CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2017:796

NÁVRHY GENERÁLNEHO ADVOKÁTA

YVES BOT

prednesené 24. októbra 2017 (1)

Vec C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein

proti

Wirtschaftsakademie Schleswig‑Holstein GmbH,

za účasti:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

[návrh na začatie prejudiciálneho konania, ktorý podal Bundesverwaltungsgericht (Spolkový správny súd, Nemecko)]

„Návrh na začatie prejudiciálneho konania – Smernica 95/46/ES – Články 2, 4 a 28 – Ochrana fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov – Príkaz na deaktivovanie fanúšikovskej stránky na sociálnej sieti Facebook – Pojem ‚prevádzkovateľ‘ – Zodpovednosť správcu fanúšikovskej stránky – Spoločná zodpovednosť – Uplatniteľné vnútroštátne právo – Rozsah intervenčných právomocí dozorných orgánov“

1. Prejednávaný návrh na začatie prejudiciálneho konania sa týka výkladu článku 2 písm. d), článku 4 ods. 1, článku 17 ods. 2, ako aj článku 28 ods. 3 a 6 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov(2), zmenenej nariadením Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003(3).

2. Tento návrh bol podaný v rámci sporu, ktorého účastníkmi sú na jednej strane Wirtschaftsakademie Schleswig‑Holstein GmbH, spoločnosť založená podľa súkromného práva, ktorá sa špecializuje na oblasť vzdelávania (ďalej len „Wirtschaftsakademie“), a na druhej strane Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, orgán spolkovej krajiny Šlezvicko‑Holštajnsko pre ochranu osobných údajov (ďalej len „ULD“), a ktorého predmetom je zákonnosť príkazu, ktorým ULD nariadil, aby Wirtschaftsakademie deaktivovala „fanúšikovskú stránku“ (Fanpage) umiestnenú na webovom sídle spoločnosti Facebook Ireland Ltd.

3. Tento príkaz je odôvodnený údajným porušením nemeckých právnych predpisov, ktorými sa preberá smernica 95/46, najmä z dôvodu, že návštevníci fanúšikovskej stránky nie sú upozornení na to, že sociálna sieť Facebook (ďalej len „Facebook“) zbiera ich osobné údaje pomocou cookies, ktoré sú uložené na ich pevnom disku, pričom tento zber sa uskutočňuje na účely vytvorenia štatistík návštevnosti určených pre správcu tejto stránky a na to, aby spoločnosť Facebook mohla šíriť cielené reklamy.

4. Predmetom prejednávanej veci je jav nazývaný „webtracking“, ktorý spočíva v pozorovaní a analyzovaní správania používateľov internetu na obchodné a marketingové účely. Tento webtracking umožňuje najmä zistiť, o čo sa používatelia internetu zaujímajú, pomocou pozorovania ich správania na internete. Vtedy hovoríme o „behaviorálnom webtrackingu“. Webtracking sa vo všeobecnosti realizuje pomocou cookies.

5. Cookies sú skryté súbory, ktoré sa uložia na počítači používateľa internetu, keď navštívi určitú webovú stránku.

6. Webtracking sa využíva najmä s cieľom optimalizovať a efektívnejšie usporiadať webovú stránku. Tiež umožňuje obchodníkom adresovať cielenú reklamu jednotlivým kategóriám návštevníkov.

7. Podľa definície tohto pojmu, ktorú uviedla pracovná skupina pre ochranu údajov zriadená podľa článku 29(4) vo svojom stanovisku 2/2010 z 22. júna 2010 venovanom behaviorálnej reklame online(5), „behaviorálna reklama je reklama založená na pozorovaní správania jednotlivcov v čase. Behaviorálna reklama sa zaoberá štúdiom charakteristických znakov tohto správania prostredníctvom jeho prejavov (opakované návštevy internetových stránok, interakcie, kľúčové slová, tvorba online obsahu atď.) s cieľom zostavenia určitého profilu, ktorý dotknutým osobám dodá reklamu na mieru tak, aby zodpovedala ich predpokladaným záujmom“(6). Na získanie tohto výsledku sa musia zozbierať a potom použiť informácie z internetového prehliadača užívateľa a jeho koncového zariadenia. Základné sledovacie technológie používané na sledovanie užívateľov na internete sú založené na „sledovacích cookies“.(7) To znamená, že „behaviorálna reklama využíva informácie zozbierané o správaní jednotlivca pri prehliadaní webu (napr. navštívené stránky alebo vyhľadávané slová) s cieľom vybrať reklamy, ktoré sa tomuto jednotlivcovi neskôr zobrazia“(8).

8. Sledovanie správania na internete tiež umožňuje správcom webových stránok získať štatistiky návštevnosti týkajúce sa osôb, ktoré navštevujú tieto webové stránky.

9. Zber a používanie osobných údajov na účely zostavenia štatistík návštevnosti a šírenia cielených reklám sú v súlade s pravidlami ochrany osobných údajov vyplývajúcimi zo smernice 95/46 len vtedy, ak spĺňajú určité podmienky. Toto spracovanie sa konkrétne nemôže uskutočňovať bez predchádzajúceho informovania a súhlasu dotknutých osôb.

10. Na preskúmanie tohto súladu je však potrebné najprv vyriešiť viaceré otázky týkajúce sa vymedzenia pojmu prevádzkovateľ, určenia uplatniteľného vnútroštátneho práva a určenia orgánu, ktorý je oprávnený vykonávať svoje intervenčné právomoci.

11. Otázka týkajúca sa určenia prevádzkovateľa je mimoriadne zložitá v situácii, keď sa hospodársky subjekt rozhodne, že nástroje potrebné na zostavovanie štatistík návštevnosti a šírenie cielených reklám neumiestni na svojej webovej stránke, ale využije sociálnu sieť, akou je Facebook, a založí si fanúšikovskú stránku, aby mohol využívať obdobné nástroje.

12. Otázky týkajúce sa určenia uplatniteľného vnútroštátneho práva a určenia orgánu, ktorý je oprávnený vykonávať svoje intervenčné právomoci, sú tiež zložité, ak sa na predmetnom spracovaní osobných údajov podieľajú viaceré subjekty nachádzajúce sa tak mimo Európskej únie, ako aj v rámci nej.

13. V čase, keď sa dozorné orgány viacerých členských štátov v ostatných mesiacoch rozhodli uložiť sociálnej sieti Facebook pokuty z dôvodu porušenia pravidiel týkajúcich sa ochrany osobných údajov jej užívateľov,(9) prejednávaná vec umožní Súdnemu dvoru spresniť, aké intervenčné právomoci má dozorný orgán, akým je ULD, vo vzťahu k spracovaniu osobných údajov, na ktorom sa podieľajú viaceré subjekty.

14. Na správne pochopenie právnych otázok, ktoré sú predmetom prejednávanej veci, treba najprv opísať skutkový rámec sporu vo veci samej.

I. Skutkové okolnosti sporu vo veci samej a prejudiciálne otázky

15. Wirtschaftsakademie ponúka vzdelávacie služby prostredníctvom fanúšikovskej stránky umiestnenej na webovom sídle sociálnej siete Facebook.

16. Fanúšikovské stránky sú užívateľské účty, ktoré si môžu na sociálnej sieti Facebook vytvoriť najmä jednotlivci alebo podniky. Na tento účel sa musí správca fanúšikovskej stránky zaregistrovať na sociálnej sieti Facebook a tak môže využívať platformu vytvorenú touto sociálnou sieťou na to, aby sa prezentoval užívateľom tejto sociálnej siete a umiestňoval na nej rozličné oznámenia, okrem iného s cieľom vykonávať podnikateľskú činnosť.

17. Správcovia fanúšikovských stránok môžu získať štatistiky návštevnosti pomocou nástroja „Facebook Insights“, ktorý im Facebook bezplatnej poskytuje v rámci nemenných podmienok používania. Tieto štatistiky vytvára spoločnosť Facebook a správca fanúšikovskej stránky si ich upravuje pomocou rôznych kritérií, ktoré si môže zvoliť, ako je vek alebo pohlavie. Uvedené štatistiky tak poskytujú anonymné informácie o vlastnostiach a zvykoch osôb, ktoré navštívili fanúšikovské stránky, a umožňujú správcom týchto stránok presnejšie zamerať svoju komunikáciu.

18. Na vytvorenie takých štatistík návštevnosti uloží spoločnosť Facebook na pevnom disku návštevníka fanúšikovskej stránky aspoň jeden cookie obsahujúci jedinečné identifikačné číslo, ktoré platí dva roky. Toto identifikačné číslo, ktoré možno uviesť do súvislosti s údajmi o pripojení užívateľov zaregistrovaných na sociálnej sieti Facebook, sa zaznamená a spracuje pri otvorení internetových stránok sociálnej siete Facebook.

19. ULD rozhodnutím z 3. novembra 2011 podľa § 38 ods. 5 prvej vety Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov, ďalej len „BDSG“)(10) nariadil Wirtschaftsakademie, aby deaktivovala fanúšikovskú stránku, ktorú si založila na sociálnej sieti Facebook na internetovej adrese https://www.facebook.com/wirtschaftsakademie, pod hrozbou penále v prípade nesplnenia tejto povinnosti v stanovenej lehote z dôvodu, že ani Wirtschaftsakademie, ani spoločnosť Facebook neinformovali návštevníkov fanúšikovskej stránky, že spoločnosť Facebook zbiera ich osobné údaje pomocou cookies a že tieto údaje následne spracováva. Wirtschaftsakademie podala proti tomuto rozhodnutiu sťažnosť, v ktorej v podstate uviedla, že z hľadiska uplatniteľnej právnej úpravy týkajúcej sa ochrany osobných údajov nie je zodpovedná ani za spracovanie údajov, ktoré uskutočňovala spoločnosť Facebook, ani za cookies, ktoré táto sociálna sieť inštalovala.

20. ULD rozhodnutím zo 16. decembra 2011 zamietol túto sťažnosť, pričom konštatoval, že zodpovednosť Wirtschaftsakademie ako poskytovateľa služieb je preukázaná na základe § 3 ods. 3 bodu 4 a § 12 ods. 1 Telemediengesetz (zákon o elektronických médiách).(11) Wirtschaftsakademie vytvorením fanúšikovskej stránky tiež aktívne a dobrovoľne prispieva k zberu osobných údajov, ktorý uskutočňuje spoločnosť Facebook a ktorý Wirtschaftsakademie využíva prostredníctvom štatistík o užívateľoch poskytovaných touto sociálnou sieťou.

21. Wirtschaftsakademie následne napadla toto rozhodnutie žalobou na Verwaltungsgericht (Správny súd, Nemecko), pričom tvrdila, že jej nemožno pripísať činnosti spočívajúce v spracovaní osobných údajov, ktoré vykonáva spoločnosť Facebook, a že tiež nepoverila sociálnu sieť Facebook v zmysle § 11 BDSG(12), aby uskutočňovala spracovanie osobných údajov, ktoré kontroluje alebo môže ovplyvniť. Wirtschaftsakademie sa teda domnieva, že ULD nesprávne adresoval svoje rozhodnutie jej, a nie priamo sociálnej sieti Facebook.

22. Verwaltungsgericht (Správny súd) rozsudkom z 9. októbra 2013 zrušil napadnuté rozhodnutie, pričom v podstate konštatoval, že správca fanúšikovskej stránky na sociálnej sieti Facebook nie je „zodpovedným subjektom“ v zmysle § 3 ods. 7 BDSG(13), a teda Wirtschaftsakademie nemohla byť adresátom opatrenia prijatého na základe § 38 ods. 5 BDSG.

23. Oberverwaltungsgericht (Vyšší správny súd, Nemecko) následne zamietol odvolanie ULD proti tomuto rozsudku ako nedôvodné, pričom v podstate konštatoval, že zákaz spracovávať osobné údaje uložený v napadnutom rozhodnutí je protiprávny, keďže § 38 ods. 5 druhá veta BDSG upravuje viacstupňový proces, ktorého prvá etapa umožňuje len prijať opatrenia, ktorých cieľom je napraviť zistené porušenia pri spracovaní osobných údajov. Okamžitý zákaz spracovávať osobné údaje prichádza do úvahy len vtedy, keď je postup spracovania osobných údajov protiprávny ako celok a nápravu možno dosiahnuť len pomocou pozastavenia tohto postupu. Podľa Oberverwaltungsgericht (Vyšší správny súd) pritom v prejednávanej veci nejde o taký prípad, keďže spoločnosť Facebook má možnosť ukončiť porušenia, ku ktorým podľa ULD došlo.

24. Predmetný príkaz je tiež protiprávny z dôvodu, že žalobkyňa nie je zodpovedným subjektom v zmysle § 3 ods. 7 BDSG, pokiaľ ide o osobné údaje, ktoré zbiera spoločnosť Facebook pri prevádzkovaní fanúšikovskej stránky, a príkaz podľa § 38 ods. 5 BDSG možno vydať len voči takému subjektu. V prejednávanej veci len spoločnosť Facebook rozhoduje o účele a prostriedkoch týkajúcich sa zberu a spracovania osobných údajov využívaných funkciou „Facebook Insights“. Žalobkyňa dostáva len anonymizované štatistické informácie.

25. § 38 ods. 5 BDSG nedovoľuje ukladať príkazy tretím osobám. Takzvanú „nepriamu“ zodpovednosť (Störerhaftung) na internete vytvorenú judikatúrou civilných súdov nemožno uplatniť na výsady verejnej moci. Aj keď v § 38 ods. 5 BDSG nie je výslovne uvedený adresát zákazu, zo systematiky, z účelu a zo zmyslu tohto právneho predpisu, ako aj z jeho vývoja vyplýva, že adresátom môže byť len zodpovedný subjekt.

