Language of document : ECLI:EU:C:2022:833

SODBA SODIŠČA (četrti senat)

z dne 27. oktobra 2022(*)

„Predhodno odločanje – Obdelava osebnih podatkov in varstvo zasebnosti na področju elektronskih komunikacij – Direktiva 2002/58/ES – Člen 12 – Javni imeniki in imeniške storitve – Privolitev naročnika – Obveznosti ponudnika imenikov in imeniških storitev – Uredba (EU) 2016/679 – Člen 17 – Pravica do izbrisa (,pravica do pozabe‘) – Člen 5(2) – Člen 24 – Obveznosti obveščanja in odgovornost upravljavca“

V zadevi C‑129/21,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo hof van beroep te Brussel (višje sodišče v Bruslju, Belgija) z odločbo z dne 24. februarja 2021, ki je na Sodišče prispela 2. marca 2021, v postopku

Proximus NV

proti

Gegevensbeschermingsautoriteit,

SODIŠČE (četrti senat),

v sestavi C. Lycourgos, predsednik senata, L. S. Rossi (poročevalka), sodnica, J.‑C. Bonichot, S. Rodin, sodnika, in O. Spineanu-Matei, sodnica,

generalni pravobranilec: A. M. Collins,

sodna tajnica: M. Ferreira, glavna administratorka,

na podlagi pisnega postopka in obravnave z dne 9. februarja 2022,

ob upoštevanju stališč, ki so jih predložili:

–        za Proximus NV P. Craddock in T. de Haan, avocats, in E. Van Bogget, advocaat,

–        za Gegevensbeschermingsautoriteit C. Buggenhoudt, E. Cloots in J. Roets, advocaten,

–        za italijansko vlado G. Palmieri, agentka, skupaj z E. De Bonisom, avvocato dello Stato,

–        za latvijsko vlado E. Bārdiņš, J. Davidoviča in K. Pommere, agenti,

–        za portugalsko vlado P. Barros da Costa, L. Inez Fernandes, M. J. Ramos in C. Vieira Guerra, agenti,

–        za romunsko vlado E. Gane in L. Liţu, agentki,

–        za Evropsko komisijo S. L. Kalėda, H. Kranenborg in P.-J. Loewenthal, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 28. aprila 2022

izreka naslednjo

Sodbo

1        Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 12(2) v povezavi s členom 2, drugi odstavek, točka (f), Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL 2009, L 337, str. 11) (v nadaljevanju: Direktiva 2002/58), ter členov 5(2), 17, 24 in 95 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL, 2016, L 119, str. 1, v nadaljevanju: GDPR).

2        Ta predlog je bil vložen v okviru spora med Proximus NV, družbo belgijskega javnega prava, in Gegevensbeschermingsautoriteit (organ za varstvo podatkov, Belgija) (v nadaljevanju: OVP) glede odločbe, s katero je Geschillenkamer van de Gegevensbeschermingsautoriteit (odbor za reševanje sporov organa za varstvo podatkov, v nadaljevanju: odbor za reševanje sporov) družbi Proximus zaradi kršitve več določb GDPR naložil popravljalne ukrepe in globo v višini 20.000 EUR.

 Pravni okvir

 Pravo Unije

 Direktiva 95/46/ES

3        Člen 2(h) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) določa:

„V tej direktivi:

[…]

(h)       ,privolitev posameznika, na katerega se nanašajo osebni podatki‘ pomeni vsako prostovoljno dano posebno in informirano izjavo volje, s katero posameznik, na katerega se osebni podatki nanašajo, izrazi soglasje, da se osebni podatki o njem obdelujejo.“

 Direktiva 2002/58

4        V uvodnih izjavah 10, 17, 38 in 39 Direktive 2002/58 je navedeno:

„(10)      Na področju elektronskih komunikacij se uporablja Direktiva 95/46/ES zlasti za vse zadeve v zvezi z varstvom temeljnih pravic in svoboščin, ki niso izrecno zajete v določbah te direktive, vključno z obveznostmi preglednika in pravicami posameznikov. […]

[…]

(17)      Za namene te direktive ima privolitev uporabnika ali naročnika, ne glede na to, ali je ta fizična ali pravna oseba, enak pomen kot privolitev posameznika, na katerega se podatki nanašajo, kakor je opredeljeno in podrobneje opisano v Direktivi 95/46/ES. Privolitev se lahko da na kateri koli primeren način, ki omogoča uporabniku, da navede svoje želje svobodno, izrecno in ozaveščeno, tudi tako, da pri obisku internetne spletne strani označi rubriko s kljukico.

[…]

(38)      Imeniki naročnikov na elektronske komunikacijske storitve so široko razširjeni in javni. Pravica do zasebnosti fizičnih oseb in legitimni interesi pravnih oseb zahtevajo, da lahko naročniki odločijo o tem, ali bodo njihovi osebni podatki objavljeni v imeniku in če bodo objavljeni, kateri bodo ti podatki. Ponudniki javnih imenikov morajo obvestiti naročnike, ki so vključeni v takšne imenike, o namenih imenika in o vsaki posebni uporabi, ki bi lahko sledila elektronskim različicam javnih imenikov, zlasti prek iskalnih funkcij, vgrajenih v programsko opremo, kot so povratne iskalne funkcije, ki omogočajo uporabnikom imenika, da odkrijejo ime in naslov naročnika samo na podlagi telefonske številke.

(39)       Obveznost obveščanja naročnikov o namenu(-ih) javnih imenikov, v katere so vključeni njihovi osebni podatki, mora biti naložena tistemu, ki zbira podatke za tako vključitev. Če se podatki lahko pošljejo tretji osebi ali več tretjim osebam, mora biti naročnik obveščen o tej možnosti in o prejemniku ali kategorijah mogočih prejemnikov. Vsako pošiljanje mora biti zavezano pogoju, da se podatki lahko uporabljajo samo za namene za katere so bili zbrani. Če oseba, ki je zbirala podatke pri naročniku ali katera koli tretja oseba, ki so ji bili podatki poslani, želi uporabljati podatke za dodatni namen, mora ponovno privolitev naročnika pridobiti bodisi prva oseba, ki je zbirala podatke, ali tretja oseba, ki so ji bili podatki poslani.“

5        Člen 1 te direktive določa:

„1.      Ta direktiva usklajuje določbe držav članic, ki so potrebne za zagotovitev enakovredne ravni varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij in za zagotovitev prostega pretoka takih podatkov ter elektronske komunikacijske opreme in storitev v Skupnosti.

2.      Določbe te direktive podrobno opredeljujejo in dopolnjujejo Direktivo 95/46/ES za namene, navedene v odstavku 1. Razen tega predvidevajo varstvo zakonitih interesov naročnikov, ki so pravne osebe.

[…]“

6        Člen 2, drugi odstavek, točka (f), navedene direktive, naslovljen „Opredelitve“, določa:

„Uporabijo se tudi naslednje opredelitve pojmov:

[…]

(f)       ,privolitev‘ (strinjanje) uporabnika ali naročnika ustreza privolitvi podatkovnega subjekta iz Direktive 95/46/ES“.

