TEISINGUMO TEISMO (antroji kolegija) SPRENDIMAS
2019 m. liepos 29 d. (*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46/EB – 2 straipsnio d punktas – Sąvoka „duomenų valdytojas“ – Interneto svetainės, į kurią integruotas socialinis modulis, leidžiantis perduoti šios svetainės lankytojo asmens duomenis minėto modulio teikėjui, administratorius – 7 straipsnio f punktas – Duomenų tvarkymo teisėtumas – Atsižvelgimas į interneto svetainės administratoriaus arba socialinio modulio teikėjo interesus – 2 straipsnio h punktas ir 7 straipsnio a punktas – Duomenų subjekto sutikimas – 10 straipsnis – Duomenų subjekto informavimas – Nacionalinės teisės aktai, leidžiantys vartotojų teisių gynimo asociacijoms pareikšti ieškinį“
Byloje C‑40/17
dėl 2017 m. sausio 19 d. Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija) nutartimi, kurią Teisingumo Teismas gavo 2017 m. sausio 26 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Fashion ID GmbH & Co. KG
prieš
Verbraucherzentrale NRW eV,
dalyvaujant:
Facebook Ireland Ltd
Landesbeauftragte für Datenschutz und Informationsfreziheit Nordrhein-Westfalen,
TEISINGUMO TEISMAS (antroji kolegija),
kurį sudaro antrosios kolegijos pirmininko pareigas einantis Teisingumo Teismo pirmininkas K. Lenaerts, teisėjai A. Prechal, C. Toader, A. Rosas (pranešėjas) ir M. Ilešič,
generalinis advokatas M. Bobek,
posėdžio sekretorius D. Dittert, skyriaus vadovas,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2018 m. rugsėjo 6 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Fashion ID GmbH & Co. KG, atstovaujamos Rechtsanwälte C.‑M. Althaus ir J. Nebel,
– Verbraucherzentrale NRW eV, atstovaujamos Rechtsanwälte K. Kruse, C. Rempe ir S. Meyer,
– Facebook Ireland Ltd, atstovaujamos Rechtsanwälte H.‑G. Kamann, C. Schwedler ir M. Braun ir avvocatessa I. Perego,
– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, atstovaujamo U. Merger,
– Vokietijos vyriausybės, iš pradžių atstovaujamos T. Henze ir J. Möller, vėliau – J. Möller,
– Belgijos vyriausybės, atstovaujamos P. Cottin ir L. Van den Broeck,
– Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato P. Gentili,
– Austrijos vyriausybės, iš pradžių atstovaujamos C. Pesendorfer, vėliau – G. Hesse ir G. Kunnert,
– Lenkijos vyriausybės, atstovaujamos B. Majczyna,
– Europos Komisijos, atstovaujamos H. Krämer ir H. Kranenborg,
susipažinęs su 2018 m. gruodžio 19 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą susijęs su 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 2, 7, 10, 22–24 straipsnių išaiškinimu.
2 Šis prašymas buvo pateiktas nagrinėjant Fashion ID GmbH & Co. KG ir Verbraucherzentrale NRW eV ginčą, kilusį dėl to, kad Fashion ID į savo interneto svetainę integravo Facebook Ireland Ltd socialinį modulį.
Teisinis pagrindas
Sąjungos teisė
3 Nuo 2018 m. gegužės 25 d. Direktyva 95/46 buvo panaikinta ir pakeista 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 119, 2016, p. 1). Tačiau, atsižvelgiant į pagrindinės bylos faktinių aplinkybių datą, ši direktyva taikytina pagrindinei bylai.
4 Direktyvos 95/46 10 konstatuojamojoje dalyje nurodyta:
„kadangi asmens duomenų tvarkymą reglamentuojančių nacionalinių įstatymų tikslas – apsaugoti pagrindines teises ir laisves, ypač privatumo teisę, ir tai pripažįstama [1950 m. lapkričio 4 d. Romoje pasirašytos] Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnyje, taip pat [Sąjungos] teisės aktų bendruosiuose principuose; kadangi dėl šios priežasties, suvienodinant tokius įstatymus, negali būti sumažinta juose numatyta apsauga, o priešingai – turi būti siekiama aukšto apsaugos lygio visoje [Sąjungoje]“.
5 Direktyvos 95/46 1 straipsnyje numatyta:
„1. Pagal šią direktyvą valstybės narės saugo fizinių asmenų pagrindines teises ir laisves, o ypač jų privatumo teisę tvarkant asmens duomenis.
2. Valstybės narės nevaržo ir nedraudžia laisvo asmens duomenų judėjimo tarp valstybių narių dėl priežasčių, susijusių su apsauga, skiriama pagal šio straipsnio 1 dalį.“
6 Šios direktyvos 2 straipsnyje nustatyta:
„Šioje direktyvoje:
a) „asmens duomenys“ informacija apie fizinį asmenį (duomenų subjektą), kurio tapatybė nustatyta arba kurią įmanoma nustatyti; kur asmuo, kurio tapatybę įmanoma nustatyti, yra toks asmuo, kuris gali būti tiesiogiai arba netiesiogiai identifikuotas, visų pirma pagal jo asmens kodą arba vieną ar kelis veiksnius, būdingus jo fizinei, psichologinei, psichinei, ekonominei, kultūrinei ar socialinei tapatybei;
b) „asmens duomenų tvarkymas“ (tvarkymas) reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas;
<…>
d) „duomenų valdytojas“ reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslus ir būdus nusako nacionaliniai arba [Sąjungos] įstatymai bei norminiai aktai, tai duomenų valdytoją arba specifinius kriterijus, pagal kuriuos skiriamas duomenų valdytojas, gali apibrėžti nacionaliniai arba [Sąjungos] įstatymai;
<…>
f) „trečioji šalis“ reiškia bet kurį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, nesantį duomenų subjektu, duomenų valdytoju ar duomenų tvarkytoju, arba tokiu asmeniu, kuriam leidžiama tvarkyti duomenis, tiesiogiai įgaliotam duomenų valdytojo ar duomenų tvarkytojo;
g) „duomenų gavėjas“ reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuriam atskleidžiami duomenys, net jei jis yra trečioji šalis; tačiau valdžios institucijos, kurios gauna duomenų, padavusios konkretų užklausimą, nėra laikomos gavėjomis;
h) „duomenų subjekto sutikimas“ reiškia bet kurį savanoriškai ir žinomai duotą konkretų duomenų subjekto pareiškimą, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi su juo susiję duomenys.“
7 Minėtos direktyvos 7 straipsnyje nustatyta:
„Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:
a) duomenų subjektas yra nedviprasmiškai davęs sutikimą;
arba
<…>
f) tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto, kuriam pagal 1 straipsnio 1 dalį reikalinga apsauga, teisės ir laisvės yra viršesnės nei šie interesai.“
8 Tos pačios direktyvos 10 straipsnyje „Informavimas renkant duomenis iš duomenų subjekto“ nustatyta:
„Valstybės narės numato, kad duomenų valdytojas arba jo atstovas privalo duomenų subjektui, iš kurio renkami su juo susiję duomenys, suteikti bent tokią informaciją, jeigu jis jos dar neturi:
a) operatoriaus asmens tapatybę ir, prireikus, jo atstovo tapatybę;
b) šių asmens duomenų tvarkymo tikslus;
c) bet kokia išsamesnę informaciją, kaip antai:
– duomenų gavėjus ar jų kategorijas;
– ar į klausimus atsakoma privaloma tvarka, ar savanoriškai, taip pat galimos neatsakymo pasekmės,
– teisės susipažinti su savo asmens duomenimis ir teisės juos ištaisyti buvimas;
kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes, kad būtų garantuotas teisingas subjekto duomenų tvarkymas.“
9 Direktyvos 95/46 22 straipsnis suformuluotas taip:
„Nepažeidžiant jokių nuostatų dėl administracinio poveikio priemonių, kurios, inter alia, gali būti numatytos prieš perduodant klausimą 28 straipsnyje nurodytai priežiūros institucijai ir prieš kreipiantis į teismo instituciją, valstybės narės numato, kad kiekvienas asmuo turi teisę į teisminę gynybą, jei pažeidžiamos teisės, kurias jam garantuoja nacionaliniai įstatymai, taikomi tvarkant tam tikru aptariamu būdu.“
10 Šios direktyvos 23 straipsnyje nurodyta:
„1. Valstybės narės numato, kad bet kuris asmuo, patyręs nuostolių dėl neteisėtos tvarkymo operacijos ar bet kokio veiksmo, nesuderinamo su nacionalinėmis nuostatomis, priimtomis pagal šią direktyvą, turi teisę iš duomenų valdytojo gauti kompensaciją už patirtus nuostolius.