26. ULD svojím opravným prostriedkom Revision podaným na Bundesverwaltungsgericht (Spolkový správny súd, Nemecko) namieta okrem iného porušenie § 38 ods. 5 BDSG a poukazuje na viaceré procesné pochybenia, ktorých sa dopustil odvolací súd. Domnieva sa, že porušenie, ktorého sa dopustila Wirtschaftsakademie, súvisí s tým, že poverila nevhodného poskytovateľa, ktorý nedodržiava právnu úpravu týkajúcu sa ochrany osobných údajov – v tomto prípade spoločnosť Facebook Ireland –, realizáciou, hostingom a údržbou internetovej stránky. Príkaz na deaktivovanie má teda za cieľ napraviť toto porušenie, ktorého sa dopustila Wirtschaftsakademie, tým, že jej zakazuje ďalej využívať infraštruktúru sociálnej siete Facebook ako technický základ svojej internetovej stránky.

27. Vnútroštátny súd zastáva názor, že – pokiaľ ide o zber a spracovanie osobných údajov návštevníkov fanúšikovskej stránky vedľajším účastníkom konania vo veci samej, teda spoločnosťou Facebook Ireland – Wirtschaftsakademie nie je „subjekt, ktorý pre seba zbiera, spracúva alebo používa osobné údaje alebo výkonom týchto činností poverí inú osobu“, v zmysle § 3 ods. 7 BDSG ani „orgán [subjekt – neoficiálny preklad], ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov“, v zmysle článku 2 písm. d) smernice 95/46. Je pravda, že Wirtschaftsakademie svojím rozhodnutím vytvoriť fanúšikovskú stránku na platforme, ktorú prevádzkuje vedľajší účastník konania vo veci samej alebo jeho materská spoločnosť (v tomto prípade spoločnosť Facebook Inc., USA), objektívne poskytuje vedľajšiemu účastníkovi konania vo veci samej možnosť nainštalovať pri otvorení tejto fanúšikovskej stránky cookies a pomocou nich zbierať osobné údaje. Toto rozhodnutie však nedovoľuje Wirtschaftsakademie ovplyvňovať, riadiť, upravovať alebo inak kontrolovať druh a rozsah spracovania údajov používateľov fanúšikovskej stránky, ktoré vykonáva vedľajší účastník konania vo veci samej. Podmienky používania fanúšikovskej stránky tiež neposkytovali Wirtschaftsakademie práva na ovplyvňovanie či kontrolu. Podmienky používania, ktoré jednostranne stanovil vedľajší účastník konania vo veci samej, nie sú výsledkom rokovaní a tiež neposkytujú Wirtschaftsakademie právo zakázať vedľajšiemu účastníkovi konania vo veci samej zber a spracovanie údajov používateľov fanúšikovskej stránky.

28. Vnútroštátny súd uznáva, že právna definícia pojmu „kontrolór [prevádzkovateľ – neoficiálny preklad]“ uvedená v článku 2 písm. d) smernice 95/46 sa má v zásade v záujme účinnej ochrany práva na ochranu osobnosti vykladať extenzívne. Wirtschaftsakademie však nespĺňa túto definíciu, keďže nemá nijaký právny ani faktický vplyv na spôsob spracovania osobných údajov, ktoré vykonáva vedľajší účastník konania vo veci samej na vlastnú zodpovednosť a úplne nezávisle. V tejto súvislosti nestačí, že Wirtschaftsakademie môže mať objektívne prospech z funkcie „Facebook Insights“, ktorú prevádzkuje vedľajší účastník konania vo veci samej, z dôvodu, že anonymizované údaje sa jej poskytujú na účely využívania jej fanúšikovskej stránky.

29. Podľa vnútroštátneho súdu Wirtschaftsakademie nemožno považovať ani za spracovateľa osobných údajov v zmysle § 11 BDSG, ako aj článku 2 písm. e) a článku 17 ods. 2 a 3 smernice 95/46.

30. Tento súd sa domnieva, že je potrebné objasniť, či a za akých podmienok možno kontrolné a intervenčné právomoci dozorných orgánov v oblasti ochrany osobných údajov uplatňovať len voči „prevádzkovateľovi“ v zmysle článku 2 písm. d) smernice 95/46, alebo či možno vyvodiť zodpovednosť subjektu, ktorý nie je prevádzkovateľom spracovania osobných údajov podľa definície vyplývajúcej z toho istého ustanovenia, na základe toho, že tento subjekt sa rozhodol využiť na poskytovanie informácií sociálnu sieť Facebook.

31. V tomto poslednom uvedenom prípade sa vnútroštátny súd pýta, či taká zodpovednosť môže byť založená na analogickom uplatnení povinností týkajúcich sa výberu a kontroly, ktoré vyplývajú z článku 17 ods. 2 smernice 95/46, v rámci spracovania osobných údajov spracovateľom.

32. Vnútroštátny súd zastáva názor, že na to, aby mohol rozhodnúť o zákonnosti príkazu vydaného v prejednávanej veci, je tiež potrebné objasniť určité otázky týkajúce sa príslušnosti dozorných orgánov a rozsahu ich intervenčných právomocí.

33. Vnútroštátny súd sa konkrétne pýta na rozdelenie právomocí medzi dozornými orgánmi v prípade, keď má taká materská spoločnosť, akou je spoločnosť Facebook Inc., viaceré prevádzkarne na území Únie a tieto prevádzkarne plnia v rámci skupiny rôzne úlohy.

34. Vnútroštátny súd v tejto súvislosti pripomína, že Súdny dvor vo svojom rozsudku z 13. mája 2014, Google Spain a Google(14), rozhodol, že „článok 4 ods. 1 písm. a) smernice 95/46 sa má vykladať v tom zmysle, že spracovanie osobných údajov sa uskutočňuje v rámci činností prevádzkarne prevádzkovateľa tohto spracovania osobných údajov na území členského štátu v zmysle tohto ustanovenia, pokiaľ poskytovateľ vyhľadávača založí v členskom štáte pobočku alebo dcérsku spoločnosť určenú na zaručenie podpory a predaja reklamného priestoru ponúkaného týmto vyhľadávačom, ktorá zameriava svoju činnosť na obyvateľov tohto členského štátu“(15). Vnútroštátny súd sa pýta, či túto väzbu s prevádzkarňou, akou je spoločnosť Facebook Germany GmbH, ktorá je podľa informácií obsiahnutých v rozhodnutí vnútroštátneho súdu poverená podporou a predajom reklamného priestoru a ďalšími marketingovými činnosťami zameranými na obyvateľov Nemecka, možno na účely uplatniteľnosti smernice 95/46 a určenia príslušného dozorného orgánu preniesť na situáciu, v ktorej dcérska spoločnosť so sídlom v inom členskom štáte (v prejednávanom prípade v Írsku) vystupuje ako „prevádzkovateľ“ na celom území Únie.

35. Pokiaľ ide o adresátov opatrenia prijatého na základe článku 28 ods. 3 smernice 95/46, vnútroštátny súd poznamenáva, že príkaz vydaný voči Wirtschaftsakademie by mohol vychádzať z nesprávneho posúdenia, a preto byť protiprávny, ak by bolo možné napraviť porušenia uplatniteľnej právnej úpravy týkajúcej sa ochrany osobných údajov, ku ktorým podľa ULD došlo, opatrením adresovaným priamo dcérskej spoločnosti Facebook Germany, ktorá má sídlo v Nemecku.

36. Vnútroštátny súd tiež poznamenáva, že ULD sa domnieva, že nie je viazaný zisteniami a posúdeniami, ku ktorým dospel Data Protection Commissioner (dozorný orgán v oblasti ochrany údajov, Írsko), ktorý podľa informácií, ktoré poskytli Wirtschaftsakademie a vedľajší účastník konania vo veci samej, nespochybnil spracovanie osobných údajov, o ktoré ide vo veci samej. Tento súd preto chce jednak vedieť, či je také nezávislé posúdenie zo strany ULD prípustné, a jednak sa pýta, či z článku 28 ods. 6 druhej vety smernice 95/46 vyplývala ULD povinnosť požiadať dozorný orgán v oblasti ochrany údajov vzhľadom na rozdielny názor týchto dvoch dozorných orgánov na súlad spracovania osobných údajov, o ktoré ide vo veci samej, s pravidlami vyplývajúcimi zo smernice 95/46, aby uplatnil svoje právomoci voči spoločnosti Facebook Ireland.

37. Za týchto podmienok Bundesverwaltungsgericht (Spolkový správny súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru nasledujúce prejudiciálne otázky:

„1. Má sa článok 2 písm. d) smernice 95/46 vykladať v tom zmysle, že komplexne a vyčerpávajúco upravuje zodpovednosť za porušenie ochrany osobných údajov, alebo v rámci ‚vhodných opatrení‘ podľa článku 24 [tejto smernice] a ‚efektívnych právomocí intervencie‘ podľa článku 28 ods. 3 druhej zarážky [tejto smernice] v prípade niekoľkostupňových vzťahov poskytovateľov informácií existuje pri výbere prevádzkovateľa v súvislosti s jeho informačnou ponukou priestor na zodpovednosť subjektu, ktorý nie je zodpovedný za spracovanie osobných údajov v zmysle článku 2 písm. d) [tejto smernice]?

2. Vyplýva a contrario z povinnosti členských štátov podľa článku 17 ods. 2 smernice 95/46, že tam, kde sa spracovanie vykonáva v mene prevádzkovateľa, musí prevádzkovateľ ‚vybrať spracovateľa, ktorý poskytne dostatočné záruky vzhľadom na technické bezpečnostné opatrenia a organizačné opatrenia‘, že pri inom využívaní, ktoré nie je spojené so spracovaním v mene prevádzkovateľa v zmysle článku 2 písm. e) [tejto smernice], neexistuje povinnosť starostlivého výberu a nemožno ju vyvodiť ani z vnútroštátneho práva?

3. Je v prípadoch, keď si materská spoločnosť so sídlom mimo Únie zriadi v rôznych členských štátoch prevádzkarne, ktoré majú vlastnú právnu subjektivitu (dcérske spoločnosti), dozorný orgán členského štátu (v tomto prípade Nemecka) oprávnený podľa článku 4 a článku 28 ods. 6 smernice 95/46 vykonávať právomoci, ktoré sa naň preniesli podľa článku 28 ods. 3 [tejto smernice], voči prevádzkarni nachádzajúcej sa na jeho území aj vtedy, keď je táto prevádzkareň zodpovedná výlučne za podporu predaja reklamy a iné marketingové opatrenia zamerané na obyvateľov daného členského štátu, kým samostatná prevádzkareň (dcérska spoločnosť) nachádzajúca sa v inom členskom štáte (v tomto prípade v Írsku) je podľa rozdelenia úloh v rámci skupiny výlučne zodpovedná za zber a spracovanie osobných údajov na celom území Európskej únie, a teda aj v druhom členskom štáte (v tomto prípade v Nemecku), ak rozhodnutie o spracovaní osobných údajov v skutočnosti prijíma materská spoločnosť?

4. Majú sa článok 4 ods. 1 písm. a) a článok 28 ods. 3 smernice 95/46 vykladať v tom zmysle, že v prípadoch, keď má prevádzkovateľ prevádzkareň na území jedného členského štátu (v tomto prípade v Írsku) a na území druhého členského štátu (v tomto prípade v Nemecku) existuje ďalšia prevádzkareň s vlastnou právnou subjektivitou, ktorá zabezpečuje okrem iného predaj reklamného priestoru, pričom jej činnosť sa zameriava na obyvateľov tohto štátu, môže príslušný dozorný orgán v uvedenom druhom členskom štáte (v tomto prípade v Nemecku) vydať opatrenia a príkazy na presadzovanie právnej úpravy v oblasti ochrany osobných údajov aj voči ďalšej prevádzkarni (v tomto prípade v Nemecku), ktorá podľa rozdelenia úloh a zodpovednosti v rámci skupiny nie je zodpovedná za spracovanie osobných údajov, alebo môže opatrenia a príkazy potom vydať len dozorný orgán toho členského štátu, na území ktorého má svoje sídlo subjekt zodpovedný v rámci skupiny (v tomto prípade Írska)?

5. Majú sa článok 4 ods. 1 písm. a) a článok 28 ods. 3 a 6 smernice 95/46 vykladať v tom zmysle, že v prípadoch, keď dozorný orgán jedného členského štátu (v tomto prípade Nemecka) vyvodzuje zodpovednosť voči osobe alebo subjektu pôsobiacim na jeho území podľa článku 28 ods. 3 [tejto smernice] z dôvodu nedbanlivosti pri výbere tretej osoby zapojenej do procesu spracovania osobných údajov (v tomto prípade spoločnosti Facebook), pretože táto tretia osoba porušuje právnu úpravu v oblasti ochrany osobných údajov, konajúci (v tomto prípade nemecký) dozorný orgán je viazaný posúdením z hľadiska právnej úpravy v oblasti ochrany osobných údajov, ktoré vykonal dozorný orgán druhého členského štátu, v ktorom má tretia osoba zodpovedná za spracovanie osobných údajov svoju prevádzkareň (v tomto prípade Írska), v tom zmysle, že nemôže vykonať nijaké právne posúdenie, ktoré sa od neho odlišuje, alebo môže konajúci (v tomto prípade nemecký) dozorný orgán samostatne preskúmať zákonnosť spracovania osobných údajov treťou osobou so sídlom v inom členskom štáte (v tomto prípade v Írsku) ako predbežnú otázku predtým, ako začne konať?