7        Člen 12 iste direktive, naslovljen „Naročniški imeniki“, določa:

„1.      Države članice zagotovijo, da so naročniki brezplačno in pred vključitvijo v imenik obveščeni o namenu(-ih) tiskanega ali elektronskega imenika naročnikov, ki je na voljo javnosti ali je dobavljiv prek imeniških služb in v katerega so lahko vključeni njihovi osebni podatki ter o vseh nadaljnjih možnostih uporabe na podlagi iskalnih funkcij, vključenih v elektronske različice imenika.

2.      Države članice zagotovijo, da je naročnikom dana možnost odločanja o vključitvi svojih osebnih podatkov v javni imenik in če se za to odločijo, odločanja o tem, kateri podatki ustrezajo namenu imenika, kakor ga določi ponudnik imenika, in da preverijo, popravijo ali odstranijo take podatke. Zagotovijo tudi, da lahko naročniki preverijo, popravijo ali odstranijo te podatke. Nevključitev v javni imenik naročnikov, preverjanje, popravki ali odstranitev osebnih podatkov iz imenika so brezplačni.

3.      Države članice lahko zahtevajo, da se lahko za kateri koli namen javnega imenika, razen za iskanje podatkov o osebah na podlagi njihovega imena in, kjer je potrebno, minimalnega števila drugih identifikatorjev, zahteva dodatna privolitev naročnikov.

[…]“

 GDPR

8        V uvodnih izjavah 42, 66 in 173 GDPR je navedeno:

„(42)      Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v dejanje obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje. […] bi moral upravljavec vnaprej pripraviti izjavo o privolitvi, ki bi morala biti v razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku in ne bi smela vsebovati nedovoljenih pogojev. Da bi posameznik, na katerega se nanašajo osebni podatki, lahko dal ozaveščeno privolitev, bi moral poznati vsaj identiteto upravljavca in namene obdelave osebnih podatkov. Privolitev se ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti ali preklicati brez škode.

[…]

(66)       Za učinkovitejše uresničevanje pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da upravljavec, ki je osebne podatke objavil, sprejme razumne, tudi tehnične, ukrepe, da obvesti upravljavce, ki take osebne podatke obdelujejo, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris vseh povezav do teh osebnih podatkov ali kopij teh osebnih podatkov. Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.

[…]

(173)      Ta uredba bi se morala uporabljati za vse zadeve, ki zadevajo varstvo temeljnih pravic in svoboščin pri obdelavi osebnih podatkov, za katere ne veljajo posebne obveznosti z istim ciljem iz [Direktive 2002/58/ES […], vključno z obveznostmi za upravljavca in pravicami posameznikov. Za pojasnitev povezave med to uredbo in direktivo 2002/58/ES bi bilo treba navedeno direktivo ustrezno spremeniti. Ko bo ta uredba sprejeta, bi bilo treba pregledati direktivo 2002/58/ES, zlasti da se zagotovi skladnost s to uredbo.“

9        Člen 4, točke 2, 7 in 11, te uredbe določa:

„V tej uredbi:

[…]

(2)       „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

[…]

(7)      ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; […]

[…]

(11)      ‚privolitev posameznika, na katerega se nanašajo osebni podatki‘ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj“.

10      Člen 5 GDPR, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1.      Osebni podatki so:

(a)       obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (‚zakonitost, pravičnost in preglednost‘);

[…]

2.      Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“

11      Člen 6 Splošne uredbe o varstvu podatkov, naslovljen „Zakonitost obdelave“, določa:

„1.      Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)       posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

[…]“

12      Člen 7 GDPR, naslovljen „Pogoji za privolitev“, določa:

„1.      Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

[…]

3.      Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

[…]“

13      Člen 16 GDPR, naslovljen „Pravica do popravka“, določa:

„Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.“

14      Člen 17 GDPR, naslovljen „Pravica do izbrisa („pravica do pozabe“), določa:

„1.      Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

[…]

(b)       posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

[…]

(d)       osebni podatki so bili obdelani nezakonito;

2.      Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

[…]“

15      Člen 19 GDPR, naslovljen „Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave“, določa:

„Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.“

16      Člen 24(1) GDPR, naslovljen „Odgovornost upravljavca“, določa:

„1.      Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2.      Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca. 

[…]“

17      Člen 94 GDPR, naslovljen „Razveljavitev Direktive 95/46/ES“, v odstavku 2 določa:

„Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. […]“

18      Člen 95 GDPR, naslovljen „Razmerje z Direktivo 2002/58/ES“, določa:

„Ta uredba ne uvaja dodatnih obveznosti za fizične ali pravne osebe v zvezi z obdelavo, povezano z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v [Evropski u]niji v povezavi z zadevami, za katere veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES.“

 Belgijsko pravo

19      Člen 133 wet betreffende de elektronische communicatie (zakon o elektronskih komunikacijah) z dne 13. junija 2005 (Belgisch Staatsblad, z dne 20. junija 2005, str. 28070), s katerim je zagotovljen prenos člena 12 Direktive 2002/58 v belgijsko pravo, določa:

„1.            Ponudniki javno dostopne telefonske storitve svoje naročnike, preden jih vpišejo v imenik ali storitev telefonskih informacij, nemudoma obvestijo o:

(1)      funkciji imenika ali imeniške storitve;

(2)       brezplačnem vpisu v imenik ali imeniško storitev;

(3)       po potrebi, uporabi telefonskega imenika ali imeniške storitve, ki odstopa od iskanja osebnih podatkov na podlagi imena in, odvisno od primera, stalnega bivališča ali sedeža naročnika.

Samo osebni podatki, ki so upoštevni za funkcijo, kot je bila sporočena v skladu z odstavkom 1, in o katerih je zadevni naročnik sporočil, da jih je mogoče vključiti v zadevni imenik ali imeniško storitev, se lahko vpišejo v imenik ali telefonsko imeniško storitev.

Za to operater naročniku postavi dve ločeni vprašanji:

1.       ali želi, da so njegovi podatki navedeni v univerzalnem imeniku in v univerzalni imeniški storitvi;

2.       ali želi, da so njegovi podatki navedeni v drugih imenikih ali drugih imeniških storitvah.

[…]

(2)      Vsak naročnik ima pravico do vpogleda v osebne podatke, ki se nanj nanašajo, v skladu s pogoji, določenimi z zakonom z dne 8. decembra 1992 o varstvu zasebnosti pri obdelavi osebnih podatkov ali na podlagi tega zakona.

Vsak naročnik ima poleg tega pravico, da zahteva brezplačno popravo ali izbris iz imenika ali imeniške storitve njegovih osebnih podatkov v skladu s postopki in pogoji, ki jih določi kralj na podlagi mnenja Komisije o varstvu zasebnosti in Inštituta.“

20      Člen 45(2) navedenega zakona telefonskim operaterjem nalaga, da podatke o svojih naročnikih dajo na voljo ponudnikom javnih imenikov. V skladu s členom 45(3) tega zakona ti operaterji izločijo podatke o naročnikih, ki so zahtevali, da jih ne vključijo v imenik, tako da ti naročniki lahko prejmejo imenik, ne da bi bili njihovi podatki v njem navedeni.

