ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ
MICHAL BOBEK
της 19ης Δεκεμβρίου 2018 (1)
Υπόθεση C‑40/17
Fashion ID GmbH & Co.KG
κατά
Verbraucherzentrale NRW eV
παρισταμένων των:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen
[αίτηση του Oberlandesgericht Düsseldorf
(ανώτερου περιφερειακού δικαστηρίου Ντίσελντορφ, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]
«Προδικαστική παραπομπή – Οδηγία 95/46/ΕΚ – Προστασία δεδομένων προσωπικού χαρακτήρα των χρηστών ιστοσελίδων – Ενεργητική νομιμοποίηση ενώσεως προστασίας των καταναλωτών για την άσκηση αγωγής – Ευθύνη του διαχειριστή ιστοσελίδας – Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτον – Ενσωματωμένο πρόσθετο (plugin) – Επιλογή “μου αρέσει” του Facebook – Έννομα συμφέροντα – Συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα – Καθήκον ενημερώσεως»
I. Εισαγωγή
1. Η Fashion ID GmbH & Co. KG είναι εταιρία που δραστηριοποιείται στο ηλεκτρονικό εμπόριο αντικειμένων μόδας. Στην ιστοσελίδα της έχει ενσωματώσει ένα πρόσθετο («plugin»): την επιλογή «μου αρέσει» του Facebook. Συνεπεία αυτού, κάθε φορά που κάποιος χρήστης επισκέπτεται την ιστοσελίδα της Fashion ID διαβιβάζονται στο Facebook πληροφορίες σχετικά με τη διεύθυνση πρωτοκόλλου διαδικτύου (IP address) και τη συμβολοσειρά του φυλλομετρητή (browser string) αυτού του χρήστη. Η διαβίβαση αυτή εκτελείται αυτομάτως κάθε φορά που φορτώνεται η ιστοσελίδα της Fashion ID, ανεξάρτητα από το εάν ο χρήστης κάνει κλικ στην επιλογή «μου αρέσει» και ανεξάρτητα από το εάν διατηρεί ή όχι λογαριασμό στο Facebook.
2. Η Verbraucherzentrale NRW e.V, μια γερμανική ένωση για την προστασία των καταναλωτών, άσκησε αγωγή παραλείψεως κατά της Fashion ID, για τον λόγο ότι η χρήση του συγκεκριμένου προσθέτου συνιστά παραβίαση της νομοθεσίας για την προστασία δεδομένων.
3. Το δικαστήριο που επελήφθη της υποθέσεως, ήτοι το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ, Γερμανία), ζητεί την ερμηνεία διαφόρων διατάξεων της οδηγίας 95/46/ΕΚ (στο εξής: οδηγία 95/46) (2). Προκαταρκτικώς, το αιτούν δικαστήριο ζητεί να διευκρινιστεί εάν η εν λόγω οδηγία επιτρέπει εθνική νομοθεσία με την οποία αναγνωρίζεται σε ένωση καταναλωτών το δικαίωμα ασκήσεως αγωγής όπως η επίμαχη στην υπό κρίση υπόθεση. Όσον αφορά την ουσία, το βασικό ερώτημα που τίθεται είναι το κατά πόσον η Fashion ID πρέπει να χαρακτηρισθεί «υπεύθυνος της επεξεργασίας» όσον αφορά την πραγματοποιούμενη επεξεργασία δεδομένων και, εάν ναι, με ποιον ακριβώς τρόπο ικανοποιούνται σε αυτήν την υποθετική περίπτωση οι επιμέρους υποχρεώσεις που επιβάλλονται από την οδηγία 95/46. Ποιου προσώπου τα έννομα συμφέροντα πρέπει να λαμβάνονται υπόψη στο πλαίσιο της σταθμίσεως που απαιτείται από το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46; Είναι η Fashion ID υποχρεωμένη να ενημερώνει τα πρόσωπα στα οποία αναφέρονται τα δεδομένα σχετικά με την επεξεργασία; Και, επίσης, πρέπει να παρέχεται στη Fashion ID η εν επιγνώσει συγκατάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα;
II. Νομικό πλαίσιο
1. Δίκαιο της Ένωσης
Οδηγία 95/46
4. Ο σκοπός της οδηγίας 95/46 καθορίζεται στο πρώτο άρθρο της. Η πρώτη παράγραφος αυτού του άρθρου έχει ως εξής: «τα κράτη μέλη εξασφαλίζουν […] την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Κατά τη δεύτερη παράγραφο της ίδιας διατάξεως, «[τ]α κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1».
5. Το άρθρο 2 περιέχει τους ακόλουθους ορισμούς:
«α) “δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (“το πρόσωπο στο οποίο αναφέρονται τα δεδομένα”)· ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη·
β) “επεξεργασία δεδομένων προσωπικού χαρακτήρα” (“επεξεργασία”), κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·
[…]
δ) “υπεύθυνος της επεξεργασίας”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από το εθνικό ή το κοινοτικό δίκαιο·
[…]
η) “συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα”, κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν».
6. Το άρθρο 7 ορίζει τα κριτήρια που πρέπει να πληρούνται για να είναι νόμιμη η επεξεργασία των δεδομένων: «Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:
α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του, ή
[…]
στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1, της παρούσας οδηγίας».
7. Το άρθρο 10 καθορίζει τις ελάχιστες πληροφορίες που πρέπει να παρέχονται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα:
«Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που το αφορούν τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί σχετικά:
α) την ταυτότητα του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του·
β) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα·
γ) οποιαδήποτε περαιτέρω πληροφορία, όπως:
– τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,
– το κατά πόσον η παροχή των δεδομένων είναι υποχρεωτική ή όχι, καθώς και τις ενδεχόμενες συνέπειες της άρνησης παροχής τους,
– την ύπαρξη δικαιώματος πρόσβασης στα συγκεκριμένα δεδομένα και δικαιώματος διόρθωσής τους,
εφόσον οι πληροφορίες αυτές είναι αναγκαίες, λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα».
8. Το κεφάλαιο III της οδηγίας 95/46 αφορά τα ένδικα μέσα, την ευθύνη και τις κυρώσεις. Τα άρθρα 22 έως 24 που περιλαμβάνονται στο εν λόγω κεφάλαιο προβλέπουν τα εξής:
«Άρθρο 22
Προσφυγή
Με την επιφύλαξη ενδεχόμενης άσκησης διοικητικής [προσφυγής], ιδίως ενώπιον της αρχής ελέγχου που αναφέρεται στο άρθρο 28, προτού επιληφθεί δικαστική αρχή, τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία.
Άρθρο 23
Ευθύνη
1. Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο θιγόμενο από αθέμιτη επεξεργασία ή κάθε άλλη ενέργεια που δεν συμβιβάζεται με τις εθνικές διατάξεις εφαρμογής της παρούσας οδηγίας έχει δικαίωμα αποκατάστασης της επελθούσας ζημίας από τον υπεύθυνο της επεξεργασίας.
Ο υπεύθυνος της επεξεργασίας μπορεί να απαλλαγεί της ευθύνης αυτής, εν μέρει ή εν όλω, εάν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός.
Άρθρο 24
Κυρώσεις
Τα κράτη μέλη λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας και προβλέπουν ιδίως κυρώσεις για παράβαση των διατάξεων εφαρμογής της.»
2. Γερμανικό δίκαιο
Gesetz gegen den unlauteren Wettbewerb
9. Το άρθρο 3, παράγραφος 1, του Gesetz gegen den unlauteren Wettbewerb (νόμου περί αθέμιτου ανταγωνισμού, στο εξής: UWG) ορίζει ότι απαγορεύονται οι αθέμιτες εμπορικές πρακτικές.
10. Το άρθρο 8, παράγραφοι 1 και 3, σημείο 3, του UWG ορίζει ότι όποιος προβαίνει σε αθέμιτη εμπορική πρακτική δύναται να εναχθεί προς άρση ή, σε περίπτωση κινδύνου επαναλήψεως της προσβολής στο μέλλον, προς παράλειψη προσβολής από τους νομιμοποιούμενους φορείς που απαριθμούνται στον Unterlassungsklagengesetz (νόμο περί αγωγών παραλείψεως) ή στον κατάλογο που καταρτίζει η Ευρωπαϊκή Επιτροπή κατά το άρθρο 4, παράγραφος 3, της οδηγίας 2009/22/ΕΚ, περί των αγωγών παραλείψεως στον τομέα της προστασίας των συμφερόντων των καταναλωτών (3).
Unterlassungsklagengesetz
11. Το άρθρο 2, παράγραφοι 1 και 2, σημείο 11, του Unterlassungsklagegesetz (νόμου περί αγωγών παραλείψεως) έχει ως εξής:
«(1) Κατά των παραβαινόντων τις διατάξεις για την προστασία των καταναλωτών (νόμοι για την προστασία των καταναλωτών), εξαιρουμένης της εφαρμογής ή της διατυπώσεως γενικών όρων συναλλαγών, είναι δυνατό να ασκηθεί αγωγή επί παραλείψει με σκοπό την προστασία των συμφερόντων των καταναλωτών.
(2) Κατά την έννοια της παρούσας διατάξεως, ως “νόμοι περί προστασίας των καταναλωτών” νοούνται ειδικότερα:
[…]
11. οι διατάξεις που καθορίζουν τις νόμιμες προϋποθέσεις
α) για τη συλλογή δεδομένων προσωπικού χαρακτήρα των καταναλωτών από τους επιχειρηματίες ή
β) για την επεξεργασία ή τη χρήση συλλεγέντων δεδομένων προσωπικού χαρακτήρα καταναλωτών από επιχειρηματίες,
εφόσον τα δεδομένα υπήρξαν αντικείμενο συλλογής, επεξεργασίας ή χρήσεως για σκοπούς διαφημιστικούς, έρευνας αγοράς και δημοσκοπήσεων, λειτουργίας εταιρίας επιχειρηματικής πληροφορήσεως, συντάξεως εκθέσεων προσωπικών χαρακτηριστικών ή χαρακτηριστικών χρήστη, εμπορίας διευθύνσεων, λοιπών περιπτώσεων εμπορίας δεδομένων ή για παρόμοιους εμπορικούς σκοπούς.»
Telemediengesetz
12. Το άρθρο 2, παράγραφος 1, σημείο 1, του Telemediengesetz (νόμου περί τηλεμέσων, στο εξής: TMG) ορίζει τα εξής:
«Για τους σκοπούς του παρόντος νόμου,
1. ως φορέας παροχής υπηρεσιών νοείται κάθε φυσικό ή νομικό πρόσωπο που θέτει στη διάθεση του κοινού δικά του τηλεμέσα ή τηλεμέσα τρίτων ή που παρέχει πρόσβαση για τη χρήση των τηλεμέσων αυτών·[…]·».
13. Το άρθρο 12, παράγραφος 1, του TMG έχει ως εξής: «οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που αφορά ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης».
14. Το άρθρο 13, παράγραφος 1, του TMG ορίζει τα εξής:
«Ο φορέας παροχής των υπηρεσιών οφείλει, κατά την έναρξη της χρήσεως, να ενημερώνει τον χρήστη, με κατανοητό για αυτόν τρόπο, για το είδος, την έκταση και τους σκοπούς της συλλογής και της χρήσεως δεδομένων προσωπικού χαρακτήρα, καθώς και για την επεξεργασία των δεδομένων του σε χώρες που δεν εμπίπτουν στο πεδίο εφαρμογής της [οδηγίας 95/46], εφόσον δεν έχει ήδη προηγηθεί τέτοια ενημέρωση. Στις περιπτώσεις αυτοματοποιημένων διαδικασιών, οι οποίες καθιστούν δυνατή τη μεταγενέστερη εξακρίβωση της ταυτότητας του χρήστη και οι οποίες αποτελούν προπαρασκευαστικό στάδιο για τη συλλογή ή τη χρήση δεδομένων προσωπικού χαρακτήρα, ο χρήστης πρέπει να ενημερώνεται κατά την έναρξη της διαδικασίας αυτής. Ο χρήστης πρέπει να έχει ανά πάσα στιγμή δυνατότητα προσβάσεως στο περιεχόμενο της ενημερώσεως.»
15. Κατά το άρθρο 15, παράγραφος 1, του TMG:
«Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα των χρηστών μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων (δεδομένα χρήσεως). Δεδομένα χρήσεως είναι ιδίως τα εξής:
1. τα στοιχεία για την εξακρίβωση της ταυτότητας του χρήστη,
2. τα δεδομένα για την έναρξη, τη λήξη, καθώς και την έκταση της εκάστοτε χρήσεως και,
3. τα δεδομένα σχετικά με τα τηλεμέσα που χρησιμοποιήθηκαν από τον χρήστη.»
III. Πραγματικά περιστατικά, διαδικασία και προδικαστικά ερωτήματα
16. Η Fashion ID (στο εξής: εναγομένη) είναι επιχείρηση λιανικού εμπορίου. Πωλεί, μέσω της ιστοσελίδας της, είδη μόδας. Η εναγομένη ενσωμάτωσε στην ιστοσελίδα της το πρόσθετο «μου αρέσει» που της είχε παρασχεθεί από τη Facebook Ireland Limited (στο εξής: Facebook Ireland) (4). Ως αποτέλεσμα, στην ιστοσελίδα της εναγομένης εμφανίζεται η λεγόμενη επιλογή «μου αρέσει» του Facebook.
17. Στη διάταξη περί παραπομπής διευκρινίζεται περαιτέρω με ποιον τρόπο λειτουργεί το (μη ορατό) τμήμα του εν λόγω προσθέτου: κάθε φορά που κάποιος χρήστης επισκέπτεται την ιστοσελίδα της εναγομένης στην οποία έχει τοποθετηθεί η επιλογή «μου αρέσει» του Facebook, ο φυλλομετρητής του αποστέλλει αυτομάτως πληροφορίες σχετικά με τη διεύθυνση πρωτοκόλλου διαδικτύου (IP address) και τη συμβολοσειρά του φυλλομετρητή (browser string) στη Facebook Ireland. Η διαβίβαση αυτών των πληροφοριών πραγματοποιείται χωρίς, στην πράξη, να απαιτείται να γίνει κλικ στην επιλογή «μου αρέσει» του Facebook. Επίσης, από τη διάταξη περί παραπομπής συνάγεται ότι, όταν οι χρήστες επισκέπτονται την ιστοσελίδα της εναγομένης, η Facebook Ireland τοποθετεί στις συσκευές τους διαφόρων ειδών «cookies» (session, datr και fr).
18. Η Verbraucherzentrale NRW (στο εξής: ενάγουσα), η οποία είναι ένωση προστασίας των καταναλωτών, άσκησε αγωγή κατά της εναγομένης ενώπιον Landgericht (πρωτοβάθμιου περιφερειακού δικαστηρίου, Γερμανία). Αίτημα της ενάγουσας ήταν η έκδοση διατάξεως με την οποία η εναγομένη θα υποχρεωνόταν να απόσχει από την ενσωμάτωση του προσθέτου ιστοσελίδων κοινωνικής δικτύωσης «μου αρέσει» του Facebook, λόγω του ότι φέρεται ότι:
– «δεν ενημερώνει τους χρήστες της ιστοσελίδας, πριν από το χρονικό σημείο κατά το οποίο ο φορέας παροχής του προσθέτου αρχίζει να αποκτά πρόσβαση στη διεύθυνση πρωτοκόλλου διαδικτύου (IP address) και στη συμβολοσειρά του φυλλομετρητή (browser string) των χρηστών, ρητώς και ευδιακρίτως σχετικά με τον σκοπό της συλλογής και της χρήσεως των δεδομένων που μεταδίδονται με τον τρόπο αυτόν, και/ή
– δεν λαμβάνει τη συγκατάθεση των χρηστών της ιστοσελίδας όσον αφορά την πρόσβαση του φορέα παροχής του προσθέτου στη διεύθυνση πρωτοκόλλου διαδικτύου και στη συμβολοσειρά του φυλλομετρητή, καθώς και όσον αφορά τη χρήση των δεδομένων, σε κάθε δε περίπτωση προτού παρασχεθεί η πρόσβαση, και/ή
– δεν πληροφορεί τους χρήστες, οι οποίοι έχουν παράσχει τη συγκατάθεσή τους κατά την έννοια του δεύτερου αιτήματος, σχετικά με τη δυνατότητα ανακλήσεώς της οποτεδήποτε, με ισχύ για το μέλλον, και/ή
– γνωστοποιεί τα εξής: “Σε περίπτωση που είστε χρήστης ιστοσελίδας κοινωνικής δικτύωσης και δεν επιθυμείτε η ιστοσελίδα αυτή να συλλέξει, μέσω της προσβάσεώς σας στην ιστοσελίδα μας, δεδομένα που σας αφορούν και να τα συσχετίσει με τα αποθηκευμένα στην ιστοσελίδα κοινωνικής δικτύωσης δεδομένα χρήστη που σας αφορούν, θα πρέπει, προτού επισκεφθείτε την ιστοσελίδα μας, να αποσυνδεθείτε από την ιστοσελίδα κοινωνικής δικτύωσης”.»
