РЕШЕНИЕ НА СЪДА (втори състав)
29 юли 2019 година(*)
„Преюдициално запитване — Защита на физическите лица при обработването на лични данни — Директива 95/46/ЕО — Член 2, буква г) — Понятието „администратор“ — Оператор на уебсайт, интегрирал в него социална приставка, която дава възможност лични данни на посетителя на този сайт да бъдат разкривани на доставчика на тази приставка — Член 7, буква е) — Законосъобразност на обработването на данни — Вземане предвид на интересите на оператора на уебсайта или на тези на доставчика на социалната приставка — Член 2, буква з) и член 7, буква a) — Съгласие на съответното физическо лице — Член 10 — Информиране на съответното физическо лице — Национална правна уредба, съгласно която сдруженията за защита на интересите на потребителите притежават активна процесуална легитимация“
По дело C‑40/17
с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф, Германия) с акт от 19 януари 2017 г., постъпил в Съда на 26 януари 2017 г., в рамките на производство по дело
Fashion ID GmbH & Co. KG
срещу
Verbraucherzentrale NRW eV,
в присъствието на:
Facebook Ireland Ltd
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
СЪДЪТ (втори състав),
състоящ се от: K. Lenaerts, председател на Съда, изпълняващ функцията на председател на втори състав, A. Prechal, C. Toader, A. Rosas (докладчик) и M. Ilešič, съдии,
генерален адвокат: M. Bobek,
секретар: D. Dittert, началник-отдел,
предвид изложеното в писмената фаза на производството и в съдебното заседание от 6 септември 2018 г.,
като има предвид становищата, представени:
– за Fashion ID GmbH & Co. KG, от C.‑M. Althaus и J. Nebel, Rechtsanwälte,
– за Verbraucherzentrale NRW eV, от K. Kruse, C. Rempe и S. Meyer, Rechtsanwälte,
– за Facebook Ireland Ltd, от H.‑G. Kamann, C. Schwedler и M. Braun, Rechtsanwälte, и от I. Perego, avvocatessa,
– за Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, от U. Merger, в качеството на представител,
– за германското правителство, първоначално от T. Henze и J. Möller, а впоследствие от J. Möller, в качеството на представители,
– за белгийското правителство, от P. Cottin и L. Van den Broeck, в качеството на представители,
– за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от P. Gentili, avvocato dello Stato,
– за австрийското правителство, от G. Hesse и G. Kunnert, а първоначално и от C. Pesendorfer, в качеството на представители,
– за полското правителство, от B. Majczyna, в качеството на представител,
– за Европейската комисия, от H. Krämer и H. Kranenborg, в качеството на представители,
след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 19 декември 2018 г.,
постанови настоящото
Решение
1 Преюдициалното запитване се отнася до тълкуването на членове 2, 7, 10 и 22—24 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (OB L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).
2 Запитването е отправено във връзка със спор между Fashion ID GmbH & Co. KG и Verbraucherzentrale NRW eV по повод на това, че Fashion ID е интегрирало в своя уебсайт социална приставка на Facebook Ireland Ltd.
Правна уредба
Правото на Съюза
3 Директива 95/46 е отменена и заменена, считано от 25 май 2018 г., с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (ОВ L 119, 2016 г., стр. 1). Тази директива обаче, предвид момента на настъпване на фактите по главното производство, е приложима към същото.
4 Съображение 10 от Директива 95/46 гласи:
„[К]ато имат предвид, че предмет на националните законодателства, отнасящи се до обработването на [лични] данни, е осигуряване спазването на основните права и свободи и по-конкретно правото на личен живот, което се признава както в член 8 на Европейската конвенция за защита на правата на човека и основните свободи, [подписана в Рим на 4 ноември 1950 г.,] така и от общите принципи на правото на [Съюза]; като имат предвид, че поради тази причина сближаването на тези законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в [Съюза]“.
5 Член 1 от Директива 95/46 предвижда:
„1. В съответствие с настоящата директива държавите членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.
2. Държавите членки не могат нито да ограничават, нито да забраняват свободното движение на лични данни между държавите членки по съображения, свързани със защитата, предоставяна съгласно параграф 1“.
6 Член 2 от тази директива гласи:
„По смисъла на настоящата директива:
а) „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност;
б) „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;
[…]
г) „администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или [съюзни] законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на [Съюза];
[…]
e) „трето лице“ означава всяко физическо или юридическо лице, държавен орган, агенция или друг орган, различни от съответното физическо лице, администратора, обработващия данните и лицата, които под прякото ръководство на администратора или обработващия данните, имат право да обработват данните;
ж) „получател“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, пред което се разкриват данни, независимо дали е трето лице или не; от друга страна, органите, които могат да получават данни в рамките на конкретно проучване, не се считат за получатели;
з) „съгласие на съответното физическо лице“ означава всяко свободно изразено, конкретно и информирано указание за волята на съответното физическо лице, с което то дава израз на своето съгласие за обработка на личните данни, които се отнасят до него“.
7 Член 7 от посочената директива гласи:
„Държавите членки предвиждат, че обработването на лични данни може да се извършва, само ако:
а) съответното физическо лице е дало недвусмислено своето съгласие за това; или
[…]
е) обработването е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице, които изискват защита по силата на член 1, параграф 1“.
8 Съгласно член 10 от същата директива, озаглавен „Информация при събиране на данни от съответното физическо лице“:
„Държавите членки предвиждат, че администраторът или неговият представител трябва да предостави на съответното физическо лице, от което се събират данни, отнасящи се за самия него, най-малкото следната информация, освен в случаите, когато то вече я притежава:
а) самоличността на администратора или на неговия представител, когато има такъв;
б) целта на обработването, за което данните са предназначени;
в) всякаква друга информация, например:
– получателите или категориите получатели на данни,
– дали отговорите на въпросите са задължителни или доброволни, както и евентуалните последици при липса на отговор,
– наличието на право на достъп и на право на поправка на данните, които се отнасят до него,
доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице“.
9 Член 22 от Директива 95/46 е формулиран по следния начин:
„Без това да засяга [което] и да е административно средство за правна защита, което може да бъде предвидено, inter alia, пред надзорния орган, посочен в член 28, преди сезиране на съдебен орган, държавите членки предвиждат правото на всяко лице на [съдебна] защита за всяко нарушение на правата, гарантирани от националното право, приложимо към въпросната обработка“.