 Spor o glavni stvari in vprašanja za predhodno odločanje

21      Družba Proximus, ponudnica telekomunikacijskih storitev v Belgiji, v skladu z določbami zakona o elektronskih komunikacijah zagotavlja tudi telefonske imenike in imeniške storitve, ki so dostopni javnosti (v nadaljevanju: imeniki). Ti imeniki vsebujejo ime, naslov in telefonsko številko (v nadaljevanju: kontaktni podatki) naročnikov različnih ponudnikov javno dostopnih telefonskih storitev (v nadaljevanju: operaterji). Obstajajo drugi imeniki, ki jih objavijo tretje osebe.

22      Podatke o teh naročnikih operaterji redno sporočajo družbi Proximus, razen podatkov naročnikov, ki so izrazili željo, da jih ne vključijo v imenike, ki jih izdaja družba Proximus. V Belgiji se razlikovanje med naročniki, ki želijo biti navedeni v imeniku, in tistimi, ki ne želijo biti navedeni, v praksi izvede s parametrom v zapisu vsakega naročnika: „NNNNN“ za naročnike, katerih podatki se lahko navedejo, in „XXXXX“ za naročnike, katerih podatki ostanejo zaupni. Družba Proximus drugemu ponudniku imenikov posreduje tudi podatke, ki jih prejme.

23      Pritožnik je naročnik ponudnika telefonskih storitev Telenet, ki deluje na belgijskem trgu. Družba Telenet ne ponuja imenikov, ampak kontaktne podatke svojih naročnikov pošilja ponudnikom imenikov, med drugim družbi Proximus.

24      Ta naročnik je 13. januarja 2019 od družbe Proximus zahteval, naj njegovih podatkov ne vključi v imenike, ki so jih izdale družba Proximus in tretje osebe. Na podlagi te zahteve je družba Proximus spremenila status tega naročnika v svojem informacijskem sistemu, zato da njegovi podatki ne bi bili več javni.

25      Družba Proximus je 31. januarja 2019 od družbe Telenet prejela redno posodobitev podatkov naročnikov te družbe. Ta posodobitev je vsebovala nove podatke zadevnega naročnika, ki niso bili navedeni kot zaupni. Te informacije je družba Proximus samodejno obdelala in vnesene so bile tako, da so bile ponovno navedene v imenikih te družbe.

26      Zadevni naročnik je 14. avgusta 2019, potem ko je ugotovil, da je bila njegova telefonska številka objavljena v imenikih družbe Proximus in tretjih oseb, od družbe Proximus znova zahteval, naj njegovih podatkov ne navede. Istega dne je družba Proximus pritožniku odgovorila, da je njegove podatke izbrisala iz imenikov in navezala stik z družbo Google, zato da bi bile zadevne povezave na spletno mesto družbe Proximus odstranjene. Družba Proximus je tega naročnika obvestila tudi, da je njegove podatke poslala drugim ponudnikom imenikov in da so bili ti ponudniki zaradi mesečnih posodabljanj obveščeni o zahtevi pritožnika.

27      Hkrati je navedeni naročnik pri OVP vložil pritožbo proti družbi Proximus, ker naj bi bila njegova telefonska številka kljub zahtevi, da se njegovi podatki ne vključijo v imenike, v nekaterih od teh imenikov vseeno prikazana.

28      Zadevni naročnik in družba Proximus sta 5. septembra 2019 še izmenjala informacije v zvezi z objavo podatkov tega naročnika v imeniku tretje osebe. V tem okviru je družba Proximus poudarila, da podatke svojih naročnikov posreduje drugim ponudnikom imenikov, vendar nima vpogleda v postopke notranjega delovanja teh ponudnikov.

29      Odbor za reševanje sporov je 30. julija 2020 po kontradiktornem postopku sprejel odločbo, s katero je družbi Proximus naložil popravljalne ukrepe in ji naložil globo v višini 20.000 EUR zaradi kršitve zlasti člena 6 GDPR v povezavi s členom 7 te uredbe in člena 5(2) navedene uredbe v povezavi z njenim členom 24. Natančneje, družbi Proximus je najprej naložil, naj ustrezno in nemudoma ukrepa v zvezi s preklicem soglasja zadevnega naročnika in naj izpolni zahteve tega naročnika za uveljavljanje pravice do izbrisa podatkov, ki se nanašajo nanj. Nato je družbi Proximus naložil, naj sprejme ustrezne tehnične in organizacijske ukrepe za zagotovitev, da je obdelava osebnih podatkov, ki jo izvaja, v skladu z določbami GDPR. Nazadnje je družbi Proximus naložil, naj te podatke preneha nezakonito posredovati drugim ponudnikom imenikov.

30      Družba Proximus je 28. avgusta 2020 zoper to odločbo vložila pritožbo pri hof van beroep te Brussel (pritožbeno sodišče v Bruslju, Belgija).

31      Po mnenju družbe Proximus se v skladu s členom 45(3) zakona o elektronskih komunikacijah privolitev naročnika ne zahteva, vendar morajo naročniki sami zahtevati, naj niso vključeni v imenike v skladu s sistemom, imenovanim „optout“. Če tega ne zahteva, je lahko zadevni naročnik dejansko vpisan v te imenike. Zato po mnenju družbe Proximus v obravnavanem primeru ni potrebna nikakršna „privolitev“ v smislu Direktive 95/46 oziroma v smislu GDPR.

32      Nasprotno pa je OVP v bistvu trdil, da člen 12(2) Direktive 2002/58 in člen 133(1) zakona o elektronskih komunikacijah, zato da lahko ponudniki imenikov obdelujejo in posredujejo osebne podatke naročnikov, zahtevata „privolitev naročnikov“ v smislu GDPR.

33      Predložitveno sodišče meni, da je glede na GDPR Direktiva 2002/58 lex specialis, kot naj bi bilo potrjeno z uvodno izjavo 173 in s členom 95 GDPR. V položajih, v katerih Direktiva 2002/58 podrobno določa pravila GDPR, torej posebne določbe te direktive kot lex specialis prevladajo nad splošnejšimi določbami GDPR.

34      V tem okviru predložitveno sodišče ugotavlja, da člen 12(2) Direktive 2002/58 in člen 133(1) zakona o elektronskih komunikacijah, zato da lahko ponudniki imenikov obdelujejo osebne podatke naročnikov, zahtevata izraz njihove volje, ne pojasnjujeta, ali je treba izraz volje razumeti kot uresničevanje pravice do izbire, kakor trdi družba Proximus, ali kot izraz resnične privolitve v smislu GDPR, kakor trdi OVP. Predložitveno sodišče v zvezi s tem poudarja, da je bilo v sodni praksi Sodišča, zlasti v sodbi z dne 5. maja 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, točka 61), ugotovljeno, da – kot izhaja iz kontekstualne in sistematične razlage člena 12 Direktive 2002/58 – zadevni izraz volje ustreza „privolitvi“, ki se nanaša na namen objave osebnih podatkov v javnem imeniku in ne posebej na identiteto ponudnika imenika.

35      Poleg tega se predložitveno sodišče glede na to, da ni bila izdelana nobena posebna ureditev v zvezi s preklicem tega izraza volje ali te „privolitve“ s strani naročnika niti v Direktivi 2002/58, niti v zakonu o elektronskih komunikacijah, niti v izvedbenem odloku, sprašuje, ali je treba vse določbe GDPR samodejno in brez omejitev uporabljati tudi v posebnem kontekstu telefonskih imenikov.

36      V teh okoliščinah je hof van beroep te Brussel (pritožbeno sodišče v Bruslju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.       Ali je treba člen 12(2) Direktive 2002/58 v povezavi s členom 2(f) te direktive in členom 95 [GDPR] razlagati tako, da nacionalnemu nadzornemu organu omogoča, da zahteva naročnikovo ,privolitev‘ v smislu [GDPR] kot podlago za objavo njegovih osebnih podatkov v javno dostopnih naročniških imenikih in telefonskih imeniških storitvah, tako v tistih, ki jih izda sam operater, kot tistih, ki jih izdajajo drugi ponudniki, če glede tega ne obstaja nacionalna zakonodaja, v kateri bi bilo določeno drugače?

2.       Ali je treba pravico do izbrisa iz člena 17 [GDPR] razlagati tako, da nasprotuje temu, da nacionalni nadzorni organ naročnikovo zahtevo za odstranitev iz javno dostopnih naročniških imenikov in telefonskih imeniških storitev opredeli kot naročnikovo zahtevo za izbris v smislu člena 17 [GDPR]?

3.       Ali je treba člen 24 in člen 5(2) [GDPR] razlagati tako, da nasprotujeta temu, da nacionalni nadzorni organ na podlagi odgovornosti, določene v teh členih, sklepa, da mora upravljavec sprejeti ustrezne tehnične in organizacijske ukrepe, da upravljavce, ki so tretje osebe – in sicer ponudnike telefonskih storitev ter druge ponudnike naročniških imenikov in telefonskih imeniških storitev, ki so prejeli podatke tega upravljavca – obvesti o preklicu privolitve posameznika, na katerega se nanašajo osebni podatki, v skladu s členom 6 v povezavi s členom 7 [GDPR]?

4.       Ali je treba člen 17(2) [GDPR] razlagati tako, da nasprotuje temu, da nacionalni nadzorni organ ponudniku javno dostopnih naročniških imenikov in telefonskih imeniških storitev, od katerega se zahteva, da ne objavi več podatkov o osebi, odredi, naj sprejme razumne ukrepe za obvestitev iskalnikov o tej zahtevi za izbris?“

 Vprašanja za predhodno odločanje

 Prvo vprašanje

37      Družba Proximus trdi, da se postopek v glavni stvari ne nanaša na objavo – s strani operaterja telefonskih storitev – imenikov, ki vsebujejo osebne podatke, zato bi bilo treba prvo vprašanje za predhodno odločanje šteti za nedopustno v delu, v katerem se nanaša na tak primer.

38      V skladu z ustaljeno sodno prakso se domneva, da so vprašanja v zvezi z razlago prava Unije, ki jih je zastavilo nacionalno sodišče v pravnem in dejanskem okviru, ki ga opredeli na lastno odgovornost in katerega pravilnosti Sodišče ne preizkuša, upoštevna. Sodišče lahko predlog nacionalnega sodišča za sprejetje predhodne odločbe zavrne le, če je očitno, da zahtevana razlaga prava Unije nima nobene zveze z dejanskim stanjem ali predmetom spora o glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo pravnih in dejanskih elementov, da bi lahko na zastavljena vprašanja dalo koristne odgovore (sodba z dne 1. avgusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, točka 48 in navedena sodna praksa).

39      V obravnavanem primeru spor o glavni stvari poteka le med fizično osebo in družbo, ki ni operater telefonskih storitev te osebe, glede načina, kako je ta družba obdelala osebne podatke navedene osebe v okviru objave imenikov. Iz tega sledi, da prvo vprašanje ni dopustno v delu, v katerem se nanaša na razlago zahtev, ki izhajajo iz člena 12(2) Direktive 2002/58, če upravljavec telefonskih storitev te osebe sam objavi osebne podatke navedene osebe v imenikih.

40      Iz navedenega izhaja, da predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 12(2) Direktive 2002/58 v povezavi s členom 2, drugi odstavek, točka (f), te direktive in členom 95 GDPR razlagati tako, da se zahteva „privolitev“ naročnika operaterja telefonskih storitev v smislu člena 4, točka 11, GDPR, zato da se osebni podatki tega naročnika navedejo v imenikih, ki jih objavijo drugi ponudniki, ne pa ta operater.

41      Za odgovor na to vprašanje je treba opozoriti, da Direktiva 2002/58 v skladu s svojim členom 1(1) med drugim določa harmonizacijo nacionalnih določb, ki so potrebne za zagotovitev enakovredne ravni varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti in zaupnosti v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij.

42      V zvezi s tem je treba najprej spomniti, da je iz člena 12(1) te direktive in iz uvodne izjave 38 te direktive razvidno, da so naročniki pred vpisom v javni imenik obveščeni o namenih izdelave imenika in o vsaki posebni uporabi teh imenikov, ki je mogoča zlasti zaradi iskalnih funkcij, ki so vgrajene v programsko opremo elektronskih različic imenikov.

43      V uvodni izjavi 39 navedene direktive je v zvezi z obveznostjo predhodne obvestitve naročnikov na podlagi člena 12(1) te direktive navedeno, da „[č]e se [osebni] podatki lahko pošljejo tretji osebi ali več tretjim osebam, mora biti naročnik obveščen o tej možnosti in o prejemniku ali kategorijah mogočih prejemnikov“.

44      Kot izhaja iz člena 12(2) Direktive 2002/58 lahko naročnik po tem, ko je prejel informacije iz člena 12(1) te direktive, odloča o tem, ali se morajo osebni podatki, ki se nanašajo nanj, navesti v javnem imeniku, in o tem, kateri od teh podatkov morajo biti navedeni v javnem imeniku.

45      Kot je Sodišče že odločilo, takšna predhodna informacija zadevnemu naročniku omogoči, da privoli v objavo osebnih podatkov, ki se nanašajo nanj, v javnih imenikih, saj je taka privolitev za to objavo nujna (glej v tem smislu sodbo z dne 5. maja 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, točki 54 in 58).

46      Zahteva po pridobitvi privolitve zadevnega naročnika za objavo teh podatkov v imenikih je potrjena v členu 12(3) Direktive 2002/58, v skladu s katerim države članice lahko zahtevajo, da se lahko za kateri koli namen javnega imenika, razen za iskanje podatkov o osebah na podlagi njihovega imena, „zahteva dodatna privolitev naročnikov“.

47      Kot pa je pojasnilo Sodišče, iz kontekstualne in sistematične razlage člena 12 Direktive 2002/58 izhaja, da se privolitev iz odstavka 2 tega člena nanaša na namen objave osebnih podatkov v javnem imeniku in ne na identiteto posameznega ponudnika. Zato, če je ta naročnik soglašal s tem, da se njegovi podatki objavijo v imeniku s posebnim namenom, načeloma ne bo imel interesa nasprotovati objavi istih podatkov v drugem podobnem imeniku (sodba z dne 5. maja 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, točki 61 in 62).

48      V uvodni izjavi 39 navedene direktive je v zvezi s tem potrjeno, da je posredovanje osebnih podatkov naročnikov tretjim osebam dovoljeno pod „pogoj[em], da se podatki lahko uporabljajo samo za namene, za katere so bili zbrani“.

49      Iz navedenega je razvidno, da če je operater telefonskih storitev, kot je Telenet, naročnika obvestil o možnosti posredovanja osebnih podatkov, ki se nanj nanašajo, tretjemu podjetju, kot je družba Proximus, ali drugim tretjim osebam zaradi objave teh podatkov v javnem imeniku in je ta naročnik privolil v objavo teh podatkov v tem imeniku, potem za posredovanje s strani tega operaterja ali tega istega podjetja teh istih podatkov drugemu podjetju, ki namerava izdati tiskani ali elektronski imenik oziroma namerava omogočiti dostop do teh imenikov prek imeniških storitev, ni potrebna ponovna privolitev tega naročnika, če se zagotovi, da se zadevni podatki lahko uporabljajo samo za namene, za katere so bili zbrani ob prvi objavi teh podatkov. Privolitev, ki jo je na podlagi člena 12(2) direktive 2002/58 dal pravilno obveščeni naročnik za objavo osebnih podatkov, ki se nanašajo nanj, v javnem imeniku, se namreč nanaša na namen te objave in torej zajema vsako poznejšo obdelavo teh podatkov, ki jo opravijo tretja podjetja, ki delujejo na trgu javno dostopnih imeniških storitev in imenikov, če je namen te obdelave podatkov enak (sodba z dne 5. maja 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, točka 65).

50      Če pa, kot je navedeno v uvodni izjavi 39 te direktive, oseba, ki je zbirala podatke pri naročniku, ali katera koli tretja oseba, ki so ji bili podatki poslani, želi uporabljati podatke za dodatni namen, mora ponovno privolitev naročnika pridobiti bodisi prvonavedena oseba ali ta tretja oseba.

51      Glede podrobnih navodil, v skladu s katerimi se ta privolitev izrazi, je iz člena 2, drugi odstavek, točka (f), Direktive 2002/58 v povezavi s členom 94(2) in členom 95 GDPR razvidno, da mora ta privolitev načeloma izpolnjevati zahteve iz člena 4, točka 11, te uredbe.

52      V obravnavanem primeru člen 4, točka 11, GDPR, ki je določba, ki se uporablja za dejansko stanje v postopku v glavni stvari, opredeljuje „privolitev posameznika, na katerega se nanašajo osebni podatki“, tako da zahteva „prostovoljno, izrecno, informirano in nedvoumno“ izjavo volje posameznika, na katerega se nanašajo osebni podatki, v obliki izjave ali „jasnega pritrdilnega dejanja“, ki kaže na njegovo soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

53      Iz tega izhaja, da je taka privolitev nujna za to, da se lahko osebni podatki, ki se nanašajo na naročnika operaterja telefonskih storitev, navedejo v imenikih.

54      Zato je mogoče šteti, da je objava osebnih podatkov, ki se nanašajo na zadevnega naročnika, v imenikih, kot so ti, ki jih je izdala družba Proximus ali drugi ponudniki, zakonita v smislu člena 6(1)(a) GDPR le, če obstaja taka privolitev, ki je bila izrecno dana operaterju telefonskih storitev ali enemu od teh ponudnikov imenikov.

55      Vendar, kot je bilo opozorjeno v točki 49 te sodbe, taka privolitev ne pomeni, da mora zadevna oseba na dan, ko je dana, nujno poznati identiteto vseh ponudnikov imenikov, ki bodo obdelovali njene osebne podatke.

56      Glede na zgornje preudarke je treba na prvo vprašanje odgovoriti, da je treba člen 12(2) Direktive 2002/58 v povezavi s členom 2, drugi odstavek, točka (f), te direktive in členom 95 GDPR razlagati tako, da se za to, da se osebni podatki naročnika operaterja telefonskih storitev vključijo v imenike, ki jih objavijo ponudniki, ki niso ta operater, zahteva „privolitev“ tega naročnika v smislu člena 4, točka 11, GDPR, pri čemer je to privolitev mogoče dati bodisi navedenemu operaterju bodisi enemu od teh ponudnikov.

 Drugo vprašanje

57      Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 17 GDPR razlagati tako, da zahteva naročnika za izbris njegovih osebnih podatkov iz imenikov pomeni uporabo „pravice do izbrisa“ v smislu tega člena.

58      Najprej je treba poudariti, da družba Proximus trdi, da se člen 17 GDPR ne uporablja za ponudnika imenikov, ki – kot v obravnavanem primeru – ni operater telefonskih storitev naročnika, in da bi bilo treba zahtevo, kakršna je navedena v prejšnji točki te sodbe, šteti kvečjemu za zahtevo za popravek v smislu člena 16 te uredbe, zato naj bi bilo drugo vprašanje za predhodno odločanje nedopustno, ker naj ne bi bilo upoštevno za postopek v glavni stvari.

59      Vendar so se trditve, ki jih navaja ta stranka, v bistvu nanašale na področje uporabe in obseg ter posledično na razlago določb prava Unije, na katere se nanaša drugo vprašanje. Te trditve, ki se nanašajo na vsebino postavljenega vprašanja, pa v bistvu ne morejo povzročiti njegove nedopustnosti (sodba z dne 13. januarja 2022, Minister Sprawiedliwości, C‑55/20, EU:C:2022:6, točka 83).

60      Iz tega izhaja, da je drugo vprašanje za predhodno odločanje dopustno.

61      Prvič, treba je poudariti, da morajo imeti naročniki na podlagi člena 12(2), drugi stavek, Direktive 2002/58 med drugim možnost, da se iz javnih imenikov odstranijo osebni podatki, ki se nanašajo nanje.

62      Vendar podelitev te možnosti naročnikom za ponudnike imenikov ne pomeni posebne obveznosti v smislu člena 95 GDPR, ki bi omogočala izključitev uporabe upoštevnih določb te uredbe. Kot je namreč generalni pravobranilec navedel v točki 54 sklepnih predlogov, Direktiva 2002/58 ne vsebuje navedb o načinu, izvajanju in posledicah zahtev za izbris osebnih podatkov. Zato se, kot je razvidno tudi iz uvodne izjave 10 te direktive v povezavi s členom 94 te uredbe, določbe GDPR v takem primeru lahko uporabijo.

63      Drugič, iz člena 17(1)(b) in (d) GDPR izhaja, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca zahteva izbris osebnih podatkov, ki se nanašajo nanj, in da mora upravljavec te podatke brez nepotrebnega odlašanja izbrisati, zlasti kadar posameznik, na katerega se osebni podatki nanašajo, „prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) […], in [če] za obdelavo ne obstaja nobena druga pravna podlaga“ ali če so bili „osebni podatki […] obdelani nezakonito“.

64      V zvezi s tem po eni strani iz odgovora na prvo vprašanje za predhodno odločanje izhaja, da objava osebnih podatkov naročnika v imenikih temelji na privolitvi tega naročnika.

65      Po drugi strani iz člena 6(1)(a) in člena 7(3) GDPR izhaja, da je taka privolitev eden od nujnih pogojev, na podlagi katerih je mogoče sklepati, da je obdelava osebnih podatkov zadevnega naročnika zakonita, in da je to privolitev mogoče kadar koli preklicati tako enostavno, kot je posameznik, na katerega se osebni podatki nanašajo, lahko dal tako privolitev.

66      Če naročnik v obravnavanem primeru zahteva, da se njegovi podatki ne pojavljajo več v imeniku, prekliče svojo privolitev za objavo teh podatkov. Na podlagi preklica njegove privolitve pridobi, če za tako obdelavo ni druge pravne podlage, pravico zahtevati izbris svojih osebnih podatkov iz tega imenika v skladu s členom 17(1)(b) GDPR ali, če upravljavec te podatke še naprej nezakonito objavlja, v skladu s členom 17(1)(d) te uredbe.

67      V teh okoliščinah je treba šteti, da se lahko zahteva naročnika za izbris njegovih osebnih podatkov iz imenikov šteje za uresničevanje „pravice do izbrisa“ navedenih podatkov v smislu člena 17 GDPR.

68      Te ugotovitve ni mogoče izpodbiti s trditvijo družbe Proximus, da bi bilo treba šteti, da je namen take zahteve temu naročniku omogočiti uresničevanje njegove pravice, da od upravljavca na podlagi člena 16 GDPR uveljavi popravek osebnih podatkov, ki se nanj nanašajo. V skladu s to določbo je namreč tak popravek mogoč, če so ti podatki netočni, in želi posamezniku, na katerega se osebni podatki nanašajo, omogočiti, da se ti podatki dopolnijo.

69      V obravnavanem primeru pa namen zahteve za izbris podatkov naročnika iz imenika ni nadomestiti netočne podatke s pravilnimi podatki ali dopolniti nepopolne podatke, temveč odpraviti objavo pravilnih podatkov.

70      Dejstvo, da je taka odprava v obravnavanem primeru mogoča že samo z zamenjavo kode, ki je bila zadevnemu naročniku dodeljena v zbirki podatkov družbe Proximus, iz katere so osebni podatki tega naročnika objavljeni v imenikih, ne more preprečiti, da bi se zahteva za izbris osebnih podatkov iz teh imenikov štela za „zahtevek za izbris“ v smislu člena 17 GDPR. Kot je namreč razvidno iz spisa, predloženega Sodišču, je način izbrisa, ki ga je določil navedeni operater, povsem tehničen ali organizacijski ukrep, ki se izkaže za nujen za ugoditev zahtevku za izbris osebnih podatkov zadevne osebe in za preprečitev razkritja teh podatkov.

71      Glede na zgoraj navedeno je treba na drugo vprašanje odgovoriti, da je treba člen 17 GDPR razlagati tako, da zahtevek naročnika za izbris njegovih osebnih podatkov iz imenikov pomeni uresničevanje „pravice do izbrisa“ v smislu tega člena.

 Tretje vprašanje

72      Predložitveno sodišče s tretjim vprašanjem v bistvu sprašuje, ali je treba člen 5(2) in člen 24 GDPR razlagati tako, da lahko nacionalni nadzorni organ zahteva, da ponudnik imenikov kot upravljavec sprejme ustrezne tehnične in organizacijske ukrepe, zato da obvesti tretje osebe, ki so upravljavci, in sicer operaterja telefonskih storitev, ki mu je posredoval osebne podatke svojega naročnika, in druge ponudnike imenikov, ki jim je zagotovil take podatke, o preklicu privolitve s strani tega potrošnika.

73      Najprej je treba poudariti, da je v obravnavanem primeru družba Proximus osebne podatke pritožnika obdelala tako, da jih je objavila in jih posredovala drugim ponudnikom imenikov. Družba Telenet, njen operater telefonskih storitev, je te podatke prav tako obdelala, zlasti tako, da jih je posredovala družbi Proximus. Enako velja za druge ponudnike imenikov, ki jim je družba Proximus poslala podatke o pritožniku in ki so te podatke objavili.

74      Poleg tega je treba poudariti, prvič, kot je bilo opozorjeno v točki 20 te sodbe, da čeprav zakon o elektronskih komunikacijah operaterjem telefonskih storitev nalaga, da ponudnikom javnih imenikov posredujejo podatke o svojih naročnikih, pa morajo ti operaterji podatke o naročnikih, ki so zaprosili, da jih ne vključijo v imenik, vseeno izločiti, tako da lahko ti naročniki prejmejo izvod tega imenika, v katerem ni njihovih podatkov.

75      Iz spisa, ki ga ima na voljo Sodišče, je razvidno, da naročnik v praksi na splošno pri svojem operaterju telefonskih storitev poda privolitev, da se njegovi osebni podatki objavijo v imeniku, s tem da ta privolitev omogoča, da se ti podatki prenesejo na tretjo osebo, ki je ponudnik imenikov. Ta ponudnik pa lahko te podatke posreduje drugim ponudnikom imenikov na podlagi iste privolitve, tako da ti upravljavci tvorijo verigo, pri čemer vsak od njih zaporedoma neodvisno obdeluje navedene podatke na podlagi ene in iste privolitve.

76      Drugič, iz spisa, ki ga ima na voljo Sodišče, je razvidno tudi, da je bila posodobitev podatkovne zbirke družbe Proximus, katere namen je bil ugoditev preklicu privolitve pritožnika, izbrisana takoj, ko je njen operater telefonskih storitev družbi Proximus poslal nov seznam podatkov o naročnikih za njihovo objavo v imenikih, v katerem ni bil upoštevan preklic privolitve pritožnika pri družbi Proximus.

77      V tem okviru se tako postavlja vprašanje, ali mora ponudnik imenikov, kot je družba Proximus, ko naročnik operaterja telefonskih storitev prekliče svojo privolitev za vključitev v imenik tega ponudnika, ne le posodobiti svojo zbirko podatkov, zato da bi upošteval ta preklic, ampak mora o preklicu obvestiti tudi operaterja telefonskih storitev, ki mu je posredoval te podatke, in druge ponudnike imenikov, ki jim je sam posredoval te podatke.

78      Na prvem mestu, spomniti je treba, da člen 6(1)(a) GDPR določa, da je obdelava zakonita, če in kolikor je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov za enega ali več posebnih namenov. Iz predložitvene odločbe je razvidno, da je pritožnik v smislu člena 7(3) te uredbe preklical svojo privolitev za obdelavo svojih osebnih podatkov zaradi objave teh podatkov v imenikih. Po tem preklicu obdelava teh podatkov zaradi njihovega vpisa v javne imenike, vključno s tisto, ki jo zaradi istega namena opravijo operaterji telefonskih storitev ali drugi ponudniki imenikov na podlagi iste privolitve, nima več pravne podlage in je tako nezakonita glede na člen 6(1)(a) navedene uredbe.

79      Na drugem mestu, opozoriti je treba, da se mora v skladu s členom 5(1)(a) in (2) GDPR upravljavec prepričati, da lahko izkaže, da se osebni podatki obdelujejo zakonito, pošteno in pregledno glede posameznika, na katerega se osebni podatki nanašajo.

80      Člen 24 GDPR zahteva, da upravljavec ob upoštevanju narave, obsega, konteksta in ciljev obdelave izvaja ustrezne tehnične in organizacijske ukrepe, zato da zagotovi in da lahko izkaže, da se obdelava izvaja v skladu s to uredbo.

81      Kot je generalni pravobranilec navedel v točki 67 sklepnih predlogov, člen 5(2) in člen 24 GDPR upravljavcem osebnih podatkov nalagata splošne obveznosti odgovornosti in skladnosti. Natančneje, s temi določbami se od upravljavcev zahteva, da sprejmejo ustrezne ukrepe za preprečevanje morebitnih kršitev pravil, določenih v GDPR za zagotovitev pravice do varstva podatkov.

82      S tega vidika člen 19 GDPR med drugim določa, da upravljavec vsakega prejemnika, ki so mu bili posredovani osebni podatki, obvesti o kakršnem koli izbrisu osebnih podatkov, ki se izvede v skladu s členom 17(1) te uredbe, razen če se to obveščanje izkaže za nemogoče ali zahteva nesorazmerne napore.

83      Iz splošnih obveznosti, določenih v členu 5(2) in členu 24 GDPR v povezavi z njenim členom 19, pa izhaja, da mora upravljavec osebnih podatkov, kot je družba Proximus, izvesti ustrezne tehnične in organizacijske ukrepe, da druge ponudnike imenikov, ki jim je zagotovil take podatke, obvesti o preklicu privolitve posameznika, na katerega se nanašajo osebni podatki, ki mu je bil poslan. V okoliščinah, kot so navedene v točki 76 te sodbe, mora ta upravljavec zagotoviti tudi, da je operater telefonskih storitev, ki mu je posredoval te osebne podatke, obveščen, zato da zadnji prilagodi seznam osebnih podatkov, ki jih samodejno posreduje temu ponudniku imenikov, in izloči podatke svojih naročnikov, ki so izrazili željo, da prekličejo privolitev, da se ti podatki javno objavijo.

84      Kadar se namreč, kot v obravnavanem primeru, različni upravljavci opirajo na eno privolitev posameznika, na katerega se nanašajo osebni podatki, za obdelavo osebnih podatkov tega posameznika z istim namenom, za to, da ta posameznik to privolitev prekliče, zadostuje, da se zahteva preklic pri katerem koli upravljavcu, ki deluje na podlagi iste privolitve.

85      Kot pravilno poudarja Komisija, mora upravljavec, pri katerem je zadevni posameznik preklical svojo privolitev za obdelavo svojih osebnih podatkov, za zagotovitev učinkovitosti pravice do preklica privolitve iz člena 7(3) GDPR in za zagotovitev, da je privolitev posameznika, na katerega se nanašajo osebni podatki, strogo vezana na namen, za katerega je bila dana, o tem preklicu dejansko obvestiti vsakogar, ki mu je te podatke posredoval, in osebo, ki ji je navedene podatke posredoval. Tako obveščeni upravljavci so nato morali posredovati te informacije drugim upravljavcem, ki so jih o teh podatkih obvestili.

86      V zvezi s tem je treba najprej poudariti, da je namen te obveznosti obveščanja preprečiti kakršno koli morebitno kršitev pravil, določenih v GDPR za zagotovitev pravice do varstva podatkov, in da ta obveznost tako spada v okvir ustreznih ukrepov v smislu člena 24 te uredbe. Poleg tega, kot je generalni pravobranilec poudaril v točki 68 sklepnih predlogov, tudi ta obveznost spada v okvir zahteve iz člena 12(2) te uredbe, v skladu s katero mora upravljavec obdelave olajšati uresničevanje pravic, ki so zadevnemu posamezniku podeljene zlasti s členom 17 navedene uredbe.

87      Dalje, ugotoviti je treba, da bi lahko neobstoj take obveznosti upravljavca, da obvešča o preklicu privolitve osebe, na katero se nanašajo podatki, še posebej otežil preklic privolitve, saj bi ta oseba morda menila, da mora preklic poslati vsem operaterjem. Tak pristop naj bi bil tako v nasprotju s členom 7(3) GDPR, v skladu s katerim mora biti enako preprosto preklicati kot dati privolitev za obdelavo osebnih podatkov.

88      Nazadnje, v skladu s sodno prakso, navedeno v točki 49 te sodbe, se privolitev na podlagi člena 12(2) Direktive 2002/58 s strani pravilno obveščenega naročnika za objavo osebnih podatkov, ki se nanašajo nanj, v javnem imeniku nanaša na namen te objave in torej zajema vsako nadaljnjo obdelavo navedenih podatkov s strani tretjih podjetij, ki delujejo na trgu imenikov, če te obdelave uresničujejo ta isti cilj.

89      Iz tega sledi, kot je generalni pravobranilec navedel v točki 68 sklepnih predlogov, da če se ponudnik imenikov lahko sklicuje na privolitev za obdelavo podatkov, ki jo je naročnik za to dal drugemu ponudniku ali njegovemu operaterju telefonskih storitev, mora imeti naročnik možnost, da preklic privolitve pošlje kateremu koli ponudniku imenikov ali temu operaterju, zato da se njegovi podatki odstranijo iz imenikov, ki jih objavljajo vsi, katerih objava temelji le na njegovi privolitvi.

90      Glede na zgoraj navedeno je treba na tretje vprašanje odgovoriti, da je treba člen 5(2) in člen 24 GDPR razlagati tako, da lahko nacionalni nadzorni organ zahteva, da ponudnik imenikov kot upravljavec sprejme ustrezne tehnične in organizacijske ukrepe, da druge upravljavce, ki so tretje osebe, in sicer operaterja telefonskih storitev, ki mu je posredoval osebne podatke svojega naročnika, in druge ponudnike imenikov, ki jim je zagotovil te podatke, obvesti o preklicu privolitve tega naročnika.

 Četrto vprašanje

91      Predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali je treba člen 17(2) GDPR razlagati tako, da nasprotuje temu, da nacionalni nadzorni organ ponudniku imenikov, od katerega je naročnik operaterja telefonskih storitev zahteval, naj ne objavlja več osebnih podatkov, ki se nanašajo nanj, odredi, naj sprejme „razumne ukrepe“ v smislu te določbe, da bi ponudnike iskalnikov obvestil o tej zahtevi za izbris podatkov.

92      Za odgovor na to vprašanje je treba opozoriti, da člen 17(2) GDPR upravljavcu, ki je javno objavil osebne podatke ob upoštevanju razpoložljivih tehnologij in stroškov izvajanja, nalaga, da sprejme razumne ukrepe, vključno s tehničnimi, zato da upravljavce, ki obdelujejo te osebne podatke, obvesti, da je posameznik, na katerega se osebni podatki nanašajo, zahteval, naj ti upravljavci izbrišejo vsakršne povezave do teh osebnih podatkov ali kopije navedenih podatkov.

93      Kot je razvidno iz uvodne izjave 66 GDPR, je cilj te obveznosti krepitev pravice do pozabe v spletnem okolju in se zato nanaša zlasti na informacije, ki jih ponudniki iskalnikov, ki obdelujejo podatke, objavljene na spletu, zagotavljajo na spletu.

94      V obravnavanem primeru ni sporno, da je družba Proximus v svojem imeniku objavila osebne podatke pritožnika in da je zato treba to družbo šteti za upravljavca, ki je te podatke javno objavil v smislu člena 17(2) GDPR.

95      V zvezi s tem je treba opozoriti, prvič, da iz ustaljene sodne prakse izhaja, da se na eni strani dejavnost iskalnika, da poišče informacije, ki jih na spletu objavijo tretje osebe, jih samodejno indeksira, začasno shrani in jih, nazadnje, da na voljo spletnim uporabnikom po prednostnem vrstnem redu, šteje za „obdelavo“ osebnih podatkov v smislu člena 4, točka 2, GDPR, če te informacije vsebujejo osebne podatke, in drugič, da se upravljavec tega iskalnika šteje za „odgovorno osebo“ za navedeno obdelavo v smislu člena 4, točka 7, te uredbe in zato tudi člena 17(2) te uredbe (glej v tem smislu sodbo z dne 24. septembra 2019, GC in drugi (Odstranitev povezav do občutljivih podatkov), C‑136/17, EU:C:2019:773, točka 35 in navedena sodna praksa).

96      Zato je treba v okoliščinah, kakršne so te v postopku v glavni stvari, šteti, da mora upravljavec, kot je družba Proximus, v skladu s členom 17(2) GDPR poskrbeti za sprejetje razumnih ukrepov, da bi ponudnike iskalnikov obvestil o zahtevi, ki mu jo je poslal naročnik operaterja telefonskih storitev in ki se nanaša na izbris njegovih osebnih podatkov. Kot je poudaril generalni pravobranilec v točki 76 sklepnih predlogov, člen 17(2) GDPR za presojo razumnosti ukrepov, ki jih je sprejel ponudnik imenikov, določa, da je treba upoštevati razpoložljivo tehnologijo in stroške izvajanja, pri čemer je za to presojo pristojen predvsem organ, ki je pristojen za to področje in ki je lahko predmet sodnega nadzora.

97      V obravnavanem primeru iz pisnega stališča, ki ga je predložil OVP in ki ga druge stranke v tem postopku niso izpodbijale, izhaja, da je bilo v drugem četrtletju leta 2020 število ponudnikov iskalnikov, ki delujejo v Belgiji, omejeno. Natančneje, družba Google je imela tržni delež med 90 %, kar zadeva iskanja, opravljena na namiznih računalnikih, in 99 %, kar zadeva iskanja, opravljena na pametnih telefonih in tablicah.

98      Poleg tega, kot je bilo navedeno v točki 26 te sodbe, je iz spisa, ki ga ima na voljo Sodišče, razvidno, da je družba Proximus na podlagi zahteve naročnika, naj njegovih podatkov ne navede v imenikih tega ponudnika, odgovorila, da ni le izbrisala teh podatkov iz telefonskih imenikov in imeniških storitev, ampak je celo vzpostavila stik z družbo Google, da bi se zadevne povezave do spletnega mesta družbe Proximus odstranile.

99      Glede na zgoraj navedeno je treba na četrto vprašanje odgovoriti, da je treba člen 17(2) GDPR razlagati tako, da ne nasprotuje temu, da nacionalni nadzorni organ ponudniku imenikov, od katerega je naročnik operaterja telefonskih storitev zahteval, naj ne objavlja več osebnih podatkov, ki se nanašajo nanj, naloži, naj sprejme „razumne ukrepe“ v smislu te določbe, zato da ponudnike iskalnikov obvesti o tej zahtevi za izbris podatkov.

 Stroški

100    Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (četrti senat) razsodilo:

1.      Člen 12(2) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij, kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009, v povezavi s členom 2, drugi odstavek, točka (f), te direktive in členom 95 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov),

je treba razlagati tako, da

se za to, da se osebni podatki naročnika operaterja telefonskih storitev vključijo v imenike in javno dostopne imeniške storitve, ki jih objavijo ponudniki, ki niso ta operater, zahteva „privolitev“ tega naročnika v smislu člena 4(, točka 11, te uredbe, pri čemer je to privolitev mogoče dati bodisi navedenemu operaterju bodisi enemu od teh ponudnikov.

2.      Člen 17 Uredbe 2016/679

je treba razlagati tako, da

zahtevek naročnika za izbris njegovih osebnih podatkov iz imenikov in javno dostopnih imeniških storitev pomeni uresničevanje „pravice do izbrisa“ v smislu tega člena.

3.      Člen 5(2) in člen 24 Uredbe 2016/679

je treba razlagati tako, da

lahko nacionalni nadzorni organ zahteva, da ponudnik imenikov in imeniških storitev kot upravljavec sprejme ustrezne tehnične in organizacijske ukrepe, da druge upravljavce, ki so tretje osebe, in sicer operaterja telefonskih storitev, ki mu je posredoval osebne podatke svojega naročnika, in druge ponudnike imenikov in javno dostopnih imeniških storitev, ki jim je zagotovil te podatke, obvesti o preklicu privolitve tega naročnika.

4.      Člen 17(2) Uredbe 2016/679

je treba razlagati tako, da

ne nasprotuje temu, da nacionalni nadzorni organ ponudniku imenikov in javno dostopnih imeniških storitev, od katerega je naročnik operaterja telefonskih storitev zahteval, naj ne objavlja več osebnih podatkov, ki se nanašajo nanj, naloži, naj sprejme „razumne ukrepe“ v smislu te določbe, zato da ponudnike iskalnikov obvesti o tej zahtevi za izbris podatkov.

Podpisi


*Jezik postopka: nizozemščina.