Predlog za sprejetje predhodne odločbe, ki ga je vložilo Oberlandesgericht Düsseldorf (Nemčija) 22. aprila 2021 - Facebook Inc. in drugi/Bundeskartellamt
(Zadeva C-252/21)
Jezik postopka: nemščina
Predložitveno sodišče
Oberlandesgericht Düsseldorf
Stranke v postopku v glavni stvari
Pritožnice: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH
Nasprotna stranka: Bundeskartellamt
Udeleženec: Verbraucherzentrale Bundesverband e.V.
Vprašanja za predhodno odločanje
(a) Ali je združljivo s členom 51 Uredbe (EU) 2016/6791 in naslednjimi, če nacionalni organ za varstvo konkurence, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), ki ni nadzorni organ v smislu člena 51 GDPR in naslednjih in ki je v državi, kjer ima podjetje s sedežem zunaj Evropske unije „ustanovitev“, ki na področju oglaševanja, komunikacije in promocije podpira „glavno ustanovitev“ tega podjetja, ki ima sedež v drugi državi članici in ki je izključno odgovorna za obdelavo osebnih podatkov za celotno področje Evropske unije, v okviru nadzora kršitev pravil konkurenčnega prava ugotovi, da „glavna ustanovitev“ s pogodbenimi pogoji, ki se nanašajo na obdelavo podatkov, in njihovim izvajanjem krši GDPR ter izda odredbo za prenehanje te kršitve?
(b) Če je odgovor pritrdilen: Ali je to združljivo s členom 4(3) PEU, če vodilni nadzorni organ v državi članici „glavne ustanovitve“ v smislu člena 56(1) GDPR hkrati vodi postopek preiskave njenih pogodbenih pogojev, ki se nanašajo na obdelavo podatkov?
Če je odgovor na prvo vprašanje pritrdilen:
(a) Ali gre potem – v primeru, ko internetni uporabnik spletna mesta ali aplikacije, ki so povezane z merili iz člena 9(1) GDPR, kot so na primer aplikacije za zmenke, platforme za iskanje istospolnih partnerjev, spletna mesta političnih strank ali z zdravjem povezana spletna mesta, zgolj obišče ali vanje vnese tudi podatke, recimo pri registraciji ali naročilih, neko drugo podjetje, kot je Facebook Ireland, pa prek vmesnikov, vključenih v ta spletna mesta in aplikacije, kot je „Facebook Business Tools“, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika, zbira podatke o uporabnikovih obiskih spletnih mest in aplikacij ter o vanje vnesenih uporabnikovih podatkih, jih povezuje s podatki uporabnikovega računa pri Facebook.com in uporablja, – pri tem zbiranju in/ali povezovanju in/ali uporabi za obdelavo občutljivih podatkov v smislu navedene določbe?
(b) Če je odgovor pritrdilen: Ali obisk teh spletnih mest in aplikacij in/ali vnos podatkov in/ali klik na polja, ki jih ponudnik, kot je Facebook Ireland, vključi v ta spletna mesta ali aplikacije („družbeni vtičniki“, kot je „Všeč mi je“, „Deli z drugimi“ oziroma „Facebook Login“ ali „Account Kit“) pomeni, da uporabnik podatke o obisku kot takem in/ali vnešene podatke sam objavi v smislu člena 9(2)(e) GDPR?
Ali lahko podjetje, kot je Facebook Ireland, ki upravlja digitalno družbeno omrežje, financirano z oglasi, in v svojih pogojih za uporabo storitev ponuja personalizacijo vsebin in oglaševanja, varnost omrežja, izboljševanje proizvodov ter dosledno in nemoteno uporabo vseh koncernovih proizvodov, v utemeljitev navede potrebnost za izvajanje pogodbe v smislu člena 6(1)(b) GDPR ali upoštevanje zakonitih interesov v smislu člena 6(1)(f) GDPR, če v te namene z uporabnikovim računom pri Facebook.com povezuje in uporablja podatke, zbrane iz drugih koncernovih storitev ter prek vmesnikov, vključenih v tretja spletna mesta in aplikacije, kot je „Facebook Business Tools“, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika?
Ali so lahko v takem primeru tudi
– mladoletnost uporabnika za personalizacijo vsebin in trženja, izboljševanje proizvoda, varnost omrežja in netrženjska komunikacija z uporabnikom,
– zagotavljanje meritev, analitičnih podatkov in drugih poslovnih storitev za oglaševalce, razvijalce in druge partnerje, da lahko ti ocenijo in izboljšajo svoje storitve,
– zagotavljanje trženjske komunikacije z uporabnikom, da lahko podjetje izboljša svoje proizvode in izvaja neposredno trženje,
– raziskave in inovacije za družbeno korist, da se izboljša stanje tehnike oziroma znanstveno razumevanje pomembnih družbenih tem ter pozitivno vpliva na družbo in svet,
– informiranje organov kazenskega pregona in izvršilnih organov ter odgovarjanje na poizvedbe, ki temeljijo na neki pravni podlagi, zaradi preprečevanja, odkrivanja in pregona kaznivih dejanj, nezakonite uporabe, kršitev pogojev za uporabo storitev in pravilnikov ter drugih škodljivih načinov vedenja,
zakoniti interesi v smislu člena 6(1)(f) GDPR, če podjetje v navedene namene z uporabnikovim računom pri Facebook.com povezuje in uporablja podatke, zbrane iz drugih koncernovih storitev ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov, kot je „Facebook Business Tools“, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika?
Ali so lahko v takem primeru zbiranje podatkov iz drugih koncernovih storitev ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov, kot je „Facebook Business Tools“, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika, povezovanje z uporabnikovim računom pri Facebook.com in uporaba oziroma uporaba že drugje zakonito zbranih in povezanih podatkov v posamičnem primeru utemeljeni tudi na podlagi člena 6(1)(c), (d) in (e) GDPR, na primer, da bi se lahko odgovorilo na poizvedbo po določenih podatkih, ki temelji na neki pravni podlagi (točka (c)), preprečilo škodljivo vedenje in okrepilo varnost (točka (d)), opravljalo raziskave v družbeno koristne namene ter spodbujalo zaščito, integriteto in varnost (točka (e))?
Ali je v razmerju do podjetja, ki ima prevladujoč položaj na trgu, kot je Facebook Ireland, mogoče dati učinkovito – zlasti prostovoljno, kot določa člen 4(11) GDPR – privolitev v smislu člena 6(1)(a) in člena 9(2)(a) GDPR?
Če je odgovor na prvo vprašanje nikalen:
(a) Ali lahko nacionalni organ za varstvo konkurence države članice, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), ki ni nadzorni organ v smislu člena 51 GDPR in naslednjih in ki preiskuje kršitev nekega podjetja s prevladujočim položajem na trgu zoper prepoved zlorabe na področju konkurenčnega prava – pri kateri ne gre za vprašanje, ali se s pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in z izvajanjem teh pogojev krši GDPR – na primer v okviru presoje uravnoteženosti interesov sprejme ugotovitve v zvezi s tem, ali so pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in njihovo izvajanje skladni z GDPR?
(b) Če je odgovor pritrdilen: Ali ob upoštevanju člena 4(3) PEU to velja tudi takrat, ko pristojni vodilni nadzorni organ iz člena 56(1) GDPR istočasno vodi postopek preiskave v zvezi s pogoji tega podjetja, ki se nanašajo na obdelavo podatkov?
Če je odgovor na sedmo vprašanje pritrdilen, je potreben odgovor na tretje, četrto in peto vprašanje v zvezi s podatki, ki izhajajo iz uporabe koncernove storitve Instagram.
____________
1 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1).