19. Η ενάγουσα υποστήριξε ότι είτε η Facebook Inc. είτε η Facebook Ireland αποθηκεύουν τη διεύθυνση πρωτοκόλλου διαδικτύου και τη συμβολοσειρά του φυλλομετρητή και τις συσχετίζουν με συγκεκριμένο χρήστη (μέλος ή μη μέλος). Η εναγομένη αντέταξε ότι είχε άγνοια ως προς το συγκεκριμένο ζήτημα. Η Facebook Ireland ισχυρίστηκε, αφενός, ότι η διεύθυνση πρωτοκόλλου διαδικτύου μετατρέπεται σε γενική διεύθυνση πρωτοκόλλου διαδικτύου και αποθηκεύεται μόνον υπ’ αυτή τη μορφή και, αφετέρου, ότι η διεύθυνση πρωτοκόλλου διαδικτύου και η συμβολοσειρά του φυλλομετρητή δεν συσχετίζονται με λογαριασμούς χρηστών.
20. Το Landgericht (πρωτοβάθμιο περιφερειακό δικαστήριο) έκανε δεκτά τα τρία πρώτα αιτήματα της αγωγής. Η εναγομένη άσκησε έφεση. Η ενάγουσα άσκησε αντέφεση ως προς το τέταρτο αγωγικό αίτημα.
21. Με βάση αυτό το πραγματικό και νομικό πλαίσιο, το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ) αποφάσισε να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Αντιτίθενται οι διατάξεις των άρθρων 22, 23 και 24 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31), σε εθνική νομοθετική ρύθμιση η οποία, πέραν της προβλέψεως περί εξουσίας των αρχών προστασίας δεδομένων για λήψη μέτρων και περί δυνατότητας του θιγομένου για άσκηση ενδίκων βοηθημάτων, παρέχει επίσης σε μη κερδοσκοπικές ενώσεις που έχουν ως σκοπό την προάσπιση των συμφερόντων των καταναλωτών τη δυνατότητα, σε περίπτωση προσβολής δικαιωμάτων, να προσφεύγουν κατά του προσβάλλοντος;
Σε περίπτωση αρνητικής απαντήσεως στο πρώτο ερώτημα:
2) Σε περίπτωση όπως η προκείμενη, κατά την οποία ορισμένο πρόσωπο ενσωματώνει κώδικα προγραμματισμού στην ιστοσελίδα του, δυνάμει του οποίου ο φυλλομετρητής του χρήστη αντλεί περιεχόμενο από τρίτον και μεταδίδει, στο πλαίσιο αυτό, δεδομένα προσωπικού χαρακτήρα στον τρίτο, θεωρείται το ως άνω πρόσωπο “υπεύθυνος της επεξεργασίας” κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας [95/46], στην περίπτωση που δεν μπορεί να ασκήσει επιρροή στην εν λόγω διαδικασία επεξεργασίας δεδομένων;
3) Σε περίπτωση αρνητικής απαντήσεως στο δεύτερο ερώτημα: έχει το άρθρο 2, στοιχείο δʹ, της οδηγίας [95/46], την έννοια ότι ρυθμίζει κατά τρόπο αποκλειστικό την ευθύνη και τις υποχρεώσεις και αποκλείει ως εκ τούτου την αστική ευθύνη τρίτου ο οποίος, μολονότι δεν είναι “υπεύθυνος της επεξεργασίας”, ωστόσο θέτει τις προϋποθέσεις για τη διαδικασία επεξεργασίας, χωρίς να ασκεί επιρροή σε αυτή;
4) Σε περίπτωση όπως η προκείμενη, ποιο “έννομο συμφέρον” πρέπει να ληφθεί υπόψη στο πλαίσιο της σταθμίσεως δυνάμει του άρθρου 7, στοιχείο στʹ, της οδηγίας [96/46]; Το συμφέρον για ενσωμάτωση περιεχομένου τρίτου ή το συμφέρον του τρίτου;
5) Σε περίπτωση όπως η προκείμενη, σε ποιον πρέπει να παρέχεται η συγκατάθεση κατά το άρθρο 7, στοιχείο αʹ, και κατά το άρθρο 2, στοιχείο ηʹ, της οδηγίας [95/46];
6) Σε περίπτωση όπως η προκείμενη, βαρύνεται επίσης με την υποχρέωση ενημερώσεως κατά το άρθρο 10 της οδηγίας [95/46], ο διαχειριστής της ιστοσελίδας ο οποίος ενσωμάτωσε το περιεχόμενο τρίτου, θέτοντας έτσι τις προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον τρίτο;»
22. Γραπτές παρατηρήσεις κατέθεσαν η ενάγουσα, η εναγομένη, η Facebook Ireland, ο Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Υπεύθυνος του ομόσπονδου κράτους της Βόρειας Ρηνανίας‑Βεστφαλίας για την προστασία των δεδομένων προσωπικού χαρακτήρα και για την ελευθερία πληροφορήσεως, Γερμανία, στο εξής: LDI NW), η Βελγική, η Γερμανική, η Ιταλική, η Αυστριακή και η Πολωνική Κυβέρνηση, καθώς και η Επιτροπή. Κατά την επ’ ακροατηρίου συζήτηση, η οποία διεξήχθη στις 6 Σεπτεμβρίου 2018, ανέπτυξαν προφορικώς τις παρατηρήσεις τους η ενάγουσα, η εναγομένη, η Facebook Ireland, ο LDI NW, η Βελγική, η Γερμανική, η Ιταλική και η Αυστριακή Κυβέρνηση, καθώς και η Επιτροπή.
IV. Ανάλυση
23. Στις παρούσες προτάσεις μου, καταλήγω στο συμπέρασμα ότι η οδηγία 94/46 δεν απαγορεύει εθνική νομοθεσία η οποία παρέχει σε ενώσεις που είναι επιφορτισμένες με την προστασία των καταναλωτών, όπως είναι η ενάγουσα, το δικαίωμα να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται να έχουν παραβεί τους νόμους προστασίας δεδομένων (υπό Α). Θεωρώ επίσης ότι η εναγομένη είναι, από κοινού με τη Facebook Ireland, υπεύθυνος της επεξεργασίας, της οποίας η ευθύνη όμως περιορίζεται σε συγκεκριμένο στάδιο της επεξεργασίας δεδομένων (υπό Β). Τρίτον, φρονώ ότι η προβλεπόμενη από το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 στάθμιση συμφερόντων απαιτεί να ληφθούν υπόψη τα έννομα συμφέροντα όχι μόνον της εναγομένης αλλά και της Facebook Ireland (καθώς, ασφαλώς, και τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα) (υπό Γ). Τέταρτον, στην εναγομένη πρέπει να δηλώνεται η εν επιγνώσει συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Επιπλέον, η εναγομένη υπέχει υποχρέωση ενημερώσεως του προσώπου στο οποίο αναφέρονται τα δεδομένα (υπό Δ).
1. Εθνική νομοθεσία η οποία αναγνωρίζει ενεργητική νομιμοποίηση σε ενώσεις που είναι επιφορτισμένες με την προστασία των συμφερόντων των καταναλωτών
24. Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ουσιαστικά ερωτά εάν η οδηγία 95/46 απαγορεύει εθνικό κανόνα ο οποίος επιτρέπει σε ενώσεις για την προστασία των συμφερόντων των καταναλωτών να προσφεύγουν κατά προσώπων τα οποία φέρεται να έχουν παραβεί τους νόμους προστασίας δεδομένων. Συναφώς, το αιτούν δικαστήριο παραπέμπει ειδικώς στα άρθρα 22 έως 24 της οδηγίας 95/46. Σημειώνει ότι η επίμαχη εν προκειμένω νομοθεσία μπορεί να θεωρηθεί ότι συνιστά «κατάλληλο μέτρο» κατά την έννοια του άρθρου 24. Επιπλέον, τονίζει ότι ο κανονισμός (ΕΕ) 2016/679 (στο εξής: ΓΚΠΔ) (5), ο οποίος αντικατέστησε την οδηγία 95/46, αναγνωρίζει πλέον ρητώς το συγκεκριμένο δικαίωμα σε ενώσεις, σύμφωνα με το άρθρο 80, παράγραφος 2 (6).
25. Η εναγομένη και η Facebook Ireland υποστηρίζουν ότι η οδηγία 95/46 δεν παρέχει ενεργητική νομιμοποίηση σε αυτές τις ενώσεις, διότι τέτοιου είδους ενεργητική νομιμοποίηση δεν προβλέπεται ρητώς, καθώς, κατά την άποψή τους, η οδηγία 95/46 αποβλέπει στην πλήρη εναρμόνιση. Κατά την εναγομένη, η κατ’ αυτόν τον τρόπο αναγνώριση ενεργητικής νομιμοποιήσεως θα έθετε σε κίνδυνο την ανεξαρτησία των ελεγκτικών αρχών, λόγω της πιέσεως της κοινής γνώμης στην οποία θα εκτίθεντο.
26. Η ενάγουσα, ο LDI NW και όλες οι κυβερνήσεις που υπέβαλαν παρατηρήσεις στην εκδικαζόμενη υπόθεση τάσσονται υπέρ της απόψεως ότι η οδηγία 95/46 δεν αντιτίθεται στην επίμαχη νομοθεσία.
27. Συμφωνώ με αυτή την τελευταία άποψη (7).
28. Θεωρώ σημαντικό να υπενθυμιστεί εκ προοιμίου ο (εξ ορισμού) συνταγματικός κανόνας που αποτυπώνεται στην τρίτη παράγραφο του άρθρου 288 ΣΛΕΕ, κατά τον οποίον «[η] οδηγία δεσμεύει κάθε κράτος μέλος στο οποίο απευθύνεται, όσον αφορά το επιδιωκόμενο αποτέλεσμα, αλλά αφήνει την επιλογή του τύπου και των μέσων στην αρμοδιότητα των εθνικών αρχών», ώστε να εξασφαλίζεται κατά τον καλύτερο δυνατό τρόπο το αποτέλεσμα που επιδιώκεται με την οδηγία (8).
29. Συνεπώς, προκειμένου να εκπληρώσουν τις επιβαλλόμενες από τις οδηγίες υποχρεώσεις, τα κράτη μέλη είναι ελεύθερα να λαμβάνουν οποιαδήποτε μέτρα θεωρούν κατάλληλα, υπό την προϋπόθεση ότι τα μέτρα αυτά δεν αποκλείονται ρητώς από την ίδια την οδηγία και δεν αντίκεινται στους σκοπούς της.
30. Το γράμμα της οδηγίας 95/46 δεν αποκλείει ρητώς τη δυνατότητα του εθνικού δικαίου να αναγνωρίζει την ενεργητική νομιμοποίηση ενώσεων επιφορτισμένων με την προάσπιση των συμφερόντων των καταναλωτών.
31. Η εξέταση των επιδιωκόμενων σκοπών της οδηγίας 95/46 καταδεικνύει ότι μεταξύ αυτών συγκαταλέγεται η «διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και, ιδίως, του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα» (9). Επιπλέον, κατά τη δέκατη αιτιολογική σκέψη της οδηγίας 95/46, «η προσέγγιση των [εθνικών] νομοθεσιών [που εφαρμόζονται στον εν λόγω τομέα] δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Κοινότητα» (10).
32. Από τη διάταξη περί παραπομπής προκύπτει ότι η Γερμανία έχει αναγνωρίσει σε ενώσεις όπως η ενάγουσα δικαίωμα στρέφονται δικαστικώς κατά πρακτικών που θεωρούν ότι είναι αθέμιτες εμπορικές πρακτικές ή παραβαίνουν τους νόμους προστασίας των καταναλωτών, συμπεριλαμβανομένης και της νομοθεσίας περί προστασίας δεδομένων.
33. Σε αυτό το πλαίσιο, δεν δύναμαι να διακρίνω με ποιον τρόπο η αναγνώριση ενεργητικής νομιμοποίησης θα μπορούσε να αντίκειται καθ’ οιονδήποτε τρόπο στους σκοπούς της οδηγίας 95/46 ή να συνιστά αποδυνάμωση της προσπάθειας επιτεύξεως αυτών των σκοπών. Αν μη τι άλλο, η αναγνώριση ενεργητικής νομιμοποιήσεως αυτών των ενώσεων μάλλον ενισχύει την επίτευξη των σκοπών και την εφαρμογή της οδηγίας, συμβάλλοντας αποτελεσματικά στην ενίσχυση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, διά των μέσων συλλογικής έννομης προστασίας (11).
34. Ως εκ τούτου, φρονώ ότι στα κράτη μέλη δεν απαγορεύεται, εφόσον το επιθυμούν, να προβλέπουν κανόνες που αναγνωρίζουν την ενεργητική νομιμοποίηση ενώσεων, όπως αυτός που επιτρέπει στην ενάγουσα να ασκήσει την επίμαχη στην κύρια δίκη αγωγή.
35. Λαμβανομένης υπόψη αυτής της απαντήσεως, θεωρώ κάπως αποπροσανατολιστική τη συζήτηση που αναπτύχθηκε κατά τη διάρκεια της παρούσας διαδικασίας και επικεντρώθηκε στο εάν πρέπει να θεωρηθεί ότι η επίμαχη εθνική νομοθεσία εμπίπτει συγκεκριμένα στο άρθρο 24 της οδηγίας 95/46, ως ένα είδος «κατάλληλου μέτρου», ή στο άρθρο 22. Εφόσον τα κράτη μέλη οφείλουν, θεωρητικώς, να εφαρμόζουν τις οδηγίες με οποιονδήποτε τρόπο κρίνουν κατάλληλο και αυτός ο συγκεκριμένος τρόπος δεν απαγορεύεται ούτε από το γράμμα ούτε από τον σκοπό της οδηγίας, το ζήτημα σε ποιο ακριβώς άρθρο της οδηγίας εντάσσεται το εν λόγω εθνικό μέτρο είναι δευτερεύουσας σημασίας (12). Eν πάση περιπτώσει, το άρθρο 24 μπορεί ασφαλώς να ερμηνευθεί υπό την έννοια ότι «τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας» περιλαμβάνουν εθνικές διατάξεις όπως οι επίμαχες στην υπό κρίση υπόθεση.
36. Εκτιμώ ότι το γενικό αυτό συμπέρασμα επ’ ουδενί αναιρείται από τις ακόλουθες παρατηρήσεις, οι οποίες προβλήθηκαν στο πλαίσιο της προκείμενης διαδικασίας.
