TIESAS SPRIEDUMS (otrā palāta)
2019. gada 29. jūlijā (*)
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Direktīva 95/46/EK – 2. panta d) punkts – Jēdziens “personas datu apstrādātājs” – Tīmekļvietnes pārvaldītājs, kas savā vietnē ievietojis sociālo spraudni, kurš ļauj paziņot šīs vietnes apmeklētāja personas datus minētā spraudņa piedāvātājam – 7. panta f) punkts – Datu apstrādes atzīšana par likumīgu – Tīmekļvietnes pārvaldītāja vai sociālā spraudņa piegādātāja interešu ņemšana vērā – 2. panta h) punkts un 7. panta a) punkts – Datu subjekta piekrišana – 10. pants – Datu subjekta informēšana – Valsts tiesiskais regulējums, kurā patērētāju interešu aizsardzības apvienībām tiek piešķirtas tiesības celt prasību
Lietā C‑40/17
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) iesniedza ar lēmumu, kas pieņemts 2017. gada 19. janvārī un kas Tiesā reģistrēts 2017. gada 26. janvārī, tiesvedībā
Fashion ID GmbH & Co. KG
pret
Verbraucherzentrale NRW eV,
piedaloties:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
TIESA (otrā palāta)
šādā sastāvā: Tiesas priekšsēdētājs K. Lēnartss [K. Lenaerts], kas pilda otrās palātas priekšsēdētāja pienākumus, tiesneši A. Prehala [A. Prechal], K. Toadere [C. Toader], A. Ross [A. Rosas] (referents) un M. Ilešičs [M. Ilešič],
ģenerāladvokāts: M. Bobeks [M. Bobek],
sekretārs: D. Diterts [D. Dittert], nodaļas vadītājs,
ņemot vērā rakstveida procesu un 2018. gada 6. septembra tiesas sēdi,
ņemot vērā apsvērumus, ko sniedza:
– Fashion ID GmbH & Co. KG vārdā – C.‑M. Althaus un J. Nebel, Rechtsanwälte,
– Verbraucherzentrale NRW eV vārdā – K. Kruse, C. Rempe un S. Meyer, Rechtsanwälte,
– Facebook Ireland Ltd vārdā – H.‑G. Kamann, C. Schwedler un M. Braun, Rechtsanwälte, kā arī I. Perego, avvocatessa,
– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vārdā – U. Merger, pārstāve,
– Vācijas valdības vārdā – sākotnēji T. Henze un J. Möller, pēc tam J. Möller, pārstāvji,
– Beļģijas valdības vārdā – P. Cottin un L. Van den Broeck, pārstāvji,
– Itālijas valdības vārdā – G. Palmieri, pārstāve, kurai palīdz P. Gentili, avvocato dello Stato,
– Austrijas valdības vārdā – sākotnēji C. Pesendorfer, pēc tam G. Kunnert, pārstāvji,
– Polijas valdības vārdā – B. Majczyna, pārstāvis,
– Eiropas Komisijas vārdā – H. Krämer un H. Kranenborg, pārstāvji,
noklausījusies ģenerāladvokāta secinājumus 2018. gada 19. decembra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.) 2., 7., 10. un 22.–24. pantu.
2 Šis lūgums ir iesniegts tiesvedībā starp Fashion ID GmbH & Co. KG un Verbraucherzentrale NRW eV par to, ka Fashion ID savā tīmekļvietnē ir ievietojusi Facebook Ireland Ltd sociālo spraudni.
Atbilstošās tiesību normas
Savienības tiesības
3 No 2018. gada 25. maija Direktīva 95/46 ir atcelta un aizstāta ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 2016, L 119, 1. lpp.). Tomēr pamatlietā – ievērojot tās faktisko apstākļu rašanās laiku – ir piemērojama šī direktīva.
4 Direktīvas 95/46 10. apsvērumā bija teikts:
“tā kā valstu likumu par personas datu apstrādi mērķis ir aizsargāt pamattiesības un brīvības, īpaši privātās dzīves neaizskaramības tiesības, ko atzīst gan Eiropas Konvencijas par cilvēka tiesību un pamatbrīvību aizsardzību[, kas parakstīta Romā 1950. gada 4. novembrī,] 8. pants, gan [Savienības] tiesību vispārīgie principi; tā kā šā iemesla dēļ valstu likumu tuvināšanas rezultāts nedrīkst būt jebkādas to sniegtās aizsardzības samazinājums, bet gan tieši pretēji, tiem jācenšas nodrošināt [Savienībā] augstu aizsardzības līmeni.”
5 Direktīvas 95/46 1. pantā bija noteikts:
“1. Saskaņā ar šo direktīvu dalībvalstis aizsargā fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi.
2. Dalībvalstis neierobežo un neaizliedz personas datu brīvu plūsmu starp dalībvalstīm, pamatojoties uz 1. punktā paredzēto aizsardzību.”
6 Šīs direktīvas 2. pantā bija paredzēts:
“Šīs direktīvas vajadzībām izmanto šādas definīcijas:
a) “personas dati” ir jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu (“datu subjektu”); identificējama persona ir tā, kuru var identificēt tieši vai netieši, norādot reģistrācijas numuru vai vienu vai vairākus šai personai raksturīgus fiziskās, fizioloģiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktorus;
b) “personu datu apstrāde” (“apstrāde”) ir jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana;
[..]
d) “personas datu apstrādātājs” ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja apstrādes nolūkus un līdzekļus nosaka valsts vai Kopienas tiesību akti vai noteikumi, personas datu apstrādātāju vai viņa iecelšanas konkrētos kritērijus var noteikt valsts vai Kopienas tiesību akti;
[..]
f) “trešās personas” ir jebkura fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kura nav datu subjekts, personas datu apstrādātājs, apstrādātājs un personas, kuras ir pilnvarotas apstrādāt datus personas datu apstrādātāja vai apstrādātāja tiešā vadībā;
g) “saņēmējs” ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kurai tiek atklāti dati, vai tās ir trešās personas vai nav; tomēr iestādes, kuras var saņemt datus saskaņā ar konkrētu pieprasījumu, nav uzskatāmas par saņēmējām;
h) “datu subjekta piekrišana” ir jebkurš labprātīgi sniegts šīs personas vēlmju konkrēts un paziņots norādījum[s], ar kuru datu subjekts izsaka savu piekrišanu uz viņu attiecināmu personas datu apstrādei.”
7 Minētās direktīvas 7. pantā bija teikts:
“Dalībvalstis paredz to, ka personas datus var apstrādāt tikai, ja:
a) datu subjekts nepārprotami devis savu piekrišanu;
[vai]
[..]
f) [..] apstrāde vajadzīga personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai, izņemot, ja šīs intereses ignorē, ņemot vērā datu subjekta pamattiesību un brīvību intereses [ja vien par tām nav pārākas datu subjekta intereses vai pamattiesības un pamatbrīvības], kurām nepieciešama aizsardzība saskaņā ar 1. panta 1. punktu.”
8 Minētās direktīvas 10. pantā “Informācija gadījumos, kad datus ievāc no datu subjekta” bija noteikts:
“Dalībvalstis paredz to, ka personas datu apstrādātājs vai viņa pārstāvis sniedz datu subjektam, no kura ievāc datus, kas uz viņu attiecas, vismaz šādu informāciju, ja vien datu subjektam tā nav zināma:
a) personas datu apstrādātāja un viņa pārstāvja, ja tāds ir, personas dati [identifikācija];
b) apstrādes, kurai dati paredzēti, nolūki;
c) jebkura turpmāka informācija, kā:
– datu saņēmēji vai datu saņēmēju kategorijas,
– vai atbildes uz jautājumiem ir obligātas vai brīvprātīgas, kā arī atbildes nesniegšanas iespējamās sekas,
– datu piekļuves tiesību un tiesību koriģēt datus, kas uz viņu attiecas, pastāvēšana,
ciktāl šāda turpmāka informācija vajadzīga, ņemot vērā konkrētos apstākļus, kādos dati ievākti, lai garantētu godprātīgu apstrādi attiecībā uz datu subjektu.”
