GENERALINIO ADVOKATO
M. SZPUNAR IŠVADA,
pateikta 2019 m. kovo 21 d.(1)
Byla C‑673/17
Planet49 GmbH
prieš
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – Direktyva 2002/58/EB – Reglamentas (ES) 2016/679 – Asmens duomenų tvarkymas ir privatumo apsauga elektroninių ryšių sektoriuje – Slapukai – Duomenų subjekto sutikimo sąvoka – Sutikimo pareiškimas naudojant iš anksto pažymėtą žymimąjį langelį“
I. Įvadas
1. Tam, kad internautas galėtų dalyvauti Planet49 organizuojamoje loterijoje, jam buvo pateikti du žymimieji langeliai ir jis galėjo paspausti dalyvavimo mygtuką tik pažymėjęs šiuos žymimuosius langelius arba pašalinęs jų žymėjimą. Prie vieno iš žymimųjų langelių buvo nurodyta, kad naudotojas sutinka gauti reklaminius pasiūlymus iš įvairių įmonių, o prie kito – kad naudotojas sutinka, kad į jo kompiuterį būtų įdiegti slapukai. Taip galima trumpai apibūdinti bylos, kurioje Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) priėmė aptariamą nutartį dėl prašymo priimti prejudicinį sprendimą, aplinkybes.
2. Dėl šių iš pažiūros nesudėtingų aplinkybių kyla pamatinių ES duomenų apsaugos teisės klausimų: kokie tiksliai reikalavimai taikomi tinkamai informuoto asmens laisva valia duodamam sutikimui? Ar (vien) asmens duomenų tvarkymui taikomi kitokie reikalavimai nei slapukų nustatymui bei galimybei jais naudotis? Kurie teisės aktai taikytini?
3. Šioje išvadoje tvirtinsiu, kad, kiek tai susiję su nagrinėjama byla, pagal Direktyvą 95/46/EB(2) ir Reglamentą (ES) 2016/679(3) taikomi tokie patys reikalavimai sutikimui ir kad nagrinėjamoje byloje nėra skirtumo, ar kalbama apie bendrąjį asmens duomenų tvarkymo klausimą, ar apie konkretesnį klausimą, susijusį su informacijos saugojimu naudojant slapukus ir su galimybe pasinaudoti tokia informacija.
II. Teisinis pagrindas
A. ES teisė
1. Direktyva 95/46
4. Direktyvos 95/46 2 straipsnyje „Sąvokos“ nurodyta:
„Šioje direktyvoje:
<…>
h) „duomenų subjekto sutikimas“ reiškia bet kurį savanoriškai ir žinomai duotą konkretų duomenų subjekto pareiškimą [valios išreiškimą], kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi su juo susiję [jo asmens] duomenys.“
5. Šios direktyvos II skirsnio „Duomenų tvarkymo teisėtumo kriterijai“ 7 straipsnio a punkte nurodyta:
„Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:
a) duomenų subjektas yra nedviprasmiškai davęs sutikimą;
<…>“
6. Šios direktyvos 10 straipsnyje „Informavimas renkant duomenis iš duomenų subjekto“ nurodyta:
„Valstybės narės numato, kad duomenų valdytojas arba jo atstovas privalo duomenų subjektui, iš kurio renkami su juo susiję duomenys, suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) duomenų valdytojo arba jo atstovo, jei toks yra, tapatybė;
b) tikslai, dėl kurių ketinama tvarkyti šiuos duomenis;
c) bet kokia platesnė informacija, kaip antai:
– duomenų gavėjai ar gavėjų kategorijos,
– ar į klausimus atsakoma privaloma tvarka, ar savanoriškai, taip pat galimos neatsakymo pasekmės,
– teisės gauti informaciją ir teisės pataisyti duomenis apie save buvimas;
kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas.“
2. Direktyva 2002/58/EB(4)
7. Direktyvos 2002/58/EB(5) 24 ir 25 konstatuojamosiose dalyse nurodyta:
„(24) Elektroninių ryšių tinklų naudotojų galiniai įrenginiai ir juose laikoma informacija yra naudotojų privatumo srities dalis, kurią saugo Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija. Vadinamieji „šnipukai“, interneto blakės, slaptieji numerio nustatymo įtaisai ir panašūs įtaisai leidžia be naudotojų žinios įsiskverbti į jų galinius įrenginius siekiant susipažinti su informacija, saugoti slepiamą informaciją ar sekti naudotojo veiksmus, šitaip rimtai pažeidžiant naudotojų privatumą. Tokius įtaisus turėtų būti leidžiama naudoti tik teisėtais tikslais ir kai naudotojas apie tai žino.
(25) Kita vertus, tokie įtaisai, kaip vadinamieji „sausainėliai“ gali būti teisėta ir naudinga priemonė, pavyzdžiui, tiriant interneto tinklavietės apipavidalinimo ir reklamos veiksmingumą, tikrinant naudotojų, sudarinėjančių sandorius internetu, tapatybę. Jeigu tokie įtaisai, kaip „sausainėliai“, naudojami teisėtais tikslais, pavyzdžiui, palengvinant teikti informacinės visuomenės paslaugas, juos naudoti turėtų būti leidžiama su sąlyga, kad naudotojai aiškiai ir tiksliai informuojami pagal Direktyvą 95/46/EB apie „sausainėlių“ ir kitų panašių įtaisų naudojimo tikslus tam, kad naudotojai žinotų, kokia informacija pateikiama į jų naudojamą galinį įrenginį. Naudotojams turėtų būti suteikiama galimybė atsisakyti „sausainėlio“ ar kito panašaus įtaiso, įrengto jų galiniuose įrenginiuose. Tai ypač svarbu tada, kai kiti naudotojai prieina prie pagrindinio naudotojo galinio įrenginio, taigi ir prie saugomų jame duomenų su privataus pobūdžio informacija. Informacija, kaip tokie įtaisai bus naudojami, naudotojui pateikiama kartu su informacija apie teisę jų atsisakyti prieš įrengiant naudotojo galiniame įrenginyje grupę tokių įtaisų vienu prijungimu, kartu nurodant, kaip jie galės būti panaudojami po vėlesnių prijungimų. Informacija pateikiama, atsisakymo teisė primenama arba naudotojo sutikimo prašoma naudotojui kuo patogesniais būdais. Priėjimas prie tam tikrų tinklaviečių turinio naudotojui gali būti siejamas su jo aiškiai išreiškiamu sutikimu leisti įtaisyti „sausainėlį“ ar kitą panašų įtaisą, naudojamą teisėtais tikslais.“
8. Šios direktyvos 2 straipsnio „Sąvokų apibrėžimai“ f punkte nurodyta:
„Jeigu toliau nepateikta kitaip, šioje direktyvoje vartojamos sąvokos yra apibrėžiamos taip, kaip apibrėžta Direktyvoje 95/46/EB ir 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvoje 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva)(6).