6. Ak má konajúci (v tomto prípade nemecký) dozorný orgán možnosť samostatného preskúmania, má sa článok 28 ods. 6 druhá veta smernice 95/46 vykladať v tom zmysle, že efektívne intervenčné právomoci, ktoré sa tomuto dozornému orgánu udelili podľa článku 28 ods. 3 [tejto smernice], môže tento orgán vykonávať voči osobe usadenej alebo subjektu so sídlom na jeho území, pokiaľ ide o spoluzodpovednosť tretej osoby so sídlom v inom členskom štáte za porušenie ochrany osobných údajov, len vtedy, ak predtým požiadal dozorný orgán druhého členského štátu (v tomto prípade Írska) o výkon jeho právomocí?“

II. Moja analýza

38. Je potrebné spresniť, že prejudiciálne otázky položené vnútroštátnym súdom sa netýkajú otázky, či spracovanie osobných údajov, na ktoré sa vzťahujú výhrady, ktoré vzniesol ULD, teda zber a používanie údajov osôb, ktoré navštevujú fanúšikovské stránky, bez toho, aby o tom tieto osoby boli vopred informované, odporuje pravidlám vyplývajúcim zo smernice 95/46.

39. Podľa vysvetlení, ktoré poskytol vnútroštátny súd, zákonnosť príkazu, ktorý má posúdiť, závisí od nasledujúcich skutočností. Podľa jeho názoru treba najprv určiť, či ULD bol oprávnený uplatniť svoje intervenčné právomoci voči osobe, ktorá nemá postavenie prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. Vnútroštátny súd ďalej uvádza, že zákonnosť príkazu závisí tiež od toho, či mal ULD právomoc konať v súvislosti so spracovaním osobných údajov, o ktoré ide vo veci samej, či skutočnosť, že ULD neadresoval svoj príkaz spoločnosti Facebook Germany, ale Wirtschaftsakademie, nepredstavuje nesprávne posúdenie, a napokon či sa ULD nedopustil ďalšieho nesprávneho posúdenia tým, že nariadil Wirtschaftsakademie, aby zrušila svoju fanúšikovskú stránku, hoci mal predtým požiadať dozorný orgán v oblasti ochrany údajov, aby uplatnil svoje právomoci voči spoločnosti Facebook Ireland.

A. O prvej a druhej prejudiciálnej otázke

40. Svojou prvou a druhou prejudiciálnou otázkou, ktoré treba podľa môjho názoru preskúmať spoločne, vnútroštátny súd v podstate žiada Súdny dvor, aby rozhodol, či sa článok 17 ods. 2, článok 24 a článok 28 ods. 3 druhá zarážka smernice 95/46 majú vykladať v tom zmysle, že dovoľujú dozorným orgánom uplatňovať svoje intervenčné právomoci voči subjektu, ktorý nemožno považovať za „prevádzkovateľa“ v zmysle článku 2 písm. d) tej istej smernice, ale ktorého zodpovednosť predsa možno vyvodiť v prípade porušenia pravidiel týkajúcich sa ochrany osobných údajov na základe toho, že tento subjekt sa rozhodol využiť na šírenie svojej informačnej ponuky sociálnu sieť, akou je Facebook.

41. Tieto otázky spočívajú na predpoklade, že Wirtschaftsakademie nie je „prevádzkovateľom“ v zmysle článku 2 písm. d) smernice 95/46. Preto chce tento súd vedieť, či možno príkaz, o aký ide vo veci samej, vydať voči osobe, ktorá nespĺňa kritériá vymedzené v tomto ustanovení.

42. Domnievam sa však, že tento predpoklad je nesprávny. Podľa môjho názoru totiž treba Wirtschaftsakademie považovať za spoluzodpovednú za fázu spracovania, ktorá spočíva v zbere osobných údajov, ktorý uskutočňuje spoločnosť Facebook.

43. „Prevádzkovateľ“ v zmysle článku 2 písm. d) smernice 95/46 znamená „fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán [subjekt – neoficiálny preklad], ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov“.(16)

44. Prevádzkovateľ zohráva zásadnú úlohu v rámci systému zavedeného smernicou 95/46, a preto má jeho určenie rozhodujúci význam. Táto smernica totiž stanovuje, že prevádzkovateľ má viaceré povinnosti, ktoré majú zabezpečiť ochranu osobných údajov.(17) Súdny dvor zdôraznil túto zásadnú úlohu vo svojom rozsudku z 13. mája 2014, Google Spain a Google(18). Rozhodol totiž, že prevádzkovateľ musí v rámci svojich zodpovedností, kompetencií a možností zaručiť, že predmetné spracovanie osobných údajov spĺňa požiadavky smernice 95/46, aby záruky ňou stanovené mohli mať plný účinok a aby účinná a úplná ochrana dotknutých osôb, a najmä práva na rešpektovanie ich súkromia, mohla byť skutočne dosiahnutá.(19)

45. Z judikatúry Súdneho dvora tiež vyplýva, že tento pojem treba vymedziť široko, aby bola zaručená účinná a úplná ochrana dotknutých osôb.(20)

46. Prevádzkovateľ spracovania osobných údajov je osobou, ktorá rozhoduje, prečo a ako sa tieto údaje budú spracovávať. Ako uvádza pracovná skupina zriadená podľa článku 29, „pojem prevádzkovateľ je funkčný pojem, ktorého cieľom je prideliť zodpovednosť tam, kde je aj skutočný vplyv, a preto je založený skôr na faktickej ako na formálnej analýze“(21).

47. Domnievam sa, že spoločnosť Facebook Inc. a – pokiaľ ide o Úniu – spoločnosť Facebook Ireland ako tvorcovia tohto spracovania v prvom rade určili jeho ciele a spôsob.

48. Spoločnosť Facebook Inc. konkrétne vyvinula všeobecný ekonomický model, ktorý vedie k tomu, že zber osobných údajov pri navštevovaní fanúšikovských stránok a následné využívanie týchto údajov dovoľujú jednak šíriť personalizované reklamy a jednak vytvárať štatistiky návštevnosti pre správcov týchto stránok.

49. Okrem toho z listín založených v spise vyplýva, že spoločnosť Facebook Inc. určila spoločnosť Facebook Ireland za prevádzkovateľa spracovania osobných údajov v rámci Únie. Podľa vysvetlení, ktoré poskytla spoločnosť Facebook Ireland, sa spôsob fungovania sociálnej siete môže v Únii do určitej miery meniť.(22)

50. Hoci je navyše nesporné, že každý, kto má bydlisko na území Únie a chce používať Facebook, musí v rámci svojej registrácie uzavrieť zmluvu so spoločnosťou Facebook Ireland, je potrebné poukázať na to, že osobné údaje používateľov sociálnej siete Facebook s bydliskom na území Únie sa zároveň v celom rozsahu alebo sčasti prenášajú na servery patriace spoločnosti Facebook Inc., ktoré sa nachádzajú na území Spojených štátov, kde sa spracúvajú.(23)

51. Vzhľadom na účasť spoločnosti Facebook Inc. a – pokiaľ ide konkrétne o Úniu – spoločnosti Facebook Ireland na určovaní účelov a prostriedkov spracovania osobných údajov, o ktoré ide vo veci samej, tieto dva subjekty treba so zreteľom na informácie, ktoré má Súdny dvor k dispozícii, považovať za spoločne zodpovedné za toto spracovanie. V tejto súvislosti treba poukázať na to, že článok 2 písm. d) smernice 95/46 výslovne stanovuje možnosť takej spoločnej zodpovednosti. Ako uviedol samotný vnútroštátny súd, v konečnom dôsledku musí objasniť vnútorné rozhodovacie štruktúry a štruktúry spracovania osobných údajov v rámci skupiny spoločností Facebook s cieľom určiť, ktorá alebo ktoré prevádzkarne sú prevádzkovateľmi v zmysle článku 2 písm. d) smernice 95/46.(24)

52. Domnievam sa, že okrem spoločnej zodpovednosti spoločností Facebook Inc. a Facebook Ireland musí existovať – pokiaľ ide o fázu spracovania, ktorú predstavuje zber osobných údajov sociálnou sieťou Facebook(25) –, zodpovednosť správcu fanúšikovskej stránky, akým je Wirtschaftsakademie.

53. Správca fanúšikovskej stránky je síce predovšetkým používateľom sociálnej siete Facebook, ktorú využíva na to, aby mal prospech z jej nástrojov, a tak mal lepší prehľad. Toto konštatovanie však nebráni tomu, aby bol tiež považovaný za zodpovedného za fázu spracovania osobných údajov, ktorá je predmetom sporu vo veci samej, teda za zber takých údajov sociálnou sieťou Facebook.

54. Pokiaľ ide o otázku, či správca fanúšikovskej stránky „určuje“ účely a prostriedky spracovania, treba overiť, či tento správca uplatňuje právny alebo faktický vplyv na tieto účely a prostriedky. Tento prvok definície umožňuje konštatovať, že prevádzkovateľom nie je ten, kto uskutočňuje spracovanie osobných údajov, ale ten, kto určuje jeho prostriedky a účely.

55. Správca fanúšikovskej stránky tým, že na šírenie svojej informačnej ponuky využíva sociálnu sieť Facebook, súhlasí so zásadou uskutočňovania spracovania osobných údajov návštevníkov svojej stránky na účely vytvárania štatistík návštevnosti.(26) Aj keď samozrejme nie je tvorcom nástroja „Facebook Insights“, tento správca sa tým, že ho využíva, podieľa na určovaní účelov a spôsobu spracovania osobných údajov návštevníkov svojej stránky.

56. Po prvé k tomuto spracovaniu by totiž nemohlo dôjsť, ak by sa správca fanúšikovskej stránky najprv nerozhodol vytvoriť a prevádzkovať túto stránku na sociálnej sieti Facebook. Prevádzkovateľ fanúšikovskej stránky sa tým, že umožní spracovanie osobných údajov používateľov tejto stránky, pripojí k systému vytvorenému sociálnou sieťou Facebook. Získa tak lepší prehľad o profile používateľov svojej fanúšikovskej stránky a zároveň umožní sociálnej sieti Facebook presnejšie zamerať reklamu šírenú v rámci tejto sociálnej siete. Keďže prevádzkovateľ fanúšikovskej stránky akceptuje účely a prostriedky spracovania osobných údajov, ako ich vopred vymedzila sociálna sieť Facebook, treba vychádzať z toho, že sa podieľa na ich určení. Správca fanúšikovskej stránky navyše v dôsledku toho nielenže má rozhodujúci vplyv na začatie spracovania osobných údajov návštevníkov tejto stránky, ale má aj právomoc ukončiť toto spracovanie tým, že zruší svoju fanúšikovskú stránku.

57. Po druhé, hoci účely a prostriedky nástroja „Facebook Insights“ ako takého všeobecne vymedzuje spoločnosť Facebook Inc. spolu so spoločnosťou Facebook Ireland, správca fanúšikovskej stránky má možnosť ovplyvniť konkrétne využívanie tohto nástroja vymedzením kritérií, podľa ktorých sa zostavujú štatistiky návštevnosti. Keď spoločnosť Facebook vyzve správcu fanúšikovskej stránky, aby vytvoril alebo zmenil okruh návštevníkov svojej stránky, oznámi mu, že urobí všetko, čo je v jeho silách, aby zobrazil túto stránku osobám, ktoré sú pre neho najdôležitejšie. Správca fanúšikovskej stránky môže pomocou filtrov vymedziť personalizovaný okruh návštevníkov, čo mu umožňuje nielen spresniť skupinu osôb, ku ktorým sa dostanú informácie o jeho obchodnej ponuke, ale predovšetkým určiť kategórie osôb, ktorých osobné údaje bude spoločnosť Facebook zbierať. Správca fanúšikovskej stránky teda určením okruhu návštevníkov, na ktorých sa chce zamerať, zároveň určí okruh osôb, ktorých osobné údaje môže spoločnosť Facebook zbierať a potom využívať. Správca fanúšikovskej stránky preto tým, že vytvorí túto stránku, nielenže rozhodne o začatí spracovania takých údajov, ale zohráva aj vedúcu úlohu pri vykonávaní tohto spracovania zo strany sociálnej siete Facebook. Takto sa podieľa na určení prostriedkov a účelov uvedeného spracovania, pričom ho fakticky ovplyvňuje.

58. Z vyššie uvedeného vyvodzujem, že za okolností, akými sú okolnosti sporu vo veci samej, sa správca fanúšikovskej stránky na sociálnej sieti, akou je Facebook, má považovať za zodpovedného za fázu spracovania osobných údajov spočívajúcu v zbere údajov o návštevníkoch tejto stránky, ktorý vykonáva táto sociálna sieť.

59. Tento záver potvrdzuje konštatovanie, že správca fanúšikovskej stránky, akým je Wirtschaftsakademie, na jednej strane a poskytovatelia služieb, ako sú spoločnosti Facebook Inc. a Facebook Ireland, na druhej strane sledujú úzko prepojené ciele. Wirtschaftsakademie chce získať štatistiky návštevnosti na účely riadenia podpory svojej činnosti a na ich získanie je potrebné spracovanie osobných údajov. Toto spracovanie tiež umožní sociálnej sieti Facebook presnejšie zamerať reklamu, ktorá sa šíri na tejto sieti.

60. Preto je potrebné odmietnuť výklad, ktorý by bol založený výlučne na ustanoveniach a podmienkach zmluvy uzavretej medzi Wirtschaftsakademie a spoločnosťou Facebook Ireland. Zmluvne vymedzené rozdelenie úloh totiž môže byť len jednou z indícií o skutočnej úlohe účastníkov zmluvy pri vykonávaní spracovania osobných údajov. V opačnom prípade by títo účastníci mohli umelo pripísať zodpovednosť za spracovanie jednému z nich. Platí to tým skôr v situácii, keď sociálna sieť vopred vypracuje všeobecné podmienky, ktoré sú nemenné. Nemožno sa teda domnievať, že ten, kto môže len súhlasiť so zmluvou alebo ju odmietnuť, nemôže byť prevádzkovateľom. Pokiaľ ten istý zmluvný partner uzavrel zmluvu dobrovoľne, môže byť stále prevádzkovateľom vzhľadom na svoj konkrétny vplyv na prostriedky a účely tohto spracovania.