9 Direktīvas 95/46 22. pants bija formulēts šādi:
“Neierobežojot nevienu administratīva rakstura līdzekli, kuru var paredzēt, inter alia, 28. pantā minētajai uzraudzības iestādei pirms vēršanās tiesas iestādē, dalībvalstis nodrošina katras personas tiesības uz tiesiskas aizsardzības līdzekli par jebkuru tiesību, ko šai personai garantē minētajai datu apstrādei piemērojamais attiecīgās valsts likums, pārkāpumu.”
10 Šīs direktīvas 23. pantā bija noteikts:
“1. Dalībvalstis paredz to, ka jebkurai personai, kam nodarīts kaitējums sakarā ar nelikumīgu datu apstrādi vai jebkuras attiecīgās valsts noteikumiem, kas pieņemti saskaņā ar šo direktīvu, nesavienojamas rīcības rezultātā, ir tiesības saņemt no personas datu apstrādātāja kompensāciju par šo kaitējumu.
2. Personas datu apstrādātāju var pilnībā vai daļēji atbrīvot no šīs atbildības, ja tas pierāda, ka nav atbildīgs par notikumu, kurš izraisa šo kaitējumu.”
11 Minētās direktīvas 24. pantā bija paredzēts:
“Dalībvalstis paredz atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, un īpaši nosaka sankcijas, kas jāuzliek gadījumā, ja tiek pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi.”
12 Šīs pašas direktīvas 28. pantā bija noteikts:
“1. Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā.
Šīs iestādes tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi.
[..]
3. Katrai iestādei ir piešķirtas:
[..]
– pilnvaras uzsākt procesuālas darbības, ja pārkāpti saskaņā ar šo direktīvu pieņemtie attiecīgās valsts noteikumi, vai darīt zināmus šos pārkāpumus tiesu iestādēm.
[..]
4. Katra uzraudzības iestāde uzklausa jebkuras personas vai šo personu pārstāvošas apvienības iesniegtu prasību, kas saistīta ar šīs personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Ieinteresēto personu jāinformē par prasības rezultātu.
[..]”
13 Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privātās dzīves aizsardzību un elektroniskajām komunikācijām) (OV 2002, L 201, 37. lpp.), kurā grozījumi ir izdarīti ar Eiropas Parlamenta un Padomes Direktīvu 2009/136/EK (2009. gada 25. novembris) (OV 2009, L 337, 11. lpp.), (turpmāk tekstā – “Direktīva 2002/58”) 5. panta 3. punktā ir paredzēts:
“Dalībvalstis nodrošina, ka informācijas uzglabāšana abonenta vai lietotāja gala iekārtā vai piekļuves iegūšana šādā iekārtā jau uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu un saskaņā ar Direktīvu [95/46] nodrošināts ar skaidru un visaptverošu informāciju, tostarp par apstrādes nolūku. Tas neliedz jebkādu tehnisku uzglabāšanu vai piekļuvi, kas paredzēta vienīgi, lai veiktu saziņas pārraidīšanu elektronisko sakaru tīklā, vai kas noteikti nepieciešama tā informācijas sabiedrības pakalpojuma sniedzējam, kuru skaidri pieprasījis abonents vai lietotājs.”
14 Eiropas Parlamenta un Padomes Direktīvas 2009/22/EK (2009. gada 23. aprīlis) par aizliegumiem saistībā ar patērētāju interešu aizsardzību (OV 2009, L 110, 30. lpp.), redakcijā ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 524/2013 (2013. gada 21. maijs) (OV 2013, L 165, 1. lpp.), (turpmāk tekstā – “Direktīva 2009/22”) 1. panta 1. punktā ir noteikts:
“Lai nodrošinātu iekšējā tirgus sekmīgu darbību, šīs direktīvas mērķis ir tuvināt dalībvalstu normatīvos un administratīvos aktus, kas attiecas uz lietas ierosināšanu par aizliegumu, kas minēts 2. pantā un kā mērķis ir aizsargāt patērētāju kopējās intereses, kuras iekļautas I pielikumā uzskaitītajos Savienības tiesību aktos.”
15 Šīs direktīvas 2. pantā ir paredzēts:
“1. Dalībvalstis izraugās tiesas vai administratīvas iestādes, kas ir kompetentas pieņemt nolēmumus sakarā ar pieteikumiem/iesniegumiem, kurus iesniegušas tiesīgās iestādes 3. panta nozīmē, lai panāktu:
a) nolēmumu ar visu pienācīgo lietderību, vajadzības gadījumā ar saīsināto tiesāšanās procedūru pieprasot izbeigt vai aizliegt jebkādus pārkāpumus;
[..].”
16 Minētās direktīvas 7. pantā ir noteikts:
“Šī direktīva neliedz dalībvalstīm pieņemt vai paturēt spēkā noteikumus, kuru mērķis ir valsts līmenī piešķirt tiesīgajām iestādēm un jebkurai citai attiecīgai personai plašākas rīcības tiesības.”
17 Regulas 2016/679 80. pants ir formulēts šādi:
“1. Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.
2. Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu.”
Vācijas tiesību akti
18 Gesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu, turpmāk tekstā – “UWG”) 3. panta 1. punktā – redakcijā, kas ir piemērojama pamatlietā, – ir noteikts:
“Negodīga komercprakse ir prettiesiska.”
19 UWG 3.a pants ir formulēts šādi:
“Negodīgi rīkojas persona, kas pārkāpj likuma normu, ar kuru īpaši ir paredzēts regulēt uzvedību tirgū tirgus dalībnieku interesēs, ja pārkāpums ievērojami kaitē patērētāju un citu tirgus dalībnieku vai konkurentu interesēm.”
20 UWG 8. pantā ir noteikts:
“(1) Pret ikvienu personu, kas piekopj nelikumīgu komercpraksi saskaņā ar 3. vai 7. pantu, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un recidīva draudu gadījumā – rīkojumu par turpmāku tās aizliegumu. Tiesības uz turpmāku aizliegumu rodas brīdī, kad ir draudi, ka var tikt izdarīts 3. vai 7. panta pārkāpums.
[..]
(3) Šā panta 1. punktā piešķirto tiesību īpašnieki ir:
[..]
3. tiesīgās iestādes, kas pierāda, ka ir ierakstītas Unterlassungsklagegesetz [(Likums par prasībām par aizliegumiem)] 4. pantā paredzēto tiesīgo personu sarakstā vai Direktīvas [2009/22] 4. panta 3. punktā paredzētajā Eiropas Komisijas sarakstā;
[..].”
21 Likuma par prasībām par aizliegumiem 2. pantā ir paredzēts:
“(1) Pret ikvienu personu, kas pārkāpj patērētāju aizsardzībai paredzētās normas (likumi par patērētāju aizsardzību), izņemot vispārējo tirdzniecības noteikumu piemērošanā vai ieteikšanā, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un rīkojumu par turpmāku tās aizliegumu patērētāju tiesību aizsardzības interesēs. [..]
(2) Šajā normā likumi par patērētāju aizsardzību it īpaši ir:
[..]
11. normas, kurās ir reglamentēts šādu darbību tiesiskums:
a) patērētāja personas datu iegūšana, ko veic komersants, vai
b) par patērētāju iegūtu personas datu apstrāde vai izmantošana, ko veic komersants,
ja šie dati tiek iegūti, apstrādāti vai izmantoti tādiem mērķiem kā reklāma, tirgus izpēte un sabiedriskās domas aptauja, kredītreitinga aģentūras darbība, personīgo un lietotāja profilu izveide, adrešu tirdzniecība, citāda datu tirdzniecība vai līdzīgiem komerciāliem mērķiem.”
