Language of document : ECLI:EU:C:2019:246

ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

M. SZPUNAR

представено на 21 март 2019 година(1)

Дело C673/17

Planet49 GmbH

срещу

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(Преюдициално запитване, отправено от Bundesgerichtshof (Федерален върховен съд, Германия)

„Преюдициално запитване — Директива 95/46/ЕО — Директива 2002/58/ЕО — Регламент (ЕС) 2016/679 — Обработка на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации — „Бисквитки“ — Понятие за съгласие на субекта на данни — Изявление за даване на съгласие посредством предварително отметнато поле“


I.      Въведение

1.        За да участва в лотария, организирана от Planet49, интернет потребител преминава през две полета за отбелязване, в които трябва с кликване да постави или да премахне вече поставена отметка, за да може да натисне „бутона за участие“. Едно от полетата за отбелязване изисква потребителят да приеме с него да се свързват редица дружества по повод на промоционални оферти, а другото — да се съгласи на компютъра му да бъдат инсталирани „бисквитки“ (cookies). Това са накратко фактите по настоящото преюдициално запитване от Bundesgerichtshof (Федерален върховен съд, Германия).

2.        Зад тези привидно неутрални факти са крият фундаментални въпроси на законодателството на ЕС за защита на данните: какви точно са изискванията за информирано съгласие, което трябва да бъде дадено свободно? Има ли разлика по отношение на обработването (само) на лични данни и инсталирането на бисквитки и достъпа до тях? Кои правни актове се прилагат?

3.        В настоящото заключение ще обоснова, че що се отнася до настоящия случай, изискванията за предоставяне на съгласие са едни и същи съгласно Директива 95/46/ЕО(2) и Регламент (ЕС) 2016/679(3) и че в разглеждания случай няма значение дали се разглежда общият въпрос за обработването на лични данни или по-специфичният въпрос за съхранението на информация и за достъпа до нея чрез използването на бисквитки.

II.    Правна уредба

1.      Право на Съюза

1.      Директива 95/46

4.        Член 2 от Директива 95/46, озаглавен „Определения“, предвижда:

„По смисъла на настоящата директива:

[…]

з)      „съгласие на съответното физическо лице“ означава всяко свободно изразено, конкретно и информирано указание за волята на съответното физическо лице, с което то дава израз на своето съгласие за обработка на личните данни, които се отнасят до него“.

5.        В раздел II от посочената директива, озаглавен „Критерии за законосъобразност на обработването на лични данни“, член 7, буква а) предвижда:

„Държавите членки предвиждат, че обработването на лични данни може да се извършва, само ако:

а)      съответното физическо лице е дало недвусмислено своето съгласие за това; или

[…]“.

6.        Член 10 от същата директива, озаглавен „Информация при събиране на данни от съответното физическо лице“, предвижда следното:

„Държавите членки предвиждат, че администраторът или неговият представител трябва да предостави на съответното физическо лице, от което се събират данни, отнасящи се за самия него, най-малкото следната информация, освен в случаите, когато то вече я притежава:

а)      самоличността на администратора или на неговия представител, когато има такъв;

б)      целта на обработването, за което данните са предназначени;

в)      всякаква друга информация, например:

–        получателите или категориите получатели на данни,

–        дали отговорите на въпросите са задължителни или доброволни, както и евентуалните последици при липса на отговор,

–        наличието на право на достъп и на право на поправка на данните, които се отнасят до него,

доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице“.

2.      Директива 2002/58/ЕО(4)

7.        Съображения 24 и 25 от Директива 2002/58/ЕО(5) гласят следното:

„(24)      Оборудването на терминалите на потребителите на електронни комуникационни мрежи и всяка информация, съхранявана в такова оборудване, се отнасят до частния живот на потребителите, изискващ защита съгласно Европейската конвенция за защита на човешките права и основните свободи. Така наречените софтуер за наблюдение, снифери, скрити идентификатори и други подобни устройства могат да влязат в терминала на потребителите без тяхното знание, за да получат достъп до информация, да съхраняват скрита информация или да проследяват действията на потребителя и могат сериозно да засягат правото на неприкосновеност на личния живот на тези потребители. Използването на такива устройства трябва да бъде позволено само за законни цели със знанието на заинтересованите потребители.

(25)      Такива приспособления, обаче, например така наречените кукита (cookies), могат да бъдат легитимни и полезни средства, например при анализиране на ефективността на дизайна на Интернет страницата и рекламиране и проверка идентичността на потребителя, ангажиран в сделки онлайн. Когато такива приспособления (например кукита) са предвидени за законни цели, за да се улесни осигуряването на услуги за информационно общество, тяхната употреба трябва да се разреши, при условие че потребителите са снабдени с ясна и точна информация в съответствие с Директива 95/46/ЕО, относно целите на кукитата, или подобни приспособления, така че да се гарантира, че потребителите са запознати с информацията, която е поставена в терминалното оборудване, което те използват. Потребителите трябва да имат възможност да откажат да имат куки, или подобни приспособления, поставени в тяхното терминално оборудване. Това е особено важно, когато потребители, различни от оригиналния потребител, имат достъп до терминалното оборудване и по такъв начин — до всякакви данни, съдържащи информация, свързана с правото на неприкосновеност на личния живот, която е съхранена в такова оборудване. Информацията и правото на отказ могат да бъдат предложени веднъж за използване на различни приспособления, които ще се инсталират на терминалното оборудване на потребителя по време на същото включване, и също така обхващащи бъдещо използване, което може да се направи за тези услуги по време на следващи включвания. Методите за даване на информация, предлагаща право на отказ, или изискваща съгласие, трябва да са възможно най-лесни за ползване от потребителя. Все пак може да се направи достъп до съдържанието на специфична интернет страница, при условие на пълна информираност за приемането на приспособлението куки, или подобно приспособление, ако то се използва с легитимна цел“.

8.        Член 2, озаглавен „Дефиниции“, от посочената директива, предвижда в буква е):

„Освен ако не е предвидено друго, се прилагат дефинициите от Директива [95/46] и от Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 година относно обща[та регулаторна рамка за електронните съобщителни] мрежи и услуги (Рамкова директива)[(6)].

Прилагат се също следните дефиниции:

[…]

е)      „съгласие“ на потребител или абонат отговаря на съгласието на заинтересованото лице по Директива [95/46];

[…]“.

9.        Член 5, параграф 3 от посочената директива, озаглавен „Конфиденциалност на комуникациите“, предвижда:

„Държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива [95/46], inter alia, относно целите на обработката. Това не пречи на всякакво техническо съхранение или достъп с единствена цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът да предостави услуга на информационното общество, изрично поискана от абоната или ползвателя“.

3.      Директива 2009/136/ЕО(7)

10.      Съображение 66 от Директива 2009/136/ЕО(8) гласи:

„Трети страни може да желаят да съхраняват информация върху оборудване на даден ползвател или да получат достъп до вече съхраняваната информация за различни цели, които варират от легитимни (някои видове „бисквитки“ (cookies) до такива, включващи непозволено навлизане в личната сфера (като шпионски софтуер или вируси). Следователно е от първостепенно значение ползвателите да получат ясна и всеобхватна информация при извършване на дейност, която би могла да доведе до подобно съхраняване или получаване на достъп. Методите на предоставяне на информация и на предоставяне на правото на отказ следва да се направят колкото може по-удобни за ползване. Изключенията от задължението за предоставяне на информация и на право на отказ следва да се ограничават до такива ситуации, в които техническото съхранение или достъп е стриктно необходимо за легитимната цел на даване възможност за ползване на специфична услуга, изрично поискана от абоната или ползвателя. Когато е технически възможно и ефективно, съгласно приложимите разпоредби на Директива 95/46/ЕО, съгласието на ползвателя с обработката може да бъде изразено чрез използване на съответните настройки на браузер или друго приложение. Прилагането на тези изисквания следва да се направи по-ефективно чрез разширените правомощия, дадени на съответните национални органи“.