37. Πρώτον, είναι αληθές ότι η οδηγία 95/46 δεν μνημονεύεται στον κατάλογο που παρατίθεται στο παράρτημα I της οδηγίας 2009/22. Η τελευταία θεσπίζει κανόνες σχετικά με τις αγωγές παραλείψεως που μπορούν να ασκηθούν από τους λεγόμενους «νομιμοποιούμενους φορείς» για την ενίσχυση της προστασίας των συλλογικών συμφερόντων των καταναλωτών (13). Ο κατάλογος του παραρτήματος Ι περιέχει διάφορες οδηγίες και η οδηγία 95/46 δεν περιλαμβάνεται σε αυτές.
38. Ωστόσο, όπως υποστηρίζει και η Γερμανική Κυβέρνηση, ο κατάλογος του παραρτήματος I της οδηγίας 2009/22 δεν μπορεί να λογίζεται ως εξαντλητικός, υπό την έννοια ότι απαγορεύει εθνική νομοθεσία που επιτρέπει την άσκηση αγωγών παραλείψεως για την τήρηση κανόνων που περιλαμβάνονται σε οδηγίες διαφορετικές από αυτές που απαριθμούνται στο παράρτημα I της οδηγίας 2009/22. Κατά μείζονα λόγο, θα ήταν ιδιαιτέρως παράδοξο να γίνει δεκτό ότι ένας τόσο επεξηγηματικός κατάλογος, ο οποίος περιέχεται σε πράξη του δικαίου, στερεί ξαφνικά από τα κράτη μέλη το, προβλεπόμενο από τη Συνθήκη, δικαίωμά τους να επιλέξουν με ποιον τρόπο θα εφαρμόσουν μια οδηγία.
39. Δεύτερον, θα στραφώ στο επιχείρημα που προβλήθηκε από την εναγομένη και τη Facebook Ireland όσον αφορά την πλήρη εναρμόνιση που επιδιώκει η οδηγία 95/46, πράγμα το οποίο, κατά την άποψή τους, αποκλείει οποιαδήποτε ενέργεια δεν προβλέπεται ρητώς.
40. Είναι αληθές ότι το Δικαστήριο έχει επανειλημμένως δηλώσει ότι η οδηγία 95/46 δεν αποσκοπεί απλώς σε μια ελάχιστη εναρμόνιση, αλλά σε εναρμόνιση η οποία είναι, «κατ’ αρχήν, πλήρης» (14). Παράλληλα, το Δικαστήριο έχει επίσης δεχθεί ότι η ίδια οδηγία «αναγνωρίζει στα κράτη μέλη πεδίο χειρισμών σε ορισμένους τομείς», υπό την προϋπόθεση ότι τηρείται η οδηγία 95/46 (15).
41. Όπως σημείωσα σε άλλες προτάσεις μου (16), το ζήτημα εάν υπάρχει «πλήρης εναρμόνιση» σε επίπεδο δικαίου της Ένωσης (υπό την έννοια της νομοθετικής υπεροχής η οποία απαγορεύει οποιαδήποτε νομοθετική δράση εκ μέρους των κρατών μελών) δεν μπορεί να εξετάζεται εν γένει, σε σχέση με έναν ολόκληρο τομέα του δικαίου ή το αντικείμενο μιας οδηγίας. Αντιθέτως, η εκτίμηση αυτή πρέπει να πραγματοποιείται σε συνάρτηση με κάθε επιμέρους διάταξη (έναν ορισμένο κανόνα ή μια συγκεκριμένη πτυχή) της επίμαχης οδηγίας.
42. Από την εξέταση των επίμαχων στην υπό κρίση υπόθεση ειδικών «δικονομικών» διατάξεων της οδηγίας 95/46, ήτοι των άρθρων 22 έως 24, συνάγεται ότι αυτές είναι διατυπωμένες με πολύ γενικούς όρους (17). Λαμβανομένου υπόψη του βαθμού γενικότητας και αοριστίας των εν λόγω διατάξεων, θα μου προξενούσε πράγματι πολύ μεγάλη εντύπωση εάν γινόταν δεκτό ότι οι διατάξεις αυτές συνεπάγονται τη νομοθετική υπεροχή, αποκλείοντας την εκ μέρους των κρατών μελών λήψη οποιωνδήποτε άλλων μέτρων που δεν μνημονεύονται στα οικεία άρθρα (18).
43. Τρίτον, ένα ακόμη επιχείρημα που προβλήθηκε από την εναγομένη έγκειται στην απειλή της ανεξαρτησίας των ελεγκτικών αρχών (19). Η εναγομένη υποστηρίζει, κατ’ ουσίαν, ότι εάν γινόταν δεκτό ότι οι ενώσεις καταναλωτών διαθέτουν τη σχετική ενεργητική νομιμοποίηση, αυτές θα μπορούσαν να προσφεύγουν στα δικαστήρια παράλληλα και/ή αντί των ελεγκτικών αρχών, πράγμα το οποίο θα είχε ως αποτέλεσμα την άσκηση πιέσεως από την κοινή γνώμη και τη μεροληψία των ελεγκτικών αρχών, και, εν τέλει, θα ήταν αντίθετο προς την απαίτηση πλήρους ανεξαρτησίας των ελεγκτικών αρχών, την οποία επιβάλλει το άρθρο 28, παράγραφος 1, της οδηγίας.
44. Το επιχείρημα αυτό δεν ευσταθεί. Ακόμη και εάν γίνει δεκτό ότι οι συγκεκριμένες αρχές είναι πράγματι, κατ’ αρχήν, ανεξάρτητες (20), αδυνατώ, όπως και η Γερμανική Κυβέρνηση, να διακρίνω με ποιον τρόπο μια αγωγή όπως αυτή της κύριας δίκης δύναται να συνιστά απειλή για την ανεξαρτησία τους. Οι ενώσεις δεν μπορούν να επιβάλλουν τον νόμο, υπό την έννοια της επιβολής των απόψεών τους στις ελεγκτικές αρχές. Τούτο εναπόκειται στην αποκλειστική αρμοδιότητα των δικαστηρίων. Οι ενώσεις καταναλωτών μπορούν απλώς, όπως εξάλλου και κάθε μεμονωμένος καταναλωτής, να προσφύγουν στη δικαιοσύνη. Επομένως, ο ισχυρισμός ότι η άσκηση οποιασδήποτε αγωγής (για διαφορά ιδιωτικού δικαίου) από φυσικό πρόσωπο ή ένωση καταναλωτών συνεπάγεται την άσκηση πιέσεως στους φορείς που είναι επιφορτισμένοι με την (δημοσίου χαρακτήρα) επιβολή του νόμου και, ως εκ τούτου, δεν επιτρέπεται να υφίσταται ως δυνατότητα παράλληλα με το σύστημα επιβολής του νόμου από τους δημόσιους φορείς, είναι τόσο περίεργος που η περαιτέρω εξέταση του συγκεκριμένου επιχειρήματος μάλλον παρέλκει (21).
45. Τέταρτον και τελευταίο, θα εξετάσω το επιχείρημα κατά το οποίο το άρθρο 80, παράγραφος 2, του ΓΚΠΔ πρέπει να ερμηνευθεί υπό την έννοια ότι τροποποιεί (και αντιστρέφει) την προηγούμενη κατάσταση, επιτρέποντας κάτι (τη δυνατότητα άσκησης αγωγής από τις ενώσεις) το οποίο προηγουμένως απαγορευόταν.
46. Αυτό το επιχείρημα δεν είναι πειστικό.
47. Επιβάλλεται να υπενθυμιστεί ότι, με την αντικατάσταση της οδηγίας 95/46 από τον ΓΚΠΔ μεταβλήθηκε η φύση της νομικής πράξεως στην οποία προβλέπονται πλέον οι σχετικοί κανόνες, καθώς η οδηγία αντικαταστάθηκε από κανονισμό. Η μεταβολή αυτή σημαίνει επίσης ότι, σε αντίθεση με την οδηγία όπου τα κράτη μέλη παραμένουν ελεύθερα να επιλέξουν με ποιον τρόπο θα εφαρμόσουν το περιεχόμενο του οικείου νομοθετήματος, οι εθνικοί κανόνες με τους οποίους εφαρμόζονται οι κανονισμοί μπορούν, κατ’ αρχήν, να θεσπιστούν μόνον όταν τούτο επιτρέπεται ρητώς από τον κανονισμό.
48. Κατ’ αυτήν την έννοια, είναι αμφισβητήσιμο το επιχείρημα ότι η ρητή πρόβλεψη του δικαιώματος άσκησης αγωγής από ενώσεις περιλαμβάνεται πλέον στον ΓΚΠΔ έχει την έννοια ότι το δικαίωμα αυτό εξαιρούνταν από την οδηγία 95/46. Εάν μπορεί να συναχθεί κάποιο επιχείρημα από αυτήν την αντίθεση (22), τούτο είναι μάλλον το ακριβώς αντίθετο: εφόσον η εν λόγω οδηγία δεν απαγορεύει την πρόβλεψη κανόνων που παρέχουν ενεργητική νομιμοποίηση (βάσει των επιχειρημάτων που εξέθεσα ανωτέρω), η μεταβολή της νομικής μορφής του νομοθετήματος από οδηγία σε κανονισμό δικαιολογεί τη συμπερίληψη αυτής της διατάξεως προκειμένου να καταστεί σαφές ότι η συγκεκριμένη δυνατότητα εξακολουθεί, πράγματι, να υφίσταται.
49. Ως εκ τούτου, υπό το πρίσμα των ανωτέρω, το πρώτο ενδιάμεσο συμπέρασμά μου είναι ότι η οδηγία 95/46 δεν απαγορεύει εθνική νομοθετική ρύθμιση η οποία παρέχει σε μη κερδοσκοπικές ενώσεις το δικαίωμα να στρέφονται δικαστικώς κατά φερομένων παραβατών της νομοθεσίας περί προστασίας δεδομένων, προκειμένου να προασπίσουν τα συμφέροντα των καταναλωτών.
2. Αποτελεί η Fashion ID υπεύθυνο της επεξεργασίας;
50. Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά εάν η εναγομένη πρέπει, λόγω του ότι ενσωμάτωσε στην ιστοσελίδα της πρόσθετο το οποίο επιτρέπει στον φυλλομετρητή του χρήστη να αντλεί περιεχόμενο από τρίτον και να διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε αυτόν τον τρίτο, να θεωρηθεί «υπεύθυνος της επεξεργασίας» κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, ακόμη και εάν η ίδια δεν είναι σε θέση να επηρεάσει την επεξεργασία των δεδομένων.
51. Όσον αφορά την αδυναμία ασκήσεως επιρροής στην επεξεργασία δεδομένων, στην οποία αναφέρεται το αιτούν δικαστήριο στο προδικαστικό ερώτημα, εκτιμώ ότι, στο πλαίσιο της παρούσας υποθέσεως, αυτή δεν συνδέεται με το αποτέλεσμα της διαβιβάσεως των εν λόγω δεδομένων (και σε πραγματικό επίπεδο, είναι σαφές ότι η εναγομένη ασκεί επιρροή, καθόσον προέβη στην ενσωμάτωση του επίμαχου προσθέτου). Απ’ ό,τι φαίνεται, συνδέεται με την πιθανή συνακόλουθη επεξεργασία των δεδομένων από τη Facebook Ireland.
52. Όπως επισημαίνει το αιτούν δικαστήριο, η απάντηση που θα δοθεί στο δεύτερο προδικαστικό ερώτημα έχει συνέπειες οι οποίες υπερβαίνουν κατά πολύ την προκείμενη υπόθεση και το κοινωνικό δίκτυο που διαχειρίζεται η Facebook Ireland. Αρκετές ιστοσελίδες ενσωματώνουν περιεχόμενο τρίτων ποικίλων μορφών. Εάν ένα πρόσωπο όπως η εναγομένη χαρακτηριστεί ως «υπεύθυνος της επεξεργασίας», (συν)υπεύθυνος για την ενδεχόμενη (συνακόλουθη) επεξεργασία των δεδομένων που συλλέγονται λόγω του ότι ο διαχειριστής της συγκεκριμένης ιστοσελίδας έχει προβεί στην ενσωμάτωση περιεχομένου τρίτου το οποίο επιτρέπει τη διαβίβαση αυτών των δεδομένων, η κρίση αυτή θα μπορούσε πράγματι να έχει ευρύτερες συνέπειες στον τρόπο με τον οποίο το πρόσωπο αυτό διαχειρίζεται το περιεχόμενο τρίτου.
53. Στο πλαίσιο της παρούσας υποθέσεως, το δεύτερο προδικαστικό ερώτημα είναι επίσης το βασικό ερώτημα, το οποίο αφορά την ουσία του ζητήματος: όταν συντρέχει περίπτωση ενσωματώσεως περιεχομένου τρίτου σε ιστοσελίδα, ποιος ευθύνεται και για τι ακριβώς; Επίσης, ο βαθμός σαφήνειας της απαντήσεως που θα δοθεί σε αυτό το ερώτημα έχει αντίκτυπο και στις απαντήσεις που θα δοθούν στα επόμενα ερωτήματα σχετικά με τα έννομα συμφέροντα, τη συγκατάθεση και το καθήκον ενημερώσεως.
54. Σε αυτό το τμήμα των παρουσών προτάσεων, θα καταθέσω αρχικώς ορισμένες εισαγωγικές παρατηρήσεις σχετικά με την έννοια των κρίσιμων για την παρούσα υπόθεση δεδομένων προσωπικού χαρακτήρα (υπό 1). Στη συνέχεια, θα παρουσιάσω την πρόσφατη νομολογία του Δικαστηρίου, η οποία υποδηλώνει την απάντηση που θα έπρεπε να δοθεί στο δεύτερο ερώτημα εάν υιοθετούνταν άνευ ετέρου οι προηγούμενες αποφάσεις του Δικαστηρίου (υπό 2). Ακολούθως, θα εξηγήσω για ποιο λόγο θα πρέπει, ενδεχομένως, να τεθούν κάποια πρόσθετα ερωτήματα και, στο πλαίσιο της υπό κρίση υποθέσεως, να καταστεί η ανάλυση κατά τι διεξοδικότερη (υπό 3). Θα ολοκληρώσω την ανάλυσή μου υπογραμμίζοντας, για τους σκοπούς του ορισμού της έννοιας της (από κοινού) επεξεργασίας, τη σημασία της ενότητας των «σκοπών και των τρόπων επεξεργασίας» που πρέπει να χαρακτηρίζει τη σχέση μεταξύ των (από κοινού) υπευθύνων της επεξεργασίας, όσον αφορά το αντίστοιχο στάδιο της επίμαχης επεξεργασίας δεδομένων προσωπικού χαρακτήρα (διαδικασία επεξεργασίας δεδομένων) (υπό 4).
1. Δεδομένα προσωπικού χαρακτήρα στην υπό κρίση υπόθεση
55. Επιβάλλεται να υπομνησθεί ότι η έννοια των «δεδομένων προσωπικού χαρακτήρα» ορίζεται στο άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46, ως «κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (“το πρόσωπο στο οποίο αναφέρονται τα δεδομένα”)». Συναφώς, στην αιτιολογική σκέψη 26 της ίδιας οδηγίας διευκρινίζεται ότι, «για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνεται υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο, για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου».
56. Το Δικαστήριο έχει αποσαφηνίσει ότι οι διευθύνσεις πρωτοκόλλου διαδικτύου μπορούν, υπό ορισμένες περιστάσεις, να συνιστούν δεδομένα προσωπικού χαρακτήρα (23). Το Δικαστήριο έχει περαιτέρω διευκρινίσει ότι, στο πλαίσιο αυτό, για να υπάρξει «πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί», υπό την έννοια του άρθρου 2, στοιχείο αʹ, της οδηγίας 95/46, «δεν απαιτείται αυτή και μόνον η πληροφορία να καθιστά δυνατή την εξακρίβωση της ταυτότητας του οικείου προσώπου» και, συνεπώς, ότι ενδέχεται να είναι αναγκαία η προσφυγή σε πρόσθετα δεδομένα. Το Δικαστήριο έχει επίσης τονίσει ότι «δεν απαιτείται όλες οι πληροφορίες που καθιστούν δυνατή την εξακρίβωση του εμπλεκόμενου προσώπου να βρίσκονται στη διάθεση ενός μόνον προσώπου», στον βαθμό που η δυνατότητα συνδυασμού των σχετικών δεδομένων «αποτελεί μέσο που μπορεί ευλόγως να χρησιμοποιηθεί για να εξακριβωθεί η ταυτότητα του οικείου προσώπου» (24).