22 Telemediengesetz (Telekomunikāciju līdzekļu likums, turpmāk tekstā – “TMG”) 12. panta 1. punkts ir formulēts šādi:
“Elektronisko plašsaziņas līdzekļu pieejamības nodrošināšanas nolūkā pakalpojumu sniedzējs drīkst vākt un izmantot personas datus tikai tiktāl, ciktāl tas atļauts šajā likumā vai citā tiesību normā, kas tieši attiecas uz elektroniskajiem plašsaziņas līdzekļiem, vai ja lietotājs ir devis savu piekrišanu.”
23 TMG 13. panta 1. punktā ir noteikts:
“Pakalpojumu sniedzējam pirms lietošanas uzsākšanas vispārēji saprotami ir jāinformē lietotājs par personas datu iegūšanas un izmantošanas veidu, apjomu un mērķiem, kā arī par viņa datu apstrādi valstīs, kurās [Direktīva 95/46] nav piemērojama, ja vien šāda informēšana nav veikta jau agrāk. Automatizētā procedūrā, kas ļauj vēlāk identificēt lietotāju un ar kuru sagatavo personas datu iegūšanu vai izmantošanu, lietotājs ir jāinformē šīs procedūras sākumā. Šīs informācijas saturam ir jābūt lietotājam pieejamam jebkurā laikā.”
24 TMG 15. panta 1. punktā ir noteikts:
“Lietotāja personas datus pakalpojumu sniedzējs drīkst iegūt un izmantot tikai tad, ja tas ir nepieciešams, lai padarītu iespējamu elektronisko plašsaziņas līdzekļu lietošanu un norēķinus par to (lietošanas dati). Lietošanas dati tostarp ir
1. pazīmes, pēc kurām var identificēt lietotāju,
2. dati par konkrētās lietošanas sākumu un beigām, kā arī apjomu,
3. dati par lietotāja izmantotiem elektroniskajiem plašsaziņas līdzekļiem.”
Pamatlieta un prejudiciālie jautājumi
25 Uzņēmums, kas nodarbojas ar modes apģērbu tirdzniecību tiešsaistē, Fashion ID savā tīmekļvietnē ir iestrādājis sociālā tīkla Facebook piedāvāto sociālo spraudni “Patīk” (turpmāk tekstā – “Facebook poga “Patīk””).
26 No lūguma sniegt prejudiciālu nolēmumu izriet, ka viena no interneta iezīmēm ir iespēja ļaut tīmekļvietnes apmeklētāja pārlūkprogrammai piedāvāt dažādu avotu saturu. Tādējādi, piemēram, fotoattēli, videomateriāli, ziņas, kā arī šajā lietā aplūkotā Facebook poga “Patīk” var tikt sasaistīti ar kādu tīmekļvietni un tajā atrasties. Ja tīmekļvietnes pārvaldītājs vēlas ievietot šos ārējos saturus, tas šajā vietnē ievieto saiti uz ārējo saturu. Līdzko minētās vietnes apmeklētāja pārlūkprogramma atver šo saiti, tā pieprasa ārējo saturu un to ievieto vietnes attēlojumā vēlamajā vietā. Tālab pārlūkprogramma paziņo ārējā piedāvātāja serverim šā apmeklētāja datora IP adresi, kā arī pārlūkprogrammas tehniskos datus, lai serveris varētu noteikt, kādā formātā saturs ir nogādājams uz šo adresi. Pārlūkprogramma paziņo arī informāciju par vēlamo saturu. Tīmekļvietnes pārvaldītājs, kas piedāvā ārējo saturu, ievietojot to šajā vietnē, nevar noteikt nedz to, kurus datus pārlūkprogramma pārsūta, nedz to, ko ārējais piedāvātājs ar šiem datiem dara, konkrēti, vai tas nolemj tos uzglabāt un izmantot.
27 Konkrēti par Facebook pogu “Patīk” no iesniedzējtiesas nolēmuma šķiet izrietam, ka, līdzko kāds apmeklētājs aplūko Fashion ID tīmekļvietni, šā apmeklētāja personas dati – tāpēc, ka šajā vietnē ir minētā poga, – tiek pārsūtīti Facebook Ireland. Izrādās, ka šī pārsūtīšana notiek, minētajam apmeklētājam par to nezinot un neatkarīgi no tā, vai viņš ir sociālā tīkla Facebook lietotājs un vai viņš ir nospiedis Facebook pogu “Patīk”.
28 Verbraucherzentrale NRW, sabiedriskā labuma organizācija, kas nodarbojas ar patērētāju interešu aizsardzību, pārmet Fashion ID, ka tā esot pārsūtījusi Facebook Ireland savas tīmekļvietnes apmeklētāju personas datus, pirmkārt, bez šo personu piekrišanas un, otrkārt, neizpildot informēšanas pienākumus, kas paredzēti tiesību normās par personas datu aizsardzību.
29 Verbraucherzentrale NRW vērsās Landgericht Düsseldorf (Diseldorfas apgabaltiesa, Vācija) ar prasību par aizliegumu pret Fashion ID, lai panāktu, ka tā izbeidz šo praksi.
30 2016. gada 9. marta nolēmumā Landgericht Düsseldorf (Diseldorfas apgabaltiesa), atzinusi Verbraucherzentrale NRW tiesības celt prasību saskaņā ar UWG 8. panta 3. punkta 3. apakšpunktu, daļēji apmierināja tās prasījumus.
31 Fashion ID šo nolēmumu pārsūdzēja Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija), kas ir iesniedzējtiesa. Šajā apelācijas tiesvedībā Fashion ID prasījumu atbalstam iestājās Facebook Ireland. Savukārt Verbraucherzentrale NRW iesniedza pretapelācijas sūdzību, lai panāktu, ka pirmajā instancē uzņēmumam Fashion ID nelabvēlīgais nolēmums tiktu paplašināts.
32 Iesniedzējtiesā Fashion ID apgalvo, ka Landgericht Düsseldorf (Diseldorfas apgabaltiesa) nolēmums nav saderīgs ar Direktīvu 95/46.
33 Pirmkārt, Fashion ID argumentē, ka minētās direktīvas 22.–24. pantā tiesībaizsardzības līdzekļi ir paredzēti tikai datu subjektiem, kuru dati tiek apstrādāti, un kompetentajām uzraudzības iestādēm. Līdz ar to Verbraucherzentrale NRW tiesā celtā prasība neesot pieņemama, jo šai apvienībai nav tiesību celt prasību Direktīvas 95/46 kontekstā.
34 Otrkārt, Fashion ID uzskata, ka Landgericht Düsseldorf (Diseldorfas apgabaltiesa) esot to kļūdaini atzinusi par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē, jo tai nav nekādas ietekmes nedz attiecībā uz to, kādus datus tās tīmekļvietnes apmeklētāja pārlūkprogramma pārsūta, nedz to, vai un attiecīgi kā Facebook Ireland tos izmantos.
35 Iesniedzējtiesai ir šaubas, pirmkārt, par to, vai Direktīvā 95/46 sabiedriskā labuma apvienībām ir ļauts celt prasību tiesā, lai aizstāvētu aizskarto personu intereses. Tā uzskata, ka šīs direktīvas 24. pantā apvienībām nav liegts uzsākt procesuālas darbības, jo šajā pantā ir noteikts, ka dalībvalstis paredz “atbilstošus pasākumus”, lai nodrošinātu minētās direktīvas noteikumu ieviešanu pilnībā. Tādējādi iesniedzējtiesa uzskata, ka valsts tiesiskais regulējums, kas ļauj celt prasības tiesā patērētāju interesēs, varētu būt šāds atbilstošs pasākums.
36 Šajā ziņā šī iesniedzējtiesa norāda, ka Direktīvu 95/46 atcēlušās un aizstājušās Regulas 2016/679 80. panta 2. punktā ir skaidri atļauta šādas apvienības vēršanās tiesā un tas savukārt esot apstiprinājums tam, ka šajā nupat minētajā direktīvā šāda vēršanās tiesā neesot aizliegta.