61. Skutočnosť, že zmluvu a jej podrobné obchodné podmienky pripraví poskytovateľ služieb a že subjekt, ktorý využíva služby ponúkané týmto poskytovateľom, nemá prístup k údajom, nevylučuje možnosť považovať ho za prevádzkovateľa, keďže slobodne prijal zmluvné podmienky, čím za ne prevzal plnú zodpovednosť.(27) V súlade s názorom pracovnej skupiny zriadenej podľa článku 29 treba tiež uznať, že prípadná nerovnováha pomeru síl medzi poskytovateľom a odberateľom služby nebráni možnosti označiť tohto odberateľa za „prevádzkovateľa“.(28)

62. Okrem toho na to, aby určitá osoba mohla byť považovaná za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46, nie je potrebné, aby táto osoba mala právomoc úplnej kontroly nad všetkými aspektmi spracovania. Ako belgická vláda správne uviedla na pojednávaní, taká kontrola je v praxi čoraz zriedkavejšia. Čoraz častejšie má spracúvanie komplexnú povahu v tom zmysle, že ide o viaceré samostatné spracovania, na ktorých sa podieľajú viaceré subjekty, ktoré vykonávajú kontrolu v rôznej miere. Výklad, ktorý uprednostňuje existenciu právomoci úplnej kontroly nad všetkými aspektmi spracovania, teda môže spôsobiť závažné medzery v oblasti ochrany osobných údajov.

63. Svedčia o tom skutkové okolnosti rozsudku z 13. mája 2014, Google Spain a Google(29). V tejto veci totiž išlo o reťazovité poskytovanie informácií, pričom každý z jednotlivých subjektov mal odlišný vplyv na spracovanie. V tejto veci Súdny dvor odmietol podať reštriktívny výklad pojmu „prevádzkovateľ“. Konštatoval, že poskytovateľ vyhľadávača „ako osoba, ktorá určuje ciele a prostriedky [svojej] činnosti, musí v rámci svojich zodpovedností, kompetencií a možností zaručiť, že táto činnosť spĺňa požiadavky smernice 95/46“.(30) Súdny dvor navyše spomenul možnosť spoločnej zodpovednosti poskytovateľa vyhľadávača a editorov webových stránok.(31)

64. Tak ako belgická vláda sa domnievam, že extenzívny výklad pojmu „prevádzkovateľ“ v zmysle článku 2 písm. d) smernice 95/46, ktorý treba podľa môjho názoru uplatniť v prejednávanej veci, môže zabrániť zneužívaniu. V opačnom prípade by totiž na to, aby sa podnik vyhol svojim povinnostiam v oblasti ochrany osobných údajov, stačilo, aby využil služby tretej osoby. Inak povedané, myslím si, že nemožno rozlišovať podnik, ktorý umiestni na svoju internetovú stránku nástroje podobné tým, ktoré ponúka spoločnosť Facebook, a podnik, ktorý sa zaregistruje na sociálnej sieti Facebook, aby mohol využívať nástroje, ktoré táto sieť ponúka. Treba tak zaručiť, aby sa hospodárske subjekty, ktoré využívajú službu hostingu svojej internetovej stránky, nemohli zbaviť svojej zodpovednosti tým, že vyjadria súhlas so všeobecnými podmienkami poskytovateľa služieb. Ako navyše tá istá vláda uviedla na pojednávaní, nie je neprimerané očakávať od podnikov, aby boli pri výbere svojho poskytovateľa služieb obozretné.

65. Zastávam teda názor, že ak správca fanúšikovskej stránky využíva platformu, ktorú ponúka spoločnosť Facebook, a má prospech zo služieb, ktoré sú s ňou spojené, nezbavuje ho to jeho povinností v oblasti ochrany osobných údajov. V tejto súvislosti poznamenávam, že ak by si Wirtschaftsakademie založila internetovú stránku mimo sociálnej siete Facebook, pričom na vytváranie štatistík návštevnosti by použila podobný nástroj ako „Facebook Insights“, bola by považovaná za prevádzkovateľa spracovávania osobných údajov, ktoré je nevyhnutné na vytváranie takých štatistík. Podľa môjho názoru by taký hospodársky subjekt nemal byť oslobodený od povinnosti dodržiavať pravidlá týkajúce sa ochrany osobných údajov vyplývajúce zo smernice 95/46 len preto, lebo na podporu svojich činností využíva platformu sociálnej siete Facebook. Ako samotný vnútroštátny súd správne uvádza, poskytovateľ informácií sa výberom určitého poskytovateľa infraštruktúry nemôže zbaviť povinností, ktoré mu ukladajú právne predpisy týkajúce sa ochrany osobných údajov voči používateľom jeho informačnej ponuky a ktoré by musel dodržiavať, ak by bol len poskytovateľom obsahu.(32) Opačný výklad by spôsobil riziko obchádzania pravidiel týkajúcich sa ochrany osobných údajov.

66. Tiež sa domnievam, že situáciu, o ktorú ide v prejednávanej veci, nemožno umelo odlišovať od situácie, ktorá je predmetom veci C‑40/17, Fashion ID(33).

67. Táto posledná uvedená vec sa týka situácie, v ktorej prevádzkovateľ webovej stránky vloží na svoju stránku takzvaný „sociálny modul“ (v tomto prípade tlačidlo „páči sa mi to“ na sociálnej sieti Facebook) externého poskytovateľa (teda sociálnej siete Facebook), pomocou ktorého dochádza k odoslaniu osobných údajov z počítača návštevníka webovej stránky externému poskytovateľovi.

68. V rámci sporu, ktorý je predmetom uvedenej veci, združenie na ochranu spotrebiteľov vytýka spoločnosti Fashion ID, že vložením modulu „páči sa mi to“, ktorý poskytuje sociálna sieť Facebook, na svoju webovú stránku umožnila tejto sociálnej sieti získať prístup k osobným údajom návštevníkov tejto stránky bez ich súhlasu a v rozpore s informačnými povinnosťami stanovenými v právnych predpisoch týkajúcich sa ochrany osobných údajov. Vzniká teda otázka, či vzhľadom na to, že Fashion ID umožňuje sociálnej sieti Facebook získať prístup k osobným údajom návštevníkov svojej internetovej stránky, túto spoločnosť možno označiť za „prevádzkovateľa“ v zmysle článku 2 písm. d) smernice 95/46.

69. V tejto súvislosti nevidím zásadný rozdiel medzi situáciou, v ktorej sa nachádza správca fanúšikovskej stránky, a situáciou prevádzkovateľa webovej stránky, ktorý do svojej webovej stránky vloží kód poskytovateľa webtrackingových služieb, a tak – bez vedomia používateľa internetu – umožní poskytovateľovi webtrackingových služieb prenos osobných údajov, ukladanie cookies a zber osobných údajov.

70. Sociálne pluginy umožňujú prevádzkovateľom webových stránok využívať určité služby sociálnych sietí na svojich vlastných webových stránkach s cieľom zlepšiť viditeľnosť týchto stránok, napríklad tým, že do svojej stránky vložia tlačidlo „páči sa mi to“ zo sociálnej siete Facebook. Prevádzkovatelia webových stránok, ktorých súčasťou sú sociálne pluginy – tak ako správcovia fanúšikovských stránok –, môžu využívať službu „Facebook Insights“ s cieľom získať presné štatistické informácie o používateľoch svojej stránky.

71. Tak ako v prípade návštevy fanúšikovskej stránky, aj návšteva webovej stránky obsahujúcej sociálny plugin vedie k odoslaniu osobných údajov dotknutému poskytovateľovi.

72. Domnievam sa, že za takých okolností by sa prevádzkovateľ webovej stránky, ktorá obsahuje sociálny plugin – tak ako správca fanúšikovskej stránky –, z dôvodu, že uplatňuje faktický vplyv na fázu spracovania týkajúcu sa odosielania osobných údajov do sociálnej siete Facebook, mal považovať za „prevádzkovateľa“ v zmysle článku 2 písm. d) smernice 95/46.(34)

73. Dodávam, že – ako belgická vláda správne uvádza – konštatovanie, že keď sa Wirtschaftsakademie rozhodne využiť pre svoju informačnú ponuku služby sociálnej siete Facebook, vystupuje ako spoluprevádzkovateľ, nemá nijaký vplyv na povinnosti spoločností Facebook Inc. a Facebook Ireland ako prevádzkovateľov. Je totiž jasné, že tieto dva subjekty majú rozhodujúci vplyv na účely a prostriedky spracovania osobných údajov, ku ktorému dochádza pri návšteve fanúšikovskej stránky a ktoré tiež používajú pre svoje vlastné potreby a záujmy.

74. Uznanie spoločnej zodpovednosti správcov fanúšikovských stránok za fázu spracovania spočívajúcu v zbere osobných údajov, ktorý vykonáva spoločnosť Facebook, však prispieva k zaručeniu úplnejšej ochrany práv návštevníkov takýchto stránok. Okrem toho, ak majú správcovia fanúšikovských stránok aktívnu povinnosť dodržiavať pravidlá ochrany osobných údajov v dôsledku toho, že sú považovaní za prevádzkovateľov, môže to nepriamo nabádať samotnú platformu sociálnej siete, aby dodržiavala tieto pravidlá.

75. Je tiež potrebné spresniť, že existencia spoločnej zodpovednosti neznamená rovnakú zodpovednosť. Naopak, rôzni prevádzkovatelia môžu byť zapojení do spracovania osobných údajov v rôznych fázach a stupňoch.(35)

76. Ako uvádza pracovná skupina zriadená podľa článku 29, „možnosť pluralistickej kontroly rieši rastúci počet situácií, v ktorých rôzne strany konajú ako prevádzkovatelia. Posúdenie tejto spoločnej kontroly by malo odzrkadľovať posúdenie ‚samostatnej‘ kontroly pomocou podstatného a funkčného prístupu a zameraním sa na to, či viac ako jedna strana určuje účely a základné prvky prostriedkov. Účasť strán na určovaní účelov a prostriedkov spracovania v kontexte spoločnej kontroly môže mať rôzne podoby a nemusí byť rovnomerne rozdelená“(36). Totiž, „ak je aktérov viac, môžu mať veľmi úzky vzťah (napríklad spoločné všetky účely a prostriedky spracovania) alebo voľnejší vzťah (napríklad spoločné iba všetky účely alebo prostriedky alebo ich časti). Preto by sa malo uvažovať o širokej škále typov spoločnej kontroly a podľa toho by sa mali posudzovať aj ich právne následky, aby sa umožnila určitá pružnosť s cieľom vystihnúť rastúcu zložitosť súčasnej skutočnosti v oblasti spracovania údajov“(37).

77. Z vyššie uvedeného vyplýva, že podľa môjho názoru treba správcu fanúšikovskej stránky na sociálnej sieti Facebook považovať popri spoločnostiach Facebook Inc. a Facebook Ireland za prevádzkovateľa spracovania osobných údajov, ktoré sa vykonáva na účely vytvorenia štatistík návštevnosti týkajúcich sa tejto stránky.

B. O tretej a štvrtej prejudiciálnej otázke

78. Svojou treťou a štvrtou prejudiciálnou otázkou, ktoré treba podľa môjho názoru preskúmať spoločne, chce vnútroštátny súd získať od Súdneho dvora spresnenia týkajúce sa výkladu článku 4 ods. 1 písm. a) a článku 28 ods. 1, 3 a 6 smernice 95/46 v situácii, keď materská spoločnosť so sídlom mimo Únie, akou je spoločnosť Facebook Inc., poskytuje služby týkajúce sa sociálnej siete na území Únie prostredníctvom viacerých prevádzkarní. Jednu z týchto prevádzkarní určila materská spoločnosť za prevádzkovateľa spracovania osobných údajov na území Únie (spoločnosť Facebook Ireland) a druhá prevádzkareň zabezpečuje podporu a predaj reklamného priestoru, ako aj marketingové činnosti zamerané na obyvateľov Nemecka (spoločnosť Facebook Germany). Za týchto okolností sa vnútroštátny súd jednak pýta, či je nemecký dozorný orgán oprávnený uplatniť svoje intervenčné právomoci s cieľom prerušiť sporné spracovanie osobných údajov, a jednak chce vedieť, voči ktorej prevádzkarni možno uplatniť také právomoci.

79. V reakcii na pochybnosti, ktoré ULD a talianska vláda uviedli v súvislosti s prípustnosťou tretej a štvrtej prejudiciálnej otázky, poznamenávam, že Bundesverwaltungsgericht (Spolkový správny súd) vo svojom návrhu na začatie prejudiciálneho konania vysvetľuje, že potrebuje objasniť tieto otázky, aby mohol rozhodnúť o zákonnosti príkazu, o ktorý ide vo veci samej. Tento súd konkrétne tvrdí, že príkaz vydaný voči Wirtschaftsakademie by mohol vychádzať z nesprávneho posúdenia, a preto byť protiprávny, ak by bolo možné napraviť porušenia uplatniteľnej právnej úpravy týkajúcej sa ochrany osobných údajov, ku ktorým podľa ULD došlo, opatrením adresovaným priamo dcérskej spoločnosti Facebook Germany, ktorá má sídlo v Nemecku.(38) Táto úvaha vnútroštátneho súdu podľa môjho názoru umožňuje náležite pochopiť dôvody, pre ktoré tento súd kladie Súdnemu dvoru tretiu a štvrtú prejudiciálnu otázku. Vzhľadom na prezumpciu relevantnosti, ktorá platí pri návrhoch na začatie prejudiciálneho konania,(39) preto navrhujem, aby Súdny dvor odpovedal na tieto otázky.

80. V zmysle článku 4 smernice 95/46, nazvaného „Uplatniteľnosť vnútroštátneho práva [Uplatniteľné vnútroštátne právo – neoficiálny preklad]“:

„1. Každý členský štát uplatňuje vnútroštátne ustanovenia, ktoré prijme na základe tejto smernice, na spracovanie osobných údajov tam, kde:

a) sa spracovanie vykonáva v kontexte činností ustanovenia [prevádzkarne – neoficiálny preklad] kontrolóra [prevádzkovateľa – neoficiálny preklad] na území členského štátu; keď je tá istá inštitúcia, ktorá riadi spracovanie, ustanovená [keď je ten istý prevádzkovateľ usadený – neoficiálny preklad] na území niekoľkých členských štátov, musí prijať nevyhnutné opatrenia, aby zaistila, že každé z týchto ustanovení je v súlade so záväzkami [aby zaistil, že každá z týchto prevádzkarní si plní povinnosti – neoficiálny preklad], ktoré predpisuje uplatniteľnosť vnútroštátneho práva [uplatniteľné vnútroštátne právo – neoficiálny preklad]

…“

81. Pracovná skupina zriadená podľa článku 29 vo svojom stanovisku 8/2010 zo 16. decembra 2010 k uplatniteľným právnym predpisom(40) spomenula uplatnenie článku 4 ods. 1 písm. a) smernice 95/46 v nasledujúcej situácii: „Platforma sociálnej siete má hlavné sídlo v tretej krajine a sídlo v členskom štáte. Jej sídlo definuje a vykonáva politiky týkajúce sa spracovania osobných údajov osôb s pobytom v [Únii]. Sociálna sieť je aktívne zameraná na osoby s pobytom vo všetkých členských štátoch [Únie], ktor[é] tvoria významný podiel jej zákazníkov a príjmov. Zároveň inštaluje cookies do počítačov používateľov v [Únii]. V tomto prípade, podľa článku 4 ods. 1 písm. a) [smernice 95/46], budú uplatniteľné právne predpisy o ochrane osobných údajov platné v členskom štáte, v ktorom je spoločnosť usadená v rámci [Únie]. Otázka, či sociálna sieť využíva zariadenie umiestnené na území iných členských štátov, je irelevantná, pretože celé spracovanie sa uskutočňuje v kontexte činností jedného sídla a smernica vylučuje kumulačné uplatňovanie článku 4 ods. 1 písm. a) a článku 4 ods. 1 písm. c) [tejto smernice]“(41). Pracovná skupina zriadená podľa článku 29 tiež spresnila, že „dozorný orgán členského štátu, v ktorom je sociálna sieť usadená v rámci [Únie], však – podľa článku 28 ods. 6 [uvedenej smernice] – má povinnosť spolupracovať s ďalšími dozornými orgánmi, napríklad s cieľom vybaviť žiadosti alebo sťažnosti od osôb s pobytom v iných krajinách [Únie]“(42).

82. Prípad uvedený v predchádzajúcom bode nevyvoláva takmer nijaké ťažkosti, pokiaľ ide o určenie uplatniteľného vnútroštátneho práva. Keďže v takom prípade má materská spoločnosť v rámci Únie len jednu prevádzkareň, na predmetné spracovanie osobných údajov sa uplatní právo členského štátu, v ktorom sa nachádza táto prevádzkareň.

83. Situácia je zložitejšia, keď – tak ako je to v prejednávanej veci – spoločnosť so sídlom v treťom štáte, akou je spoločnosť Facebook Inc., vykonáva činnosť v rámci Únie jednak prostredníctvom prevádzkarne, ktorú táto spoločnosť určila za subjekt, ktorý má výlučnú zodpovednosť za zber a spracovanie osobných údajov v rámci skupiny spoločností Facebook na celom území Únie (spoločnosť Facebook Ireland), a jednak prostredníctvom ďalších prevádzkarní, pričom jedna z nich sa nachádza v Nemecku (spoločnosť Facebook Germany) a podľa informácií uvedených v rozhodnutí vnútroštátneho súdu je poverená podporou a predajom reklamného priestoru a ďalšími marketingovými činnosťami zameranými na obyvateľov tohto členského štátu.(43)

84. Je v takej situácii nemecký dozorný orgán oprávnený uplatniť intervenčné právomoci s cieľom ukončiť spracovanie osobných údajov, za ktoré spoločnosti Facebook Inc. a Facebook Ireland spoločne zodpovedajú?

85. Na zodpovedanie tejto otázky treba určiť, či je nemecký dozorný orgán oprávnený uplatniť na také spracovanie svoje vnútroštátne právo.

86. V tejto súvislosti z článku 4 ods. 1 písm. a) smernice 95/46 vyplýva, že spracovanie osobných údajov, ktoré sa vykonáva v kontexte činností prevádzkarne, sa spravuje právom členského štátu, na území ktorého sa nachádza táto prevádzkareň.

87. Súdny dvor už rozhodol, že vzhľadom na cieľ sledovaný touto smernicou, ktorým je zaručiť účinnú a úplnú ochranu základných práv a slobôd fyzických osôb, a najmä ich práva na súkromie v súvislosti so spracovaním osobných údajov, nemožno výraz „v kontexte činností prevádzkarne“ uvedený v článku 4 ods. 1 písm. a) uvedenej smernice vykladať reštriktívne.(44)

88. Predpokladom uplatnenia právneho predpisu členského štátu, ktorým sa preberá smernica 95/46, na spracovanie osobných údajov je splnenie dvoch podmienok. Po prvé prevádzkovateľ tohto spracovania musí mať v tomto členskom štáte „prevádzkareň“. Po druhé toto spracovanie sa musí vykonávať „v kontexte činností“ tejto prevádzkarne.

89. Pokiaľ ide po prvé o pojem „prevádzkareň“ v zmysle článku 4 ods. 1 písm. a) smernice 95/46, Súdny dvor už spresnil – pričom vyložil tento pojem extenzívne a flexibilne –, že tento pojem sa vzťahuje na každú hoci aj minimálnu skutočnú a efektívnu činnosť, ktorá je vykonávaná prostredníctvom stálej prevádzkarne(45), čím vylúčil akýkoľvek formálny prístup(46).

90. Z tohto hľadiska je potrebné zhodnotiť tak mieru stability prevádzkarne, ako aj to, či skutočne vykonáva činnosti v dotknutom členskom štáte(47), s ohľadom na špecifickú povahu dotknutých ekonomických činností a poskytovaných služieb(48). V tejto súvislosti je nesporné, že spoločnosť Facebook Germany, ktorej sídlo sa nachádza v Hamburgu (Nemecko), skutočne a efektívne vykonáva činnosť prostredníctvom stálej prevádzkarne v Nemecku. Preto je „prevádzkarňou“ v zmysle článku 4 ods. 1 písm. a) smernice 95/46.

91. Pokiaľ ide po druhé o to, či sa predmetné spracovanie osobných údajov uskutočňuje „v kontexte činností“ tejto prevádzkarne v zmysle článku 4 ods. 1 písm. a) smernice 95/46, Súdny dvor už pripomenul, že toto ustanovenie nevyžaduje, aby sa spracovanie dotknutých osobných údajov vykonalo „prostredníctvom“ samotnej dotknutej prevádzkarne, ale aby sa vykonalo len „v kontexte činností“ tejto prevádzkarne.(49)

92. Ako vyplýva zo stanoviska 8/2010, „pre identifikáciu rozsahu pôsobnosti uplatniteľných právnych predpisov je rozhodujúcim faktorom pojem ‚kontext činností‘, a nie umiestnenie údajov. Z pojmu ‚kontext činností‘ vyplýva, že uplatniteľné právne predpisy nie sú právne predpisy členského štátu, v ktorom je prevádzkovateľ usadený, ale členského štátu, v ktorom sa sídlo prevádzkovateľa zapája do činností [spojených so spracovaním osobných údajov alebo činností, pri ktorých dochádza k tomuto spracovaniu]. V tomto kontexte je rozhodujúci stupeň zapojenia sídla alebo sídel do činností, v kontexte ktorých sa spracúvajú osobné údaje. Okrem toho by sa mala zohľadniť povaha činností sídel a potreba zaručiť účinnú ochranu práv jednotlivcov. V rámci analýzy týchto kritérií by sa mal prijať funkčný prístup: Skôr ako teoretické označenie uplatniteľných právnych predpisov stranami by malo byť rozhodujúce ich praktické správanie a interakcia“(50).

93. Súdny dvor mal overiť splnenie tejto podmienky v rozsudku z 13. mája 2014, Google Spain a Google(51). Vychádzal z extenzívneho výkladu, pričom konštatoval, že spracovanie osobných údajov, ktoré sa vykonáva pre potreby služby vyhľadávača, akým je Google Search, ktorý je poskytovaný podnikom so sídlom v treťom štáte, ktorý však má prevádzkareň v členskom štáte, sa vykonáva „v kontexte činností“ tejto prevádzkarne, pokiaľ je táto prevádzkareň v tomto členskom štáte určená na zabezpečovanie podpory a predaja reklamného priestoru ponúkaného týmto vyhľadávačom, ktoré zabezpečujú výnosnosť služby ponúkanej týmto vyhľadávačom.(52) Súdny dvor totiž poukázal na to, že „za týchto okolností sú… činnosti poskytovateľa vyhľadávača a činnosti jeho prevádzkarne nachádzajúcej sa v dotknutom členskom štáte neoddeliteľne spojené, keďže činnosti týkajúce sa reklamného priestoru predstavujú prostriedok, v dôsledku ktorého sa dotknutý vyhľadávač stáva hospodársky výnosný, pričom tento vyhľadávač je súčasne prostriedkom, ktorý umožňuje vykonanie týchto činností“(53). Súdny dvor na podporu svojho riešenia dodal, že keďže zobrazenie osobných údajov na stránke s výsledkami vyhľadávania „je sprevádzané na tej istej strane zobrazením reklám súvisiacich s vyhľadávanými pojmami, je nutné konštatovať, že spracovanie dotknutých osobných údajov sa uskutočňuje v rámci reklamnej a obchodnej činnosti prevádzkarne prevádzkovateľa spracovania osobných údajov na území členského štátu, v prejednávanej veci na španielskom území“(54).

94. Podľa informácií obsiahnutých v návrhu na začatie prejudiciálneho konania je pritom spoločnosť Facebook Germany poverená podporou a predajom reklamného priestoru a ďalšími marketingovými činnosťami zameranými na obyvateľov Nemecka. Pokiaľ je cieľom spracovania osobných údajov, o ktoré ide vo veci samej, spočívajúceho v zbere takých údajov prostredníctvom cookies uložených na počítačoch návštevníkov fanúšikovských stránok, najmä umožniť sociálnej sieti Facebook presnejšie zamerať reklamy, ktoré šíri, treba konštatovať, že také spracovanie sa uskutočňuje v kontexte činností, ktoré spoločnosť Facebook Germany vykonáva v Nemecku. V tejto súvislosti treba vzhľadom na to, že sociálna sieť, akou je Facebook, získava väčšinu svojich príjmov z reklamy, ktorá sa zobrazí na webových stránkach, ktoré užívatelia vytvárajú a na ktoré vstupujú(55), konštatovať, že činnosti spoločných prevádzkovateľov spracovania osobných údajov, akými sú spoločnosti Facebook Inc. a Facebook Ireland, sú neoddeliteľne spojené s činnosťami prevádzkarne, akou je spoločnosť Facebook Germany. Okrem toho v dôsledku spracovania osobných údajov umožneného uložením cookie na počítači návštevníka stránky, ktorá patrí k doménovému menu Facebook.com, sa pri otvorení stránky Facebook na tej istej webovej stránke zobrazia reklamy, ktoré súvisia so záujmami tohto návštevníka. Z toho treba vyvodiť, že predmetné spracovanie osobných údajov sa vykonáva v kontexte reklamnej a obchodnej činnosti prevádzkarne prevádzkovateľa na území jedného z členských štátov, v tomto prípade na území Nemecka.

95. Skutočnosť, že skupina spoločností Facebook – na rozdiel od situácie, o ktorú išlo vo veci, v ktorej bol vydaný rozsudok z 13. mája 2014, Google Spain a Google(56) – má sídlo v Európe, konkrétne v Írsku, nebráni tomu, aby sa výklad článku 4 ods. 1 písm. a) smernice 95/46, z ktorého Súdny dvor vychádzal v tomto rozsudku, uplatnil aj v prejednávanej veci. V uvedenom rozsudku Súdny dvor vyjadril ochotu zabrániť tomu, aby sa na spracovanie osobných údajov nevzťahovali povinnosti a záruky stanovené touto smernicou. V konaní v prejednávanej veci bolo uvedené, že problém spojený s takým obchádzaním v tomto prípade neexistuje, lebo prevádzkovateľ má sídlo v jednom z členských štátov, konkrétne v Írsku. Podľa tohto prístupu sa má teda článok 4 ods. 1 písm. a) uvedenej smernice vykladať tak, že ukladá tomuto prevádzkovateľovi povinnosť zohľadniť len jeden – v tomto prípade írsky – vnútroštátny právny poriadok a byť podriadený len jednému – v tomto prípade írskemu – dozornému orgánu.