4.      Регламент 2016/679

11.      Съображение 32 от Регламент 2016/679 гласи:

„Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда“.

12.      Член 4 от посочения регламент, озаглавен „Определения“, предвижда в точка 11:

„За целите на настоящия регламент:

[…]

11)      „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

[…]“.

13.      Член 6 от същия регламент, озаглавен „Законосъобразност на обработването“, предвижда:

„1.      Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a)      субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

[…]“.

14.      Член 7 от Регламент 2016/679 е озаглавен „Условия за даване на съгласие“. В съответствие с член 7, параграф 4 „[к]огато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор“.

2.      Германското право

1.      Граждански кодекс на Германия

15.      Член 307(9) от Bürgerliches Gesetzbuch (Граждански кодекс на Германия, наричан по-нататък „BGB“) предвижда:

„(1)      Клаузите от прилаганите от търговец общи условия са недействителни, ако неоправдано и в противоречие с изискването за добросъвестност увреждат интересите на съдоговорителя на страната, която прилага общи договорни условия. Неоправдано увреждане на интересите може да е налице и ако разпоредбата не е ясна и разбираема.

(2)      При съмнение следва да се приема, че е налице неоправдано увреждане на интересите, когато дадена клауза

1.      е несъвместима с основните идеи на нормативната уредба, която дерогира, или

2.      ограничава по такъв начин съществени права или задължения, които произтичат от договора, че е застрашено постигането на договорната цел.

(3)      Параграфи 1 и 2 по-горе, както и членове 308 и 309 важат само за клаузи от общи договорни условия, с които се уговарят правила, дерогиращи или допълващи правните норми. Други разпоредби могат да бъдат недействителни съгласно параграф 1, второ изречение във връзка с параграф 1, първо изречение“.

2.      Закон срещу нелоялната конкуренция

16.      Gesetz gegen den unlauteren Wettbewerb (Закон срещу нелоялната конкуренция, наричан по-нататък „UWG“) забранява търговски практики, които представляват недопустима тежест за пазарен участник. Член 7, параграф 2, точка 2 от UWG предвижда, че „недопустима тежест се предполага винаги в случай […] на реклама посредством телефонно обаждане на потребител без предварителното му изрично съгласие или на друг пазарен участник без неговото поне предполагаемо съгласие“.

3.      Закон за електронните медии

17.      Член 12, параграф 1 от Telemediengesetz (Закон за електронните медии, наричан по-нататък „TMG“) транспонира член 7, буква а) от Директива 95/46 и определя условията, при които доставчик на услуги има право да събира и използва лични данни за цели, свързани с електронните медии. В съответствие с този член доставчикът на услуги има право да събира и използва лични данни за цели, свързани с електронните медии, само ако това е разрешено от TMG или друг нормативен акт, който изрично се отнася до електронните медии, или ако потребителят е дал своето съгласие.

18.      Член 12, параграф 3 от TMG предвижда, че действащите разпоредби за защита на личните данни се прилагат и когато данните не се обработват автоматизирано.

19.      Член 13, параграф 1 от TMG задължава при започване на използването доставчика на услуги да информира потребителя относно начина, обхвата и целите на обработването на лични данни, както и на обработването на данни извън приложното поле на Директива 95/46.

20.      Член 15, параграф 1 от TMG предвижда, че доставчиците на услуги могат да събират и обработват лични данни единствено ако това е необходимо за използването на медии онлайн или с цел издаване на фактура, свързана с това използване („данни на ползвателя“). Данните на ползвателя се определят по-специално като данни, които позволяват идентифициране на ползвателите.

21.      Член 15, параграф 3 от TMG транспонира член 5, параграф 3 от Директива 2002/58 и позволява на доставчик на услуги да създава потребителски профили чрез псевдоними с цел реклама, проучване на пазара или структуриране на електронните медии съобразно конкретните потребности, при условие че, след като е бил уведомен в съответствие със задължението за предоставяне на информация съгласно член 13, параграф 1 от TMG за правото си да възрази, потребителят не е възразил.

4.      Федерален закон за защита на личните данни

22.      Член 3, параграф 1 от Bundesdatenschutzgesetz (Федерален закон за защита на личните данни, наричан по-нататък „BDSG“)(10) транспонира член 2, буква а) от Директива 95/46 и определя понятието „лични данни“ като информация, отнасяща се до лични или фактически обстоятелства на физическо лице, което е идентифицирано или може да бъде идентифицирано.

23.      Член 4а от BDSG транспонира член 2, буква з) от Директива 95/46 в националното законодателство и предвижда, че съгласието е действително само ако изразява свободното решение на съответното лице.

III. Фактите, производството и преюдициалните въпроси

24.      На 24 септември 2013 г. Planet49 GmbH организира промоционална лотарийна игра на следния интернет адрес: www.dein-macbook.de(11). За да участват в лотарията, интернет потребителите е трябвало да въведат своя пощенски код, което ги е отвеждало към страница с полета за попълване на името и адреса им. Под полетата за въвеждане на адреса се намират два текста с указания, до които има полета за отмятане. По-нататък ще ги наричам „първото поле за отбелязване“ и „второто поле за отбелязване“. Полето за отбелязване към първия текст с указания не е предварително отметнато и гласи следното:

„Съгласен съм някои спонсори и бизнес партньори да ме информират по пощата, по телефона или по имейл или със SMS за промоции в съответния търговски сектор. С настоящото мога сам да ги определя тук; в противен случай изборът ще бъде направен от организатора. Мога по всяко време да оттегля съгласието си. По-подробна информация във връзка с това е на разположение тук“.

25.      Вторият текст с указания е предварително отбелязан с отметка и гласи следното:

„Съгласен съм при мен да се използва услугата за уебанализ Remintrex. Така след регистрацията в промоционалната игра нейният организатор, Planet49 GmbH, ще инсталира бисквитки, което ще му позволи с помощта на Remintrex да анализира сърфирането ми в интернет и посещенията ми на уебсайтове на рекламни партньори и да изпраща реклами според моите интереси. Бисквитките мога да изтрия по всяко време. За повече подробности тук“.

26.      Участието в лотарията е възможно едва след отмятане поне на първото поле за отбелязване.

27.      Електронната връзка, асоциирана с думите „спонсори и бизнес партньори“ и „тук“ в първия текст с указания, отвежда към списък с 57 предприятия, в който са посочени техните адреси, предметът на рекламираната дейност и средството за комуникация, използвано за рекламата (електронна поща, поща или телефон), както и към подчертаната дума „изключване“ след всяко предприятие. В началото на списъка е поместена следната забележка:

„С кликването върху линка „изключване“ решавам, че не съм съгласен да получавам реклами от посочения партньор/спонсор. Ако не съм изключил нито един или достатъчен брой партньори/спонсори, Planet49 ми избира по собствена преценка партньори/спонсори (максимален брой: 30 партньори/спонсори)“.

28.      При задействане на електронната връзка към думата „тук“ във втория текст с указания се появява следната информация:

„Инсталираните бисквитки с наименования ceng_cache, ceng_etag, ceng_png и gcr са малки файлове със специфични данни, които използваният от Вас браузър запазва на Вашия твърд диск и чрез които се подава определена информация, която дава възможност за по-адаптирана към ползвателя и по-ефективна реклама. Бисквитките съдържат определен генериран на случаен принцип номер (ID), който същевременно е свързан с данните от Вашата регистрация. Ако впоследствие посетите сайта на регистриран в Remintrex рекламен партньор (дали е налице регистрация можете да установите от декларацията на рекламния партньор за защита на данните), чрез свързан към сайта IFrame се отчита автоматично посещението ви (тоест от ползвател със съхранено ID) към кой продукт сте проявили интерес и дали се е стигнало до сключване на договор.