Šioje direktyvoje:
<…>
f) „sutikimas“ – abonento ar naudotojo sutikimas – tai duomenų subjekto sutikimas, kaip apibrėžta Direktyvoje 95/46/EB;
<…>“
9. Šios direktyvos 5 straipsnio „Pranešimų konfidencialumas“ 3 dalyje nurodyta:
„Valstybės narės užtikrina, kad saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar naudotojo galiniame įrenginyje būtų leidžiama tik su sąlyga, jei atitinkamam abonentui ar naudotojui sutikus pagal Direktyvą 95/46/EB pateikiama aiški ir išsami informacija, inter alia, apie tokio duomenų tvarkymo tikslus. Ši nuostata nedraudžia vykdyti techninį saugojimą ar naudotis duomenimis, jei siekiama tik atlikti pranešimo perdavimą elektroninių ryšių tinklu, taip pat būtinais atvejais, kad informacinės visuomenės paslaugų teikėjas galėtų teikti paslaugas, kurių aiškiai paprašo abonentas ar naudotojas.“
3. Direktyva 2009/136/EB(7)
10. Direktyvos 2009/136/EB(8) 66 konstatuojamojoje dalyje nurodyta:
„Trečiosios šalys gali pageidauti saugoti informaciją paslaugų gavėjo įrenginyje arba turėti prieigą prie jau saugomos informacijos dėl daugybės priežasčių: kaip teisėtų (pvz., tam tikrų rūšių slapukai), taip ir neteisėto įsibrovimo į privačią sritį (pvz., šnipinėjimo programos arba virusai). Taigi svarbiausia, kad paslaugų gavėjai, užsiimdami veikla, dėl kurios jų įrenginyje gali būti saugoma informacija arba jie gali suteikti minėtą prieigą, gautų aiškią ir išsamią informaciją apie tai. Informacijos pateikimo ir galimybės jos atsisakyti būdai turėtų būti kiek galima patogesni naudoti. Išimtis įpareigojimui teikti informaciją ir suteikti galimybę jos atsisakyti turėtų būti taikoma tik tais atvejais, kai techninis saugojimas arba prieiga yra būtina teisėtai siekiant suteikti galimybę naudoti specialią paslaugą, kurios aiškiai prašo abonentas arba paslaugų gavėjas. Esant techninėms galimybėms ir kai tai veiksminga, pagal atitinkamas Direktyvos 95/46/EB nuostatas, paslaugų gavėjo sutikimas tvarkyti duomenis gali būti išreikštas naudojant atitinkamus naršyklės nustatymus ar kitas programas. Šių reikalavimų laikymasis turėtų būti dar veiksmingesnis atitinkamoms nacionalinėms institucijoms suteikus didesnius įgaliojimus.“
4. Reglamentas 2016/679
11. Reglamento 2016/679 32 konstatuojamojoje dalyje nurodyta:
„Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo.“
12. Šio reglamento 4 straipsnio „Apibrėžtys“ 11 punkte nurodyta:
„Šiame reglamente:
<…>
11) duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
<…>“
13. To paties reglamento 6 straipsnyje „Tvarkymo teisėtumas“ nurodyta:
„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
<…>“
14. Reglamento 2016/679 7 straipsnio pavadinimas – „Sutikimo sąlygos“. Pagal 7 straipsnio 4 dalį „vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti“.
B. Vokietijos teisė
1. Vokietijos civilinis kodeksas
15. Bürgerliches Gesetzbuch (Vokietijos civilinis kodeksas, toliau – BGB) 307 straipsnyje(9) nurodyta:
„1. Bendrųjų sąlygų nuostatos negalioja, jeigu, pažeidžiant sąžiningumo principą, dėl jų vartotojo kontrahentas nepagrįstai atsiduria blogesnėje situacijoje. Asmuo gali nepagrįstai atsidurti blogesnėje situacijoje ir tuo atveju, kai nuostata yra neaiški arba nesuprantama.
2. Kilus abejonei, darytina prielaida, kad nepagrįstai sudaroma blogesnė situacija, jeigu nuostata:
1) yra nesuderinama su įstatymo normos, nuo kurios nukrypstama, esminėmis idėjomis; arba
2) taip riboja pagrindines teises arba pareigas, numatytas sutartyje atsižvelgiant į šios pobūdį, kad kyla grėsmė nepasiekti sutarties tikslo.
3. Šio straipsnio 1 bei 2 dalys ir 308 bei 309 straipsniai taikomi tik bendrųjų sąlygų nuostatoms, kuriomis remiantis susitariama nukrypti nuo teisės nuostatų arba jas papildyti. Kitos nuostatos gali negalioti pagal šio straipsnio 1 dalies antrą sakinį, siejamą su jos pirmu sakiniu.“
2. Kovos su nesąžininga konkurencija įstatymas
16. Gesetz gegen den unlauteren Wettbewerb (Kovos su nesąžininga konkurencija įstatymas, toliau – UWG) draudžia komercinę praktiką, kuri yra rinkos dalyvio nepagrįstas trukdymas. UWG 7 straipsnio 2 dalies 2 punkte nurodyta, kad „visuomet preziumuojama, jog yra nepagrįstas trukdymas, kai vartotojui be jo išankstinio aiškaus sutikimo arba kitam rinkos dalyviui be jo bent jau numanomo sutikimo teikiama <…> reklama telefonu“.
3. Elektroninės žiniasklaidos įstatymas
17. Telemediengesetz (Elektroninės žiniasklaidos įstatymas, toliau – TMG) 12 straipsnio 1 dalimi į nacionalinę teisę perkeltos Direktyvos 95/46 7 straipsnio a punkto nuostatos ir nustatytos sąlygos, kuriomis paslaugų teikėjas gali rinkti ir naudoti asmens duomenis elektroninės žiniasklaidos tikslais. Pagal tą nuostatą paslaugų teikėjas turi teisę rinkti ir naudoti asmens duomenis elektroninės žiniasklaidos tikslais tik jeigu tai aiškiai leidžiama pagal TMG arba kitą teisės aktą, aiškiai reglamentuojantį elektroninę žiniasklaidą, arba jeigu naudotojas duoda sutikimą.
18. TMG 12 straipsnio 3 dalyje nurodyta, kad galiojantys asmens duomenų teisės aktai turi būti taikomi net jeigu duomenys netvarkomi automatiniu būdu.
19. Pagal TMG 13 straipsnio 1 dalį paslaugų teikėjas naudojimo pradžioje turi informuoti naudotoją apie asmens duomenų tvarkymo būdą, apimtį bei tikslus, taip pat apie duomenų tvarkymą ne pagal Direktyvą 95/46.
20. TMG 15 straipsnio 1 dalyje nurodyta, kad paslaugų teikėjai gali rinkti ir tvarkyti asmens duomenis tik jeigu tai būtina norint naudotis elektroninėmis žiniasklaidos priemonėmis arba siekiant išrašyti su tokiu naudojimusi susijusią sąskaitą (toliau – naudotojų duomenys). Naudotojų duomenys apibrėžti kaip, be kita ko, duomenys, pagal kuriuos galima nustatyti naudotojų tapatybę.
21. Į TMG 15 straipsnio 3 dalį perkelta Direktyvos 2002/58 5 straipsnio 3 dalis ir pagal ją paslaugų teikėjui reklamos, rinkos tyrimų tikslais arba formuojant elektroninę žiniasklaidą leidžiama kurti naudotojų profilius su slapyvardžiais, jeigu naudotojas tam neprieštarauja ir paslaugų teikėjas, vykdydamas TMG 13 straipsnio 1 dalyje numatytą įsipareigojimą informuoti, yra informavęs naudotoją apie jo teisę prieštarauti.
4. Federalinis įstatymas dėl asmens duomenų apsaugos
22. Į Bundesdatenschutzgesetz (Federalinis įstatymas dėl asmens duomenų apsaugos, toliau – BDSG)(10) 3 straipsnio 1 dalį perkeltas Direktyvos 95/46 2 straipsnio a punktas ir sąvoka „asmens duomenys“ apibrėžta kaip informacija apie fizinio asmens, kurio tapatybė yra nustatyta arba gali būti nustatyta, asmeninę arba materialinę situaciją.
23. BDSG 4a straipsniu į nacionalinę teisę perkeltas Direktyvos 95/46 2 straipsnio h punktas ir jame nurodyta, kad sutikimas galioja tik jeigu jis kyla iš suinteresuotų asmenų laisvo pasirinkimo.