10 Член 23 от тази директива гласи:
„1. Държавите членки предвиждат, че всяко лице, което е понесло вреди в резултат на неправомерна операция по обработката или на каквото и да е действие, което е несъвместимо с националните разпоредби, приети съгласно настоящата директива, има право да получи обезщетение от администратора за понесените вреди.
2. Администраторът може да бъде изцяло или частично освободен от такава отговорност, ако докаже, че не носи отговорност за събитието, довело до причиняване на вредите“.
11 Член 24 от посочената директива предвижда:
„Държавите членки вземат подходящи мерки, за да гарантират пълното прилагане на разпоредбите на настоящата директива и в частност определят санкциите, които се налагат в случай на нарушаване на разпоредбите, приети в съответствие с настоящата директива“.
12 Член 28 от същата директива гласи:
„1. Всяка държава членка предвижда, че на нейната територия един или повече държавни органи отговарят за контрола на прилагането на разпоредбите, приети от държавите членки[…] съгласно настоящата директива.
Тези органи се ползват с пълна независимост при упражняване на функциите, които са им възложени.
[…]
3. В частност, на всеки орган са предоставени:
[…]
– правомощие да води съдебни дела, когато са нарушени националните разпоредби, приети в съответствие с настоящата директива, или [да свежда] тези нарушения до знанието на съдебните власти.
[…]
4. Всеки надзорен орган разглежда [молби], подадени от което и да е лице, от [сдружение], представляващо това лице, отнасящи се до защита на неговите права и свободи при обработването на лични данни. Лицето се уведомява за хода на [молбата].
[…]“.
13 Член 5, параграф 3 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г. (ОВ L 337, 2009 г., стр. 11) (наричана по-нататък „Директива 2002/58“), предвижда:
„Държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива [95/46], inter alia, относно целите на обработката. Това не пречи на всякакво техническо съхранение или достъп с единствена цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът да предостави услуга на информационното общество, изрично поискана от абоната или ползвателя“.
14 Член 1, параграф 1 от Директива 2009/22/ЕО на Европейския парламент и на Съвета от 23 април 2009 година относно исковете за преустановяване на нарушения с цел защита на интересите на потребителите (ОВ L 110, 2009 г., стр. 30), изменена с Регламент (ЕС) № 524/2013 на Европейския парламент и на Съвета от 21 май 2013 г. (ОВ L 165, 2013 г., стр. 1) (наричана по-нататък „Директива 2009/22“), гласи:
„Целта на настоящата директива е да сближи законовите, подзаконовите и административните разпоредби на държавите членки по отношение на посочените в член 2 искове за преустановяване на нарушения, целящи защита на колективните интереси на потребителите, посочени в актовете на Съюза, изброени в приложение I, с оглед осигуряване безпрепятственото функциониране на вътрешния пазар“.
15 Член 2 от тази директива предвижда:
„1. Държавите членки определят съдилищата или административните органи, компетентни да се произнасят в производствата, образувани по инициатива на компетентните структури по смисъла на член 3, целящи:
а) преустановяване или забрана на всякакво нарушение, с необходимата грижа и при необходимост в рамките на бързо производство;
[…]“.
16 Член 7 от посочената директива предвижда:
„Настоящата директива не препятства държавите членки да приемат или запазят разпоредби, целящи предоставяне на компетентните структури и на всички други заинтересовани лица на по-широки права на действие на национално равнище“.
17 Член 80 от Регламент № 2016/679 има следния текст:
„1. Субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни, да подаде жалба от негово име и да упражни от негово име правата по членове 77, 78 и 79, както и правото на обезщетение по член 82, когато то е предвидено в правото на държавата членка.
2. Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 73, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.
Германското право
18 Член 3, параграф 1 от Закона срещу нелоялната конкуренция (Gesetz gegen den unlauteren Wettbewerb), в редакцията, приложима към главното производство (наричан по-нататък „UWG“), гласи:
„Забраняват се нелоялните търговски практики“.
19 Член 3а от UWG има следния текст:
„Който нарушава законова разпоредба, предназначена в частност да регулира поведението на пазара в интерес на участниците на пазара, и нарушението може да засегне съществено интересите на потребители, на други участници на пазара или на конкуренти, извършва акт на нелоялна конкуренция“.
20 Член 8 от UWG гласи:
„(1) Срещу този, който извършва незаконна търговска практика по смисъла на член 3 или 7, може да бъде предявен иск за преустановяването ѝ, а при опасност от повторност — за забраната ѝ. Правото да се иска забрана на дадена практика се поражда от момента, в който възникне опасност от такова нарушение на член 3 или 7.
[…]
(3) Исковете по параграф 1 могат да се предявят от:
[…]
3. компетентни структури, които представят доказателство, че фигурират в списъка на компетентните структури по член 4 от Unterlassungsklagengesetz [(Закон за исковете за преустановяване на нарушения)] или в списъка на Европейската комисия по член 4, параграф 3 от Директива [2009/22];
[…]“.
21 Член 2 от Закона за исковете за преустановяване на нарушения предвижда:
„(1) В интерес на потребителите иск за преустановяване на нарушението и иск за забрана на съответните практики може да се предяви срещу всяко лице, което по начин, различен от прилагането или препоръчването на общи търговски условия, нарушава разпоредби, имащи за цел защитата на потребителите (закони за защитата на потребителите). […]
(2) По смисъла на тази разпоредба „закони за защита на потребителите“ са по-специално:
[…]
11. разпоредбите относно критериите за законосъобразност на:
a) събирането от страна на търговец на лични данни за даден потребител или
b) обработването или използването от страна на търговец на събраните за даден потребител лични данни,
когато данните се събират, обработват или използват с рекламна цел, за проучване на пазара и за изследване на общественото мнение, за осъществяване на дейност по събиране на информация, за изготвяне на лични и потребителски профили, за търговия с адреси, за търговия с други данни или за сходни търговски цели“.
22 Член 12, параграф 1 от Telemediengesetz (Закон за електронните медии, наричан по-нататък „TMG“) има следния текст:
„Доставчикът на услуги може да събира и използва лични данни с цел предоставяне на достъп до електронни медии само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, разрешава това или ако ползвателят е дал своето съгласие“.
