabnikov(53). Poleg tega je v členu 2(f) in uvodni izjavi 17 Direktive o e-zasebnosti privolitev opredeljena s sklicem na pojem privolitve iz Direktive 95/46.
115. O tem, ali so bili v zadevi iz postopka v glavni stvari nameščeni piškotki, se je obsežno razpravljalo na obravnavi. Ta pojasnitev dejanskega stanja je naloga nacionalnega sodišča. Vendar v skladu z opisom iz predložitvene odločbe predložitveno sodišče vsekakor meni, da so posredovani podatki osebni podatki.(54) Torej se zdi, da vidik piškotkov ne ponuja odgovora na vsa vprašanja, ki se očitno postavljajo v obravnavani zadevi v zvezi z obdelavo podatkov.(55)
116. Zato menim, da četrto vprašanje zahteva nadaljnjo obravnavo.
117. Tožeča stranka trdi, da je zakoniti interes, ki ga je treba upoštevati, interes tožene stranke. K temu dodaja, da se niti tožena stranka niti družba Facebook Ireland v obravnavani zadevi ne moreta sklicevati na zakoniti interes.
118. Tožena stranka in družba Facebook Ireland v bistvu trdita, da so zakoniti interesi, ki jih je treba upoštevati, interesi osebe, ki vstavi vsebino tretje osebe, in interesi tretje osebe, pri čemer je treba upoštevati interese obiskovalcev spletne strani, katerih temeljne pravice bi lahko bile prizadete.
119. LDI NW, Poljska, Nemčija in Italija menijo, da je treba upoštevati zakonite interese tako tožene stranke kot tudi družbe Facebook Ireland, saj sta obe omogočili zadevno obdelavo. Stališče Avstrije je podobno. Podobno Belgija – z napotilom na sodbo Sodišča Google Spain – poudarja, da so zakoniti interesi, ki jih je treba upoštevati, interesi upravljavca in tretjih oseb, ki so jim bili zadevni osebni podatki posredovani.
120. Za začetek je treba opozoriti, da mora kakršna koli obdelava osebnih podatkov načeloma in med drugimi pogoji izpolnjevati eno od meril iz člena 7 Direktive 95/46, zaradi katerih postane obdelava podatkov zakonita.(56)
121. Posebej glede člena 7(f) je Sodišče opozorilo, da ta določba „določa tri kumulativne pogoje za to, da je obdelava osebnih podatkov zakonita, in sicer, prvič, da si upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, prizadeva za zakonit interes, drugič, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, in tretjič, da ne prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov“.(57)
122. V Direktivi 95/46 ni podana opredelitev zakonitih interesov, niti ti niso našteti. Ta pojem se zdi dokaj prožen in nezaokrožen.(58) Nobena vrsta interesov ni izključena sama po sebi, dokler so ti seveda kot taki zakoniti. Kot se je v bistvu razpravljalo na obravnavi in kot je bilo navedeno zgoraj,(59) se zdi, da gre v obravnavani zadevi za zbiranje in posredovanje osebnih podatkov za namene izboljšanja oglaševanja, čeprav natančni končni poslovni cilji tožene stranke in družbe Facebook Ireland morda niso povsem enaki.
123. Ob upoštevanju navedenega bi se strinjal, da trženje ali oglaševanje samo po sebi lahko pomeni tak zakoniti interes.(60) V okoliščinah obravnavane zadeve je dokaj težko preseči to ugotovitev, saj ni na ravni dejstev onkraj teh splošnih ugotovitev znanega nič določenega o točnih načinih, kako se posredovani in pridobljeni podatki uporabljajo.
124. Vendar predložitveno sodišče ne razpravlja niti ne prosi za napotke o presoji, ki jo je treba opraviti v zvezi s konkretnimi zakonitimi interesi iz postopka v glavni stvari. V četrtem vprašanju se želi zgolj prepričati, čigave zakonite interese bi bilo treba upoštevati, da se omogoči tehtanje na podlagi člena 7(f) Direktive 95/46.
125. Ob upoštevanju odgovora, ki sem ga zgoraj predlagal na drugo vprašanje, menim, da je treba upoštevati zakonite interese tako tožene stranke kot tudi družbe Facebook Ireland, saj v zadevnem postopku obdelave osebnih podatkov obe delujeta kot skupna upravljavca.
126. Ker njun status skupnega upravljavca kaže na to, da si delita tudi cilje obdelave osebnih podatkov, je treba obstoj zakonitega interesa ugotoviti v zvezi z obema od njiju, in sicer vsaj na splošni ravni, kot je bilo pojasnjeno zgoraj. Ta interes je treba nato pretehtati ob upoštevanju pravic posameznikov, na katere se nanašajo osebni podatki, kot je to določeno v zadnjem delu člena 7(f) Direktive 95/46(61), pri čemer je to tehtanje „načeloma odvis[no] od konkretnih okoliščin posameznega primera“(62). Naj spomnim, da mora biti obdelava podatkov v takih okoliščinah pogojena tudi s potrebnostjo.(63)
127. Glede na navedeno je moj tretji vmesni predlog ta, da je treba pri presoji možnosti obdelave osebnih podatkov v skladu s pogoji, določenimi v členu 7(f) Direktive 95/46, upoštevati zakonite interese obeh zadevnih skupnih upravljavcev in jih pretehtati ob upoštevanju pravic posameznikov, na katere se nanašajo osebni podatki.
D. Obveznosti tožene stranke v zvezi s privolitvijo, ki jo mora prejeti od posameznika, na katerega se nanašajo osebni podatki, in informacijami, ki jih mora zagotoviti takemu posamezniku
128. S petim vprašanjem želi predložitveno sodišče opredeliti, komu je treba v okoliščinah obravnavane zadeve dati privolitev, potrebno na podlagi člena 7(a) in člena 2(h) Direktive 95/46.
129. S šestim vprašanjem želi predložitveno sodišče izvedeti, ali se v obravnavanem položaju obveznost zagotovitve informacij v skladu s členom 10 Direktive 95/46 uporablja za upravljavca spletne strani (kakršen je tožena stranka), ki je vstavil vsebino tretje osebe in tako povzročil obdelavo osebnih podatkov s strani te tretje osebe.
130. Kot je bilo navedeno zgoraj,(64) so bili na ti vprašanji predlagani številni odgovori. Vendar postaneta po opredelitvi natančne narave obveznosti v okviru drugega vprašanja, in sicer glede nosilca (kdo) in narave obveznosti (za kaj), ter po razjasnitvi tega vidika v zgornjem delu razmerja jasnejša tudi odgovora na peto in šesto vprašanje, ki se nanašata na nekatere obveznosti v spodnjem delu razmerja.
131. Uvodoma menim, da mora oboje, torej privolitev in zagotovljene informacije, zajemati vse vidike postopka ali postopkov obdelave podatkov, za katere sta skupna upravljavca solidarno odgovorna, torej zbiranje in posredovanje. Nasprotno pa navedeni obveznosti v zvezi s privolitvijo in zagotovitvijo informacij ne segata v poznejše faze obdelave podatkov, v katerih tožena stranka ni udeležena in za katere logično ne določa niti sredstev niti namenov.
132. Drugič, v takih okoliščinah bi lahko kdo predlagal, da se lahko privolitev da kateremu koli od skupnih upravljavcev. Vendar je treba v konkretnem položaju, ki se obravnava, to privolitev dati toženi stranki, saj se postopek obdelave sproži že ob dejanskem obisku njene spletne strani. Očitno je, da učinkovito in pravočasno varstvo pravic posameznikov, na katere se nanašajo osebni podatki, ne bi bilo zagotovljeno, če bi bilo treba to privolitev dati zgolj skupnemu upravljavcu, ki je udeležen pozneje (če je sploh udeležen), in sicer po tem, ko sta se zbiranje in posredovanje že zgodila.
133. Podobno je treba odgovoriti v zvezi z obveznostjo zagotovitve informacij, ki je toženi stranki naložena na podlagi člena 10 Direktive 95/46. V tej določbi je opredeljen minimalni seznam informacij, ki jih mora upravljavec (ali njegov predstavnik) zagotoviti posamezniku, na katerega se nanašajo osebni podatki. Obsega naslednje elemente: identiteto upravljavca (ali njegovega predstavnika), namene obdelave podatkov in vse nadaljnje informacije, če so „potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo“. V členu 10 so navedeni primeri takih nadaljnjih informacij, ki vključujejo – kolikor bi to lahko bilo upoštevno za obravnavano zadevo – informacije o prejemniku podatkov ali o obstoju pravice do dostopa in pravice do popravka podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki.
134. Ob upoštevanju tega seznama se zdi očitno, da je tožena stranka v položaju, da lahko zagotovi informacije o identiteti skupnih upravljavcev, namenu zadevne faze obdelave (postopka ali postopkov, v katerih je skupni upravljavec), pa tudi o tem, da bodo ti podatki posredovani.
135. Nasprotno pa – glede pravice do dostopa in pravice do popravka – po mojem razumevanju tožena stranka sama nima takega dostopa do podatkov, posredovanih družbi Facebook Ireland, saj ni nikakor udeležena pri shranjevanju podatkov. Torej bi bilo denimo mogoče predlagati, naj se to vprašanje uredi s sporazumom z družbo Facebook Ireland.
136. Vendar bi s takimi predlogi – poleg že povedanega zgoraj(65) – znova poskušali razširiti obveznosti in odgovornost (skupnega) upravljavca ali upravljavcev na postopke, za katere niso odgovorni. Če skupno upravljanje pomeni odgovornost za tisti postopek ali postopke, za katere obstaja enotnost namenov in sredstev med upravljavci, potem je logično, da se morajo druge iz tega izhajajoče obveznosti na podlagi Direktive, kot so privolitev, informacije, dostop ali popravek, ujemati s področjem uporabe te izvirne obveznosti.(66)
137. Komisija je na obravnavi pripomnila, da so obiskovalci, ki imajo račun pri Facebooku, morda že prej soglašali s takim posredovanjem. To bi lahko privedlo do več različnih vrst odgovornosti tožene stranke, pri čemer Komisija očitno napeljuje na to, da bi se obveznost tožene stranke, da zagotovi informacije in zahteva privolitev, uporabljala zgolj za neuporabnike Facebooka, ki obiščejo spletno stran tožene stranke.