57. Το αιτούν δικαστήριο δεν εξετάζει εάν η διεύθυνση πρωτοκόλλου διαδικτύου, είτε από μόνη της είτε σε συνδυασμό με τη συμβολοσειρά του φυλλομετρητή η οποία επίσης διαβιβαζόταν, συνιστά δεδομένο προσωπικού χαρακτήρα κατά την έννοια αυτών των κριτηρίων. Η Facebook Ireland φαίνεται να αμφισβητεί αυτόν τον χαρακτηρισμό (25).
58. Είναι σαφές ότι η σχετική εκτίμηση εναπόκειται στην κρίση του εθνικού δικαστή. Γενικά, όσον αφορά οποιαδήποτε πρόσθετα τα οποία ενδέχεται να ενσωματώνονται ή κάθε άλλο περιεχόμενο τρίτου, προκειμένου αυτές οι πληροφορίες να χαρακτηρισθούν ως προσωπικές, είναι απαραίτητο τα εν λόγω δεδομένα να καθιστούν δυνατή την εξακρίβωση του προσώπου στο οποίο τα δεδομένα αναφέρονται (είτε άμεσα είτε έμμεσα). Για τους σκοπούς της παρούσας υποθέσεως, θα θεωρήσω ως δεδομένο ότι, όπως φαίνεται να προκύπτει από τα ερωτήματα που υπέβαλε το αιτούν δικαστήριο, υπό τις περιστάσεις της κύριας δίκης, η διεύθυνση πρωτοκόλλου διαδικτύου και η συμβολοσειρά του φυλλομετρητή συνιστούν πράγματι δεδομένα προσωπικού χαρακτήρα και πληρούν τα κριτήρια του άρθρου 2, στοιχείο αʹ, της οδηγίας 95/46, όπως αυτά έχουν αποσαφηνιστεί από το Δικαστήριο.
2. Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita;
59. Όσον αφορά την απάντηση στο δεύτερο προδικαστικό ερώτημα, η εναγομένη και η Facebook Ireland υποστηρίζουν ότι η εναγομένη δεν μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας διότι ουδεμία επιρροή ασκεί στα δεδομένα προσωπικού χαρακτήρα που θα υποβληθούν σε επεξεργασία. Συνεπώς, μόνον η Facebook Ireland μπορεί να χαρακτηρισθεί ως υπεύθυνος της επεξεργασίας. Επικουρικώς, η Facebook Ireland προβάλλει ότι, ακόμη και εάν θεωρηθεί ότι με την εναγομένη ενεργούν από κοινού, ως από κοινού υπεύθυνοι της επεξεργασίας, η ευθύνη ενός προσώπου όπως η εναγομένη, περιορίζεται στην πραγματική ζώνη επιρροής του.
60. Η ενάγουσα, ο LDI NW και όλες οι κυβερνήσεις που παρενέβησαν στην υπό κρίση υπόθεση, καθώς και η Επιτροπή, τάσσονται, ουσιαστικά, υπέρ της απόψεως ότι ο όρος «υπεύθυνος της επεξεργασίας» έχει ευρεία έννοια και περιλαμβάνει την εναγομένη. Ωστόσο, αυτές οι απόψεις ως προς το ακριβές περιεχόμενο της ευθύνης της εναγομένης ποικίλλουν σε αξιοσημείωτο βαθμό στις παρατηρήσεις των μετεχόντων στη διαδικασία. Οι διαφοροποιήσεις αφορούν το κατά πόσον η εναγομένη θα πρέπει να θεωρηθεί ότι υπέχει ευθύνη από κοινού με τη Facebook Ireland, το εάν η κοινή τους ευθύνη πρέπει να περιοριστεί στο στάδιο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο οποίο η εναγομένη πράγματι εμπλέκεται και το κατά πόσον, συναφώς, θα πρέπει να γίνει διάκριση μεταξύ, αφενός, των επισκεπτών της ιστοσελίδας της εναγομένης οι οποίοι διατηρούν λογαριασμό στο Facebook και, αφετέρου, αυτών που δεν διατηρούν τέτοιου είδους λογαριασμό.
61. Κατ’ αρχάς, είναι σαφές ότι, κατά το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46, η έννοια «υπεύθυνος της επεξεργασίας» περιλαμβάνει κάθε πρόσωπο το οποίο «μόνο ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα» (26). Συνεπώς, η έννοια του υπευθύνου της επεξεργασίας μπορεί να παραπέμπει σε πολλούς φορείς που μετέχουν στην επεξεργασία των δεδομένων (27) και πρέπει να ερμηνεύεται ευρύτερα (28).
62. Το Δικαστήριο εξέτασε προσφάτως το ζήτημα της από κοινού επεξεργασίας στην απόφαση Wirtschaftsakademie Schleswig‑Holstein (29). Όσον αφορά τον ρόλο του διαχειριστή σελίδας στο Facebook (fan page), το Δικαστήριο έκρινε ότι αυτός ενεργούσε ως υπεύθυνος της επεξεργασίας, από κοινού με τη Facebook Ireland, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Και τούτο, διότι ο συγκεκριμένος διαχειριστής συνέβαλλε στον καθορισμό, από κοινού με τη Facebook Ireland, των σκοπών και του τρόπου επεξεργασίας των προσωπικών δεδομένων των επισκεπτών της οικείας σελίδας (30).
63. Ειδικότερα, το Δικαστήριο σημείωσε ότι, με τη δημιουργία της επίμαχης σελίδας, ο εν λόγω διαχειριστής παρείχε στη Facebook Ireland «τη δυνατότητα […] να τοποθετεί cookies στον ηλεκτρονικό υπολογιστή ή σε οποιαδήποτε άλλη συσκευή του επισκέπτη της σελίδας του εν λόγω διαχειριστή» και, κατά συνέπεια, να επεξεργάζεται τα προσωπικά του δεδομένα (31). Το Δικαστήριο υπογράμμισε ότι «η δημιουργία σελίδας στο Facebook [Ireland] προϋποθέτει την εκ μέρους του διαχειριστή της επιλογή συγκεκριμένων ρυθμίσεων με γνώμονα, μεταξύ άλλων, το κοινό στο οποίο στοχεύει, καθώς και τους σκοπούς διαχειρίσεως ή προωθήσεως των δραστηριοτήτων του, επιλογή η οποία ασκεί επιρροή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται για την κατάρτιση στατιστικών με βάση τις επισκέψεις στη σελίδα αυτή» (32). Η επίμαχη στην υπόθεση εκείνη επεξεργασία επέτρεπε στη Facebook Ireland «να βελτιώνει το σύστημα δημοσιεύσεως διαφημίσεων» παρέχοντας παράλληλα στον διαχειριστή τον τρόπο να διαχειρίζεται καλύτερα, μέσω ανωνυμοποιημένων στατιστικών, την προώθηση της δικής του δραστηριότητας (33).
64. Το Δικαστήριο κατέληξε στο συμπέρασμα ότι μέσω της «επιλογής των σχετικών ρυθμίσεων», ο εν λόγω διαχειριστής μετείχε στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του. Ως εκ τούτου, πρέπει να θεωρηθεί υπεύθυνος για την εν λόγω επεξεργασία, από κοινού με τη Facebook Ireland (με «ακόμη σημαντικότερη» ευθύνη όσον αφορά τα δεδομένα προσωπικού χαρακτήρα των προσώπων που δεν είναι χρήστες του Facebook) (34).
65. Στην απόφαση Jehovan todistajat, το Δικαστήριο παρέσχε μία ακόμη σημαντική διευκρίνιση όσον αφορά την έννοια του από κοινού υπεύθυνου της επεξεργασίας: προκειμένου να θεωρηθεί ότι υφίσταται από κοινού επεξεργασία και από κοινού ευθύνη, δεν είναι απαραίτητο κάθε ένας από τους υπευθύνους της επεξεργασίας να έχει πρόσβαση (σε όλα) τα σχετικά δεδομένα προσωπικού χαρακτήρα. Έτσι, μια θρησκευτική κοινότητα μπορεί επίσης να χαρακτηριστεί ως υπεύθυνος της επεξεργασίας σε περίπτωση κατά την οποία είναι προφανές ότι η ίδια η κοινότητα δεν είχε πρόσβαση σε όλα τα επίμαχα συλλεγόμενα δεδομένα. Στην υπόθεση εκείνη, φυσική κατοχή επί των δεδομένων προσωπικού χαρακτήρα είχαν επιμέρους μέλη της κοινότητας των μαρτύρων του Ιεχωβά. Αρκούσε το γεγονός ότι η κηρυγματική δραστηριότητα, στο πλαίσιο της οποίας συλλέγονταν προφανώς τα δεδομένα προσωπικού χαρακτήρα, τελούσε υπό την οργάνωση, τον συντονισμό και την ενθάρρυνση της εν λόγω κοινότητας (35).
66. Εάν η συγκεκριμένη κατάσταση εξεταστεί σε ένα αφηρημένο επίπεδο και το ενδιαφέρον επικεντρωθεί αποκλειστικά στην έννοια της από κοινού επεξεργασίας, οφείλω να συμφωνήσω ότι, λαμβανομένων υπόψη των πρόσφατων αποφάσεων του Δικαστηρίου, θα πρέπει να γίνει δεκτό ότι η εναγομένη ενεργεί ως υπεύθυνος της επεξεργασίας και είναι από κοινού υπεύθυνη με τη Facebook Ireland όσον αφορά την επεξεργασία των δεδομένων (36).
67. Πρώτον, απ’ ό,τι φαίνεται, η εναγομένη παρείχε στη Facebook Ireland τη δυνατότητα να αποκτήσει τα δεδομένα προσωπικού χαρακτήρα των χρηστών της ιστοσελίδας της μέσω της χρήσεως του επίμαχου προσθέτου.
68. Δεύτερον, είναι αληθές ότι, σε αντίθεση με τον διαχειριστή τον οποίον αφορούσε η απόφαση Wirtschaftsakademie Schleswig‑Holstein, η εναγομένη μάλλον δεν καθορίζει τις ρυθμίσεις οποιωνδήποτε πληροφοριών σχετικά με τους χρήστες της ιστοσελίδας της οι οποίες θα της επιστρέφονταν, είτε ανωνυμοποιημένα είτε υπό οποιαδήποτε άλλη μορφή. Κατά τα φαινόμενα, το επιδιωκόμενο «όφελος» συνίσταται στη δωρεάν διαφήμιση των προϊόντων της, η οποία υποτίθεται ότι πραγματοποιείται όταν ο χρήστης της ιστοσελίδας της αποφασίσει να κάνει κλικ στην επιλογή «μου αρέσει» του Facebook, προκειμένου να μοιραστεί, μέσω του λογαριασμού του στο Facebook τις σκέψεις του, φερ’ ειπείν, όσον αφορά ένα μαύρο βραδινό φόρεμα. Επομένως, και υπό την επιφύλαξη της επαληθεύσεως των πραγματικών περιστατικών εκ μέρους του αιτούντος δικαστηρίου, η χρήση του εν λόγω προσθέτου επιτρέπει στην εναγομένη να βελτιστοποιήσει τη διαφήμιση των προϊόντων της καθιστώντας τα ορατά μέσω του Facebook.
69. Επικουρικώς, υπό ένα διαφορετικό πρίσμα, θα μπορούσε να υποστηριχθεί ότι η εναγομένη (συν-)καθορίζει τις ρυθμίσεις των συλλεγόμενων δεδομένων απλώς και μόνο λόγω του γεγονότος της ενσωματώσεως του επίμαχου πρόσθετου στην ιστοσελίδα της. Αυτό τούτο το εν λόγω πρόσθετο παρέχει τα στοιχεία των δεδομένων προσωπικού χαρακτήρα που συλλέγονται. Συνεπώς, ενσωματώνοντας οικειοθελώς το εν λόγω εργαλείο στην ιστοσελίδα της, η εναγομένη καθόρισε τις ρυθμίσεις αυτές όσον αφορά οποιονδήποτε επισκέπτη της ιστοσελίδας της.
70. Τρίτον και εν πάση περιπτώσει, υπό το πρίσμα της αποφάσεως Jehovan todistajat, ως από κοινού υπεύθυνος της επεξεργασίας μπορεί να χαρακτηριστεί ένα πρόσωπο ακόμη και εάν δεν έχει πρόσβαση στους «καρπούς της κοινής εργασίας». Συνεπώς, το γεγονός ότι η εναγομένη δεν έχει πρόσβαση στα δεδομένα που προωθήθηκαν στο Facebook ή ότι προφανώς δεν λαμβάνει ως αντάλλαγμα οποιαδήποτε προσαρμοσμένα ή συγκεντρωτικά στατιστικά στοιχεία, μάλλον δεν ασκεί καθοριστική επιρροή.
3. Τα προβλήματα: ποιος, λοιπόν, δεν θεωρείται από κοινού υπεύθυνος της επεξεργασίας;
71. Ενισχύεται η αποτελεσματική προστασία εάν κάθε ένας καταστεί υπεύθυνος για τη διασφάλισή της;
72. Αυτό είναι, εν ολίγοις, το βαθύτερο ηθικό και πρακτικό δίλημμα που ανακύπτει στην υπό κρίση υπόθεση και εκφράζεται, υπό νομικούς όρους, από το πεδίο εφαρμογής του ορισμού του (από κοινού) υπευθύνου της επεξεργασίας. Στο πλαίσιο της κατανοητής επιθυμίας να διασφαλιστεί η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα, η πρόσφατη νομολογία του Δικαστηρίου υπήρξε ιδιαιτέρως περιεκτική όσον αφορά τον ορισμό, με τον έναν ή τον άλλον τρόπο, της έννοιας του (από κοινού) υπευθύνου της επεξεργασίας. Πάντως, μέχρι και σήμερα, το Δικαστήριο ουδέποτε ήλθε αντιμέτωπο με τις πρακτικές επιπτώσεις μιας τόσο σαρωτικής προσεγγίσεως του ορισμού σε σχέση με τα επόμενα στάδια των συγκεκριμένων καθηκόντων και της ακριβούς ευθύνης των προσώπων που χαρακτηρίζονται ως από κοινού υπεύθυνοι της επεξεργασίας. Δεδομένου ότι η παρούσα υπόθεση προσφέρει αυτήν ακριβώς τη δυνατότητα, θα πρότεινα την αξιοποίησή της με στόχο την ενίσχυση της σαφήνειας των ορισμών, η οποία θα έπρεπε να υφίσταται για την έννοια του (από κοινού) υπευθύνου της επεξεργασίας.
