Lieta C‑673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV
pret
Planet49 GmbH
(Bundesgerichtshof lūgums sniegt prejudiciālu nolēmumu)
Tiesas (virspalāta) 2019. gada 1. oktobra spriedums
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Direktīva 2002/58/EK – Regula (ES) 2016/679 – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Sīkdatnes – Datu subjekta piekrišanas jēdziens – Piekrišanas apliecinājums, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu
1. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Sīkdatnes – Datu subjekta piekrišana – Jēdziens – Piekrišanas apliecinājums, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu – Izslēgšana
(Eiropas Parlamenta un Padomes Regulas 2016/679 4. panta 11. punkts un 6. panta 1. punkta a) apakšpunkts un Eiropas Parlamenta un Padomes Direktīvas 95/46 2. panta h) punkts un Direktīvas 2002/58, redakcijā ar grozījumiem, kas izdarīti ar Direktīvu 2009/136, 2. panta f) punkts un 5. panta 3. punkts)
(skat. 49.–58. un 60.–63. punktu un rezolutīvās daļas 1. punktu)
2. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Sīkdatnes – Datu subjekta piekrišana – Jēdziens – Saglabātā vai izgūtā informācija, kas ir vai nav personas dati – Ietekmes neesamība
(Eiropas Parlamenta un Padomes Regulas 2016/679 4. panta 11. punkts un 6. panta 1. punkta a) apakšpunkts un Eiropas Parlamenta un Padomes Direktīvas 95/46 2. panta h) punkts un Direktīvas 2002/58, redakcijā ar grozījumiem, kas izdarīti ar Direktīvu 2009/136, 2. panta f) punkts un 5. panta 3. punkts)
(skat. 68.–71. punktu un rezolutīvās daļas 2. punktu)
3. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Sīkdatnes – Skaidra un visaptveroša informācija, kas pakalpojuma sniedzējam ir jādod – Jēdziens – Sīkdatņu darbības ilgums – Iekļaušana – Trešo personu iespēja vai neiespēja piekļūt sīkdatnēm – Iekļaušana
(Eiropas Parlamenta un Padomes Direktīvas 2002/58, kurā grozījumi izdarīti ar Direktīvu 2009/136, 5. panta 3. punkts)
(skat. 74.–81. punktu un rezolutīvās daļas 3. punktu)
Rezumējums
Sīkdatņu ievietošanai ir jāsaņem interneta lietotāju aktīva piekrišana
2019. gada 1. oktobra spriedumā Planet49 (C‑673/17) Tiesas virspalāta nosprieda, ka piekrišana tam, ka ar tīmekļvietnes lietotāja galiekārtā ievietotu sīkdatņu palīdzību tiek saglabāta un izgūta informācija, nav dota pienācīgi, ja atļauja to darīt izriet no iepriekš ar ķeksīti atzīmētas izvēles rūtiņas, neatkarīgi no tā, vai attiecīgā informācija ir vai nav personas dati. Tiesa turklāt precizēja, ka pakalpojumu sniedzējam ir jānorāda tīmekļvietnes lietotājam ziņas par sīkdatņu darbības ilgumu, kā arī to, vai trešām personām ir vai nav iespējams gūt piekļuvi šīm sīkdatnēm.
Pamatlieta bija par reklāmas loteriju, ko Planet49 rīkoja tīmekļvietnē www.dein‑macbook.de. Lai tajā varētu piedalīties, interneta lietotājiem bija jānorāda savs vārds un sava adrese tīmekļvietnē, kur atradās ar ķeksīti atzīmējamas izvēles rūtiņas. Izvēles rūtiņa, kurā tiek dota atļauja ievietot sīkdatnes, bija ar ķeksīti atzīmēta jau pēc noklusējuma. Vācijas Federālās patērētāju tiesību aizsardzības centru apvienības iesniegto prasību izskatošā Bundesgerichtshof (Federālā augstākā tiesa, Vācija) šaubījās par to, vai veids, kādā lietotāju piekrišana tiek saņemta, izmantojot jau pēc noklusējuma ar ķeksīti atzīmētu izvēles rūtiņu, ir pienācīgs, kā arī par to, kāds ir apjoms pakalpojuma sniedzēja pienākumam sniegt informāciju.
