STANOVISKO GENERÁLNÍHO ADVOKÁTA
YVESE BOTA
přednesené dne 24. října 2017(1)
Věc C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
proti
Wirtschaftsakademie Schleswig-Holstein GmbH,
za přítomnosti
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
[žádost o rozhodnutí o předběžné otázce podaná Bundesverwaltungsgericht (Spolkový správní soud, Německo)]
„Řízení o předběžné otázce – Směrnice 95/46/ES – Články 2, 4 a 28 – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů a volným pohybem těchto údajů – Příkaz deaktivovat fanouškovskou stránku na sociální síti Facebook – Pojem ‚správce‘ – Odpovědnost provozovatele fanouškovské stránky – Společná odpovědnost – Použitelné vnitrostátní právo – Rozsah pravomocí orgánů dozoru zasáhnout“
1. Projednávaná žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 2 písm. d), čl. 4 odst. 1, čl. 17 odst. 2 a čl. 28 odst. 3 a 6 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů(2), ve znění nařízení Evropského parlamentu a Rady (ES) č. 1882/2003 ze dne 29. září 2003(3).
2. Tato žádost byla podána v rámci sporu mezi společností Wirtschaftsakademie Schleswig-Holstein GmbH, soukromoprávní společností specializovanou v oblasti vzdělávání (dále jen „Wirtschaftsakademie“) a Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, zemským úřadem pro ochranu údajů Šlesvicko-Holštýnska (dále jen „ULD“) ohledně legality příkazu vydaného tímto úřadem vůči Wirtschaftsakademie, kterým jí bylo uloženo deaktivovat „fanouškovskou stránku“ (Fanpage) umístěnou na stránce společnosti Facebook Ireland Ltd.
3. Tento příkaz je odůvodněn údajným porušením ustanovení německého práva, která provádějí směrnici 95/46, zejména z důvodu skutečnosti, že návštěvníci fanouškovské stránky nejsou upozorněni na to, že jejich osobní údaje budou shromažďovány sociální sítí Facebook (dále jen „Facebook“) díky cookies, které jsou uloženy na jejich pevném disku, přičemž k tomuto shromažďování dochází za účelem zpracování statistik o návštěvnosti, které jsou určeny provozovateli této stránky, a za účelem možnosti šíření cílených reklam Facebookem.
4. Jádro projednávané věci tkví ve fenoménu „webtrackingu“, který spočívá v pozorování a analyzování chování uživatelů internetu pro obchodní účely a pro účely marketingu. Tento webtracking zejména umožňuje určit centra zájmů uživatelů internetu na základě pozorování jejich vyhledávání. Jedná se tedy o webtracking zaměřený na chování. Dochází k němu obecně díky používání cookies.
5. Tyto cookies jsou záznamové soubory, které se ukládají v počítači uživatele internetu, jakmile navštíví internetovou stránku.
6. Webtracking je používán zejména za účelem optimalizovat a účinněji nakonfigurovat internetovou stránku. Umožňuje rovněž inzerentům cíleně se orientovat na jednotlivé segmenty veřejnosti.
7. Podle definice stanovené „pracovní skupinou zřízenou podle článku 29“(4) v jejím stanovisku 2/2010 ze dne 22. června 2010 věnovaném internetové reklamě zaměřené na chování(5) je „[r]eklama zaměřená na chování formou reklamy, která vychází z pozorování chování jednotlivců v čase. Jejím cílem je studium rysů tohoto chování prostřednictvím jejich projevů (postupné návštěvy stránek, interakce, klíčová slova, produkce internetového obsahu atd.) za účelem stanovení zvláštního profilu a navržení reklam přizpůsobených takto zjištěným centrům zájmů subjektů údajů“(6). Proto, aby bylo dosaženo tohoto výsledku, musí být informace pocházející od prohlížeče a koncového zařízení uživatele na internetu shromážděny a poté využity. Hlavní technika sledování, která umožňuje sledovat uživatele na internetu, spočívá v „cookies pro sledování“(7). Tak „reklama zaměřená na chování používá shromážděné informace o chování z hlediska prohlížení uživatele internetu, jako jsou navštívené stránky nebo provedená vyhledávání“ proto, aby byly zvoleny reklamy, které mu budou ukázány“(8).
8. Sledování chování z hlediska prohlížení umožňuje rovněž poskytnout provozovatelům internetových stránek statistiky o návštěvnosti týkající se osob, které tyto stránky navštíví.
9. Shromažďování a využívání osobních údajů za účelem zpracování statistik o návštěvnosti a šíření cílených reklam musí splňovat určité podmínky pro to, aby bylo v souladu s pravidly o ochraně osobních údajů vyplývajících ze směrnice 95/46. K tomuto zpracování nesmí zejména dojít bez předchozího informování a souhlasu subjektů údajů.
10. Přezkum tohoto souladu nicméně předpokládá vyřešit předem několik otázek týkajících se definice toho, kdo je správcem, určení použitelného vnitrostátního práva a určení orgánu příslušného k výkonu pravomocí zasáhnout.
11. Otázka týkající se určení správce se stává obzvláště choulostivou v situaci, kdy se hospodářský subjekt rozhodne nenainstalovat na svou internetovou stránku nástroje nezbytné pro zpracování statistik o návštěvnosti a šíření cílených reklam, ale rozhodne se využít takovou sociální síť, jako je Facebook, tím, že si založí fanouškovskou stránku proto, aby mohl využít podobné nástroje.
12. Otázky týkající se určení použitelného vnitrostátního práva a určení orgánu příslušného pro výkon pravomocí zasáhnout se stávají rovněž složitými, pokud dotčené zpracování osobních údajů provádí několik subjektů usazených mimo Evropskou unii i v rámci ní.
13. V době, kdy orgány dozoru několika členských států rozhodly během těchto posledních měsíců o uložení pokut společnosti Facebook z důvodu porušení pravidel týkajících se ochrany údajů jejích uživatelů(9), umožní přezkoumávaná věc Soudnímu dvoru, aby upřesnil rozsah pravomocí zasáhnout, které má takový orgán dozoru, jako je ULD, v souvislosti se zpracováním osobních údajů, kterého se účastní několik subjektů.
14. Pro správné pochopení právních otázek v projednávané věci je třeba úvodem popsat skutkový rámec sporu v původním řízení.
I. Skutkové okolnosti sporu v původním řízení a předběžné otázky
15. Wirtschaftsakademie poskytuje služby vzdělávání prostřednictvím fanouškovské stránky umístěné na stránce sociální sítě Facebook.
16. Fanouškovské stránky jsou uživatelské účty, které lze nakonfigurovat na Facebooku zejména jednotlivci nebo podniky. Za tímto účelem se provozovatel fanouškovské stránky musí zaregistrovat na Facebooku a může poté Facebookem provozovanou platformu používat k tomu, aby se prezentoval uživatelům této sociální sítě a vkládal projevy všeho druhu s cílem zejména rozvoje obchodní činnosti.
17. Provozovatelé fanouškovských stránek mohou získat statistiky návštěvnosti pomocí nástroje „Facebook Insights“, který je jim bezplatně poskytnut Facebookem v rámci neměnitelných podmínek užívání. Tyto statistiky jsou zpracovávány Facebookem a personalizovány provozovatelem fanouškovské stránky za pomoci různých kritérií, které si může zvolit, jako je věk nebo pohlaví. Uvedené statistiky tak poskytují anonymní informace o rysech a zvyklostech osob, které fanouškovské stránky navštívily, čímž tak umožňují provozovatelům těchto stránek lépe zacílit jejich sdělení.
18. Za účelem zpracování takových statistik o návštěvnosti se ukládá Facebookem na pevném disku osoby, která navštívila fanouškovskou stránku, alespoň jeden cookie, který obsahuje jediné číslo ID, které je účinné po dobu dvou let. Číslo ID, které lze uvést do souvislosti s údaji o připojení uživatelů zaregistrovaných na Facebooku, je shromážděno a zpracováno v okamžiku otevření stránek Facebooku.
19. Rozhodnutím ze dne 3. listopadu 2011 nařídil ULD Wirtschaftsakademie podle § 38 odst. 5 první věty Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů, dále jen „BDSG“)(10), aby deaktivovala fanouškovskou stránku, kterou si založila na Facebooku na adrese www.facebook.com/wirtschaftsakademie, pod sankcí penále v případě nesplnění ve stanoveného lhůtě, z toho důvodu, že ani Wirtschaftsakademie ani Facebook neinformovaly návštěvníky fanouškovské stránky o tom, že Facebook shromažďuje jejich osobní údaje pomocí cookies a že tyto údaje následně zpracovává. Wirtschaftsakademie podala proti tomuto rozhodnutí stížnost, ve které v podstatě tvrdila, že s ohledem na použitelné právo o ochraně údajů nebyla zodpovědná ani za zpracování údajů prováděné Facebookem, ani za Facebookem nainstalované cookies.
20. Rozhodnutím ze dne 16. prosince 2011 ULD tuto stížnost zamítl, neboť měl za to, že na základě § 3 odst. 3 bodu 4 a § 12 odst. 1 Telemediengesetz (zákon o elektronických sdělovacích prostředcích)(11) byla založena odpovědnost Wirtschaftsakademie jako poskytovatele služeb. Založením fanouškovské stránky Wirtschaftsakademie rovněž aktivně a záměrně přispěla ke shromažďování osobních údajů Facebookem, z čehož má prospěch prostřednictvím statistik týkajících se uživatelů poskytnutých k dispozici touto sociální sítí.
21. Wirtschaftsakademie tedy podala proti tomuto rozhodnutí žalobu u Verwaltungsgericht (správní soud, Německo), v níž tvrdila, že zpracování údajů Facebookem jí nelze přičítat a že ani nepověřila Facebook ve smyslu § 11 BDSG(12) provedením zpracování údajů, které by kontrolovala nebo které by mohla ovlivnit. Wirtschaftsakademie se tak domnívá, že jí ULD sankcionuje neprávem a že se měl obrátit přímo na Facebook.
22. Rozsudkem ze dne 9. října 2013 Verwaltungsgericht (správní soud) zrušil napadené rozhodnutí, neboť měl v podstatě za to, že provozovatel fanouškovské stránky na Facebooku není „správcem“ ve smyslu § 3 odst. 7 BDSG(13), a že Wirtschaftsakademie tedy nemohlo být uloženo opatření přijaté na základě § 38 odst. 5 BDSG.