Впоследствие Planet49 GmbH, въз основа на даденото от Вас при регистрацията за промоционалната игра съгласие за получаване на реклами, може да Ви изпраща имейли с реклами, съобразени с интересите, които сте проявили на сайта на рекламния партньор. При оттегляне на съгласието за реклама, разбира се, повече няма да получавате реклами по имейл.

Предоставената чрез бисквитки информация се използва изключително за реклама, в която се представят продукти на рекламния партньор. Информацията се събира, съхранява и използва поотделно за всеки рекламен партньор. В никакъв случай не се създават потребителски профили, надхвърлящи целите на рекламния партньор. Отделните рекламни партньори не получават лични данни.

Доколкото повече не проявявате интерес към използването на бисквитки, по всяко време можете да ги изтриете от Вашия браузър. Инструкция за това ще намерите във функцията „помощ“ на вашия браузър.

Чрез бисквитките не могат да се изпълняват програми или да се пренасят вируси.

Разбира се, имате възможност по всяко време да оттеглите това съгласие. Съобщение за оттеглянето можете да изпратите в писмен вид на Planet49 GmbH [адрес]. Достатъчно е обаче също да изпратите имейл до нашия отдел за обслужване на клиенти [имейл адрес]“.

29.      Жалбоподателят в главното производство, Bundesverband der Verbraucherzentralen (Федерация на организациите на потребители в Германия, наричана по-нататък „Bundesverband“), е вписан в списъка с процесуално легитимирани организации съгласно Gesеtz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Закон за исковете за преустановяване на нарушения във връзка с потребителски и други права, наричан по-нататък „UKlaG“). Според Bundesverband горепосочените декларации за съгласие, използвани от Planet49, не отговарят на изискванията, посочени в член 307 от BGB, член 7, параграф 2, точка 2 от UWG и член 12 и сл. от TMG. Отправената преди съдебното производство официална покана остава без резултат.

30.      Bundesverband предявява пред Landgericht Frankfurt am Main (Областен съд Франкфурт на Майн, Германия) иск за осъждане на Planet49 да преустанови използването на горепосочените клаузи(12) и дружеството да заплати сумата от 214 EUR ведно с лихвите след 15 март 2014 г.

31.      Landgericht Frankfurt am Main (Областен съд Франкфурт на Майн) уважава иска частично, като го отхвърля в останалата му част. С подадената въззивна жалба(13), разгледана от Oberlandesgericht Frankfurt am Main (Висш областен съд Франкфурт на Майн, Германия), до Bundesgerichtshof (Федерален върховен съд) е подадена ревизионна жалба(14).

32.      Bundesgerichtshof (Федерален върховен съд) счита, че успехът на ревизионната жалба зависи от тълкуването на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46 и с член 6, параграф 1, буква а) от Регламент 2016/679 и поставя на Съда следните преюдициални въпроси:

„1.      a)      Налице ли е действително съгласие по смисъла на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58/ЕО във връзка с член 2, буква з) от Директива 95/46/ЕО, когато съхраняването на информация или достъпът до информация, която вече е съхранена на крайното оборудване на ползвател, се позволява чрез предварително маркирано с отметка квадратче, от което ползвателят трябва да премахне отметката, за да откаже съгласието си?

б)      Има ли разлика с оглед на прилагането на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58/ЕО във връзка с член 2, буква з) от Директива 95/46/ЕО поради обстоятелството, че информацията, която се съхранява или до която се получава достъп, представлява лични данни?

в)      Налице ли е при посочените във въпрос 1 а) обстоятелства действително съгласие по смисъла на член 6, параграф 1, буква а) от Регламент (ЕС) 2016/679?

2.      Каква информация следва да предостави доставчикът на услуги с оглед на изискването по член 5, параграф 3 от Директива 2002/58/ЕО за предоставяне на ясна и изчерпателна информация на потребителя? Към тази информация спадат ли също и периодът, в който функционират „бисквитките“ (cookies), и въпросът дали трети лица получават достъп до тези бисквитки?“.

33.      Актът за преюдициално запитване постъпва в Съда на 30 ноември 2017 г. Писмени становища пред Съда представят Planet49, Bundesverband, португалското и италианското правителство, както и Европейската комисия. На 13 ноември 2018 г. се провежда съдебно заседание, на което се явяват Planet49, Bundesverband, германското правителство и Комисията.

IV.    Анализ

34.      И двата преюдициални въпроса, поставени от Bundesgerichtshof (Федерален върховен съд), се отнасят до предоставянето на съгласие за съхраняването на информация и получаването на достъп до информация, вече съхранявана в крайното оборудване на ползвателя, т.е. за бисквитките в специфичния контекст на разпоредбите на Директива 2002/58 във връзка с разпоредбите на Директива 95/46 или на Регламент 2016/679.

35.      Считам, че би било полезно под формата на предварителни бележки да направя някои фактически разяснения относно явлението „бисквитки“ и свързаната с тях терминология, както и правни разяснения относно приложимите правни актове в разглеждания случай.

1.      Предварителни бележки

1.      Относно бисквитките

36.      Бисквитката е средство за събиране на информация, генерирана от даден уебсайт и съхранявана от браузъра на интернет потребител(15). Тя е неголям обем данни или текстови файл, обикновено с размер под един Kbyte, който даден уебсайт иска от браузъра на интернет потребителя да съхранява на локалния твърд диск на компютъра или мобилното устройство на ползвателя(16).

37.      Бисквитката позволява на уебсайта да „запомня“ действията или предпочитанията на потребителя с течение на времето. Повечето уеббраузъри поддържат бисквитки, но потребителите могат да настроят своите браузъри да ги отказват. Освен това те могат да ги изтриват, когато пожелаят. В действителност много потребители задават в настройките за бисквитки на своите браузъри по подразбиране да изтриват бисквитките автоматично при затваряне на прозореца на браузъра. При все това емпиричните данни категорично сочат, че хората рядко променят настройките по подразбиране — явление, за което е създаден изразът „инерция по подразбиране“(17).

38.      Уебсайтовете използват бисквитки с цел идентифициране на потребителите, запомняне на техните специфични предпочитания и даване на възможност на потребителите да изпълняват задачи, без да се налага да въвеждат отново информация, когато преминават от една страница към друга или посетят същия сайт по-късно.

39.      Бисквитките могат да бъдат използвани и за събиране на информация за онлайн поведението за целева реклама и маркетинг(18). Например дружествата използват софтуер за проследяване на поведението на потребителя и за създаване на индивидуални профили, което позволява на потребителите да се показват реклами, свързани с предишни техни търсения(19).

40.      Има различни видове бисквитки, някои от които се класифицират според продължителността на живот на бисквитката (напр. сесийни и постоянни бисквитки), а други се базират на домейна, към който принадлежи бисквитката (напр. бисквитки на „първи“ и такива на „трети страни“)(20). Когато уебсървърът, осигуряващ достъп до съответния уебсайт, съхранява бисквитки на компютъра или мобилното устройство на потребителя, тези бисквитки се наричат „HTTP хедър“ бисквитки(21). Друг начин за съхраняване на бисквитки е чрез код в JavaScript, който се съдържа във или към който реферира съответният уебсайт(22). Действителността на съгласието за инсталиране на бисквитки и приложимостта на съответните изключения обаче следва да се оценяват в зависимост от функцията на бисквитката, а не от техническите ѝ характеристики(23).

2.      Относно приложимите правни актове

41.      Приложимата към главното производство законодателна рамка е претърпяла развитие през годините, като в най-скорошен план влезе в сила Регламент 2016/679.

42.      Към разглеждания случай са приложими две групи правни актове на Съюза. На първо място, Директива 95/46 и Регламент 2016/679. На второ място, Директива 2002/58, изменена с Директива 2009/136(24).

43.      Бих искал да направя две уточнения във връзка с тези две групи правни актове.