2. Duomenų valdytojas gali būti visiškai ar iš dalies atleistas nuo šios turtinės atsakomybės, jeigu įrodo nesantis atsakingas už nuostolius sukėlusį veiksmą.“
11 Minėtos direktyvos 24 straipsnyje numatyta:
„Valstybės narės priima tinkamas priemones užtikrinti, kad šios direktyvos nuostatos būtų visiškai įgyvendintos, ir būtinai išdėsto sankcijas, kurios taikomos pažeidus pagal šią direktyvą priimtas nuostatas.“
12 Šios direktyvos 28 straipsnyje nustatyta:
„1. Kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos.
Šios valdžios institucijos veikia visiškai nepriklausomai, vykdydamos joms patikėtas funkcijas.
<…>
3. Kiekvienai valdžios institucijai suteikiami:
<…>
– įgaliojimai dalyvauti teismo procesuose, kai pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, arba atkreipti teismo institucijų dėmesį į tokius pažeidimus.
<…>
4. Kiekviena priežiūros institucija nagrinėja bet kurio asmens ar tam asmeniui atstovaujančios asociacijos iškeltus ieškinius dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis. Suinteresuotam asmeniui pranešama apie ieškinio baigtį.
<…>“
13 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37) su pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB (OL L 337, 2009, p. 11) (toliau – Direktyva 2002/58), 5 straipsnio 3 dalyje numatyta:
„Valstybės narės užtikrina, kad saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar naudotojo galiniame įrenginyje būtų leidžiama tik su sąlyga, jei atitinkamam abonentui ar naudotojui sutikus pagal Direktyvą 95/46/EB pateikiama aiški ir išsami informacija, inter alia, apie tokio duomenų tvarkymo tikslus. Ši nuostata nedraudžia vykdyti techninį saugojimą ar naudotis duomenimis, jei siekiama tik atlikti pranešimo perdavimą elektroninių ryšių tinklu, taip pat būtinais atvejais, kad informacinės visuomenės paslaugų teikėjas galėtų teikti paslaugas, kurių aiškiai paprašo abonentas ar naudotojas.“
14 2009 m. balandžio 23 d. Europos Parlamento ir Tarybos direktyvos 2009/22/EB dėl ieškinių dėl uždraudimo ginant vartotojų interesus (OL L 110, 2009, p. 30), iš dalies pakeistos 2013 m. gegužės 21 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 524/2013 (OL L 165, 2013, p. 1) (toliau – Direktyva 2009/22), 1 straipsnio 1 dalyje nustatyta:
„Šia direktyva siekiama suderinti valstybių narių įstatymus ir kitus teisės aktus, susijusius su 2 straipsnyje nurodytais ieškiniais dėl uždraudimo, kuriais siekiama ginti I priede išvardytuose Sąjungos aktuose nurodytus kolektyvinius vartotojų interesus, siekiant užtikrinti sklandų vidaus rinkos veikimą.“
15 Šios direktyvos 2 straipsnyje numatyta:
„1. Valstybės narės paskiria teismus arba administracines institucijas, kompetentingas priimti sprendimus bylose, kurias pradėjo kompetentingi subjektai, kaip apibrėžta 3 straipsnyje, ir kuriomis siekiama:
a) kad kuo skubiau būtų priimtas sprendimas, kai tinkama – sumarinio proceso tvarka, kuriuo reikalaujama nutraukti bet kokį pažeidimą arba jį uždrausti;
<…>“
16 Minėtos direktyvos 7 straipsnyje numatyta:
„Ši direktyva nedraudžia valstybėms narėms priimti naujų ar palikti galiojančių nuostatų, kurios suteikia kompetentingiems subjektams ir bet kokiems kitiems suinteresuotiems asmenims platesnes teises pareikšti ieškinį nacionaliniu lygiu.“
17 Reglamento 2016/679 80 straipsnyje nustatyta:
„1. Duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis teisėmis, nurodytomis 77, 78 bei 79 straipsniuose, jo vardu naudotis 82 straipsnyje nurodyta teise gauti kompensaciją, jei taip numatyta valstybės narės teisėje.
2. Valstybės narės gali nustatyti, kad bet kuri šio straipsnio 1 dalyje nurodyta įstaiga, organizacija ar asociacija, nepriklausomai nuo duomenų subjekto įgaliojimų, toje valstybėje narėje turi teisę pateikti skundą priežiūros institucijai, kuri yra kompetentinga pagal 77 straipsnį, ir turi teisę naudotis 78 ir 79 straipsniuose nurodytomis teisėmis, jei mano, kad tvarkant duomenis duomenų subjekto teisės pagal šį reglamentą buvo pažeistos.“
Vokietijos teisė
18 Gesetz gegen den unlauteren Wettbewerb (Kovos su nesąžininga konkurencija įstatymas, toliau – UWG) 3 straipsnio 1 dalyje teigiama:
„Nesąžininga komercinė veikla draudžiama.“
19 UWG 3a straipsnis suformuluotas taip:
„Subjektas, pažeidžiantis teisės nuostatą, kuria taip pat siekiama reguliuoti veiklą rinkoje rinkos dalyvių naudai, vykdo nesąžiningą veiklą, jei pažeidimas gali gerokai pakenkti vartotojų, kitų rinkos dalyvių arba konkurentų interesams.“
20 UWG 8 straipsnyje numatyta
„(1) Asmeniui, kuris atlieka pagal 3 arba 7 straipsnius neteisėtus komercinius veiksmus, gali būti pareikštas reikalavimas ištaisyti pažeidimą, o pakartotinio pažeidimo grėsmės atveju – reikalavimas nutraukti veiksmus. Teisė prašyti nutraukti veiksmus atsiranda jau tuomet, kai kyla tokio pagal 3 arba 7 straipsnius numatyto pažeidimo grėsmė.