III. Faktinės aplinkybės, procesas ir prejudiciniai klausimai
24. 2013 m. rugsėjo 24 d. Planet49 GmbH interneto svetainėje www.dein-macbook.de organizavo loteriją(11). Tam, kad internautas galėtų dalyvauti šioje loterijoje, jis turėjo įrašyti pašto kodą, tuomet jis patekdavo į puslapį, kuriame reikėjo įrašyti naudotojo vardą, pavardę ir adresą. Po adreso įvesties laukais buvo pateikti du tekstai su žymimaisiais langeliais. Toliau juos vadinu „pirmuoju žymimuoju langeliu“ ir „antruoju žymimuoju langeliu“. Pirmajame tekste, prie kurio pateiktas žymimasis langelis nebuvo iš anksto pažymėtas, buvo nurodyta:
„Sutinku, kad kai kurie rėmėjai ir partneriai mane informuotų paštu ar telefonu, arba el. paštu ar SMS apie pasiūlymus savo veiklos srityse. Juos čia galiu nurodyti aš pats, kitais atvejais atranką vykdo organizatorius. Sutikimą galima bet kuriuo metu atšaukti. Daugiau informacijos šiuo klausimu rasite čia.“
25. Antrajame tekste, prie kurio esantis žymimasis langelis buvo iš anksto pažymėtas, buvo nurodyta:
„Sutinku, kad mano duomenis vertintų žiniatinklio analizės paslaugų teikėja Remintrex. Todėl loterijos organizatorė Planet49 GmbH po registracijos nustatys slapukus, kurie padės Planet49 vertinti mano naršymą reklamos partnerių interneto svetainėse ir naudojimąsi jomis, ir taip Remintrex bus suteikta galimybė siūlyti reklamą atsižvelgiant į naudotojo interesus. Bet kuriuo metu galiu pašalinti slapukus. Daugiau skaitykite čia.“
26. Dalyvauti loterijoje buvo įmanoma tik jeigu bent pirmasis žymimasis langelis buvo pažymėtas.
27. Pirmajame tekste žodžiuose „rėmėjai ir partneriai“ ir „čia“ esanti elektroninė nuoroda nukreipdavo į 57 įmonių sąrašą, kuriame buvo nurodyti jų adresai, reklamuojamos veiklos sritys ir reklamai skirtų komunikacijos paslaugų rūšys (el. paštas, pašto adresas arba telefonas), taip pat prie kiekvienos bendrovės buvo įrašytas pabrauktas žodis „Atsisakyti“. Prieš sąrašą buvo pateikta tokia pastaba:
„Spausdamas mygtuką „Atsisakyti“ patvirtinu, kad minėtam partneriui ir (arba) rėmėjui nesuteikiu leidimo siųsti reklamą. Jei neatsisakiau nė vieno partnerio ir (arba) rėmėjo arba atsisakiau nepakankamai daug partnerių ir (arba) rėmėjų, Planet49 savo nuožiūra parenka partnerius ir (arba) rėmėjus (ne daugiau kaip 30 partnerių ir (arba) rėmėjų).“
28. Paspaudus antrajame tekste su žodžiu „čia“ susietą elektroninę nuorodą buvo rodoma ši informacija:
„Slapukai, kurių pavadinimai yra ceng_cache, ceng_etag, ceng_png ir gcr, yra mažos rinkmenos, kurias nustatytu būdu jūsų standžiajame diske išsaugo jūsų naudojama naršyklė, ir per kurias patenka tam tikra informacija, padedanti paprasčiau ir veiksmingiau valdyti reklamą. Slapukai turi atsitiktine tvarka parenkamą numerį (ID), kuris susiejamas su jūsų registracijos duomenimis. Jeigu apsilankote Remintrex registruoto reklamos partnerio interneto svetainėje (reklamos partnerio pareiškime apie privatumo apsaugą rasite informaciją apie tai, ar jis registruotas), Remintrex programa „iFrame“, kuri yra ten integruota, automatiškai nustato, kad jūs (t. y. naudotojas su išsaugotu ID) apsilankėte interneto svetainėje, kokiu produktu domėjotės ir ar sudarėte sutartį.
Tuomet Planet49 GmbH, remdamasi jūsų registruojantis loterijoje duotu sutikimu gauti reklamą, jums gali siųsti reklaminius elektroninius laiškus, kuriuose bus atsižvelgiama į reklamos partnerio interneto svetainėje parodytą susidomėjimą. Žinoma, atšaukę sutikimą gauti reklamą tokių reklaminių elektroninių laiškų nebegausite.
Per slapukus pateikta informacija naudojama tik reklamai, kurioje pristatomi reklamos partnerio produktai. Informacija renkama, saugoma ir naudojama atskirai kiekvienam reklamos partneriui. Naudotojų profiliai, taikomi keliems reklamos partneriams, nėra kuriami jokiais atvejais. Atskiri reklamos partneriai negauna jokių asmens duomenų.
Jei nebenorite naudoti slapukų, galite bet kuriuo metu juos pašalinti iš savo naršyklės. Kaip tai padaryti, sužinosite pasinaudoję naršyklės pagalbos funkcija.
Slapukais negali būti įdiegtos programos arba perduodami virusai.
Žinoma, turite galimybę bet kuriuo metu šį sutikimą atšaukti. Atšaukimą galite pateikti raštu PLANET49 GmbH [adresas]. Tačiau taip pat pakanka el. paštu nusiųsti pranešimą mūsų klientų aptarnavimo skyriui [el. pašto adresas].“
29. Ieškovė pagrindinėje byloje, Bundesverband der Verbraucherzentralen (Vokietijos vartotojų organizacijų federacija, toliau – Bundesverband) yra pagal Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Ieškinių dėl veiksmų nutraukimo vartotojų teisių ir kitų pažeidimų atvejais įstatymas, toliau – UKlaG) įtraukta į kvalifikuotų subjektų sąrašą. Bundesverband teigia, kad pirma nurodyti pareiškimai apie sutikimą, kuriuos naudojo Planet49, neatitiko BGB 307 straipsnio, UWG 7 straipsnio 2 dalies 2 punkto ir TMG 12 bei paskesnių straipsnių reikalavimų. Prieš pareiškiant ieškinį buvo pateiktas įspėjimas, bet situacija nepasikeitė.
30. Bundesverband pareiškė ieškinį Landgericht Frankfurt am Main (Frankfurto prie Maino apygardos teismas, Vokietija) ir pareikalavo, kad Planet49 liautųsi taikyti pirma nurodytas sąlygas(12), taip pat, kad ta bendrovė Bundesverband sumokėtų 214 EUR su palūkanomis, priskaičiuotomis nuo 2014 m. kovo 15 d.
31. Landgericht Frankfurt am Main (Frankfurto prie Maino apylinkės teismas) patenkino kai kuriuos reikalavimus, bet atmetė likusią ieškinio dalį. Po apeliacinio proceso(13)Oberlandesgericht Frankfurt am Main (Frankfurto prie Maino aukštesnysis apygardos teismas, Vokietija) buvo pateiktas kasacinis skundas Bundesgerichtshof (Aukščiausiasis Federalinis Teismas)(14).
32. Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) mano, kad sprendimas dėl kasacinio skundo priklauso nuo Direktyvos 2002/58 5 straipsnio 3 dalies ir 2 straipsnio f punkto, siejamų su Direktyvos 95/46 2 straipsnio h punktu ir Reglamento 2016/679 6 straipsnio 1 dalies a punktu, aiškinimo ir jis pateikė Teisingumo Teismui tokius prejudicinius klausimus:
„1. a) Ar yra galiojantis sutikimas, kaip jis suprantamas pagal Direktyvos 2002/58/EB 5 straipsnio 3 dalį ir 2 straipsnio f punktą kartu su Direktyvos 95/46 2 straipsnio h punktu, jei išsaugoti informaciją ar prieiti prie informacijos, saugomos naudotojo galiniame įrenginyje, leidžiama pagal automatiškai pažymėtą žymimąjį langelį, kurio žymėjimą naudotojas turi pašalinti, norėdamas atsisakyti duoti sutikimą?
b) ar taikant Direktyvos 2002/58 5 straipsnio 3 dalį ir 2 straipsnio f punktą kartu su Direktyvos 95/46 2 straipsnio h punktu svarbu, ar išsaugota arba paimta informacija yra asmens duomenys?
c) ar pirmojo prejudicinio klausimo a dalyje nurodytomis aplinkybėmis laikytina, kad duotas galiojantis sutikimas pagal Reglamento 2016/679 6 straipsnio 1 dalies a punktą?
2. Kokią informaciją turi suteikti paslaugų teikėjas pagal Direktyvos 2002/58 5 straipsnio 3 dalį, pagal kurią naudotojui reikia suteikti aiškią ir išsamią informaciją? Ar prie tokios informacijos priskiriama ir slapukų veikimo trukmė, ir klausimas, ar tretieji asmenys gali naudotis slapukais?“
33. Teisingumo Teismas nutartį dėl prašymo priimti prejudicinį sprendimą gavo 2017 m. lapkričio 30 d. Pastabas raštu pateikė Planet49, Bundesverband, Portugalijos ir Italijos vyriausybės bei Europos Komisija. 2018 m. lapkričio 13 d. įvyko teismo posėdis, jame dalyvavo Planet49, Bundesverband, Vokietijos vyriausybė ir Komisija.