44.      Първото уточнение се отнася до приложимостта на Директива 95/46 и Регламент 2016/679.

45.      Регламент 2016/679, който се прилага от 25 май 2018 г.(25), отменя Директива 95/46, считано от същата дата(26).

46.      Тази дата, 25 май 2018 г., настъпва след последното заседание по делото пред запитващата юрисдикция на 14 юли 2017 г., както и след 5 октомври 2017 г., когато настоящото дело е отнесено до Съда по реда на преюдициалното производство.

47.      Следователно за положенията преди 25 май 2018 г. приложимото законодателство е Директива 2002/58 във връзка с Директива 95/46, докато за положенията след 25 май 2018 г. приложимото законодателство е Директива 2002/58 във връзка с Регламент 2016/679.

48.      Доколкото с иска за преустановяване на нарушение(27) Bundesverband желае да преустанови действията на Planet49 за в бъдеще, в настоящия случай е приложим Регламент 2016/679. Следователно в своето решение по иска за преустановяване на нарушение за в бъдеще Bundesgerichtshof (Федерален върховен съд) ще трябва да вземе под внимание изискванията на Регламент 2016/679. Във връзка с това германското правителство се позовава на последователната национална съдебна практика относно релевантното правно положение по искове за преустановяване на нарушения(28).

49.      Ето защо на поставения въпрос следва да се отговори както с оглед на Директива 95/46, така и с оглед на Регламент 2016/679(29).

50.      Освен това следва да се отбележи, че позоваванията в Директива 2002/58 на Директива 95/46 следва да се тълкуват като позовавания на Регламент 2016/679(30).

51.      Второто уточнение се отнася до развитието на член 5, параграф 3 от Директива 2002/58.

52.      Директива 2002/58 има за цел да осигури пълно зачитане на правата, залегнали в Хартата на основните права на Европейския съюз, и по-специално в членове 7 и 8 от нея(31). Член 5 от тази директива има за цел да гарантира „конфиденциалност на комуникациите“. По-конкретно член 5, параграф 3 урежда използването на бисквитки и определя изискванията, които трябва да бъдат изпълнени, преди да може да се съхраняват данни или да се осъществява достъп до данни на компютъра на потребителя чрез инсталиране на бисквитка.

53.      С Директива 2009/136 се въвеждат значителни промени в изискванията за съгласие по член 5, параграф 3 от Директива 2002/58, за да се подобри защитата на потребителите. Преди измененията, въведени с тази директива, член 5, параграф 3 просто изисква потребителите да бъдат информирани за възможността да откажат участие в обработката на данни посредством бисквитки. С други думи, съгласно първоначалната редакция на член 5, параграф 3 в случай на съхранение на информация в крайното оборудване на потребителя или на достъп до съхраняваната там информация доставчикът на услуги е бил задължен да предостави на потребителя ясна и цялостна информация, по-специално относно целите на обработката, и да предложи на потребителя правото да откаже такава обработка.

54.      Директива 2009/136 заменя това изискване за предоставяне на информация относно правото на отказ с изискването „съответният абонат или ползвател [да] е дал своето съгласие“, което означава, че се заменя по-лесната за изпълнение система за информиране относно възможността за отказ от участие със система за информиране относно възможността за участие. В съответствие с едно изключително ограничено изключение, което не се прилага в настоящия случай(32), използването на бисквитки съгласно преработения член 5, параграф 3 от Директива 2002/58 се разрешава само ако потребителят е дал своето съгласие, след като му е предоставена ясна и изчерпателна информация в съответствие с Директива 95/46 относно причините, поради които се проследяват неговите данни, тоест относно целите на обработката(33).

55.      По-долу разглеждам по-подробно въпроса, залегнал в основата на спора и свързан с обхвата на изискването за предоставяне на информация по член 5, параграф 3 от Директива 2002/58, по-специално в контекста на настройките по подразбиране за онлайн дейностите.

2.      По първия въпрос

56.      С първия въпрос, буква а) запитващата юрисдикция иска да установи дали е налице действително съгласие по смисъла на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46, когато съхраняването на информация или достъпът до информация, която вече е съхранена на крайното оборудване на потребителя, се позволява чрез предварително отбелязано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си. Във връзка с това запитващата юрисдикция си задава въпроса дали има значение, че информацията, която се съхранява или до която се осъществява достъп, представлява лични данни (първи въпрос, буква б). Накрая, запитващата юрисдикция иска да се установи дали при посочените обстоятелства е налице действително съгласие по смисъла на член 6, параграф 1, буква а) от Регламент 2016/679 (първи въпрос, буква в).

1.      Относно свободно изразеното и информирано съгласие

57.      Една от характеристиките, залегнали в основата на правото на ЕС в областта на защитата на данните, е свързана с предоставянето на съгласие.

58.      Преди да разгледам конкретно въпроса с бисквитките, бих искал да очертая общите принципи относно предоставянето на съгласие, произтичащи от приложимите нормативни актове.

1)      Съгласно Директива 95/46

1)      Активно съгласие

59.      От разпоредбите на Директива 95/46 стигам до извода, че съгласието трябва да се манифестира активно(34).

60.      Член 2, буква з) от Директива 95/46 говори за указание за волята на съответното физическо лице, което очевидно насочва към положително, а не към отрицателно действие. В допълнение към това член 7, буква а) от Директива 95/46, който се отнася до критериите за законосъобразност на обработването на (лични) данни, предвижда, че съответното физическо лице дава недвусмислено своето съгласие. И в този случай двусмислието може да бъде отстранено единствено с положително, а не с отрицателно действие.

61.      Въз основа на това стигам до извода, че в това отношение не е достатъчно декларацията за съгласие на потребителя да е предварително формулирана и потребителят да е длъжен активно да възразява, ако не е съгласен с обработването на данни.

62.      В действителност в последния случай не е сигурно дали такъв предварително формулиран текст е бил прочетен и осмислен. Положението не е недвусмислено. Потребителят може да е прочел или да не е прочел текста. Може да е пропуснал да го направи просто поради небрежност. В такъв случай не е възможно да се установи дали съгласието е било свободно изразено.

2)      Отделно съгласие

63.      Тясно свързано с изискването за активно съгласие е изискването за отделно съгласие(35).

64.      Би могло да се твърди, както прави Planet49, че субектът на данни дава действително съгласие не като не премахва отметката от предварително формулирано изявление за съгласие, а като активно натиска бутона за участие в лотарията онлайн.

65.      Не съм съгласен с това тълкуване.

66.      За да може съгласието да бъде „свободно изразено“ и „информирано“, то трябва да бъде не само активно, но и отделно. Осъществяваната от потребителя дейност в интернет (четене на уебсайт, участие в лотария, гледане на видео и др.) и предоставянето на съгласие не могат да представляват едно и също действие. По-специално, от гледна точка на потребителя предоставянето на съгласие не може да е акцесорно спрямо участието в лотария. Двете действия трябва да бъдат представени като равностойни, най-вече визуално. В съответствие с това ми изглежда съмнително съвкупност от изявления за съгласие да бъде в съответствие с понятието за съгласие по Директива 95/46.

3)      Задължение за пълно информиране

67.      В този контекст на потребителя трябва да бъде обяснено пределно ясно дали осъществяваната от него дейност в интернет зависи от предоставянето на съгласие. Потребителят трябва да бъде в позиция да прецени до каква степен е склонен да предостави своите данни, за да осъществи съответната дейност в интернет. Не трябва да има никаква възможност за двусмислие(36). Потребителят трябва да знае дали и ако това е така, до каква степен предоставянето на съгласие е от значение за осъществяването на дейността в интернет.

2)      Съгласно Регламент 2016/679

68.      Горепосочените принципи са еднакво валидни и за Регламент 2016/679.

69.      В член 4, точка 11 от Регламент 2016/679 съгласието на субекта на данните се определя като всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.