<…>
(3) 1 dalyje nurodytus reikalavimus gali pateikti:
<…>
3. kompetentingi subjektai, kurie įrodo, kad yra įtraukti į kompetentingų subjektų sąrašą pagal Unterlassungsklagegesetz (Ieškinių dėl veiksmų nutraukimo įstatymas) 4 straipsnį arba Europos Komisijos sąrašą pagal Direktyvos 2009/22 4 straipsnio 3 dalį;
<…>“
21 Ieškinių dėl veiksmų nutraukimo įstatymo 2 straipsnyje numatyta:
„(1) Asmeniui, kuris pažeidžia nuostatas, skirtas vartotojams apsaugoti (įstatymus dėl vartotojų apsaugos), kitaip nei taikant Bendrąsias komercines sąlygas arba remiantis jose nustatytomis rekomendacijomis, gali būti nurodyta nutraukti tam tikrus veiksmus siekiant apginti vartotojų interesus. <…>
(2) Pagal šią nuostatą įstatymai dėl vartotojų apsaugos yra:
<…>
11) priimtinumo taisyklės, taikomos
a) verslininko vykdomam vartotojo asmens duomenų rinkimui arba
b) verslininko vykdomam surinktų vartotojo asmens duomenų tvarkymui arba naudojimui,
kai duomenys renkami, tvarkomi arba naudojami reklamos, rinkos tyrimų ir viešosios nuomonės apklausos tikslais, informacinės agentūros veiklai, kuriant asmeninį ir naudotojo profilį, prekybai adresais, kitais duomenimis ar kitais panašiais komerciniais tikslais.“
22 Telemediengesetz (Elektroninių paslaugų įstatymas, toliau – TMG) 12 straipsnio 1 dalis suformuluota taip:
„Teikdamas elektroninę paslaugą paslaugų teikėjas gali rinkti ir naudoti asmens duomenis tik tuo atveju, kai tai leidžiama pagal šį įstatymą ar kitą teisės aktą, aiškiai reglamentuojantį elektronines paslaugas, arba kai vartotojas su tuo sutinka.“
23 TMG 13 straipsnio 1 dalyje nustatyta:
„Prisijungimo operacijos pradžioje paslaugų teikėjas privalo visiems suprantama forma informuoti naudotoją apie asmens duomenų rinkimo ir naudojimo pobūdį, apimtį ir tikslus, taip pat apie jo duomenų tvarkymą valstybėse, kuriose netaikoma [Direktyva 95/46], jei tokia informacija dar nebuvo pateikta. Naudojant automatizuotą procesą, kuris leidžia vėliau atpažinti naudotoją ir paruošia rinkti ar naudoti asmens duomenis, naudotojui būtina apie tai pranešti prieš prasidedant šiam procesui. Tokio pranešimo turinys turi būti bet kuriuo metu prieinamas naudotojui.“
24 TMG 15 straipsnio 1 dalyje nurodyta:
„Paslaugų teikėjas gali rinkti ir naudoti naudotojo asmens duomenis tik tuo atveju, kai tai būtina siekiant suteikti galimybę naudotis elektroninėmis paslaugomis ir atsiskaityti už jas (naudojimosi duomenys). Naudojimosi duomenys visų pirma yra šie:
1. požymiai, padedantys identifikuoti naudotoją,
2. informacija apie naudojimosi pradžią, pabaigą ir trukmę,
3. informacija apie elektronines paslaugas, kuriomis naudotojas naudojosi.“
Pagrindinė byla ir prejudiciniai klausimai
25 Fashion ID, elektroninės prekybos mados prekėmis įmonė, į savo interneto svetainę integravo socialinio tinklo Facebook socialinį modulį „Patinka“ (toliau – Facebook mygtukas „Patinka“).
26 Iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad internetui būdinga tai, jog interneto svetainės lankytojo naršyklėje gali būti pateikiamas turinys iš įvairių šaltinių. Pavyzdžiui, šioje byloje nuotraukos, vaizdo įrašai, naujienos ir Facebook mygtukas „Patinka“ gali būti susieti su interneto svetaine ir ten būti pateikti. Jeigu interneto svetainės administratorius ketina integruoti tokį išorinį turinį, jis pateikia šioje svetainėje nuorodą į išorės turinį. Kai minėtos svetainės lankytojo naršyklė atidaro šią nuorodą, ji paprašo išorės turinio ir jį įkelia į norimą vietą svetainėje. Tam naršyklė turi perduoti minėto lankytojo kompiuterio IP adresą ir naršyklės techninius duomenis išorės teikėjo serveriui, kad serveris galėtų nustatyti, kokiu formatu turinys turi būti pateikiamas šiuo adresu. Naršyklė taip pat pateikia informaciją apie pageidaujamą turinį. Interneto svetainės administratorius, siūlantis išorės turinį, kuris įkeliamas į šią svetainę, negali nustatyti nei naršyklės perduodamų duomenų, nei to, ką išorės teikėjas daro su tokia informacija, konkrečiai kalbant, ar ją kaupia ir analizuoja.
27 Kalbant apie Facebook mygtuką „Patinka“, iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad kai lankytojas prisijungia prie Fashion ID svetainės, šio lankytojo asmens duomenys dėl to, kad šioje svetainėje integruotas minėtas mygtukas, perduodami Facebook Ireland. Atrodo, kad toks perdavimas vyksta minėtam lankytojui to nežinant ir neatsižvelgiant į tai, ar jis yra socialinio tinklo Facebook narys ir ar jis spustelėjo Facebook mygtuką „Patinka“.
28 Verbraucherzentrale NRW, visuomeninė vartotojų teisių gynimo asociacija, kaltina Fashion ID, kad savo interneto svetainės lankytojų asmens duomenis perdavė Facebook Ireland, viena vertus, be jų sutikimo ir, kita vertus, pažeisdama informavimo reikalavimus, nustatytus asmens duomenų apsaugos nuostatose.
29 Verbraucherzentrale NRW pareiškė Fashion ID ieškinį dėl veiksmų nutraukimo Landgericht Düsseldorf (Diuseldorfo apygardos teismas, Vokietija) siekdama, kad Fashion ID nutrauktų šią praktiką.
30 2016 m. kovo 9 d. sprendimu Landgericht Düsseldorf (Diuseldorfo apygardos teismas) iš dalies patenkino Verbraucherzentrale NRW reikalavimus, prieš tai pripažinęs jos teisę pareikšti ieškinį pagal UWG 8 straipsnio 3 dalies 3 punktą.
31 Fashion ID apskundė šį sprendimą Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija), prašymą priimti prejudicinį sprendimą pateikusiam teismui. Facebook Ireland įstojo į šį apeliacinį procesą palaikyti Fashion ID reikalavimų. Verbraucherzentrale NRW pateikė priešpriešinį apeliacinį skundą siekdama, kad Fashion ID būtų nubausta pagal pirmosios instancijos teismo sprendimą.
32 Prašymą priimti prejudicinį sprendimą pateikusiame teisme Fashion ID teigia, kad Landgericht Düsseldorf (Diuseldorfo apygardos teismas) sprendimas nesuderinamas su Direktyva 95/46.
33 Pirma, Fashion ID nurodo, kad minėtos direktyvos 22–24 straipsniuose teisių gynimo priemonės numatytos tik duomenų subjektams ir kompetentingoms priežiūros institucijoms. Todėl Verbraucherzentrale NRW pareikštas ieškinys nepriimtinas dėl to, kad ši asociacija neturi teisės kreiptis į teismą pagal Direktyvą 95/46.
