CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:1039

MIŠLJENJE NEZAVISNOG ODVJETNIKA

MICHALA BOBEKA

od 19. prosinca 2018.(1)

Predmet C‑40/17

Fashion ID GmbH & Co.KG

protiv

Verbraucherzentrale NRW eV

uz sudjelovanje:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen

(zahtjev za prethodnu odluku koji je uputio Oberlandesgericht Düsseldorf (Visoki zemaljski sud u Düsseldorfu) (Njemačka))

„Zahtjev za prethodnu odluku – Direktiva 95/46/EZ – Zaštita osobnih podataka korisnika internetskih stranica – Pravni interes udruženja za zaštitu potrošača za podnošenje tužbe – Odgovornost upravitelja internetske stranice – Prijenos osobnih podataka trećoj stranci – Integrirani plugin – Facebookova tipka ‚Sviđa mi se’ – Zakoniti interes – Suglasnost osobe čiji se podaci obrađuju – Obveza pružanja informacija”

I. Uvod

1. Društvo Fashion ID GmbH & Co. KG bavi se internetskom maloprodajom modnih artikala. Ono je u svoju internetsku stranicu integriralo plugin, i to Facebookovu tipku „Sviđa mi se”. To znači da se, kada korisnik posjeti internetsku stranicu društva Fashion ID, podaci o IP adresi te pregledniku i računalu tog korisnika prenose Facebooku. Taj prijenos nastupa automatski kada se internetska stranica društva Fashion ID učita, neovisno o tome je li korisnik kliknuo na tipku „Sviđa mi se” te ima li račun na Facebooku.

2. Verbraucherzentrale NRW e.V, njemačko udruženje za zaštitu potrošača, pokrenuo je sudski postupak protiv društva Fashion ID radi ishođenja sudskog naloga o zabrani, obrazloživši to tvrdnjom da uporaba tog plugina ima za posljedicu povredu propisa o zaštiti podataka.

3. Nakon što je pred njim pokrenut postupak, Oberlandesgericht Düsseldorf (Visoki zemaljski sud u Düsseldorfu, Njemačka) zahtijeva tumačenje nekoliko odredaba Direktive 95/46/EZ (u daljnjem tekstu: Direktiva 95/46)(2). Taj sud uvodno pita dopušta li navedena direktiva da se nacionalnim propisom aktivna procesna legitimacija radi podnošenja tužbe, poput one u predmetnom slučaju, dodijeli udruženju za zaštitu potrošača. Što se merituma tiče, ključno pitanje koje se postavlja jest mora li se društvo Fashion ID smatrati „nadzornikom” u odnosu na obradu podataka koja se provodi te, ako ga se mora takvim smatrati, na koji točno način u takvoj situaciji treba ispuniti obveze predviđene Direktivom 95/46. Čiji zakoniti interes treba uzeti u obzir prilikom odvagivanja koje zahtijeva članak 7. točka (f) Direktiva 95/46? Je li društvo Fashion ID obvezno osobe čiji se podaci obrađuju obavijestiti o obradi? Je li društvo Fashion ID ujedno to koje u tom pogledu mora pribaviti informiranu suglasnost osoba čiji se podaci obrađuju?

I. Pravni okvir

A. Pravo Unije

Direktiva 95/46

4. Cilj Direktive 95/46 izložen je u njezinu članku 1. Stavak 1. tog članka predviđa: „[D]ržave članice štite temeljna prava i slobode fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka”. U skladu sa stavkom 2. članka 1., „[d]ržave članice ne ograničavaju ni zabranjuju slobodni prijenos osobnih podataka između država članica iz razloga povezanih sa zaštitom osiguranom u stavku 1. [t]og članka”.

5. Članak 2. sadržava sljedeće definicije:

„(a) ‚osobni podaci’ znači bilo koji podaci koji se odnose na utvrđenu fizičku osobu ili fizičku osobu koju se može utvrditi (‚osoba čiji se podaci obrađuju’); osoba koja se može utvrditi je osoba čiji je identitet moguće utvrditi, izravno ili neizravno, a posebno navođenjem identifikacijskog broja ili jednog ili više činitelja značajnih za njegov fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet;

(b) ‚obrada osobnih podataka’ (‚obrada’) znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne, kao što je prikupljanje, snimanje, organiziranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, blokiranje, brisanje ili uništavanje;

[…]

(d) ‚nadzornik’ znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; kada su svrha i načini obrade utvrđeni nacionalnim zakonodavstvom ili pravom Zajednice, nadzornik ili posebna mjerila za njegovo imenovanje mogu se utvrditi nacionalnim zakonodavstvom ili pravom Zajednice;

[…]

(h) ‚suglasnost osobe čiji se podaci obrađuju’ znači svaka dobrovoljno dana, posebna i informirana izjava volje, kojom osoba čiji se podaci obrađuju daje svoju suglasnost da se obrade osobni podaci koji se na nju odnose.”

6. U članku 7. utvrđeni su kriteriji koji moraju biti zadovoljeni kako bi obrada podataka bila zakonita: „Države članice osiguravaju da se osobni podaci mogu obrađivati jedino ako:

(a) je osoba čiji se podaci obrađuju nedvosmisleno dala svoju suglasnost; ili

[…]

(f) je obrada potrebna u svrhe zakonitog interesa koji ima nadzornik ili treća stranka ili stranke kojima se podaci otkrivaju, osim kada su ti podaci podređeni interesu za temeljna prava i slobode osobe čiji se podaci obrađuju koja zahtijeva zaštitu na temelju članka 1. stavka 1. ove Direktive.”

7. Članak 10. predviđa minimalne podatke koji se moraju dati osobi čiji se podaci obrađuju:

„Države članice propisuju da nadzornik ili njegov zastupnik moraju dati osobi čiji se podaci obrađuju, a od koje se prikupljaju podaci, barem sljedeće podatke, osim u slučaju da ih već ima:

(a) identitet nadzornika i njegova zastupnika, ako ga ima;

(b) svrhu obrade podataka;

primatelji ili vrste primatelja podataka,

– jesu li odgovori na pitanja obvezni ili dobrovoljni te moguće posljedice u slučaju da se ne odgovori na pitanja,

– postojanje prava na pristup podacima i prava na ispravljanje podataka koji se na nju odnose

ako su takvi daljnji podaci potrebni, uzimajući u obzir posebne okolnosti u kojima se podaci prikupljaju, [kako bi se osigurala poštena obrada] u odnosu na osobu čiji se podaci obrađuju.”

8. Poglavlje III. Direktive 95/46 odnosi se na pravne lijekove, odgovornost i sankcije. Članci 22. do 24., sadržani u tom poglavlju, glase:

„Članak 22.

Pravni lijekovi

Ne dovodeći u pitanje pravne lijekove u upravnom postupku koji se mogu propisati, među ostalim, pred nadzornim tijelom iz članka 28. ove Direktive, prije upućivanja sudskom tijelu, države članice utvrđuju pravo svake osobe na pravni lijek za slučaj kršenja prava koje joj je osigurano nacionalnim pravom koje se primjenjuje na tu obradu [na predmetnu obradu].

Članak 23.

Odgovornost

1. Država članica propisuje da svaka osoba koja je pretrpjela štetu kao rezultat nezakonitog postupka obrade ili bilo kojeg djela koje je nespojivo s odredbama nacionalnog prava donesenima u skladu s ovom Direktivom ima pravo od nadzornika zahtijevati naknadu štete.

2. Nadzornik se može u cijelosti ili djelomično izuzeti od ove odgovornosti ako dokaže da nije odgovoran za slučaj koji je doveo do štete”.

Članak 24.

Sankcije

Države članice donose odgovarajuće mjere kako bi osigurale potpunu provedbu odredbi ove Direktive i posebno propisuju sankcije koje se nameću u slučaju kršenja odredbi donesenih u skladu s ovom Direktivom.”

B. Njemačko pravo

Gesetzgegen den unlauteren Wettbewerb

9. Članak 3. stavak 1. Gesetzgegen den unlauteren Wettbewerb (Zakon o suzbijanju nepoštenog tržišnog natjecanja) (u daljnjem tekstu: UWG) zabranjuje nepoštene poslovne prakse.

10. Stavak 1. i stavak 3. točka 3. članka 8. UWG‑a predviđaju da nezakonita poslovna praksa može rezultirati izdavanjem naloga o okončanju te prakse ili naloga o njezinoj zabrani ako to zatraže „kvalificirani subjekti” navedeni u Unterlassungsklagegesetzu (Zakon o sudskim nalozima) ili na popisu Europske komisije, u skladu s člankom 4. stavkom 3. Direktive 2009/22/EZ o sudskim nalozima za zaštitu interesa potrošača(3).

Unterlassungsklagegesetz

11. Stavak 1. i stavak 2. točka 11. članka 2. Unterlassungsklagegesetza (Zakon o sudskim nalozima) predviđaju:

„(1) Protiv svakoga tko povrijedi odredbe namijenjene zaštiti potrošača (propisi o zaštiti potrošača), osim u primjeni ili sastavljanju općih uvjeta prodaje, može se, u interesu zaštite potrošača, izdati nalog o okončanju ili zabrani aktivnosti kojom se vrši povreda.

(2) Za potrebe ove odredbe, ‚propisi o zaštiti potrošača’ osobito podrazumijevaju:

11. odredbe o zakonitosti

(a) prikupljanja osobnih podataka potrošača koje provodi trgovac, ili

(b) obrade ili uporabe osobnih podataka potrošača koje je prikupio trgovac

ako se podaci prikupljaju, obrađuju ili koriste za potrebe oglašavanja, istraživanja tržišta i mišljenja, vođenja kreditne agencije, pripreme profila osobnosti i korisničkih navika, trgovanja adresama, ostalog trgovanja podacima ili za slične poslovne potrebe.”

Telemediengesetz

12. Članak 2. stavak 1. Telemediengesetza (Zakon o elektroničkim medijima) (u daljnjem tekstu: TMG) predviđa sljedeće:

„Za potrebe ovog Zakona,

1. pružatelj usluge je svaka fizička ili pravna osoba koja upravlja vlastitim elektroničkim medijima ili elektroničkim medijima treće stranke u svrhu uporabe ili posreduje u pristupu uporabi; […]”

13. U članku 12. stavku 1. TMG‑a navedeno je: „Pružatelj usluge može osobne podatke prikupljati i koristiti u svrhu pružanja elektroničkih medija samo ako ovaj Zakon ili neka druga zakonodavna odredba koja se izričito odnosi na elektroničke medije to dopušta ili ako je korisnik za to dao suglasnost.”

14. Članak 13. stavak 1. TMG‑a predviđa sljedeće:

„Na početku korištenja usluge, pružatelj usluge obavještava korisnika, na općenito razumljiv način, o naravi, razmjeru i svrsi prikupljanja i uporabe osobnih podataka te o obradi njegovih podataka u državama na koje se [Direktiva 95/46] ne primjenjuje, osim ako je korisnik o tome već obaviješten. U slučaju automatiziranog postupka koji omogućuje naknadnu identifikaciju korisnika te kojim se prikupljanje i uporaba osobnih podataka pripremaju, korisnika se obavještava na početku tog postupka. Sadržaj tih informacija korisniku mora u svakom trenutku biti dostupan.”

15. U skladu s člankom 15. stavkom 1. TMG‑a:

„Pružatelj usluge može prikupljati i koristiti samo one osobne podatke korisnika koji su mu potrebni da bi olakšao i naplaćivao uporabu elektroničkih medija (podaci koji se odnose na uporabu). Podaci koji se odnose na uporabu osobito uključuju:

1. elemente koji omogućuju identifikaciju korisnika,

2. informacije o početku, završetku i razmjeru određene uporabe, i

3. informacije o elektroničkim medijima koje korisnik upotrebljava.”

II. Činjenično stanje, postupak i prethodna pitanja

16. Društvo Fashion ID (u daljnjem tekstu: tuženik) internetski je trgovac. Ono na svojoj internetskoj stranici prodaje modne artikle. Tužitelj je plugin „Sviđa mi se” društva Facebook Ireland Limited (u daljnjem tekstu: Facebook Ireland)(4) integrirao u svoju internetsku stranicu. Takozvana Facebookova tipka „Sviđa mi se” se zato pojavljuje na tuženikovoj internetskoj stranici.