23. Oberverwaltungsgericht (vrchní správní soud, Německo) následně zamítl odvolání ULD proti tomuto rozsudku jako neopodstatněné, když měl v podstatě za to, že zákaz zpracování údajů stanovený v napadeném rozhodnutí je protiprávní, jelikož § 38 odst. 5 druhá věta BDSG stanoví postupný proces, jehož první fáze umožňuje pouze přijmout opatření, která mají za cíl napravit protiprávní jednání zjištěná při zpracování údajů. Okamžitý zákaz zpracování údajů je možný pouze tehdy, pokud je postup zpracování údajů protiprávní jako celek a pouze přerušení tohoto postupu to umožňuje napravit. Podle Oberverwaltungsgericht (vrchní správní soud) tomu tak však v projednávané věci není, jelikož Facebook měl možnost ukončit protiprávní jednání tvrzená ULD.
24. Příkaz je podle uvedeného odvolacího soudu rovněž protiprávní z důvodu, že žalobkyně není správcem ve smyslu § 3 odst. 7 BDSG, pokud jde o údaje shromažďované Facebookem při provozování fanouškovské stránky, a že příkaz na základě § 38 odst. 5 BDSG by mohl být uložen pouze proti takovému subjektu. V projednávané věci o účelu a prostředcích týkajících se shromažďování a zpracování osobních údajů používaných pro funkci „Facebook Insight“ rozhoduje pouze Facebook. Žalobkyně obdrží pouze anonymizované statistické informace.
25. Ustanovení § 38 odst. 5 BDSG nedovoluje vydávat příkazy vůči třetím osobám. Tzv. „nepřímá“ odpovědnost („Störerhaftung“) na internetu vyvinutá judikaturou občanských soudů není použitelná na výsady veřejné moci. I když § 38 odst. 5 BDSG neuvádí výslovně adresáta zákazu, ze struktury, předmětu a ducha této právní úpravy, jakož i z její historie vyplývá, že adresátem může být pouze správce.
26. Svým opravným prostředkem Revision podaným u Bundesverwaltungsgericht (Spolkový správní soud, Německo) se ULD poukazuje mimo jiné na porušení § 38 odst. 5 BDSG a uvádí několik procesních pochybení, kterých se údajně dopustil odvolací soud. Domnívá se, že protiprávní jednání, kterého se dopustila Wirtschaftsakademie, spočívá ve skutečnosti, že založením, umístěním a údržbou internetové stránky pověřila nevhodného poskytovatele – v projednávané věci Facebook Ireland – neboť nedodržuje právo použitelné na ochranu údajů. Cílem příkazu k deaktivaci tak bylo napravit toto protiprávní jednání, kterého se dopustila Wirtschaftsakademie, tím, že jí v něm bylo zakázáno pokračovat v používání infrastruktury Facebooku jako technického základu její internetové stránky.
27. Předkládající soud má za to, že, pokud jde o shromažďování a zpracování údajů osob, které navštíví fanouškovskou stránku, vedlejší účastnicí v původním řízení, a sice Facebook Ireland, Wirtschaftsakademie není „subjektem, který shromažďuje, zpracovává nebo používá osobní údaje na svůj účet nebo prostřednictvím zpracovatele“ ve smyslu § 3 odst. 7 BDSG, nebo „subjektem, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů“ ve smyslu čl. 2 písm. d) směrnice 95/46. Wirtschaftsakademie sice svým rozhodnutím založit fanouškovskou stránku na platformě provozované vedlejší účastnicí v původním řízení nebo její mateřskou společností (v projednávané věci Facebook Inc., USA) poskytuje objektivně vedlejší účastnici v původním řízení možnost nainstalovat cookies při otevření této fanouškovské stránky, a tímto shromažďovat údaje. Toto rozhodnutí však Wirtschaftsakademie neumožňuje ovlivnit, vést, utvářet nebo též kontrolovat povahu a rozsah zpracování údajů uživatelů její fanouškovské stránky vedlejší účastnicí v původním řízení. Podmínky užívání fanouškovské stránky Wirtschaftsakademie ani nepřiznávají práva zasáhnout nebo kontroly. Podmínky užívání jednostranně stanovené vedlejší účastnicí v původním řízení nejsou výsledkem procesu vyjednávání a nepřiznávají Wirtschaftsakademie ani právo zakázat vedlejší účastnici v původním řízení shromažďování a zpracování údajů uživatelů fanouškovské stránky.
28. Předkládající soud připouští, že právní definice „správce“ stanovená v čl. 2 písm. d) směrnice 95/46 musí být v zásadě vykládána extenzívně v zájmu účinné ochrany práva na soukromí. Nicméně Wirtschaftsakademie neodpovídá této definici, jelikož nemá žádný vliv z právního ani faktického hlediska na způsoby zpracování osobních údajů, které provádí vedlejší účastnice v původním řízení na svou vlastní odpovědnost a zcela nezávisle. V tomto ohledu je nedostatečná okolnost, že Wirtschaftsakademie může mít objektivně prospěch z funkce „Facebook Insights“ provozované vedlejší účastnicí v původním řízení proto, že jsou jí předány anonymizované údaje za účelem užívání její fanouškovské stránky.
29. Podle předkládajícího soudu nelze Wirtschaftsakademie považovat ani za správce údajů prostřednictvím zpracovatele ve smyslu § 11 BDSG a čl. 2 písm. e) a čl. 17 odst. 2 a 3 směrnice 95/46.
30. Tento soud se domnívá, že je třeba vyjasnit, zda a za jakých podmínek lze vykonávat pravomoci dozoru a zasáhnout ze strany orgánů dozoru v oblasti ochrany údajů výlučně vůči „správci“ ve smyslu čl. 2 písm. d) směrnice 95/46, nebo zda je možné založit odpovědnost subjektu, který není správcem údajů podle definice vyplývající z téhož ustanovení na základě rozhodnutí tohoto subjektu využít pro svou informační nabídku Facebook.
31. V tomto posledně uvedeném případě si předkládající soud klade otázku, zda lze takovou odpovědnost založit na základě použití per analogiam povinností volby a dozoru vyplývajících z čl. 17 odst. 2 směrnice 95/46 v rámci zpracování údajů prostřednictvím zpracovatele.
32. Proto, aby byl předkládající soud schopen rozhodnout o legalitě příkazu vydaného v projednávané věci, domnívá se, že je rovněž nutné vyjasnit některé otázky týkající se pravomoci orgánů dozoru a rozsahu jejich pravomocí zasáhnout.
33. Předkládající soud se zejména táže na rozdělení pravomocí mezi orgány dozoru v případě, kdy má taková mateřská společnost, jako je Facebook Inc., několik provozoven na unijním území a úkoly svěřené těmto provozovnám v rámci skupiny jsou odlišné.
34. V tomto ohledu předkládající soud připomíná, že Soudní dvůr rozhodl v rozsudku ze dne 13. května 2014, Google Spain a Google(14), že „čl. 4 odst. 1 písm. a) směrnice 95/46 musí být vykládán v tom smyslu, že zpracování osobních údajů je prováděno v rámci činností provozovny správce na území členského státu ve smyslu uvedeného ustanovení, pokud provozovatel internetového vyhledávače zřídí v členském státě provozovnu nebo dceřinou společnost určenou k podpoře prodeje a k prodeji reklamního prostoru nabízeného tímto vyhledávačem, která zaměřuje svou činnost na obyvatele tohoto státu“(15). Předkládající soud si klade otázku, zda je toto spojení s takovou provozovnou, jako je Facebook Germany GmbH, která je podle informací obsažených v předkládacím rozhodnutí pověřena podporou prodeje a prodejem reklamních ploch a jinými marketingovými činnostmi zaměřenými na obyvatele Německa, použitelné pro účely použitelnosti směrnice 95/46 a určení příslušného orgánu dozoru na situaci, kdy dceřiná společnost usazená v jiném členském státě (v projednávané věci Irsko) vystupuje jako „správce“ na celém unijním území.
35. Pokud jde o adresáty opatření přijatého na základě čl. 28 odst. 3 směrnice 95/46, předkládající soud uvádí, že příkaz vydaný vůči Wirtschaftsakademie může být založen na nesprávném posouzení, a v důsledku toho může být protiprávní, pokud by porušení použitelného práva o ochraně údajů tvrzená ULD mohla být napravena opatřením namířeným přímo proti dceřiné společnosti Facebook Germany, která je usazena v Německu.
36. Předkládající soud zejména poznamenává, že se ULD domnívá, že není vázán zjištěními a posouzeními Data Protection Commissioner (orgán dozoru v oblasti ochrany údajů, Irsko), který podle údajů poskytnutých Wirtschaftsakademie a vedlejší účastnicí v původním řízení nezpochybnil zpracování osobních údajů, o které jde ve věci v původním řízení. Tento soud si proto přeje zjistit, zda je takové autonomní posouzení ULD přípustné a zda čl. 28 odst. 6 druhá věta směrnice 95/46 ukládal ULD povinnost požádat orgán dozoru v oblasti ochrany údajů s ohledem na rozdílné posouzení ze strany těchto dvou orgánů dozoru ohledně souladu zpracování údajů dotčeného ve věci v původním řízení s pravidly vyplývajícími ze směrnice 95/46, aby vykonal své pravomoci ve vztahu ke společnosti Facebook Ireland.
37. Za těchto podmínek se Bundesverwaltungsgericht (Spolkový správní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Musí být čl. 2 písm. d) směrnice 95/46/ES vykládán v tom smyslu, že taxativně a podrobně upravuje odpovědnost za porušení ochrany údajů, nebo v rámci ‚vhodných opatření‘ podle článku 24 [této směrnice] a ‚pravomoci účinně zasáhnout‘ podle čl. 28 odst. 3 druhé odrážky [této směrnice] ve vícestupňových vztazích poskytovatelů informací nadále existuje prostor pro odpovědnost subjektu, který není ve smyslu čl. 2 písm. d) [uvedené směrnice] správcem údajů, při výběru provozovatele za jeho informační nabídku?
2) Vyplývá z povinnosti členských států podle čl. 17 odst. 2 směrnice 95/46/ES stanovit, že správce při zpracování údajů na svůj účet ‚musí zvolit zpracovatele poskytujícího dostatečné záruky s ohledem na technická bezpečnostní opatření a organizační opatření usměrňující zpracování, jež má být provedeno‘, a contrario, že v případě jiných vztahů užívání, které nejsou spojeny se zpracováním údajů pro správce ve smyslu čl. 2 písm. e) [této směrnice], neexistuje povinnost pečlivého výběru a nemůže být založena ani podle vnitrostátního práva?
3) Je v případech, kdy mateřská společnost usazená mimo Evropskou unii provozuje v různých členských státech provozovny s vlastní právní subjektivitou (dceřiné společnosti), podle článku 4 a čl. 28 odst. 6 směrnice 95/46 orgán dozoru členského státu (v tomto případě Německo) oprávněn vykonávat pravomoci podle čl. 28 odst. 3 směrnice [této směrnice] vůči provozovně nacházející se na jeho území i tehdy, pokud je tato provozovna příslušná pouze pro podporu prodeje reklamy a jiná marketingová opatření se zaměřením na obyvatele tohoto členského státu, zatímco samostatné provozovně (dceřiné společnosti) usazené v jiném členském státu (v tomto případě Irsko) podle rozdělení úkolů v rámci skupiny náleží výlučná odpovědnost za shromažďování a zpracování osobních údajů na celém území Evropské unie, a tudíž i v tomto jiném členském státě (v tomto případě Německo), pokud je ve skutečnosti rozhodnutí o zpracování údajů přijímáno mateřskou společností?
4) Musí být čl. 4 odst. 1 a čl. 28 odst. 3 směrnice 95/46 vykládány v tom smyslu, že v případech, kdy má správce provozovnu na území členského státu (v tomto případě Irsko) a na území jiného členského státu (v tomto případě Německo) existuje jiná provozovna s vlastní právní subjektivitou, která je kromě jiného příslušná pro prodej reklamních ploch a jejíž činnost je zaměřena na obyvatele tohoto státu, může orgán dozoru příslušný v tomto jiném členském státě (v tomto případě Německo) adresovat opatření a příkazy směřující k prosazení práva na ochranu údajů i vůči další provozovně (v tomto případě v Německu), která není podle rozdělení úkolů a odpovědností v rámci skupiny odpovědná za zpracování údajů, nebo jsou pak možná opatření a příkazy přijímány jen orgánem dozoru členského státu (v tomto případě Irsko), na jehož území má subjekt odpovědný v rámci skupiny své sídlo?
5) Musí být čl. 4 odst. 1 písm. a), čl. 28 odst. 3 a 6 směrnice 95/46/ES vykládány v tom smyslu, že v případech, ve kterých orgán dozoru jednoho členského státu (v tomto případě Německo) vyvozuje odpovědnost vůči osobě nebo subjektu působícím na jeho území podle čl. 28 odst. 3 [této směrnice] z důvodu nedostatečně pečlivého výběru třetí osoby zapojené do procesu zpracování údajů (v tomto případě Facebook), protože tato třetí osoba porušuje právo na ochranu údajů, je činný orgán dozoru (v tomto případě Německo) vázán posouzením podle právní úpravy v oblasti ochrany údajů provedeným orgánem dozoru jiného členského státu, ve kterém má třetí osoba-správce svou provozovnu (v tomto případě Irsko), a to v tom smyslu, že nemůže dospět k odlišnému právnímu posouzení, nebo může činný orgán dozoru (v tomto případě Německo) přezkoumat legalitu zpracování údajů třetí osobou usazenou v jiném členském státě (v tomto případě Irsko) jako předběžnou otázku vlastní činnosti samostatně?
6) Pokud má činný orgán dozoru (v tomto případě Německo) možnost samostatného přezkumu: Musí být čl. 28 odst. 6 druhá věta směrnice 95/46/ES vykládán v tom smyslu, že tento orgán dozoru může vykonat pravomoc účinně zasáhnout, která mu byla udělena podle čl. 28 odst. 3 [této] směrnice, vůči osobě nebo subjektu usazeným na jeho území z důvodu spoluodpovědnosti za porušení ochrany údajů třetí osobou usazenou v jiném členském státu jen tehdy, pokud předem požádal orgánu dozoru tohoto jiného členského státu (v tomto případě Irsko) o výkon jeho pravomoci?“
II. Analýza
38. Je třeba upřesnit, že předběžné otázky položené předkládajícím soudem se netýkají toho, zda je zpracování osobních údajů, kterého se týkají výtky formulované ULD, a sice shromažďování a používání údajů osob, které navštíví fanouškovské stránky, aniž jsou o tom tyto osoby předem informovány, v rozporu s pravidly vyplývajícími ze směrnice 95/46.
39. Podle vysvětlení poskytnutých předkládajícím soudem závisí legalita příkazu předloženého k jeho posouzení na následujících skutečnostech. Podle jeho názoru je třeba nejprve určit, zda byl ULD oprávněn k výkonu svých pravomocí zasáhnout proti osobě, která nebyla v postavení správce ve smyslu čl. 2 písm. d) směrnice 95/46. Dále se předkládající soud domnívá, že legalita příkazu závisí rovněž na tom, zda byl ULD příslušný k tomu, aby zasáhl v souvislosti se zpracováním osobních údajů dotčeným v projednávané věci, zda to, že neadresoval svůj příkaz společnosti Facebook Germany spíše než Wirtschaftsakademie, představuje nesprávné posouzení, a konečně, zda se ULD nedopustil jiného nesprávného posouzení tím, že uložil Wirtschaftsakademie, aby zrušila svou fanouškovskou stránku, ačkoli měl předtím požádat orgán dozoru v oblasti ochrany údajů, aby vykonal své pravomoci vůči společnosti Facebook Ireland.
A. K první a druhé předběžné otázce
40. Podstatou první a druhé předběžné otázky, které předkládající soud klade Soudnímu dvoru a které je třeba podle mého názoru přezkoumat společně, je, zda čl. 17 odst. 2, článek 24 a čl. 28 odst. 3 druhá odrážka směrnice 95/46 musí být vykládány v tom smyslu, že umožňují orgánům dozoru vykonat jejich pravomoci zasáhnout vůči subjektu, který nelze považovat za „správce“ ve smyslu čl. 2 písm. d) této směrnice, ale jehož odpovědnost může být nicméně založena v případě porušení pravidel o ochraně osobních údajů z důvodu volby provedené tímto subjektem využít k šíření své informační nabídky takové sociální sítě, jako je Facebook.
41. Tyto otázky vycházejí z předpokladu, že Wirtschaftsakademie nepředstavuje „správce“ ve smyslu čl. 2 písm. d) směrnice 95/46. Proto si tento soud přeje zjistit, zda takový příkaz, jako je příkaz, o který jde v původní věci, lze vydat vůči osobě, která nesplňuje kritéria stanovená tímto ustanovením.
42. Domnívám se však, že tento předpoklad je chybný. Wirtschaftsakademie musí být totiž podle mého názoru považována za spoluodpovědnou za fázi zpracování, která spočívá ve shromažďování osobních údajů Facebookem.
43. Ve smyslu čl. 2 písm. d) směrnice 95/46 se „správcem“ rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů“(16).
44. Správce hraje zásadní úlohu v rámci systému zavedeného směrnicí 95/46 a jeho určení je proto zásadní. Tato směrnice totiž stanoví, že správce je nositelem několika povinností, které mají zajistit ochranu osobních údajů(17). Tato základní úloha byla zdůrazněna Soudním dvorem v rozsudku ze dne 13. května 2014, Google Spain a Google(18). Soudní dvůr totiž rozhodl, že správce musí v rámci své odpovědnosti, pravomoci a možností zajistit, aby dotčené zpracování údajů splňovalo požadavky směrnice 95/46 a záruky stanovené touto směrnicí mohly nabýt plného účinku, a tedy mohlo být skutečně dosaženo účinné a úplné ochrany subjektů údajů, zejména jejich práva na soukromí(19).
45. Z judikatury Soudního dvora rovněž vyplývá, že tento pojem musí být vymezen široce proto, aby byla zajištěna účinná a úplná ochrana subjektů údajů(20).
46. Správce osobních údajů je osobou, která rozhoduje, proč a jak jsou tyto údaje zpracovány. Jak uvádí „pracovní skupina zřízená podle článku 29“ „[p]ojem správce je funkčním pojmem, který má přiznat odpovědnost osobám, které vykonávají faktický vliv, a [že] vychází tedy spíše z faktické než formální analýzy“(21).
47. Domnívám se, že hlavní cíle a způsoby tohoto zpracování určovaly společnost Facebook Inc. a – pokud jde o Unii – společnost Facebook Ireland jakožto návrháři tohoto zpracování.
48. Konkrétně Facebook Inc. vyvinula obecný ekonomický model vedoucí k tomu, aby shromažďování osobních údajů při návštěvě fanouškovských stránek a poté použití těchto údajů mohly umožnit jednak šíření personalizovaných reklam a jednak zpracování statistik o návštěvnosti určených pro provozovatele těchto stránek.
49. Z písemností ve spise mimoto vyplývá, že společnost Facebook Ireland je určena společností Facebook Inc. jako společnost pověřená zpracováním osobních údajů v rámci Unie. Podle vysvětlení poskytnutých společností Facebook Ireland mohou způsoby fungování sociální sítě doznat v Unii určitých úprav(22).
50. Ačkoli je dále nesporné, že kdokoliv s bydlištěm na unijním území, kdo si přeje používat Facebook, je povinen uzavřít při své registraci smlouvu se společností Facebook Ireland, je třeba uvést, že současně jsou osobní údaje uživatelů Facebooku s bydlištěm na unijním území zcela nebo zčásti převáděny na servery, které patří společnosti Facebook Inc., umístněné na území Spojených států, kde jsou zpracovány(23).
51. Vzhledem k zapojení společnosti Facebook Inc. a – pokud jde konkrétně o Unii – společnosti Facebook Ireland při určování účelu a prostředků zpracování osobních údajů dotčeného ve věci v původním řízení musí být oba tyto subjekty s přihlédnutím k dostupným poznatkům považovány za společného správce těchto údajů. V tomto ohledu je třeba uvést, že čl. 2 písm. d) směrnice 95/46 výslovně stanoví možnost takové společné odpovědnosti. Jak uvedl sám předkládající soud, bude nakonec je povinností objasnit interní rozhodovací struktury a zpracování údajů v rámci skupiny Facebook s cílem určit, kdo je provozovnou či provozovnami, které jsou správci ve smyslu čl. 2 písm. d) směrnice 95/46(24).
52. Ke společné odpovědnosti společností Facebook Inc. a Facebook Ireland musí být podle mého názoru, pokud jde o fázi zpracování, kterou představuje shromažďování osobních údajů Facebookem(25), přidána odpovědnost takového provozovatele fanouškovské stránky, jako je Wirtschaftsakademie.
53. Provozovatel fanouškovské stránky je sice především uživatelem Facebooku, kterého využívá proto, aby mohl využít jeho nástroje, a mít tak prospěch ze zviditelnění. Toto zjištění však nemůže vyloučit, že může být považován rovněž za správce ve fázi zpracování osobních údajů, které je předmětem sporu v původním řízení, a sice shromažďování takových údajů Facebookem.
54. Pokud jde o to, zda provozovatel fanouškovské stránky „určuje“ účel a prostředky zpracování, je třeba přezkoumat, zda tento provozovatel vykonává z právního nebo faktického hlediska vliv na tento účel a tyto prostředky. Tento prvek definice umožňuje vyvodit, že správcem není ten, kdo provádí zpracování osobních údajů, ale ten, kdo určuje jeho prostředky a účel.
55. Tím, že provozovatel fanouškovské stránky využívá Facebook k šíření své informační nabídky, přistupuje k zásadě provádění zpracování osobních údajů návštěvníků své stránky pro účely zpracování statistik o návštěvnosti(26). I když samozřejmě není počítačovým návrhářem nástroje „Facebook Insights“, tento provozovatel se tím, že jej využívá, účastní určování účelu a způsobů zpracování osobních údajů návštěvníků své stránky.
56. K tomuto zpracování totiž nemůže dojít bez předchozího rozhodnutí provozovatele fanouškovské stránky založit a využívat tuto stránku na sociální síti Facebook. Tím, že provozovatel této stránky umožňuje zpracování osobních údajů uživatelů fanouškovské stránky, přistupuje k systému zavedenému Facebokem. Je tak zviditelněn z hlediska profilu uživatelů jeho fanouškovské stránky a současně umožňuje Facebooku lépe zacílit reklamu šířenou v rámci této sociální sítě. Provozovatel fanouškovské stránky tím, že souhlasí s prostředky a účelem zpracování osobních údajů, jak jsou předem definovány Facebookem, musí být považován za účastníka jejich určení. Kromě toho stejně jako vykonává provozovatel fanouškovské stránky určující vliv na zahájení zpracování osobních údajů osob, které navštíví tuto stránku, má rovněž pravomoc toto zpracování ukončit tím, že svou fanouškovskou stránku zruší.
57. Přestože účel a prostředky nástroje „Facebook Insights“ jako takového jsou kromě toho obecně definovány společností Facebook Inc. společně se společností Facebook Ireland, má provozovatel fanouškovské stránky možnost ovlivnit konkrétní provádění tohoto nástroje tím, že definuje kritéria, na základě kterých jsou zpracovávány statistiky o návštěvnosti. Když Facebook vyzve provozovatele fanouškovské stránky, aby si vytvořil nebo změnil publikum své stránky, sdělí mu, že učiní maximum proto, aby ukázal tuto stránku osobám, které jsou pro něho nejdůležitější. Provozovatel fanouškovské stránky může pomocí filtrů definovat personalizované publikum, což mu umožňuje nejen blíže vymezit skupinu osob, vůči kterým budou šířeny informace týkající se jeho obchodní nabídky, ale obzvláště určit kategorie osob, které budou předmětem shromáždění jejich osobních údajů Facebookem. Určením veřejnosti, na kterou si přeje zacílit, si tak provozovatel fanouškovské stránky určuje při této příležitosti, jaká cílová veřejnost může být předmětem shromáždění a poté využití jejích osobních údajů Facebookem. Navíc to, že provozovatel fanouškovské stránky je osobou, která rozhoduje o zahájení zpracování takových údajů, když založí fanouškovskou stránku, hraje provozovatel této stránky tudíž převažující úlohu při provádění tohoto zpracování Facebookem. Podílí se tak na určení prostředků a účelu uvedeného zpracování tím, že na něj má faktický vliv.
58. Z výše uvedeného vyvozuji, že za takových okolností, jako jsou okolnosti sporu v původním řízení, musí být provozovatel fanouškovské stránky takové sociální sítě, jako je Facebook, považován za správce fáze zpracování osobních údajů, která spočívá ve shromažďování údajů týkajících se osob, které navštíví tuto stránku, touto sociální sítí.
59. Tento závěr je posílen zjištěním, podle kterého takový provozovatel fanouškovské stránky, jako je Wirtschaftsakademie, na jedné straně a takoví poskytovatelé služeb, jako jsou společnosti Facebook Inc. a Facebook Ireland, na straně druhé sledují úzce propojené cíle. Wirtschaftsakademie chce získat statistiky o návštěvnosti pro účely správy propagace její činnosti, a za tímto účelem je nutné zpracování osobních údajů. Totéž zpracování umožní rovněž Facebooku lépe zacílit reklamu, kterou šíří prostřednictvím své sítě.
60. Je tedy třeba odmítnout výklad, který by vycházel výlučně z ustanovení a podmínek smlouvy uzavřené mezi Wirtschaftsakademie a společností Facebook Ireland. Smluvně stanovené rozdělení úkolů totiž může poskytovat pouze indicii skutečné úlohy smluvních stran při provádění zpracování osobních údajů. Jinak by tyto strany mohly uměle připsat odpovědnost za zapracování jedné z nich. Tak je tomu tím spíše v situaci, kdy jsou všeobecné podmínky připraveny předem sociální sítí a jsou kogentní. Nelze tudíž mít za to, že ten, kdo může pouze přistoupit ke smlouvě nebo smlouvu odmítnout, nemůže být správcem. Od okamžiku, kdy tato smluvní strana uzavřela svobodně smlouvu, může být stále správcem s přihlédnutím k jejímu konkrétnímu vlivu na prostředky a účel tohoto zpracování.
61. Skutečnost, že smlouva a její všeobecné podmínky jsou připraveny poskytovatelem služeb a že subjekt, který využil služeb poskytnutých tímto poskytovatelem, nemá přístup k údajům, nevylučuje, že může být považován za správce, pokud svobodně souhlasil se smluvními ustanoveními, čímž tedy nese, pokud jde o tato ustanovení, plnou odpovědnost(27). Stejně jako to učinila „pracovní skupina zřízená podle článku 29“, je rovněž třeba uznat, že případná nerovnováha sil mezi poskytovatelem a příjemcem služby nebrání tomu, aby mohl být příjemce kvalifikován jako „správce“(28).
62. Kromě toho proto, aby osoba mohla být považována za správce ve smyslu čl. 2 písm. d) směrnice 95/46, není nutné, aby tato osoba měla právo úplné kontroly nad všemi aspekty zpracování. Jak správně uvedla belgická vláda na jednání, taková kontrola existuje v praxi čím dál tím méně. Čím dál tím více mají zpracování složitou povahu v tom smyslu, že se jedná o několik odlišných zpracování, kterých se účastní několik stran, které mají odlišný stupeň kontroly. V důsledku toho může výklad, který upřednostňuje existenci práva úplné kontroly nad všemi aspekty zpracování, vést k závažným mezerám v oblasti ochrany osobních údajů.
63. Skutkový základ v rozsudku ze dne 13. května 2014, Google Spain a Google(29), je toho příkladem. V této věci se totiž jednalo o situaci, ve které figurovali poskytovatelé informací ve vícestupňových vztazích, a různé strany vykonávaly každá odlišný vliv na zpracování. V této věci Soudní dvůr odmítl vyložit pojem „správce“ restriktivně. Rozhodl, že provozovatel vyhledávače musí „jako osoba určující účel a prostředky [své] činnosti […] v rámci své odpovědnosti, pravomoci a možností zajistit, že tato činnost splňuje požadavky směrnice 95/46“(30). Soudní dvůr kromě toho poukázal na možnost společné odpovědnosti provozovatele vyhledávače a editorů internetových stránek(31).
64. Stejně jako belgická vláda se domnívám, že široký výklad pojmu „správce“ ve smyslu čl. 2 písm. d) směrnice 95/46, který musí být podle mého názoru dostat upřednostněn v projednávané věci, může zabránit zneužití. Jinak by totiž stačilo, aby podnik využil služeb třetí osoby proto, aby se vyhnul svým povinnostem v oblasti ochrany osobních údajů. Jinými slovy, nesmí být podle mého názoru činěn rozdíl mezi podnikem, který vybaví svou internetovou stránku nástroji obdobnými nástrojům nabízeným Facebookem, a podnikem, který přistoupí k sociální síti Facebook proto, aby mohl využít nástroje, které Facebook poskytuje. Je tedy třeba zaručit, aby se hospodářské subjekty, které využívají služeb umístnění své internetové stránky, nemohly vyhnout své odpovědnosti tím, že přistoupí ke všeobecným podmínkám poskytovatele služeb. Mimoto, jak uvedla tato vláda na jednání, není nepřiměřené požadovat od podniků, aby při výběru svého poskytovatele služeb jednaly s řádnou péčí.
65. Domnívám se tedy, že skutečnost, že provozovatel fanouškovské stránky používá platformu poskytovanou Facebookem, a využívá tedy příslušných služeb, jej nezbavuje jeho povinností v oblasti ochrany osobních údajů. V tomto ohledu podotýkám, že pokud by si Wirtschaftsakademie založila internetovou stránku mimo Facebook tím, že by zavedla nástroj obdobný „Facebook Insights“ za účelem zpracování statistik o návštěvnosti, byla by považována za správce, který je nutný ke zpracování takových statistik. Domnívám se, že by takový hospodářský subjekt neměl být zproštěn povinnosti dodržovat pravidla o ochraně osobních údajů vycházející ze směrnice 95/46 pouze z toho důvodu, že využívá platformu sociální sítě Facebook k propagaci svých činností. Jak správně uvádí sám předkládající soud, poskytovatel informací nesmí mít možnost se zprostit výběrem určitého poskytovatele infrastruktury povinností, které pro něj vyplývají z použitelného práva na ochranu údajů ve vztahu k uživatelům jeho informační nabídky, a které by musel plnit, pokud by se jednalo o prostého poskytovatele obsahu(32). Opačný výklad by vytvořil riziko obcházení pravidel týkajících se ochrany osobních údajů.
66. Domnívám se, že je rovněž třeba nevytvářet umělý rozdíl mezi situací dotčenou v projednávané věci a situací, o kterou jde ve věci C‑40/17, Fashion ID(33).
67. Tato posledně uvedená věc se týká situace, kdy provozovatel internetové stránky vloží na svou stránku to, co se nazývá „sociální modul“ (v dané věci tlačítko „to se mi líbí“ Facebooku) externího poskytovatele (tedy Facebooku), kterým dochází k přenosu osobních údajů z počítače uživatele internetové stránky na externího poskytovatele.
68. V rámci sporu, který vedl k této věci, vytýká spolek na ochranu spotřebitelů společnosti Fashion ID to, že vložením modulu „to se mi líbí“ poskytovaného sociální sítí Facebook na svou internetovou stránku umožnila Facebooku mít přístup k osobním údajům uživatelů této stránky bez jejich souhlasu a v rozporu s informačními povinnostmi stanovenými ustanoveními týkajícími se ochrany osobních údajů. Vyvstává tak otázka, zda vzhledem k tomu, že společnost Fashion ID umožňuje Facebooku přístup k osobním údajům uživatelů její internetové stránky, lze tuto společnost kvalifikovat jako „správce“ ve smyslu čl. 2 písm. d) směrnice 95/46.
69. V tomto ohledu nespatřuji žádný zásadní rozdíl mezi situací provozovatele fanouškovské stránky a situací provozovatele internetové stránky, který začleňuje kód poskytovatele služeb webtrackingu do své internetové stránky, a podporuje bez vědomí uživatele internetu přenos údajů, instalaci cookies a shromažďování údajů ve prospěch poskytovatele služeb webtrackingu.
70. Sociální pluginy umožňují provozovatelům internetových stránek využívat určité služby sociálních sítí na svých vlastních internetových stránkách proto, aby byla zvýšena jejich viditelnost, například začleněním tlačítka „to se mi líbí“ Facebooku. Stejně jako provozovatelé fanouškovských stránek mohou i provozovatelé internetových stránek, které začleňují sociální pluginy, využívat služby „Facebook Insights“ k tomu, aby získali přesné statistické údaje o uživatelích jejich stránky.
71. Stejně jako k tomu, k čemu dochází při návštěvě fanouškovské stránky, dochází návštěvou internetové stránky obsahující sociální plugin k přenosu osobních údajů na dotyčného poskytovatele.
72. Domnívám se, že v takovém kontextu a stejně jako provozovatel fanouškovské stránky musí být provozovatel internetové stránky obsahující sociální plugin kvalifikován jako „správce“ ve smyslu čl. 2 písm. d) směrnice 95/46, jelikož vykonává faktický vliv na fázi zpracování týkající se přenosu osobních údajů Facebooku(34).
73. Dodávám, jak správně uvádí belgická vláda, že zjištění, podle kterého Wirtschaftsakademie jedná jako společně odpovědná osoba za zpracování, pokud se rozhodne využít služby Facebooku pro svou informační nabídku, nemění nic na povinnostech, které mají společnost Facebook Inc. a společnost Facebook Ireland jakožto správci. Je totiž jasné, že oba tyto subjekty vykonávají určující vliv na účel a prostředky zpracování osobních údajů, ke kterému dochází v rámci návštěvy fanouškovské stránky a které využívají rovněž pro své vlastní účely a zájmy.
74. Uznání společné odpovědnosti provozovatelů fanouškovských stránek za fázi zpracování spočívající ve shromažďování osobních údajů Facebookem však přispívá k zajištění úplnější ochrany práv, jež mají osoby, které navštíví tento druh stránek. Kromě toho aktivní spojení provozovatelů fanouškovských stránek s dodržováním pravidel týkajících se ochrany osobních údajů tím, že jsou určeni jako správci, může indukovaným účinkem podněcovat samu platformu sociální sítě k tomu, aby dosáhla souladu s takovými pravidly.
75. Je třeba rovněž upřesnit, že existence společné odpovědnosti neznamená rovnocennou odpovědnost. Naopak jednotliví správci mohou být zapojeni do zpracování osobních údajů v různých fázích a v různých stupních(35).
76. Podle „skupiny zřízené podle článku 29“ „[m]ožnost pluralistické odpovědnosti zohledňuje rostoucí počet situací, kdy různé strany jednají jako správci. Posouzení této společné odpovědnosti musí být obdobou posouzení ‚jediné‘ odpovědnosti přijetím konkrétního a praktického přístupu za účelem stanovení, zda jsou účel a základní prvky prostředků určeny více než jednou stranou. Účast stran na určení účelu a prostředků zpracování v rámci společné odpovědnosti může mít různé formy a nemusí být nutně rovnocenně sdílena“(36). Totiž „pokud existuje pluralita subjektů, mohou mít velmi úzký vztah (tím, že například sdílí všechny účely a prostředky zpracování) nebo naopak vzdálenější vztah (tím, že sdílejí pouze účely nebo prostředky, nebo část z nich). Musí být tedy přezkoumána široká škála typologií společné odpovědnosti a jejich právní důsledky posouzeny s určitou flexibilitou za účelem zohlednění rostoucí složitosti existující reality zpracování údajů“(37).
77. Z výše uvedeného vyplývá, že provozovatel fanouškovské stránky na sociální síti Facebook musí být podle mého názoru považován vedle společností Facebook Inc. a Facebook Ireland za odpovědného za zpracování osobních údajů, které je prováděno za účelem zpracování statistik o návštěvnosti týkajících se této stránky.
B. K třetí a čtvrté otázce
78. Ve své třetí a čtvrté předběžné otázce, které je podle mého názoru třeba přezkoumat společně, chce předkládající soud získat od Soudního dvora upřesnění ohledně výkladu čl. 4 odst. 1 písm. a) a čl. 28 odst. 1, 3 a 6 směrnice 95/46 v situaci, kdy taková mateřská společnost usazená mimo Unii, jako je Facebook Inc., poskytuje služby týkající se sociální sítě na unijním území prostřednictvím několika provozoven. Mezi těmito provozovnami je jedna provozovna určena mateřskou společností za správce v rámci zpracování osobních údajů na unijním území (Facebook Ireland) a jiná provozovna zajišťuje podporu prodeje a prodej reklamních ploch, jakož i marketingové činnosti, které jsou zaměřené na obyvatele Německa (Facebook Germany). V tomto kontextu si předkládající soud přeje zjistit, jednak zda je německý orgán dozoru oprávněn vykonat své pravomoci zasáhnout s cílem, aby bylo sporné zpracování osobních údajů přerušeno, a jednak vůči jaké provozovně lze takové pravomoci vykonat.
79. V reakci na pochybnosti vyjádřené ULD a italskou vládou ohledně přípustnosti třetí a čtvrté předběžné otázky uvádím, že Bundesverwaltungsgericht (Spolkový správní soud) vysvětluje ve svém předkládacím rozhodnutí, že potřebuje objasnění ohledně těchto otázek proto, aby mohl rozhodnout o legalitě příkazu dotčeného ve věci v původním řízení. Tento soud zejména uvádí, že příkaz vydaný vůči Wirtschaftsakademie by mohl být založen na nesprávném posouzení, a v důsledku toho být protiprávní, pokud by porušení použitelného práva na ochranu údajů tvrzená ULD mohla být napravena opatřením určeným přímo proti dceřiné společnosti Facebook Germany, která je usazena v Německu(38). Tato úvaha předkládajícího soudu umožňuje podle mého názoru správně pochopit důvody, proč tento soud pokládá Soudnímu dvoru třetí a čtvrtou předběžnou otázku. S ohledem na domněnku relevance, která je spojena s žádostmi o rozhodnutí o předběžné otázce(39), tedy navrhuji Soudnímu dvoru, aby na tyto otázky odpověděl.
80. Článek 4 směrnice 95/46, nadepsaný „Použitelné vnitrostátní právo“, zní:
„1. Každý členský stát použije na zpracování osobních údajů vnitrostátní ustanovení, která přijme na základě této směrnice, pokud:
a) zpracování je prováděno v rámci činností provozovny správce na území členského státu; pokud je stejný správce usazen na území několika členských států, musí přijmout opatření nezbytná pro dodržování povinností stanovených použitelným vnitrostátním právem každou ze svých provozoven;
[…]“
81. Ve svém posudku 8/2010 ze dne 16. prosince 2010 o použitelném právu(40), „skupina zřízená podle článku 29“ evokuje použití čl. 4 odst. 1 písm. a) směrnice 95/46 v následující situaci: „Platforma sociální sítě má své sídlo ve třetí zemi a provozovnu v členském státě. Provozovna definuje a uplatňuje politiky týkající se zpracování osobních údajů týkajících se osob s bydlištěm v [Unii]. Sociální síť cílí aktivně na osoby s bydlištěm ve všech členských státech [Unie], které představují významnou část jejích zákazníků a jejích příjmů. Instaluje rovněž cookies do počítačů uživatelů v [Unii]. V tomto případě je v souladu s čl. 4 odst. 1 písm. a) [směrnice 95/46] použitelným právem v oblasti ochrany údajů právo členského státu [Unie], na jehož území má podnik sídlo. Nemá význam, zda sociální síť využívá prostředky umístněné na území jiných členských států, neboť ke všem zpracováním dochází v rámci činností jediné provozovny a směrnice vylučuje kumulativní použití písm. a) a c) čl. 4 odst. 1 [této směrnice]“(41). „Skupina zřízená podle článku 29“ rovněž upřesňuje, že „na základě čl. 28 odst. 6 [uvedené směrnice] je orgán dozoru členského státu, na jehož území je sociální síť usazena, povinen spolupracovat s ostatními orgány dozoru, například při vyřizování žádostí nebo stížností od osob s bydlištěm v jiných členských státech [Unie]“(42).
82. Příklad uvedený v předchozím bodě nepřináší žádnou obtíž, pokud jde o určení použitelného vnitrostátního práva. Vzhledem k tomu, že v tomto případě má mateřská společnost pouze jedinou provozovnu v rámci Unie, použije se na dotčené zpracování osobních údajů právo členského státu, ve kterém je tato provozovna umístěna.
83. Stejně jako je tomu v případě projednávané věci se situace stává složitější, pokud společnost usazená v třetím státě, jako je Facebook Inc., vyvíjí činnosti v rámci Unie jednak prostřednictvím provozovny, která je určena touto společností jako subjekt výhradně odpovědný za shromažďování a zpracování osobních údajů v rámci skupiny Facebook na celém území Unie (Facebook Ireland), a jednak prostřednictvím dalších provozoven, z nichž jedna se nachází v Německu (Facebook Germany) a je podle informací uvedených v předkládacím rozhodnutí pověřena podporou prodeje a prodejem reklamních ploch a dalšími marketingovými činnostmi zaměřenými na obyvatele tohoto členského státu(43).
84. Je v takové situaci německý orgán dozoru příslušný k výkonu pravomocí zasáhnout proto, aby bylo ukončeno zpracování osobních údajů, za něj jsou společně odpovědné společnosti Facebook Inc. a Facebook Ireland?
85. Za účelem odpovědi na tuto otázku je třeba určit, zda je německý orgán dozoru oprávněn použít na takové zpracování své vnitrostátní právo.
86. V tomto ohledu z čl. 4 odst. 1 písm. a) směrnice 95/46 vyplývá, že zpracování údajů prováděné v rámci činností provozovny se řídí právem členského státu, na jehož území je tato provozovna umístěna.
87. Soudní dvůr již rozhodl, že s ohledem na cíl sledovaný směrnicí 95/46 spočívající v zajištění účinné a úplné ochrany základních práv a svobod fyzických osob, zejména práva na soukromí, v souvislosti se zpracováním osobních údajů, nelze výraz „v rámci činností provozovny“ uvedený v čl. 4 odst. 1 písm. a) této směrnice vykládat restriktivně(44).
88. Použitelnost prováděcího zákona členského státu na zpracování osobních údajů předpokládá splnění dvou podmínek. Zaprvé správce musí mít v tomto členském státě „provozovnu“. Zadruhé zpracování musí být prováděno „v rámci činností“ této provozovny.
89. Pokud jde zaprvé o pojem „provozovna“ ve smyslu čl. 4 odst. 1 písm. a) směrnice 95/46, Soudní dvůr již upřesnil, když tento pojem vyložit široce a flexibilně, že zahrnuje jakoukoliv efektivní a skutečnou činnost, i minimální, vykonávanou prostřednictvím stálého zařízení(45), čímž vyloučil jakýkoliv formalistický přístup(46).
90. Z tohoto hlediska je třeba posoudit jak míru stálosti zařízení, tak skutečný charakter výkonu činnosti v dotčeném členském státě(47) s přihlédnutím ke konkrétní povaze dotčených hospodářských činností a poskytovaných služeb(48). V tomto ohledu není sporné, že společnost Facebook Germany, jež má sídlo v Hamburku (Německo), vykonává efektivně a skutečně činnost prostřednictvím stálého zařízení v Německu. Představuje tedy „provozovnu“ ve smyslu čl. 4 odst. 1 písm. a) směrnice 95/46.
91. Zadruhé, pokud jde o to, zda je dotčené zpracování osobních údajů prováděno „v rámci činnosti“ této provozovny ve smyslu čl. 4 odst. 1 písm. a) směrnice 95/46, Soudní dvůr již připomněl, že toto ustanovení nevyžaduje, aby dotčené zpracování osobních údajů bylo prováděno „prostřednictvím“ samotné provozovny, ale pouze „v rámci činností“ provozovny(49).
92. Jak vyplývá ze stanoviska 8/2010, „pojem ‚v rámci činností‘, a nikoliv umístnění údajů, je rozhodujícím faktorem pro určení použitelného vnitrostátního práva. Tento pojem předpokládá, že použitelným právem není právo členského státu, ve kterém je usazen správce, ale právo státu, ve kterém se provozovna správce podílí na činnostech [spojených se zpracováním osobních údajů nebo které toto zpracování zahrnují]. V tomto kontextu má zásadní význam stupeň účasti provozovny nebo provozoven na činnostech, v rámci kterých jsou osobní údaje zpracovávány. Navíc je třeba přihlédnout k povaze činností provozoven, jakož i k nutnosti zajistit účinnou ochranu práv osob. Je třeba přijmout funkční přístup s cílem zanalyzovat tato kritéria: určující je spíše než teoretické vyhodnocení použitelného práva, chování stran a jejich vzájemné působení“(50).
93. V rozsudku ze dne 13. května 2014, Google Spain a Google(51), musel Soudní dvůr přezkoumat dodržení této podmínky. Přijal její široký výklad a rozhodl, že zpracování osobních údajů, které je prováděné pro potřeby služby vyhledávače, jako je Google Search, který je provozován podnikem se sídlem ve třetím státě, avšak s provozovnou v členském státě, je prováděno „v rámci činností“ této provozovny, pokud je určena k tomu, aby v daném členském státě zajišťovala podporu prodeje a prodej reklamního prostoru nabízeného uvedeným vyhledávačem, který slouží k zajištění výnosnosti služby nabízené uvedeným vyhledávačem(52). Soudní dvůr totiž uvedl, že „za takových okolností jsou činnost provozovatele vyhledávače a činnost jeho provozovny umístěné v dotčeném členském státě neoddělitelně spojeny, jelikož činnost týkající se reklamního prostoru představuje prostředek k dosažení hospodářské výnosnosti dotčeného vyhledávače, a zároveň je tento vyhledávač prostředkem k provádění takovéto činnosti“(53). Soudní dvůr na podporu svého řešení dodal, že vzhledem k tomu, že uvedení osobních údajů na seznamu výsledků vyhledávání je „na téže stránce doprovázeno zobrazením reklamy spojené s vyhledávanými pojmy, je nutno konstatovat, že dotčené zpracování osobních údajů je prováděno v rámci reklamní a obchodní činnosti provozovny správce na území členského státu, v projednávané věci na španělském území“(54).
94. Podle informací obsažených v žádosti o rozhodnutí o předběžné otázce je přitom společnost Facebook Germany pověřena podporou prodeje a prodejem reklamních ploch a dalšími marketingovými činnostmi, které jsou zaměřeny na obyvatele Německa. Jelikož cílem zpracování osobních údajů, o které jde ve věci v původním řízení a které spočívá ve shromažďování takových údajů prostřednictvím cookies nainstalovaných na počítačích návštěvníků fanouškovských stránek, je zejména umožnit Facebooku, aby lépe zacílil reklamy, které šíří, je třeba dovodit, že takovéto zpracování je prováděno v rámci činností, které uskutečňuje společnost Facebook Germany v Německu. V tomto ohledu je třeba mít za to, jelikož taková sociální síť, jako je Faceook, dosahuje většinu svých příjmů díky reklamě šířené na internetových stránkách, které založí uživatelé a ke kterým mají přístup(55), že činnosti společných správců, kterými jsou společnosti Facebook Inc. a Facebook Ireland, jsou neoddělitelně spojeny s činnostmi takové provozovny, jako je Facebook Germany. Kromě toho v návaznosti na zpracování osobních údajů umožněné instalací cookie do počítače osoby, která navštíví stránku, která patří k doméně Facebook.com, k návštěvě stránky Facebooku dochází společně s uvedením reklam na téže internetové stránce, které se vztahují k zájmům tohoto návštěvníka. Z toho je třeba vyvodit, že dotčené zpracování osobních údajů je prováděno v rámci reklamní a obchodní činnosti provozovny správce na území členského státu, v projednávané věci na německém území.
95. Okolnost, že skupina Facebook na rozdíl od toho, o co se jednalo v rámci věci, ve které byl vydán rozsudek ze dne 13. května 2014. Google Spain a Google(56),má evropské sídlo, v projednávané věci v Irsku, nebrání tomu, aby výklad čl. 4 odst. 1 písm. a) směrnice 95/46, který Soudní dvůr přijal v tomto rozsudku, byl použitelný v rámci projednávané věci. V uvedeném rozsudku Soudní dvůr vyjádřil vůli zabránit, aby se zpracování osobních údajů vymklo povinnostem a zárukám stanoveným touto směrnicí. V rámci probíhajícího řízení bylo uvedeno, že obtíž spojená s takovým obcházením v této věci nevzniká, neboť správce je usazen v členském státě, v projednávané věci v Irsku. Podle této logiky by tedy bylo třeba vyložit čl. 4 odst. 1 písm. a) uvedené směrnice tak, že ukládá tomuto správci, aby přihlédl pouze k jediným vnitrostátním právním předpisům, a že správce podléhá pouze jedinému orgánu dozoru, a sice irským právním předpisům a irskému orgánu.
96. Takový výklad je však v rozporu se zněním čl. 4 odst. 1 písm. a) směrnice 95/46, jakož i s historií tohoto ustanovení. Jak totiž správně uvedla belgická vláda na jednání, tato směrnice nezavádí ani mechanismus jediného kontaktního místa, ani zásadu země původu(57). V tomto ohledu nesmí být zaměněno to, co spadalo pod politický cíl, který byl sledován Evropskou komisí v návrhu směrnice, a řešení, které bylo nakonec přijato Radou Evropské unie. V uvedené směrnici si tento normotvůrce zvolil nepřiznat přednost použití vnitrostátního práva členského státu, ve kterém je umístěna hlavní provozovna správce. Výsledek, který je výsledkem použitým ve směrnici 95/46, vyjadřuje vůli členských států zachovat si jejich vnitrostátní prováděcí pravomoc. Tím, že unijní normotvůrce nepřijal zásadu země původu, umožnil každému členskému státu, aby uplatňoval své vlastní vnitrostátní právní předpisy, a umožnil tak souběh použitelných vnitrostátních právních předpisů(58).
97. S článkem 4 odst. 1 písm. a) uvedené směrnice si unijní normotvůrce svobodně zvolil umožnit v případě existence několika provozoven správce v rámci Unie, aby se mohlo použít několik vnitrostátních právních předpisů týkajících se ochrany osobních údajů na zpracování osobních údajů osob s bydlištěm v dotyčných členských státech proto, aby byla zajištěna účinná ochrana práv těchto osob v rámci těchto členských států.
98. To je potvrzeno bodem 19 odůvodnění směrnice 95/46, který stanoví, že „pokud je stejný správce usazen na území několika členských států, zejména prostřednictvím dceřiné společnosti, musí zajistit, aby všechny provozovny plnily povinnosti stanovené vnitrostátními právními předpisy, které se vztahují na jejich činnost, zejména s cílem vyloučit jejich obcházení“.
99. Vyvozuji tedy z čl. 4 odst. 1 písm. a) směrnice 95/46, jehož druhá věta stanoví v návaznosti na to, co stanoví bod 19 odůvodnění této směrnice, že pokud je stejný správce usazen na území několika členských států, musí přijmout opatření nezbytná pro dodržování povinností stanovených použitelným vnitrostátním právem každou ze svých provozoven, že struktura skupiny vyznačující se existencí provozoven správce v několika členských státech nesmí mít za následek umožnit správci, aby mohl obejít právo členského státu, na jehož území je usazena každá z těchto provozoven.
100. Dodávám, že výklad ve prospěch výlučného použití práva členského státu, ve kterém se nachází evropské sídlo mezinárodní skupiny, již nemůže být podle mého názoru zastáván po rozsudku ze dne 28. července 2016, Verein für Konsumenteninformation(59). V tomto rozsudku Soudní dvůr rozhodl, že zpracování osobních údajů prováděné podnikem elektronického obchodu se řídí právem členského státu, na který tento podnik zaměřuje svou činnost, pokud se prokáže, že tento podnik zpracovává dotyčné údaje v rámci činností provozovny nacházející se v tomto členském státě. Soudní dvůr tak rozhodl i přes skutečnost, že Amazon je stejně jako Facebook podnikem, který má nejen evropské sídlo v členském státě, ale rovněž je fyzicky přítomen v několika členských státech. V takovém případě je rovněž třeba přezkoumat, zda je zpracování údajů prováděno v rámci činností provozovny v jiném členském státě, než je stát, ve kterém se nachází evropské sídlo správce.