34 Antra, Fashion ID nuomone, Landgericht Düsseldorf (Diuseldorfo apygardos teismas) klaidingai manė, kad ji atsakinga už duomenų tvarkymą pagal Direktyvos 95/46 2 straipsnio d punktą, nes ji neturi įtakos duomenims, kuriuos perdavė jos interneto svetainės lankytojo naršyklė, ir nežino, ar Facebook Ireland juos naudos ir, jei taip, kaip juos naudos.
35 Pirmiausia prašymą priimti prejudicinį sprendimą pateikęs teismas abejoja, ar pagal Direktyvą 95/46 visuomeninėms asociacijoms leidžiama kreiptis į teismą siekiant apginti nukentėjusiųjų asmenų interesus. Jis mano, kad pagal šios direktyvos 24 straipsnį asociacijoms nedraudžiama dalyvauti teismo procesuose, nes pagal minėto straipsnio nuostatas valstybės narės imasi „tinkamų priemonių“, siekdamos užtikrinti, kad direktyva būtų visapusiškai taikoma. Todėl prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad nacionalinės teisės aktai, leidžiantys asociacijoms kreiptis į teismą vartotojų naudai, galėtų būti laikomi tokia tinkama priemone.
36 Šiuo atžvilgiu minėtas teismas pažymi, kad Reglamento 2016/679, kuriuo panaikinta ir pakeista Direktyva 95/46, 80 straipsnio 2 dalyje tokiai asociacijai aiškiai leidžiama pareikšti ieškinį, o tai patvirtina, kad ši direktyva nėra kliūtis tokiems veiksmams.
37 Taip pat jis kelia klausimą, ar interneto svetainės administratorius, kaip antai Fashion ID, kuris į šią svetainę integruoja socialinį modulį, leidžiantį rinkti asmens duomenis, gali būti laikomas atsakingu už duomenų tvarkymą, kaip apibrėžta Direktyvos 95/46 2 straipsnio d punkte, jei nedaro įtakos minėto modulio teikėjui perduotų duomenų tvarkymui. Prašymą priimti prejudicinį sprendimą pateikęs teismas šiuo klausimu nurodo bylą, kurioje priimtas 2018 m. birželio 5 d. Sprendimas Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388) dėl panašaus klausimo.
38 Papildomai, t. y. tuo atveju, jei Fashion ID neturėtų būti laikoma duomenų valdytoja, prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar ši direktyva šią sąvoką reglamentuoja taip išsamiai, kad ja uždraudžiamos nacionalinės taisyklės, numatančios trečiosios šalies civilinę atsakomybę už teisių į duomenų apsaugą pažeidimą. Iš tikrųjų prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad pagal tokią nacionalinę teisę būtų galima numatyti Fashion ID, kaip „trukdytojos“, atsakomybę.
39 Jei Fashion ID turėtų būti laikoma duomenų valdytoja arba bent jau kaip „trukdytoja“ turėtų prisiimti atsakomybę už Facebook Ireland tariamus duomenų apsaugos pažeidimus, prašymą priimti prejudicinį sprendimą pateikęs teismas klausia, ar asmens duomenų tvarkymas pagrindinėje byloje yra teisėtas ir ar pareiga informuoti duomenų subjektą pagal Direktyvos 95/46 10 straipsnį tenka Fashion ID ar Facebook Ireland.
40 Taigi, viena vertus, atsižvelgdamas į duomenų tvarkymo teisėtumo sąlygas, numatytas Direktyvos 95/46 7 straipsnio f punkte, prašymą priimti prejudicinį sprendimą pateikęs teismas kelia klausimą, ar tokiomis aplinkybėmis, kokios nagrinėjamos pagrindinėje byloje, turi būti atsižvelgiama į teisėtą interneto svetainės administratoriaus ar į socialinio modulio teikėjo interesą.
41 Kita vertus, minėtas teismas klausia, kam tenka pareiga gauti duomenų subjektų sutikimą ir informuoti juos apie asmens duomenų tvarkymą tokioje situacijoje, kokia nagrinėjama pagrindinėje byloje. Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad klausimas, kam tenka pareiga informuoti duomenų subjektus, numatyta Direktyvos 95/46 10 straipsnyje, yra ypač svarbus, nes bet koks išorės turinio integravimas į interneto svetainę iš esmės reiškia, kad vykdomas asmens duomenų tvarkymas, kurio apimtis ir tikslas nėra žinomi tam, kas integruoja tokį turinį, t. y. atitinkamos interneto svetainės administratoriui. Dėl to pastarasis negalėtų pateikti reikalaujamos informacijos, jei jis būtų įpareigotas tai daryti, nes tokio administratoriaus įpareigojimas informuoti duomenų subjektą praktiškai lemtų draudimą integruoti išorės turinį.
42 Šiomis aplinkybėmis Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1) Ar [Direktyvos 95/46] 22, 23 ir 24 straipsniuose nustatyta sistema užkerta kelią nacionalinės teisės aktams, kuriais, be to, kad duomenų apsaugos institucijos gali įsikišti, o duomenų subjektai gali kreiptis į teismą, visuomeninėms vartotojų teisių gynimo asociacijoms suteikiama teisė pareikšti ieškinį pažeidėjui pažeidimų atveju?
Jei į pirmąjį klausimą būtų atsakyta neigiamai:
2) Ar tokiu atveju kaip šis, kai asmuo į savo interneto svetainę integruoja programos kodą, leidžiantį naudotojo naršyklei prašyti trečiosios šalies turinio ir perduoti trečiajai šaliai asmens duomenis, kodą integruojantis asmuo laikytinas „duomenų valdytoju“, kaip tai suprantama pagal [Direktyvos 95/46] 2 straipsnio d punktą, jeigu jis pats negali daryti įtakos tokiam duomenų tvarkymo procesui?
3) Jei į antrąjį klausimą būtų atsakyta neigiamai, ar [Direktyvos 95/46] 2 straipsnio d punktas turi būti aiškinamas kaip išsamiai reglamentuojantis atsakomybę ir įsipareigojimus, nes pagal jį draudžiama pateikti civilinės teisės ieškinį trečiajai šaliai, kuri, nors ir nėra „duomenų valdytoja“, sukuria sąlygas duomenų tvarkymo procesui, bet įtakos jam neturi?
4) Kieno „teisėtais interesais“ turi būti vadovaujamasi tokioje situacijoje, kokia nagrinėjama šioje byloje, vertinant aplinkybes pagal [Direktyvos 95/46] 7 straipsnio f punktą? Interesais integruoti trečiosios šalies turinį ar trečiosios šalies interesais?
5) Kam turi būti išreikštas sutikimas pagal [Direktyvos 95/46] 7 straipsnio a punktą ir 2 straipsnio h punktą tokiomis aplinkybėmis, kokios nagrinėjamos šioje byloje?
6) Ar [Direktyvos 95/46] 10 straipsnyje nustatyta pareiga informuoti duomenų subjektą tokioje situacijoje, kokia nagrinėjama šioje byloje, tenka ir interneto svetainės administratoriui, kuris integravo trečiosios šalies turinį ir taip sukūrė sąlygas trečiajam asmeniui tvarkyti asmens duomenis?“
Dėl prejudicinių klausimų
Dėl pirmojo klausimo
43 Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės prašo išaiškinti, ar Direktyvos 95/46 22–24 straipsniai turi būti aiškinami kaip draudžiantys nacionalines taisykles, pagal kurias vartotojų teisių gynimo asociacijoms leidžiama pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui.