17. U odluci kojom je upućeno prethodno pitanje dodatno je objašnjeno kako funkcionira (nevidljivi) dio plugina: kada posjetitelj pristupi tuženikovoj internetskoj stranici u koju je integrirana Facebookova tipka „Sviđa mi se”, njegov preglednik društvu Facebook Ireland automatski šalje podatke o njegovoj IP adresi te niz podataka iz preglednika. Prijenos tih informacija odvija se a da nije potrebno doista kliknuti na Facebookovu tipku „Sviđa mi se”. Čini se da iz odluke kojom je upućeno prethodno pitanje proizlazi i da društvo Facebook Ireland, kada korisnik posjeti tuženikovu internetsku stranicu, u korisnikov uređaj postavlja razne kolačiće (privremene (session) kolačiće te kolačiće datr i fr).

18. Verbraucherzentrale NRW (u daljnjem tekstu: tužitelj), udruženje za zaštitu potrošača, pokrenuo je sudski postupak protiv tuženika pred Landgerichtom (Zemaljski sud, Njemačka). Tužitelj je zahtijevao izdavanje naloga kojim bi se tuženika prisililo da prestane koristiti plugin za Facebookovu tipku „Sviđa mi se” na svojoj internetskoj stranici zato što tuženik navodno nije:

– „korisnicima internetske stranice, prije nego što pružatelj plugina pristupi njihovoj IP adresi i nizu podataka iz preglednika, izričito i jasno objasnio svrhu prikupljanja i uporabe podataka koji se prenose, i/ili

– pribavljao suglasnost korisnika internetske stranice za to da pružatelj plugina pristupi njihovoj IP adresi i nizu podataka iz preglednika te za uporabu tih podataka svaki put prije takvog pristupa, i/ili

– obavještavao korisnike koji su dali suglasnost u smislu druge alineje da oni tu suglasnost mogu u svakom trenutku povući s učinkom za budućnost, i/ili

– postavio sljedeću obavijest: ‚Ako ste korisnik društvene mreže i ne želite da društvena mreža preko naše internetske stranice prikuplja podatke o Vama te ih povezuje s Vašim korisničkim podacima pohranjenima na društvenoj mreži, prije posjeta našoj internetskoj stranici morate se odjaviti s društvene mreže’.”

19. Tužitelj je tvrdio da društvo Facebook Inc. ili društvo Facebook Ireland pohranjuje IP adresu i niz podataka iz preglednika te ih povezuje s posebnim korisnikom (imao on račun na Facebooku ili ne). Tuženik je odgovorio tvrdnjom da u tom pogledu nije imao nikakva saznanja. Društvo Facebook Ireland je navelo da se IP adrese pretvaraju u generičke IP adrese, da se pohranjuju samo u tom obliku te da se IP adrese i niz podataka iz preglednika ne razvrstavaju po korisničkim računima.

20. Landgericht (Zemaljski sud) prihvatio je prva tri tužbena razloga. Tuženik je podnio žalbu. Tužitelj je u pogledu četvrtog tužbenog razloga uložio protužalbu.

21. U tom činjeničnom i pravnom kontekstu, Oberlandesgericht Düsseldorf (Visoki zemaljski sud u Düsseldorfu) odlučio je Sudu uputiti sljedeća pitanja:

„1. Protivi li se uređenju u člancima 22., 23. i 24. Direktive 95/46/EZ od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka nacionalni propis koji, pored ovlasti intervencije koje imaju tijela za zaštitu osobnih podataka i mogućnosti pravnih lijekova dotičnih osoba, u slučajevima povrede ovlašćuje neprofitna udruženja za zaštitu interesa potrošača da pokrenu postupak protiv osobe koja je počinila povredu?

U slučaju negativnog odgovora na prvo pitanje:

2. Je li u slučaju kao što je ovaj, u kojem je netko uključio programski kod u svoju internetsku stranicu, zbog kojeg korisnikov preglednik zahtijeva sadržaj od treće stranke i u tu svrhu prosljeđuje osobne podatke trećoj stranci, onaj tko je uključio programski kod ‚nadzornik’ u smislu članka 2. točke (d) [Direktive 95/46], kada on sam ne može utjecati na tu obradu podataka?

3. U slučaju negativnog odgovora na drugo pitanje: treba li članak 2. točku (d) [Direktive 95/46] tumačiti na način da iscrpno uređuje odgovornost na način da se protivi građanskopravnim zahtjevima protiv treće stranke koja, iako nije ‚nadzornik’, ipak uzrokuje postupak obrade, a da na njega ne utječe?

4. Čiji ‚zakoniti interes’ treba uzeti u obzir prilikom odvagivanja prema članku 7. točki (f) [Direktive 95/46] u okolnostima kao u predmetnom slučaju? Interes uključivanja sadržaja trećih stranaka ili interes trećih stranaka?

5. Kome se mora dati suglasnost iz članka 7. točke (a) i članka 2. točke (h) [Direktive 95/46] u okolnostima kao u predmetnom slučaju?

6. Odnosi li se obveza davanja podataka iz članka 10. Direktive 95/46/EZ u situaciji kao u predmetnom slučaju i na upravitelja internetske stranice koji je uključio sadržaj treće stranke i tako prouzročio postupak obrade osobnih podataka od strane treće stranke?”

22. Pisana očitovanja podnijeli su tužitelj, tuženik, društvo Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Državni povjerenik za zaštitu podataka i pravo na slobodu informiranja Sjeverne Rajne‑Vestfalije, Njemačka; u daljnjem tekstu: LDI NW), belgijska, njemačka, talijanska, austrijska i poljska vlada kao i Komisija. Usmena su očitovanja, na raspravi održanoj 6. rujna 2018., iznijeli tužitelj, tuženik, društvo Facebook Ireland, LDI NRW, Belgija, Njemačka, Austrija i Komisija.

III. Ocjena

23. U ovom mišljenju predlažem odgovor da se Direktivi 95/46 ne protivi nacionalni propis kojim se udruženju za zaštitu potrošača (kao što je tužitelj) daje aktivna procesna legitimacija za pokretanje postupka protiv osobe koja je navodno povrijedila propise o zaštiti podataka (A). Također smatram da je tuženik zajednički nadzornik, zajedno s društvom Facebook Ireland, pri čemu je, međutim, njegova odgovornost ograničena na točno određenu fazu obrade podataka (B). Kao treće, smatram da odvagivanje predviđeno člankom 7. točkom (f) Direktive 95/46 zahtijeva da se u obzir uzme ne samo interes tuženika, nego i interes društva Facebook Ireland (kao i, dakako, prava osoba čiji se podaci obrađuju) (C). Kao četvrto, osoba čiji se podaci obrađuju mora tuženiku dati suglasnost za danu fazu obrade podataka. Tuženik također mora osobi čiji se podaci obrađuju pružiti informacije (D).

A. Nacionalni propis kojim se udruženju za zaštitu potrošača daje aktivna procesna legitimacija

24. Sud koji je uputio zahtjev prvim pitanjem u biti pita protivi li se Direktivi 95/46 nacionalni propis koji udruženjima za zaštitu potrošača dopušta pokretanje sudskog postupka protiv osobe koja je navodno povrijedila propise o zaštiti podataka. Sud koji je uputio zahtjev u tom pogledu konkretno upućuje na članke 22. do 24. Direktive 95/46. Ističe da bi se predmetni nacionalni propis moglo smatrati „odgovarajućom mjerom” u smislu članka 24. Osim toga, naglašava da Uredba (EU) 2016/679 (u daljnjem tekstu: OUZP)(5), koja je zamijenila Direktivu 95/46, sada izričito daje udruženjima takvo pravo u članku 80. stavku 2.(6).

25. Tuženik i društvo Facebook Ireland tvrde da Direktiva 95/46 ne priznaje aktivnu procesnu legitimaciju takvim udruženjima jer ona u njoj nije izričito predviđena, a ta je direktiva, prema njihovu mišljenju, namijenjena ostvarenju potpunog usklađenja. Tuženik smatra da bi priznavanje aktivne procesne legitimacije takvim udruženjima ugrozilo neovisnost nadzornih tijela zbog javnog pritiska kojemu bi ta tijela bila izložena.

26. Tužitelj, LDI NRW i sve vlade koje su zauzele stajalište u ovom predmetu smatraju da se Direktivi 95/46 ne protivi predmetni propis.

27. Slažem se s potonjim stajalištem(7).

28. Smatram da je važno za početak podsjetiti na (opće) ustavno pravilo iz trećeg stavka članka 288. UFEU‑a, prema kojemu je „[d]irektiva […] obvezujuća, u pogledu rezultata koji je potrebno postići, za svaku državu članicu kojoj je upućena, a odabir oblika i metoda” koji su najprikladniji za postizanje rezultata kojem direktiva teži prepušten je nacionalnim tijelima(8).

29. Iz toga slijedi da države članice mogu, radi provedbe obveza iz direktive, usvojiti sve mjere koje smatraju prikladnima, pod uvjetom da te mjere nisu izričito isključene samom direktivom ili da se ne protive njezinim ciljevima.

30. Mogućnost da se u nacionalnom pravu udruženjima za zaštitu potrošača da aktivna procesna legitimacija nije izričito isključena u tekstu Direktive 95/46.

31. Što se tiče ciljeva Direktive 95/46, jedan od njih je „učinkovita i potpuna zaštita temeljnih prava i sloboda fizičkih osoba, a posebno prava na privatnost u vezi s obradom osobnih podataka”(9). Osim toga, u skladu s uvodnom izjavom 10. Direktive 95/46, „usklađivanje zakona primjenjivih u tom području ne smije dovesti do bilo kakvog smanjenja zaštite koju pružaju, nego ono, naprotiv, mora težiti tome da osigura visoku razinu zaštite u Zajednici”(10).

32. Iz odluke kojom je upućeno prethodno pitanje proizlazi da Njemačka udruženjima kao što je tužitelj daje aktivnu procesnu legitimaciju da ospore ono što ta udruženja smatraju nezakonitom poslovnom praksom ili praksom koja povređuje propise o zaštiti potrošača, koji uključuju zakonodavstvo o zaštiti podataka.

33. U tom kontekstu, ne vidim na koji bi način davanje aktivne procesne legitimacije takvim udruženjima proturječilo ciljevima Direktive 95/46 ili oslabilo napore za postizanje tih ciljeva. Čini se da bi priznavanje aktivne procesne legitimacije takvim udruženjima prije pospješilo te napore i provedbu direktive, čime bi se zapravo, putem instrumenata kolektivne pravne zaštite, doprinijelo jačanju prava osoba čiji se podaci obrađuju(11).

34. Stoga smatram da države članice mogu, ako to žele, propisati pravilo koje udruženjima priznaje aktivnu procesnu legitimaciju poput one kojom se tužitelju dopušta podnošenje predmetnu tužbe u glavnom postupku.

35. S obzirom na taj odgovor, smatram da se raspravom koja se razvila u okviru ovog postupka, a koja se usredotočila na pitanje treba li predmetni nacionalni propis podvesti pod članak 24. Direktive 95/46 kao vrstu „odgovarajuće mjere” ili pak pod njezin članak 22., pomalo skreće s teme. Ako države članice mogu direktivu provesti na bilo koji način koji smatraju prikladnim, a konkretan način koji odaberu ne protivi se ni tekstu ni cilju i svrsi direktive, manje je važno pod koji se konkretan članak direktive dana nacionalna mjera može podvesti(12). Unatoč tomu, „odgovarajuće mjere [za] potpunu provedbu odredbi ove Direktive” na temelju članka 24. zasigurno je moguće tumačiti, ako je to od koristi, na način da obuhvaćaju nacionalne odredbe poput onih o kojima je riječ u ovom predmetu.

36. Smatram da ovaj opći zaključak ni na koji način ne potkopava sljedeća pitanja, o kojima se raspravljalo tijekom predmetnog postupka.

37. Kao prvo, točno je da se Direktiva 95/46 ne nalazi na popisu u Prilogu I. Direktivi 2009/22. Potonja direktiva predviđa pravila o sudskim nalozima čije izdavanje mogu zahtijevati takozvani „kvalificirani subjekti”(13) kako bi ojačali zaštitu kolektivnih interesa potrošača. Popis u Prilogu I. sadržava nekoliko direktiva, a Direktiva 95/46 nije među njima.