1) Περί της υποχρεώσεως και της ευθύνης
73. Εξετάζοντας κριτικά τη συλλογιστική βάσει της οποίας εξακριβώνεται ποιος είναι ο «από κοινού υπεύθυνος της επεξεργασίας», διαπιστώνεται ότι, μετά τις αποφάσεις Wirtschaftsakademie Schleswig‑Holstein και Jehovan todistajat, το κρίσιμο κριτήριο συνίσταται στο ότι το επίμαχο πρόσωπο «καθιστά δυνατή/επιτρέπει» τη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα, συνδυαζόμενο ενδεχομένως με μια κάποια πρόσβαση την οποία έχει αυτός ο από κοινού υπεύθυνος στις σχετικές παραμέτρους (ή, τουλάχιστον, όταν οι εν λόγω παράμετροι εγκρίνονται σιωπηρώς) (37). Εάν όντως έτσι έχουν τα πράγματα, τότε, παρά τη σαφώς δεδηλωμένη αντίθετη πρόθεση του Δικαστηρίου στην απόφαση Wirtschaftsakademie Schleswig‑Holstein (38), μου είναι δύσκολο να αντιληφθώ πώς οι κανονικοί χρήστες μιας (βασιζόμενης) στο διαδίκτυο εφαρμογής, είτε πρόκειται για μέσο κοινωνικής δικτυώσεως είτε για οποιαδήποτε άλλη συλλογική πλατφόρμα αλλά ακόμη και για άλλα προγράμματα (39), δεν καθίστανται επίσης από κοινού υπεύθυνοι της επεξεργασίας. Κατά κανόνα, οι χρήστες δημιουργούν τους λογαριασμούς τους, παρέχοντας στον διαχειριστή στοιχεία όσον αφορά τον τρόπο διαρθρώσεως του οικείου λογαριασμού ή τις πληροφορίες που επιθυμούν να λαμβάνουν, και ως προς ποια ζητήματα και από ποια πρόσωπα. Επιπλέον, καλούν τους φίλους, τους συναδέλφους τους και άλλα πρόσωπα να μοιραστούν μαζί τους, μέσω της εφαρμογής, πληροφορίες υπό τη μορφή (συχνά πολύ ευαίσθητων) δεδομένων προσωπικού χαρακτήρα, παρέχοντας, κατ’ αυτόν τον τρόπο, όχι μόνον δεδομένα τα οποία αφορούν τα πρόσωπα αυτά, αλλά καλώντας επίσης τα εν λόγω πρόσωπα να μετάσχουν και εκείνα, συμβάλλοντας έτσι σαφώς στην απόκτηση και επεξεργασία των προσωπικών δεδομένων αυτών των προσώπων.
74. Επιπλέον, τι ισχύει όσον αφορά τους λοιπούς κρίκους στην «αλυσίδα των δεδομένων προσωπικού χαρακτήρα»; Σε μια ακραία εκδοχή, εάν γίνει δεκτό ότι το μοναδικό κρίσιμο κριτήριο για τη διαπίστωση της από κοινού επεξεργασίας είναι η παροχή της δυνατότητας επεξεργασίας των δεδομένων, και, συνεπώς, ουσιαστικά, η παροχή συνδρομής στην εν λόγω επεξεργασία σε οποιοδήποτε στάδιο αδιακρίτως, μήπως ο πάροχος υπηρεσιών διαδικτύου, ο οποίος καθιστά δυνατή την επεξεργασία των δεδομένων στον βαθμό που παρέχει πρόσβαση στο διαδίκτυο ή ακόμη και ο πάροχος ηλεκτρικής ενέργειας, δεν θα έπρεπε επίσης να θεωρούνται από κοινού υπεύθυνοι της επεξεργασίας, ευθυνόμενοι από κοινού για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα;
75. Ασφαλώς, η παρορμητική απάντηση είναι αρνητική. Το πρόβλημα όμως έγκειται στο ότι η μέχρι τούδε οριοθέτηση της ευθύνης δεν μπορεί να συναχθεί από τον ευρύ ορισμό του υπευθύνου της επεξεργασίας. Ο κίνδυνος που ενέχει η ευρύτητα του εν λόγω ορισμού συνίσταται στο ότι έχει ως αποτέλεσμα αρκετά πρόσωπα να θεωρούνται συνυπεύθυνα για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
76. Πάντως, σε αντίθεση με τις υποθέσεις που περιγράφηκαν στο προηγούμενο τμήμα των παρουσών προτάσεων, τα ερωτήματα που θέτει το αιτούν δικαστήριο στην υπό κρίση υπόθεση δεν σταματούν στον τρόπο με τον οποίο πρέπει να οριστεί ο «υπεύθυνος της επεξεργασίας». Βαίνουν πέραν αυτού και συνεχίζουν τη διερεύνηση των συναφών ζητημάτων σε σχέση με τον καταμερισμό των πραγματικών υποχρεώσεων που επιβάλλει η οδηγία 95/46. Από μόνα τους αυτά τα ζητήματα καταδεικνύουν τα προβλήματα που συνεπάγεται ο υπερβολικά ευρύς ορισμός του υπευθύνου της επεξεργασίας, ιδίως εάν συνδυαστεί με την απουσία ρητού κανόνα σχετικά με το ποιες ακριβώς είναι οι επιμέρους υποχρεώσεις και οι ευθύνες των υπευθύνων της επεξεργασίας δυνάμει της οδηγίας 95/46. Οι παρατηρήσεις που κατέθεσαν οι διάδικοι προς απάντηση του πέμπτου και του έκτου ερωτήματος, τα οποία αφορούν τον ακριβή καταμερισμό των ευθυνών σύμφωνα με την οδηγία, αποτυπώνουν ξεκάθαρα αυτή την κατάσταση.
77. Ουσιαστικά, με το πέμπτο ερώτημα ερωτάται ποιος υποτίθεται ότι πρέπει να λάβει τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα και σχετικά με ποιο πράγμα. Οι προτεινόμενες απαντήσεις στο συγκεκριμένο ερώτημα είναι πολύ διαφορετικές μεταξύ τους.
78. Η ενάγουσα και ο LDI NW υποστηρίζουν ότι η υποχρέωση λήψεως της συναινέσεως του προσώπου στο οποίο αναφέρονται τα δεδομένα βαρύνει την εναγομένη, η οποία έλαβε την απόφαση ενσωματώσεως του επίμαχου προσθέτου. Τούτο, κατά την άποψη της ενάγουσας, είναι ακόμη σημαντικότερο όσον αφορά τα πρόσωπα που δεν είναι χρήστες του Facebook, τα οποία δεν έχουν αποδεχθεί τους γενικούς όρους και προϋποθέσεις του Facebook. Η θέση της εναγομένης είναι ότι η συγκατάθεση έπρεπε να έχει δοθεί στον τρίτο που παρείχε το ενσωματωμένο περιεχόμενο, ήτοι στη Facebook Ireland. Η Facebook Ireland φρονεί ότι η συγκατάθεση δεν έχει κάποιον συγκεκριμένο αποδέκτη, καθόσον η οδηγία 95/46 διευκρινίζει μόνον ότι πρέπει να είναι ελεύθερη, ρητή και εν πλήρει επιγνώσει.
79. Η Αυστριακή, η Γερμανική και η Πολωνική Κυβέρνηση διατείνονται ότι η συγκατάθεση πρέπει να δίδεται πριν από την επεξεργασία των δεδομένων ενώ, κατά την άποψη της Αυστριακής Κυβερνήσεως, πρέπει να αφορά τόσο τη συλλογή όσο και την ενδεχόμενη διαβίβαση των δεδομένων. Η Πολωνική Κυβέρνηση υπογραμμίζει ότι η συγκατάθεση πρέπει να παρέχεται στην εναγομένη. Η Γερμανική Κυβέρνηση υποστηρίζει ότι η συγκατάθεση πρέπει να δίδεται είτε στην εναγομένη είτε στον τρίτο που παρείχε το ενσωματωμένο περιεχόμενο (Facebook Ireland), καθόσον αμφότεροι είναι συνυπεύθυνοι για την επεξεργασία. Η εναγομένη υποχρεούται απλώς να λάβει τη συγκατάθεση για τη διαβίβαση των δεδομένων στον τρίτο, διότι, όσον αφορά όλες τις λοιπές εργασίες επεξεργασίας και χρήσεως των συλλεγόμενων δεδομένων, δεν ενεργεί πλέον ως υπεύθυνος της επεξεργασίας. Τούτο, πάντως, δεν αναιρεί τη δυνατότητα του διαχειριστή της ιστοσελίδας να λαμβάνει τη συγκατάθεση όσον αφορά την επεξεργασία από τον τρίτο, η οποία μπορεί να ρυθμίζεται από τη συναφθείσα μεταξύ τους συμφωνία. Η Ιταλική Κυβέρνηση υποστηρίζει ότι η συγκατάθεση πρέπει να απευθύνεται σε όλα τα πρόσωπα που μετέχουν στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα, δηλαδή στην εναγομένη και στη Facebook Ireland. Η Βελγική Κυβέρνηση και η Επιτροπή τονίζουν ότι η οδηγία 95/46 δεν διευκρινίζει σε ποιον πρέπει να παρέχεται η συγκατάθεση.
80. Παρόμοια διάσταση απόψεων υπάρχει όσον αφορά το ζήτημα του ποιος φέρει την υποχρέωση ενημερώσεως δυνάμει του άρθρου 10 της οδηγίας 95/46 και ως προς ποιο ακριβώς πράγμα, στο οποίο αναφέρεται το έκτο ερώτημα του αιτούντος δικαστηρίου.
81. Κατά την ενάγουσα, ο διαχειριστής της ιστοσελίδας είναι αυτός που υπέχει την υποχρέωση να γνωστοποιεί τις απαραίτητες πληροφορίες στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Η εναγομένη υποστήριξε το αντίθετο επιχείρημα, υπογραμμίζοντας ότι εναπόκειται στη Facebook Ireland να παρέχει πληροφορίες δεδομένου ότι η ίδια δεν έχει ακριβή γνώση αυτών. Ομοίως, η Facebook Ireland τονίζει ότι η ίδια είναι αυτή που φέρει την υποχρέωση ενημερώσεως, καθόσον η συγκεκριμένη υποχρέωση απευθύνεται αποκλειστικώς στον υπεύθυνο της επεξεργασίας (ή τον εκπρόσωπό του). Σημειώνει δε, ότι η απάντηση στο έκτο ερώτημα είναι στενά συνδεδεμένη με το κατά πόσον ο διαχειριστής της ιστοσελίδας θεωρείται υπεύθυνος της επεξεργασίας. Το άρθρο 10 υποδηλώνει ότι ο διαχειριστής της ιστοσελίδας δεν μπορεί να χαρακτηρισθεί ως υπεύθυνος της επεξεργασίας, διότι ο τελευταίος δεν είναι σε θέση να παρέχει αυτές τις πληροφορίες. Ο LDI NW υποστηρίζει ότι οι εν λόγω πληροφορίες πρέπει να παρέχονται από τον διαχειριστή της ιστοσελίδας, αλλά αναγνωρίζει τη δυσκολία ως προς τον καθορισμό των πληροφοριών που πρέπει να παρέχονται, δεδομένου ότι η εναγομένη ουδεμία επιρροή ασκεί στην επεξεργασία των δεδομένων από τη Facebook Ireland. Η αλληλεπίδραση των σκοπών της επεξεργασίας των δεδομένων υποδηλώνει ότι ο διαχειριστής της ιστοσελίδας θα πρέπει να λογίζεται ως συνυπεύθυνος για την επεξεργασία την οποία έχει επιτρέψει.
82. Η Βελγική, η Ιταλική και η Πολωνική Κυβέρνηση επισημαίνουν ότι καθήκον ενημερώσεως υπέχει επίσης ο διαχειριστής ιστοσελίδας, όπως ο επίμαχος εν προκειμένω, δεδομένου ότι αυτός θεωρείται υπεύθυνος της επεξεργασίας. Η Βελγική Κυβέρνηση προσθέτει ότι ο διαχειριστής ιστοσελίδας ενδέχεται να ευθύνεται επίσης για την εξακρίβωση του σκοπού της συνακόλουθης επεξεργασίας των δεδομένων και της λήψεως των καταλλήλων μέτρων για την εγγύηση της προστασίας των φυσικών προσώπων. Η Γερμανική Κυβέρνηση υποστηρίζει ότι η υποχρέωση ενημερώσεως ισχύει και για τον διαχειριστή ιστοσελίδας στον βαθμό που αυτός είναι μεν υπεύθυνος για την επεξεργασία, δηλαδή για τη διαβίβαση των δεδομένων στον εξωτερικό πάροχο του ενσωματωμένου περιεχομένου, αλλά όχι για το σύνολο των συνακόλουθων σταδίων επεξεργασίας των δεδομένων, για τις οποίες ευθύνεται αυτός ο εξωτερικός πάροχος. Κατά την άποψη της Αυστριακής Κυβερνήσεως και της Επιτροπής, τόσο ο διαχειριστής της ιστοσελίδας όσο και ο εξωτερικός πάροχος υπέχουν την υποχρέωση παροχής πληροφοριών που επιβάλλεται από το άρθρο 10 της οδηγίας 95/46.
83. Πέραν των ζητημάτων που εγείρονται με το πέμπτο και το έκτο προδικαστικό ερώτημα, θα μπορούσε να προστεθεί ότι παρόμοιες εννοιολογικές δυσκολίες είναι αρκετά πιθανό να ανακύψουν και όσον αφορά τις λοιπές υποχρεώσεις που καθορίζονται στην οδηγία 95/46, όπως το δικαίωμα προσβάσεως που προβλέπεται από το άρθρο 12 της εν λόγω οδηγίας. Είναι αληθές ότι στην απόφαση Wirtschaftsakademie Schleswig‑Holstein το Δικαστήριο έκρινε ότι «η οδηγία 95/46 δεν απαιτεί, στην περίπτωση που υφίσταται από κοινού ευθύνη διαφόρων φορέων για μία και την αυτή επεξεργασία, να έχει καθένας από αυτούς πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα» (40). Όμως, υπεύθυνος της επεξεργασίας ο οποίος, αυτός καθαυτόν, δεν έχει πρόσβαση στα δεδομένα για τα οποία, παρ’ όλα αυτά, χαρακτηρίζεται ως (από κοινού) υπεύθυνος δεν δύναται, απολύτως λογικά, να παρέχει τέτοιου είδους πρόσβαση στα πρόσωπα στα οποία αναφέρονται τα δεδομένα (πολλώ δε μάλλον να προβεί σε περαιτέρω ενέργειες, όπως η διόρθωση ή η διαγραφή τους).
84. Επομένως, σε αυτό το στάδιο, η απουσία εννοιολογικής σαφήνειας ως προς τα προηγούμενα στάδια (ποιος είναι ο υπεύθυνος της επεξεργασίας και για ποιο ακριβώς πράγμα), η οποία, σε ορισμένες περιπτώσεις, ενδέχεται να οδηγήσει στην απουσία σαφήνειας σε επόμενα στάδια (ποιος υπέχει ποια ακριβώς υποχρέωση), ισοδυναμεί πλέον με πραγματική αδυναμία συμμορφώσεως του πιθανού από κοινού υπευθύνου επεξεργασίας προς την ισχύουσα νομοθεσία.
85. Θα μπορούσε ασφαλώς να υποστηριχθεί ότι, προκειμένου να υπάρξει ακριβής καταμερισμός της ευθύνης μεταξύ των (ενδεχομένως πολυάριθμων από κοινού) υπευθύνων της επεξεργασίας, θα έπρεπε να συνάπτονται συμβάσεις. Αντικείμενό τους θα μπορούσε να είναι όχι μόνον ο καταμερισμός της ευθύνης αλλά και η αποσαφήνιση του προσώπου το οποίο θεωρητικά οφείλει να συμμορφωθεί προς τις επιβαλλόμενες από την οδηγία υποχρεώσεις, συμπεριλαμβανομένων εκείνων που, από φυσικής απόψεως, μπορούν να ασκούνται από ένα μόνον πρόσωπο.
86. Θεωρώ ότι αυτή η πρόταση είναι εξόχως προβληματική. Πρώτον, είναι απολύτως μη ρεαλιστική, λαμβανομένης υπόψη της πυκνότητας των τυπικών, τυποποιημένων συμβάσεων που θα έπρεπε να συνάπτονται μεταξύ των κάθε είδους αντισυμβαλλομένων συμπεριλαμβανομένου, κατά πάσα πιθανότητα, τεράστιου αριθμού κανονικών χρηστών (41). Δεύτερον, η εφαρμογή της ισχύουσας νομοθεσίας, και ο προβλεπόμενος από αυτήν καταμερισμός της ευθύνης θα τελούσαν υπό την εξάρτηση ιδιωτικών συμφωνιών, στις οποίες τρίτοι οι οποίοι επιθυμούν να ασκήσουν τα δικαιώματά τους ενδέχεται να μην έχουν πρόσβαση.