70.      Следва да се отбележи, че това определение е по-стриктно от съдържащото се в член 2, буква з) от Директива 95/46, доколкото то изисква недвусмислено указание за волята на субекта на данните и ясно потвърждаващо действие, което изразява съгласието му за обработването на лични данни.

71.      Освен това съображенията на Регламент 2016/679 дават особена яснота в това отношение. Тъй като ще се позовавам многократно на съображенията(37), се чувствам длъжен да припомня, че те очевидно нямат самостоятелна правна сила(38), но Съдът често прибягва до тях при тълкуването на разпоредби на правен акт на Съюза. В правния ред на Съюза те са описателни, а не обвързващи по своята същност. Впрочем въпросът за правната им сила по принцип не се поставя поради простата причина, че обикновено съображенията намират отражение в правните разпоредби на дадена директива. Всъщност добрата законодателна практика на политическите институции на Съюза се стреми към положение, в което съображенията осигуряват полезен контекст, в който се вписват разпоредбите на даден правен акт(39).

72.      В съответствие със съображение 32 от Регламент 2016/679 съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие.

73.      Следователно в Регламент 2016/679 понастоящем изрично е предвидено предоставянето на активно съгласие.

74.      Освен това съображение 43 от посочения регламент гласи, че за да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

75.      Следователно в това съображение изрично е подчертана необходимостта от отделно съгласие.

3)      Съгласно Директива 2002/58 — относно бисквитките

76.      В съответствие с член 5, параграф 3 от Директива 2002/58 държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или потребителя, е позволено само при условие че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива 95/46, inter alia, относно целите на обработката.

77.      В тази разпоредба не се установяват допълнителни критерии по отношение на понятието за съгласие.

78.      Съображенията на Директиви 2002/58 и 2009/136 обаче предоставят насоки във връзка със съгласието по отношение на бисквитките.

79.      Така в съображение 17 от Директива 2002/58 се посочва, че съгласие може да бъде дадено по всеки подходящ начин, позволяващ свободно да се посочи специфичен и уведомителен знак за желанията на потребителя, включително чрез отбелязване в графа, при посещение на интернет страница(40).

80.      Освен това в съображение 66 от Директива 2009/136 се изяснява, че е от първостепенно значение потребителите да получат ясна и всеобхватна информация при извършване на дейност, която би могла да доведе до съхраняване на информация на оборудването на потребител или до получаване на достъп до вече съхранявана информация, както и че методите на предоставяне на информация и на предоставяне на правото на отказ следва да се направят колкото може по-удобни за ползване.

81.      В тази връзка бих искал също така да отбележа незадължителния, но въпреки това показателен труд на Работната група за защита на личните данни по член 29 (наричана по-нататък „Работната група по член 29“)(41), в съответствие с който съгласието предполага предварително утвърдително действие от страна на потребителите за даване на съгласие за съхранението на бисквитката и използването на бисквитката(42). Същата работна група показва, че понятието „указание“ означава необходимост от извършване на действие(43). В подкрепа на това тълкуване са другите елементи на определението за съгласие, както и допълнителното изискване по член 7, буква а) от Директива 95/46 съгласието да бъде недвусмислено(44). Изискването, че субектът на данни трябва да „даде израз“ на своето съгласие, очевидно означава, че бездействието само по себе си не е достатъчно и че е необходимо някакво действие, за да е налице съгласие, независимо че е възможно да съществуват различни видове действия, които да бъдат оценявани „в дадения контекст“(45).

2.      Прилагане към разглеждания случай

82.      Сега бих искал да приложа тези критерии към разглеждания случай. Във връзка с това ще разгледам първо въпрос 1, букви а) и в), тоест въпросът дали е налице действително съгласие относно инсталирането на бисквитките и достъпа до тях. Това обхваща случая с второто поле за отбелязване.

83.      Освен това, като се има предвид, както току-що беше установено, че изискванията за съгласие не се различават значително по отношение на бисквитките и на обработването на лични данни в по-общ смисъл, от съображения за пълнота и яснота, въпреки че запитващата юрисдикция не повдига изрично този въпрос, за целите на правилното и еднакво тълкуване на правото на Съюза считам, че е необходимо да направя кратък анализ дали е налице действително съгласие за обработването на лични данни в контекста на първото поле за отбелязване. Освен това си давам сметка, че Bundesgerichtshof (Федерален върховен съд) ще трябва да се произнесе относно първото поле за отбелязване в рамките на производството пред него(46).

1)      Второто поле за отбелязване — първи въпрос, букви а) и в)

84.      Запитващата юрисдикция иска да установи дали е налице действително съгласие по смисъла на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46, когато съхраняването на информация или достъпът до информация, която вече е съхранена на крайното оборудване на потребител, се позволява чрез предварително отбелязано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си.

85.      Понятията от решаващо значение, съдържащи се в член 2, буква з) от Директива 95/46 и в член 4, точка 11 от Регламент 2016/679 за целите на настоящия въпрос, са „свободно изразено“ и „информирано“. Възниква въпросът дали в ситуация като описаната от запитващата юрисдикция съгласието може да бъде свободно изразено и информирано.

86.      Planet49 счита, че това е така. Всички други страни(47) изразяват несъгласие. В този контекст правният спор на страните се съсредоточи най-вече по въпроса дали поставянето или премахването на отметка в поле за отбелязване, в което вече е поставена отметка, отговаря на тези изисквания. Дебатът е насочен към въпроса за активното действие и бездействието. При все това, макар че този аспект е важен, той представлява само част от изискванията. Това е така, тъй като се спира единствено до изискването за активно съгласие, но не на изискването за отделно съгласие.

87.      Според мен въз основа на горепосочените критерии отговорът е, че в разглеждания случай не е налице действително съгласие.

88.      Първо, изискването потребителят активно да премахне отметка от поле за отбелязване и така да извърши активно действие, ако не е съгласен с инсталирането на бисквитки, не отговаря на критерия за активно съгласие. В тази ситуация е практически невъзможно да се определи обективно дали съответният ползвател е дал своето съгласие въз основа на свободно изразено и информирано решение. От друга страна, изискването потребителят да постави отметка в съответното поле прави подобно твърдение много по-вероятно.

89.      Второ и по-важно, участието в онлайн лотария и даването на съгласие за инсталирането на бисквитки не могат да представляват едно и също действие. Именно такъв обаче е случаят в настоящото производство. В крайна сметка потребителят извършва само едно натискане на бутона за участие, за да участва в лотарията. Същевременно той дава своето съгласие за инсталирането на бисквитки. По едно и също време се правят две изявления на намерение (участие в лотарията и съгласие за инсталирането на бисквитки). За тези две изявления не може да има един и същ бутон за участие. В настоящия случай предоставянето на съгласие за бисквитките действително изглежда акцесорно, в смисъл че по никакъв начин не става ясно, че то представлява отделно действие. С други думи, поставянето или премахването на отметка в свързаното с бисквитките поле за отбелязване изглежда като подготвително действие за окончателното и правнообвързващо действие, изразяващо се в натискането на бутона за участие.

90.      В такъв случай потребителят не е в състояние да даде свободно своето отделно съгласие за съхраняването на информация или за получаването на достъп до вече съхранявана в крайното му оборудване информация.

91.      Освен това по-горе бе установено, че участието в лотарията е възможно само ако е поставена отметка най-малко в първото поле за отбелязване. В резултат на това участието в лотарията не зависи(48) от предоставянето на съгласие за инсталирането на бисквитки и получаването на достъп до тях. Това е така, защото потребителят може да е маркирал (само) първото поле за отбелязване.

92.      Доколкото ми е известно обаче, потребителят не е бил информиран за това в нито един момент. Това не отговаря на горепосочените критерии за пълно информиране на потребителите.