38. Unatoč tomu, kako tvrdi njemačka vlada, popis u Prilogu I. Direktivi 2009/22 nije moguće smatrati iscrpnim u smislu da mu se protivi nacionalni propis koji predviđa mogućnost izdavanja sudskih naloga radi osiguravanja poštovanja pravila koja se nalaze u direktivama kojih nema na popisu u Prilogu I. Direktivi 2009/22. Štoviše, bilo bi prilično iznenađujuće ako bi se takav ilustrativni popis sadržan u sekundarnom zakonodavnom aktu odjednom tumačilo na način da države članice lišava Ugovorom predviđene mogućnosti izbora načina na koji će provesti direktivu.

39. Kao drugo, nastavit ću s argumentima koje su tuženik i društvo Facebook Ireland iznijeli u pogledu potpunog usklađenja ostvarenog Direktivom 95/46, koje, prema njihovu mišljenju, isključuje mogućnost pokretanja postupaka koji nisu izričito predviđeni.

40. Točno je da je ustaljena sudska praksa Suda da usklađenje ostvareno Direktivom 95/46 nije samo minimalno, nego da je „u načelu potpuno”(14). Istovremeno je utvrđeno i da ta direktiva „omogućuje državama članicama manevarski prostor u određenim područjima”, pod uvjetom da je se poštuje(15).

41. Kako je drugdje navedeno(16), pitanje je li na razini Unije ostvareno „potpuno usklađenje” (u smislu da je sve iscrpno uređeno pa države članice nemaju nikakve zakonodavne ovlasti) nije moguće načelno razmatrati, u odnosu na čitavo pravno područje ili predmet direktive. Umjesto toga, ta se ocjena mora provesti s obzirom na svaku pojedinu odredbu (određeno pravilo ili konkretan aspekt) predmetne direktive.

42. Ako promotrimo konkretne „postupovne” odredbe Direktive 95/46 koje se razmatraju u ovom predmetu, to jest članke 22. do 24., vidjet ćemo da su one vrlo općenito sročene(17). S obzirom na razinu općenitosti i apstrakcije tih odredbi, bilo bi poprilično neobično tvrditi da je učinak tih odredbi taj da je njima sve iscrpno uređeno i da stoga onemogućuju države članice u poduzimanju bilo kakvih mjera koje nisu izričito spomenute u tim člancima(18).

43. Kao treće, daljnji argument koji tuženik iznosi odnosi se na prijetnju za neovisnost nadzornih tijela(19). On u biti tvrdi da bi odnosna udruženja, ako bi im se priznala aktivna procesna legitimacija, postupke pokretala usporedno s nadzornim tijelom i/ili umjesto njega, što bi rezultiralo javnim pritiskom na to tijelo i njegovom pristranošću te bi se protivilo zahtjevu potpune neovisnosti nadzornih tijela predviđenom u članku 28. stavku 1. Direktive 95/46.

44. Taj argument nema nikakav značaj. Ako je takvo nadzorno tijelo doista neovisno(20), ne vidim, kao ni njemačka vlada, na koji bi način tužba poput one iz glavnog postupka bila prijetnja njegovoj neovisnosti. Udruženje ne može propise provesti na način da svojim stajalištem obveže nadzorna tijela. To mogu samo sudovi. Udruženje za zaštitu potrošača može samo podnijeti tužbu, kao i svaki pojedinačni potrošač. Zbog toga tvrdnja da bi bilo koja i svaka (privatna) tužba pojedinca ili udruženja za zaštitu potrošača stvarale pritisak na tijela nadležna za (javnu) provedbu propisa i da mogućnost njihova podnošenja stoga ne može postojati usporedno sa sustavom javne provedbe propisa tako je neobična da je nije potrebno dalje razmatrati(21).

45. Kao četvrto i posljednje, sada ću razmotriti argument prema kojem članak 80. stavak 2. OUZP‑a treba tumačiti na način da mijenja (i preinačuje) raniju situaciju tako što dopušta nešto (aktivnu procesnu legitimaciju udruženjima) što prije nije bilo dopušteno.

46. Taj argument nije uvjerljiv.

47. Važno je istaknuti da je zamjenom Direktive 95/46 OUZP‑om narav pravnog instrumenta u kojem se nalaze pravila promijenjena iz direktive u uredbu. Ta je promjena ujedno značila da se, za razliku od direktive, čiji način provedbe države članice mogu birati, nacionalni propisi namijenjeni provedbi uredbe načelno mogu usvojiti samo ako je to izričito dopušteno.

48. Promatran iz te perspektive, argument prema kojem činjenica da OUZP sada izričito priznaje aktivnu procesnu legitimaciju udruženjima znači da im ga Direktiva 95/46 nije priznavala upitan je. Iz takvog je suprotstavljanja(22) zapravo moguće izvući suprotan argument: ako se propisivanje pravila za priznavanje aktivne procesne legitimacije udruženjima nije protivilo navedenoj direktivi (kako proizlazi iz argumenata koje sam gore izložio), promjena pravnog oblika iz direktive u uredbu opravdala bi uključivanje takve odredbe kako bi se time jasno dalo do znanja da takva mogućnost doista i dalje postoji.

49. Stoga, s obzirom na navedeno, moj prvi međuzaključak jest da se Direktivi 95/46 ne protivi nacionalni propis kojim se neprofitnim udruženjima daje aktivna procesna legitimacija kako bi radi zaštite interesa potrošača pokrenula sudski postupak protiv osobe koja je navodno povrijedila propise o zaštiti podataka.

B. Je li društvo Fashion ID nadzornik podataka?

50. Sud koji je uputio zahtjev svojim drugim pitanjem pita treba li tuženika, s obzirom na to da je u svoju internetsku stranicu integrirao plugin zbog kojeg korisnikov preglednik zahtijeva sadržaj od treće stranke i u tu svrhu prenosi osobne podatke trećoj stranci, smatrati „nadzornikom” u smislu članka 2. točke (d) Direktive 95/46, čak i ako tuženik ne može utjecati na postupak obrade podataka.

51. Koliko shvaćam, mogućnost utjecanja na postupak obrade podataka, o kojoj sud koji je uputio zahtjev govori u svojem pitanju, u kontekstu ovog predmeta ne odnosi se na uzrokovanje postupka prijenosa tih podataka (u činjeničnom smislu je očito da tuženik ima utjecaj jer je integrirao odnosni plugin). Umjesto toga, čini se da se odnosi na moguću kasniju obradu podataka od strane društva Facebook Ireland.

52. Kako sud koji je uputio zahtjev ističe, implikacije odgovora na njegovo drugo pitanje znatno nadilaze ovaj predmet i društvenu mrežu kojom upravlja društvo Facebook Ireland. Brojne internetske stranice integriraju razne sadržaje trećih stranaka. Ako bi se osobu poput tuženika smatralo „nadzornikom”, koji je za svaku (kasniju) obradu prikupljenih podataka (su)odgovoran zbog činjenice da je kao upravitelj internetske stranice integrirao sadržaj treće stranke koji omogućuje prijenos takvih podataka, to bi doista imalo šire posljedice na tretman sadržaja trećih stranaka.

53. Drugo pitanje je ujedno ključno pitanje u strukturi ovog predmeta jer zadire u srž problematike: tko je i za što točno odgovoran u slučajevima sadržaja trećih stranaka integriranog u internetsku stranicu,? (Ne)preciznost u odgovaranju na ovo pitanje ujedno će utjecati na odgovore na sljedeća pitanja o zakonitom interesu, suglasnosti i obvezi davanja podataka.

54. U ovom ću odjeljku prvo iznijeti nekoliko uvodnih napomena o pojmu osobnih podataka koje su relevantne za ovaj predmet (1). Potom ću izložiti nedavnu sudsku praksu Suda koja će, ako ju prihvatimo bez pogovora, uputiti na odgovor na drugo pitanje (2). Nakon toga ću objasniti zašto je možda potrebno postaviti još pitanja i, u kontekstu ovog predmeta, donekle dopuniti analizu (3). Zaključit ću naglašavanjem, za potrebe definicije pojma (zajedničko) nadzora, važnost jedinstva „svrhe i načina” koje mora postojati među (zajedničkim) nadzornicima u pogledu odnosnih faza (postupaka) obrade osobnih podataka o kojima je riječ (4).

1. Osobni podaci u predmetnom slučaju

55. Valja podsjetiti da je pojam „osobni podaci” u članku 2. točki (a) Direktive 95/46 definiran kao „bilo koji podaci koji se odnose na utvrđenu fizičku osobu ili fizičku osobu koju se može utvrditi (‚osoba čiji se podaci obrađuju’)”. Uvodna izjava 26. te direktive u tom pogledu objašnjava da je, „kako bi se utvrdilo može li se osobu utvrditi, potrebno uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti da utvrdi navedenu osobu”.

56. Sud je već pojasnio da IP adresa u određenim okolnostima može činiti osobni podatak(23). Sud je dalje naveo da za te potrebe, da bi postojala „osoba koja se može utvrditi” u smislu članka 2. točke (a) Direktive 95/46, „nije potrebno da ta informacija sama po sebi omogućuje identifikaciju osobe o kojoj je riječ” te da stoga može biti potrebno upotrijebiti dodatne podatke. Sud je istaknuo i da „nije potrebno da se sve informacije koje omogućuju identifikaciju osobe o kojoj je riječ moraju nalaziti u posjedu samo jedne osobe” ako je mogućnost povezivanja odnosnih osobnih podataka „sredstvo koje se može opravdano koristiti za utvrđivanje navedene osobe”(24).

57. Sud koji je uputio zahtjev ne razmatra čini li IP adresa, sama ili zajedno s nizom podataka iz preglednika koji se također prenose, osobni podatak u smislu tog kriterija. Čini se da društvo Facebook Ireland osporava takvu kvalifikaciju(25).

58. Jasno je da takvu ocjenu treba provesti nacionalni sud. Općenito, kada je riječ o pluginovima ili bilo kojim drugim sadržajima trećih stranaka koje je moguće integrirati, da bi se podaci smatrali osobnima nužno je da omogućuju identifikaciju (izravnu ili neizravnu) osobe čiji se podaci obrađuju. Za potrebe ovog predmeta smatrat ću, kako se čini da sugeriraju pitanja suda koji je uputio zahtjev, da IP adresa i niz podataka iz preglednika u okolnostima iz glavnog postupka doista čine osobne podatke i ispunjavaju kriterije iz članka 2. točke (a) Direktive 95/46 kako ih je Sud pojasnio.

2. Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?

59. Što se tiče odgovora na drugo pitanje, tuženik i društvo Facebook Ireland ističu da tuženika nije moguće smatrati nadzornikom zato što nema utjecaja na to koji će se osobni podaci obrađivati. Stoga je samo društvo Facebook Ireland moguće smatrati nadzornikom. To društvo podredno navodi da tuženik djeluje zajedno s njim, kao zajednički nadzornik, pri čemu je, međutim, odgovornost osobe poput tuženika ograničena na područje njezina stvarnog utjecaja.

60. Tužitelj, LDI NW i sve vlade koje su intervenirale u ovaj predmet, kao i Komisija, u bitnome dijele stajalište da pojam „nadzornik” ima široko značenje te da obuhvaća tuženika. Međutim, između njihovih stajališta o točnom opsegu tuženikove odgovornosti postoje znatne razlike. Te se razlike odnose na pitanje treba li tuženik biti zajednički odgovoran s društvom Facebook Ireland, treba li njihova zajednička odgovornost biti ograničena na fazu obrade osobnih podataka u kojoj tuženik doista sudjeluje i treba li u tom kontekstu praviti razliku između posjetitelja tuženikove internetske stranice koji imaju korisnički račun na Facebooku i onih koji ga nemaju.

61. Za početak, jasno je da pojam „nadzornik”, u skladu s člankom 2. točkom (d) Direktive 95/46, obuhvaća osobu koja „sam[a] ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka”(26). Pojam nadzornika stoga se može odnositi na više subjekata koji sudjeluju u obradi osobnih podataka(27) te ga treba široko tumačiti(28).

62. Pitanje zajedničkog nadzora nedavno se razmatralo u presudi Suda u predmetu Wirtschaftsakademie Schleswig‑Holstein(29). Sud je u pogledu uloge administratora stranice obožavatelja koja se nalazi na Facebooku zaključio da je taj administrator djelovao kao nadzornik, zajedno s društvom Facebook Ireland, u smislu članka 2. točke (d) Direktive 95/46. Tako je zaključio jer je administrator pridonosio utvrđivanju, zajedno s društvom Facebook Ireland, svrhe i načina obrade osobnih podataka posjetitelja stranice obožavatelja(30).

63. Točnije, Sud je naveo da je administrator odnosne stranice obožavatelja njezinom izradom društvu Facebook Ireland „omoguć[io] […] postavljanje kolačića na računalo ili bilo koji drugi uređaj posjetitelja svoje stranice obožavatelja” te time i obradu osobnih podataka(31). Sud je istaknuo da „izrada stranice obožavatelja na Facebooku uključuje i to da njezin administrator utvrdi postavke vodeći osobito računa o svojoj ciljanoj publici i o ciljevima upravljanja svojim aktivnostima odnosno svrsi njihove promidžbe, što utječe na obradu osobnih podataka prilikom utvrđivanja statističkih podataka na temelju posjeta stranici obožavatelja”(32). Predmetna obrada omogućila je društvu Facebook Ireland da „unaprijedi postojeći [vlastiti] sustav oglašavanja na svojoj mreži”, dok je administratoru omogućila da, putem anonimiziranih statistika, bolje upravlja promidžbom svojih aktivnosti(33).

64. Sud je zaključio da je odnosni administrator „utvrđivanjem postavki” sudjelovao u utvrđivanju svrhe i načina obrade osobnih podataka posjetitelja svoje stranice obožavatelja. Zato ga se moralo smatrati nadzornikom koji je za tu obradu bio zajednički odgovoran s društvom Facebook Ireland (pri čemu je njegova odgovornost bila „još važnija” u odnosu na osobne podatke pojedinaca koji nisu bili korisnici Facebooka)(34).

65. Sud je u presudi Jehovan todistajat naglasio još jedno važno pojašnjenje u pogledu pojma zajedničkog nadzornika: za postojanje zajedničkog nadzora i zajedničke odgovornosti nije potrebno da svaki od nadzornika ima pristup (svim) predmetnim osobnim podacima. U tom smislu, vjerska zajednica može biti zajednički nadzornik i kada ona sama nema pristup predmetnim prikupljenim podacima. U navedenom su predmetu pojedinačni članovi zajednice Jehovinih svjedoka fizički posjedovali osobne podatke. Dovoljna je bila činjenica da je ta zajednica organizirala, koordinirala i poticala aktivnost propovijedanja tijekom koje su se prikupljali osobni podaci(35).

66. Na načelnoj razini, i ako se usredotočim samo na pojam zajedničkog nadzora, slažem se, s obzirom na opisane nedavne presude Suda, da treba zaključiti da tuženik djeluje kao nadzornik te da je s društvom Facebook Ireland zajednički odgovoran za obradu podataka(36).

67. Kao prvo, čini se da je tuženik uporabom predmetnog plugina omogućio društvu Facebook Ireland pribavljanje osobnih podataka posjetitelja tuženikove internetske stranice.

68. Kao drugo, točno je da se za tuženika, za razliku od administratora u predmetu Wirtschaftsakademie Schleswig‑Holstein, ne čini da utvrđuje postavke u pogledu podataka posjetitelja svoje internetske stranice koji će mu se vratiti u anonimiziranom ili drugom obliku. Čini se da se „korist” koju tuženik priželjkuje sastoji u besplatnom oglašavanju njegovih proizvoda do kojeg navodno dolazi kada posjetitelj njegove internetske stranice odluči kliknuti na Facebookovu tipku „Sviđa mi se” kako bi, preko svojeg korisničkog računa na Facebooku, odlučio podijeliti svoje mišljenje o, primjerice, crnoj večernjoj haljini. Dakle, uporaba plugina omogućuje tuženiku, a to u konačnici mora provjeriti sud koji je uputio zahtjev, da optimizira oglašavanje svojih proizvoda tako da ih učini vidljivima na Facebooku.

69. Podredno, ako promatramo iz drukčije perspektive, za tuženika bi se moglo reći da on samom činjenicom da je odnosni plugin integrirao u svoju internetsku stranicu zapravo (su)utvrđuje postavke u pogledu podataka koji se prikupljaju. Sam taj plugin određuje postavke u pogledu podataka koje treba prikupiti. Stoga je tuženik svjesnim integriranjem tog alata u svoju internetsku stranicu odredio te postavke u odnosu na sve posjetitelje svoje internetske stranice.

70. Kao treće i u svakom slučaju, vodeći se presudom Jehovan todistajat, zajedničkog je nadzornika moguće smatrati takvim čak i ako nema pristup nikakvim „plodovima zajedničkog rada”. Stoga se činjenica da tuženik nema pristup podacima koji se prosljeđuju Facebooku ili da zauzvrat ne prima nikakve ukupne statistike ne čini presudnom.

3. Problemi: tko onda nije zajednički nadzornik?

71. Hoće li se djelotvorna zaštita ojačati ako svi budu odgovorni za njezino osiguravanje?

72. To je, ukratko, dublja moralna i praktična dilema koju postavlja ovaj predmet te koju u pravnom smislu izražava opseg definicije zajedničkog nadzornika. U razumljivoj želji da osigura djelotvornu zaštitu osobnih podataka Sud je u svojoj nedavnoj sudskoj praksi, kada se to od njega na ovaj ili onaj način tražilo, davao vrlo široke definicije zajedničkog nadzornika. Međutim, Sud se do sada nije suočio s praktičnim implikacijama tako širokog pristupa definiranju za daljnje konkretne obveze i posebne odgovornosti stranaka koje se odredi kao zajedničke nadzornike. Budući da ovaj predmet pruža upravo takvu priliku, predlažem da se ona iskoristi za povećanje preciznosti definicijâ potrebnih u vezi s pojmom zajedničkog nadzornika.

a) Obveza i odgovornost

73. Ako kritički promotrimo test koji se trenutno primjenjuje za određivanje „zajedničkog nadzornika”, čini se da je od presuda Wirtschaftsakademie Schleswig‑Holstein i Jehovan todistajat ključan kriterij to da je osoba u pitanju „omogućila” prikupljanje i prijenos osobnih podataka te da je pritom, možebitno, u određenoj mjeri utvrdila postavke (ili da ih je barem prešutno prihvatila)(37). Ako je to doista tako, tada je, unatoč jasno izraženoj namjeri u presudi Wirtschaftsakademie Schleswig‑Holstein da se taj kriterij isključi(38), teško vidjeti na koji točno način uobičajeni korisnici internetske (ili na internetu utemeljene) aplikacije, bilo da se radi o društvenoj mreži ili o nekoj drugoj kolaboracijskoj platformi, ali i drugih programa(39), ne bi također bili zajednički nadzornici. Korisnik će obično otvoriti svoj račun tako da će administratoru odrediti postavke u pogledu strukture tog računa i u pogledu toga kakve podatke, o čemu i od koga želi primati. On će također pozvati svoje prijatelje, kolege i ostale da putem odnosne aplikacije dijele informacije u obliku (često poprilično osjetljivih) osobnih podataka, čime neće pružiti samo podatke o tim osobama, nego će te osobe ujedno pozvati da se same uključe te će time jasno pridonijeti prikupljanju i obradi podataka tih osoba.

74. Nadalje, što je s ostalim subjektima u „lancu osobnih podataka”? Ako je jedini relevantni kriterij postojanja zajedničkog nadzora omogućavanje obrade podataka, čime se zapravo doprinosi toj obradi u bilo kojoj fazi, ne bi li onda, ako odemo u krajnost, i pružatelj usluge interneta, koji obradu podataka omogućuje jer pruža pristup internetu, ili čak i isporučitelj električne energije, bili zajednički nadzornici koji bi možebitno bili zajednički odgovorni za obradu osobnih podataka?

75. Naravno, intuitivan odgovor je „ne”. Problem je taj što dosadašnje određivanje odgovornosti ne proizlazi iz široke definicije nadzornika. Opasnost preširoke definicije tog pojma leži u tome što takva definicija brojne osobe čini zajednički odgovornima za obradu podataka.

76. Međutim, za razliku od predmeta navedenih u prethodnom ulomku, pitanja koja sud koji je uputio zahtjev postavlja u ovom predmetu nisu ograničena na to kako definirati „nadzornika”. Njima se istražuju povezana pitanja raspodjele činjeničnih obveza predviđenih Direktivom 95/46. Sama ta pitanja upućuju na probleme preširoke definicije nadzornika, osobito ako uz to ne postoje precizna pravila o tome koje točno obveze i odgovornosti Direktiva 95/46 propisuje nadzornicima. To dobro ilustriraju navodi zainteresiranih stranaka u pogledu petog i šestog pitanja, koja se odnose na konkretnu raspodjelu odgovornosti predviđenih Direktivom 95/46.

77. Petim se pitanjem u biti pita tko bi i u koju svrhu trebao pribaviti suglasnost osobe čiji se podaci obrađuju. Predloženi odgovori na to pitanje znatno se razlikuju.

78. Tužitelj i LDI NW smatraju da je pribavljanje informirane suglasnosti osobe čiji se podaci obrađuju obveza tuženika koji je odlučio integrirati dotični plugin. To je, prema tužiteljevu mišljenju, još važnije za osobe koje nisu korisnici Facebooka te koje nisu prihvatile Facebookove opće uvjete uporabe. Tuženik smatra da se suglasnost mora dati trećoj stranci koja pruža integrirani sadržaj, to jest društvu Facebook Ireland. To društvo navodi da se suglasnost ne mora dati konkretnoj osobi jer je u Direktivi 95/46 predviđeno samo da suglasnost mora biti dobrovoljna, posebna i informirana.

79. Austrija, Njemačka i Poljska tvrde da se suglasnost mora dati prije obrade podataka te da se, prema mišljenju Austrije, mora odnositi i na prikupljanje i na mogući prijenos podataka. Poljska naglašava da se suglasnost mora dati tuženiku. Njemačka smatra da se mora dati tuženiku ili trećoj stranci koja pruža integrirani sadržaj (društvo Facebook Ireland) jer su oboje odgovorni za obradu. Tuženik mora primiti samo suglasnost za prijenos podataka trećoj stranci jer u pogledu svih ostalih oblika obrade i uporabe prikupljenih podataka više ne djeluje kao nadzornik. Međutim, to ne isključuje mogućnost da upravitelj internetske stranice primi suglasnost u pogledu obrade podataka koju provodi treća stranka, što može biti uređeno sporazumom između njih oboje. Italija navodi da se suglasnost mora dati svima koji sudjeluju u obradi osobnih podataka, to jest tuženiku i društvu Facebook Ireland. Belgija i Komisija naglašavaju da Direktiva 95/46 ne predviđa kome se suglasnost mora dati.

80. Slična raznolikost stajališta postoji i u pogledu pitanja tko je obvezan dati podatke u skladu s člankom 10. Direktive 95/46 i na što se ti podaci točno moraju odnositi, što je u sadržaju šestog pitanja suda koji je uputio zahtjev.

81. Tužitelj smatra da je upravitelj internetske stranice taj koji mora osobi čiji se podaci obrađuju dati potrebne podatke. Tužitelj tvrdi suprotno, ističući da je to obveza društva Facebook Ireland, s obzirom na to da tuženik ne posjeduje točne informacije. Slično tomu, društvo Facebook Ireland naglašava da ono ima tu obvezu jer se ona primjenjuje samo na nadzornika (ili njegova zastupnika). Ističe da je odgovor na šesto pitanje usko povezan s pitanjem je li upravitelj internetske stranice nadzornik. Članak 10. Direktive 95/46 pokazuje da upravitelja internetske stranice nije primjereno smatrati nadzornikom jer potonji ne može pružiti te podatke. LDI NW smatra da podatke mora dati upravitelj internetske stranice, ali shvaća da je problematično utvrditi koje podatke treba dati s obzirom na to da tuženik ne utječe na obradu podataka koju provodi društvo Facebook Ireland. Ispreplitanje ciljeva u pogledu obrade podataka upućuje na to da upravitelj internetske stranice mora biti suodgovoran za obradu koju omogućuje.