87. Τρίτον, προκειμένου, ενδεχομένως, να αποτρέψει εν μέρει ορισμένα εξ αυτών των ζητημάτων, ο ΓΚΠΔ φαίνεται να θεσπίζει στο άρθρο 26 ένα νέο καθεστώς από κοινού ευθύνης. Είναι ασφαλώς αληθές ότι ο ΓΚΠΔ δεν είχε εφαρμογή ratione temporis ούτε στις υποθέσεις που εξετάζονται στο παρόν τμήμα ούτε στην υπό κρίση υπόθεση. Ωστόσο, εφόσον στο νέο νομοθέτημα δεν υπάρχει κάποια συγκεκριμένη ή συστηματική παρέκκλιση όσον αφορά τους κρίσιμους ορισμούς, πράγμα που φαίνεται να ισχύει, δεδομένου ότι στο άρθρο 4 του ΓΚΠΔ διατηρούνται σε μεγάλο βαθμό οι ίδιοι βασικοί όροι με αυτούς του άρθρου 2 της οδηγίας 95/46 (ενώ προστίθενται και αρκετοί νέοι), θα ήταν πολύ παράδοξο εάν η ερμηνεία αυτών των βασικών όρων, συμπεριλαμβανομένων των εννοιών του υπευθύνου της επεξεργασίας, της επεξεργασίας ή των δεδομένων προσωπικού χαρακτήρα, παρεξέκλινε σημαντικά (χωρίς να συντρέχει κάποιος πολύ σοβαρός λόγος) από αυτή που τους αποδίδεται από την υφιστάμενη νομολογία.
88. Εάν όντως έτσι έχουν τα πράγματα, τότε το καθεστώς κοινής ευθύνης των από κοινού υπευθύνων επεξεργασίας, που κατά τα φαινόμενα καθιερώνεται με το άρθρο 26, παράγραφος 3, του ΓΚΠΔ, ενδέχεται να αποτελεί μια αρκετά μεγάλη πρόκληση. Αφενός, το άρθρο 26, παράγραφος 1, του ΓΚΠΔ επιτρέπει στους από κοινού υπευθύνους της επεξεργασίας να «καθορίζουν […] τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις […]». Αφετέρου, όμως, το άρθρο 26, παράγραφος 3, του ΓΚΠΔ καθιστά σαφές ότι «το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του […] έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας» ανεξάρτητα από τους όρους οποιασδήποτε σχετικής συμφωνίας. Κατά συνέπεια, οποιοσδήποτε από τους από κοινού υπευθύνους της επεξεργασίας μπορεί να θεωρηθεί υπεύθυνος για την επίμαχη επεξεργασία δεδομένων.
2) Η ευρύτερη εικόνα
89. Πριν από πολύ καιρό (οι λάτρεις μιας συγκεκριμένης σειράς ταινιών επιστημονικής φαντασίας θα προσέθεταν ενδεχομένως «σε έναν γαλαξία πολύ, πολύ μακριά»), η συμμετοχή στα μέσα κοινωνικής δικτυώσεως ήταν πολύ δημοφιλής. Στη συνέχεια, σταδιακά, άρχισε να καθίσταται δημοφιλής η μη συμμετοχή στα μέσα κοινωνικής δικτυώσεως. Στις μέρες μας πλέον, φαίνεται ότι αποτελεί έγκλημα η συμμετοχή σε κάποιο μέσο κοινωνικής δικτυώσεως (για το οποίο μάλιστα θα πρέπει να θεσπιστούν νέες μορφές ευθύνης από τις πράξεις τρίτου).
90. Ουδόλως αμφισβητείται ότι η δικαιοδοτική διαδικασία λαμβάνει χώρα μέσα σε ένα εξελισσόμενο κοινωνικό πλαίσιο. Πρέπει, ασφαλώς, να αντιδρά σε αυτό το πλαίσιο, επ’ ουδενί όμως να ελέγχεται από αυτό. Ένα κοινωνικό δίκτυο, όπως κάθε άλλη εφαρμογή ή πρόγραμμα, συνιστά ένα εργαλείο. Όπως ακριβώς ένα μαχαίρι ή ένα αυτοκίνητο μπορεί να χρησιμοποιηθεί με διάφορους τρόπους. Επίσης, ουδόλως αμφισβητείται ότι, στην περίπτωση που χρησιμοποιείται για τους λάθος σκοπούς, η χρήση αυτή πρέπει να διώκεται. Ωστόσο, η επιβολή κυρώσεων σε οποιοδήποτε πρόσωπο χρησιμοποίησε κάποια στιγμή ένα μαχαίρι, μάλλον δεν είναι ό,τι καλύτερο. Το σύνηθες είναι να διώκεται το πρόσωπο(α) που ήλεγχε το μαχαίρι όταν αυτό προκάλεσε τη ζημία.
91. Ως εκ τούτου, μεταξύ της εξουσίας, του ελέγχου και της ευθύνης θα πρέπει να υπάρχει ενδεχομένως όχι πάντοτε η απόλυτη ταύτιση, αλλά τουλάχιστον μια εύλογη σύνδεση. Ασφαλώς, στο σύγχρονο δίκαιο περιλαμβάνονται διάφορες μορφές αντικειμενικής ευθύνης, οι οποίες ενεργοποιούνται απλώς και μόνον από την επέλευση ορισμένων αποτελεσμάτων. Αυτές όμως αποτελούν συνήθως τις δικαιολογημένες εξαιρέσεις. Εάν, χωρίς καμία αιτιολογημένη εξήγηση, καταλογίζεται ευθύνη σε πρόσωπα τα οποία δεν μπορούσαν να ελέγξουν το αποτέλεσμα, αυτός ο καταμερισμός θεωρείται, κατά κανόνα, αδικαιολόγητος ή αθέμιτος (42).
92. Εξάλλου, απαντώντας στο ερώτημα που τέθηκε στην αρχή του παρόντος τμήματος (σημείο 71 των παρουσών προτάσεων), κάποιος σκεπτικιστής καταγόμενος από τα ανατολικότερα τμήματα της Ευρωπαϊκής Ένωσης θα μπορούσε να σημειώσει, επικαλούμενος την ιστορική του εμπειρία, ότι η αποτελεσματική προστασία οποιουδήποτε πράγματος τείνει να μειωθεί δραματικά εάν άπαντες θεωρούνται υπεύθυνοι. Το να καθίστανται άπαντες υπεύθυνοι σημαίνει ότι, στην πραγματικότητα, κανείς δεν είναι υπεύθυνος. Ή μάλλον, το πρόσωπο που θα έπρεπε να φέρει την ευθύνη μιας συγκεκριμένης ενέργειας, ήτοι το πρόσωπο που ασκεί ουσιαστικό έλεγχο, είναι πολύ πιθανό να κρυφτεί πίσω από όλους αυτούς τους κατ’ επίφαση «συνυπεύθυνους», με συνέπεια να καθίσταται πολύ πιθανή η σε σημαντικό βαθμό εξασθένηση της αποτελεσματικής προστασίας.
93. Τέλος, η ορθή νομοθεσία (ή ερμηνεία της) δεν πρέπει να καταλήγει σε ένα αποτέλεσμα στο οποίο οι προβλεπόμενες από αυτήν υποχρεώσεις να μην μπορούν, στην πράξη, να εκπληρώνονται από τα πρόσωπα τα οποία βαρύνουν. Συνεπώς, προκειμένου ο αυστηρός ορισμός της (από κοινού) επεξεργασίας να μην μετατραπεί σε μια νομολογιακή επιταγή αποσυνδέσεως από την ευθύνη, η οποία να ισχύει για όλους τους φορείς, και στην αποχή από τη χρήση οποιουδήποτε μέσου κοινωνικής δικτυώσεως, προσθέτων και, ενδεχομένως, άλλου περιεχομένου τρίτων, τότε κατά τον καθορισμό των υποχρεώσεων και των ευθυνών θα πρέπει να διαδραματίζει κάποιο ρόλο η πραγματικότητα, συμπεριλαμβανομένων και πάλι των ζητημάτων της γνώσεως και της πραγματικής διαπραγματευτικής ισχύος και της δυνατότητας επηρεασμού των καταλογιστέων δραστηριοτήτων (43).
4. Επιστροφή στις (νομοθετικές) ρίζες: Η ενότητα του σκοπού και του μέσου όσον αφορά συγκεκριμένες εργασίες επεξεργασίας δεδομένων
94. Καίτοι η προσέγγιση που ακολούθησε στην υπόθεση Wirtschaftsakademie Schleswig‑Holstein ήταν μάλλον αυστηρή, το Δικαστήριο υπαινίχθηκε επίσης την ανάγκη περιορισμού της ευθύνης του (από κοινού) υπευθύνου της επεξεργασίας. Ειδικότερα, το Δικαστήριο έκρινε ότι «η ύπαρξη από κοινού ευθύνης δεν συνεπάγεται κατ’ ανάγκην ότι η ευθύνη την οποία υπέχουν οι διάφοροι φορείς που εμπλέκονται σε μια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι ισοδύναμη. […] οι εν λόγω φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας αυτής και σε διαφορετικό βαθμό, με αποτέλεσμα το επίπεδο ευθύνης καθενός από αυτούς να πρέπει να εκτιμάται λαμβανομένων υπόψη όλων των κρίσιμων περιστάσεων της συγκεκριμένης περιπτώσεως» (44).
95. Καίτοι στην υπόθεση Wirtschaftsakademie Schleswig‑Holstein η εξέταση του συγκεκριμένου ζητήματος δεν ήταν αναγκαία, η ανάγκη αυτή ανακύπτει στην υπό κρίση υπόθεση, όπου το αιτούν δικαστήριο ζητεί ευθέως από το Δικαστήριο να αποσαφηνίσει τις πιθανές υποχρεώσεις που συνεπάγεται για την εναγομένη ο χαρακτηρισμός της ως υπευθύνου της επεξεργασίας.
96. Ενόψει του νεοεισαχθέντος συστήματος της από κοινού ευθύνης στο άρθρο 26 του ΓΚΠΔ, είναι δύσκολο να προβλεφθεί με ποιον τρόπο η από κοινού ευθύνη θα μπορούσε να συνεπάγεται, όσον αφορά το ίδιο αποτέλεσμα σε σχέση με την ενδεχόμενη (μη θεμιτή) επεξεργασία δεδομένων προσωπικού χαρακτήρα, την άνιση ευθύνη. Τούτο οφείλεται ιδίως στο άρθρο 26, παράγραφος 3, του ΓΚΠΔ, το οποίο, κατά τα φαινόμενα, στρέφεται στην κατεύθυνση της από κοινού (και εις ολόκληρον) ευθύνης (45).
97. Φρονώ πάντως, ότι η κρίσιμη απόφανση του Δικαστηρίου είναι η δεύτερη, ότι δηλαδή «οι […] φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας αυτής και σε διαφορετικό βαθμό». Η άποψη αυτή ενισχύεται από τους ορισμούς που περιέχονται στην οδηγία 95/46, ιδίως όσον αφορά τον ορισμό (i) της έννοιας της επεξεργασίας στο άρθρο 2, στοιχείο βʹ, και (ii) της έννοιας του υπευθύνου της επεξεργασίας στο άρθρο 2, στοιχείο δʹ.
98. Πρώτον, η έννοια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα περιλαμβάνει «κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή».
99. Παρά το γεγονός ότι η έννοια της επεξεργασίας είναι, όπως και η έννοια του υπευθύνου της επεξεργασίας, αρκετά ευρεία (46), είναι σαφές ότι τονίζει και στοχεύει σε ένα στάδιο της διαδικασίας: παραπέμπει σε μια εργασία ή σειρά εργασιών, παραθέτοντας έναν ενδεικτικό κατάλογο σχετικά με το ποιες θα μπορούσαν να είναι αυτές οι επιμέρους εργασίες. Λογικά όμως, σε αυτήν την περίπτωση, το ζήτημα της επεξεργασίας θα πρέπει μάλλον να εκτιμάται σε συνάρτηση με την εκάστοτε επίμαχη εργασία και όχι σε συνάρτηση με ένα απροσδιόριστο συνονθύλευμα οποιωνδήποτε εργασιών που λογίζονται ως επεξεργασία (47).
100. Δεύτερον, η έννοια της από κοινού επεξεργασίας δεν ορίζεται ρητώς από την οδηγία 95/46. Λογικά, όμως, η εν λόγω έννοια εδράζεται στην έννοια του υπευθύνου της επεξεργασίας του άρθρου 2, στοιχείο δʹ: περίπτωση από κοινού επεξεργασίας συντρέχει όταν δύο ή περισσότερα πρόσωπα καθορίζουν από κοινού τον τρόπο και τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (48). Με άλλα λόγια, προκειμένου να χαρακτηρισθούν δύο (ή περισσότερα) πρόσωπα από κοινού υπεύθυνοι της επεξεργασίας, μεταξύ τους πρέπει να διαπιστώνεται ταύτιση των σκοπών και των τρόπων επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
101. Κατ’ εμέ, οι υποχρεώσεις και η πιθανή ευθύνη των από κοινού υπευθύνων της επεξεργασίας πρέπει να καθοριστούν βάσει του συνδυασμού των δύο αυτών ορισμών. Ο (από κοινού) υπεύθυνος επεξεργασίας ευθύνεται για την εργασία ή για τη σειρά εργασιών για τις οποίες συμμερίζεται ή συν‑καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας όσον αφορά μια συγκεκριμένη εργασία επεξεργασίας δεδομένων. Κατ’ αντιδιαστολή, το πρόσωπο αυτό δεν μπορεί να θεωρείται υπεύθυνο ούτε για τα προηγούμενα ούτε για τα επόμενα στάδια της συνολικής αλυσίδας της επεξεργασίας, για τα οποία δεν ευρίσκεται σε θέση να καθορίζει ούτε τους σκοπούς ούτε τον τρόπο επεξεργασίας σε αυτό το στάδιο της επεξεργασίας.
102. Στην προκειμένη υπόθεση, το κρίσιμο στάδιο (εργασίες) της επεξεργασίας αντιστοιχεί στη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται μέσω της επιλογής «μου αρέσει» του Facebook.
103. Πρώτον, όσον αφορά τον τρόπο επεξεργασίας αυτών των δεδομένων, όπως προβάλλει η ενάγουσα, ο LDI NW και η Γερμανική Κυβέρνηση, αποδεικνύεται ότι η εναγομένη είναι μάλλον αυτή που αποφάσισε τη χρήση του επίμαχου προσθέτου, το οποίο λειτουργεί ως όχημα για τη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα. Αυτή η συλλογή και η διαβίβαση ενεργοποιούνται τη στιγμή που κάποιος χρήστης επισκέπτεται την ιστοσελίδα της εναγομένης. Το συγκεκριμένο πρόσθετο διατίθεται στην εναγομένη από τη Facebook Ireland. Συνεπώς, τόσο η Facebook Ireland όσο και η εναγομένη φαίνεται ότι προκάλεσαν οικειοθελώς το στάδιο της συλλογής και διαβιβάσεως στο πλαίσιο της διαδικασίας επεξεργασίας των δεδομένων. Τούτο ασφαλώς απομένει να επαληθευθεί, σε επίπεδο πραγματικών περιστατικών, από το εθνικό δικαστήριο.