23 Член 13, параграф 1 от TMG гласи:
„Ако ползвателят все още не е съответно информиран, със започването на процеса на ползване доставчикът на услуги е длъжен по общоразбираем начин да го информира за способа, обхвата и целите на събирането и използването на лични данни, както и за обработването на неговите данни в държави, които не попадат в приложното поле на Директива [95/46]. В случаите на автоматизирана операция, която позволява последващото идентифициране на ползвателя и подготвя събирането или използването на лични данни, ползвателят трябва да бъде информиран в началото на тази операция. Съдържанието на информацията трябва да е винаги достъпно за ползвателя“.
24 Член 15, параграф 1 от TMG предвижда:
„Доставчикът на услуги може да събира и използва лични данни на ползвател само доколкото това е необходимо, за да се направи възможно и за да се таксува ползването на електронни медии („данни за ползването“). „Данни за ползването“ са по-специално:
1. идентификационните признаци на ползвателя,
2. данните за началото и края на съответното ползване, както и за неговия обхват и
3. данните за ползваните от ползвателя електронни медии“.
Спорът в главното производство и преюдициалните въпроси
25 Fashion ID, предприятие за онлайн продажба на модни дрехи, интегрира в уебсайта си социалната приставка „харесва ми“ на социалната мрежа Фейсбук (наричана по-нататък „фейсбук бутонът „харесва ми“).
26 Видно от акта за преюдициално запитване, една от особеностите на интернет е, че браузърът на посетителя на уебсайт може да показва съдържание от различни източници. Затова например снимки, видеоматериали, новини, както и фейсбук бутонът „харесва ми“, за който става въпрос в случая, могат да бъдат свързани с уебсайт и да бъдат включени в него. Ако иска да интегрира това външно съдържание, операторът на уебсайт поставя на своя сайт връзка към него. Когато отвори такава връзка, браузърът на посетителя извиква външното съдържание и го помества на желаното място от екранната страница на сайта. За тази цел браузърът изпраща на сървъра на външния доставчик IP адреса на компютъра на този посетител, както и техническите данни на браузъра, за да може сървърът да определи формата, в който съдържанието се доставя на този адрес. Браузърът изпраща и информация за желаното съдържание. Операторът на уебсайт, който предлага външно съдържание, като го интегрира в сайта си, не може да определя какви данни ще предаде браузърът, нито какво ще прави с тези данни външният доставчик, и в частност дали ще реши да ги съхранява и използва.
27 Що се отнася по-специално до фейсбук бутона „харесва ми“, от акта за преюдициално запитване, изглежда, следва, че когато дадено лице посети уебсайта на Fashion ID, негови лични данни, поради факта че този сайт съдържа въпросния бутон, биват предавани на Facebook Ireland. Става ясно, че това се случва без знанието на посетителя и без значение дали същият е член на социалната мрежа Фейсбук и дали е натиснал фейсбук бутона „харесва ми“.
28 Verbraucherzentrale NRW, действащо в обществена полза сдружение за защита на интересите на потребителите, упреква Fashion ID, че е предало на Facebook Ireland лични данни, принадлежащи на посетителите на уебсайта му, без тяхното съгласие, от една страна, и в нарушение на задълженията за предоставяне на информация, предвидени в разпоредбите за защита на личните данни, от друга страна.
29 Verbraucherzentrale NRW сезира Landgericht Düsseldorf (Областен съд Дюселдорф, Германия), като иска Fashion ID да бъде осъдено да преустанови тази практика.
30 С решение от 9 март 2016 г. Landgericht Düsseldorf (Областен съд Дюселдорф), след като признава активна процесуална легитимация на Verbraucherzentrale NRW съгласно член 8, параграф 3, точка 3 от UWG, частично уважава предявения от него иск.
31 Fashion ID обжалва това решение пред Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф, Германия), запитващата юрисдикция. Facebook Ireland встъпва във въззивното производство в подкрепа на Fashion ID. От своя страна Verbraucherzentrale NRW подава насрещна жалба, с която моли да бъдат уважени повече искания отколкото уважените на първа инстанция.
32 Пред запитващата юрисдикция Fashion ID поддържа, че решението на Landgericht Düsseldorf (Областен съд Дюселдорф) е в разрез с Директива 95/46.
33 От една страна, Fashion ID твърди, че членове 22—24 от посочената директива предвиждат правни средства за защита само в полза на лицата, чиито лични данни се обработват, и на компетентните надзорни органи. Следователно искът, предявен от Verbraucherzentrale NRW, не бил допустим, тъй като това сдружение не разполагало с активна процесуална легитимация съгласно Директива 95/46.
34 От друга страна, Fashion ID счита, че констатацията на Landgericht Düsseldorf (Областен съд Дюселдорф), че то е администратор по смисъла на член 2, буква г) от Директива 95/46, е погрешна, тъй като то няма никакво влияние върху данните, предавани от браузъра на посетителя на неговия уебсайт, нито върху това дали и евентуално как Facebook Ireland ще използва тези данни.
35 На първо място, запитващата юрисдикция има съмнения дали Директива 95/46 оправомощава действащите в обществена полза сдружения да предявяват искове, за да защитят интересите на увредените лица. Според нея член 24 от тази директива не е пречка сдруженията да водят съдебни дела, щом като съгласно този член държавите членки вземат „подходящи мерки“, за да гарантират пълното прилагане на Директивата. Запитващата юрисдикция съответно счита, че национална правна уредба, позволяваща на сдруженията да предявяват искове в интерес на потребителите, би могла да представлява такава подходяща мярка.
36 В това отношение посочената юрисдикция отбелязва, че член 80, параграф 2 от Регламент 2016/679, който отменя и заменя Директива 95/46, изрично разрешава на такова сдружение да предявява искове, което потвърждавало, че последната директива не е изключвала тази възможност.
37 Запитващата юрисдикция също така поставя въпроса дали оператор на уебсайт като Fashion ID, който интегрира в този сайт социална приставка, позволяваща събирането на лични данни, може да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46, въпреки че няма никакво влияние върху обработването на данните, предавани на доставчика на тази приставка. В това отношение запитващата юрисдикция се позовава на постановеното по сходен въпрос решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388).