82. Belgija, Italija i Poljska navode da se obveza davanja podataka primjenjuje i na upravitelja internetske stranice poput predmetnog s obzirom na to da ga se može smatrati nadzornikom. Belgija dodaje da upravitelj internetske stranice može ujedno biti obvezan provjeriti svrhu kasnije obrade podataka i poduzeti prikladne mjere kojima će zajamčiti zaštitu fizičkih osoba. Njemačka vlada tvrdi da se obveza davanja podataka na upravitelja internetske stranice primjenjuje utoliko što je on odgovoran za obradu, to jest za prijenos podataka vanjskom pružatelju integriranog sadržaja, ali ne za sve kasnije faze postupka obrade, za koje je odgovoran vanjski pružatelj. Prema mišljenju Austrije i Komisije, obveza davanja podataka na temelju članka 10. Direktive 95/46 odnosi se i na upravitelja internetske stranice i na vanjskog pružatelja.

83. Pored problematike otvorene petim i šestim pitanjem moglo bi se dodati da će slične konceptualne poteškoće vjerojatno nastati i prilikom razmatranja ostalih obveza definiranih Direktivom 95/46, kao što su one povezane s pravom na pristup predviđenim u njezinu članku 12. Točno je da je Sud u presudi Wirtschaftsakademie Schleswig‑Holstein naveo da, „u slučaju postojanja zajedničke odgovornosti više subjekata za istu obradu, Direktiva 95/46 ne zahtijeva da svaki od njih ima pristup osobnim podacima o kojima je riječ”(40). Međutim, nadzornik koji sam nema pristup podacima u odnosu na koje je ipak određen kao (zajednički) nadzornik ne može, logično, taj pristup pružiti nijednoj osobi čiji se podaci obrađuju (da ne govorimo o bilo kojem daljnjem postupku, kao što je ispravljanje ili brisanje podataka).

84. Stoga se u toj fazi konceptualna nejasnoća na početku lanca obrade osobnih podataka (tko je nadzornik i u pogledu čega točno) koja u nekim slučajevima može dovesti do nejasnoće na drugom kraju tog lanca (tko podliježe kojoj obvezi) pretvara u stvarnu nemogućnost potencijalnog zajedničkog nadzornika da se pridržava važećeg propisa.

85. Zasigurno je moguće tvrditi da za točnu raspodjelu odgovornosti među (potencijalno veoma brojnim zajedničkim) nadzornicima treba sklopiti ugovore. Time se ne bi samo propisala raspodjela odgovornosti, nego bi se i odredila stranka koja mora ispuniti svaku od obveza predviđenih direktivom, uključujući one koje fizički može izvršiti samo jedna stranka.

86. Takvu tvrdnju smatram izričito problematičnom. Kao prvo, potpuno je nerealistična ako se uzme u obzir gusta mreža formalnih, standardnih ugovora koje bi morale potpisati sve vrste stranaka, što uključuje najvjerojatnije i neke obične korisnike(41). Kao drugo, primjena važećeg propisa i raspodjela odgovornosti koju ono predviđa ovisile bi o privatnim sporazumima, kojima treće stranke koje žele ostvariti svoja prava možda ne bi imale pristup.

87. Kao treće, čini se da OUZP svojim člankom 26. uvodi novi režim zajedničke odgovornosti, čime možda djelomično prejudicira neka od navedenih pitanja. Zasigurno je točno da ta uredba nije bila primjenjiva ratione temporis na predmete koji su se razmatrali u ovom odjeljku te da nije primjenjiva na ovaj predmet. Međutim, osim ako nova uredba predviđa izričito ili sustavno odstupanje u pogledu relevantnih definicija, a čini se da to nije tako jer njezin članak 4. uvelike sadržava iste ključne pojmove kao članak 2. Direktive 95/46 (i pritom dodaje neke nove), bilo bi poprilično iznenađujuće ako bi tumačenje takvih ključnih pojmova, uključujući pojmova nadzornika, obrade ili osobnih podataka, znatno odstupilo (bez dobrog razloga) od postojeće sudske prakse.

88. Ako bi to pak bilo tako, režim zajedničke odgovornosti zajedničkih voditelja obrade uveden člankom 26. stavkom 3. OUZP‑a mogao bi postati popriličan izazov. S jedne strane, članak 26. stavak 1. te uredbe zajedničkim voditeljima obrade omogućuje da „određuju svoje odgovornosti za poštovanje obveza”. Međutim, s druge strane, njezin članak 26. stavak 3. jasno predviđa da „ispitanik može ostvarivati svoja prava” „u vezi sa svakim voditeljem obrade, kao i protiv svakog od njih”, bez obzira na bilo koji sporazum. Svakog od zajedničkih voditelja obrade stoga se može odrediti odgovornim za odnosnu obradu podataka.

b) Šira slika

89. Prošlo je mnogo vremena (obožavatelji jednog znanstveno‑fantastičnog filmskog serijala mogli bi dodati „u dalekoj galaksiji”) od toga kad je bilo fora biti na društvenoj mreži. Nakon toga je postupno postalo fora ne biti na društvenoj mreži. Danas se čini da je kazneno djelo biti na njima (i da je za to potrebno uspostaviti nove oblike neizravne odgovornosti).

90. Ne može se poreći da sudovi donose u društvenom okruženju koji se neprestano razvija. Oni zasigurno trebaju reagirati na to okruženje, ali ih ono ne treba kontrolirati. Kao i bilo koja druga aplikacija ili program, društvena mreža je alat. Slično nožu ili automobilu, može ju se koristiti na razne načine. Također je nedvojbeno da njezino korištenje u pogrešne svrhe treba kazniti. Međutim, možda nije najbolja ideja kazniti bilo koga i svakoga tko je ikada koristio nož. Osobu ili osobe koje su koristile nož obično se kažnjava ako su njime nanijele štetu.

91. Zato mora postojati, možda ne uvijek savršena podudarnost, ali barem razumna korelacija između moći, kontrole i odgovornosti. Moderno pravo predviđa dakako razne oblike objektivne odgovornosti, koja nastupa samim nastupom određenih ishoda. Ali to su uglavnom opravdane iznimke. Ako se odgovornost, bez potkrijepljenog objašnjenja, pripiše nekome tko nije imao kontrolu nad ishodom, takvo će se pripisivanje odgovornosti obično smatrati nerazumnim ili nepravednim(42).

92. Osim toga, odgovarajući na pitanje postavljeno na početku ovog ulomka (točka 71.), sumnjičava osoba iz istočnijih dijelova Europske unije mogla bi tvrditi, vodeći se iskustvima iz prošlosti, da djelotvorna zaštita nečega slabi ako se svi odrede odgovornima za nju. Određivanje svih odgovornima znači da zapravo nitko neće biti odgovoran. Moguće je i da će se jedna osoba koja je trebala biti odgovorna za određenu radnju, ona koja provodi stvarni nadzor, vjerojatno sakriti iza svih ostalih koji su nominalno „suodgovorni”, zbog čega će se djelotvorna zaštita vjerojatno znatno smanjiti.

93. Naposljetku, nijedan kvalitetan propis (odnosno njegovo tumačenje) ne bi trebao rezultirati situacijom u kojoj adresati obveza predviđenih tim propisom ne mogu te obveze doista izvršiti. Stoga, ako ne želimo da se čvrsta definicija zajedničkog nadzora pretvori u sudski poduprtu naredbu o isključenju koja se primjenjuje na sve subjekte i o prestanku korištenja društvenih mreža, pluginova i možebitno ostalih sadržaja treće stranke, stvarnost mora igrati ulogu prilikom definiranja obveza i odgovornosti, što znači da u obzir treba uzeti čimbenike kao što su informiranost, stvarna pregovaračka moć i mogućnost utjecaja na sve sporne aktivnosti(43).

4. Povratak (zakonodavnim) korijenima: zajednička svrha i sredstva u pogledu određenog postupka obrade

94. Iako je u presudi Wirtschaftsakademie Schleswig‑Holstein bio prilično čvrst u svojem pristupu definiciji zajedničkog nadzora, Sud je također natuknuo potrebu za ograničavanjem odgovornosti zajedničkog nadzornika. Točnije, Sud je istaknuo „da postojanje zajedničke odgovornosti ne znači nužno jednaku odgovornost različitih subjekata uključenih u obradu osobnih podataka. […] [T]i subjekti mogu biti uključeni u obradu osobnih podataka u različitim fazama i stupnjevima, tako da razinu odgovornosti svakog od njih valja procjenjivati vodeći računa o svim relevantnim okolnostima predmetnog slučaja”(44).

95. Iako u predmetu Wirtschaftsakademie Schleswig‑Holstein nije bilo potrebno razmatrati to konkretno pitanje, u ovom predmetu, u kojem sud koji je uputio zahtjev izravno poziva Sud da utvrdi moguće obveze koje tuženik ima na temelju svojeg svojstva nadzornika, jest.

96. S obzirom na novouvedeni sustav zajedničke odgovornosti iz članka 26. OUZP‑a, teško je shvatiti na koji bi način zajednička odgovornost mogla podrazumijevati, u pogledu istog ishoda u smislu potencijalno (ne)zakonitog postupanja s osobnim podacima, nejednaku odgovornost. To osobito vrijedi s obzirom na članak 26. stavak 3. navedene uredbe, koji, kako se čini, ide u smjeru zajedničke (i solidarne) odgovornosti(45).

97. Međutim, smatram da je ključan drugi navod Suda, to jest da „subjekti mogu biti uključeni u obradu osobnih podataka u različitim fazama i stupnjevima”. Takvoj tvrdnji u prilog idu definicije u Direktivi 95/46, osobito definicije (i) pojma obrade u članku 2. točki (b) i (ii) pojma nadzornika u članku 2. točki (d).

98. Kao prvo, pojam obrade osobnih podataka označava „bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne, kao što je prikupljanje, snimanje, organiziranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, blokiranje, brisanje ili uništavanje”.

99. Čak i ako je pojam obrade, slično pojmu nadzornika, poprilično širok(46), on jasno naglašava da se odnosi na fazu u obradi: govori o postupku ili skupini postupaka te sadržava ilustrativan popis takvih pojedinačnih postupaka. Međutim, logički gledano, pitanje nadzora treba razmatrati s obzirom na konkretan postupak o kojem je riječ, a ne s obzirom na neodređen skup svega i svačega što se naziva obradom(47).

100. Kao drugo, pojam zajedničkog nadzora nije izričito definiran u Direktivi 95/46. Međutim, on se, logično, nastavlja na pojam nadzornika iz članka 2. točke (d) te direktive: situacija zajedničkog nadzora nastaje kada dvije ili više osoba zajedno utvrđuju način i svrhu obrade osobnih podataka(48). Drugim riječima, da bi se dvije osobe (ili više njih) smatralo zajedničkim nadzornicima, među njima mora postojati jedinstvo svrhe i načina obrade osobnih podataka.

101. Prema mojem mišljenju, upravo na temelju kombinacije tih dviju definicija treba odrediti obveze i možebitnu odgovornost zajedničkih nadzornika. Zajednički nadzornik je odgovoran za taj postupak ili skup postupaka obrade u odnosu na koje dijeli ili zajednički utvrđuje svrhu i načine konkretnog postupka obrade. Nasuprot tomu, tu se osobu ne može smatrati odgovornom ni za prethodne ni za kasnije faze cjelokupnog lanca obrade, čiju svrhu ili način provedbe nije mogao utvrditi.

102. Relevantnu fazu (postupke) obrade u predmetnom slučaju čine prikupljanje i prijenos osobnih podataka, do kojih dolazi preko Facebookove tipke „Sviđa mi se”.

103. Kao prvo, kada je riječ o načinima provedbe tih postupaka obrade, tužitelj, LDI NRW i njemačka vlada navode da tuženik, kako se čini, odlučuje o uporabi odnosnog plugina, koji služi kao sredstvo za prikupljanje i prijenos osobnih podataka. Do tog prikupljanja i prijenosa dolazi posjetom tuženikovoj internetskoj stranici. Tuženiku je odnosni plugin pružilo društvo Facebook Ireland. Stoga se čini da su i društvo Facebook Ireland i tuženik svjesno pokrenuli fazu prikupljanja i prijenosa postupka obrade podataka. To je dakako činjenično pitanje koje nacionalni sud mora provjeriti.