96. Taký výklad však odporuje zneniu článku 4 ods. 1 písm. a) smernice 95/46, ako aj vývoju tohto ustanovenia. Ako totiž belgická vláda správne poznamenala na pojednávaní, táto smernica nezavádza mechanizmus jednotného kontaktného miesta ani zásadu krajiny pôvodu.(57) V tejto súvislosti si nemožno zamieňať politický cieľ, ktorý sledovala Európska komisia vo svojom návrhu smernice, s riešením, ktoré napokon schválila Rada Európskej únie. Tento normotvorca sa v uvedenej smernici rozhodol neuprednostniť uplatnenie vnútroštátneho práva členského štátu, v ktorom sa nachádza hlavná prevádzkareň prevádzkovateľa. Výsledné znenie smernice 95/46 vyjadruje vôľu členských štátov ponechať si svoju vnútroštátnu výkonnú právomoc. Normotvorca Únie tým, že nestanovil zásadu krajiny pôvodu, dovolil každému členskému štátu uplatňovať svoje vnútroštátne predpisy, a tak umožnil kumuláciu uplatniteľných vnútroštátnych právnych predpisov.(58)

97. Normotvorca Únie sa tým, že prijal článok 4 ods. 1 písm. a) uvedenej smernice, zámerne rozhodol umožniť, aby sa v prípade, ak má prevádzkovateľ v rámci Únie viaceré prevádzkarne, na spracovávanie osobných údajov osôb s bydliskom v dotknutých členských štátoch mohli uplatniť viaceré vnútroštátne právne úpravy týkajúce sa ochrany osobných údajov, s cieľom zaručiť účinnú ochranu práv týchto osôb na území týchto členských štátov.

98. Potvrdzuje to odôvodnenie 19 smernice 95/46, ktoré spresňuje, že „ak je jeden kontrolór, resp. inštitúcia, ktorá spracovanie riadi, zavedený [ak je jeden prevádzkovateľ usadený – neoficiálny preklad] na území niekoľkých členských štátov, najmä prostredníctvom dcérskych spoločností, potom tento kontrolór [prevádzkovateľ – neoficiálny preklad] musí zabezpečiť, aby nedošlo k obchádzaniu vnútroštátneho práva, aby každý z podnikov spĺňal [si každá z prevádzkarní plnila – neoficiálny preklad] povinnosti uložené vnútroštátnym právom, ktoré je uplatniteľné na jeho [jej – neoficiálny preklad] činnosti“.

99. Z článku 4 ods. 1 písm. a) smernice 95/46, ktorého druhá veta spresňuje – v zmysle toho, čo je uvedené v odôvodnení 19 tejto smernice –, že ak je ten istý prevádzkovateľ usadený na území niekoľkých členských štátov, musí prijať nevyhnutné opatrenia, aby zaistil, že každá z jeho prevádzkarní si bude plniť povinnosti stanovené uplatniteľným vnútroštátnym právom, teda vyvodzujem, že štruktúra skupiny, ktorá sa vyznačuje tým, že prevádzkovateľ má prevádzkarne v niekoľkých členských štátoch, nesmie umožniť prevádzkovateľovi obísť právo členského štátu, na území ktorého sa každá z týchto prevádzkarní nachádza.

100. Dodávam, že výklad, podľa ktorého sa má výlučne uplatňovať právo členského štátu, v ktorom sa nachádza európske sídlo medzinárodnej skupiny, podľa môjho názoru od vydania rozsudku z 28. júla 2016, Verein für Konsumenteninformation(59), už neobstojí. V tomto rozsudku Súdny dvor rozhodol, že spracovanie osobných údajov podnikom elektronického obchodu podlieha právu toho členského štátu, do ktorého tento podnik nasmeroval svoju činnosť, ak sa zistí, že uvedený podnik spracováva dotknuté údaje v kontexte činností prevádzkarne nachádzajúcej sa v tomto členskom štáte. Súdny dvor takto rozhodol napriek tomu, že Amazon – tak ako spoločnosť Facebook – je podnikom, ktorý má nielen európske sídlo v jednom z členských štátov, ale tiež má fyzické zastúpenie v niekoľkých členských štátoch. V takom prípade je tiež potrebné preskúmať, či sa spracovanie údajov uskutočňuje v kontexte činností prevádzkarne v inom členskom štáte, než je členský štát, v ktorom sa nachádza európske sídlo prevádzkovateľa.

101. Ako poznamenáva belgická vláda, je teda celkom možné, že pre uplatnenie článku 4 ods. 1 písm. a) smernice 95/46 bude relevantná iná prevádzkareň než tá, ktorá zodpovedá európskemu sídlu podniku.

102. V rámci systému zavedeného touto smernicou teda miesto, kde sa uskutočňuje spracovanie, tak ako miesto, kde si prevádzkovateľ zriadil sídlo v rámci Únie, v prípade, ak má tento prevádzkovateľ v rámci Únie viaceré prevádzkarne, nie sú rozhodujúce pre určenie vnútroštátneho práva, ktoré sa uplatní na spracovanie osobných údajov, a pre priznanie oprávnenia dozornému orgánu vykonávať svoje intervenčné právomoci.

103. V tejto súvislosti by Súdny dvor podľa môjho názoru nemal predčasne uplatniť právnu úpravu, ktorá bola zavedená všeobecným nariadením o ochrane údajov(60), ktoré sa bude uplatňovať od 25. mája 2018. V rámci tejto právnej úpravy je zavedený mechanizmus jednotného kontaktného miesta. To znamená, že prevádzkovateľ, ktorý uskutočňuje cezhraničné spracúvanie, ako je spoločnosť Facebook, bude mať len jeden dozorný orgán, ktorý bude jeho partnerom, a to vedúci dozorný orgán, ktorým bude dozorný orgán v mieste, kde sa nachádza hlavná prevádzkareň prevádzkovateľa. Táto právna úprava, ako aj sofistikovaný mechanizmus spolupráce, ktorý sa ňou zavádza, sa však ešte neuplatňujú.

104. Je pravda, že pokiaľ sa spoločnosť Facebook rozhodla zriadiť si hlavné sídlo v Únii v Írsku, dozorný orgán tohto členského štátu musí zohrávať dôležitú úlohu pri overovaní, či spoločnosť Facebook dodržiava pravidlá vyplývajúce zo smernice 95/46. Ako však tento orgán sám uznáva, to neznamená, že v rámci súčasného systému založeného na tejto smernici má výlučnú právomoc, pokiaľ ide o činnosti sociálnej siete Facebook v rámci Únie.(61)

105. V dôsledku všetkých týchto úvah sa – tak ako belgická vláda, holandská vláda a ULD – domnievam, že výklad článku 4 ods. 1 písm. a) smernice 95/46, z ktorého Súdny dvor vychádzal vo svojom rozsudku z 13. mája 2014, Google Spain a Google,(62) sa uplatní aj v situácii, o akú ide vo veci samej, keď je prevádzkovateľ usadený v jednom z členských štátov Únie a má v rámci Únie viaceré prevádzkarne.

106. Na základe informácií o povahe činností vykonávaných spoločnosťou Facebook Germany, ktoré poskytol vnútroštátny súd, je potrebné konštatovať, že sporné spracovanie osobných údajov sa vykonáva v kontexte činností tejto prevádzkarne a že článok 4 ods. 1 písm. a) smernice 95/46 v situácii, o akú ide vo veci samej, dovoľuje uplatniť nemecké právne predpisy týkajúce sa ochrany osobných údajov.(63)

107. Nemecký dozorný orgán je teda oprávnený uplatniť svoje vnútroštátne právo na spracovanie osobných údajov, o ktoré ide vo veci samej.

108. Z článku 28 ods. 1 tejto smernice vyplýva, že každý dozorný orgán zriadený členským štátom monitoruje na svojom území dodržiavanie ustanovení prijatých členskými štátmi v súlade s uvedenou smernicou.

109. Podľa článku 28 ods. 3 smernice 95/46 majú tieto dozorné orgány najmä vyšetrovacie právomoci, akými sú napríklad práva zbierať všetky informácie nevyhnutné na plnenie svojich povinností dozoru, a efektívne intervenčné právomoci, akými sú napríklad nariadenie zablokovania, vymazania alebo zničenia údajov, uvalenie dočasného alebo úplného zákazu na spracovanie alebo upozornenie alebo napomenutie prevádzkovateľa spracúvajúceho údaje. Tieto intervenčné právomoci môžu zahŕňať aj právomoc sankcionovať prevádzkovateľa spracúvajúceho údaje a uložiť mu pokutu.(64)

110. Článok 28 ods. 6 smernice 95/46 je sformulovaný takto:

„Každý kontrolný [dozorný – neoficiálny preklad] orgán je kompetentný, bez ohľadu na príslušné vnútroštátne právo uplatniteľné na spracovanie, vykonávať na území svojho členského štátu právomoci jemu udelené v súlade s odsekom 3. Každý orgán môže byť požiadaný orgánom iného členského štátu, aby uplatnil svoje právomoci.

Dozorné orgány navzájom spolupracujú do miery, nevyhnutnej na plnenie svojich povinností, najmä výmenou všetkých užitočných informácií.“

111. Vzhľadom na skutočnosť, že na spracovanie osobných údajov, o ktoré ide vo veci samej, sa uplatní nemecké právo, nemecký dozorný orgán môže uplatniť všetky svoje intervenčné právomoci s cieľom zaručiť, aby spoločnosť Facebook na území Nemecka uplatňovala a dodržiavala nemecké právo. Taký záver vyplýva z rozsudku z 1. októbra 2015, Weltimmo(65), ktorý umožnil spresniť pôsobnosť článku 28 ods. 1, 3 a 6 smernice 95/46.

112. Základnou otázkou, o ktorú išlo v tejto veci, bolo určiť, či má maďarský dozorný orgán právomoc uložiť pokutu poskytovateľovi služieb usadenému v inom členskom štáte, konkrétne na Slovensku. Na určenie tejto právomoci bolo potrebné najprv preskúmať, či sa na základe kritéria stanoveného v článku 4 ods. 1 písm. a) smernice 95/46 malo uplatniť maďarské právo.

113. V prvej časti svojej odpovede poskytol Súdny dvor vnútroštátnemu súdu viaceré informácie, ktoré tomuto súdu umožnili preukázať existenciu usadenia sa prevádzkovateľa v Maďarsku. Navyše usúdi§, že toto spracovanie údajov sa vykonávalo v kontexte činností tejto prevádzkarne a že článok 4 ods. 1 písm. a) smernice 95/46 umožňoval v situácii, o akú išlo v tejto veci, uplatnenie maďarského práva týkajúceho sa ochrany osobných údajov.

114. Táto prvá časť odpovede Súdneho dvora teda potvrdzovala právomoc maďarského dozorného orgánu uložiť na základe maďarského práva pokutu poskytovateľovi služieb usadenému v inom členskom štáte, konkrétne spoločnosti Weltimmo.

115. Inak povedané, ak podľa kritéria uvedeného v článku 4 ods. 1 písm. a) smernice 95/46 bolo možné uznať maďarské právo za uplatniteľné vnútroštátne právo, maďarský dozorný orgán mal právomoc zabezpečiť dodržiavanie tohto práva v prípade, ak ho prevádzkovateľ porušil, aj keď bol tento prevádzkovateľ zaregistrovaný na Slovensku. Na základe tohto ustanovenia smernice 95/46 bolo možné konštatovať, že hoci bola Weltimmo zaregistrovaná na Slovensku, bola usadená aj v Maďarsku. Skutočnosť, že prevádzkovateľ mal v Maďarsku prevádzkareň, ktorá vykonávala činnosti, v kontexte ktorých sa uskutočňovalo toto spracovanie, bola teda nevyhnutným predpokladom uznania uplatniteľnosti maďarského práva, a teda aj právomoci maďarského dozorného orgánu zabezpečiť dodržiavanie tohto práva na území Maďarska.

116. Druhá časť odpovede Súdneho dvora, v ktorej Súdny dvor poukázal na zásadu územnej pôsobnosti právomocí každého dozorného orgánu, bola uvedená len subsidiárne, a to „pre prípad, že maďarský dozorný orgán usúdi, že stála prevádzkareň spoločnosti Weltimmo v zmysle článku 4 ods. 1 písm. a) smernice 95/46, ktorá vykonáva činnosti, v kontexte ktorých sa uskutočňuje spracovanie dotknutých osobných údajov, nie je v Maďarsku, ale v inom členskom štáte“(66). Ide teda o odpoveď na otázku, či „v prípade, ak by maďarský dozorný orgán došiel k záveru, že právom uplatniteľným na spracovanie osobných údajov nie je maďarské právo, ale právo iného členského štátu, mal by sa článok 28 ods. 1, 3 a 6 smernice 95/46 vykladať v tom zmysle, že tento orgán môže vykonávať iba právomoci stanovené v článku 28 ods. 3 tejto smernice v súlade s právom tohto iného členského štátu a nemôže ukladať sankcie“(67).

117. V tejto druhej časti svojej odpovede teda Súdny dvor spresnil tak vecný, ako aj územný rozsah právomocí, ktoré môže dozorný orgán vykonávať v špecifickej situácii, a to v situácii, keď sa neuplatní právo členského štátu tohto dozorného orgánu.

118. Súdny dvor konštatoval, že v takomto prípade „právomoci [uvedeného] orgánu nezahŕňajú nutne všetky právomocí, ktoré sú mu priznané právom jeho vlastného členského štátu“(68). To znamená, že „tento orgán [môže] vykonávať svoje vyšetrovacie právomoci bez ohľadu na uplatniteľné právo a dokonca pred zistením, ktoré vnútroštátne právo je na dotknuté spracovanie údajov uplatniteľné. Ak však dôjde k záveru, že uplatniteľné je právo iného členského štátu, nemôže ukladať sankcie mimo územia svojho členského štátu. V takejto situácii musí v súlade s povinnosťou spolupráce uloženou článkom 28 ods. 6 [smernice 95/46] požiadať dozorný orgán tohto iného členského štátu, aby rozhodol o prípadnom porušení tohto práva a uložil sankcie, ak to uvedené právo dovoľuje, pričom sa môže prípadne opierať o informácie, ktoré mu dozorný orgán prvého členského štátu poskytol“(69).