93.      В обобщение, предлаганият от мен отговор на първия въпрос, букви а) и в) е, че не е налице действително съгласие по смисъла на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46 в случай като този в главното производство, при който съхраняването на информация или осъществяването на достъп до информация, вече съхранявана в крайното оборудване на потребителя, се позволява чрез предварително маркирано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си, и при който съгласието не се предоставя отделно, а едновременно с потвърждаване на участието в онлайн лотария. Същото се отнася и за тълкуването на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 4, точка 11 от Регламент 2016/679.

2)      Първото поле за отбелязване

94.      Въпреки че въпросите на запитващата юрисдикция се отнасят само до второто поле за отбелязване, бих искал да направя две специфични забележки по отношение на първото поле за отбелязване, които могат да помогнат на запитващата юрисдикция при вземането на окончателно решение.

95.      Припомням, че първото поле за отбелязване не е свързано с бисквитки, а само с обработването на лични данни. В този случай потребителят се съгласява на неговото оборудване да не се съхранява информация, а (само) с потребителя да се свързват посочени в списък дружества по пощата, по телефона или по електронната поща.

96.      На първо място, критериите за активно и отделно съгласие и за пълно информиране очевидно се прилагат и по отношение на първото поле за отбелязване. Активното съгласие не представлява проблем, тъй като в полето не е поставена предварително отметка. За сметка на това изпитвам известни съмнения относно предоставянето на отделно съгласие. Въз основа на направения по-горе анализ(49), с оглед на фактите в настоящия случай, би било по-добре, ако — образно казано — имаше отделен бутон, който да се натисне(50), а не само поле, в което да се постави отметка, за да се предостави съгласие за обработване на лични данни.

97.      На второ място, що се отнася до първото поле за отбелязване, свързано с осъществяване на контакт от страна на спонсори и бизнес партньори, следва да се отчете член 7, параграф 4 от Регламент 2016/679. В съответствие с тази разпоредба, когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор. Следователно понастоящем член 7, параграф 4 от Регламент 2016/679 кодифицира „забрана за групиране“(51).

98.      От израза „се отчита най-вече“ е видно, че забраната за групиране не е абсолютна(52).

99.      В този случай компетентният съд ще трябва да прецени дали съгласието за обработването на лични данни е необходимо за участие в лотарията. В това отношение следва да се има предвид, че основната цел на участието в лотарията е „продажбата“ на лични данни (т.е. предоставянето на съгласие от потребителя с него да се свързват т.нар. „спонсори“ за промоционални оферти). С други думи, предоставянето на лични данни представлява основното задължение на потребителя, за да участва в лотарията. При това положение ми се струва, че обработването на тези лични данни е необходимо за участието в нея(53).

3.      Относно личните данни (първи въпрос, буква б)

100. На следващо място ще разгледам дали при прилагането на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46 има значение, че информацията, която се съхранява или до която се получава достъп, представлява лични данни.

101. Този въпрос се разбира най-лесно, ако се разгледа в контекста на германското право, с което се транспонира член 5, параграф 3 от Директива 2002/58(54). В действителност в германското право се установява разлика между събирането и използването на лични и други данни.

102. Съгласно член 12, параграф 1 от TMG доставчикът на услуги може да събира и използва лични данни само ако, по-специално, потребителят е дал своето съгласие за това.

103. За разлика от това съгласно член 15, параграф 3 от TMG доставчикът на услуги може да създава потребителски профили чрез псевдоними, по-специално с цел реклама и проучване на пазара, при условие че потребителят не възразява срещу това. Следователно, доколкото не става дума за лични данни, изискването съгласно германското право не е толкова строго: не е необходимо съгласие, а само липса на възражение.

104. Понятието „лични данни“ е правно определено в член 4, точка 1 от Регламент 2016/679 като „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

105. Според мен няма съмнение, че що се отнася до разглежданото дело, посочената в член 5, параграф 3 от Директива 2002/58 „информация“ представлява „лични данни“. На такова мнение изглежда е и запитващата юрисдикция, която изрично посочва в акта за преюдициално запитване, че за осъществяване на достъп до данни от бисквитките, използвани от ответника, се прилага изискването за съгласие по член 12, параграф 1 от TMG, тъй като въпросните данни в случая представляват лични данни(55). Освен това изглежда, че страните по главното производство са единодушни, че в случая става дума за лични данни.

106. Следователно не е ясно доколко този въпрос е релевантен по разглежданото дело и дали той не е хипотетичен(56).

107. Във всеки случай считам, че отговорът на този въпрос е съвсем праволинеен: няма значение дали информацията, която се съхранява или до която се осъществява достъп, представлява лични данни. Член 5, параграф 3 от Директива 2002/58 се отнася за „съхраняването на информация или получаването на достъп до информация, вече съхранявана […]“(57). Очевидно е, че всяка такава информация има аспект, свързан с неприкосновеността на личния живот, независимо дали представлява „лични данни“ по смисъла на член 4, параграф 1 от Регламент 2016/679 или не. Както Комисията правилно подчертава, член 5, параграф 3 от Директива 2002/58 цели да защити потребителя от намеса в личната му сфера, независимо дали тази намеса засяга лични или други данни.

108. Освен това такова разбиране на член 5, параграф 3 от Директива 2002/58 се подкрепя и от съображения 24(58) и 25(59) от тази директива, както и от становищата на Работната група по член 29. В действителност според тази работна група „член 5, параграф 3 се прилага за информация (съхранена и/или достъпна). В него не се дава квалификация за тази информация. Прилагането на тази разпоредба не поставя като необходимо условие тази информация да се класифицира като лични данни по смисъла на Директива 95/46/ЕО(60)“.

109. Вследствие на това се налага изводът, че член 15, параграф 3 от TMG не транспонира изцяло изискванията на член 5, параграф 3 от Директива 2002/58 в германското право(61).

110. Поради това предлагам на първия въпрос, буква б) да се отговори, че с оглед на прилагането на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46 няма значение дали информацията, която се съхранява или до която се получава достъп, представлява лични данни.

3.      По втория въпрос

111. С втория си въпрос запитващата юрисдикция иска да установи каква информация следва да предоставя доставчикът на услуги с оглед на изискването по член 5, параграф 3 от Директива 2002/58 за предоставяне на ясна и изчерпателна информация на потребителя и дали тя включва периода, в който функционират бисквитките, и въпроса дали трети лица получават достъп до тези бисквитки.

1.      Относно ясната и изчерпателна информация

112. В членове 10 и 11 от Директива 95/46 (и членове 13 и 14 от Регламент 2016/679) се предвижда задължение за информиране на субектите на данни. Задължението за информиране е свързано със съгласието, тъй като винаги трябва да бъде предоставена информация, преди да може да бъде получено съгласие.

113. Като се има предвид концептуалното сходство между потребител (и доставчик) на интернет и потребител (и търговец)(62), на този етап може да се прибегне до понятието за средния европейски потребител, който е относително осведомен и в разумни граници е наблюдателен и съобразителен(63) и който е в състояние да вземе напълно съзнателно решение дали да се обвърже с договора(64).

114. Въпреки това, поради техническата сложност на бисквитките, асиметричната информация между доставчика и потребителя, и в по-общ смисъл относителната липса на знания на всеки среден интернет потребител, от този потребител не може да се очаква да има висока степен на знания относно функционирането на бисквитките.

115. Следователно ясната и изчерпателна информация предполага, че потребителят е в състояние лесно да определи последиците от евентуалното съгласие, което може да предостави. За тази цел той трябва да бъде в състояние да прецени последиците от действията си. Предоставената информация трябва да бъде ясна за разбиране и не трябва да допуска двусмислие или тълкуване. Тя трябва да бъде достатъчно подробна, за да може потребителят да разбере функционирането на действително използваните бисквитки.

116. Както правилно предполага запитващата юрисдикция, това включва периода, в който функционират бисквитките, и въпроса дали трети лица получават достъп до тези бисквитки.