104. Kao drugo, što se tiče svrhe obrade podataka, u odluci kojom je upućeno prethodno pitanje nije obrazloženo zašto je tuženik odlučio u svoju internetsku stranicu integrirati Facebookovu tipku „Sviđa mi se”. Međutim, čini se da ga je na tu odluku navela, što sud koji je uputio zahtjev mora provjeriti, želja da poveća vidljivost svojih proizvoda putem društvene mreže. Istovremeno se čini da društvo Facebook Ireland podatke koji mu se prenose koristi za vlastite poslovne svrhe.

105. Unatoč tomu što tuženik i društvo Facebook Ireland podatke ne koriste za iste poslovne svrhe, općenito govoreći čini se da su one uzajamno komplementarne. Dakle, iako nisu istovjetne, postoji zajednička svrha: komercijalna svrha i ona koja se tiče promidžbe.

106. Iz činjeničnog stanja ovog predmeta stoga proizlazi da tuženik i društvo Facebook Ireland suodlučuju o načinima i svrsi obrade podataka u fazi prikupljanja i prijenosa osobnih podataka o kojima je riječ. Tuženik u toj mjeri djeluje kao nadzornik i njegova je odgovornost, također u toj mjeri, zajednička s onom društva Facebook Ireland.

107. Istovremeno, smatram da odgovornost tuženika treba ograničiti na fazu obrade podataka u kojoj on sudjeluje i da ju nije moguće prenijeti na eventualne kasnije faze te obrade ako se one odvijaju bez njegova nadzora te, kako se čini, bez njegova znanja.

108. S obzirom na navedeno, moj drugi međuzaključak jest da osobu, kao što je tuženik, koja je u svoju internetsku stranicu integrirala plugin treće stranke koji dovodi do prikupljanja i prijenosa osobnih podataka korisnika (a koji je pružila ta treća stranka) treba smatrati nadzornikom u smislu članka 2. točke (d) Direktive 95/46. Međutim, zajednička odgovornost tog nadzornika ograničena je na one postupke u kojima doista suodlučuje o načinima i svrsi obrade osobnih podataka.

109. Valja dodati da je taj zaključak odgovor i na treće postavljeno pitanje. Sud koji je uputio zahtjev tim pitanjem u biti želi doznati protivi li se Direktivi 95/46 primjena pojma Störer (ometač) iz nacionalnog zakonodavstva na tuženika ako se utvrdi da tuženika nije moguće smatrati nadzornikom. U skladu s odlukom kojom je upućeno prethodno pitanje, pojam Störer zahtijeva od osobe koja nije povrijedila pravo, ali koja je stvorila ili povećala rizik od toga da treća stranka počini takvu povredu, da učini sve što je razumno i u njezinoj moći da spriječi takvu povredu. Ako tuženika nije moguće smatrati nadzornikom, sud koji je uputio zahtjev navodi da su preduvjeti za primjenu pojma Störer ispunjeni zato što je tuženik, integriravši plugin za Facebookovu tipku „Sviđa mi se”, u najmanju ruku stvorio rizik od toga da Facebook počini povredu.

110. S obzirom na odgovor koji je pružen na drugo pitanje suda koji je uputio zahtjev, treće pitanje nije potrebno razmatrati. Kada se utvrdi da konkretnu osobu treba smatrati nadzornikom u smislu Direktive 95/46, njezine obveze kao nadzornika treba ocjenjivati u svjetlu obveza definiranih tom direktivom. Suprotan zaključak doveo bi do toga da bi nadzornici iz različitih država članica imali različitu odgovornost za konkretnu povredu. U tom smislu i s obzirom na definiciju nadzornika, Direktiva 95/46 doista postiže potpuno usklađenje u odnosu na adresate definiranih obveza(49).

C. Zakoniti interes koji treba uzeti u obzir u skladu s člankom 7. točkom (f) Direktive 95/46

111. Četvrto pitanje postavljeno u ovom predmetu odnosi se na zakonitost obrade osobnih podataka ako osoba čiji se podaci obrađuju nije dala suglasnost u smislu članka 7. točke (a) Direktive 95/46.

112. Sud koji je uputio zahtjev u tom pogledu upućuje na članak 7. točku (f) Direktive 95/46, prema kojem je obrada osobnih podataka dopuštena ako je „potrebna u svrhe zakonitog interesa kojeg ima nadzornik ili treća stranka ili stranke kojima se podaci otkrivaju, osim kada su ti podaci podređeni interesu za temeljna prava i slobode osobe čiji se podaci obrađuju […]”. Točnije, sud koji je uputio zahtjev želi utvrditi čiji zakoniti interes treba uzeti u obzir u kontekstu ovog predmeta: interes tuženika koji je integrirao sadržaj treće stranke ili interes te treće stranke (to jest društva Facebook Ireland)(50).

113. Uvodno valja istaknuti da Komisija smatra da je četvrto pitanje irelevantno jer korisnik u predmetnom slučaju ionako mora dati suglasnost, na temelju zakonodavstva kojim je provedena Direktiva 2002/58/EZ o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (u daljnjem tekstu: Direktiva o e‑privatnosti)(51).

114. Slažem se s Komisijom da se čini da se Direktiva o e‑privatnosti (kojom se, u skladu s njezinim člankom 1. stavkom 2., Direktiva 95/46 pojašnjava i nadopunjuje u pogledu pitanja iz sektora elektroničkih komunikacija)(52) primjenjuje na predmetni slučaj ako je u njemu došlo do postavljanja kolačića na uređaje korisnikâ(53). Nadalje, suglasnost je u članku 2. točki (f) i uvodnoj izjavi 17. Direktive o e‑privatnosti definirana s obzirom na pojam suglasnosti iz Direktive 95/46.

115. Pitanje je li u predmetnom slučaju došlo do postavljanja kolačića opširno se razmatralo na raspravi. To činjenično pitanje mora riješiti nacionalni sud. Međutim, i u svakom slučaju, kako je opisano u odluci kojom je upućeno prethodno pitanje, sud koji je uputio zahtjev smatra da podaci koji se prenose čine osobne podatke(54). Stoga se čini da pitanje kolačića ne pruža odgovor na sva pitanja koja se u ovom predmetu javljaju u pogledu obrade podataka(55).

116. Zato smatram da je četvrto pitanje potrebno dodatno razmotriti.

117. Tužitelj navodi da je tuženikov zakoniti interes taj koji treba uzeti u obzir. Dodaje da ni tuženik ni društvo Facebook Ireland nemaju zakoniti interes u ovom predmetu.

118. Tuženik i društvo Facebook Ireland u biti tvrde da u obzir treba uzeti zakoniti interes osobe koja integrira sadržaj treće stranke kao i zakoniti interes treće stranke, vodeći pritom računa o interesima posjetiteljâ internetske stranice na čija se temeljna prava možebitno utječe.

119. LDI NW, Poljska, Njemačka i Italija smatraju da u obzir treba uzeti zakoniti interes i tuženika i društva Facebook Ireland jer su oboje omogućili predmetnu obradu. Stajalište Austrije je slično. Slično tomu i pozivajući se na presudu Suda u predmetu Google Spain, Belgija naglašava da u obzir treba uzeti zakoniti interes nadzornika kao i trećih stranaka kojima su preneseni odnosni osobni podaci.

120. Za početak valja podsjetiti da svaka obrada podataka načelno mora zadovoljavati, među ostalim uvjetima, jedan od kriterija koji obradu podataka čine zakonitom, a koji su navedeni u članku 7. Direktive 95/46(56).

121. Što se tiče članka 7. točke (f) Direktive 95/46 konkretno, Sud je podsjetio da su tom odredbom „predviđena […] tri kumulativna uvjeta zakonitosti obrade osobnih podataka, odnosno, kao prvo, da je svrha obrade zakonit interes nadzornika ili treće stranke odnosno stranaka kojima se podaci otkrivaju, kao drugo, da je obrada osobnih podataka potrebna za ostvarenje tog zakonitog interesa i, kao treće, da interes ili temeljna prava i slobode osobe čiji se podaci obrađuju ne prevladavaju nad tim zakonitim interesom”(57).

122. Direktiva 95/46 ne definira i ne nabraja „zakonite interese”. Taj se pojam čini poprilično elastičnim i neiscrpnim(58). Ne postoji nijedna vrsta interesa koja je kao takva isključena, pod uvjetom, naravno, da je zakonita. Kako je u bitnome razmatrano na raspravi i kako je gore navedeno(59), čini se da se u ovom predmetu radi o prikupljanju i prijenosu osobnih podataka u svrhu optimizacije promidžbe, iako točni konačni ciljevi tuženika i društva Facebook Ireland možda nisu sasvim isti.

123. Imajući u vidu ta zapažanja, složio bih se da marketing ili promidžba mogu, kao takvi, biti takav zakonit interes(60). Poprilično je teško izjaviti išta više od toga u kontekstu ovog predmeta jer, osim općenitih navoda, nema konkretnih podataka kako se točno preneseni i prikupljeni podaci koriste.

124. Ipak, sud koji je uputio zahtjev ne razmatra niti traži smjernice u pogledu ocjene konkretnih zakonitih interesa navedenih u glavnom postupku koju treba provesti. On svojim četvrtim pitanjem samo želi utvrditi čiji zakoniti interes treba uzeti u obzir kako bi se moglo provesti odvagivanje predviđeno člankom 7. točkom (f) Direktive 95/46.

125. S obzirom na odgovor na drugo pitanje koji sam gore predložio, smatram da u obzir treba uzeti zakonit interes i tuženika i društva Facebook Ireland jer oboje djeluju kao zajednički nadzornici u pogledu odnosnih postupaka obrade podataka.

126. Budući da njihovo svojstvo zajedničkog nadzornika ujedno znači da imaju iste ciljeve u pogledu obrade osobnih podataka, postojanje zakonitog interesa mora se dokazati u odnosu na svakog od njih, barem na općoj razini kako je gore objašnjeno. Taj se interes potom mora odvagnuti u odnosu na prava osoba čiji se podaci obrađuju, kako je predviđeno u zadnjem dijelu članka 7. točke (f) Direktive 95/46(61), pri čemu to odvagivanje „načelno ovisi o konkretnim okolnostima pojedinog slučaja”(62). Podsjećam da obrada podataka u takvim okolnostima mora podlijegati i uvjetu nužnosti(63).

127. S obzirom na navedeno, moj treći međuzaključak jest da se za potrebe ocjene mogućnosti obrade osobnih podataka pod uvjetima predviđenima u članku 7. točki (f) Direktive 95/46 treba u obzir uzeti zakonit interes obaju zajedničkih nadzornika o kojima je riječ te ga odvagnuti s pravima osoba čiji se podaci obrađuju.

D. Tuženikove obveze u pogledu suglasnosti koja se mora dobiti od osobe čiji se podaci obrađuju i podataka koji se toj osobi moraju dati

128. Sud koji je uputio zahtjev petim pitanjem želi doznati kome se, u okolnostima poput onih u predmetnom slučaju, mora dati suglasnost iz članka 7. točke (a) i članka 2. točke (h) Direktive 95/46.

129. Sud koji je uputio zahtjev šestim pitanjem želi doznati odnosi li se obveza davanja podataka iz članka 10. Direktive 95/46 u situaciji poput predmetne na upravitelja internetske stranice (kao što je tuženik) koji je integrirao sadržaj treće stranke i time uzrokovao postupak obrade osobnih podataka od strane te treće stranke.

130. Kako smo gore vidjeli(64), na ta je pitanja predloženo mnoštvo odgovora. Međutim, nakon što se obveza na koju se odnosi drugo pitanje precizira, kako u pogledu njezina nositelja (tko) tako i u pogledu njezine naravi (za što), te se time pojasne problemi u pogledu prethodne faze lanca obrade podataka, tada odgovori na peto i šesto pitanje, koji se odnose na određene obveze u kasnijim fazama tog lanca, postaju jasniji.

131. Kao prvo, smatram da i suglasnost i podaci koji se moraju dati moraju pokrivati sve aspekte postup(a)ka obrade podataka za koje su zajednički nadzornici zajednički odgovorni, to jest prikupljanje i prijenos osobnih podataka. Nasuprot tomu, te obveze u pogledu pribavljanja suglasnosti i davanja podataka ne vrijede za kasnije faze obrade podataka u kojima tuženik ne sudjeluje te čiju svrhu i načine provedbe, logično, ne utvrđuje.