119. Z rozsudku z 1. októbra 2015, Weltimmo,(70) vyvodzujem nasledujúce závery pre prejednávanú vec.

120. Na rozdiel od hypotézy, na ktorej Súdny dvor založil svoje úvahy týkajúce sa právomocí dozorných orgánov v tejto druhej časti rozsudku z 1. októbra 2015, Weltimmo,(71) v prejednávanej veci ide o situáciu analogickú k tej, ktorej sa týkala prvá časť tohto rozsudku, v ktorej – ako som uviedol vyššie – uplatniteľným vnútroštátnym právom je právo členského štátu dozorného orgánu, ktorý vykonáva svoje intervenčné právomoci, a to z dôvodu, že na území tohto členského štátu sa nachádza prevádzkareň prevádzkovateľa, ktorej činnosť je neoddeliteľne spojená s týmto spracovaním. Skutočnosť, že táto prevádzkareň sa nachádza v Nemecku, je nevyhnutným predpokladom uplatnenia nemeckého práva na sporné spracovanie osobných údajov.

121. Ak je splnená táto predbežná podmienka, treba uznať, že nemecký dozorný orgán má právomoc zabezpečiť dodržiavanie pravidiel v oblasti ochrany osobných údajov na území Nemecka tým, že uplatní všetky právomoci, ktoré mu priznávajú nemecké predpisy, ktorými sa preberá článok 28 ods. 3 smernice 95/46. Také právomoci môžu zahŕňať uloženie dočasného alebo trvalého zákazu spracovania.

122. Pokiaľ ide o to, ktorému subjektu má byť určené také opatrenie, prichádzajú do úvahy dve riešenia.

123. Prvé riešenie spočíva v tom, že na základe striktného výkladu územnej pôsobnosti intervenčných právomocí dozorných orgánov sa konštatuje, že tieto orgány môžu uplatňovať tieto právomoci len voči prevádzkarni prevádzkovateľa, ktorá sa nachádza na území členského štátu týchto orgánov. Pokiaľ – tak ako v prejednávanej veci – táto prevádzkareň, v tomto prípade spoločnosť Facebook Germany, nie je prevádzkovateľom, a teda sama nemôže vyhovieť žiadosti dozorného orgánu o ukončenie spracovania osobných údajov, musí postúpiť túto žiadosť prevádzkovateľovi, aby jej mohol vyhovieť.

124. Druhé riešenie spočíva naopak v tom, že sa konštatuje, že vzhľadom na to, že jedine prevádzkovateľ má rozhodujúci vplyv na predmetné spracovanie osobných údajov, musí mu byť priamo adresované opatrenie, ktorým sa ukladá povinnosť ukončiť také spracovanie.

125. Podľa môjho názoru treba uprednostniť toto druhé riešenie, keďže zodpovedá zásadnej úlohe, ktorú prevádzkovateľ zohráva v rámci systému zavedeného smernicou 95/46.(72) Vzhľadom na to, že také riešenie nevyžaduje obrátiť sa na sprostredkovateľa, ktorým je prevádzkareň, ktorá uskutočňuje činnosti, v kontexte ktorých sa vykonáva spracovanie, môže zaručiť bezprostredné a účinné uplatnenie vnútroštátnych predpisov týkajúcich sa ochrany osobných údajov. Okrem toho dozorný orgán, ktorý adresuje príkaz na ukončenie spracovania osobných údajov priamo prevádzkovateľovi, ktorý nie je usadený na území členského štátu tohto orgánu, ako je spoločnosť Facebook Inc. alebo spoločnosť Facebook Ireland, neprekročí medze svojej právomoci, ktorá spočíva v zabezpečení súladu tohto spracovania s právom tohto štátu na jeho území. V tejto súvislosti je nepodstatné, či sú jeden alebo viacerí prevádzkovatelia usadení v inom členskom štáte alebo v treťom štáte.

126. V súvislosti s mojím návrhom odpovede na prvú a druhú prejudiciálnu otázku, takisto spresním, že vzhľadom na cieľ spočívajúci v zaručení úplnejšej ochrany práv návštevníkov fanúšikovských stránok možnosť ULD vykonávať svoje intervenčné právomoci voči spoločnostiam Facebook Inc. a Facebook Ireland podľa mňa vôbec nevylučuje, aby boli voči Wirtschaftsakademie prijaté opatrenia, a teda sama osebe nemôže mať vplyv na zákonnosť týchto opatrení.(73)

127. Z vyššie uvedených úvah vyplýva, že článok 4 ods. 1 písm. a) smernice 95/46 sa má vykladať v tom zmysle, že spracovanie osobných údajov, o aké ide v spore vo veci samej, sa vykonáva v kontexte činností prevádzkarne prevádzkovateľa tohto spracovania osobných údajov na území členského štátu v zmysle tohto ustanovenia, pokiaľ si podnik, ktorý prevádzkuje sociálnu sieť, založí v tomto členskom štáte dcérsku spoločnosť určenú na zaručenie podpory a predaja reklamného priestoru ponúkaného týmto podnikom, ktorá zameriava svoju činnosť na obyvateľov tohto členského štátu.

128. Okrem toho v situácii, o akú ide vo veci samej, keď vnútroštátnym právom uplatniteľným na predmetné spracovanie osobných údajov je právo členského štátu dozorného orgánu, článok 28 ods. 1, 3 a 6 smernice 95/46 sa má vykladať v tom zmysle, že tento dozorný orgán môže uplatniť všetky efektívne intervenčné právomoci, ktoré mu boli priznané v súlade s článkom 28 ods. 3 tejto smernice, voči prevádzkovateľovi, a to aj vtedy, keď je tento prevádzkovateľ usadený v inom členskom štáte alebo v treťom štáte.

C. O piatej a šiestej prejudiciálnej otázke

129. Svojou piatou a šiestou prejudiciálnou otázkou, ktoré treba podľa môjho názoru preskúmať spoločne, vnútroštátny súd v podstate žiada Súdny dvor, aby rozhodol, či sa má článok 28 ods. 1, 3 a 6 smernice 95/46 vykladať v tom zmysle, že za okolností, o aké ide vo veci samej, je dozorný orgán členského štátu, v ktorom sa nachádza prevádzkareň prevádzkovateľa (spoločnosť Facebook Germany), oprávnený uplatňovať svoje intervenčné právomoci samostatne a bez toho, aby bol povinný najprv požiadať dozorný orgán členského štátu, v ktorom sa nachádza tento prevádzkovateľ (spoločnosť Facebook Ireland), aby uplatnil svoje právomoci.

130. Bundesverwaltungsgericht (Spolkový správny súd) v návrhu na začatie prejudiciálneho konania vysvetľuje súvislosť medzi týmito dvoma otázkami a preskúmaním zákonnosti príkazu, ktoré musí vykonať v rámci sporu vo veci samej. Tento súd v podstate uvádza, že vydanie príkazu voči Wirtschaftsakademie by sa mohlo považovať za nesprávne posúdenie, ktorého sa dopustil ULD, ak by sa mal článok 28 ods. 6 smernice 95/46 vykladať v tom zmysle, že za okolností, o aké ide v spore vo veci samej, ukladá dozornému orgánu, akým je ULD, povinnosť požiadať dozorný orgán iného členského štátu, v tomto prípade dozorný orgán v oblasti ochrany údajov, aby uplatnil svoje právomoci, v prípade, ak majú tieto dva orgány rozdielny názor na súlad spracovania osobných údajov, ktoré vykonáva spoločnosť Facebook Ireland, s pravidlami vyplývajúcimi zo smernice 95/46.

131. Ako Súdny dvor rozhodol vo svojom rozsudku z 1. októbra 2015, Weltimmo,(74) v prípade, ak právom uplatniteľným na predmetné spracovanie osobných údajov nie je právo členského štátu dozorného orgánu, ktorý chce uplatniť svoje intervenčné právomoci, ale právo iného členského štátu, článok 28 ods. 1, 3 a 6 smernice 95/46 sa má vykladať v tom zmysle, že tento orgán nemôže na základe práva členského štátu, ktorému podlieha, uložiť sankcie prevádzkovateľovi, ktorý nie je usadený na území tohto členského štátu, ale na základe článku 28 ods. 6 tejto smernice musí požiadať dozorný orgán členského štátu, ktorého právo je uplatniteľné, aby zakročil.(75)

132. V takej situácii dozorný orgán prvého členského štátu stráca svoju sankčnú právomoc voči prevádzkovateľovi, ktorý je usadený v inom členskom štáte. Vtedy musí v súlade s povinnosťou spolupráce uloženou článkom 28 ods. 6 uvedenej smernice požiadať dozorný orgán tohto iného členského štátu, aby rozhodol o prípadnom porušení práva uvedeného štátu a uložil sankcie, ak to uvedené právo dovoľuje, pričom sa môže prípadne opierať o informácie, ktoré mu dozorný orgán prvého členského štátu poskytol.(76)

133. Ako som uviedol vyššie, v prejednávanej veci ide o úplne inú situáciu, lebo uplatniteľným právom je právo členského štátu dozorného orgánu, ktorý chce uplatniť svoje intervenčné právomoci. V tejto situácii sa má článok 28 ods. 6 smernice 95/46 vykladať v tom zmysle, že neukladá tomuto dozornému orgánu povinnosť požiadať dozorný orgán členského štátu, v ktorom je prevádzkovateľ usadený, aby voči tomuto prevádzkovateľovi uplatnil svoje intervenčné právomoci.

134. Dodávam, že v súlade so znením článku 28 ods. 1 druhej vety smernice 95/46 dozorný orgán, ktorý má právomoc uplatniť svoje intervenčné právomoci voči prevádzkovateľovi usadenému v inom členskom štáte, než je členský štát tohto orgánu, koná pri vykonávaní funkcií, ktoré sú mu zverené, s úplnou nezávislosťou.

135. Ako vyplýva z úvah, ktoré som uviedol vyššie, smernica 95/46 nestanovuje zásadu krajiny pôvodu, ani mechanizmus jednotného kontaktného miesta, aký je upravený v nariadení 2016/679. Prevádzkovateľ, ktorý má prevádzkarne v niekoľkých členských štátoch, preto v plnom rozsahu podlieha kontrole viacerých dozorných orgánov, ak sa uplatnia právne poriadky členských štátov týchto orgánov. Hoci je samozrejme žiaduce, aby tieto dozorné orgány zosúladili svoju činnosť a spolupracovali, dozorný orgán, ktorého právomoc je uznaná, vôbec nie je povinný prispôsobiť svoje stanovisko stanovisku, ktoré zaujal iný dozorný orgán.

136. Z vyššie uvedeného vyvodzujem, že článok 28 ods. 1, 3 a 6 smernice 95/46 sa má vykladať v tom zmysle, že za okolností, o aké ide vo veci samej, je dozorný orgán členského štátu, v ktorom sa nachádza prevádzkareň prevádzkovateľa, oprávnený uplatňovať svoje intervenčné právomoci voči tomuto prevádzkovateľovi samostatne a bez toho, aby bol povinný najprv požiadať dozorný orgán členského štátu, v ktorom sa nachádza uvedený prevádzkovateľ, aby uplatnil svoje právomoci.

III. Návrh

137. Vzhľadom na vyššie uvedené úvahy navrhujem odpovedať na prejudiciálne otázky, ktoré položil Bundesverwaltungsgericht (Spolkový správny súd, Nemecko), takto:

1. Článok 2 písm. d) smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, zmenenej nariadením Európskeho parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003, sa má vykladať v tom zmysle, že správca fanúšikovskej stránky na sociálnej sieti, akou je spoločnosť Facebook, je prevádzkovateľom v zmysle tohto ustanovenia, pokiaľ ide o fázu spracovania osobných údajov spočívajúcu v zbere údajov o návštevníkoch tejto stránky na účely vytvorenia štatistík návštevnosti týkajúcich sa uvedenej stránky, ktorý vykonáva táto sociálna sieť.

2. Článok 4 ods. 1 písm. a) smernice 95/46, zmenenej nariadením č. 1882/2003, sa má vykladať v tom zmysle, že spracovanie osobných údajov, o aké ide v spore vo veci samej, sa vykonáva v kontexte činností prevádzkarne prevádzkovateľa tohto spracovania osobných údajov na území členského štátu v zmysle tohto ustanovenia, pokiaľ si podnik, ktorý prevádzkuje sociálnu sieť, založí v tomto členskom štáte dcérsku spoločnosť určenú na zaručenie podpory a predaja reklamného priestoru ponúkaného týmto podnikom, ktorá zameriava svoju činnosť na obyvateľov tohto členského štátu.

3. V situácii, o akú ide vo veci samej, keď vnútroštátnym právom uplatniteľným na predmetné spracovanie osobných údajov je právo členského štátu dozorného orgánu, sa má článok 28 ods. 1, 3 a 6 smernice 95/46, zmenenej nariadením č. 1882/2003, vykladať v tom zmysle, že tento dozorný orgán môže uplatniť všetky efektívne intervenčné právomoci, ktoré mu boli priznané v súlade s článkom 28 ods. 3 tejto smernice, voči prevádzkovateľovi, a to aj vtedy, keď je tento prevádzkovateľ usadený v inom členskom štáte alebo v treťom štáte.

4. Článok 28 ods. 1, 3 a 6 smernice 95/46, zmenenej nariadením č. 1882/2003, sa má vykladať v tom zmysle, že za okolností, o aké ide vo veci samej, je dozorný orgán členského štátu, v ktorom sa nachádza prevádzkareň prevádzkovateľa, oprávnený uplatňovať svoje intervenčné právomoci voči tomuto prevádzkovateľovi samostatne a bez toho, aby bol povinný najprv požiadať dozorný orgán členského štátu, v ktorom sa nachádza uvedený prevádzkovateľ, aby uplatnil svoje právomoci.

1 Jazyk prednesu: francúzština.

2 Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355.