IV. Vertinimas
34. Abu Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) pateikti prejudiciniai klausimai susiję su sutikimo dėl informacijos saugojimo ir galimybės pasinaudoti naudotojo galiniame įrenginyje jau saugoma informacija, t. y. dėl slapukų, davimu atsižvelgiant į konkrečias Direktyvos 2002/58 nuostatas, siejamas su Direktyvos 95/46 arba Reglamento 2016/679 nuostatomis.
35. Manau, kad prie pirminių pastabų naudinga pateikti paaiškinimą dėl su slapukais susijusių faktinių aplinkybių ir dėl susijusios terminologijos, taip pat nagrinėjamai bylai taikytinų teisės aktų teisinį išaiškinimą.
A. Pirminės pastabos
1. Dėl slapukų
36. Slapukas – tai interneto svetainėje sukurtos ir interneto naudotojo naršyklėje išsaugotos informacijos rinkimo priemonė(15). Tai nedidelė, paprastai mažesnė nei vieno kilobaito, duomenų arba tekstinė rinkmena, kurią interneto svetainė interneto naudotojo naršyklės prašo išsaugoti naudotojo kompiuterio arba nešiojamojo prietaiso standžiajame diske(16).
37. Slapukas leidžia interneto svetainei „prisiminti“ per tam tikrą laiką naudotojo atliktus veiksmus arba parinktis. Daugelis žiniatinklio naršyklių palaiko slapukų veikimą, tačiau naudotojai gali nustatyti, kad naršyklė jų nepriimtų. Be to, jie gali bet kada panorėję ištrinti slapukus. Iš tiesų daugybė naudotojų naršyklės slapukų nuostatose pasirenka, kad slapukai būtų automatiškai ištrinami, kai naršyklės langas yra uždarytas. Vis dėlto praktinė patirtis paprastai rodo, kad žmonės nėra linkę keisti numatytųjų nuostatų – šis reiškinys vadinamas „numatytąja inercija“ (angl. default inertia“).(17)
38. Interneto svetainėse slapukai naudojami siekiant nustatyti naudotojų tapatybę, prisiminti jų asmenines parinktis ir leisti naudotojams atlikti užduotis iš naujo neįvedant informacijos, kai naršoma iš vieno tinklalapio į kitą arba kai interneto svetainėje apsilankoma vėliau.
39. Slapukai taip pat gali būti naudojami naudotojų elgesiu grindžiamai internetinei reklamai ir rinkodarai reikalingai informacijai rinkti(18). Pavyzdžiui, bendrovės naudoja programinę įrangą naudotojų elgesiui sekti ir asmeniniams profiliams kurti – taip naudotojams gali būti rodoma reklama, susijusi su naudotojo ankstesnėmis paieškomis(19).
40. Yra skirtingų rūšių slapukų: kai kurie iš jų skirstomi pagal slapuko galiojimo laiką (pvz., seanso slapukai ir nuolatiniai slapukai), o kiti – pagal valdytoją, kuriam priklauso slapukas (pvz., pirmosios šalies ir trečiosios šalies slapukai)(20). Kai tinklalapį aptarnaujantis žiniatinklio serveris išsaugo slapukus naudotojo kompiuteryje arba nešiojamame įrenginyje, tokie slapukai vadinami „http antraštės“ (angl. „http header“) slapukais(21). Slapukai taip pat gali būti saugomi naudojant „JavaScript“ kodą, kuris yra tame tinklalapyje arba į kurį jame pateikta nuoroda(22). Vis dėlto sutikimo naudoti slapukus galiojimas ir bet kurių susijusių išimčių taikymas turėtų būti vertinami pagal slapuko paskirtį, o ne pagal techninius kriterijus(23).
2. Dėl taikytinų teisės aktų
41. Laikotarpiu iki neseniai priimto Reglamento 2016/679 įsigaliojimo pagrindinei bylai taikytinų teisės aktų sistema kito.
42. Nagrinėjamai bylai taikytinos dvi ES teisės aktų grupės. Pirma, Direktyva 95/46 ir Reglamentas 2016/679. Antra, Direktyva 2002/58, iš dalies pakeista Direktyva 2009/136(24).
43. Norėčiau pateikti dvi pastabas dėl šių dviejų teisės aktų grupių.
44. Pirmoji pastaba susijusi su Direktyvos 95/46 ir Reglamento 2016/679 taikymu.
45. Reglamentu 2016/679, taikomu nuo 2018 m. gegužės 25 d.(25), tą pačią dieną buvo panaikinta Direktyva 95/46(26).
46. 2018 m. gegužės 25 d. yra vėlesnė nei prašymą priimti prejudicinį sprendimą pateikusio teismo paskutinio posėdžio data – 2017 m. liepos 14 d., ji taip pat vėlesnė nei 2017 m. spalio 5 d., kai Teisingumo Teismui buvo pateiktas prašymas priimti prejudicinį sprendimą šioje byloje.
47. Taigi, iki 2018 m. gegužės 25 d. buvusioms aplinkybėms taikoma Direktyva 2002/58 kartu su Direktyva 95/46, o nuo 2018 m. gegužės 25 d. taikoma Direktyva 2002/58 kartu su Reglamentu 2016/679.
48. Kiek tai susiję su Bundesverband ieškiniu dėl veiksmų nutraukimo(27), kuriuo siekiama Planet49 užkirsti kelią ateityje atlikti tam tikrus jos atliktus veiksmus, šioje byloje taikomas Reglamentas 2016/679. Todėl sprendime dėl ieškinio dėl tam tikrų veiksmų nutraukimo ateityje Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) turės atsižvelgti į Reglamento 2016/679 reikalavimus. Šiuo klausimu Vokietijos vyriausybė nurodo nuoseklią nacionalinių teismų jurisprudenciją dėl teisinių aplinkybių, susijusių su ieškiniais dėl veiksmų nutraukimo(28).
49. Taigi į prejudicinį klausimą reikia atsakyti atsižvelgiant į Direktyvą 95/46 ir Reglamentą 2016/679(29).
50. Be to, pažymėtina, kad Direktyvoje 2002/58 daromos nuorodos į Direktyvą 95/46 laikomos nuorodomis į Reglamentą 2016/679(30).
51. Antroji pastaba susijusi su Direktyvos 2002/58 5 straipsnio 3 dalies raida.
52. Direktyva 2002/58 siekiama užtikrinti pagarbą Europos Sąjungos pagrindinių teisių chartijoje, visų pirma jos 7 ir 8 straipsniuose išdėstytoms teisėms (31). Šios direktyvos 5 straipsnio tikslas – užtikrinti „pranešimų konfidencialumą“. 5 straipsnio 3 dalyje visų pirma reglamentuojamas slapukų naudojimas ir nustatyti reikalavimai, kuriuos būtina įvykdyti prieš saugant duomenis arba prie jų prieinant naudotojo kompiuteryje naudojant slapukus.
53. Direktyvoje 2009/136 buvo gerokai pakeisti Direktyvos 2002/58 5 straipsnio 3 dalyje numatyti reikalavimai sutikimui, kad būtų sustiprinta naudotojų apsauga. Iki toje direktyvoje padarytų pakeitimų 5 straipsnio 3 dalyje tiesiog buvo reikalaujama suteikti naudotojams informaciją apie galimybę atsisakyti duomenų tvarkymo naudojant slapukus. Kitaip tariant, pagal 5 straipsnio 3 dalies pirminę redakciją paslaugų teikėjas, saugantis informaciją naudotojo galiniame įrenginyje arba naudojantis jame saugomą informaciją, turėjo suteikti naudotojui aiškią ir išsamią informaciją visų pirma apie duomenų tvarkymo tikslus ir teisę atsisakyti tokio tvarkymo.