132. Kao drugo, pod tim bi se uvjetima moglo tvrditi da je suglasnost moguće dati bilo kojem ili obojici zajedničkih nadzornika. Međutim, u predmetnoj se situaciji ta suglasnost mora dati tuženiku jer se postupak obrade pokreće kada se njegovu internetsku stranicu doista posjeti. Očito je da prava osoba čiji se podaci obrađuju ne bi bila djelotvorno i pravodobno zaštićena ako bi se suglasnost dala samo zajedničkom nadzorniku koji kasnije sudjeluje (ako uopće sudjeluje), nakon što su prikupljanje i prijenos osobnih podataka već izvršeni.

133. Sličan odgovor treba dati u odnosu na obvezu u pogledu davanja podataka koju tuženiku propisuje članak 10. Direktive 95/46. Ta odredba predviđa minimalan popis podataka koje nadzornik (ili njegov zastupnik) mora dati osobi čiji se podaci obrađuju. Među njima su sljedeći elementi: identitet nadzornika (ili njegova zastupnika); svrha obrade kojoj su osobni podaci namijenjeni i bilo koji daljnji podaci ako su takvi podaci „potrebni, uzimajući u obzir posebne okolnosti u kojima se podaci prikupljaju, [kako bi se osigurala] pošten[a] obrad[a] u odnosu na osobu čiji se podaci obrađuju”. Članak 10. sadržava primjere takvih daljnjih podataka, od kojih bi za ovaj predmet mogli biti relevantni podaci o primatelju osobnih podataka ili o postojanju prava na pristup podacima koji se odnose na osobu čiji se podaci obrađuju i prava na njihovo ispravljanje.

134. S obzirom na taj popis, čini se očitim da tuženik može dati podatke o identitetu zajedničkih nadzornika, o svrsi odnosne faze obrade (postup(a)ka u kojima vrši zajednički nadzor) te ujedno o činjenici da će se ti podaci prenijeti.

135. Nasuprot tomu, kada je riječ o pravu na pristup osobnim podacima i pravu na njihovo ispravljanje, smatram da sâm tuženik nema pristup podacima koji se prenose društvu Facebook Ireland jer on ni na koji način ne sudjeluje u njihovoj pohrani. Tako bi se, primjerice, moglo tvrditi da bi to pitanje moralo biti predmet sporazuma s društvom Facebook Ireland.

136. Međutim, takve bi tvrdnje, zanemarujući gore istaknute argumente(65), ponovno proširivale obveze i odgovornost zajedničkog nadzornika na postupke za koje nisu odgovorni. Ako zajednički nadzor podrazumijeva odgovornost za one postupke obrade u pogledu kojih među nadzornicima postoje zajednička svrha i načini, logično je da ostale obveze predviđene Direktivom 95/46, poput onih u pogledu suglasnosti, davanja podataka, pristupa osobnim podacima ili njihova ispravljanja, u tom slučaju moraju odgovarati opsegu te izvorne obveze(66).

137. Komisija je na raspravi istaknula i da su oni posjetitelji tuženikove internetske stranice koji imaju račun na Facebooku možda ranije pristali na takav prijenos svojih osobnih podataka. To bi moglo dovesti do raznolike odgovornosti tuženika, pri čemu Komisija navodi, kako se čini, da bi tuženikova obveza davanja podataka i pribavljanja suglasnosti u tom slučaju vrijedila samo za posjetitelje tuženikove internetske stranice koji nemaju račun na Facebooku.

138. Ne slažem se s tim. Teško mi je prihvatiti ideju da bi tretman „korisnika Facebooka” u okolnostima predmetnog slučaja morao biti drukčiji (pružati manju zaštitu) zato što su oni već pristali na mogućnost (bilo koje i svake) obrade svojih osobnih podataka od strane Facebooka. Naime, takav argument implicira da osobe otvaranjem računa na Facebooku unaprijed pristaju na to da bilo koja treća stranka, kako god da je povezana s Facebookom, obrađuje njihove osobne podatke u kontekstu bilo koje njihove internetske aktivnosti. To bi vrijedilo i za situacije u kojima nema vidljivih znakova provođenja obrade (što se čini da je slučaj kada osoba samo posjeti tuženikovu internetsku stranicu). Drugim riječima, prihvaćanje Komisijine tvrdnje bi dakle značilo da se osoba samim otvaranjem računa na Facebooku zapravo odrekla svake zaštite osobnih podataka na internetu u odnosu na Facebook.

139. Zato smatram da tuženikova odgovornost i posljedične obveze u pogledu pribavljanja suglasnosti i davanja podataka moraju biti iste u odnosu na sve osobe čiji se podaci obrađuju, neovisno o tome imaju li račun na Facebooku ili ne.

140. Nadalje, jasno je i da se suglasnost mora pribaviti, a podaci se moraju dati, prije prikupljanja i prijenosa osobnih podataka(67).

141. Stoga, s obzirom na navedeno, moj posljednji međuzaključak, kojim odgovaram na peto i šesto pitanje, jest da osoba čiji se podaci obrađuju, u situaciji poput one u predmetnom slučaju, suglasnost iz članka 7. točke (a) Direktive 95/46 mora dati upravitelju internetske stranice, kao što je tuženik, koji je integrirao sadržaj treće stranke. Članak 10. Direktive 95/46 treba tumačiti na način da se obveza davanja podataka predviđena tom odredbom odnosi i na tog upravitelja internetske stranice. Suglasnost osobe čiji se podaci obrađuju iz članka 7. točke (a) Direktive 95/46 mora se pribaviti, a podaci u smislu članka 10. te direktive moraju se dati, prije prikupljanja i prijenosa osobnih podataka. Međutim, opseg tih obveza treba odgovarati zajedničkoj odgovornosti tog upravitelja za prikupljanje i prijenos osobnih podataka.

IV. Zaključak

142. S obzirom na navedeno, predlažem da Sud na pitanja koja je postavio Oberlandesgericht Düsseldorf (Visoki zemaljski sud u Düsseldorfu, Njemačka) odgovori na sljedeći način:

– Direktivi 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka ne protivi se nacionalni propis kojim se neprofitnim udruženjima daje aktivna procesna legitimacija kako bi radi zaštite interesa potrošača pokrenula sudski postupak protiv osobe koja je navodno povrijedila propise o zaštiti podataka.

– Osobu koja je u svoju internetsku stranicu integrirala plugin treće stranke koji dovodi do prikupljanja i prijenosa osobnih podataka korisnika (a koji je pružila ta treća stranka) treba smatrati nadzornikom u smislu članka 2. točke (d) Direktive 95/46. Međutim, zajednička odgovornost tog nadzornika ograničena je na one postupke u kojima doista suodlučuje o načinima i svrsi obrade osobnih podataka.

Za potrebe ocjene mogućnosti obrade osobnih podataka pod uvjetima predviđenima u članku 7. točki (f) Direktive 95/46, treba u obzir uzeti zakonit interes obaju zajedničkih nadzornika o kojima je riječ te ga odvagnuti s pravima osoba čiji se podaci obrađuju.

– Osoba čiji se podaci obrađuju suglasnost iz članka 7. točke (a) Direktive 95/46 mora dati upravitelju internetske stranice koji je integrirao sadržaj treće stranke. Članak 10. Direktive 95/46 treba tumačiti na način da se obveza davanja podataka predviđena tom odredbom odnosi i na tog upravitelja internetske stranice. Suglasnost osobe čiji se podaci obrađuju iz članka 7. točke (a) Direktive 95/46 mora se pribaviti, a podaci u smislu članka 10. te direktive moraju se dati, prije prikupljanja i prijenosa osobnih podataka. Međutim, opseg tih obveza treba odgovarati zajedničkoj odgovornosti tog upravitelja za prikupljanje i prijenos osobnih podataka.

1 Izvorni jezik: engleski

2 Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.)

3 Direktiva 2009/22/EZ Europskog parlamenta i Vijeća od 23. travnja 2009. o sudskim nalozima za zaštitu interesa potrošača (SL 2009., L 110, str. 30.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 15., svezak 1., str. 269.)

4 Ističem da je u odluci kojom je upućeno prethodno pitanje navedeno da je tuženiku plugin na raspolaganje stavilo društvo Facebook Ireland ili društvo majka potonjeg, Facebook Inc., osnovano u Sjedinjenim Američkim Državama. Međutim, čini se da moguću odgovornost na temelju članka Direktive 95/46 u kontekstu ovog postupka preuzima, kako u postupku pred sudom koji je uputio zahtjev tako i u postupku pred Sudom, društvo Facebook Ireland. Stoga ne vidim razloga razmatrati moguću primjenjivost Direktive 95/46 na društvo majku društva Facebook Ireland.

5 Uredba Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46 (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravak SL 2018., L 127, str. 2.)

6 „Države članice mogu predvidjeti da svako tijelo, organizacija ili udruženje iz stavka 1. ovog članka, neovisno o mandatu ispitanika, ima pravo u toj državi članici podnijeti pritužbu nadzornom tijelu nadležnom u skladu s člankom 77. i ostvarivati prava iz članaka 78. i 79. ako smatra da su uslijed obrade osobnih podataka prekršena prava ispitanika iz ove Uredbe.”

7 Pri čemu radi cjelovitosti dodajem da Sud u predmetu u kojem je donesena presuda od 28. srpnja 2016., Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), koji se odnosio na pitanje tumačenja Direktive 95/46 koje se pojavilo u nacionalnom postupku koji je pokrenulo udruženje, nije razmatrao pitanje aktivne procesne legitimacije iz jednostavnog razloga što ono kao takvo nije postavljeno.

8 Kako je potvrđeno, primjerice, u presudama od 23. svibnja 1985., Komisija/Njemačka (C‑29/84, EU:C:1985:229, t. 22.); od 14. veljače 2012., Flachglas Torgau (C‑204/09, EU:C:2012:71, t. 60.); i od 19. travnja 2018., CMR (C‑645/16, EU:C:2018:262, t. 19.)

9 Presuda od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317, t. 53.)

10 Vidjeti također presudu od 16. prosinca 2008., Huber (C‑524/06, EU:C:2008:724, t. 50.).

11 Zbog čega, za razliku od situacije koja se razmatrala u presudi od 25. siječnja 2018., Schrems (C‑498/16, EU:C:2018:37), nije potrebno nikakvo ustupanje zahtjeva određenoj osobi te je u nacionalnom pravu prisutna jasna pravna osnova za ono što se čini vrstom zastupanja kolektivnih interesa potrošača

12 Ili, drugim riječima, države članice također moraju, osobito u pogledu institucionalne strukture ili postupaka, urediti i nekoliko drugih pitanja, koja u direktivi nisu izričito spomenuta (a ona se, kada je riječ o ostvarenju prava sudskim putem, ne odnose samo na aktivnu procesnu legitimaciju, nego i na, primjerice, rokove za pokretanje postupka; sudske pristojbe; sudsku nadležnost itd.). Može li se tvrditi da države članice ni ta pitanja ne smiju urediti u nacionalnom pravu s obzirom na to da nijedno od njih nije spomenuto ni u članku 22. ni u članku 24. Direktive 95/46?

13 Kako su definirani u članku 3. Direktive 2009/22.

14 Vidjeti, primjerice, presude od 6. studenoga 2003., Lindqvist (C‑101/01, EU:C:2003:596, t. 96.); od 16. prosinca 2008., Huber (C‑524/06, EU:C:2008:724, t. 51.); od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 29.); i od 7. studenoga 2013., IPI (C‑473/12, EU:C:2013:715, t. 31.).

15 Presuda od 6. studenoga 2003., Lindqvist (C‑101/01, EU:C:2003:596, t. 97.)

16 Vidjeti moje mišljenje u predmetu Dzivev (C‑310/16, EU:C:2018:623, t. 72. i 74.).

17 Citira ih se u točki 8. ovog mišljenja.

18 Vidjeti primjere navedene u bilješci 12 ovog mišljenja.

19 Koja su, u skladu s člankom 28. Direktive 95/46, odgovorna za nadzor primjene odredbi koje su donijele države članice u skladu s tom direktivom.

20 U pogledu standarda koji zahtijeva članak 28. stavak 1. Direktive 95/46, vidjeti presude od 9. ožujka 2010., Komisija/Njemačka (C‑518/07, EU:C:2010:125, t. 18. do 30.), i od 16. listopada 2012., Komisija/Austrija (C‑614/10, EU:C:2012:631, t. 41. do 66.).