37 Tā arī prāto, vai tāds tīmekļvietnes pārvaldītājs kā Fashion ID, kas šajā vietnē ievieto sociālo spraudni, ar kura palīdzību ir iespējams vākt personas datus, var tikt uzskatīts par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē, lai arī tam nav nekādas ietekmes uz to, kā šā spraudņa piedāvātājam pārsūtītie dati tiek apstrādāti. Šajā ziņā iesniedzējtiesa atsaucas uz lietu, kurā ir taisīts 2018. gada 5. jūnija spriedums Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), kurā ir iztirzāts līdzīgs jautājums.
38 Pakārtoti – gadījumā, ja Fashion ID nebūtu jāuzskata par personas datu apstrādātāju, – iesniedzējtiesa prāto, vai šajā direktīvā šis jēdziens ir reglamentēts izsmeļoši un tādējādi tai ir pretrunā valsts tiesiskais regulējums, kurā civiltiesiskā atbildība par datu aizsardzības tiesību pārkāpumu ir paredzēta par trešās personas darbībām. Proti, iesniedzējtiesa apgalvo, ka uz šā valsts tiesību pamata būtu iespējams Fashion ID atzīt par atbildīgu t.s. “pārkāpuma veicinātāja” (“Störer”) statusā.
39 Ja Fashion ID būtu jāuzskata par personas datu apstrādātāju vai arī ja tā būtu saucama pie atbildības par iespējamajiem Facebook Ireland izdarītajiem datu aizsardzības pārkāpumiem vismaz kā “pārkāpuma veicinātāja”, iesniedzējtiesa prāto, vai pamatlietā aplūkotā personas datu apstrāde ir likumīga un vai Direktīvas 95/46 10. pantā paredzētais pienākums informēt datu subjektu ir Fashion ID vai Facebook Ireland.
40 Tādējādi, pirmkārt, ievērojot datu apstrādes likumības nosacījumus, kas paredzēti Direktīvas 95/46 7. panta f) punktā, iesniedzējtiesa prāto, vai tādā situācijā kā pamatlietā aplūkotā ir jāņem vērā tīmekļvietnes pārvaldītāja vai arī sociālā spraudņa piedāvātāja likumīgās intereses.
41 Otrkārt, minētā tiesa prāto, kam ir pienākumi saņemt datu subjektu piekrišanu un viņus informēt tādā situācijā kā pamatlietā aplūkotā. Iesniedzējtiesa uzskata, ka jautājumam par to, kam ir Direktīvas 95/46 10. pantā paredzētais pienākums informēt datu subjektus, ir jo sevišķi svarīga nozīme, jo ikreiz, kad kādā tīmekļvietnē tiek ievietots ārējs saturs, principā notiek personas datu apstrāde, kuras apjoms un nolūks tomēr šo saturu ievietojošajai personai, t.i. attiecīgās tīmekļvietnes pārvaldītājam, nav zināmi. Tādēļ tas nespētu sniegt prasīto informāciju vajadzīgajā apmērā, un līdz ar to uzlikt pārvaldītājam pienākumu informēt datu subjektu praksē nozīmētu aizliegt ārējā satura ievietošanu.
42 Šādos apstākļos Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai [Direktīvas 95/46] 22., 23. un 24. panta noteikumiem ir pretrunā valsts tiesiskais regulējums, kurā papildus datu aizsardzības iestāžu tiesībām iejaukties un datu subjekta tiesiskās aizsardzības iespējām arī sabiedriskā labuma organizācijām ir piešķirtas tiesības pārkāpumu gadījumā celt prasību pret pārkāpēju, lai nodrošinātu patērētāju tiesību aizsardzību?
Ja atbilde uz pirmo prejudiciālo jautājumu ir noliedzoša:
2) Vai tādā gadījumā kā šajā lietā aplūkotais, kad persona savā tīmekļvietnē iestrādā programmēšanas kodu, kurš liek lietotāja pārlūkprogrammai pieprasīt saturu no trešās personas un šajā saistībā pārsūtīt personas datus trešām personām, šo saturu iestrādājusī persona ir “personas datu apstrādātājs” [Direktīvas 95/46] 2. panta d) punkta izpratnē, ja tā pati nevar ietekmēt šo datu apstrādes procesu?
3) Ja atbilde uz otro prejudiciālo jautājumu ir noliedzoša, vai [Direktīvas 95/46] 2. panta d) punkts ir jāinterpretē tādējādi, ka tajā atbildība ir galīgi noteikta tā, ka tajā nav atļauts celt civilprasību pret trešo personu, kas nav “personas datu apstrādātājs”, tomēr izraisa datu apstrādes procesu bez iespējām to ietekmēt?
4) Kādas “likumīgās intereses” ir jāņem vērā tādā situācijā kā šajā lietā aplūkotā, veicot saskaņā ar [Direktīvas 95/46] 7. panta f) punktu veicamo interešu izsvēršanu? Vai tās ir intereses iestrādāt trešo personu saturu vai arī trešās personas intereses?
5) Kam ir jāsaņem [Direktīvas 95/46] 7. panta a) punktā un 2. panta h) punktā paredzētā piekrišana tādā situācijā kā šajā lietā aplūkotā?
6) Vai [Direktīvas 95/46] 10. pantā paredzētais pienākums sniegt informāciju tādā situācijā kā šajā lietā aplūkotā attiecas arī uz tīmekļvietnes pārvaldītāju, kurš ir iestrādājis trešās personas saturu, un tādējādi izraisa personas datu apstrādi, ko veic trešā persona?”
Par prejudiciālajiem jautājumiem
Par pirmo jautājumu
43 Ar pirmo jautājumu iesniedzējtiesa būtībā jautā, vai Direktīvas 95/46 22.–24. pants ir jāinterpretē tādējādi, ka tiem ir pretrunā valsts tiesiskais regulējums, kurā patērētāju interešu aizsardzības apvienībām ir ļauts celt prasību tiesā pret datu aizsardzības tiesību aktu iespējamo pārkāpēju.
44 Ievadam jāatgādina, ka saskaņā ar Direktīvas 95/46 22. pantu minētajai uzraudzības iestādei pirms vēršanās tiesas iestādē,dalībvalstis nodrošina katras personas tiesības uz tiesiskas aizsardzības līdzekli par jebkuru tiesību, kas šai personai garantētas minētajai datu apstrādei piemērojamajā attiecīgās valsts likumā, pārkāpumu.
45 Direktīvas 95/46 28. panta 3. punkta trešajā daļā ir noteikts, ka uzraudzības iestādei, kas saskaņā ar šīs direktīvas 28. panta 1. punktu ir atbildīga par noteikumu, ko dalībvalsts pieņēmusi saskaņā ar šo direktīvu, piemērošanas kontroli tās teritorijā, ir tostarp pilnvaras uzsākt procesuālas darbības, ja ir pārkāpti saskaņā ar šo pašu direktīvu pieņemtie attiecīgās valsts noteikumi, vai darīt zināmus šos pārkāpumus tiesu iestādēm.
46 Savukārt Direktīvas 95/46 28. panta 4. punktā ir paredzēts, ka datu subjektu šīs direktīvas 2. panta a) punkta izpratnē pārstāvoša apvienība var vērsties uzraudzības iestādē ar prasību par šīs personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi.
47 Tomēr nevienā minētās direktīvas normā dalībvalstīm nav noteikts pienākums – nedz arī skaidri piešķirtas pilnvaras – paredzēt savās valsts tiesībās iespēju apvienībai šādu subjektu pārstāvēt tiesā vai pēc savas ierosmes celt prasību tiesā pret datu aizsardzības tiesību aktu iespējamo pārkāpēju.
48 Taču no tā neizriet, ka Direktīvai 95/46 būtu pretrunā valsts tiesiskais regulējums, kurā patērētāju interešu aizsardzības apvienībām ir ļauts celt prasību tiesā pret šādu iespējamo pārkāpēju.