2.      Информация за периода, в който функционират бисквитките

117. По силата на съображения 23 и 26 от Директива 2002/58 периодът, в който функционират бисквитките, е елемент от изискването за информирано съгласие, което означава, че доставчиците на услуги трябва „винаги да държат абонатите информирани за типа данни, които те обработват[,] и за целите и продължителността, за която това се прави“. Въпросът за степента на вмешателство на бисквитката трябва да се проучи в контекста на съответните обстоятелства за целите на предоставянето на съгласие дори ако бисквитката е от съществено значение. В допълнение към въпроса какви данни съдържа всяка бисквитка и дали е свързана с друга съхранявана информация относно потребителя, доставчиците на услуги трябва да отчетат жизнения цикъл на бисквитката и дали този жизнен цикъл е подходящ в светлината на нейната цел.

118. Периодът на функциониране на бисквитките се отнася до свързаните с изричното информирано съгласие изисквания по отношение на качеството и достъпността на информацията за потребителите. Тази информация е крайно важна с цел да се предостави възможност на лицата да вземат информирани решения(65). Както посочват португалското и италианското правителство, тъй като събираните чрез бисквитките данни трябва да бъдат заличени, когато вече не са необходими за постигане на първоначалната цел, следва, че периодът за съхранение на събраните данни трябва да бъде ясно съобщен на потребителя.

3.      Информация относно достъпа на трети страни

119. По този въпрос Planet49 твърди, че ако трети страни получават достъп до бисквитка, потребителите също трябва да бъдат информирани за това. Ако обаче, както е в разглеждания случай, до бисквитката има достъп само доставчикът, който желае да я инсталира, е достатъчно да се обърне внимание на този факт. Не е необходимо отделно да се изтъква фактът, че други трети лица нямат достъп. Такова задължение би било несъвместимо с намерението на законодателя, съгласно което текстовете за защита на данните следва да продължат да бъдат сбити и удобни за ползване от потребителя.

120. Не мога да се съглася с такова тълкуване. За да бъде информацията ясна и изчерпателна, потребителят по-скоро следва да бъде изрично информиран дали трети лица имат достъп до инсталираните бисквитки или не. В случай че трети лица действително имат достъп, тяхната самоличност трябва да бъде разкрита. Както правилно подчертава Bundesverband, това е задължително условие, за да се гарантира, че се предоставя информирано съгласие.

4.      Резултат

121. Поради това предлагам на втория въпрос да се отговори, че ясната и изчерпателна информация, която доставчикът на услуги трябва да предостави на потребителя съгласно член 5, параграф 3 от Директива 2002/58, включва периода, в който функционират бисквитките, и въпроса дали трети лица получават достъп до тези бисквитки или не.

V.      Заключение

122. Ето защо предлагам на Съда да отговори на преюдициалните въпроси на Bundesgerichtshof (Федерален върховен съд, Германия), както следва:

„(1)      Не е налице действително съгласие по смисъла на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) във връзка с член 2, буква з) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни в случай като този в главното производство, при който съхраняването на информация или осъществяването на достъп до информация, вече съхранявана в крайното оборудване на потребителя, се позволява чрез предварително отбелязано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си, и при който съгласието не се предоставя отделно, а едновременно с потвърждаване на участието в онлайн лотария.

(2)      Същото се отнася и за тълкуването на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 4, точка 11 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46 (Общ регламент относно защитата на данните).

(3)      С оглед на прилагането на член 5, параграф 3 и на член 2, буква е) от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46 няма значение дали информацията, която се съхранява или до която се получава достъп, представлява лични данни.

(4)      Ясната и изчерпателна информация, която доставчикът на услуги трябва да предостави на потребителя съгласно член 5, параграф 3 от Директива 2002/58, включва периода, в който функционират бисквитките, и въпроса дали трети лица получават достъп до тези бисквитки или не“.


1      Език на оригиналния текст: английски.


2      Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).


3      Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46 (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1).


4      Често наричана „Директива за електронна неприкосновеност“.


5      Директива на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (OВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г. (ОВ L 337, 2009 г., стр. 11).


6      ОВ L 108, 2002 г., стр. 33; Специално издание на български език, 2007 г., глава 13, том 35, стр. 195.


7      Често наричана „Директива за бисквитките“.


8      Директива на Европейския парламент и на Съвета от 25 ноември 2009 година за изменение на Директива 2002/22/ЕО относно универсалната услуга и правата на потребителите във връзка с електронните съобщителни мрежи и услуги, Директива [2002/58] и Регламент (ЕО) № 2006/2004 за сътрудничество между националните органи, отговорни за прилагане на законодателството за защита на потребителите (ОВ L 337, 2009 г., стр. 11). Следователно нормативното съдържание на Директива 2009/136 понастоящем е включено в последните директиви, както и в посочения регламент със съответните изменения (а що се отнася до настоящото дело — в член 5, параграф 3 от Директива 2002/58), поради което в настоящия случай се цитира само едно съображение от Директива 2009/136.


9      Наясно съм, че строго погледнато, следва да се говори за „параграфи“ (§), а не за членове. В действителност последните рядко се използват в Германия и то само в много основни текстове, например конституцията. За улеснение обаче в целия текст ще използвам понятието „членове“.


10      Следва да се отбележи, че това е предходната редакция на BDSG, от 20 декември 1990 г., със съответните изменения, а не действащата му редакция от 30 юни 2017 г.


11      От следния адрес може да се добие представа как е изглеждал уебсайтът в действителност: https://web.archive.org/web/20130902100750/http:/www.dein-macbook.de:80/.


12      Както и други клаузи, които са без значение за разглеждания случай.


13      „Berufung“.


14      „Revision“.


15      Вж. също заключението на генералния адвокат Y. Bot по дело Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, т. 5).


16      Вж. Lynskey, O. Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens — European Law Review, Sweet & Maxwell, 2011, 874—886, 875—876.


17      Вж. Lynskey, O. ibid., p. 878.


18      Вж. в общ смисъл Clifford, D. EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster – Tracking the crumbs of online user behaviour — Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, 195—196.


19      Вж. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


20      Вж. Clifford, D. ibid., 195—196.


21      Вж. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


22      Вж. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


23      Вж. например Становище 04/2012 относно освобождаването от изискването за съгласие за някои „бисквитки“, прието от Работната група по член 29 на 7 юни 2012 г. (00879/12/BG, WP 194, стр. 12).


24      За да се допълни тази картина, може да се добави, че Директива 2002/58 е претърпяла изменение и с Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО (ОВ L 105, 2006 г., стр. 54; Специално издание на български език, 2007 г., глава 13, том 53, стр. 51). При все това, първо, както става ясно от член 11 от Директива 2006/24, това изменение е незначително и се отнася само до един член от Директива 2002/58, и второ, по-важното е, че Директива 2006/24 междувременно е обявена за невалидна, вж. решение от 8 април 2014 г., Digital Rights Ireland и др. (C‑293/12 и C‑594/12, EU:C:2014:238, т. 71).


25      В съответствие с член 99, параграф 2 от Регламент 2016/679.


26      Вж. член 94, параграф 1 от Регламент 2016/679.


27      На немски език: „Unterlassungsanspruch“.


28      Вж. Bundesgerichtshof, 23 февруари 2016 г., XI ZR 101/15, т. II.1., Neue Juristische Wochenschrift (NJW), 2016, p. 1881: доколкото предявеният иск за преустановяване на нарушение е насочен към бъдещето, исканията за налагане на забрана за съответните действия, правното основание за които се е променило в хода на производството, следва да се разглеждат от въззивния съд с оглед на настоящото правно положение, въпреки че изменението в уредбата е влязло в сила едва след приключване на устната фаза пред втората инстанция или в хода на въззивното производство. Вж. също Bundesgerichtshof, 13 юли 2004 г., KZR 10/03, т. I., Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, p. 62.