104. Δεύτερον, εξετάζοντας τον σκοπό της επεξεργασίας των δεδομένων, η διάταξη επί παραπομπής δεν αναφέρεται στους λόγους για τους οποίους η εναγομένη αποφάσισε να ενσωματώσει την επιλογή «μου αρέσει» του Facebook στην ιστοσελίδα της. Ωστόσο, και υπό την επιφύλαξη της σχετικής επαληθεύσεως εκ μέρους του αιτούντος δικαστηρίου, η απόφαση αυτή φαίνεται ότι προήλθε από την επιθυμία αυξήσεως της προβολής των προϊόντων της εναγομένης μέσω του εν λόγω κοινωνικού δικτύου. Παράλληλα, απ’ ό,τι φαίνεται, τα διαβιβαζόμενα στη Facebook Ireland δεδομένα χρησιμοποιούνταν για τους εμπορικούς σκοπούς της τελευταίας.
105. Παρά το γεγονός ότι η επιμέρους εμπορική χρήση των δεδομένων ενδέχεται να μην ταυτίζεται, συνολικώς, τόσο η εναγομένη όσο και η Facebook Ireland επιδιώκουν, απ’ ό,τι φαίνεται, εν γένει εμπορικούς σκοπούς κατά τρόπους οι οποίοι αλληλοσυμπληρώνονται. Υπ’ αυτήν την έννοια, καίτοι οι σκοποί δεν είναι ταυτόσημοι, εντούτοις, υπάρχει ενότητα των σκοπών: πρόκειται για εμπορικούς και διαφημιστικούς σκοπούς.
106. Επομένως, επί τη βάσει των πραγματικών περιστατικών της υπό κρίση υποθέσεως, η εναγομένη και η Facebook Ireland αποφάσισαν από κοινού τον τρόπο και τους σκοπούς της επεξεργασίας δεδομένων κατά το στάδιο της συλλογής και της διαβιβάσεως των επίμαχων δεδομένων προσωπικού χαρακτήρα. Στον βαθμό αυτό, η εναγομένη ενήργησε ως υπεύθυνος της επεξεργασίας και ευθύνεται, επίσης κατά το μέτρο αυτό, από κοινού με τη Facebook Ireland.
107. Παράλληλα, θεωρώ ότι η ευθύνη της εναγομένης πρέπει να περιοριστεί στο στάδιο της επεξεργασίας των δεδομένων στο οποίο αυτή εμπλέκεται και δεν μπορεί να διαχέεται σε πιθανά μεταγενέστερα στάδια της διαδικασίας επεξεργασίας, δεδομένου ότι η επεξεργασία αυτή δεν υπόκειται στον έλεγχό της και, απ’ ό,τι φαίνεται, δεν τελεί επίσης σε γνώση της.
108. Ως εκ τούτου, υπό το πρίσμα των ανωτέρω, το δεύτερο ενδιάμεσο συμπέρασμά μου είναι ότι πρόσωπο όπως η εναγομένη, το οποίο έχει ενσωματώσει στην ιστοσελίδα του πρόσθετο τρίτου, διά του οποίου διενεργείται συλλογή και διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών (όπου το εν λόγω πρόσθετο έχει διατεθεί από αυτόν τον τρίτο), πρέπει να λογίζεται ως υπεύθυνος της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Όμως, η (από κοινού) ευθύνη αυτού του υπευθύνου της επεξεργασίας περιορίζεται στις εργασίες εκείνες για τις οποίες έχει συναποφασίσει κατά τρόπο ουσιαστικό τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
109. Θα πρέπει να προστεθεί ότι αυτό το συμπέρασμα απαντά επίσης στο τρίτο υποβληθέν ερώτημα. Με το ερώτημα αυτό, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινισθεί εάν η οδηγία 95/46 αποκλείει τη δυνατότητα να αποδοθεί στην εναγομένη η αναγόμενη στο εθνικό δίκαιο έννοια του Störer (διαταράκτη), εάν αποδειχθεί ότι η εναγομένη δεν συνιστά υπεύθυνο της επεξεργασίας. Κατά τη διάταξη περί παραπομπής, η έννοια του Störer απαιτεί από το πρόσωπο το οποίο δεν προσβάλλει δικαίωμα, αλλά δημιουργεί ή αυξάνει τον κίνδυνο προσβολής δικαιώματος από τρίτο, να καταβάλει κάθε δυνατή και ευλόγως αναμενόμενη από αυτόν προσπάθεια προκειμένου να αποτρέψει την προσβολή. Εάν γίνει δεκτό ότι η εναγομένη δεν συνιστά υπεύθυνο επεξεργασίας, το αιτούν δικαστήριο εκτιμά ότι πληρούνται οι προϋποθέσεις για την εφαρμογή της έννοιας του Störer, διότι, με την ενσωμάτωση του προσθέτου για την επιλογή «μου αρέσει» του Facebook, η εναγομένη, αν μη τι άλλο, δημιούργησε τον κίνδυνο προσβολής δικαιώματος εκ μέρους του Facebook.
110. Λαμβανομένης υπόψη της απαντήσεως που προτείνω να δοθεί στο δεύτερο προδικαστικό ερώτημα του αιτούντος δικαστηρίου, φρονώ ότι η εξέταση του τρίτου προδικαστικού ερωτήματος παρέλκει. Άπαξ και αποδειχθεί ότι ένα συγκεκριμένο πρόσωπο θα πρέπει να χαρακτηρισθεί ως υπεύθυνος της επεξεργασίας στο πλαίσιο του πεδίου εφαρμογής της οδηγίας 95/46, οι υποχρεώσεις του ως υπευθύνου της επεξεργασίας πρέπει να αξιολογούνται υπό το πρίσμα των υποχρεώσεων που καθορίζονται στην εν λόγω οδηγία. Η αποδοχή του αντίθετου συμπεράσματος θα είχε ως αποτέλεσμα τη διαφοροποίηση της ευθύνης μεταξύ των υπευθύνων της επεξεργασίας για συγκεκριμένη παράβαση στα διάφορα κράτη μέλη. Υπ’ αυτήν την έννοια, και όσον αφορά τον ορισμό του υπευθύνου της επεξεργασίας, η οδηγία 95/46 συνεπάγεται πράγματι την πλήρη εναρμόνιση όσον αφορά τους αποδέκτες των προβλεπόμενων υποχρεώσεων (49).
3. Τα έννομα συμφέροντα που πρέπει να ληφθούν υπόψη δυνάμει του άρθρου 7, στοιχείο στʹ, της οδηγίας 95/46
111. Το τέταρτο προδικαστικό ερώτημα που τίθεται στην υπό κρίση υπόθεση αφορά τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα κατά την έννοια του άρθρου 7, στοιχείο αʹ, της οδηγίας 95/46.
112. Συναφώς, το αιτούν δικαστήριο παραπέμπει στο άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, κατά το οποίο η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη «όταν είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα […]». Ειδικότερα, το αιτούν δικαστήριο επιθυμεί να αποσαφηνιστεί ποιου προσώπου τα έννομα συμφέροντα θα πρέπει να ληφθούν υπόψη στο πλαίσιο της υπό κρίση υποθέσεως: της εναγομένης, η οποία προέβη στην ενσωμάτωση του περιεχομένου τρίτου, ή του ίδιου του τρίτου (δηλαδή της Facebook Ireland) (50).
113. Εισαγωγικά, επιβάλλεται να σημειωθεί ότι η Επιτροπή υποστηρίζει ότι το τέταρτο προδικαστικό ερώτημα είναι άνευ αντικειμένου, διότι εν προκειμένω η συγκατάθεση του χρήστη έπρεπε να έχει παρασχεθεί ούτως ή άλλως, κατ’ εφαρμογήν της νομοθεσίας με την οποία μεταφέρθηκε στην εσωτερική έννομη τάξη η οδηγία 2002/58/ΕΚ, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (στο εξής: οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (51).
114. Συμμερίζομαι την άποψη της Επιτροπής ότι η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (η οποία, κατά το άρθρο της 1, παράγραφος 2, διευκρινίζει και συμπληρώνει την οδηγία 95/46 στον τομέα των ηλεκτρονικών επικοινωνιών) (52), τυγχάνει εφαρμογής στην υπό κρίση υπόθεση, εφόσον στις συσκευές των χρηστών τοποθετούνται cookies (53). Εξάλλου, το άρθρο 2, στοιχείο στʹ, και η αιτιολογική σκέψη 17 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες ορίζουν τη συγκατάθεση διά παραπομπής στην αντίστοιχη έννοια στην οδηγία 95/46.
115. Το ζήτημα εάν, στην υπόθεση κύριας δίκης, έλαβε χώρα τοποθέτηση cookies υπήρξε αντικείμενο οξείας αντιπαραθέσεως κατά την επ’ ακροατηρίου συζήτηση. Αυτή η αποσαφήνιση των πραγματικών περιστατικών εναπόκειται στην κρίση του εθνικού δικαστή. Πάντως, και εν πάση περιπτώσει, όπως εκτίθεται στη διάταξη περί παραπομπής, το αιτούν δικαστήριο φρονεί ότι τα διαβιβασθέντα δεδομένα συνιστούν δεδομένα προσωπικού χαρακτήρα (54). Ως εκ τούτου, το ζήτημα των cookies δεν φαίνεται να δίνει την απάντηση σε όλα τα ζητήματα που προφανώς ανακύπτουν στην υπό κρίση υπόθεση όσον αφορά την επεξεργασία δεδομένων (55).
116. Κατά συνέπεια, φρονώ ότι το τέταρτο προδικαστικό ερώτημα χρήζει περαιτέρω εξετάσεως.
117. Η ενάγουσα υποστηρίζει ότι το έννομο συμφέρον που θα πρέπει να ληφθεί υπόψη είναι αυτό της εναγομένης. Προσθέτει δε ότι, στην υπό κρίση υπόθεση, ούτε η εναγομένη ούτε η Facebook Ireland θεμελιώνουν έννομο συμφέρον.
118. Η εναγομένη και η Facebook Ireland προβάλλουν, κατ’ ουσίαν, ότι τα έννομα συμφέροντα που πρέπει να ληφθούν υπόψη είναι αυτά του προσώπου που προέβη στην ενσωμάτωση του περιεχομένου τρίτου, καθώς και εκείνα του ίδιου του τρίτου, λαμβανομένων, παράλληλα, υπόψη των συμφερόντων των επισκεπτών της ιστοσελίδας, των οποίων τα θεμελιώδη δικαιώματα ενδέχεται να προσβάλλονται.
119. Ο LDI NW, η Πολωνική, η Γερμανική και η Ιταλική Κυβέρνηση θεωρούν ότι υπόψη θα πρέπει να ληφθούν τα έννομα συμφέροντα τόσο της Facebook Ireland όσο και της εναγομένης, δεδομένου ότι αμφότερες κατέστησαν εφικτή την επίμαχη επεξεργασία. Η Αυστριακή Κυβέρνηση ενστερνίζεται μια παρόμοια άποψη. Ομοίως, η Βελγική Κυβέρνηση, παραπέμποντας στην απόφαση του Δικαστηρίου στην υπόθεση Google Spain, υπογραμμίζει ότι τα έννομα συμφέροντα που πρέπει να ληφθούν υπόψη είναι τόσο αυτά του υπευθύνου της επεξεργασίας όσο και εκείνα των τρίτων στους οποίους γνωστοποιήθηκαν τα σχετικά δεδομένα προσωπικού χαρακτήρα.
120. Επιβάλλεται να υπομνησθεί εκ προοιμίου ότι το σύνολο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πρέπει, κατ’ αρχήν, να συμμορφώνεται, μεταξύ άλλων, με ένα εκ των κριτηρίων που καθιστούν σύννομη την επεξεργασία δεδομένων, τα οποία απαριθμούνται στο άρθρο 7 της οδηγίας 95/46 (56).
121. Ειδικά όσον αφορά το 7, στοιχείο στʹ, της οδηγίας 95/46, το Δικαστήριο υπενθύμισε ότι η διάταξη αυτή «[…] προβλέπει τρεις σωρευτικές προϋποθέσεις για τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και δη, πρώτον, την επιδίωξη εννόμου συμφέροντος εκ μέρους του υπευθύνου της επεξεργασίας ή του τρίτου ή των τρίτων στους οποίους ανακοινώνονται τα δεδομένα, δεύτερον, την αναγκαιότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την επίτευξη του επιδιωκόμενου εννόμου συμφέροντος και, τρίτον, την προϋπόθεση ότι δεν προέχουν τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου το οποίο αφορά η προστασία των δεδομένων» (57).
122. Η οδηγία 95/46 ούτε ορίζει ούτε απαριθμεί «έννομα συμφέροντα». Η συγκεκριμένη έννοια είναι αρκετά ελαστική και αόριστη (58). Δεν υπάρχει κάποια κατηγορία συμφερόντων η οποία να εξαιρείται, αυτή τούτη, στο μέτρο βεβαίως που τα συμφέροντα αυτά είναι σύννομα. Όπως συζητήθηκε ουσιαστικά κατά την επ’ ακροατηρίου συζήτηση και όπως εκτίθεται σε προηγούμενα σημεία των παρουσών προτάσεων (59), το επίμαχο ζήτημα στην υπό κρίση υπόθεση είναι, απ’ ό,τι φαίνεται, η συλλογή και διαβίβαση των δεδομένων προσωπικού χαρακτήρα για τον σκοπό της διαφημιστικής βελτιστοποιήσεως, παρά το γεγονός ότι οι ακριβείς εμπορικοί σκοποί της εναγομένης και της Facebook Ireland ενδέχεται να μην είναι ακριβώς ταυτόσημοι.
123. Με αυτές τις παρατηρήσεις κατά νου, οφείλω να συμφωνήσω ότι η εμπορία ή η διαφήμιση μπορούν, αυτές τούτες, να συνιστούν τέτοιου είδους θεμιτά συμφέροντα (60). Στο πλαίσιο της υπό κρίση υποθέσεως, δεν θα μπορούσε να ειπωθεί τίποτα άλλο πέραν αυτής της δηλώσεως, καθόσον δεν υπάρχουν συγκεκριμένα στοιχεία σχετικά με τους τρόπους με τους οποίους χρησιμοποιήθηκαν τα διαβιβασθέντα και ληφθέντα δεδομένα, εκτός από αυτές τις γενικές παρατηρήσεις.
124. Παρά ταύτα, το αιτούν δικαστήριο ούτε εξετάζει ούτε ζητεί καθοδήγηση σχετικά με την εκτίμηση που θα πρέπει να γίνει όσον αφορά τα συγκεκριμένα έννομα συμφέροντα που προβάλλονται στην κύρια δίκη. Με το τέταρτο ερώτημά του, το αιτούν δικαστήριο ζητεί απλώς να διευκρινιστεί ποιου προσώπου τα έννομα συμφέροντα θα πρέπει να εξετασθούν στο πλαίσιο της σταθμίσεως που προβλέπεται από το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46.
125. Υπό το πρίσμα της απαντήσεως που προτείνω να δοθεί στο δεύτερο ερώτημα, φρονώ ότι υπόψη πρέπει να ληφθούν τα έννομα συμφέροντα τόσο της εναγομένης όσο και της Facebook Ireland διότι αμφότερες ενεργούν ως υπεύθυνοι της επεξεργασίας σε σχέση με την επεξεργασία των αντίστοιχων δεδομένων προσωπικού χαρακτήρα.
126. Δεδομένου ότι η ιδιότητά τους ως από κοινού υπευθύνων της επεξεργασίας συνεπάγεται ότι αποβλέπουν επίσης στον ίδιο σκοπό με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, η ύπαρξη εννόμου συμφέροντος θα πρέπει να αποδεικνύεται για αμφότερες, τουλάχιστον σε ένα γενικό επίπεδο όπως διευκρινίστηκε ανωτέρω. Το συμφέρον αυτό θα πρέπει ακολούθως να σταθμιστεί σε σχέση με τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως προβλέπεται από το τελευταίο εδάφιο του άρθρου 7, στοιχείο στʹ, της οδηγίας 95/46 (61), με την εν λόγω στάθμιση να εξαρτάται «κατ’ αρχήν από τις ιδιαίτερες περιστάσεις κάθε συγκεκριμένης περιπτώσεως» (62). Υπενθυμίζω ότι η επεξεργασία των δεδομένων υπ’ αυτές τις συνθήκες θα πρέπει επίσης να πληροί την προϋπόθεση αναγκαιότητας (63).