44 Pirmiausia reikėtų priminti, kad pagal Direktyvos 95/46 22 straipsnį valstybės narės numato, kad kiekvienas asmuo turi teisę kreiptis į teismą dėl teisių, kurias jam garantuoja aptariamam tvarkymui taikomos nacionalinės nuostatos, pažeidimo.
45 Direktyvos 95/46 28 straipsnio 3 dalies trečioje pastraipoje numatyta, kad priežiūros institucija, kuriai pagal šios direktyvos 28 straipsnio 1 dalį pavesta stebėti, kaip atitinkama valstybė narė taiko tos valstybės narės pagal minėtą direktyvą priimtas nuostatas, turi įgaliojimus dalyvauti teismo procesuose, kai pažeidžiamos pagal tą pačią direktyvą priimtos nacionalinės nuostatos, arba atkreipti teismo institucijų dėmesį į tokius pažeidimus.
46 Direktyvos 95/46 28 straipsnio 4 dalyje nustatyta, kad priežiūros institucija nagrinėja duomenų subjektui, kaip tai suprantama pagal šios direktyvos 2 straipsnio a punktą, atstovaujančios asociacijos iškeltus ieškinius dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis.
47 Tačiau nė vienoje šios direktyvos nuostatoje valstybėms narėms nenustatyta pareiga ir aiškiai nesuteikta teisė savo nacionalinėje teisėje numatyti galimybę asociacijai atstovauti tokiam asmeniui teisme arba savo iniciatyva pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui.
48 Tai nereiškia, kad Direktyva 95/46 draudžiami nacionaliniai teisės aktai, pagal kuriuos vartotojų teisių gynimo asociacijoms leidžiama pareikšti ieškinį tariamam pažeidėjui.
49 Pagal SESV 288 straipsnio trečią pastraipą perkeldamos direktyvą į nacionalinę teisę valstybės narės privalo užtikrinti jos veiksmingumą, tačiau jos turi plačią diskreciją pasirinkti būdus ir priemones, skirtus jos įgyvendinimui užtikrinti. Ši laisvė kiekvienai valstybei narei, kuriai ji skirta, palieka pareigą imtis visų būtinų priemonių, kad būtų užtikrintas visiškas atitinkamos direktyvos veiksmingumas, atsižvelgiant į jos siekiamą tikslą (2010 m. spalio 6 d. Sprendimo Base ir kt., C‑389/08, EU:C:2010:584, 24 ir 25 punktai ir 2018 m. vasario 22 d. Sprendimo Porras Guisado, C‑103/16, EU:C:2018:99, 57 punktas).
50 Primintina, kad vienas iš Direktyvos 95/46 tikslų yra užtikrinti veiksmingą ir visišką fizinių asmenų pagrindinių laisvių ir teisių, ypač teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis (šiuo klausimu žr. 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 53 punktą ir 2017 m. rugsėjo 27 d. Sprendimo Puškár, C‑73/16, EU:C:2017:725, 38 punktą). Jos 10 konstatuojamojoje dalyje patikslinta, kad šioje srityje taikomų nacionalinių teisės aktų derinimas negali sumažinti juose numatytos apsaugos, o priešingai – turi būti siekiama aukšto apsaugos lygio visoje Sąjungoje (2003 m. lapkričio 6 d. Sprendimo Lindqvist, C‑101/01, EU:C:2003:596, 95 punktas; 2008 m. gruodžio 16 d. Sprendimo Huber, C‑524/06, EU:C:2008:724, 50 punktas ir 2011 m. lapkričio 24 d. Sprendimo Asociacion Nacional de Establecimientos Financieros de Crédito C‑468/10 ir C‑469/10, EU:C:2011:777, 28 punktas).
51 Tai, kad valstybė narė savo nacionalinėse taisyklėse gali numatyti galimybę vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui, jokiu būdu nepažeidžia direktyvos tikslų, o, priešingai, padeda juos įgyvendinti.
52 Vis dėlto Fashion ID ir Facebook Ireland teigia, kad, kadangi Direktyva 95/46 visiškai suderintos nacionalinės teisės nuostatos, susijusios su duomenų apsauga, bet kokie joje aiškiai nenumatyti teisiniai veiksmai būtų negalimi. Tačiau Direktyvos 95/46 22, 23 ir 28 straipsniuose numatyti tik duomenų subjektų ir duomenų apsaugos priežiūros institucijų veiksmai.
53 Vis dėlto su šiais argumentais negalima sutikti.
54 Direktyva 95/46 iš principo visiškai suderinami nacionalinės teisės aktai asmens duomenų apsaugos srityje (šiuo klausimu žr. 2011 m. lapkričio 24 d. Sprendimo Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ir C‑469/10, EU:C:2011:777, 29 punktą ir 2013 m. lapkričio 7 d. Sprendimo IPI, C‑473/12, EU:C:2013:715, 31 punktą).
55 Taigi Teisingumo Teismas nusprendė, kad minėtos direktyvos 7 straipsnyje nustatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas ir kad valstybės narės negali į šį straipsnį įtraukti naujų principų, susijusių su asmens duomenų tvarkymo teisėtumu, ir numatyti papildomų reikalavimų, kurie pakeistų vieno iš šešių minėtame straipsnyje nustatytų principų taikymo sritį (2011 m. lapkričio 24 d. Sprendimo Asociación Nacional de Estéblios Financieros de Crédito, C‑468/10 ir C‑469/10, EU:C:2011:777, 30 ir 32 punktai ir 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 57 punktas).
56 Tačiau Teisingumo Teismas taip pat aiškiai nurodė, kad Direktyvoje 95/46 yra taisyklių, kurios yra santykinai bendro pobūdžio, nes jos turi būti taikomos daugeliui labai skirtingų situacijų. Šioms taisyklėms būdingas tam tikras lankstumas ir daugeliu atvejų valstybėms narėms paliekama teisė pačioms nuspręsti dėl išsamesnės informacijos arba pasirinkti vieną iš kelių galimybių, kad valstybės narės daugeliu atžvilgių turėtų diskreciją perkeldamos minėtą direktyvą (šiuo klausimu žr. 2003 m. lapkričio 6 d. Sprendimo Lindqvist, C‑101/01, EU:C:2003:596, 83, 84 ir 97 punktus ir 2011 m. lapkričio 24 d. Sprendimo Asociación Nacional de Estublastos Financieros de Crédito, C‑468/10 ir C‑469/10, EU:C:2011:777, 35 punktą).
57 Taip yra Direktyvos 95/46 22–24 straipsniuose, kuriuose, kaip generalinis advokatas nurodė savo išvados 42 punkte, vartojamos bendro pobūdžio formuluotės ir kuriais nevisiškai suderinamos nacionalinės nuostatos dėl teisminių teisių gynimo priemonių, kurių gali būti imtasi prieš tariamą asmens duomenų apsaugos pažeidėją (pagal analogiją žr. 2017 m. spalio 26 d. Sprendimo I, C‑195/16, EU:C:2017:815, 57 ir 58 punktus).
58 Konkrečiai kalbant, jei šios direktyvos 22 straipsnyje reikalaujama, kad valstybės narės nustatytų, jog bet kuris asmuo turi teisę pareikšti ieškinį tuo atveju, kai pažeidžiamos teisės, kurios jam suteikiamos pagal nacionalinės teisės nuostatas, taikomas aptariamam asmens duomenų tvarkymui, minėtoje direktyvoje nėra nuostatų, konkrečiai reglamentuojančių sąlygas, kuriomis toks ieškinys gali būti pateiktas (šiuo klausimu žr. 2017 m. rugsėjo 27 d. Sprendimo Puškár, C‑73/16, EU:C:2017:725, 54 ir 55 punktus).
59 Be to, Direktyvos 95/46 24 straipsnyje nustatyta, kad valstybės narės imasi „tinkamų priemonių“, siekdamos užtikrinti, kad būtų visapusiškai taikomos šios direktyvos nuostatos, tačiau tokios priemonės neapibrėžiamos. Atrodo, kad vartotojų teisių gynimo asociacijų galimybė pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui gali būti laikoma tinkama priemone, kaip apibrėžta šioje nuostatoje, kuria, kaip nurodyta šio sprendimo 51 punkte, siekiama įgyvendinti minėtos direktyvos tikslus pagal Teisingumo Teismo praktiką (šiuo klausimu žr. 2003 m. lapkričio 6 d. Sprendimo Lindqvist, C‑101/01, EU:C:2003:596, 97 punktą).
60 Be to, priešingai, nei teigia Fashion ID, aplinkybė, kad valstybė narė savo nacionalinės teisės aktuose numato tokią galimybę, neatrodo galinti pažeisti nepriklausomumą, kuriuo vadovaudamosi priežiūros institucijos turi vykdyti užduotis, joms patikėtas pagal Direktyvos 95/46 28 straipsnį, jei tokia galimybė negali paveikti šių priežiūros institucijų apsisprendimo laisvės ir jų laisvės imtis veiksmų.
61 Be to, nors Direktyva 95/46 nenurodyta tarp Direktyvos 2009/22 I priede išvardytų teisės aktų, tai nereiškia, kad pagal Direktyvos 2009/22 7 straipsnį šia direktyva neatliekamas išsamus suderinimas šiuo klausimu.
62 Galiausiai, tai, kad Reglamento 2016/679, kuriuo panaikinta ir pakeista Direktyva 95/46 ir kuris taikomas nuo 2018 m. gegužės 25 d., 80 straipsnio 2 dalyje valstybėms narėms aiškiai leidžiama leisti vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui, jokiu būdu nereiškia, kad valstybės narės negalėjo joms suteikti šios teisės pagal Direktyvą 95/46, tačiau patvirtina, kad šiame sprendime pateiktas direktyvos aiškinimas atspindi Sąjungos teisės aktų leidėjo valią.
63 Atsižvelgiant į visa tai, kas išdėstyta, į pirmąjį klausimą turi būti atsakyta taip, kad Direktyvos 95/46 22–24 straipsniai turi būti aiškinami taip, kad jais nedraudžiamos nacionalinės taisyklės, leidžiančios vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui.
Dėl antrojo klausimo
64 Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės klausia, ar interneto svetainės administratorius, kaip antai Fashion ID, kuris toje interneto svetainėje įterpia socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, gali būti laikomas duomenų valdytoju, kaip apibrėžta Direktyvos 95/46 2 straipsnio d punkte, nors tas valdytojas neturi jokios įtakos taip minėtam teikėjui perduotų duomenų tvarkymui.
65 Šiuo klausimu reikėtų priminti, kad, atsižvelgiant į Direktyvos 95/46 tikslą užtikrinti aukštą fizinių asmenų pagrindinių teisių ir laisvių apsaugos lygį ir ypač jų teisę į privatumą tvarkant asmens duomenis, šios direktyvos 2 straipsnio d punkte sąvoka „duomenų valdytojas“ plačiąja prasme apibrėžiama kaip nuoroda į fizinį ar juridinį asmenį, valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir būdus (žr. šiuo klausimu 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 26 ir 27 punktus).
66 Kaip Teisingumo Teismas jau yra nusprendęs, įtvirtinant plačią sąvokos „duomenų valdytojas“ apibrėžtį šia nuostata siekiama užtikrinti veiksmingą ir visišką duomenų subjektų apsaugą (2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 34 punktas ir 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 28 punktas).
67 Be to, kadangi, kaip aiškiai nurodyta Direktyvos 95/46 2 straipsnio d punkte, sąvoka „duomenų valdytojas“ reiškia subjektą, kuris „vienas ar drauge su kitais“ nustato asmens duomenų tvarkymo tikslus ir būdus, ši sąvoka nebūtinai reiškia vieną subjektą ir gali apimti kelis tokiame tvarkyme dalyvaujančius subjektus, kurių kiekvienam atitinkamai galioja duomenų apsaugai taikomos teisės normos (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 29 punktą ir 2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 65 punktą).
68 Teisingumo Teismas taip pat nusprendė, kad fizinis arba juridinis asmuo, kuris dėl savo reikmių daro poveikį asmens duomenų tvarkymui ir taip prisideda prie asmens duomenų tvarkymo tikslų ir būdų nustatymo, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą (2018 m. liepos 10 d. Sprendimo Jehovan toditajat, C‑25/17, EU:C:2018:551, 68 punktas).
69 Be kita ko, kelių subjektų bendra atsakomybė už tą patį tvarkymą pagal šią nuostatą nereiškia, kad kiekvienas iš jų turi galimybę susipažinti su atitinkamais asmens duomenimis (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 38 punktą ir 2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 69 punktą).
70 Kadangi Direktyvos 95/46 2 straipsnio d punkto nuostata siekiama užtikrinti, įtvirtinant plačią sąvokos „duomenų valdytojas“ apibrėžtį, veiksmingą ir visišką duomenų subjektų apsaugą, bendros atsakomybės buvimas nebūtinai reiškia, kad skirtingų subjektų atsakomybė už tą patį asmens duomenų tvarkymą yra lygiavertė. Priešingai, šie subjektai gali dalyvauti skirtinguose tokio tvarkymo etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas svarbias konkretaus atvejo aplinkybes (šiuo klausimu žr. 2018 m. liepos 10 d. Sprendimo Jehovan toditajat, C‑25/17, EU:C:2018:551, 66 punktą).
71 Šiuo klausimu reikia pažymėti, viena vertus, kad Direktyvos 95/46 2 straipsnio b punkte „asmens duomenų tvarkymas“ apibrėžtas kaip reiškiantis „bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamą su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas“.
72 Iš šios apibrėžties matyti, kad asmens duomenų tvarkymą gali sudaryti vienas ar daugiau veiksmų, kurių kiekvienas gali būti susijęs su skirtingais asmens duomenų tvarkymo etapais.
73 Kita vertus, iš „duomenų valdytojo“ apibrėžties, pateiktos Direktyvos 95/46 2 straipsnio d punkte ir primintos šio sprendimo 65 punkte, galima daryti išvadą, kad tais atvejais, kai keli subjektai bendrai nustato asmens duomenų tvarkymo tikslus ir būdus, jie šiame tvarkymo procese dalyvauja kaip valdytojai.
74 Kaip savo išvados 101 punkte nurodė generalinis advokatas, iš to matyti, kad fizinis arba juridinis asmuo kartu su kitais gali būti atsakingas, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, tik už tas asmens duomenų tvarkymo operacijas, kurių tikslus ir būdus jis yra kartu nustatęs. Tačiau, nedarant poveikio civilinei atsakomybei pagal nacionalinę teisę šiuo atžvilgiu, šis fizinis arba juridinis asmuo negali būti laikomas atsakingu, kaip apibrėžta minėtoje nuostatoje, už ankstesnes ar vėlesnes tvarkymo grandinės operacijas, kurių tikslų ir būdų jis nėra nustatęs.
75 Šiuo atveju su sąlyga, kad prašymą priimti prejudicinį sprendimą pateikęs teismas atliks atitinkamą patikrinimą, iš Teisingumo Teismo turimos bylos medžiagos matyti, kad kadangi Fashion ID į savo interneto svetainę integravo Facebook mygtuką „Patinka“, ji suteikė Facebook Ireland galimybę gauti savo interneto svetainės lankytojų asmens duomenis, nes tokia galimybė atsiranda tuo momentu, kai lankomasi tokioje svetainėje, neatsižvelgiant į tai, ar šie lankytojai yra socialinio tinklo Facebook nariai, ar jie spustelėjo Facebook mygtuką „Patinka“ arba ar jie žino apie tokią operaciją.
76 Remiantis šia informacija reikėtų pažymėti, kad asmens duomenų tvarkymo operacijos, kurių tikslus ir būdus Fashion ID gali nustatyti kartu su Facebook Ireland, yra, atsižvelgiant į Direktyvos 95/46 2 straipsnio b punkte pateiktą sąvokos „asmens duomenų tvarkymas“ apibrėžtį, jos interneto svetainės lankytojų asmens duomenų rinkimas ir perdavimas. Tačiau, remiantis minėta informacija, prima facie neatrodo, kad Fashion ID nustato vėlesnių asmens duomenų tvarkymo operacijų, kurias atlieka Facebook Ireland po to, kai jai perduodami minėti duomenys, tikslus ir būdus, todėl Fashion ID neturėtų būti laikoma atsakinga už šias operacijas, kaip tai suprantama pagal šio 2 straipsnio d punktą.
77 Kalbant apie informacijos rinkimo ir perdavimo priemones, kuriomis perduodami tam tikri Fashion ID interneto svetainės lankytojų asmens duomenys, iš šio sprendimo 75 punkto matyti, kad Fashion ID į savo interneto svetainę integravo Facebook mygtuką „Patinka“, kuriuo naudotis leidžia Facebook Ireland interneto svetainių administratoriai, žinodama, kad jis skirtas šios svetainės lankytojų asmeniniams duomenims rinkti ir perduoti, nesvarbu, ar jie yra socialinio tinklo Facebook nariai, ar ne.
78 Tai, kad Fashion ID integravo šį socialinį modulį į savo interneto svetainę, reiškia, be kita ko, kad ji padarė lemiamą įtaką minėtos svetainės lankytojų asmens duomenų rinkimui ir perdavimui minėto modulio paslaugų teikėjui, šiuo atveju Facebook Ireland, o tai nebūtų įvykę, jei minėtas modulis nebūtų integruotas.
79 Tokiomis aplinkybėmis ir su sąlyga, kad prašymą priimti prejudicinį sprendimą pateikęs teismas atliks atitinkamą patikrinimą, manytina, kad Facebook Ireland ir Fashion ID kartu nustato Fashion ID interneto svetainės lankytojų asmeninių duomenų rinkimo ir perdavimo operacijų būdus.
80 Kalbant apie minėtų asmens duomenų tvarkymo operacijų tikslus, matyti, kad, į savo interneto svetainę integravusi Facebook mygtuką „Patinka“, Fashion ID optimizavo savo produktų, kurie tampa labiau matomi socialiniame tinkle Facebook, kai jos interneto svetainės lankytojas paspaudžia minėtą mygtuką, reklamą. Siekdama pasinaudoti šia komercine nauda, kurią sudaro didesnė jos produktų reklama, Fashion ID integravo tokį mygtuką savo interneto svetainėje ir, atrodo, bent jau netiesiogiai leido rinkti ir perduoti savo svetainės lankytojų asmens duomenis; šios tvarkymo operacijos ekonomiškai naudingos tiek Fashion ID, tiek ir Facebook Ireland, kuriai galimybė naudotis šiais duomenimis savo komerciniais tikslais yra atlygis už Fashion ID gautą naudą.
81 Tokioms aplinkybėms gali būti manoma su sąlyga, kad prašymą priimti prejudicinį sprendimą pateikęs teismas atliks atitinkamą patikrinimą, kad Fashion ID ir Facebook Ireland kartu nustato pagrindinėje byloje nagrinėjamų asmens duomenų rinkimo ir perdavimo operacijų tikslus.
82 Be to, kaip matyti iš Teisingumo Teismo praktikos, nurodytos šio sprendimo 69 punkte, tai, kad interneto svetainės administratorius, kaip antai Fashion ID, pats neturi prieigos prie asmens duomenų, surinktų ir perduotų socialinio modulio teikėjui, su kuriuo kartu jis nustato asmens duomenų tvarkymo būdus ir tikslus, netrukdo tam, kad jis būtų laikomas „duomenų valdytoju“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą.
83 Be to, svarbu pabrėžti, kad interneto svetainėje, kaip antai Fashion ID interneto svetainėje, lankosi tiek asmenys, kurie yra socialinio tinklo Facebook nariai, turintys paskyrą šiame socialiniame tinkle, tiek ir asmenys, kurie tokios paskyros neturi. Pastaruoju atveju interneto svetainės administratoriaus, kaip antai Fashion ID, atsakomybė už šių asmenų duomenų tvarkymą yra dar didesnė, nes atrodo, kad vien tik apsilankius tokioje svetainėje, kurioje yra Facebook mygtukas „Patinka“, Facebook Ireland pradeda jų asmens duomenų tvarkymą (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 41 punktą).
84 Todėl atrodo, kad Fashion ID kartu su Facebook Ireland gali būti laikoma atsakinga, kaip tai apibrėžta Direktyvos 95/46 2 straipsnio d punkte, už jos interneto svetainės lankytojų asmens duomenų rinkimo ir perdavimo operacijas.
85 Atsižvelgiant į visus pateiktus paaiškinimus, į antrąjį klausimą reikia atsakyti taip, kad interneto svetainės administratorius, kaip antai Fashion ID, kuris į tą interneto svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Vis dėlto tokia atsakomybė jam tenka tik už tą asmens duomenų tvarkymo operaciją arba operacijas, kurių tikslus ir būdus jis realiai nustatė, t. y. už nagrinėjamą duomenų rinkimą ir perdavimą.
Dėl trečiojo klausimo
86 Atsižvelgiant į atsakymą į antrąjį klausimą, nereikia atsakyti į trečiąjį klausimą.
Dėl ketvirtojo klausimo
87 Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės klausia, ar tokioje situacijoje, kokia nagrinėjama pagrindinėje byloje, kai interneto svetainės administratorius į minėtą svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, taikant Direktyvos 95/46 7 straipsnio f punktą turi būti atsižvelgta į to administratoriaus teisėtą interesą arba minėto teikėjo teisėtą interesą.