38 Субсидиарно, в случай че Fashion ID не следва да се счита за администратор, запитващата юрисдикция иска да установи дали тази директива урежда изчерпателно това понятие, така че да изключва национална правна уредба, която предвижда гражданска отговорност за чужди действия при нарушаване на правото на защита на данните. Всъщност запитващата юрисдикция посочва, че такава отговорност на плоскостта на националното право би било възможно да се търси от Fashion ID като „смутител“ („Störer“).
39 Ако се приеме, че Fashion ID е администратор или носи отговорност, най-малкото като „смутител“, за евентуални посегателства от страна на Facebook Ireland срещу защитата на данните, запитващата юрисдикция иска да установи законосъобразно ли е спорното в главното производство обработване на лични данни и кой има задължение за информиране на съответното физическо лице съгласно член 10 от Директива 95/46 — Fashion ID или Facebook Ireland.
40 Затова, от една страна, с оглед на предвидените в член 7, буква е) от Директива 95/46 условия за законосъобразност на обработването на данни, запитващата юрисдикция се пита чии законни интереси трябва да се вземат предвид в случай като разглеждания в главното производство — на оператора на уебсайта или тези на доставчика на социалната приставка.
41 От друга страна, посочената юрисдикция се пита върху кого в случай като разглеждания в главното производство тежат задължението да се получи съгласието и задължението да се информират лицата, чиито лични данни се обработват. Запитващата юрисдикция счита, че въпросът върху кого тежи задължението за информиране на съответните физически лица, предвидено в член 10 от Директива 95/46, е особено важен, тъй като всяко интегриране на външно съдържание в даден уебсайт по принцип предполага обработване на лични данни, но обхватът и целта на това обработване не са известни на лицето, което интегрира съдържанието, т.е. на оператора на съответния уебсайт. По тази причина последният не би могъл да даде дължимата информация, дотолкова доколкото това се изисква от него, така че да му се възлага задължението да информира съответното физическо лице на практика би означавало да се забрани интегрирането на външно съдържание.
42 При тези обстоятелства Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф) решава да спре производството по делото и да постави на Съда следните преюдициални въпроси:
„1) Допускат ли разпоредбите на членове 22, 23 и 24 от Директива [95/46] национална правна уредба, която наред с правомощията за намеса, с които разполагат органите за защита на данните, и със средствата за правна защита на разположение на съответните физически лица, оправомощава действащите в обществена полза сдружения за защита на интересите на потребителите да предприемат правни действия срещу нарушителя в случай на нарушения?
При отрицателен отговор на първия въпрос:
2) В случай като настоящия, в който лице интегрира в своя уебсайт програмен код, чрез който браузърът на потребителя извиква съдържание на трето лице и за целта предава на третото лице лични данни, следва ли лицето, интегрирало посочения програмен код, да се счита за „администратор“ по смисъла член 2, буква г) от Директива [95/46], когато самото то няма възможност да влияе върху тази операция по обработване на данни?
3) При отрицателен отговор на втория въпрос: трябва ли член 2, буква г) от Директива [95/46] да се тълкува в смисъл, че урежда изчерпателно отговорността на администратора, така че не допуска ангажирането на гражданската отговорност на трето лице, което, макар да не е „администратор“, създава предпоставките за започване на операцията по обработване на данни, без да има възможност да влияе върху тази операция?
4) Чии „законни интереси“ трябва да бъдат взети предвид в положение като разглежданото в случая, когато следва да се извърши претегляне съгласно член 7, буква е) от Директива [95/46]? Интересът от интегрирането на съдържание на трети лица или интересът на третото лице?
5) Пред кого трябва да бъде изразено съгласието, което следва да бъде дадено съгласно член 7, буква а) и член 2, буква з) от Директива [95/46] в положение като разглежданото в случая?
6) В положение като настоящото длъжен ли е операторът на уебсайт, интегрирал в него съдържание на трето лице и съответно създал предпоставките за обработване на лични данни, да предоставя информация в съответствие с член 10 от Директива [95/46]?“.
По преюдициалните въпроси
По първия въпрос
43 С първия си въпрос запитващата юрисдикция по същество пита дали членове 22—24 от Директива 95/46 трябва да се тълкуват в смисъл, че не допускат национална правна уредба, която дава възможност на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемия извършител на посегателство срещу защитата на личните данни.
44 Като начало следва да се припомни, че съгласно член 22 от Директива 95/46 държавите членки предвиждат, че всяко лице има право на съдебна защита при нарушение на правата, гарантирани му от националното право, приложимо към въпросната обработка.
45 Член 28, параграф 3, трета алинея от Директива 95/46 гласи, че надзорният орган, отговарящ в съответствие с член 28, параграф 1 от тази директива за контрола върху прилагането, на територията на съответната държава членка, на приетите от нея съгласно Директивата разпоредби, разполага в частност с правомощието да води съдебни дела, когато са нарушени приетите в изпълнение на Директивата национални разпоредби, или да свежда тези нарушения до знанието на съдебните власти.
46 Що се отнася до член 28, параграф 4 от Директива 95/46, той предвижда, че сдруженията, представляващи съответните физически лица по смисъла на член 2, буква а) от тази директива, могат да подават до надзорния орган молби, отнасящи се до защитата на правата и свободите на тези лица при обработването на лични данни.
47 Нищо в посочената директива обаче не задължава, нито пък изрично оправомощава държавите членки да предвидят в националното си право възможността сдруженията да представляват пред съда такива лица или по свой почин да предявяват искове срещу предполагаемия извършител на посегателство срещу защитата на личните данни.
48 Това все пак не означава, че Директива 95/46 не допуска национална правна уредба, позволяваща на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемия извършител на такова посегателство.
49 Всъщност съгласно член 288, трета алинея ДФЕС при транспонирането на всяка директива държавите членки са длъжни да осигурят пълното ѝ действие, като разполагат с широка свобода на преценка по отношение на избора на средствата и начините за осигуряване на нейното изпълнение. Тази свобода не засяга задължението на всяка държава членка адресат да вземе всички мерки, необходими за осигуряване на пълното действие на директивата, в съответствие с преследваната от нея цел (решения от 6 октомври 2010 г., Base и др., C‑389/08, EU:C:2010:584, т. 24 и 25 и от 22 февруари 2018 г., Porras Guisado, C‑103/16, EU:C:2018:99, т. 57).