127. Υπό το πρίσμα των ανωτέρω, το τρίτο ενδιάμεσο συμπέρασμά μου είναι ότι, για τον σκοπό της αξιολογήσεως της δυνατότητας επεξεργασίας δεδομένων προσωπικού χαρακτήρα υπό τις προϋποθέσεις που τίθενται από το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, θα πρέπει να λαμβάνονται υπόψη τα έννομα συμφέροντα αμφοτέρων των από κοινού υπευθύνων επεξεργασίας και αυτά να σταθμίζονται σε σχέση με τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα.
4. Οι υποχρεώσεις της εναγομένης όσον αφορά τη συγκατάθεση που πρέπει να λάβει και τις πληροφορίες που οφείλει να παράσχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα
128. Με το πέμπτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί να μάθει ποιου προσώπου η συγκατάθεση, η οποία πρέπει να δηλωθεί σύμφωνα με το άρθρο 7, στοιχείο αʹ, και το άρθρο 2, στοιχείο ηʹ, της οδηγίας 95/46, θα έπρεπε να είχε παρασχεθεί υπό τις περιστάσεις της προκείμενης υποθέσεως.
129. Με το έκτο ερώτημά του, το αιτούν δικαστήριο ζητεί να μάθει εάν το προβλεπόμενο από το άρθρο 10 της οδηγίας 95/46 καθήκον ενημερώσεως τυγχάνει εφαρμογής, στην υπό κρίση υπόθεση, στον διαχειριστή της ιστοσελίδας (όπως είναι η εναγομένη) που ενσωμάτωσε περιεχόμενο τρίτου, προκαλώντας, με τον τρόπο αυτόν, την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αυτόν τον τρίτο.
130. Όπως προεκτέθηκε (64), σε αυτά τα ερωτήματα υπάρχουν πολλές προτεινόμενες απαντήσεις. Πάντως, από τη στιγμή που θα καθοριστεί ο ακριβής χαρακτήρας της υποχρεώσεως στην οποία αναφέρεται το δεύτερο ερώτημα, τόσο όσον αφορά τον υπόχρεο (ποιος) όσο και τη φύση της οικείας υποχρεώσεως (για ποιο πράγμα) και, συνεπώς, το συγκεκριμένο ζήτημα έχει αποσαφηνισθεί ανάντη, τότε οι απαντήσεις που πρέπει να δοθούν στο πέμπτο και στο έκτο προδικαστικό ερώτημα, τα οποία αφορούν συγκεκριμένες υποχρεώσεις κατάντη, καθίστανται ευκρινέστερες.
131. Κατ’ αρχάς, φρονώ ότι τόσο η συγκατάθεση όσο και οι παρεχόμενες πληροφορίες, θα πρέπει να καλύπτουν το σύνολο των πτυχών της επεξεργασίας δεδομένων για τις οποίες οι από κοινού υπεύθυνοι επεξεργασίας ευθύνονται αλληλεγγύως, δηλαδή τη συλλογή και τη διαβίβαση. Αντιθέτως, αυτές οι υποχρεώσεις λήψεως συγκαταθέσεως και παροχής πληροφοριών δεν εκτείνονται σε επόμενα στάδια της επεξεργασίας δεδομένων στα οποία η εναγομένη δεν εμπλέκεται και για τα οποία, λογικά, δεν μπορεί να καθορίσει ούτε τον τρόπο ούτε τους σκοπούς επεξεργασίας.
132. Δεύτερον, υπ’ αυτές τις συνθήκες, θα μπορούσε να υποστηριχθεί ότι η συγκατάθεση μπορεί να παρέχεται είτε στον έναν είτε και στους δύο από κοινού υπευθύνους επεξεργασίας. Ωστόσο, λαμβανομένης υπόψη της συγκεκριμένης υπό εξέταση περιπτώσεως, η εν λόγω συγκατάθεση θα πρέπει να παρέχεται στην εναγομένη διότι η διαδικασία επεξεργασίας ενεργοποιείται, στην πράξη, όταν ο χρήστης επισκέπτεται τη δική της ιστοσελίδα. Η παροχή της εν λόγω συγκαταθέσεως μόνο στον από κοινού υπεύθυνο της επεξεργασίας που εμπλέκεται μεταγενέστερα (εάν εμπλέκεται), αφού λάβει χώρα η συλλογή και η διαβίβαση των δεδομένων, θα ήταν, προφανώς, αντίθετη στην αποτελεσματική και έγκαιρη προστασία των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.
133. Παρόμοια απάντηση πρέπει να δοθεί και όσον αφορά την υποχρέωση ενημερώσεως που υπέχει η εναγομένη δυνάμει του άρθρου 10 της οδηγίας 95/46. Με τη συγκεκριμένη διάταξη θεσπίζεται ένας ενδεικτικός κατάλογος πληροφοριών που πρέπει να γνωστοποιούνται στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα από τον υπεύθυνο της επεξεργασίας (ή τους εκπροσώπους του). Περιλαμβάνει τα ακόλουθα στοιχεία: την ταυτότητα του υπευθύνου της επεξεργασίας (ή του εκπροσώπου του)· τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα καθώς και οποιαδήποτε περαιτέρω πληροφορία, «εφόσον οι πληροφορίες αυτές είναι αναγκαίες, λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα». Στο άρθρο 10 παρατίθενται παραδείγματα τέτοιων πρόσθετων πληροφοριών στις οποίες περιλαμβάνονται, στον βαθμό που θα μπορούσαν να είναι κρίσιμες για την υπό κρίση υπόθεση, πληροφορίες σχετικά με τον αποδέκτη των δεδομένων ή σχετικά με την ύπαρξη δικαιώματος προσβάσεως στα συγκεκριμένα δεδομένα και του δικαιώματος διορθώσεως των δεδομένων που αφορούν το ενδιαφερόμενο πρόσωπο.
134. Λαμβανομένου υπόψη αυτού του καταλόγου, η εναγομένη είναι σαφές ότι είναι σε θέση να παράσχει πληροφορίες σχετικά με την ταυτότητα των από κοινού υπευθύνων της επεξεργασίας, σχετικά με τον σκοπό του οικείου σταδίου της επεξεργασίας (της εργασίας ή των εργασιών για τις οποίες ευθύνεται από κοινού)· επίσης δε, σχετικά με το γεγονός ότι τα εν λόγω δεδομένα πρόκειται να διαβιβασθούν.
135. Αντιθέτως, όσον αφορά το δικαίωμα προσβάσεως και το δικαίωμα διορθώσεως, θεωρώ ότι η εναγομένη δεν έχει ούτε η ίδια αυτή την πρόσβαση στα διαβιβαζόμενα στη Facebook Ireland δεδομένα, καθόσον ουδόλως εμπλέκεται στην αποθήκευσή τους. Έτσι, θα μπορούσε, παραδείγματος χάριν, να υποστηριχθεί ότι το ζήτημα αυτό δύναται να αποτελέσει το αντικείμενο συμφωνίας με τη Facebook Ireland.
136. Όμως, τέτοιου είδους προτάσεις, πέραν των επιχειρημάτων που προεκτέθηκαν (65), επιχειρούν και πάλι να διευρύνουν τις υποχρεώσεις και την ευθύνη του (από κοινού) υπευθύνου της επεξεργασίας σε εργασίες για τις οποίες ο ίδιος δεν ευθύνεται. Εφόσον η από κοινού επεξεργασία έχει την έννοια της αναλήψεως της ευθύνης για εργασίες στις οποίες ταυτίζονται οι σκοποί και ο τρόπος επεξεργασίας των υπευθύνων της επεξεργασίας, τότε, λογικά, οι λοιπές επιβαλλόμενες από την οδηγία υποχρεώσεις, όπως η λήψη της συγκαταθέσεως και η ενημέρωση, το δικαίωμα προσβάσεως ή το δικαίωμα διορθώσεως, θα πρέπει να αντιστοιχούν στην έκταση αυτής της αρχικής υποχρεώσεως (66).
137. Επίσης, κατά την επ’ ακροατηρίου συζήτηση, επισημάνθηκε από την Επιτροπή ότι επισκέπτες της ιστοσελίδας οι οποίοι διατηρούν λογαριασμό στο Facebook ενδέχεται να έχουν συναινέσει εκ των προτέρων σε αυτού του είδους τη διαβίβαση δεδομένων. Τούτο θα είχε ως αποτέλεσμα τη διαφοροποίηση της ευθύνης της εναγομένης, με την Επιτροπή να υπαινίσσεται προφανώς ότι οι υποχρεώσεις ενημερώσεως και λήψεως συγκαταθέσεως που υπέχει η εναγομένη θα αφορούσαν, σε αυτήν την περίπτωση, μόνον τα πρόσωπα που δεν είναι χρήστες του Facebook και επισκέπτονται την ιστοσελίδα της.
138. Δεν συμφωνώ. Δυσκολεύομαι να δεχθώ την άποψη ότι, υπό τις περιστάσεις της υπό κρίση υποθέσεως, στους «χρήστες του Facebook» θα πρέπει να επιφυλάσσεται διαφορετική (λιγότερο προστατευτική) μεταχείριση με την αιτιολογία ότι αυτοί έχουν εκ των προτέρων αποδεχθεί την πιθανότητα (οποιασδήποτε και κάθε είδους) επεξεργασίας των προσωπικών τους δεδομένων από το Facebook. Πράγματι, το συγκεκριμένο επιχείρημα υπαινίσσεται ότι με τη δημιουργία ενός λογαριασμού στο Facebook, ο κάθε χρήστης αποδέχεται εκ των προτέρων οποιαδήποτε επεξεργασία δεδομένων σε σχέση με κάθε διαδικτυακή δραστηριότητα αυτών των «χρηστών του Facebook» από οποιονδήποτε τρίτο ο οποίος διατηρεί οποιουδήποτε είδους δεσμό με το Facebook. Τούτο ισχύει ακόμη και στην περίπτωση κατά την οποία δεν υπάρχει ορατή ένδειξη αυτής της επεξεργασίας δεδομένων (όπως συμβαίνει, απ’ ό,τι φαίνεται, όταν κάποιος απλώς επισκέπτεται την ιστοσελίδα της εναγομένης). Με άλλα λόγια, η αποδοχή της προτάσεως της Επιτροπής θα σήμαινε, ουσιαστικά, ότι με τη δημιουργία ενός λογαριασμού Facebook, ο χρήστης παραιτείται, ουσιαστικά, οποιασδήποτε προστασίας των προσωπικών του διαδικτυακών δεδομένων έναντι του Facebook.
139. Επομένως, φρονώ ότι η ευθύνη και οι συνακόλουθες υποχρεώσεις λήψεως συγκαταθέσεως και ενημερώσεως που υπέχει η εναγομένη έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα πρέπει να είναι οι ίδιες ανεξάρτητα από το εάν τα πρόσωπα αυτά διατηρούν ή όχι λογαριασμό στο Facebook.
140. Επιπλέον, καθίσταται για μία ακόμη φορά σαφές ότι η συγκεκριμένη συγκατάθεση και οι πληροφορίες πρέπει να παρέχονται πριν από τη συλλογή και τη διαβίβαση των δεδομένων (67).
141. Έτσι, υπό το πρίσμα των ανωτέρω, το τελευταίο ενδιάμεσο συμπέρασμά μου όσον αφορά την απάντηση που θα πρέπει να δοθεί στο πέμπτο και στο έκτο προδικαστικό ερώτημα, είναι ότι σε περιπτώσεις όπως η επίμαχη εν προκειμένω η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα η οποία λαμβάνεται δυνάμει του άρθρου 7, στοιχείο αʹ, της οδηγίας 95/46 πρέπει να παρέχεται στον διαχειριστή ιστοσελίδας, όπως η εναγομένη, ο οποίος έχει ενσωματώσει περιεχόμενο τρίτου. Το άρθρο 10 της οδηγίας 95/46 πρέπει να ερμηνεύεται υπό την έννοια ότι η υποχρέωση ενημερώσεως που προβλέπεται από την οικεία διάταξη τυγχάνει επίσης εφαρμογής στον διαχειριστή ιστοσελίδας. Η προβλεπόμενη από το άρθρο 7, στοιχείο αʹ, της οδηγίας 95/46 συγκατάθεση πρέπει να δίδεται και οι πληροφορίες κατά την έννοια του άρθρου 10 της ίδιας οδηγίας πρέπει να παρέχονται πριν από τη συλλογή και τη διαβίβαση των δεδομένων. Πάντως, η έκταση αυτών των υποχρεώσεων πρέπει να αντιστοιχεί στην από κοινού ευθύνη που υπέχει ο εν λόγω διαχειριστής για τη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα.
V. Πρόταση
142. Υπό το πρίσμα των ανωτέρω, προτείνω στο Δικαστήριο να απαντήσει στα ερωτήματα που του υπέβαλε το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ, Γερμανία) ως ακολούθως:
– Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, δεν αντιβαίνει σε εθνική νομοθεσία η οποία αναγνωρίζει σε μη κερδοσκοπικές ενώσεις το δικαίωμα να προσφεύγουν κατά των φερομένων ως παραβατών της νομοθεσίας για την προστασία δεδομένων προκειμένου να προασπίσουν τα συμφέροντα των καταναλωτών.
– Πρόσωπο το οποίο έχει ενσωματώσει στην ιστοσελίδα του πρόσθετο τρίτου, από το οποίο προκαλείται η συλλογή και η διαβίβαση δεδομένων προσωπικού χαρακτήρα των χρηστών (όπου το εν λόγω πρόσθετο έχει παρασχεθεί από αυτόν τον τρίτο), πρέπει να θεωρείται υπεύθυνος της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Πάντως, η (από κοινού) ευθύνη αυτού του υπευθύνου της επεξεργασίας περιορίζεται στις εργασίες εκείνες για τις οποίες αυτός συναποφασίζει κατά τρόπο ουσιαστικό σχετικά με τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
– Για τον σκοπό της αξιολογήσεως της δυνατότητας επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις προϋποθέσεις που τίθενται στο άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 πρέπει να λαμβάνονται υπόψη και να σταθμίζονται έναντι των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα τα έννομα συμφέροντα αμφοτέρων των επίμαχων από κοινού υπευθύνων της επεξεργασίας.
– Η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, η οποία λαμβάνεται δυνάμει του άρθρου 7, στοιχείο αʹ, της οδηγίας 95/46, πρέπει να παρέχεται στον διαχειριστή της ιστοσελίδας στην οποία έχει ενσωματωθεί το περιεχόμενο τρίτου. Το άρθρο 10 της οδηγίας 95/46 πρέπει να ερμηνευθεί υπό την έννοια ότι το προβλεπόμενο από την οικεία διάταξη καθήκον ενημερώσεως εφαρμόζεται επίσης σε τέτοιου είδους διαχειριστές ιστοσελίδων. Η προβλεπόμενη από το άρθρο 7, στοιχείο αʹ, της οδηγίας 95/46 συγκατάθεση καθώς και οι πληροφορίες κατά την έννοια του άρθρου 10 της ίδιας οδηγίας πρέπει να παρέχονται πριν από τη συλλογή και τη διαβίβαση των δεδομένων. Πάντως, η έκταση αυτών των υποχρεώσεων πρέπει να αντιστοιχεί στην από κοινού ευθύνη που υπέχει ο εν λόγω διαχειριστής για τη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα.