Návrh na začatie prejudiciálneho konania, ktorý podal Oberlandesgericht Düsseldorf (Nemecko) 22. apríla 2021 – Facebook Inc. A i./Bundeskartellamt
(vec C-252/21)
Jazyk konania: nemčina
Vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania
Oberlandesgericht Düsseldorf
Účastníci konania pred vnútroštátnym súdom
Sťažovateľky: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH
Odporca v konaní o sťažnosti: Bundeskartellamt
Vedľajší účastník konania: Verbraucherzentrale Bundesverband e.V.
Prejudiciálne otázky
1. a) Je v súlade s článkom 51 a nasl. GDPR1 , ak vnútroštátny orgán pre hospodársku súťaž členského štátu, ako je Bundeskartellamt (Spolkový úrad pre hospodársku súťaž, Nemecko), ktorý nie je dozorným orgánom v zmysle článku 51 a nasl. GDPR a v ktorého členskom štáte má podnik usadený mimo Európskej únie prevádzkareň, ktorá podporuje hlavnú prevádzkareň tohto podniku, ktorá sa nachádza v inom členskom štáte a ktorá je výlučne zodpovedná za spracúvanie osobných údajov na celom území Európskej únie, v oblasti reklamy, komunikácie a styku s verejnosťou, a ktorý je poverený dohľadom nad zneužívaním dominantného postavenia podľa predpisov týkajúcich sa hospodárskej súťaže, konštatuje, že zmluvné podmienky hlavnej prevádzkarne týkajúce sa spracúvania údajov a ich vykonávanie sú v rozpore s GDPR, a vydá opatrenie na ukončenie tohto porušenia?
b) V prípade kladnej odpovede: Je v súlade s článkom 4 ods. 3 ZEÚ, ak vedúci dozorný orgán v členskom štáte, v ktorom sa nachádza hlavná prevádzkareň, v zmysle článku 56 ods. 1 GDPR súčasne prešetruje jej zmluvné podmienky týkajúce sa spracúvania údajov?
V prípade kladnej odpovede na otázku 1:
2. a) Ak používateľ internetu buď len otvorí webové stránky alebo aplikácie, ktoré súvisia s kritériami uvedenými v článku 9 ods. 1 GDPR, ako sú napríklad flirtovacie aplikácie, homosexuálne zoznamovacie aplikácie, webové stránky politických strán, webové stránky týkajúce sa zdravia, alebo na týchto stránkach, resp. v týchto aplikáciách tiež zadá údaje, napríklad pri registrácii alebo objednávkach, a iný podnik, ako je Facebook Ireland, prostredníctvom rozhraní zabudovaných do týchto webových stránok a aplikácií, ako sú „Facebook Business Tools“, alebo prostredníctvom súborov cookie alebo podobných technológií ukladania, ktoré sú umiestnené na počítači alebo mobilnom koncovom zariadení používateľa internetu, zhromažďuje údaje o otvorení týchto webových stránok a aplikácií používateľom a o údajoch, ktoré na nich, resp. v nich používateľ zadal, spája ich s údajmi z účtu používateľa v sieti Facebook.com a používa ich, je toto zhromažďovanie a/alebo spájanie a/alebo používanie spracúvaním citlivých údajov v zmysle tohto ustanovenia?
b) V prípade kladnej odpovede: Predstavuje otvorenie týchto webových stránok a aplikácií a/alebo zadanie údajov a/alebo kliknutie na tlačidlá zabudované do týchto webových stránok alebo aplikácií („sociálne pluginy“ ako „Páči sa mi to“, „Zdieľať“ alebo „Facebook Login“ alebo „Account Kit“) poskytovateľa, ako je Facebook Ireland, zjavné zverejnenie údajov o otvorení ako také a/alebo údajov zadaných používateľom v zmysle článku 9 ods. 2 písm. e) GDPR?
3. Môže sa podnik, ako je Facebook Ireland, ktorý prevádzkuje digitálnu sociálnu sieť financovanú z reklamy a vo svojich Podmienkach služby ponúka prispôsobovanie obsahu a reklamy, bezpečnosť siete, zlepšovanie produktov a konzistentné a plynulé používanie všetkých produktov skupiny, odvolávať na dôvod týkajúci sa nevyhnutnosti na plnenie zmluvy podľa článku 6 ods. 1 písm. b) GDPR alebo na dôvod týkajúci sa oprávnených záujmov podľa článku 6 ods. 1 písm. f) GDPR, ak na tieto účely zhromažďuje údaje z iných služieb skupiny a z externých webových stránok a aplikácií prostredníctvom rozhraní, ktoré sú do nich zabudované, ako sú „Facebook Business Tools“, alebo prostredníctvom súborov cookie alebo podobných technológií ukladania, ktoré sú umiestnené na počítači alebo mobilnom koncovom zariadení používateľa internetu, spája ich s účtom používateľa v sieti Facebook.com a používa ich?