29      Що се отнася до приложимостта на Директива 95/46 и на Регламент 2016/679 в контекста на „Feststellungsklage“ по германското процесуално право, вж. решение от 16 януари 2019 г., Deutsche Post (C‑496/17, EU:C:2019:26, т. 39) и заключението на генералния адвокат M. Campos Sánchez-Bordona по дело Deutsche Post (C‑496/17, EU:C:2018:838, т. 32): „[з]апитващата юрисдикция следва да тълкува националното си процесуално право, по което Съдът не се произнася. Поради това, ако тя счита, че съгласно националното законодателство спорът следва да се реши ratione temporis в съответствие с [Регламент 2016/679], а не с Директива 95/46, Съдът следва да ѝ предостави тълкуване на Регламента, а не на Директивата“.


30      Вж. член 94, параграф 2 от Регламент 2016/679.


31      Вж. в общ смисъл съображение 2.


32      Изискването за предоставяне на съгласие не възпрепятства съхраняването или достъпа съгласно член 5, параграф 3, второ изречение от Директива 2002/58, ако единствената цел е осъществяване на предаването на съобщение по електронна съобщителна мрежа или ако съхраняването или достъпът е строго необходим, за да се предостави услуга на информационното общество, изрично поискана от потребителя. В настоящия случай съхраняването на информация или получаването на достъп до информация не е технически необходимо по смисъла на член 5, параграф 3, второ изречение от Директива 2002/58, а служи за рекламни цели; поради това изключението от изискването за предоставяне на съгласие не се прилага.


33      Вж. също Bond, R. The EU E-Privacy Directive and Consent to Cookies — The Business Lawyer, Vol. 68, No. 1, American Bar Association, November 2012, p. 215.


34      Вместо двойката понятия „положително“ и „отрицателно“ могат да се използват и понятията „изрично“ и „конклудентно“.


35      Строго погледнато, изискването за отделно съгласие вече съдържа в себе си изискването за активно съгласие. Това е така, защото единственият вариант, при който съгласието не може да се предостави „скришом“ посредством настройки с предварително поставени отметки, е критерият за предоставяне на съгласие да се прилага самостоятелно.


36      Това не означава, че участието в лотария не може да се обвърже с условие за съгласие. Това съгласие обаче трябва да бъде отделно и ползвателят трябва да бъде надлежно информиран. По-долу ще се върна към този въпрос.


37      И тъй като вече се позовах на съображения от Директиви 2002/58 и 2009/136.


38      Решения от 19 ноември 1998 г., Nilsson и др. (C‑162/97, EU:C:1998:554, т. 54), от 24 ноември 2005 г., Deutsches Milch-Kontor (C‑136/04, EU:C:2005:716, т. 32) и заключението на генералния адвокат Ruiz-Jarabo Colomer по дело TeliaSonera Finland (C‑192/08, EU:C:2009:309, т. 87—89).


39      Вж. също заключението ми по съединени дела X и Visser (C‑360/15 и C‑31/16, EU:C:2017:397, т. 132).


40      Вж. съображение 17, второ изречение от Директива 2002/58.


41      Това е съвещателен орган, създаден в съответствие с член 29 от Директива 95/46. С влизането в сила на Регламент 2016/679 Работната група по член 29 е заменена от Европейския комитет по защита на данните (вж. член 68 и член 94, параграф 2 от Регламент 2016/679).


42      Вж. Становище 2/2010 относно поведенческите реклами онлайн, прието от Работната група по член 29 на 22 юни 2010 г. (00909/10/BG, WP 171, стр. 21, точка 4.1.3).


43      Становище 15/2011 относно понятието „съгласие“, прието от Работната група по член 29 на 13 юли 2011 г. (01197/11/BG, WP 187, стр. 14).


44      Становище 15/2011 относно понятието „съгласие“, прието от Работната група по член 29 на 13 юли 2011 г. (01197/11/BG, WP 187, стр. 14).


45      Становище 15/2011 относно понятието „съгласие“, прието от работната група по член 29 на 13 юли 2011 г. (01197/11/BG, WP 187, стр. 14).


46      Това положение, което се установява още от акта за преюдициално запитване, бе потвърдено изрично от Bundesverband в заседанието, в отговор на отправен от Съда въпрос.


47      Тоест Bundesverband, германското, италианското и португалското правителство, както и Комисията.


48      Вж. член 7, параграф 4 от Регламент 2016/679.


49      Вж. по-специално точка 66 от настоящото заключение.


50      Бутон, който е аналогичен на бутона за участие.


51      Съгласно терминологията на немски език: „Kopplungsverbot“, вж., наред с много други, Ingold, A. — In: G. Sydow (ed.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden-Baden, 2017, Artikel 7, т. 30.


52      Вж. Heckmann, D., Paschke, A. — In: E. Ehmann, M. Selmayr (ed.), DS-GVO (Datenschutz-Grundverordnung), Kommentar, C.H. Beck, Munich, 2017, Artikel 7, т. 53.


53      Вж. в този смисъл също Buchner, J., Kühling, B. — In: J. Buchner, B. Kühling (eds), Datenschutz-Grundverordnung/BDSG, Kommentar, 2nd ed. 2018, C.H. Beck, Munich, Artikel 7 DS-GVO, т. 48.


54      Изменена с Директива 2009/136.


55      Вж. точка 24 от акта за преюдициално запитване.


56      Действително, в съдебното заседание представителят на Bundesverband посочва, че би било изключително полезно Съдът да даде пояснение по отношение на първия въпрос, буква б) с оглед на спора в германската правна доктрина дали член 15, параграф 3 от TMG е в съответствие с правото на Съюза или не.


57      Курсивът е мой.


58      Вж. правната уредба по-горе.


59      Пак там.


60      Вж. Становище 2/2010 относно поведенческите реклами онлайн, прието от работната група по член 29 на 22 юни 2010 г. (00909/10/BG, WP 171, стр. 10, точка 3.2.1). По подобен начин в Становище 2/2013 относно софтуерните приложения за интелигентни устройства, прието от Работната група по член 29 на 27 февруари 2013 г. (00461/13/BG, WP 202, стр. 10, точка 3.1), се посочва, че „изискването за съгласие, съдържащо се в член 5, параграф 3, се прилага към всяка информация, без оглед на характера на данните, които се записват или извличат. Обхватът не е ограничен само до личните данни; информацията може да е всякакъв вид данни, които са записани на устройството“.


61      И по-точно, изискванията на Директива 2009/136, с която по-специално се изменя Директива 2002/58.


62      По отношение на терминологията в областта на защитата на потребителите вж. член 2 от Директива 2011/83/ЕС на Европейския парламент и на Съвета от 25 октомври 2011 година относно правата на потребителите, за изменение на Директива 93/13/ЕИО на Съвета и Директива 1999/44/ЕО на Европейския парламент и на Съвета и за отмяна на Директива 85/577/ЕИО на Съвета и Директива 97/7/ЕО на Европейския парламент и на Съвета (ОВ L 304, 2011 г., стр. 64).


63      Това е класическата терминология, използвана от Съда, за да се опише средният европейски потребител. Вж. например решения от 7 август 2018 г., Verbraucherzentrale Berlin (C‑485/17, EU:C:2018:642, т. 44), от 7 юни 2018 г., Scotch Whisky Association (C‑44/17, EU:C:2018:415, т. 47) и от 16 юли 1998 г., Gut Springenheide и Tusky (C‑210/96, EU:C:1998:369, т. 31).


64      Вж. заключението на генералния адвокат Saugmandsgaard Øe по дело slewo (C‑681/17, EU:C:2018:1041, т. 55).


65      Становище 15/2011 относно понятието „съгласие“, прието от Работната група по член 29 на 13 юли 2011 г. (01197/11/BG, WP187, стр. 44).