Lūgums sniegt prejudiciālu nolēmumu būtībā bija par to, kā ir jāinterpretē piekrišana, kas ir paredzēta Direktīvā par privāto dzīvi un elektronisko komunikāciju (1), skatot to kopsakarā ar Direktīvu 95/46 (2), kā arī ar Vispārīgo datu aizsardzības regulu (3).
Pirmkārt, Tiesa konstatēja, ka Direktīvas 95/46 2. panta h) punktā – uz kuru ir izdarīta atsauce Direktīvas par privāto dzīvi un elektronisko komunikāciju 2. panta f) punktā – piekrišana ir definēta kā “jebkurš labprātīgi sniegts šīs personas vēlmju konkrēts un paziņots norādījum[s], ar kuru datu subjekts izsaka savu piekrišanu uz viņu attiecināmu personas datu apstrādei”. Tā norādīja, ka prasība pēc datu subjekta vēlmju “norādījuma” skaidri liecina par aktīvu rīcību, nevis pasīvu izturēšanos. Savukārt, lai dotu piekrišanu, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, tīmekļvietnes lietotājam nav aktīvi jārīkojas. Turklāt arī Direktīvas par privāto dzīvi un elektronisko komunikāciju 5. panta 3. punkta – kurā kopš grozījumu izdarīšanas ar Direktīvu 2009/136 ir paredzēts, ka lietotājam ir jābūt “[devušam] savu piekrišanu” sīkdatņu ievietošanai – rašanās vēsture liecina, ka lietotāja piekrišana turpmāk vairs nav prezumējama un tai ir jāizriet no šā lietotāja aktīvas rīcības. Visbeidzot, aktīva piekrišana tagad ir paredzēta Vispārīgajā datu aizsardzības regulā (4), kuras 4. panta 11. punktā ir prasīts, lai gribas izpaudums būtu veikts tostarp “skaidri apstiprinošas darbības” veidā, un kuras 32. apsvērumā ir skaidri izslēgts, ka par piekrišanu būtu jāuzskata “klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības”.
Tāpēc Tiesa nosprieda, ka piekrišana nav dota pienācīgi tad, ja atļauja informācijas saglabāšanai tīmekļvietnes lietotāja galiekārtā vai piekļuvei tur jau uzglabātai informācijai tiek dota, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem. Tā piebilda, ka ar to, ka lietotājs aktivizē pogu dalībai attiecīgajā reklāmas loterijā, nav pietiekami, lai varētu uzskatīt, ka lietotājs ir pienācīgi devis savu piekrišanu sīkdatņu ievietošanai.
Otrkārt, Tiesa konstatēja, ka Direktīvas par privāto dzīvi un elektronisko komunikāciju 5. panta 3. punkta mērķis ir aizsargāt lietotāju no iejaukšanās viņa privātajā dzīvē neatkarīgi no tā, vai šī iejaukšanās skar vai neskar personas datus. No tā izriet, ka piekrišanas jēdziens nav jāinterpretē atšķirīgi atkarībā no tā, vai tīmekļvietnes lietotāja galiekārtā saglabātā vai no tās izgūtā informācija ir vai nav personas dati.
Treškārt, Tiesa norādīja, ka Direktīvas par privāto dzīvi un elektronisko komunikāciju 5. panta 3. punktā ir prasīts, lai lietotājs būtu devis savu piekrišanu, būdams nodrošināts ar skaidru un visaptverošu informāciju, tostarp par apstrādes nolūku. Skaidrai un visaptverošai informācijai ir jāļauj lietotājam viegli noprast sekas, kas iestātos viņa iespējami dotai piekrišanai, un jāgarantē, ka šī piekrišana tiek dota, pilnībā apzinoties visus apstākļus. Šajā ziņā Tiesa uzskatīja, ka skaidrajai un visaptverošai informācijai, kas pakalpojumu sniedzējam ir jāsniedz lietotājam, ir jāietver ziņas arī par sīkdatņu funkcionēšanu, kā arī par to, vai trešajām personām ir iespēja piekļūt šīm sīkdatnēm vai arī tām šādas iespējas nav.