21 Po analogiji s drugim pravnim područjem, bi li onda, primjerice, i privatna provedba propisa o tržišnom natjecanju bila prijetnja neovisnosti (nacionalnih) tijela za zaštitu tržišnog natjecanja? Vidjeti presude od 20. rujna 2001., Courage i Crehan (C‑453/99, EU:C:2001:465, t. 26. do 27. i 29.), i od 13. srpnja 2006., Manfredi i dr. (C‑295/04 do C‑298/04, EU:C:2006:461, t. 59. do 60.). Također vidjeti uvodnu izjavu 5. Direktive 2014/104/EU Europskog parlamenta i Vijeća od 26. studenoga 2014. o određenim pravilima kojima se uređuju postupci za naknadu štete prema nacionalnom pravu za kršenje odredaba prava tržišnog natjecanja država članica i Europske unije (SL 2014., L 349, str. 1.).

22 Općenito (neovisno o konkretnom pitanju promijenjenog pravnog oblika), što činjenica da je zakonodavac nešto ubacio u kasniji zakonodavni akt, čega u aktima koji su mu prethodili nije bilo, znači za tumačenje potonjih akata? Moguće je da je odnosno načelo bilo „implicitno sadržano” u ranijim aktima te da je sada samo jasno izraženo. Međutim, moguće je da nova odredba, upravo zato što je u ranijim aktima nije bilo, čini izmjenu. S obzirom na čestu i upitnu (pogrešnu) uporabu argumenta da je odredba „oduvijek prisutna, a sada je samo izričita”, kojim se primjena novog pravila zapravo proširuje na razdoblje izvan njegova vremenskog područja primjene, takvu vrstu argumenata treba oprezno koristiti, ako ne i izbjegavati.

23 U pogledu pitanja dinamičnih IP adresa, vidjeti presudu od 19. listopada 2016., Breyer (C‑582/14, EU:C:2016:779, t. 33. i sljedeće). Također vidjeti presudu od 24. studenoga 2011., Scarlet Extended (C‑70/10, EU:C:2011:771, t. 51.).

24 Presuda od 19. listopada 2016., Breyer (C‑582/14, EU:C:2016:779, t. 41. do 45.)

25 Vidjeti točku 19. ovog mišljenja.

26 Moje isticanje

27 Presude od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 29.), i od 10. srpnja 2018., Jehovan todistajat (C‑25/17, EU:C:2018:551, t. 65.)

28 Vidjeti presude od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317, t. 34.), i od 10. srpnja 2018., Jehovan todistajat (C‑25/17, EU:C:2018:551, t. 66.).

29 Presuda od 5. lipnja 2018. (C‑210/16, EU:C:2018:388)

30 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 39.)

31 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 35.)

32 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 36.)

33 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 34. i 38.)

34 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 39. i 41.)

35 Presuda od 10. srpnja 2018. (C‑25/17, EU:C:2018:551, t. 68. do 72.)

36 Kako je nezavisni odvjetnik Y. Bot naveo u svojem mišljenju u predmetu Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, t. 66. do 72.)

37 Pri čemu se analogija sa zaštitom potrošača, područjem u kojem bi stranka koja „nije trgovac” morala imati određeni istinski utjecaj u određivanju ugovornih uvjeta, ne čini primjenjivom u tom kontekstu. Stoga se može raspravljati o tome koliko administrator stranice obožavatelja doista može „utvrđivati postavke” (a koliko se zapravo radi o mehaničkom klikanju i izboru između pripremljenih opcija, kakav je položaj svih drugih „potrošača”).

38 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 35.)

39 Neki današnji programi i aplikacije programeru ili prodavatelju softvera prenose, katkad s izričitim, a katkad s manje izričitim pristankom korisnika, analitičke informacije koje mogu uključivati osobne podatke.

40 Presuda od 5. lipnja 2018. (C‑210/16, EU:C:2018:388, t. 38.)

41 Ponovimo, za raspravu bi doista moglo biti otvoreno pitanje točnih uvjeta pod kojima bi se takvi ugovori sklapali i kakve bi pregovaračke položaje stranke pritom imale (također vidjeti bilješku 37. ovog mišljenja).

42 Ili, kako je nešto manje izravno rekao Sir Humphrey Appleby (koji se, kako se čini, sam pozivao na stariji citat nepoznatog autora): „Odgovornost bez moći – tradicionalna povlastica eunuha” (u seriji „Da, premijeru”, 2. sezona, 7. epizoda, „Državna služba za obrazovanje”, prvi put emitirana 21. siječnja 1988.).

43 Također u smislu opisanom u točki 73. i bilješkama 38 i 42 ovog mišljenja

44 Presuda od 5. lipnja 2018., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, t. 43.)

45 Vidjeti točke 87. i 88. ovog mišljenja.

46 Vidjeti također Mišljenje 4/2007 o pojmu osobnih podataka, koje je donijela Radna skupina za zaštitu podataka iz članka 29. (savjetodavno tijelo uspostavljeno člankom 29. Direktive 95/46, sada zamijenjeno Europskim odborom za zaštitu podataka, koji je uspostavljen člankom 68. OUZP‑a), 01248/07/EN WP 136, 20. lipnja 2007., str. 4.

47 Također s obzirom na jednostavnu činjenicu da je obrada rijetko kada linearna u smislu da redom prolazi kroz sve postupke navedene u članku 2. točki (b) i da je provodi jedna osoba. Umjesto toga, životni vijek osobnih podataka uglavnom je cikličan, ponavlja se, gdjegdje se račva, a skupovi podataka se prikupljaju na različitim krajevima, pregledava ih druga osoba, potom se spajaju i pregledavaju, a nakon toga ih se možda ponovno kombinira i prenosi drugim osobama i tako dalje.

48 Radna skupina za zaštitu podataka iz članka 29. navela je da „[d]o sunadzora dolazi kada različite osobe utvrđuju, u pogledu konkretnih postupaka obrade, ili svrhu ili bitne elemente načina obrade”. Vidjeti mišljenje 1/2010 o pojmovima „nadzornik” i „obrađivač”, koje je 16. veljače 2010. donijela Radna skupina za zaštitu podataka osnovana člankom 29., dokument 00264/10/EN WP 169, str. 19.

49 U suprotnosti sa situacijom o kojoj se u točkama 39. do 42. ovog mišljenja raspravljalo u okviru prvog pitanja

50 Na temelju izvorne (njemačke) verzije četvrtog pitanja zaključujem da je ono ograničeno na određivanje interesa koje treba uzeti u obzir, a ne, kako proizlazi iz engleske verzije, interesa koji su odlučujući („decisive”) (u smislu da imaju veći značaj) u tom odvagivanju interesa. Stoga se čini da se tim pitanjem želi doznati o predmetu odvagivanja, a ne o njegovu ishodu.

51 Direktiva Europskog parlamenta i Vijeća od 12. srpnja 2002. (Direktiva o privatnosti i elektroničkim komunikacijama) (SL 2002., L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 111.)

52 Vidjeti također presudu od 5. svibnja 2011., Deutsche Telekom (C‑543/09, EU:C:2011:279, t. 50.). U skladu s uvodnom izjavom 10. Direktive o e‑privatnosti, „[u] području elektroničkih komunikacija [Direktiva 95/46] primjenjuje se posebno na sva pitanja koja se odnose na zaštitu temeljnih prava i sloboda, koja nisu posebno pokrivena odredbama ove Direktive, uključujući obveze osoba koje provode kontrolu i prava pojedinaca. [Direktiva 95/46] primjenjuje se na komunikacijske usluge koje nisu javne”.

53 U tom kontekstu, vidjeti članak 5. stavak 3. Direktive o e‑privatnosti u kojem se navodi da „Države članice osiguravaju da uporaba elektroničkih komunikacijskih mreža za pohranu informacija ili za pristup informacijama pohranjenima u terminalnoj opremi pretplatnika ili korisnika bude dopuštena samo pod uvjetom da se pretplatniku ili korisniku pruže jasne i sveobuhvatne informacije u skladu s [Direktivom 95/46], između ostalog, o svrsi obrade […]”.

54 U tom kontekstu ponovno upućujem na uvodni odjeljak B. 1 (točke 55. do 58. supra) i potrebu za činjeničnom provjerom što se doista prenosi i pitanja jesu li te informacije zapravo osobni podaci.

55 Vidjeti također Dokument 02/2013 Radne skupine za zaštitu podataka iz članka 29., koji pruža smjernice o pribavljanju suglasnosti za postavljanje kolačića, 1676/13/EN WP 208, 2. listopada 2013., str. 5. i 6., a u kojem je navedeno da se „pravila o zaštiti podataka očito primjenjuju na pohranjivanje ili pribavljanje na uređajima korisnika već pohranjenih informacija koje se provodi putem kolačića, jer to može činiti obradu osobnih podataka”.

56 U tom smislu, vidjeti presude od 13. svibnja 2014., Google Spain i Google (C‑131/12, EU:C:2014:317, t. 71. i navedenu sudsku praksu), i od 4. svibnja 2017., Rīgas satiksme, C‑13/16, EU:C:2017:336, t. 25.).

57 Presuda od 4. svibnja 2017., Rīgas satiksme (C‑13/16, EU:C:2017:336, t. 28.). Također vidjeti presudu od 24. studenoga 2011., Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 i C‑469/10, EU:C:2011:777, t. 38.).

58 Vidjeti moje mišljenje u predmetu Rīgas satiksme (C‑13/16, EU:C:2017:43, t. 64. i 65.). Kako sam tamo podsjetio, Sud je kao zakonite interese priznao transparentnost (presuda od 9. studenoga 2010., Volker und Markus Schecke i Eifert (C‑92/09 i C‑93/09, EU:C:2010:662, t. 77.)), zaštitu imovine, zdravlja i obiteljskog života (presuda od 11. prosinca 2014., Ryneš (C‑212/13, EU:C:2014:2428, t. 34.)). Također vidjeti presude od 29. siječnja 2008., Promusicae (C‑275/06, EU:C:2008:54, t. 53.), i od 4. svibnja 2017., Rīgas satiksme (C‑13/16, EU:C:2017:336, t. 29.).

59 Vidjeti točke 104. do 105. ovog mišljenja.

60 Vidjeti također Mišljenje 06/2014 Radne skupine za zaštitu podataka iz članka 29. o „Pojmu zakonitih interesa nadzornika podataka u skladu s člankom 7. Direktive 95/46/EZ” (844/14/EN WP 217), str. 25.

61 Kako sam drugdje naveo, „postojanje suprotstavljenih zakonitih interesa ne mora [se] samo dokazati, nego ti interesi moraju imati prednost pred pravima i slobodama osobe čiji se podaci obrađuju”, zajamčenima u člancima 7. i 8. Povelje. Vidjeti moje mišljenje u predmetu Rīgas satiksme (C‑13/16, EU:C:2017:43, t. 56. i 66. do 69. i navedenu sudsku praksu).

62 Presuda od 4. svibnja 2017., Rīgas satiksme (C‑13/16, EU:C:2017:336, t. 31. i navedena sudska praksa)

63 Mora postojati adekvatan odnos između ciljeva (navodnog zakonitog interesa) i upotrijebljenih načina (obrađenih osobnih podataka). U tom smislu, vidjeti presudu od 4. svibnja 2017., Rīgas satiksme (C‑13/16, EU:C:2017:336, t. 30. i navedenu sudsku praksu).

64 Vidjeti točke 76. do 82. ovog mišljenja.

65 Vidjeti točke 84. do 88. ovog mišljenja.

66 Što, naravno, ne znači da možebitni drugi (i kasniji) nadzornici ne mogu tu obvezu imati u pogledu postupaka obrade u kojima sudjeluju

67 Vidjeti točku 132. ovog mišljenja. Vidjeti Dokument 02/2013 Radne skupine za zaštitu podataka iz članka 29., koji pruža smjernice o pribavljanju suglasnosti za postavljanje kolačića, 1676/13/EN WP 208, 2. listopada 2013., str. 4. Također vidjeti Mišljenje 15/2011 te radne skupine o definiciji suglasnosti, 1197/11/EN WP187, 13. srpnja 2011., str. 9.