50 В това отношение следва да се припомни, че една от заложените в Директива 95/46 цели е да се осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни (вж. в този смисъл решения от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 53 и от 27 септември 2017 г., Puškár, C‑73/16, EU:C:2017:725, т. 38). В съображение 10 от нея се уточнява, че сближаването на приложимите в тази област национални законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Съюза (решения от 6 ноември 2003 г., Lindqvist, C‑101/01, EU:C:2003:596, т. 95, от 16 декември 2008 г., Huber, C‑524/06, т. 50, от 24 ноември 2011 г., Asociacion Nacional de Establecimientos Financieros de Crédito (ASNEF) и Federaciôn de Comercio Electrônico y Marketing Directo (FECEMD), C‑468/10 и C‑469/10, т. 28).
51 Фактът, че дадена държава членка може да предвиди в националната си правна уредба възможността сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни, в никакъв случай не е в ущърб на целите на последната, а напротив — допринася за постигането на тези цели.
52 Fashion ID и Facebook Ireland твърдят обаче, че тъй като Директива 95/46 напълно хармонизира националните разпоредби за защита на данните, всеки непредвиден изрично в нея иск е изключен. Съгласно членове 22, 23 и 28 от Директива 95/46 възможност да сезират съда имали само съответните физически лица и надзорните органи по защита на данните.
53 Тези доводи обаче не могат да бъдат приети.
54 Несъмнено с Директива 95/46 се стига до хармонизиране на националните законодателства за защита на личните данни, което по принцип е пълно (вж. в този смисъл решения от 24 ноември 2011 г., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 и C‑469/10, EU:C:2011:777, т. 29 и от 7 ноември 2013 г., IPI, C‑473/12, EU:C:2013:715, т. 31).
55 В този смисъл Съдът е постановил, че член 7 от посочената директива съдържа изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законно, и че държавите членки не могат нито да добавят нови критерии за законност на обработването на лични данни към въпросния член, нито да предвиждат допълнителни изисквания, които изменят обхвата на някой от посочените в него шест критерия (решения от 24 ноември 2011 г., Asociación Nacional de Estélientros Financieros de Crédito, C‑468/10 и C‑469/10, EU:C:2011:777, т. 30 и 32 и от 19 октомври 2016 г., Breyer, C‑582/14, EU:C:2016:779, т. 30).
56 Същевременно Съдът е уточнил, че Директива 95/46 съдържа правила, които са относително общи, тъй като трябва да се прилага за голям брой много различни случаи. Тези правила се характеризират с известна гъвкавост и в много случаи оставят на държавите членки грижата за приемане на подробна уредба или за избор на някоя от възможностите, така че държавите членки в много отношения имат свобода на действие при транспонирането на посочената директива (вж. в този смисъл решения от 6 ноември 2003 г., Lindqvist, C‑101/01, EU:C:2003:596, т. 83, 84 и 97 и от 24 ноември 2011 г., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 и C‑469/10, EU:C:2011:777, т. 35).
57 Това важи за членове 22—24 от Директива 95/46, които, както отбелязва генералният адвокат в точка 42 от заключението си, са формулирани общо и не извършват изчерпателна хармонизация на националните разпоредби, отнасящи се до възможната съдебна защита срещу предполагаемия извършител на посегателство срещу защитата на личните данни (вж. по аналогия решение от 26 октомври 2017 г., I, C‑195/16, EU:C:2017:815, т. 57 и 58).
58 По-специално, член 22 от тази директива действително изисква държавите членки да предвидят правото на всяко лице на съдебна защита за всяко нарушение на правата, гарантирани му от националното право, приложимо към въпросното обработване на лични данни, но посочената директива не съдържа никаква разпоредба, уреждаща конкретните условия за упражняване на това право на съдебна защита (вж. в този смисъл решение от 27 септември 2017 г., Puškár, C‑73/16, EU:C:2017:725, т. 54 и 55).
59 Освен това член 24 от Директива 95/46 задължава държавите членки да вземат „подходящи мерки“, за да гарантират пълното прилагане на разпоредбите на тази директива, но не определя тези мерки. Предвиждането на възможност за сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни може да се приеме за подходяща по смисъла на тази разпоредба мярка, която допринася, както бе посочено в точка 51 от настоящото решение, за постигането на целите на посочената директива, в съответствие с практиката на Съда (вж. в това отношение решение от 6 ноември 2003 г., Lindqvist, C‑101/01, EU:C:2003:596, т. 97).
60 Освен това, противно на поддържаното от Fashion ID, предвиждайки такава възможност в националната си правна уредба, държавата членка не би могла да застраши независимостта, с която надзорните органи трябва да изпълняват възложените им в съответствие с изискванията на член 28 от Директива 95/46 задачи, тъй като въпросната възможност не може да засегне свободата на тези органи да вземат решения или пък да предприемат действия.
61 Освен това Директива 95/46 действително не фигурира сред актовете, изброени в приложение I към Директива 2009/22, но съгласно член 7 от Директива 2009/22 същата не извършва изчерпателна хармонизация в това отношение.
62 И накрая, фактът, че Регламент 2016/679, който отменя и заменя Директива 95/46 и се прилага, считано от 25 май 2018 г., изрично оправомощава в член 80, параграф 2 държавите членки да разрешават на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни, изобщо не означава, че държавите членки не са можели да предоставят на въпросните сдружения това право по силата на Директива 95/46, а напротив, потвърждава, че възприетото в настоящото решение тълкуване на същата отразява волята на законодателя на Съюза.
63 С оглед на всички изложени по-горе съображения на първия въпрос следва да се отговори, че членове 22—24 от Директива 95/46 трябва да се тълкуват в смисъл, че допускат национална правна уредба, която позволява на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни.
По втория въпрос
64 С втория си въпрос запитващата юрисдикция по същество пита дали оператор на уебсайт като Fashion ID, който интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, може да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46, въпреки че няма никакво влияние върху обработването на така предадените на този доставчик данни.