54. Direktyva 2009/136 pakeitė šį reikalavimą informuoti apie teisę atsisakyti reikalavimu, kad aptariami veiksmai būtų atliekami „atitinkamam abonentui ar naudotojui sutikus“, t. y. ji pakeitė paprasčiau įgyvendinamą sutikimo atsisakymo sistemą (anglų k „opt-out“) sutikimo dalyvauti sistema (anglų k. „opt-in“). Su labai ribota išimtimi, kuri netaikoma šiai bylai(32), pagal pakeistą Direktyvos 2002/58 5 straipsnio 3 dalį naudoti slapukus leidžiama tik jeigu naudotojas su tuo sutinka po to, kai jam pagal Direktyvą 95/46 pateikiama aiški ir išsami informacija apie tai, kodėl jo duomenys sekami, t. y. apie tokio tvarkymo tikslus(33).
55. Kaip detaliau nurodyta toliau, reikalavimo suteikti informaciją pagal Direktyvos 2002/58 5 straipsnio 3 dalį taikymo sritis sudaro ginčo esmę, ypač atsižvelgiant į numatytąsias nuostatas veiklai internete.
B. Pirmasis klausimas
56. Prašymą priimti prejudicinį sprendimą pateikęs teismas pirmojo klausimo a punktu siekia išsiaiškinti, ar yra galiojantis sutikimas, kaip tai suprantama pagal Direktyvos 2002/58/EB 5 straipsnio 3 dalį ir 2 straipsnio f punktą, siejamus su Direktyvos 95/46 2 straipsnio h punktu, jei išsaugoti informaciją ar prieiti prie informacijos, saugomos naudotojo galiniame įrenginyje, leidžiama pagal automatiškai pažymėtą žymimąjį langelį, kurio žymėjimą naudotojas turi pašalinti, norėdamas atsisakyti duoti sutikimą. Prašymą priimti prejudicinį sprendimą pateikusiam teismui taip pat kyla su tuo susijęs klausimas, ar svarbu tai, ar išsaugota arba naudojama informacija yra asmens duomenys (pirmojo klausimo b punktas). Galiausiai prašymą priimti prejudicinį sprendimą pateikęs teismas norėtų sužinoti, ar pirmiau nurodytomis aplinkybėmis laikytina, kad duotas galiojantis sutikimas, kaip tai suprantama pagal Reglamento 2016/679 6 straipsnio 1 dalies a punktą (pirmojo klausimo c punktas).
1. Dėl tinkamai informuoto asmens laisva valia duoto sutikimo
57. Vienas iš ES duomenų apsaugos teisės elementų yra sutikimas.
58. Prieš pradėdamas nagrinėti konkretų slapukų klausimą norėčiau nustatyti bendruosius principus, išplaukiančius iš taikytinų teisės nuostatų dėl sutikimo davimo.
a) Pagal Direktyvą 95/46
1) Aktyvus sutikimas
59. Atsižvelgdamas į Direktyvos 95/46 nuostatas darau išvadą, kad sutikimas turi būti išreikštas aktyviai(34).
60. Direktyvos 95/46 2 straipsnio h punkte kalbama apie duomenų subjekto pareiškimą – tokia formuluotė akivaizdžiai reiškia aktyvius, o ne pasyvius, veiksmus. Be to, Direktyvos 95/46 7 straipsnio a punkte, kuriame kalbama apie (asmens) duomenų tvarkymo teisėtumo kriterijus, nurodyta, kad duomenų subjektas yra nedviprasmiškai davęs sutikimą. Dviprasmybes galima pašalinti tik aktyviais (o ne pasyviais) veiksmais.
61. Atsižvelgdamas į tai darau išvadą, kad šiuo požiūriu nepakanka iš anksto paruošto naudotojo pareiškimo dėl sutikimo, kai naudotojas privalo aktyviai paprieštarauti, jeigu jis nesutinka su duomenų tvarkymu.
62. Iš tiesų pastaruoju atveju neaišku, ar toks iš anksto paruoštas tekstas buvo perskaitytas ir suprastas. Tokia situacija nėra nedviprasmiška. Naudotojas gali būti skaitęs šį tekstą, bet gali būti ir jo neskaitęs. Jis gali būti to nepadaręs tiesiog dėl neapdairumo. Tokiu atveju neįmanoma nustatyti, ar sutikimas duotas laisva valia.
2) Atskiras sutikimas
63. Su aktyvaus sutikimo reikalavimu glaudžiai susijęs reikalavimas duoti atskirą sutikimą(35).
64. Būtų galima ginčytis, kaip tai daro Planet49, kad duomenų subjektas duoda galiojantį sutikimą ne tada, kai jis nepašalina žymėjimo nuo iš anksto paruošto pareiškimo dėl sutikimo, o kai aktyviai paspaudžia dalyvavimo internetinėje loterijoje mygtuką.
65. Nepritariu tokiam aiškinimui.
66. Tam, kad sutikimas būtų duotas „laisva valia“ ir „žinomai“ (jį duotų „tinkamai informuotas“ subjektas), jis turi būti duotas ne tik aktyviai, bet ir atskirai. Naudotojo veikla internete (tinklalapio skaitymas, dalyvavimas loterijoje, vaizdo įrašo peržiūra ir pan.) ir sutikimo davimas negali būti to paties veiksmo sudėtinės dalys. Visų pirma naudotojui negali atrodyti, kad sutikimo davimas yra šalutinis dalyvavimo loterijoje atžvilgiu. Abu šie veiksmai turi būti pateikti (visų pirma vizualiai) kaip lygiaverčiai. Todėl man kyla abejonių dėl to, ar kelios ketinimų išreiškimo frazės, kurios apima sutikimo davimą, atitiktų Direktyvoje 95/46 pateiktą sutikimo sąvoką.
3) Pareiga išsamiai informuoti
67. Šiuo požiūriu naudotojui turi būti visiškai aiškiai nurodyta, ar jo internete vykdoma veikla priklauso nuo sutikimo davimo. Naudotojui turi būti sudaryta galimybė įvertinti, kiek savo duomenų jis yra pasirengęs suteikti, kad galėtų vykdyti veiklą internete. Neturi likti nė menkiausių dviprasmybių(36). Naudotojas turi žinoti, ar jo sutikimas susijęs su jo veiklos vykdymu internete, ir, jeigu taip, kiek jie susiję.
b) Pagal Reglamentą 2016/679
68. Pirma nustatyti principai galioja ir kalbant apie Reglamentą 2016/679.
69. Reglamento 2016/679 4 straipsnio 11 punkte duomenų subjekto sutikimas apibrėžtas kaip bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
70. Pažymėtina, kad ši apibrėžtis siauresnė už pateiktą Direktyvos 95/46 2 straipsnio h punkte, nes pagal ją reikalaujama nedviprasmiškai nurodyti duomenų subjekto valią ir atlikti vienareikšmius veiksmus, kuriais išreiškiamas sutikimas, kad būtų tvarkomi asmens duomenys.
71. Be to, Reglamento 2016/679 preambulė yra itin informatyvi. Kadangi daug remsiuosi konstatuojamosiomis dalimis(37), jaučiu pareigą priminti, kad jos neturi jokios teisinės galios(38), tačiau Teisingumo Teismas dažnai jomis vadovaujasi, aiškindamas ES teisės akto nuostatas. ES teisės sistemoje jų pobūdis – aprašomasis, o ne privalomasis. Iš tikrųjų jų teisinės galios klausimo paprastai nekyla dėl paprastos priežasties, kad konstatuojamosios dalys paprastai atsispindi direktyvos teisinėse nuostatose. Iš tiesų pagal ES politinių institucijų teisėkūros gerąją praktiką paprastai siekiama, kad konstatuojamosiose dalyse būtų pateikiama naudinga faktinė informacija, susijusi su teisinę galią turinčiomis nuostatomis.(39)
72. Reglamento 2016/679 32 konstatuojamojoje dalyje nurodyta, kad sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu.
73. Taigi dabar Reglamente 2016/679 aiškiai nurodytas aktyvus sutikimas.
74. Be to, šio reglamento 43 konstatuojamojoje dalyje nurodyta, kad siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, jis neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas, ypač kai duomenų valdytojas yra valdžios institucija ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais, arba jeigu sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nepaisant to, kad toks sutikimas nėra būtinas tokiam vykdymui.