101. Jak uvádí belgická vláda, je tedy zcela možné, aby byla z hlediska použití čl. 4 odst. 1 písm. a) směrnice 95/46 relevantní jiná provozovna, než je provozovna evropského sídla podniku.
102. V rámci systému zavedeného touto směrnicí není tedy místo, kde dochází ke zpracování, ani místo, ve kterém má správce své sídlo v Unii, relevantní v případě existence několika provozoven tohoto správce v Unii pro určení vnitrostátního práva použitelného na zpracování údajů a pro přiznání pravomoci vykonat pravomoci zasáhnout orgánu dozoru.
103. V tomto ohledu by Soudní dvůr podle mého názoru neměl předjímat režim, který byl zaveden obecným nařízením o ochraně údajů(60), který bude použitelný od 25. května 2018. V rámci tohoto režimu je zaveden mechanismus jediného kontaktního místa. To znamená, že takový správce, který provádí přeshraniční zpracování, jako je Facebook, bude mít k dispozici pouze jeden orgán dozoru jako jediné kontaktní místo, a sice vedoucí dozorový orgán, který je orgánem místa, kde se nalézá hlavní provozovna správce. Nicméně tento režim, jakož i sofistikovaný mechanismus spolupráce, který zavádí, není dosud použitelný.
104. Je sice pravda, že jelikož si Facebook zvolil, že umístí své hlavní sídlo v Unii v Irsku, má orgán dozoru tohoto členského státu zajisté významnou úlohu při přezkoumání, zda Facebook dodržuje pravidla vyplývající ze směrnice 95/46. Přesto, jak uznává tento orgán samotný, neznamená to, že má v rámci existujícího systému založeného na této směrnici výlučnou pravomoc týkající se činností Facebooku v rámci Unie(61).
105. Všechny tyto poznatky mě vedou, stejně jako belgickou a nizozemskou vládu a ULD, k učinění závěru, že výklad čl. 4 odst. 1 písm. a) směrnice 95/46, který Soudní dvůr přijal v rozsudku ze dne 13. května 2014, Google Spain a Google(62), je rovněž použitelný v situaci, jako je situace dotčená ve věci v původním řízení, kdy je správce usazen v členském státě Unie a má v Unii několik provozoven.
106. Na základě informací poskytnutých předkládajícím soudem ohledně povahy činností vykonávaných společností Facebook Germany je tedy třeba dovodit, že sporné zpracování osobních údajů je prováděno v rámci činností této provozovny a čl. 4 odst. 1 písm. a) směrnice 95/46 umožňuje v takové situaci, jako je situace ve věci v původním řízení, použití německého práva týkajícího se ochrany osobních údajů(63).
107. Německý orgán dozoru je tedy příslušný k použití svého vnitrostátního práva na zpracování osobních údajů, o které jde ve věci v původním řízení.
108. Z článku 28 odst. 1 této směrnice vyplývá, že každý orgán dozoru zřízený členským státem dbá na území tohoto členského státu na dodržování předpisů přijatých členskými státy na základě směrnice 95/46.
109. Podle čl. 28 odst. 3 směrnice 95/46 mají tyto orgány dozoru zejména pravomoci provádět šetření, jako je pravomoc shromažďovat veškeré informace nezbytné pro splnění úkolu dozoru, a pravomoci účinně zasáhnout, jako je pravomoc nařídit blokování, výmaz nebo zničení údajů nebo dočasně nebo trvale zakázat zpracování nebo pravomoc zaslat správci upozornění či napomenutí. Tyto pravomoci zasáhnout mohou zahrnovat pravomoc sankcionovat správce uložením pokuty(64).
110. Článek 28 odst. 6 směrnice 95/46 zní následovně:
„Nezávisle na vnitrostátním právu, které se použije na dané zpracování, je orgán dozoru oprávněn vykonávat na území vlastního členského státu pravomoci, které mu byly uděleny v souladu s odstavcem 3. Každý orgán může být vyzván, aby vykonával své pravomoci na žádost orgánu jiného členského státu.
Orgány dozoru vzájemně spolupracují v míře nezbytné pro plnění svých úkolů, zejména výměnou veškerých užitečných informací.“
111. S ohledem na skutečnost, že právo členského státu, kterým se řídí německý orgán dozoru, je použitelné na zpracování osobních údajů dotčené ve věci v původním řízení, je tento orgán schopen vykonat veškeré své pravomoci zasáhnout proto, aby zajistil, že německé právo bude Facebookem na německém území uplatňováno a dodržováno. Takový závěr vyplývá z rozsudku ze dne 1. října 2015, Weltimmo(65), který umožnil upřesnit dosah čl. 28 odst. 1, 3 a 6 směrnice 95/46.
112. Klíčovým bodem této věci bylo určit pravomoc maďarského orgánu dozoru pro uložení pokuty poskytovateli služeb usazenému v jiném členském státě, a sice Slovensku. K určení této pravomoci muselo dojít na základě předchozího přezkumu toho, zda se na základě kritéria stanoveného v čl. 4 odst. 1 písm. a) směrnice 95/46 použilo maďarské právo.
113. V první části své odpovědi Soudní dvůr poskytl předkládajícímu soudu několik indicií, které mu umožňovaly prokázat existenci provozovny správce v Maďarsku. Soudní dvůr mimoto shledal, že toto zpracování bylo prováděno v rámci této provozovny a že čl. 4 odst. 1 písm. a) směrnice 95/46 umožňuje, aby v takové situaci, o jakou se jednalo v této věci, bylo použito maďarské právo upravující ochranu osobních údajů.
114. Tato první část odpovědi Soudního dvora tedy mohla potvrdit pravomoc maďarského orgánu dozoru pro uložení pokuty poskytovateli služeb usazenému v jiném členském státě, v dané věci podniku Weltimmo, na základě maďarského práva.
115. Jinak řečeno, jakmile mohlo být na základě kritéria obsaženého v čl. 4 odst. 1 písm. a) směrnice 95/46 maďarské právo uznáno jako použitelné vnitrostátní právo, měl maďarský orgán dozoru pravomoc k zajištění dodržování tohoto práva v případě jeho porušení správcem, i když byl správce zapsán do rejstříku na Slovensku. Prostřednictvím tohoto ustanovení směrnice 95/46 bylo možné dovodit, že i když byla společnost Weltimmo zapsána do rejstříku na Slovensku, byla rovněž usazena v Maďarsku. Existence provozovny správce, který vykonává činnosti, v rámci kterých je prováděno zpracování, v Maďarsku, tak představovala ukotvení nutné pro uznání použitelnosti maďarského práva a v logickém následku pravomoci maďarského orgánu dozoru k zajištění dodržování tohoto práva na maďarském území.
116. Druhá část odpovědi Soudního dvora, ve které zdůraznil zásadu územní působnosti pravomocí každého orgánu dozoru, byla uvedena pouze podpůrně, a sice „pro případ, že by maďarský orgán dozoru konstatoval, že Weltimmo má nikoliv v Maďarsku, ale v jiném členském státě provozovnu ve smyslu čl. 4 odst. 1 písm. a) směrnice 95/46 vykonávající činnost, v rámci níž je prováděno zpracování […] osobních údajů“(66). Jedná se tedy o odpověď na otázku, zda „v případě, že maďarský orgán dozoru dospěje k závěru, že právem použitelným na zpracování osobních údajů není maďarské právo, nýbrž právo jiného členského státu, musí být čl. 28 odst. 1, 3 a 6 směrnice 95/46 vykládán v tom smyslu, že tento orgán může vykonávat pouze pravomoci stanovené v čl. 28 odst. 3 této směrnice v souladu s právem tohoto jiného členského státu a nemůže ukládat sankce“(67).
117. V této druhé části své odpovědi Soudní dvůr v důsledku toho upřesnil jak věcný, tak územní rozsah pravomocí, které orgán dozoru může vykonat v konkrétní situaci, a sice v situaci, ve které se nepoužije právo členského státu, kterým se tento orgán dozoru řídí.
118. V takovém případě Soudní dvůr shledal, že „pravomoci [uvedeného] orgánu nezahrnují nutně všechny pravomoci, které mu přiznává právo jeho vlastního členského státu“(68). V tomto ohledu „může tento orgán vykonávat své pravomoci provádět šetření nezávisle na použitelném právu, a dokonce před zjištěním, které vnitrostátní právo je na dotčené zpracování použitelné. Jestliže však dospěje k závěru, že je použitelné právo jiného členského státu, nemůže ukládat sankce mimo území vlastního členského státu. V takové situaci musí na základě povinnosti spolupráce, kterou stanoví čl. 28 odst. 6 [směrnice 95/46] požádat orgán dozoru tohoto jiného členského státu, aby konstatoval případné porušení tohoto práva a uložil sankce, pokud to uvedené právo umožňuje, a to případně na základě informací, které mu orgán prvního členského státu předal“(69).
119. Z rozsudku ze dne 1. října 2015, Weltimmo(70), vyvozuji následující poznatky pro projednávanou věc.
120. Na rozdíl od domněnky, o kterou opřel Soudní dvůr své úvahy ohledně pravomocí orgánů dozoru v této druhé části rozsudku ze dne 1. října 2015, Weltimmo(71), odpovídá projednávaná věc situaci, která je podobná situaci, která odpovídá první části tohoto rozsudku, ve které, jak bylo uvedeno výše, je použitelným vnitrostátním právem právo členského státu, kterým se řídí orgán dozoru, který vykonává své pravomoci zasáhnout, a to z důvodu existence provozovny správce, jehož činnost je neoddělitelně spojena se zpracováním údajů, na území tohoto členského státu. Existence této provozovny v Německu představuje ukotvení nutné pro použití německého práva na sporné zpracování osobních údajů.
121. Jakmile je tato předběžná podmínka splněna, německý orgán dozoru musí být uznán za příslušný k zajišťování dodržování pravidel v oblasti ochrany osobních údajů na německém území a využít veškeré pravomoci, které má na základě německých právních předpisů, které provádějí čl. 28 odst. 3 směrnice 95/46. Takové pravomoci mohou zahrnovat příkaz, který spočívá v dočasném či konečném zákazu zpracování.
122. Pokud jde o to, jaký subjekt musí být adresátem takového opatření, připadají v úvahu dvě řešení.
123. První řešení spočívá ve zjištění, jež bylo učiněno na základě striktního výkladu územní působnosti pravomocí zasáhnout, které mají orgány dozoru, že tyto orgány mohou tyto pravomoci vykonávat pouze vůči provozovně správce, která je umístěna na území členského státu, jemuž orgány dozoru podléhají. Pokud tato provozovna (v projednávané věci Facebook Germany) není správce, a nemůže tedy sama vyhovět žádosti orgánu dozoru směřující k tomu, aby bylo ukončeno zapracování údajů, jako je tomu v projednávané věci, bude muset tuto žádost předat správci, aby ji tento mohl vyřídit.