49 Proti, saskaņā ar LESD 288. panta trešo daļu dalībvalstīm, transponējot direktīvu, ir pienākums nodrošināt tās pilnīgu iedarbību, saglabājot plašu rīcības brīvību īstenošanas veidu un līdzekļu izvēlē. Šī izvēles brīvība nemazina katras dalībvalsts, kurai tā adresēta, pienākumu veikt visus vajadzīgos pasākumus, lai nodrošinātu attiecīgās direktīvas pilnīgu iedarbību atbilstoši tās mērķim (spriedumi, 2010. gada 6. oktobris, Base u.c., C‑389/08, EU:C:2010:584, 24. un 25. punkts, kā arī 2018. gada 22. februāris, Porras Guisado, C‑103/16, EU:C:2018:99, 57. punkts).
50 Šajā ziņā ir jāatgādina, ka viens no Direktīvas 95/46 mērķiem ir nodrošināt fizisko personu pamattiesību un brīvību, tostarp viņu tiesību uz privātās dzīves neaizskaramību, pilnīgu un efektīvu aizsardzību saistībā ar personas datu apstrādi (šajā nozīmē skat. spriedumus, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 53. punkts, kā arī 2017. gada 27. septembris, Puškár, C‑73/16, EU:C:2017:725, 38. punkts). Tās 10. apsvērumā ir precizēts, ka attiecīgajā jomā piemērojamo valstu tiesību aktu tuvināšana nedrīkst vājināt to sniegto aizsardzību, bet tai, tieši pretēji, ir jācenšas nodrošināt augstu aizsardzības līmeni Savienībā (spriedumi, 2003. gada 6. novembris, Lindqvist, C‑101/01, EU:C:2003:596, 95. punkts; 2008. gada 16. decembris, Huber, C‑524/06, EU:C:2008:724, 50. punkts, un 2011. gada 24. novembris, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 un C‑469/10, EU:C:2011:777, 28. punkts).
51 Savukārt tas, ka dalībvalsts savā tiesiskajā regulējumā paredz iespēju patērētāju interešu aizsardzības apvienībai celt prasību tiesā pret datu aizsardzības tiesību aktu iespējamo pārkāpēju, nebūt netraucē direktīvas mērķiem, bet gan – gluži pretēji – sekmē šo mērķu sasniegšanu.
52 Tomēr Fashion ID un Facebook Ireland apgalvo, ka, tā kā Direktīvā 95/46 ir veikta pilnīga datu aizsardzības jomu reglamentējošo valstu tiesību normu saskaņošana, jebkāda tajā skaidri neparedzēta prasības celšana tiesā esot izslēgta. Direktīvas 95/46 22., 23. un 28. pantā prasības celšanas tiesības esot paredzētas vienīgi datu subjektiem un datu aizsardzības uzraudzības iestādēm.
53 Tomēr šai argumentācijai nevar piekrist.
54 Ar Direktīvu 95/46 veiktā personas datu aizsardzību reglamentējošo valstu tiesību aktu saskaņošana patiešām principā ir pilnīga (šajā nozīmē skat. spriedumus, 2011. gada 24. novembris, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 un C‑469/10, EU:C:2011:777, 29. punkts, un 2013. gada 7. novembris, IPI, C‑473/12, EU:C:2013:715, 31. punkts).
55 Tādējādi Tiesa ir uzskatījusi, ka minētās direktīvas 7. pantā ir paredzēts izsmeļošs un ierobežojošs tādu situāciju saraksts, kurās personas datu apstrāde var tikt uzskatīta par likumīgu, un ka dalībvalstis nedrīkst ne pievienot minētajam pantam jaunus principus, kas attiektos uz personas datu apstrādes likumību, ne arī paredzēt papildu prasības, ar kuriem tiktu grozīta kāda no šajā pantā ietvertajiem sešiem principiem piemērošanas joma (spriedumi, 2011. gada 24. novembris, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 un C‑469/10, EU:C:2011:777, 30. un 32. punkts, kā arī 2016. gada 19. oktobris, Breyer, C‑582/14, EU:C:2016:779, 57. punkts).
56 Tomēr Tiesa ir arī precizējusi, ka Direktīvā 95/46 ir ietverti noteikumi, kas ir visnotaļ vispārīgi, tāpēc ka tā ir piemērojama lielam skaitam ļoti atšķirīgu situāciju. Tā kā šiem noteikumiem piemīt zināms elastīgums un daudzos gadījumos tie ļauj dalībvalstīm noteikt detalizētāku kārtību vai izvēlēties kādu no vairākām iespējām, dalībvalstīm daudzējādā ziņā ir rīcības brīvība šīs direktīvas transponēšanā (šajā nozīmē skat. spriedumus, 2003. gada 6. novembris, Lindqvist, C‑101/01, EU:C:2003:596, 83., 84. un 97. punkts, kā arī 2011. gada 24. novembris, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 un C‑469/10, EU:C:2011:777, 35. punkts).
57 Tas pats ir sakāms par Direktīvas 95/46 22.–24. pantu, kas – kā savu secinājumu 42. punktā norāda ģenerāladvokāts – ir formulēti vispārīgi un ar kuriem netiek izsmeļoši saskaņotas valstu tiesību normas jautājumā par to, kā tiesā var vērsties pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju (pēc analoģijas skat. spriedumu, 2017. gada 26, oktobris, I, C‑195/16, EU:C:2017:815, 57. un 58. punkts).
58 Konkrēti, lai arī direktīvas 22. pantā dalībvalstīm ir noteikts pienākums nodrošināt, ka ikvienam ir tiesiskas aizsardzības līdzeklis par jebkuru tiesību, kas šai personai garantētas attiecīgajai personas datu apstrādei piemērojamajā valsts likumā, pārkāpumu, minētajā direktīvā tomēr nav ietverta neviena tiesību norma, kas reglamentētu konkrēti apstākļus, kādos šis līdzeklis var tikt izmantots (šajā nozīmē skat. spriedumu, 2017. gada 27. septembris, Puškár, C‑73/16, EU:C:2017:725, 54. un 55. punkts).
59 Turklāt Direktīvas 95/46 24. pantā ir noteikts, ka, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, dalībvalstis paredz “atbilstošus pasākumus”, taču nav noteikts, kādiem ir jābūt šiem pasākumiem. Savukārt tas, ka tiek paredzēta iespēja patērētāju interešu aizsardzības apvienībai celt prasību tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju, var būt atbilstošs pasākums šīs tiesību normas – kura, kā teikts šā sprieduma 51. punktā, sekmē minētās direktīvas mērķu sasniegšanu atbilstoši Tiesas judikatūrā noteiktajam – izpratnē (šajā ziņā skat. spriedumu, 2003. gada 6. novembris, Lindqvist, C‑101/01, EU:C:2003:596, 97. punkts).
60 Turklāt – pretēji tam, ko apgalvo Fashion ID, – tas, ka dalībvalsts paredz šādu iespēju savā tiesiskajā regulējumā, nešķiet mazinām neatkarību, ar kādu uzraudzības iestādēm ir jāpilda tām saskaņā ar Direktīvas 95/46 28. panta prasībām noteiktie uzdevumi, jo šī iespēja neskar nedz šo uzraudzības iestāžu lemšanas brīvību, nedz to rīcības brīvību.
61 Piedevām, lai arī Direktīvas 95/46 patiešām nav starp Direktīvas 2009/22 I pielikumā uzskaitītajiem tiesību aktiem, nupat minētās direktīvas 7. pantā ir noteikts, ka ar to šajā ziņā nav veikta izsmeļoša saskaņošana.
62 Visbeidzot, tas, ka Regulas 2016/679, ar kuru ir atcelta un aizstāta Direktīva 95/46 un kas tiek piemērota kopš 2018. gada 25. maija, 80. panta 2. punktā skaidri ir ļauts dalībvalstīm atļaut patērētāju interešu aizsardzības apvienībām vērsties tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju, nebūt nenozīmē, ka dalībvalstis nevarēja tām šādas tiesības piešķirt saskaņā ar Direktīvu 95/46, bet, gluži pretēji, apstiprina, ka šajā spriedumā par pareizu atzītā šīs direktīvas interpretācija atspoguļo Savienības likumdevēja gribu.