65 В това отношение следва да се припомни, че в съответствие с преследваната с Директива 95/46 цел да се гарантира висока степен на защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни, член 2, буква г) от тази директива дефинира широко понятието „администратор“ като отнасящо се до физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата за обработка на лични данни (вж. в този смисъл решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 26 и 27).
66 Всъщност, както Съдът вече е постановил, целта на тази разпоредба е да се гарантира ефикасна и пълна защита на съответните физически лица посредством широко по съдържанието си определение на понятието „администратор“ (решения от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 34 и от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 28).
67 Освен това, след като съгласно предвиденото в член 2, буква г) от Директива 95/46 понятието „администратор“ се отнася до структурата, която „сам[а] или съвместно с други“ определя целите и средствата за обработка на лични данни, това понятие не препраща непременно към само една структура, а може да се отнася до няколко субекта, участващи в обработването, за всеки от които при това положение съществува задължение да спазва приложимите разпоредби относно защитата на данните (вж. в този смисъл решения от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 29 и от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 65).
68 Съдът също така е постановил, че физическо или юридическо лице, което за собствени цели влияе върху обработването на лични данни и по този начин участва в определянето на целите и средствата за обработка на тези данни, може да се разглежда като администратор по смисъла на член 2, буква г) от Директива 95/46 (решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 68).
69 Освен това съвместната отговорност на няколко субекта за една и съща обработка, съгласно тази разпоредба, не изисква всеки от тях да има достъп до съответните лични данни (вж. в този смисъл решения от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 38 и от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 69).
70 Тъй като обаче целта на член 2, буква г) от Директива 95/46 е да осигури, дефинирайки широко понятието „администратор“, ефикасна и пълна защита на съответните физически лица, наличието на съвместна отговорност не се изразява непременно в равна отговорност на различните субекти за едно и също обработване на лични данни. Тъкмо обратното, тези субекти могат да участват на различни етапи от обработването и в различна степен, поради което конкретната отговорност на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства по случая (вж. в този смисъл решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 66).
71 В това отношение следва да се отбележи, от една страна, че съгласно определението в член 2, буква б) от Директива 95/46 „обработване на лични данни“ е „всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване“.
72 От това определение следва, че обработването на лични данни може да се състои от една или повече операции, всяка от които свързана с един от различните възможни етапи от обработването на лични данни.
73 От друга страна, от определението на понятието „администратор“ в член 2, буква г) от Директива 95/46, припомнено в точка 65 от настоящото решение, следва, че когато няколко субекта съвместно определят целите и средствата за обработване на лични данни, те участват, като администратори, в обработването на тези данни.
74 Следователно, както посочва генералният адвокат в точка 101 от заключението си, физическо или юридическо лице може да отговаря като администратор по смисъла на член 2, буква г) от Директива 95/46, съвместно с други, само за операциите по обработване на лични данни, на които, съвместно с други, определя целите и средствата. От друга страна, и без да се засяга предвидената в това отношение от националното право гражданска отговорност, въпросното физическо или юридическо лице не може да отговаря като администратор по смисъла на тази разпоредба за предходните или последващите операции по веригата, на които не определя нито целите, нито средствата.
75 В случая, освен ако при проверките, които запитващата юрисдикция следва да извърши, не се установи нещо различно, от преписката, с която разполага Съдът, става ясно, че интегрирайки в уебсайта си фейсбук бутона „харесва ми“, Fashion ID изглежда е дало възможност на Facebook Ireland да получава лични данни на посетителите на този уебсайт, като тази възможност възниква от момента на отварянето на същия, и то без значение дали посетителите са членове на социалната мрежа Фейсбук, дали са натиснали фейсбук бутона „харесва ми“ и дали знаят за такава операция.
76 Въз основа на тази информация следва да се отбележи, че операциите по обработване на лични данни, чиито цели и средства Fashion ID, съвместно с Facebook Ireland, може да определи, са — от гледна точка на определението на понятието „обработване на лични данни“ в член 2, буква б) от Директива 95/46 — събирането на лични данни на посетителите на уебсайта на Fashion ID и разкриването им чрез предаване. За сметка на това, въз основа на тази информация, на пръв поглед е изключено Fashion ID да определя целите и средствата за последващите операции по обработване на лични данни, които Facebook Ireland извършва, след като данните са му предадени, така че Fashion ID не може да се счита за администратор на така обработваните данни, по смисъла на този член 2, буква г).
77 Що се отнася до средствата, използвани за целите на събирането на определени лични данни на посетителите на уебсайта на Fashion ID и разкриването им чрез предаване, от точка 75 от настоящото решение е видно, че Fashion ID, изглежда, е интегрирало в уебсайта си фейсбук бутона „харесва ми“, предоставян на операторите на уебсайтове от Facebook Ireland, съзнавайки, че той служи като инструмент за събиране и предаване на лични данни на посетителите на сайта, без значение дали същите са членове на социалната мрежа Фейсбук или не.
78 Като интегрира такава социална приставка на своя уебсайт, Fashion ID оказва решаващо влияние върху събирането на лични данни на посетителите на този сайт и предаването им на доставчика на приставката, в случая Facebook Ireland, до каквото не би се стигнало без интегрирането на същата.
79 При тези обстоятелства и освен ако при проверките, които запитващата юрисдикция следва да извърши в това отношение, не се установи нещо различно, трябва да се приеме, че Facebook Ireland и Fashion ID съвместно определят средствата в основата на операциите по събиране на лични данни на посетителите на уебсайта на Fashion ID и по разкриването им чрез предаване.
80 Що се отнася до целите на въпросните операции по обработване на лични данни, изглежда това, че Fashion ID е интегрирало в уебсайта си фейсбук бутона „харесва ми“, му позволява да оптимизира рекламата на своите стоки, правейки ги по-видими в социалната мрежа Фейсбук, когато посетител на уебсайта натисне този бутон. За да се възползва от посоченото търговско предимство, състоящо се в по-голяма реклама за неговите стоки, Fashion ID е интегрирало такъв бутон на своя уебсайт и с това, изглежда, се е съгласило, поне мълчаливо, лични данни на посетителите на сайта му да бъдат събирани и разкривани чрез предаване, като тези операции по обработване се извършват в икономически интерес както на Fashion ID, така и на Facebook Ireland, което като насрещна престация за предоставеното на Fashion ID предимство получава и съответно може да разполага с тези данни за свои собствени търговски цели.