138. S tem se ne strinjam. Težko sprejmem zamisel, da bi morala v okoliščinah obravnavane zadeve obstajati različna (manj zaščitna) obravnava v zvezi s „uporabniki Facebooka“, ker naj bi ti že sprejeli možnost, da bo Facebook obdelal (kateri koli in vsak) njihov osebni podatek. Taka trditev bi namreč pomenila, da nekdo z odprtjem računa pri Facebooku vnaprej sprejme, da lahko tretja oseba, ne glede na to, kako je povezana s Facebookom, izvede kakršno koli obdelavo podatkov v zvezi s kakršno koli spletno dejavnostjo takih „uporabnikov Facebooka“. To bi veljalo tudi v položaju, ko ni nobenega vidnega znaka o tem, da je prišlo do take obdelave podatkov (kar se zdi, da se zgodi, ko nekdo zgolj obišče spletno stran tožene stranke). Povedano drugače, sprejetje trditve Komisije bi torej pomenilo, da se je uporabnik z odprtjem računa pri Facebooku dejansko odpovedal kakršnemu koli varstvu osebnih podatkov na spletu v odnosu do Facebooka.
139. Torej menim, da bi morali biti odgovornost ter iz nje izhajajoči obveznosti tožene stranke, da pridobi privolitev in zagotovi informacije, enake v odnosu do vseh posameznikov, na katere se nanašajo osebni podatki, ne glede na to, ali imajo račun pri Facebooku ali ne.
140. Dalje, znova je jasno, da je treba navedeno privolitev dati, informacije pa zagotoviti, preden so podatki zbrani in posredovani.(67)
141. Torej je ob upoštevanju navedenega moj zadnji vmesni predlog v odgovor na peto in šesto vprašanje ta, da je treba v položaju, kakršen je tisti iz obravnavane zadeve, privolitev posameznika, na katerega se nanašajo osebni podatki, pridobljeno na podlagi člena 7(a) Direktive 95/46, dati upravljavcu spletne strani, kakršen je tožena stranka, ki je vstavil vsebino tretje osebe. Člen 10 Direktive 95/46 je treba razlagati tako, da se obveznost zagotovitve informacij na podlagi te določbe uporablja tudi za takega upravljavca spletne strani. Privolitev posameznika, na katerega se nanašajo osebni podatki, na podlagi člena 7(a) Direktive 95/46 je treba dati, informacije v smislu člena 10 iste direktive pa zagotoviti, preden se podatki zbirajo in posredujejo. Vendar se mora obseg teh obveznosti ujemati s solidarno odgovornostjo navedenega upravljavca spletne strani za zbiranje in posredovanje osebnih podatkov.
V. Predlog
142. Ob upoštevanju zgornjih preudarkov Sodišču predlagam, naj na vprašanja Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija) odgovori:
– Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ne nasprotuje nacionalni zakonodaji, s katero je nepridobitnim združenjem podeljeno procesno upravičenje, na podlagi katerega lahko vložijo tožbo proti zatrjevanemu kršitelju zakonodaje o varstvu podatkov, da se tako zavarujejo interesi potrošnikov.
– Osebo, ki je v svojo spletno stran vstavila vtičnik tretje osebe, ki povzroči zbiranje in posredovanje osebnih podatkov uporabnika (pri čemer je navedena tretja oseba zagotovila vtičnik), je treba obravnavati kot upravljavca v smislu člena 2(d) Direktive 95/46. Vendar je (solidarna) odgovornost tega upravljavca omejena na tiste postopke, za katere dejansko soodloča o sredstvih in namenih obdelave osebnih podatkov.
– Pri presoji možnosti obdelave osebnih podatkov v skladu s pogoji, določenimi v členu 7(f) Direktive 95/46, je treba upoštevati zakonite interese obeh zadevnih skupnih upravljavcev in jih pretehtati ob upoštevanju pravic posameznikov, na katere se nanašajo osebni podatki.
– Privolitev posameznika, na katerega se nanašajo osebni podatki, pridobljeno na podlagi člena 7(a) Direktive 95/46, je treba dati upravljavcu spletne strani, ki je vstavil vsebino tretje osebe. Člen 10 Direktive 95/46 je treba razlagati tako, da se obveznost zagotovitve informacij na podlagi te določbe uporablja tudi za takega upravljavca spletne strani. Privolitev posameznika, na katerega se nanašajo osebni podatki, na podlagi člena 7(a) Direktive 95/46 je treba dati, informacije v smislu člena 10 iste direktive pa zagotoviti, preden se podatki zbirajo in posredujejo. Vendar se mora obseg teh obveznosti ujemati s solidarno odgovornostjo navedenega upravljavca spletne strani za zbiranje in posredovanje osebnih podatkov.