63 Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz pirmo jautājumu ir atbildams, ka Direktīvas 95/46 22.–24. pants ir jāinterpretē tādējādi, ka tiem nav pretrunā valsts tiesiskais regulējums, kurā patērētāju interešu aizsardzības apvienībām ir ļauts celt prasību tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju.
Par otro jautājumu
64 Ar savu otro jautājumu iesniedzējtiesa būtībā jautā, vai tāds tīmekļvietnes pārvaldītājs kā Fashion ID, kas šajā vietnē ievieto sociālo spraudni, kurš ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, var tikt uzskatīts par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē, lai arī šim pārvaldītājam nav nekādas ietekmes uz šādi minētajam piedāvātājam pārsūtīto datu apstrādi.
65 Šajā ziņā ir jāatgādina, ka atbilstoši Direktīvas 95/46 mērķim nodrošināt augsta līmeņa aizsardzību fizisku personu pamattiesībām un brīvībām un, it īpaši, viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi, šīs direktīvas 2. panta d) punktā “personas datu apstrādātāja” jēdziens ir plaši definēts kā fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus (šajā nozīmē skat. spriedumu, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 26. un 27. punkts).
66 Proti, kā Tiesa jau nospriedusi, šīs tiesību normas mērķis ir, plaši definējot jēdzienu “personas datu apstrādātājs”, nodrošināt attiecīgo personu efektīvu un pilnīgu aizsardzību (spriedumi, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 34. punkts, kā arī 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 28. punkts).
67 Turklāt, tā kā – atbilstoši Direktīvas 95/46 2. panta d) punktā skaidri paredzētajam – ar jēdzienu “personas datu apstrādātājs” ir domāta institūcija, “kura viena pati vai kopīgi ar citām” nosaka personas datu apstrādes nolūkus un līdzekļus, šis jēdziens var arī nenozīmēt kādu vienu institūciju, bet gan attiekties uz vairākiem subjektiem, kas piedalās šajā apstrādē, un tādā gadījumā personas datu apstrādi reglamentējošās tiesību normas ir piemērojamas katram no tiem (šajā nozīmē skat. spriedumus, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 29. punkts, un 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 65. punkts).
68 Tiesa ir arī atzinusi, ka fiziska vai juridiska persona, kura savos nolūkos ietekmē personas datu apstrādi un tāpēc piedalās šīs apstrādes nolūku un mērķu noteikšanā, var tikt uzskatīta par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē (spriedums, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 68. punkts).
69 Turklāt netiek prasīts, lai gadījumā, kad saskaņā ar šo tiesību normu par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem (šajā nozīmē skat. spriedumus, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 38. punkts, un 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 69. punkts).
70 Tomēr, tā kā Direktīvas 95/46 2. panta d) punkta mērķis ir, definējot jēdzienu personas datu apstrādātājs” plaši, nodrošināt datu subjektu efektīvu un pilnīgu aizsardzību, kopīgas atbildības esamība var arī nenozīmēt, ka par personas datu vienu un to pašu apstrādi dažādie subjekti ir vienlīdz atbildīgi. Gluži pretēji, šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā mērā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus (šajā nozīmē skat. spriedumu, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 66. punkts).
71 Šajā ziņā ir jānorāda, pirmkārt, ka Direktīvas 95/46 2. panta b) punktā “personu datu apstrāde” ir definēta kā “jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana”.
72 No šīs definīcijas izriet, ka personas datu apstrādi var veidot viena vai vairākas darbības, no kurām katra ir saistīta ar kādu no dažādiem posmiem, ko var ietvert personas datu apstrāde.
73 Otrkārt, no šā sprieduma 65. punktā atgādinātās jēdziena “personas datu apstrādātājs” definīcijas, kas rodama Direktīvas 95/46 2. panta d) punktā, ir secināms, ka gadījumā, kad personas datu apstrādes nolūkus un līdzekļus vairāki subjekti nosaka kopīgi, tie šajā apstrādē piedalās kā personas datu apstrādātāji.
74 No tā izriet – kā savu secinājumu 101. punktā būtībā norāda ģenerāladvokāts – ka fiziska vai juridiska persona šķiet varam būt personas datu apstrādātājs Direktīvas 95/46 2. panta d) punkta izpratnē kopīgi ar citiem subjektiem tikai attiecībā uz tām personas datu apstrādes darbībām, kuru nolūkus un līdzekļus tā kopīgi nosaka. Turpretim un neskarot šajā ziņā valsts tiesībās iespējami paredzēto civiltiesisko atbildību, šī fiziskā vai juridiskā persona nav uzskatāma par personas datu apstrādātāju minētās tiesību normas izpratnē attiecībā uz agrākām vai vēlākām apstrādes ķēdes darbībām, kuru nedz nolūkus, nedz līdzekļus tā nenosaka.
75 Šajā lietā, ja vien iesniedzējtiesas veicamajās pārbaudēs netiek konstatēts pretējais, no Tiesas rīcībā esošajiem lietas materiāliem izriet, ka, ievietojusi savā tīmekļvietnē Facebook pogu “Patīk”, Fashion ID šķiet esam devusi iespēju Facebook Ireland iegūt Fashion ID tīmekļvietnes apmeklētāju personas datus, šādai iespējai rodoties, līdzko tiek apmeklēta šī vietne, neatkarīgi no tā, vai šie apmeklētāji ir sociālā tīkla Facebook lietotāji, vai tie ir nospieduši Facebook pogu “Patīk” un vai tiem ir zināms par šo darbību.
76 Ņemot vērā šo informāciju, ir jākonstatē, ka personas datu apstrādes darbības, kuru nolūkus un līdzekļus Fashion ID var noteikt kopīgi ar Facebook Ireland, ir tās tīmekļvietnes apmeklētāju personas datu vākšana un atklāšana, pielietojot pārsūtīšanu, atbilstoši jēdziena “personu datu apstrāde” definīcijai, kas rodama Direktīvas 95/46 2. panta b) punktā. Turpretim, ievērojot šo informāciju, pirmšķietami ir izslēgts, ka Fashion ID noteiktu nolūkus, kādiem, un līdzekļus, ar kādiem personas datu turpmākās apstrādes darbības veic Facebook Ireland pēc tam, kad tai šie dati tiek pārsūtīti, un tāpēc Fashion ID nav uzskatāma par personas datu apstrādātāju attiecībā uz šīm darbībām šā 2. panta d) punkta izpratnē.
77 Runājot par līdzekļiem, kas izmantoti Fashion ID tīmekļvietnes apmeklētāju zināmu personas datu vākšanai un atklāšanai, pielietojot pārsūtīšanu, no šā sprieduma 75. punkta izriet, ka Fashion ID tīmekļvietņu pārvaldītājiem Facebook Ireland piedāvāto Facebook pogu “Patīk” savā tīmekļvietnē šķiet esam ievietojusi, apzinoties, ka tā ir izmantojama kā rīks šīs vietnes personas datu vākšanai un pārsūtīšanai neatkarīgi no tā, vai šie apmeklētāji ir vai nav sociālā tīkla Facebook lietotāji.
78 Ievietojot šādu sociālo spraudni savā tīmekļvietnē, Fashion ID arī īsteno noteicošu ietekmi pār minētās vietnes apmeklētāju personas datu vākšanu un pārsūtīšanu minētā spraudņa piedāvātājam, šajā gadījumā – Facebook Ireland, kura bez šā spraudņa nebūtu notikusi.
79 Šajos apstākļos, ja vien iesniedzējtiesas veicamajās pārbaudēs netiek konstatēts pretējais, ir jāuzskata, ka Facebook Ireland un Fashion ID kopīgi nosaka līdzekļus, kuri tiek izmantoti, lai veiktu Fashion ID tīmekļvietnes apmeklētāju personas datu vākšanas un atklāšanas, pielietojot pārsūtīšanu, darbības.
80 Runājot par minēto personas datu apstrādes darbību nolūkiem, šķiet, ka, Fashion ID veiktā Facebook pogas “Patīk” ievietošana savā tīmekļvietnē tai ļauj optimizēt savu preču reklāmu, padarot tās redzamākas sociālajā tīklā Facebook, kad tās tīmekļvietnes apmeklētājs nospiež minēto pogu. Tieši tālab, lai varētu gūt labumu no šīs komerciālās priekšrocības savu preču popularitātes vairošanā, Fashion ID, ievietojot šo pogu savā tīmekļvietnē, šķiet esam vismaz implicīti piekritusi savas vietnes apmeklētāju personas datu vākšanai un atklāšanai, pielietojot pārsūtīšanu, un šīs apstrādes darbības ir veiktas gan Fashion ID, gan Facebook Ireland saimnieciskajās interesēs, jo pēdējam no tiem spēja izmantot šos datus saviem komerciālajiem mērķiem ir pretizpildījums par priekšrocību, ko tas piedāvā Fashion ID.
81 Šajos apstākļos, ja vien iesniedzējtiesas veicamajās pārbaudēs netiek konstatēts pretējais, var uzskatīt, ka Facebook Ireland un Fashion ID kopīgi nosaka nolūkus, kādiem tiek veiktas pamatlietā aplūkotās personas datu vākšanas un atklāšanas, pielietojot pārsūtīšanu, darbības.
82 Turklāt, kā izriet no šā sprieduma 69. punktā atgādinātās judikatūras, apstāklis, ka tādam tīmekļvietnes pārvaldītājam kā Fashion ID pašam nav piekļuves personas datiem, kas ir ievākti un pārsūtīti sociālā spraudņa piedāvātājam, kopā ar kuru tā nosaka personas datu apstrādes līdzekļus un nolūkus, neliedz to kvalificēt par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē.
83 Vēl ir arī jāuzsver, ka tādu tīmekļvietni kā Fashion ID vietne apmeklē gan personas, kuras ir sociālā tīkla Facebook lietotāji un kurām šajā sociālajā tīklā ir lietotāja konts, gan arī personas, kam šāda konta nav. Pēdējā no minētajiem gadījumiem tāda tīmekļvietnes pārvaldītāja kā Fashion ID atbildība par šo personu personas datu apstrādi, šķiet esam vēl lielāka, jo šķiet, ka jau ar šīs Facebook pogu “Patīk” iekļaujošās vietnes apmeklēšanu vien tiek uzsākta Facebook Ireland veiktā personas datu apstrāde (šajā nozīmē skat. spriedumu, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 41. punkts).
84 Tāpēc ir redzams, ka Fashion ID var tikt uzskatīta par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē kopīgi ar Facebook Ireland attiecībā uz tās tīmekļvietnes apmeklētāju personas datu vākšanas un atklāšanas, pielietojot pārsūtīšanu, darbībām.
85 Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz otro jautājumu ir atbildams, ka tāds tīmekļvietnes pārvaldītājs kā Fashion ID, kas šajā vietnē ievieto sociālo spraudni, kurš ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, var tikt uzskatīts par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē. Tomēr šī atbildība attiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tā faktiski nosaka, proti, attiecīgo datu vākšanu un atklāšanu, pielietojot pārsūtīšanu.
Par trešo jautājumu
86 Ņemot vērā uz otro jautājumu sniegto atbildi, uz trešo jautājumu nav jāatbild.
Par ceturto jautājumu
87 Ar savu ceturto jautājumu iesniedzējtiesa būtībā jautā, vai tādā situācijā kā pamatlietā aplūkotā, kurā kāds tīmekļvietnes pārvaldītājs šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, Direktīvas 95/46 7. panta f) punkta piemērošanas nolūkos ir jāņem vērā šā pārvaldītāja likumīgās intereses vai minētā piedāvātāja likumīgās intereses.
88 Ievadam jānorāda, ka Komisijas ieskatā šim jautājumam nav nozīmes pamatlietas izspriešanā, jo nav saņemta Direktīvas 2002/58 5. panta 3. punktā prasītā datu subjekta piekrišana.
89 Šajā ziņā ir jākonstatē, ka nupat minētās direktīvas 5. panta 3. punktā ir paredzēts, ka dalībvalstis nodrošina, ka informācijas uzglabāšana abonenta vai lietotāja gala iekārtā vai piekļuves šādā iekārtā jau uzglabātai informācijai iegūšana ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs pēc saskaņā ar Direktīvu [95/46] nodrošinātas skaidras un visaptverošas informācijas, tostarp par apstrādes nolūku, saņemšanas ir devis savu piekrišanu.
90 Iesniedzējtiesai ir jāpārbauda, vai tādā situācijā kā pamatlietā aplūkotā tāds sociālā spraudņa piedāvātājs kā Facebook Ireland piekļūst – kā apgalvo Komisija – informācijai, kas ir saglabāta šīs vietnes pārvaldītāja vietnes apmeklētāja gala iekārtā Direktīvas 2002/58 5. panta 3. punkta izpratnē.
91 Šajos apstākļos un tāpēc, ka iesniedzējtiesa šķiet uzskatām, ka šajā lietā dati, kas pārsūtīti Facebook Ireland, ir personas dati Direktīvas 95/46 izpratnē, kas turklāt var arī neaprobežoties ar gala iekārtā saglabāto informāciju vien – par ko tai gan vēl ir jāpārliecinās –, Komisijas apsvērumi neļauj apšaubīt nozīmi, kāda pamatlietas izspriešanā ir ceturtajam prejudiciālajam jautājumam, kas, kā savu secinājumu 115. punktā norāda arī ģenerāladvokāts, attiecas uz pamatlietā aplūkotās datu apstrādes iespējamo likumīgumu.
92 Līdz ar to ir jāizvērtē jautājums par to, kādas likumīgās intereses ir jāņem vērā, lai šo datu apstrādei piemērotu šīs direktīvas 7. panta f) punktu.
93 Šajā ziņā ir jāatgādina, ka saskaņā ar Direktīvas 95/46 II nodaļas “Vispārīgi noteikumi par personas datu apstrādes likumību” tiesību normām jebkādai personas datu apstrādei – izņemot šīs direktīvas 13. pantā pieļautās atkāpes – ir jāatbilst tostarp kādam no minētās direktīvas 7. pantā uzskaitītajiem datu apstrādes leģitimācijas principiem (šajā nozīmē skat. spriedumus, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 71. punkts, kā arī 2015. gada 1. oktobris, Bara u.c., C‑201/14, EU:C:2015:638, 30. punkts).
94 Iesniedzējtiesas interpretēt lūgtajā Direktīvas 95/46 7. panta f) punktā ir noteikts, ka personas datu apstrāde ir likumīga, ja apstrāde ir vajadzīga personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai, ja vien par tām nav pārākas datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama aizsardzība saskaņā ar Direktīvas 95/46 1. panta 1. punktu.
95 Tātad minētajā 7. panta f) punktā ir paredzēti trīs kumulatīvi nosacījumi, kam ir jābūt izpildītiem, lai personas datu apstrāde būtu likumīga, proti, pirmkārt, personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu esamība, otrkārt, vajadzība apstrādāt personas datus likumīgo interešu ievērošanai un, treškārt, nosacījums, ka neprevalē tās personas pamattiesības un brīvības, uz kuru attiecas datu aizsardzība (spriedums, 2017. gada 4. maijs, Rīgas satiksme, C‑13/16, EU:C:2017:336, 28. punkts).
96 Tā kā, ievērojot atbildi, kas sniegta uz otro jautājumu, ir redzams, ka tādā situācijā kā pamatlietā aplūkotā tīmekļvietnes pārvaldītājs, kurš šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, var tikt kopīgi ar šo piedāvātāju uzskatīts par personas datu apstrādātāju attiecībā uz savas tīmekļvietnes apmeklētāju personas datu apstrādes darbībām, kas izpaužas kā šo datu vākšana un atklāšana, pielietojot pārsūtīšanu, – katram no šiem personas datu apstrādātājiem šīs apstrādes darbības, lai tās viņu gadījumā būtu attaisnotas, ir jāveic likumīgās interesēs Direktīvas 95/46 7. panta f) punkta izpratnē.