124. Druhé řešení spočívá naproti tomu ve zjištění, že vzhledem k tomu, že správce je jediný, kdo má určující vliv na dotčené zpracování údajů, příkaz ukončit takové zpracování musí být určen přímo jemu.
125. Domnívám se, že toto druhé řešení by mělo být upřednostněno, jelikož je konzistentní se základní úlohou, kterou správce zastává v rámci systému zavedeného směrnicí 95/46(72). Takové řešení může tím, že brání tomu, aby se šlo povinně cestou zprostředkovatele, kterého představuje provozovna, jež vykonává činnosti, v rámci kterých je prováděno zpracování, zaručit okamžité a účinné použití vnitrostátních pravidel týkajících se ochrany osobních údajů. Kromě toho, orgán dozoru, který uloží přímo takovému správci, který není usazen na území členského státu, kterému orgán dozoru podléhá, jako je Facebook Inc., příkaz ukončit zpracování údajů, zůstává v mezích jeho pravomoci, která spočívá v zajištění toho, aby toto zpracování bylo v souladu s právem tohoto státu na jeho území. V tomto ohledu je irelevantní, zda jsou správce či správci usazeni v členském státě nebo v třetím státě.
126. V souvislosti s mým návrhem odpovědi na první a druhou předběžnou otázku rovněž podotýkám, že s ohledem na cíl spočívající v zajištění co možná nejúplnější ochrany práv osob, které navštěvují fanouškovské stránky, možnost ULD vykonávat pravomoci zasáhnout vůči společnosti Facebook Inc. a společnosti Facebook Ireland nijak podle mého názoru nevylučuje přijetí opatření vůči Wirtschaftsakademie, a tudíž se jako taková nemůže dotknout legality těchto opatření(73).
127. Z výše uvedených úvah vyplývá, že čl. 4 odst. 1 písm. a) směrnice 95/46 musí být vykládán v tom smyslu, že takové zpracování osobních údajů, jako je zpracování, o které jde ve sporu v původním řízení, je prováděno v rámci činností provozovny správce na území členského státu ve smyslu uvedeného ustanovení, pokud provozovatel sociální sítě zřídí v tomto členském státě dceřinou společnost určenou k zajišťování podpory prodeje a prodeje reklamního prostoru nabízeného tímto provozovatelem, která zaměřuje svou činnost na obyvatele tohoto státu.
128. Kromě toho v takové situaci, jako je situace, o kterou jde ve věci v původním řízení, kdy je použitelným vnitrostátním právem na dotyčné zpracování osobních údajů právo členského státu, jemuž podléhá orgán dozoru, čl. 28 odst. 1, 3 a 6 směrnice 95/46 musí být vykládán v tom smyslu, že tento orgán dozoru může vykonat veškeré pravomoci účinně zasáhnout, které jsou mu přiznány podle čl. 28 odst. 3 této směrnice vůči správci, včetně situace, kdy je tento správce usazen v jiném členském státě nebo v třetím státě.
C. K páté a šesté předběžné otázce
129. Podstatou páté a šesté předběžné otázky, které předkládající soud pokládá Soudnímu dvoru a které je třeba podle mého názoru přezkoumat společně, je, zda čl. 28 odst. 1, 3 a 6 směrnice 95/46 musí být vykládán v tom smyslu, že za takových okolností, jako jsou okolnosti ve věci v původním řízení, je orgán dozoru členského státu, ve kterém je umístěna provozovna správce (Facebook Germany), oprávněn vykonat své pravomoci zasáhnout autonomně a není předtím povinen požádat orgán dozoru členského státu, ve kterém je umístěn správce (Facebbok Ireland), aby vykonal své pravomoci.
130. Ve svém předkládacím rozhodnutí Bundesverwaltungsgericht (Spolkový správní soud) vysvětluje souvislost mezi oběma těmito předběžnými otázkami a přezkumem legality příkazu, který musí provést v rámci sporu v původním řízení. Tento soud v tomto ohledu v podstatě uvádí, že vydání příkazu vůči Wirtschaftsakademie by mohlo být považováno za vydání, jež vychází z nesprávného posouzení ULD, pokud by čl. 28 odst. 6 směrnice 95/46 musel být vykládán v tom smyslu, že za takových okolností, jako jsou okolnosti sporu v původním řízení, stanoví povinnost takového orgánu dozoru, jako je ULD, požádat orgán dozoru jiného členského státu, v projednávané věci orgán dozoru v oblasti ochrany údajů, aby vykonal své pravomoci v případě rozdílného posouzení ze strany těchto dvou orgánů ohledně souladu zpracování údajů prováděného společností Facebook Ireland s pravidly vyplývajícími ze směrnice 95/46.
131. Jak Soudní dvůr rozhodl v rozsudku ze dne 1. října 2015 Weltimmo(74), v případě, že právem použitelným na dotčené zpracování osobních údajů není právo členského státu orgánu dozoru, který hodlá vykonat své pravomoci zasáhnout, ale právo jiného členského státu, čl. 28 odst. 1, 3 a 6 směrnice 95/46 musí být vykládán v tom smyslu, že tento orgán nemůže uložit sankce na základě práva členského státu, kterému podléhá, správci údajů, který není usazen na území tohoto členského státu, ale musí podle čl. 28 odst. 6 téže směrnice požádat orgán dozoru členského státu, jehož právo je použitelné, aby zasáhl(75).
132. V takové situaci orgán dozoru prvního členského státu ztrácí svou pravomoc vykonat svou sankční pravomoc vůči správci, který je usazen v jiném členském státě. Musí tedy na základě povinnosti spolupráce, kterou stanoví čl. 28 odst. 6 uvedené směrnice, požádat orgán dozoru tohoto jiného členského státu, aby určil případné porušení práva uvedeného státu a uložil sankce, pokud to toto právo umožňuje, případně na základě informací, které mu orgán dozoru prvního členského státu předá(76).
133. Jak bylo uvedeno výše, situace dotčená v projednávané věci je zcela odlišná, neboť použitelným právem je právo členského státu orgánu dozoru, který hodlá vykonat své pravomoci zasáhnout. V této situaci musí být čl. 28 odst. 6 směrnice 95/46 vykládán v tom smyslu, že tomuto orgánu dozoru neukládá, aby požádal orgán dozoru členského státu, ve kterém je usazen správce, aby vykonal své pravomoci zasáhnout vůči tomuto správci.
134. Dodávám, že v souladu s tím, co stanoví čl. 28 odst. 1 druhá věta směrnice 95/46, vykonává orgán dozoru, který je příslušný k výkonu svých pravomocí zasáhnout vůči správci usazenému v jiném členském státě, než je členský stát orgánu dozoru, zcela nezávisle poslání, která mu jsou svěřena.
135. Jak vyplývá z výše uvedených úvah, směrnice 95/46 nestanoví ani zásadu země původu, ani mechanismus jediného kontaktního místa, jako je mechanismus, který je obsažen v nařízení 2016/679. Správce, který má provozovny v několika členských státech, v důsledku toho plně podléhá dozoru několika orgánů dozoru, pokud se použijí práva členských států těchto orgánů dozoru. I když je dohoda a spolupráce mezi těmito orgány dozoru pochopitelně žádoucí, nic však neukládá orgánu dozoru, jehož pravomoc je uznána, aby přizpůsobil své stanovisko stanovisku přijatému jiným orgánem dozoru.
136. Z výše uvedeného vyvozuji, že čl. 28 odst. 1, 3 a 6 směrnice 95/46 musí být vykládán v tom smyslu, že za takových okolností, jako jsou okolnosti ve věci v původním řízení, je orgán dozoru členského státu, ve kterém je umístěna provozovna správce, oprávněn vykonat své pravomoci zasáhnout vůči tomuto správci autonomně a není předtím povinen požádat orgán dozoru členského státu, ve kterém je umístěn zmíněný správce, aby vykonal své pravomoci.
III. Závěry
137. S ohledem na výše uvedené úvahy navrhuji odpovědět na předběžné otázky položené Bundesverwaltungsgericht (Spolkový správní soud, Německo) následovně:
„1) Článek 2 písm. d) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, ve znění nařízení Evropského parlamentu a Rady (ES) č. 1882/2003 ze dne 29. září 2003, musí být vykládán v tom smyslu, že správce ve smyslu tohoto ustanovení představuje provozovatel fanouškovské stránky takové sociální sítě, jako je Facebook, pokud jde o fázi zpracování osobních údajů, která spočívá ve shromažďování údajů týkajících se osob, které navštíví tuto stránku, touto sociální sítí za účelem zpracování statistik o návštěvnosti týkajících se uvedené stránky.
2) Článek 4 odst. 1 písm. a) směrnice 95/46, ve znění nařízení č. 1882/2003, musí být vykládán v tom smyslu, že takové zpracování osobních údajů, jako je zpracování ve věci v původním řízení, je prováděno v rámci činností provozovny správce na území členského státu ve smyslu uvedeného ustanovení, pokud provozovatel sociální sítě zřídí v tomto členském státě dceřinou společnost určenou k zajištění podpory prodeje a prodeje reklamního prostoru nabízeného tímto provozovatelem, která zaměřuje svou činnost na obyvatele tohoto členského státu.
3) V takové situaci, jako je situace, o kterou jde ve věci v původním řízení, kdy je vnitrostátním právem použitelným na dotyčné zpracování osobních údajů právo členského státu, jemuž podléhá orgán dozoru, musí být čl. 28 odst. 1, 3 a 6 směrnice 95/46, ve znění nařízení č. 1882/2003, vykládán v tom smyslu, že tento orgán dozoru může vykonat veškeré pravomoci účinně zasáhnout, které jsou mu přiznány podle čl. 28 odst. 3 této směrnice vůči správci, včetně situace, kdy je tento správce usazen v jiném členském státě nebo v třetím státě.
4) Článek 28 odst. 1, 3 a 6 směrnice 95/46, ve znění nařízení č. 1882/2003, musí být vykládán v tom smyslu, že za takových okolností, jako jsou okolnosti ve věci v původním řízení, je orgán dozoru členského státu, ve kterém je umístěna provozovna správce, oprávněn vykonat své pravomoci zasáhnout vůči tomuto správci autonomně a není předtím povinen požádat orgán dozoru členského státu, ve kterém je umístěn zmíněný správce, aby vykonal své pravomoci.“