81 При тези обстоятелства може да се приеме, освен ако при проверките, които запитващата юрисдикция следва да извърши, не се установи нещо различно, че Fashion ID и Facebook Ireland определят съвместно целите на спорните в главното производство операции по събиране на лични данни и по тяхното разкриване чрез предаване.
82 Освен това, видно от припомнената в точка 69 от настоящото решение съдебна практика, обстоятелството, че самият оператор на уебсайт — като Fashion ID — няма достъп до личните данни, събирани и предавани на доставчика на социалната приставка, с когото съвместно определя средствата и целите на обработването на лични данни, не е пречка за квалифицирането му като администратор по смисъла на член 2, буква г) от Директива 95/46.
83 Освен това е важно да се подчертае, че уебсайт като този на Fashion ID се посещава както от лица, които са членове на социалната мрежа Фейсбук и имат профил в нея, така и от лица, които нямат такъв профил. В последния случай отговорността на оператор на уебсайт като Fashion ID във връзка с обработването на личните данни на такива лица е още по-голяма, тъй като просто разглеждането на такъв сайт, съдържащ фейсбук бутона „харесва ми“, изглежда, автоматично задейства обработването на личните им данни от Facebook Ireland (вж. в този смисъл решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 41).
84 Следователно Fashion ID може да отговаря като администратор по смисъла на член 2, буква г) от Директива 95/46, съвместно с Facebook Ireland, за операциите по събиране на лични данни на посетителите на уебсайта му и по разкриването им чрез предаване.
85 С оглед на всички изложени по-горе съображения на втория въпрос следва да се отговори, че оператор на уебсайт като Fashion ID, който интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, може да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46. Тази администраторска отговорност обаче е ограничена — само за операцията или набора от операции по обработване на лични данни, чиито цели и средства той действително определя, а именно събирането на въпросните данни и разкриването им чрез предаване.
По третия въпрос
86 Предвид отговора на втория въпрос не е необходимо да се отговаря на третия.
По четвъртия въпрос
87 С четвъртия си въпрос запитващата юрисдикция по същество пита в случай като разглеждания в главното производство, при който оператор на уебсайт интегрира в сайта си социална приставка, даваща възможност на браузъра на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, чии законни интереси следва да се вземат предвид за целите на прилагането на член 7, буква е) от Директива 95/46 — преследваните от оператора или преследваните от доставчика.
88 Като начало следва да се отбележи, че според Комисията този въпрос не е от значение за разрешаването на спора по главното производство, тъй като не е получено съгласието на съответните физически лица, изисквано съгласно член 5, параграф 3 от Директива 2002/58.
89 В това отношение следва да се отбележи, че съгласно член 5, параграф 3 от последната директива държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие че съответният абонат или ползвател е дал своето съгласие, след като в съответствие с Директива 95/46 е получил ясна и изчерпателна информация и относно целите на обработката.
90 Запитващата юрисдикция следва да провери дали в случай като разглеждания в главното производство доставчикът на социална приставка като Facebook Ireland има достъп, както поддържа Комисията, до информация, съхранявана в крайното оборудване, по смисъла на член 5, параграф 3 от Директива 2002/58, на посетителя на уебсайта на оператора на този сайт.
91 При тези обстоятелства и тъй като, изглежда, запитващата юрисдикция смята, че в случая предадените на Facebook Ireland данни представляват лични данни по смисъла на Директива 95/46, които впрочем не се свеждат непременно само до съхраняваната в крайното оборудване информация, което тази юрисдикция трябва да потвърди, съображенията на Комисията не са достатъчни, за да се постави под съмнение значението, което има за разрешаването на спора в главното производство четвъртият въпрос, свързан с евентуалната законосъобразност на спорното в случая по главното производство обработване на данни, както отбелязва и генералният адвокат в точка 115 от заключението си.
92 Поради това е необходимо да се прецени чии законни интереси следва да се вземат предвид за целите на прилагането на член 7, буква е) от тази директива по отношение на обработването на въпросните данни.
93 В тази връзка следва като начало да се припомни, че съгласно разпоредбите на глава II от Директива 95/46, озаглавена „Общи правила относно законността на обработването на лични данни“, извън допуснатите на основание член 13 от тази директива случаи на дерогиране обработването на лични данни трябва да отговаря в частност на някой от изброените в член 7 от същата директива критерии за законосъобразност на обработването на лични данни (вж. в този смисъл решения от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 71 и от 1 октомври 2015 г., Bara и др., C‑201/14, EU:C:2015:638, т. 30).
94 Съгласно член 7, буква е) от Директива 95/46, чието тълкуване иска запитващата юрисдикция, обработването на лични данни е законосъобразно, ако е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси преимущество имат интересите или основните права и свободи на съответното физическо лице, които изискват защита по силата на член 1, параграф 1 от същата директива.
95 Следователно член 7, буква е) предвижда три кумулативни условия, за да бъде обработването на лични данни законосъобразно, а именно, първо, администраторът или третото лице, или третите лица, на които се разкриват данните, да преследват законни интереси, второ, обработването на личните данни да е необходимо за целите на преследваните законни интереси, и трето, основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество (решение от 4 май 2017 г., Rīgas satiksme, C‑13/16, EU:C:2017:336, т. 28).
96 Доколкото с оглед на отговора на втория въпрос се установява, че в случай като разглеждания в главното производство оператор на уебсайт, който интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, може да отговаря като администратор, съвместно с този доставчик, за операциите по обработване на лични данни на посетителите на уебсайта, а именно за събирането на тези данни и разкриването им чрез предаване, необходимо е всеки от тези администратори да преследва с тези операции по обработване законни интереси по смисъла на член 7, буква е) от Директива 95/46, за да има право да извършва въпросните операции.
97 С оглед на изложените по-горе съображения на четвъртия въпрос следва да се отговори, че в случай като разглеждания в главното производство, при който операторът на уебсайт интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, е необходимо и операторът, и доставчикът да преследват с тези операции по обработване законни интереси по смисъла на член 7, буква е) от Директива 95/46, за да имат право да извършват въпросните операции.