3 Ú. v. EÚ L 284, 2003, s. 1; Mim. vyd. 01/004, s. 447, ďalej len „smernica 95/46“.

4 Ďalej len „pracovná skupina zriadená podľa článku 29“.

5 Ďalej len „stanovisko 2/2010“.

6 Stanovisko 2/2010, s. 5.

7 Stanovisko 2/2010, s. 7. Podľa vysvetlení, ktoré pracovná skupina zriadená podľa článku 29 uviedla v tomto stanovisku, „[tieto technológie] obyčajne pracujú na základe tohto princípu: poskytovateľ reklamných sietí štandardne umiestni sledovací cookie do koncového zariadenia dotknutej osoby pri jej prvom vstupe na internetovú stránku, ktorá slúži ako reklama jeho siete. Cookie predstavuje krátky alfanumerický reťazec, ktorý je uložený (a neskôr vyhľadaný) na koncovom zariadení dotknutej osoby zo strany poskytovateľa sietí. Cookie v súvislosti s behaviorálnou reklamou umožní poskytovateľovi reklamných sietí rozpoznať minulého návštevníka, ktorý sa vracia na danú internetovú stránku alebo navštevuje inú internetovú stránku, ktorá je partnerom reklamnej siete. Takéto opakované návštevy umožnia poskytovateľovi reklamných sietí vytvoriť profil návštevníka, ktorý bude použitý na dodávanie personalizovanej reklamy“.

8 Stanovisko 1/2010 k pojmom „prevádzkovateľ“ a „spracovateľ“, ktoré 16. februára 2010 prijala pracovná skupina zriadená podľa článku 29, ďalej len „stanovisko 1/2010“, s. 25.

9 Agencia española de protección de datos (Španielska agentúra na ochranu údajov) 11. septembra 2017 oznámila, že spoločnosti Facebook Inc. uložila pokutu vo výške 1,2 milióna eur. Commission nationale de l’informatique et des libertés (Národná komisia pre informatiku a slobody – CNIL, Francúzsko) predtým rozhodnutím z 27. apríla 2017 rozhodla, že spoločnostiam Facebook Inc. a Facebook Ireland uloží spoločne a nerozdielne peňažnú sankciu vo výške 150 000 eur.

10 § 38 ods. 5 BDSG stanovuje:

„Na zabezpečenie dodržiavania tohto zákona a iných predpisov o ochrane údajov môže dozorný orgán vydať opatrenia na odstránenie zistených porušení pri zbere, spracovaní alebo využívaní osobných údajov alebo technických alebo organizačných nedostatkov. V prípade závažných porušení alebo nedostatkov, najmä tých, s ktorými je spojené osobitné ohrozenie práva na ochranu osobnosti, môže zakázať zber, spracovanie alebo využívanie alebo používanie určitých postupov, ak v rozpore s príkazom uvedeným v prvej vete aj napriek uloženiu penále nedôjde včas k odstráneniu porušení alebo nedostatkov. Môže požadovať odvolanie splnomocnenca pre ochranu údajov, ak tento splnomocnenec nemá odborné znalosti a spoľahlivosť potrebné na plnenie svojich úloh.“

11 § 12 zákona o elektronických médiách znie:

„(1) Poskytovateľ služieb je oprávnený zhromažďovať a používať osobné údaje na účely sprístupnenia elektronických médií len v rozsahu, v akom to povoľuje tento zákon alebo iný právny predpis vzťahujúci sa výslovne na elektronické médiá alebo v akom na to dal užívateľ súhlas.

…

(3) Pokiaľ nie je stanovené inak, uplatňujú sa príslušné predpisy o ochrane osobných údajov aj v prípade, že údaje sa nespracovávajú automaticky.“

12 Toto ustanovenie sa týka spracovania osobných údajov spracovateľom.

13 Podľa tohto ustanovenia „zodpovedným subjektom je každá osoba alebo každý subjekt, ktorý pre seba zbiera, spracúva alebo používa osobné údaje alebo výkonom týchto činností poverí inú osobu“.

14 C‑131/12, EU:C:2014:317.

15 Bod 60 tohto rozsudku.

16 Podľa definícií uvedených v stanovisku 1/2010 „účel“ je „predpokladaný výsledok, ktorý plánujete, alebo ktorý riadi vaše plánované činy“, a „prostriedky“ sú „spôsob dosiahnutia výsledku alebo splnenia cieľa“ (s. 13).

17 Napríklad podľa článku 6 ods. 2 tejto smernice je úlohou prevádzkovateľa zaistiť dodržiavanie zásad týkajúcich sa kvality údajov, ktoré sú vymenované v článku 6 ods. 1 uvedenej smernice. V zmysle článkov 10 a 11 smernice 95/46 má prevádzkovateľ informačnú povinnosť voči osobám, ktorých sa týka spracovanie osobných údajov. Na základe článku 12 tejto smernice sa právo prístupu dotknutých osôb k údajom uplatňuje u prevádzkovateľa. Platí to aj pre právo na vznesenie námietok stanovené v článku 14 uvedenej smernice. V zmysle článku 23 ods. 1 smernice 95/46 členské štáty musia stanoviť, že „každá osoba, ktorá utrpela škodu ako dôsledok nezákonnej operácie spracovania alebo akéhokoľvek činu nezlučiteľného s prijatými vnútroštátnymi predpismi na základe tejto smernice, je oprávnená dostať kompenzáciu od kontrolóra [prevádzkovateľa – neoficiálny preklad] za spôsobenú škodu“. Napokon efektívne intervenčné právomoci dozorných orgánov, ktoré upravuje článok 28 ods. 3 tejto smernice, sa uplatňujú voči prevádzkovateľom.

18 C‑131/12, EU:C:2014:317.

19 Pozri v tomto zmysle rozsudok z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, body 38 a 83).

20 Pozri najmä rozsudok z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 34).

21 Stanovisko 1/2010, s. 10.

22 Spoločnosť Facebook Ireland vysvetlila, že pravidelne zavádza funkcie, ktoré sa poskytujú výlučne dotknutým osobám v Únii a ktoré sú prispôsobené pre tieto osoby. V iných prípadoch sa spoločnosť Facebook Ireland rozhodne neponúkať v Únii produkty, ktoré v Spojených štátoch poskytuje spoločnosť Facebook Inc.

23 Pozri rozsudok zo 6. októbra 2015, Schrems (C‑362/14, EU:C:2015:650, bod 27).

24 Pozri bod 39 rozhodnutia vnútroštátneho súdu.

25 V rámci prejednávanej veci nie je rozhodujúce určenie účelov a prostriedkov spracovania, ktoré nasleduje po odoslaní údajov návštevníkov fanúšikovskej stránky sociálnej sieti Facebook. Treba sa zamerať na fázu spracovania, o ktorú ide v tejto veci, teda na fázu zberu údajov návštevníkov fanúšikovskej stránky bez toho, aby o tom títo návštevníci boli informovaní, a bez toho, aby bol riadne vyžiadaný ich súhlas.

26 Z podmienok používania sociálnej siete Facebook vyplýva, že štatistiky návštevnosti umožňujú správcovi fanúšikovskej stránky prezrieť si informácie o svojej cieľovej skupine návštevníkov, aby pre nich mohol vytvárať relevantnejší obsah. Štatistiky návštevnosti poskytujú správcovi fanúšikovskej stránky demografické údaje o jeho cieľovej skupine návštevníkov, najmä o tendenciách týkajúcich sa veku, pohlavia, rodinného stavu a povolania, informácie o životnom štýle a záujmoch jeho cieľovej skupiny návštevníkov a informácie o nákupoch jeho cieľovej skupiny návštevníkov, najmä o ich nákupoch cez internet, kategóriách výrobkov alebo služieb, ktoré ich najviac zaujímajú, ako aj geografické údaje, ktoré umožňujú správcovi fanúšikovskej stránky zistiť, kde má ponúkať špeciálne akcie a organizovať podujatia.

27 Pozri v tomto zmysle stanovisko 1/2010, s. 28.

28 Tamže, s. 28: „nerovnováha zmluvných právomocí malého prevádzkovateľa údajov vo vzťahu k veľkým poskytovateľom služieb by sa nemala považovať za odôvodnenie, na základe ktorého môže prevádzkovateľ prijať ustanovenia a podmienky zmlúv, ktoré nie sú v súlade s právnymi predpismi o ochrane údajov“.

29 C‑131/12, EU:C:2014:317.

30 Rozsudok z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 38 a v tomto zmysle aj bod 83).

31 Rozsudok z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 40).

32 Pozri bod 35 rozhodnutia vnútroštátneho súdu.

33 Vec, v ktorej Súdny dvor zatiaľ nerozhodol.

34 Ako uvádza švajčiarsky orgán pre ochranu údajov, „hoci záznam a analýzu údajov v pravom zmysle slova spravidla úplne diskrétne vykonáva poskytovateľ webtrackingových služieb, prevádzkovateľ webovej stránky je rovnako zodpovedný. Vkladá totiž do svojej webovej stránky kód poskytovateľa webtrackingových služieb, a tak – bez vedomia používateľa internetu – umožňuje poskytovateľovi webtrackingových služieb prenos údajov, ukladanie cookies a zber údajov“: Pozri „Explications concernant le webtracking“ (Vysvetlivky o webtrackingu), ktoré vypracoval Préposé fédéral à la protection des données et à la transparence (Federálny splnomocnenec pre ochranu údajov a transparentnosť – PFPDT), dostupné na nasledujúcej internetovej adrese: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr

35 Pozri v tomto zmysle stanovisko 1/2010, s. 24.

36 Stanovisko 1/2010, s. 35.

37 Stanovisko 1/2010, s. 20 a 21.

38 Pozri bod 40 rozhodnutia vnútroštátneho súdu.

39 Pozri najmä rozsudok z 31. januára 2017, Lounani (C‑573/14, EU:C:2017:71, bod 56 a citovanú judikatúru).

40 Ďalej len „stanovisko 8/2010“.

41 Strana 31 tohto stanoviska.

42 Strana 32 uvedeného stanoviska.

43 Štruktúra, ktorú si skupiny ako Google a Facebook zvolili na výkon svojich činností v celosvetovom meradle, sťažuje určenie uplatniteľného vnútroštátneho práva a prevádzkarne, na ktorú sa môžu obrátiť poškodení jednotlivci, ako aj dozorné orgány. Pokiaľ ide o tieto otázky, pozri SVANTESSON, D.: Enforcing Privacy Across Different Jurisdictions. Enforcing Privacy: Regulatory, Legal and Technological Approaches. Berlín: Springer, 2016, s. 195 až 222, najmä s. 216 až 218.

44 Pozri najmä rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 25 a citovanú judikatúru).

45 Pozri najmä rozsudok z 28. júla 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, bod 75 a citovanú judikatúru).

46 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 29).

47 Pozri najmä rozsudok z 28. júla 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, bod 77 a citovanú judikatúru).

48 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 29).

49 Pozri najmä rozsudok z 28. júla 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, bod 78 a citovanú judikatúru).

50 Strana 33 stanoviska 8/2010. Pozri tiež v tomto zmysle s. 15 tohto stanoviska.

51 C‑131/12, EU:C:2014:317.

52 Bod 55 tohto rozsudku.

53 Bod 56 uvedeného rozsudku.

54 Bod 57 toho istého rozsudku.

55 Pozri v tomto zmysle stanovisko 5/2009 z 12. júna 2009 k sociálnym sieťam on‑line, ktoré prijala pracovná skupina zriadená podľa článku 29, s. 5.

56 C‑131/12, EU:C:2014:317.

57 Pozri najmä „Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain“, ktorú 16. decembra 2015 prijala pracovná skupina zriadená podľa článku 29, s. 6 a 7.

58 Pozri v zmysle potenciálneho uplatnenia viacerých vnútroštátnych právnych poriadkov stanovisko 8/2010: „odkaz na sídlo prevádzkovateľa znamená, že uplatniteľnosť právnych predpisov členského štátu sa iniciuje na základe umiestnenia sídla prevádzkovateľa v príslušnom členskom štáte a uplatňovanie právnych predpisov iných členských štátov by sa mohlo iniciovať na základe umiestnenia iných sídel príslušného prevádzkovateľa v príslušných členských štátoch“ (s. 33).

59 C‑191/15, EU:C:2016:612.

60 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46 (Ú. v. EÚ L 119, 2016, s. 1).

61 Pozri v tejto súvislosti HAWKES B.: The Irish DPA and Its Approach to Data Protection. Enforcing Privacy: Regulatory, Legal and Technological Approaches. Berlín: Springer, 2016, s. 441 až 454, najmä s. 450, poznámka pod čiarou 11. Tento autor uvádza: „the degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook‑Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase ‚the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State‘. The DPC, in its audit report, stated that: ‚it had) jurisdiction over the personal data processing activities of [Facebook‑Ireland] based on it being established in Ireland‘ but that this ‚should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU‘“.

62 C‑131/12, EU:C:2014:317.

63 Pokiaľ ide o podobný prístup, pozri Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, v ktorom tieto orgány deklarujú: „… the DPAs united in the Contact group conclude that their respective national data protection law applies to the processing of personal data of users and non‑users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice…, the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non‑users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are ‚inextricably linked‘ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC.“

64 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 49).

65 C‑230/14, EU:C:2015:639.

66 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 42).

67 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 43).

68 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 55).

69 Pozri rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 57).

70 C‑230/14, EU:C:2015:639.

71 C‑230/14, EU:C:2015:639.

72 Pozri v tejto súvislosti bod 44 vyššie.

73 Pozri tiež body 73 až 77 vyššie.

74 C‑230/14, EU:C:2015:639.

75 Rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 60).

76 Rozsudok z 1. októbra 2015, Weltimmo (C‑230/14, EU:C:2015:639, bod 57).