75. Taigi, dabar šioje konstatuojamojoje dalyje aiškiai pabrėžta, kad būtinas atskiras sutikimas.
c) Pagal Direktyvą 2002/58 – slapukų atvejis
76. Pagal Direktyvos 2002/58 5 straipsnio 3 dalį valstybės narės turi užtikrinti, kad saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar naudotojo galiniame įrenginyje būtų leidžiama tik su sąlyga, jei atitinkamam abonentui ar naudotojui sutikus pagal Direktyvą 95/46 pateikiama aiški ir išsami informacija, inter alia, apie tokio duomenų tvarkymo tikslus.
77. Šioje nuostatoje nenumatyta jokių papildomų su sutikimo sąvoka susijusių kriterijų.
78. Vis dėlto Direktyvos 2002/58 ir Direktyvos 2009/136 konstatuojamosiose dalyse pateiktos gairės dėl sutikimo naudoti slapukus.
79. Taigi, Direktyvos 2002/58 17 konstatuojamojoje dalyje nurodyta, kad sutikimas gali būti duotas bet kuriuo tinkamu būdu, specialiu ir pakankamai informatyviu, leidžiančiu naudotojui laisvai išreikšti savo valią, įskaitant ir atitinkamame interneto tinklavietės langelyje dedamą varnelę(40).
80. Be to, Direktyvos 2009/136 66 konstatuojamojoje dalyje paaiškinta, kodėl svarbiausia, kad paslaugų gavėjai, užsiimdami veikla, dėl kurios jų įrenginyje gali būti saugoma informacija arba jie gali suteikti prieigą prie jau saugomos informacijos, gautų aiškią ir išsamią informaciją apie tai, ir kad informacijos pateikimo ir galimybės jos atsisakyti būdai turėtų būti kiek galima patogesni naudoti.
81. Šiuo požiūriu dar norėčiau priminti neprivalomojo pobūdžio, bet vis dėlto informatyvų 29 straipsnio duomenų apsaugos darbo grupės (toliau – 29 straipsnio darbo grupė)(41) dokumentą, pagal kurį sutikimas yra iš anksto atliktas naudotojo patvirtinimo veiksmas, kuriuo pritariama slapuko saugojimui ir naudojimui(42). Ta pati darbo grupė atskleidžia, kad „pareiškimo“ sąvoka reiškia, jog būtina imtis tam tikrų veiksmų(43). Kiti sutikimo sąvokos elementai ir Direktyvos 95/46 7 straipsnio a punkte nustatytas papildomas reikalavimas dėl sutikimo nedviprasmiškumo patvirtina tokį aiškinimą(44). Reikalavimas duomenų subjektui „pareikšti“ savo sutikimą reiškia, kad vien neveikimo nepakanka ir kad sutikimas turi būti pareikštas tam tikrais veiksmais, nors gali būti atliekami skirtingo pobūdžio veiksmai, kurie vertinami „pagal aplinkybes“(45).
2. Taikymas nagrinėjamai bylai
82. Dabar norėčiau pritaikyti šiuos kriterijus nagrinėjamai bylai. Tam pirmiausia aptarsiu pirmojo klausimo a ir c punktus, t. y. klausimą, ar buvo duotas galiojantis sutikimas įdiegti slapukus ir juos naudoti. Šis klausimas apima antrąjį žymimąjį langelį.
83. Be to, atsižvelgiant į tai, kad, kaip ką tik nustatyta, sutikimui dėl slapukų ir apskritai dėl asmens duomenų tvarkymo taikomi reikalavimai nelabai skiriasi, siekdamas išsamumo ir aiškumo, nors prašymą priimti prejudicinį sprendimą pateikęs teismas to aiškiai neklausia, tikrai manau, kad dėl ES teisės teisingo ir vienodo aiškinimo būtina trumpai išanalizuoti, ar, kiek tai susiję su pirmuoju žymimuoju langeliu, buvo duotas galiojantis sutikimas tvarkyti asmens duomenis. Be to, kaip suprantu, Bundesgerichtshof (Aukščiausiasis Federalinis Teismas) nagrinėjamoje byloje turės priimti sprendimą dėl pirmojo žymimojo langelio(46).
a) Antrasis žymimasis langelis – pirmojo klausimo a ir c punktai
84. Prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar yra galiojantis sutikimas, kaip tai suprantama pagal Direktyvos 2002/58/EB 5 straipsnio 3 dalį ir 2 straipsnio f punktą, siejamus su Direktyvos 95/46 2 straipsnio h punktu, jeigu išsaugoti informaciją ar prieiti prie informacijos, saugomos naudotojo galiniame įrenginyje, leidžiama pagal automatiškai pažymėtą žymimąjį langelį, kurio žymėjimą naudotojas turi pašalinti, norėdamas atsisakyti duoti sutikimą.
85. Sprendžiant šį klausimą, Direktyvos 95/46 2 straipsnio h punkto ir Reglamento 2016/679 4 straipsnio 11 punkto svarbiausios sąvokos yra „savanoriškai duotas“ („laisva valia duotas“) ir „žinomai“ („tinkamai informuoto asmens“). Kyla klausimas, ar tokiomis, kaip prašymą priimti prejudicinį sprendimą pateikusio teismo apibūdintomis, aplinkybėmis sutikimas gali būti duotas savanoriškai (laisva valia) ir žinomai (jį gali duoti tinkamai informuotas naudotojas).
86. Planet49 mano, kad taip. Visos kitos šalys(47) su ja nesutinka. Šiuo klausimu kilęs šalių teisinis ginčas visų pirma susijęs su tuo, ar žymimojo langelio pažymėjimas arba iš anksto pažymėto žymimojo langelio žymėjimo pašalinimas atitinka šiuos reikalavimus. Ginčijamasi dėl aktyvumo ir pasyvumo klausimo. Tačiau nors šis aspektas ir svarbus, jis yra tik taikomų reikalavimų dalis. Nes jis susijęs tik su reikalavimu dėl aktyvaus sutikimo, bet ne dėl atskiro sutikimo.
87. Atsižvelgdamas į šioje išvadoje nustatytus kriterijus manau, jog į šį klausimą reikia atsakyti taip, kad nagrinėjamoje byloje aptariamu atveju galiojantis sutikimas neduotas.
88. Pirma, reikalavimas naudotojui aiškiai pašalinti langelio žymėjimą ir taip atlikti aktyvius veiksmus, jeigu jis nesutinka su slapukų įdiegimu, neatitinka aktyvaus sutikimo kriterijaus. Tokiu atveju beveik neįmanoma objektyviai nustatyti, ar naudotojas davė sutikimą remdamasis laisva valia priimtu sprendimu ir būdamas tinkamai informuotas. O jeigu naudotojo būtų reikalaujama pažymėti langelį, tokia prielaida būtų gerokai labiau tikėtina.
89. Antra, dar svarbiau yra tai, kad dalyvavimas internetinėje loterijoje ir sutikimas įdiegti slapukus negali būti to paties veiksmo sudedamosios dalys. Tačiau būtent taip ir yra šioje byloje aptariamu atveju. Galiausiai norėdamas dalyvauti loterijoje naudotojas tik vieną kartą paspaudžia dalyvavimo mygtuką. Tuo pat metu jis duoda sutikimą įdiegti slapukus. Vienu metu valia išreiškiama du kartus (dėl dalyvavimo loterijoje ir sutikimo įdiegti slapukus). Šie du valios pareiškimai negali būti atliekami to paties dalyvavimo mygtuko paspaudimu. Iš tiesų šioje byloje sutikimas dėl slapukų atrodo šalutinio pobūdžio, nes visiškai neaišku, kad jis yra atskiro veiksmo dalis. Kitaip tariant, atrodo, kad žymimojo langelio pažymėjimas arba žymėjimo nuėmimas yra tarsi parengiamasis veiksmas prieš galutinį ir teisiniu požiūriu privalomą veiksmą – dalyvavimo mygtuko paspaudimą.
90. Šiomis aplinkybėmis naudotojas negali laisva valia duoti atskiro sutikimo saugoti informaciją arba leisti naudoti jo galiniame įrenginyje jau saugomą informaciją.