По петия и шестия въпрос
98 С петия и шестия въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да установи, от една страна, как трябва да се тълкуват член 2, буква з) и член 7, буква а) от Директива 95/46 в случай като разглеждания в главното производство, при който операторът на уебсайт интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя — в смисъл, че визираното в тези разпоредби съгласие следва да се получи от въпросния оператор, или пък в смисъл, че това съгласие следва да се получи от въпросния доставчик, и от друга страна, дали член 10 от тази директива трябва да се тълкува в смисъл, че в случай като разглеждания предвиденото в тази разпоредба задължение за предоставяне на информация е в тежест на този оператор.
99 Както е видно от отговора на втория въпрос, операторът на уебсайт, който интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, може да отговаря като администратор по смисъла на член 2, буква г) от Директива 95/46, но само за операцията или набора от операции по обработване на лични данни, чиито средства и цели действително определя.
100 В този смисъл се оказва, че произтичащите от Директива 95/46 задължения за администратора, например предвиденото в член 2, буква з) и член 7, буква а) от тази директива задължение да получи съгласието на съответното физическо лице и предвиденото в член 10, буква а) от същата директива задължение да предостави информация, трябва да се отнасят до операцията или набора от операции по обработване на лични данни, чиито средства и цели той действително определя.
101 В случая операторът на уебсайт, който интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, може да отговаря като администратор, съвместно с този доставчик, за операциите по събиране на лични данни на този посетител и по разкриването им чрез предаване, но задължението му по член 2, буква з) и член 7, буква а) от Директива 95/46 да получи съгласието на съответното физическо лице и задължението му съгласно член 10 от същата да предостави информация се отнасят само до тези операции. За сметка на това тези задължения не обхващат операциите по обработване на лични данни, свързани с други, предходни или последващи въпросните операции етапи, които евентуално предполага спорното обработване на лични данни.
102 Що се отнася до съгласието по член 2, буква з) и член 7, буква а) от Директива 95/46, то трябва да бъде дадено, преди данните на съответното физическо лице да бъдат събрани и разкрити чрез предаване. При това положение операторът на уебсайта, а не на доставчикът на социалната приставка, трябва да получи въпросното съгласие, тъй като процесът по обработване на лични данни започва с отварянето на този уебсайт от посетителя. Всъщност, както отбелязва генералният адвокат в точка 132 от заключението си, не би било в съответствие с ефективната и навременна защита на правата на съответното физическо лице съгласието да се дава само пред включващия се впоследствие съвместен администратор, тоест пред доставчика на въпросната приставка. Съгласието, което трябва да бъде давано на оператора, се отнася обаче само до операцията или набора от операции по обработване на лични данни, чиито цели и средства този оператор действително определя.
103 Същото важи и за задължението за предоставяне на информация, предвидено в член 10 от Директива 95/46.
104 В това отношение от текста на тази разпоредба следва, че администраторът или неговият представител трябва да предостави на лицето, от което се събират данни, най-малкото информацията, посочена в нея. В този смисъл информацията трябва да бъде дадена от администратора незабавно, а именно в момента на събиране на данните (вж. в този смисъл решения от 7 май 2009 г., Rijkeboer, C‑553/07, EU:C:2009:293, т. 68 и от 7 ноември 2013 г., IPI, C‑473/12, EU:C:2013:715, т. 23).
105 Следователно в случай като разглеждания в главното производство задължението за предоставяне на информация, предвидено в член 10 от Директива 95/46, е в тежест и на оператора на уебсайта, като обаче информацията, която той дължи на съответното физическо лице, се отнася само до операцията или набора от операции по обработване на лични данни, чиито цели и средства този оператор действително определя.
106 С оглед на изложените по-горе съображения на петия и шестия въпрос следва да се отговори, че член 2, буква з) и член 7, буква а) от Директива 95/46 трябва да се тълкуват в смисъл, че в случай като разглеждания в главното производство, при който операторът на уебсайт интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, този оператор трябва да получи визираното в тези разпоредби съгласие само за операцията или набора от операции по обработване на лични данни, чиито цели и средства той действително определя. Освен това член 10 от тази директива трябва да се тълкува в смисъл, че в такъв случай предвиденото в този член задължение за предоставяне на информация е в тежест и на въпросния оператор, като обаче информацията, която той дължи на съответното физическо лице, се отнася само до операцията или набора от операции по обработване на лични данни, чиито цели и средства този оператор действително определя.
По съдебните разноски
107 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.
По изложените съображения Съдът (втори състав) реши:
1) Членове 22—24 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни трябва да се тълкуват в смисъл, че допускат национална правна уредба, която позволява на сдруженията за защита на интересите на потребителите да предявяват искове срещу предполагаемите извършители на посегателства срещу защитата на личните данни.
2) Оператор на уебсайт като Fashion ID GmbH & Co. KG, който интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, може да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46. Тази администраторска отговорност обаче е ограничена — само за операцията или набора от операции по обработване на лични данни, чиито цели и средства той действително определя, а именно събирането на въпросните данни и разкриването им чрез предаване.
3) В случай като разглеждания в главното производство, при който операторът на уебсайт интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, е необходимо и операторът, и доставчикът да преследват с тези операции по обработване законни интереси по смисъла на член 7, буква е) от Директива 95/46, за да имат право да извършват въпросните операции.
4) Член 2, буква з) и член 7, буква a) от Директива 95/46 трябва да се тълкуват в смисъл, че в случай като разглеждания в главното производство, при който операторът на уебсайт интегрира в сайта си социална приставка, даваща възможност на браузъра на посетителя на този сайт да извиква съдържание, което е на доставчика на тази приставка, и за целта да предава на този доставчик лични данни на посетителя, този оператор трябва да получи визираното в тези разпоредби съгласие само за операцията или набора от операции по обработване на лични данни, чиито цели и средства той действително определя. Освен това член 10 от тази директива трябва да се тълкува в смисъл, че в такъв случай предвиденото в този член задължение за предоставяне на информация е в тежест и на въпросния оператор, като обаче информацията, която той дължи на съответното физическо лице, се отнася само до операцията или набора от операции по обработване на лични данни, чиито цели и средства този оператор действително определя.
Подписи