97 Ņemot vērā iepriekš izklāstītos apsvērumus, uz ceturto jautājumu ir atbildams, ka tādā situācijā kā pamatlietā aplūkotā, kurā kāds tīmekļvietnes pārvaldītājs šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, gan šim pārvaldītājam, gan šim piedāvātājam šīs apstrādes darbības, lai tās viņu gadījumā būtu attaisnotas, ir jāveic likumīgās interesēs Direktīvas 95/46 7. panta f) punkta izpratnē.
Par piekto un sesto jautājumu
98 Ar savu piekto un sesto jautājumu, kuri ir jāapskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, pirmkārt, vai Direktīvas 95/46 2. panta h) punkts un 7. panta a) punkts ir jāinterpretē tādējādi, ka tādā situācijā kā pamatlietā aplūkotā, kurā kāds tīmekļvietnes pārvaldītājs šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, šajās tiesību normās paredzētā piekrišana ir jāsaņem minētajam pārvaldītājam vai šim piedāvātājam, un, otrkārt, vai šīs direktīvas 10. pants ir jāinterpretē tādējādi, ka šādā situācijā šajās tiesību normās paredzētais informēšanas pienākums ir šim pārvaldītājam.
99 Kā izriet no atbildes, kas sniegta uz otro jautājumu, tāds tīmekļvietnes pārvaldītājs, kas šajā vietnē ievieto sociālo spraudni, kurš ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt minētajam piedāvātājam minētā apmeklētāja personas datus, var tikt uzskatīts par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē, tomēr šī atbildība attiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tas faktiski nosaka.
100 Tādējādi ir redzams, ka pienākumiem, kas saskaņā ar Direktīvu 95/46 var būt šim personas datu apstrādātājam – piemēram, pienākumam saņemt šīs direktīvas 2. panta h) punktā un 7. panta a) punktā minēto datu subjekta piekrišanu, kā arī tās 10. pantā minētajam pienākumam –, ir jāattiecas uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tas faktiski nosaka.
101 Šajā gadījumā, lai arī tīmekļvietnes pārvaldītājs, kurš šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt minētajam piedāvātājam šā apmeklētāja personas datus, var tikt kopīgi ar šo piedāvātāju uzskatīts par personas datu apstrādātāju attiecībā uz šā apmeklētāja personas datu apstrādes darbībām, kas izpaužas kā šo datu vākšana un atklāšana, pielietojot pārsūtīšanu, viņa pienākums saņemt Direktīvas 95/46 2. panta h) punktā un 7. panta a) punktā paredzēto datu subjekta piekrišanu, kā arī viņa pienākums informēt, kas paredzēts tās 10. pantā, attiecas tikai uz šīm darbībām vien. Turpretim šie pienākumi neattiecas uz personas datu apstrādes darbībām, kas tiek veiktas citos attiecīgās personas datu apstrādes iespējami ietvertajos posmos vai nu pirms, vai pēc minētajam darbībām.
102 Savukārt attiecībā uz Direktīvas 95/46 2. panta h) punktā un 7. panta a) punktā minēto piekrišanu ir redzams, ka tā ir jādod pirms datu subjekta personas datu vākšanas un atklāšanas, pielietojot pārsūtīšanu. Šajos apstākļos piekrišana ir jāsaņem tieši tīmekļvietnes pārvaldītājam, nevis sociālā spraudņa piedāvātājam, jo personas datu apstrādes process aizsākas, līdzko apmeklētājs apmeklē šo tīmekļvietni. Proti, kā savu secinājumu 132. punktā norāda ģenerāladvokāts, datu subjekta tiesības netiktu aizsargātas efektīvi un savlaicīgi, ja piekrišana tiktu dota tikai kopīgajam personas datu apstrādātājam, t.i., minētā spraudņa piedāvātājam, kas apstrādē iesaistās vēlāk. Tomēr pārvaldītājam dodamā piekrišana attiecas vienīgi uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus šis pārvaldītājs faktiski nosaka.
103 Tas pats ir sakāms par Direktīvas 95/46 10. pantā paredzēto informēšanas pienākumu.
104 Šajā ziņā no šīs tiesību normas formulējuma izriet, ka personas datu apstrādātājam vai tā pārstāvim ir jāsniedz datu subjektam, no kura tas ievāc datus, vismaz minētajā tiesību normā noteiktā informācija. Tādējādi ir redzams, ka personas datu apstrādātājam šī informācija ir jāsniedz nekavējoties, t.i., datu ievākšanas brīdī (šajā nozīmē skat. spriedumus, 2009. gada 7. maijs, Rijkeboer, C‑553/07, EU:C:2009:293, 68. punkts, un 2013. gada 7. novembris, IPI, C‑473/12, EU:C:2013:715, 23. punkts).
105 No tā izriet, ka tādā situācijā kā pamatlietā aplūkotā Direktīvas 95/46 10. pantā paredzētais informēšanas pienākums ir arī tīmekļvietnes pārvaldītājam, taču informācijai, kas tam ir jāsniedz datu subjektam, ir jāattiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus nosaka šis pārvaldītājs.
106 Ņemot vērā iepriekš izklāstītos apsvērumus, uz piekto un sesto jautājumu ir atbildams, ka Direktīvas 95/46 2. panta h) punkts un 7. panta a) punkts ir jāinterpretē tādējādi, ka tādā situācijā kā pamatlietā aplūkotā, kurā kāds tīmekļvietnes pārvaldītājs šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, šajās tiesību normās paredzētā piekrišana šim pārvaldītājam ir jāsaņem vienīgi attiecībā uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus nosaka šis pārvaldītājs. Turklāt šīs direktīvas 10. pants ir jāinterpretē tādējādi, ka šādā situācijā šajā tiesību normā paredzētais informēšanas pienākums ir arī minētajam pārvaldītājam, taču informācijai, kas tam ir jāsniedz datu subjektam, ir jāattiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tas nosaka.
Par tiesāšanās izdevumiem
107 Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (otrā palāta) nospriež:
1) Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 22.–24. pants ir jāinterpretē tādējādi, ka tiem nav pretrunā valsts tiesiskais regulējums, kurā patērētāju interešu aizsardzības apvienībām ir ļauts celt prasību tiesā pret personas datu aizsardzības tiesību aktu iespējamo pārkāpēju.
2) Tāds tīmekļvietnes pārvaldītājs kā Fashion ID GmbH & Co. KG, kas šajā vietnē ievieto sociālo spraudni, kurš ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, var tikt uzskatīts par personas datu apstrādātāju Direktīvas 95/46 2. panta d) punkta izpratnē. Tomēr šī atbildība attiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tā faktiski nosaka, proti, attiecīgo datu vākšanu un atklāšanu, pielietojot pārsūtīšanu.
3) Tādā situācijā kā pamatlietā aplūkotā, kurā kāds tīmekļvietnes pārvaldītājs šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, gan šim pārvaldītājam, gan šim piedāvātājam šīs apstrādes darbības, lai tās viņu gadījumā būtu attaisnotas, ir jāveic likumīgās interesēs Direktīvas 95/46 7. panta f) punkta izpratnē.
4) Direktīvas 95/46 2. panta h) punkts un 7. panta a) punkts ir jāinterpretē tādējādi, ka tādā situācijā kā pamatlietā aplūkotā, kurā kāds tīmekļvietnes pārvaldītājs šajā vietnē ievieto sociālo spraudni, kas ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, šajās tiesību normās paredzētā piekrišana šim pārvaldītājam ir jāsaņem vienīgi attiecībā uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus nosaka šis pārvaldītājs. Turklāt šīs direktīvas 10. pants ir jāinterpretē tādējādi, ka šādā situācijā šajā tiesību normā paredzētais informēšanas pienākums ir arī minētajam pārvaldītājam, taču informācijai, kas tam ir jāsniedz datu subjektam, ir jāattiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tas nosaka.
[Paraksti]