91. Be to, šioje išvadoje jau nustatyta, kad dalyvauti loterijoje buvo įmanoma tik tada, jeigu buvo pažymėtas bent pirmasis žymimasis langelis. Todėl nebuvo nustatyta sąlyga(48), kad norint dalyvauti loterijoje būtina duoti sutikimą įdiegti slapukus ir jais naudotis. Nes naudotojas taip pat galėjo pažymėti (tik) pirmąjį žymimąjį langelį.
92. Vis dėlto, kiek man žinoma, naudotojas niekada nebuvo apie tai informuotas. Tai neatitinka pirma nustatytų išsamaus informavimo kriterijų.
93. Apibendrindamas siūlau į pirmojo klausimo a ir c punktus atsakyti taip, kad tokiu atveju, kaip nagrinėjamas pagrindinėje byloje, galiojančio sutikimo, kaip jis suprantamas pagal Direktyvos 2002/58 5 straipsnio 3 dalį ir 2 straipsnio f punktą, siejamus su Direktyvos 95/46 2 straipsnio h punktu, nėra, jeigu išsaugoti informaciją arba prieiti prie naudotojo galiniame įrenginyje jau saugomos informacijos leidžiama pagal iš anksto pažymėtą žymimąjį langelį, kurio žymėjimą naudotojas turi pašalinti, norėdamas atsisakyti duoti sutikimą, ir jeigu sutikimas duodamas ne atskirai, o kartu su dalyvavimo internetinėje loterijoje patvirtinimu. Tą patį galima pasakyti apie Direktyvos 2002/58 5 straipsnio 3 dalies ir 2 straipsnio f punkto aiškinimą kartu su Reglamento 2016/679 4 straipsnio 11 punktu.
b) Pirmasis žymimasis langelis
94. Nors prašymą priimti prejudicinį sprendimą pateikusio teismo užduoti klausimai susiję tik su antruoju žymimuoju langeliu, norėčiau pateikti dvi specialias pastabas dėl pirmojo žymimojo langelio, kurios gali padėti prašymą priimti prejudicinį sprendimą pateikusiam teismui priimti galutinį sprendimą.
95. Primenu, kad pirmasis žymimasis langelis susijęs ne su slapukais, o tik su asmens duomenų tvarkymu. Kai naudotojas jį pažymi, jis sutinka ne su informacijos saugojimu jo įrenginyje, o (tik) su tuo, kad sąraše išvardytos įmonės su juo susisiektų paštu, telefonu arba el. paštu.
96. Pirmiausia akivaizdu, kad aktyvaus ir atskiro sutikimo bei išsamaus informavimo kriterijai taikomi ir pirmajam žymimajam langeliui. Neatrodo, kad kyla problemų dėl aktyvaus sutikimo, nes žymimasis langelis nėra iš anksto pažymėtas. Tačiau man kyla tam tikrų abejonių dėl to, ar sutikimas yra atskiras. Atsižvelgiant į pirma pateiktą analizę(49) šios bylos aplinkybėmis būtų geriau, jeigu norint duoti sutikimą tvarkyti asmens duomenis, vaizdžiai kalbant, reikėtų paspausti atskirą mygtuką(50), o ne vien pažymėti langelį.
97. Antra, kalbant apie pirmąjį žymimąjį langelį, susijusį su rėmėjų ir partnerių pranešimais, reikėtų atsižvelgti į Reglamento 2016/679 7 straipsnio 4 dalį. Pagal šią nuostatą vertinant, ar sutikimas duotas laisva valia, turi būti labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti. Todėl į Reglamento 2016/679 7 straipsnio 4 dalį dabar įtrauktas „draudimas sujungti“ (angl. „prohibition on bundling“)(51).
98. Žodžiai „labiausiai atsižvelgiama į tai“ rodo, kad draudimas sujungti nėra absoliutaus pobūdžio(52).
99. Šioje byloje įvertinti, ar norint dalyvauti loterijoje būtina duoti sutikimą dėl asmens duomenų tvarkymo, turės kompetentingas teismas. Šiuo požiūriu nereikėtų pamiršti, jog loterija organizuojama tam, kad joje dalyvaujantys asmenys „parduotų“ asmens duomenis (t. y. sutiktų, kad vadinamieji ‚rėmėjai“ jiems siųstų pranešimus su reklaminiais pasiūlymais). Kitaip tariant, būtent asmens duomenų teikimas yra pagrindinis įsipareigojimas, kurio reikalaujama tam, kad naudotojas galėtų dalyvauti loterijoje. Šiomis aplinkybėmis manau, kad tokių asmens duomenų tvarkymas yra būtinas tam, kad būtų galima dalyvauti loterijoje(53).
3. Dėl asmens duomenų (pirmojo klausimo b punktas)
100. Dabar norėčiau išnagrinėti, ar taikant Direktyvos 2002/58 5 straipsnio 3 dalį ir 2 straipsnio f punktą kartu su Direktyvos 95/46 2 straipsnio h punktu svarbu, ar išsaugota arba paimta informacija yra asmens duomenys.
101. Šį klausimą paprasčiausia suprasti atsižvelgiant į Vokietijos teisės nuostatas, kuriomis į nacionalinę teisę perkelta Direktyvos 2002/58 5 straipsnio 3 dalis(54). Iš tiesų Vokietijos teisėje skiriamas asmens duomenų ir kitų duomenų rinkimas ir naudojimas.
102. Pagal TMG 12 straipsnio 1 dalį paslaugų teikėjas gali rinkti ir panaudoti asmens duomenis tik jeigu, be kita ko, naudotojas su tuo sutiko.
103. O pagal TMG 15 straipsnio 3 dalį paslaugų teikėjas, be kita ko, reklamos ir rinkos tyrimų tikslais gali kurti naudotojų profilius su slapyvardžiais, jeigu naudotojas tam neprieštarauja. Taigi, jeigu nekalbama apie asmens duomenis, Vokietijos teisėje taikomas švelnesnis reikalavimas: reikia ne sutikimo, o tik neprieštaravimo.
104. Pagal Reglamento 2016/679 4 straipsnio 1 punkte pateiktą teisinę apibrėžtį asmens duomenys yra „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.
105. Manau nekyla abejonių dėl to, kad, kiek tai susiję su nagrinėjama byla, Direktyvos 2002/58 5 straipsnio 3 dalyje nurodyta „informacija“ yra „asmens duomenys“. Atrodo, kad taip mano ir prašymą priimti prejudicinį sprendimą pateikęs teismas, kuris nutartyje dėl prašymo priimti prejudicinį sprendimą aiškiai nurodo, kad atsakovei gali būti leidžiama gauti duomenis per jos naudojamus slapukus tik jeigu yra duotas sutikimas pagal TMG 12 straipsnio 1 dalį, nes šioje byloje aptariami duomenys yra asmens duomenys(55). Be to, neatrodo, kad pagrindinės bylos šalys ginčijasi dėl to, kad čia kalbama apie asmens duomenis.
106. Taigi būtų galima svarstyti, ar šis klausimas svarbus nagrinėjamai bylai ir ar jis nėra hipotetinis(56).
107. Bet kuriuo atveju manau, kad atsakyti į šį klausimą gana paprasta: nesvarbu, ar saugoma arba naudojama informacija yra asmens duomenys. Direktyvos 2002/58 5 straipsnio 3 dalyje kalbama apie leidimą „saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija“(57). Akivaizdu, kad tokia informacija susijusi su privatumu, nepaisant to, ar ji yra „asmens duomenys“, kaip tai suprantama pagal Reglamento 2016/679 4 straipsnio 1 punktą, ar ne. Kaip teisingai pabrėžia Komisija, pagal Direktyvos 2002/58 5 straipsnio 3 dalį siekiama apsaugoti naudotoją nuo kišimosi į jo privačią sferą, nepaisant to, ar toks kišimasis susijęs su asmens, ar su kitais duomenimis.