4. Môžu v takom prípade
– neplnoletosť používateľov na účely prispôsobovania obsahu a reklamy, vylepšovania produktov, bezpečnosti siete a nemarketingovej komunikácie s používateľom,
– poskytovanie meraní, analytiky a iných biznisových služieb inzerentom, vývojárom a iným partnerom, aby mohli vyhodnotiť a zlepšovať svoje služby,
– poskytovanie marketingovej komunikácie s používateľom, aby podnik mohol zlepšovať svoje produkty a realizovať priamy marketing,
– výskum a inovácie pre blaho spoločnosti na účely podporovania najmodernejších alebo akademických poznatkov v oblasti dôležitých sociálnych záležitostí s cieľom pozitívne ovplyvniť spoločnosť a svet,
– zdieľanie informácií s orgánmi presadzovania práva a reagovanie na oprávnené žiadosti s cieľom predchádzať trestným činom, nepovolenému používaniu, porušeniam podmienok a zásad alebo inej škodlivej činnosti a riešiť ich,
tiež predstavovať oprávnené záujmy v zmysle článku 6 ods. 1 písm. f) GDPR, ak podnik na tieto účely zhromažďuje údaje z iných služieb skupiny a z externých webových stránok a aplikácií prostredníctvom rozhraní, ktoré sú do nich zabudované, ako sú „Facebook Business Tools“, alebo prostredníctvom súborov cookie alebo podobných technológií ukladania, ktoré sú umiestnené na počítači alebo mobilnom koncovom zariadení používateľa internetu, spája ich s účtom používateľa v sieti Facebook.com a používa ich?
5. Môže byť v takom prípade zhromažďovanie údajov z iných služieb skupiny a z externých webových stránok a aplikácií prostredníctvom rozhraní, ktoré sú do nich zabudované, ako sú „Facebook Business Tools“, alebo prostredníctvom súborov cookie alebo podobných technológií ukladania, ktoré sú umiestnené na počítači alebo mobilnom koncovom zariadení používateľa internetu, ich spájanie s účtom používateľa v sieti Facebook.com a ich používanie alebo používanie už inak zákonne zhromaždených a spojených údajov v konkrétnom prípade, odôvodnené aj podľa článku 6 ods. 1 písm. c), d) a e) GDPR, napríklad na odpovedanie na oprávnenú žiadosť o určité údaje [písmeno c)], na zamedzenie škodlivému správaniu a na podporu bezpečnosti [písmeno d)], na výskum pre blaho spoločnosti a na presadzovanie bezpečnosti, integrity a zabezpečenia [písmeno e)]?
6. Možno podniku s dominantným postavením na trhu, ako je Facebook Ireland, udeliť účinný súhlas v zmysle článku 6 ods. 1 písm. a) a článku 9 ods. 2 písm. a) GDPR, ktorý je najmä podľa článku 4 bodu 11 GDPR daný slobodne?
V prípade zápornej odpovede na otázku 1:
7. a) Môže vnútroštátny orgán pre hospodársku súťaž členského štátu, ako je Spolkový úrad pre hospodársku súťaž, ktorý nie je dozorným orgánom v zmysle článku 51 a nasl. GDPR a ktorý prešetruje porušenie zákazu zneužitia podľa predpisov týkajúcich sa hospodárskej súťaže zo strany podniku s dominantným postavením na trhu, ktoré nespočíva v rozpore jeho podmienok spracúvania údajov a ich vykonávania s GDPR, napríklad v rámci zváženia záujmov dospieť k zisteniam týkajúcim sa otázky, či sú podmienky spracúvania údajov tohto podniku a ich vykonávanie v súlade s GDPR?
b) V prípade kladnej odpovede: Platí to so zreteľom na článok 4 ods. 3 ZEÚ aj vtedy, keď vedúci dozorný orgán, ktorý je príslušný podľa článku 56 ods. 1 GDPR, súčasne prešetruje podmienky tohto podniku týkajúce sa spracúvania údajov?
V prípade kladnej odpovede na otázku 7 je potrebné odpovedať na otázky 3 až 5, pokiaľ ide o údaje z používania služby skupiny s názvom Instagram.
____________
1 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ 2016, L 119, S. 1).