108. Be to, tokį Direktyvos 2002/58 5 straipsnio 3 dalies aiškinimą patvirtina šios direktyvos 24(58) ir 25(59) konstatuojamosios dalys, taip pat 29 straipsnio darbo grupės nuomonės. Iš tiesų, kaip nurodo ši darbo grupė, 5 straipsnio 3 dalis taikoma „informacijai“ (saugomai ir (arba) naudojamai). Pagal ją tokia informacija nekvalifikuojama. Norint taikyti šią nuostatą nebūtina, kad tokia informacija būtų asmens duomenys, kaip tai suprantama pagal Direktyvą 95/46(60).
109. Atrodo, kad TMG 15 straipsnio 3 dalimi į Vokietijos teisę nėra visiškai perkelti Direktyvos 2002/58 5 straipsnio 3 dalies reikalavimai(61).
110. Taigi į 1 klausimo b punktą siūlau atsakyti taip, kad, taikant Direktyvos 2002/58 5 straipsnio 3 dalį ir 2 straipsnio f punktą kartu su Direktyvos 95/46 2 straipsnio h punktu, nesvarbu, ar išsaugota arba paimta informacija yra asmens duomenys.
C. Antrasis klausimas
111. Prašymą priimti prejudicinį sprendimą pateikęs teismas antrąjį klausimą užduoda tam, kad išsiaiškintų, kokią informaciją turi suteikti paslaugų teikėjas pagal Direktyvos 2002/58 5 straipsnio 3 dalyje nustatytą reikalavimą pateikti naudotojui aiškią ir išsamią informaciją ir ar šis reikalavimas apima slapukų veikimo trukmę ir klausimą, ar tretieji asmenys gali naudotis slapukais.
1. Dėl aiškios ir išsamios informacijos
112. Direktyvos 95/46 10 ir 11 straipsniuose (ir Reglamento 2016/679 13 ir 14 straipsniuose) nustatyta pareiga informuoti duomenų subjektus. Pareiga informuoti susijusi su sutikimu, nes prieš duodant sutikimą visada turi būti suteikta informacija.
113. Atsižvelgiant į interneto naudotojo (ir interneto paslaugų teikėjo) panašumą į vartotoją (ir prekiautoją)(62), šioje vietoje galima remtis sąvoka „vidutinis Europos vartotojas“, kuris yra pakankamai informuotas ir protingai pastabus bei nuovokus(63) ir gali priimti sprendimą įsipareigoti pagal sutartį, gerai suprasdamas aplinkybes(64).
114. Vis dėlto dėl slapukų techninio sudėtingumo ir dėl paslaugų teikėjo ir naudotojo turimos informacijos neproporcingumo, taip pat, labiau apibendrintai, dėl bet kurio vidutinio internauto santykinio žinių trūkumo, negalima tikėtis, kad vidutinis internautas gerai išmanytų slapukų veikimą.
115. Taigi, aiški ir išsami informacija reiškia, kad naudotojas gali lengvai nustatyti bet kurio savo duodamo sutikimo pasekmes. Tam būtina, kad jis galėtų įvertinti savo veiksmų padarinius. Suteikiama informacija turi būti aiškiai suprantama ir ji negali būti dviprasmiška arba skirtingai aiškinama. Ji turi būti pakankamai detali, kad naudotojas galėtų suprasti faktiškai naudojamų slapukų veikimą.
116. Kaip teisingai nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, prie tokios informacijos priskiriama ir slapukų veikimo trukmė, ir klausimas, ar tretieji asmenys gali naudotis slapukais.
2. Informacija apie slapukų veikimo trukmę
117. Pagal Direktyvos 2002/58 23 ir 26 konstatuojamąsias dalis slapukų veikimo trukmė yra reikalavimo dėl tinkamai informuoto asmens duodamo sutikimo elementas, reiškiantis, kad paslaugų teikėjai turėtų „visada informuoti abonentus apie tai, kokių tipų duomenis tvarko, kokiais tikslais ir kokį laiko tarpą“. Net jeigu slapukas yra būtinas, siekiant gauti sutikimą atsižvelgiant į susijusias aplinkybes turi būti išnagrinėtas klausimas, kiek toks slapukas riboja privatumą. Paslaugų teikėjai turėtų ne tik užduoti klausimus apie tai, kokie duomenys saugomi kiekviename slapuke ir ar jie susieti su kokia nors kita apie naudotoją turima informacija, bet ir atsižvelgti į slapuko veikimo trukmę ir į tai, ar tokia veikimo trukmė tinkama atsižvelgiant į slapuko naudojimo tikslą.
118. Slapukų veikimo trukmė susijusi su aiškaus tinkamai informuoto asmens sutikimo reikalavimais dėl informacijos kokybės ir prieinamumo naudotojams. Ši informacija labai svarbi tam, kad asmenys prieš tvarkymą galėtų priimti tinkamai suteikta informacija grindžiamus sprendimus(65). Kaip nurodo Portugalijos ir Italijos vyriausybės, kadangi naudojant slapukus surinkti duomenys turi būti pašalinti, kai jie nebėra būtini norint pasiekti pirminį jų tikslą, galima daryti išvadą, kad naudotojui turi būti aiškiai nurodytas surinktų duomenų saugojimo laikotarpis.
3. Informacija apie galimybę naudotis tretiesiems asmenims
119. Dėl šio klausimo Planet49 teigia, kad jeigu tretieji asmenys gali naudotis slapuku, apie tai būtina pranešti ir naudotojams. Tačiau jeigu, kaip nagrinėjamoje byloje, naudotis slapuku gali tik paslaugų teikėjas, kuris pageidauja įdiegti tokį slapuką, pakanka atkreipti dėmesį į šią aplinkybę. Aplinkybė, kad kiti tretieji asmenys neturi galimybės naudotis slapukais, neturi būti atskirai nurodyta. Toks įpareigojimas būtų nesuderinamas su teisės aktų leidėjo ketinimu užtikrinti duomenų apsaugos nuostatų tekstų patogumą naudoti ir glaustumą.
120. Negaliu pritarti tokiam aiškinimui. Priešingai, tam, kad informacija būtų aiški ir išsami, naudotoją reikėtų aiškiai informuoti apie tai, ar tretieji asmenys turi galimybę naudoti įdiegtus slapukus, ar ne. Ir jeigu tretieji asmenys turi tokią galimybę, turi būti atskleista jų tapatybė. Kaip teisingai pažymi Bundesverband, tai būtina siekiant užtikrinti, kad būtų suteiktas tinkamai informuoto asmens sutikimas.
4. Rezultatas
121. Taigi siūlau į antrąjį klausimą atsakyti taip, kad prie aiškios ir išsamios informacijos, kurią paslaugų teikėjas turi suteikti naudotojui pagal Direktyvos 2002/58 5 straipsnio 3 dalį, priskiriama slapukų veikimo trukmė ir klausimas, ar tretieji asmenys gali naudotis slapukais, ar ne.
V. Išvada
122. Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) pateiktus prejudicinius klausimus:
1. Galiojančio sutikimo, kaip tai suprantama pagal 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EC dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) 5 straipsnio 3 dalį ir 2 straipsnio f punktą, siejamus su 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EC dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 2 straipsnio h punktu, nėra tokiais atvejais, kaip nagrinėjami pagrindinėje byloje, kai saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija naudotojo galiniame įrenginyje leidžiama pagal iš anksto pažymėtą žymimąjį langelį, kurio žymėjimą naudotojas turi pašalinti, norėdamas atsisakyti duoti sutikimą, ir kai sutikimas duodamas ne atskirai, o kartu su dalyvavimo internetinėje loterijoje patvirtinimu.
2. Tą patį galima pasakyti apie Direktyvos 2002/58 5 straipsnio 3 dalies ir 2 straipsnio f punkto, siejamų su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 11 punktu, aiškinimą.
3. Taikant Direktyvos 2002/58 5 straipsnio 3 dalį ir 2 straipsnio f punktą kartu su Direktyvos 95/46 2 straipsnio h punktu nesvarbu, ar išsaugota arba paimta informacija yra asmens duomenys.
4. Prie aiškios ir išsamios informacijos, kurią paslaugų teikėjas turi suteikti naudotojui pagal Direktyvos 2002/58 5 straipsnio 3 dalį, priskiriama slapukų veikimo trukmė ir klausimas, ar tretieji asmenys gali naudotis slapukais, ar ne.