88 Pirmiausia reikėtų pažymėti, kad, Komisijos nuomone, šis klausimas nėra svarbus nagrinėjant pagrindinę bylą, nes duomenų subjektų sutikimas, kurio reikalaujama pagal Direktyvos 2002/58 5 straipsnio 3 dalį, nebuvo gautas.
89 Šiuo klausimu reikia konstatuoti, kad šios direktyvos 5 straipsnio 3 dalyje numatyta, jog valstybės narės užtikrina, kad saugoti informaciją arba suteikti galimybę naudotis jau saugoma informacija abonento ar naudotojo galiniame įrenginyje būtų leidžiama tik su sąlyga, jei atitinkamam abonentui ar naudotojui sutikus pagal Direktyvą 95/46 pateikiama aiški ir išsami informacija, inter alia, apie tokio duomenų tvarkymo tikslus.
90 Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar, esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, socialinio modulio teikėjas, kaip antai Facebook Ireland, gauna, kaip teigia Komisija, iš šios svetainės administratoriaus informaciją, saugomą šios interneto svetainės lankytojo galiniuose įrenginiuose, kaip apibrėžta Direktyvos 2002/58 5 straipsnio 3 dalyje.
91 Tokiomis aplinkybėmis ir atsižvelgiant į tai, kad prašymą priimti prejudicinį sprendimą pateikęs teismas mano, jog šiuo atveju duomenys, perduoti Facebook Ireland, yra asmens duomenys, kaip apibrėžta Direktyvoje 95/46, kuri, be kita ko, neapsiriboja tik galiniuose įrenginiuose saugoma informacija, o tai jis turi patvirtinti, Komisijos argumentai neleidžia paneigti, kad ginčui pagrindinėje byloje išspręsti svarbus ketvirtasis prejudicinis klausimas, susijęs su galimai teisėtu pagrindinėje byloje nagrinėjamo duomenų tvarkymo pobūdžiu, kaip taip nurodė generalinis advokatas savo išvados115 punkte.
92 Todėl būtina išnagrinėti klausimą, į kurį teisėtą interesą turėtų būti atsižvelgiama taikant šios direktyvos 7 straipsnio f punktą tokių duomenų tvarkymui.
93 Šiuo klausimu primintina, kad pagal Direktyvos 95/46 II skyriaus „Bendrosios asmens duomenų tvarkymo teisėtumo taisyklės“ nuostatas, atsižvelgiant į pagal šios direktyvos 13 straipsnį leidžiamas išimtis, bet koks asmens duomenų tvarkymas turi, be kita ko, atitikti vieną iš minėtos direktyvos 7 straipsnyje išvardytų duomenų tvarkymo teisėtumo principų (šiuo klausimu žr. 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 71 punktą ir 2015 m. spalio 1 d. Sprendimo Bara ir kt., C‑201/14, EU:C:2015:638, 30 punktą).
94 Pagal Direktyvos 95/46 7 straipsnio f punktą, kurį išaiškinti prašo prašymą priimti prejudicinį sprendimą pateikęs teismas, asmens duomenų tvarkymas yra teisėtas, jei tvarkyti reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (šalys), kuriai kurioms atskleidžiami duomenys, išskyrus atvejus, kai duomenų subjekto, kuriam pagal Direktyvos 95/46 1 straipsnio 1 dalį reikalinga apsauga, teisės ir laisvės yra viršesnės nei šie interesai.
95 Taigi minėtame 7 straipsnio f punkte numatytos trys kumuliacinės sąlygos, kad asmens duomenų tvarkymas būtų teisėtas, t. y. pirma, jei tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (trečiosios šalys), kuriai (kurioms) atskleidžiami duomenys, antra, kai asmens duomenis tvarkyti būtina siekiant įgyvendinti teisėtą interesą, trečia, kai duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės nei šie interesai (2017 m. gegužės 4 d. Sprendimo Rīgas satiksme, C‑13/16, EU:C:2017:336, 28 punktas).
96 Kadangi, atsižvelgiant į atsakymą į antrąjį klausimą, atrodo, jog esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, interneto svetainės administratorius, kuris į minėtą svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, kartu su tuo tiekėju gali būti laikomas atsakingu už jo interneto svetainės lankytojų asmens duomenų tvarkymo operacijas, t. y. duomenų rinkimą ir perdavimą, kiekvienas iš šių atsakingų asmenų šiomis tvarkymo operacijomis turi siekti teisėtų interesų, kaip apibrėžta Direktyvos 95/46 7 straipsnio f punkte, kad tokios operacijos galėtų būti pagrįstos šiuo atžvilgiu.
97 Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį klausimą reikia atsakyti taip, kad, esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, kai interneto svetainės administratorius į minėtą svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, būtina, kad ir šis administratorius, ir šis teikėjas tokiomis tvarkymo operacijomis siektų teisėtų interesų, kaip apibrėžta Direktyvos 95/46 7 straipsnio f punkte, kad tokios operacijos galėtų būti pagrįstos šiuo atžvilgiu.
Dėl penktojo ir šeštojo klausimų
98 Prašymą priimti prejudicinį sprendimą pateikęs teismas savo penktuoju ir šeštuoju klausimu, kurie turi būti nagrinėjami kartu, iš esmės siekia išsiaiškinti, ar, viena vertus, Direktyvos 95/46 2 straipsnio h punktas ir 7 straipsnio a punktas turi būti aiškinami taip, kad, esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, kai interneto svetainės administratorius integruoja į minėtą svetainę socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, minėtas administratorius arba šis teikėjas turi gauti šiose nuostatose nurodytą sutikimą, ir, kita vertus, ar šios direktyvos 10 straipsnis turi būti aiškinamas taip, kad tokioje situacijoje šioje nuostatoje numatyta informavimo pareiga tenka šiam administratoriui.
99 Kaip matyti iš atsakymo į antrąjį klausimą, interneto svetainės administratorius, kuris į minėtą svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą, tačiau tokia atsakomybė jam tenka tik už tą asmens duomenų tvarkymo operaciją arba operacijų rinkinį, kurių tikslus ir būdus jis realiai nustatė.
100 Atrodo, kad pareigos, pagal Direktyvą 95/46 galinčios tekti šiam duomenų valdytojui, kaip antai pareiga gauti duomenų subjekto sutikimą, nurodytą šios direktyvos 2 straipsnio h punkte ir 7 straipsnio a punkte, taip pat šios direktyvos 10 straipsnyje numatyta pareiga pateikti informaciją, turi būti susijusios su duomenų tvarkymo operacija arba operacijų rinkiniu, kurių tikslus ir būdus jis realiai nustatė.
101 Šiuo atveju, nors interneto svetainės administratorius, kuris į minėtą svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, gali būti laikomas atsakingu kartu su šiuo teikėju už šio lankytojo asmens duomenų rinkimo ir perdavimo operacijas, jo pareiga gauti duomenų subjekto sutikimą, nurodytą Direktyvos 95/46 2 straipsnio h punkte ir 7 straipsnio a punkte, taip pat šios direktyvos 10 straipsnyje numatyta pareiga pateikti jam informaciją yra susijusios tik su šiomis operacijomis. Kita vertus, tokios pareigos neapima asmens duomenų tvarkymo operacijos, susijusios su kitais etapais, kurie gali būti ankstesni arba vėlesni už minėtas operacijas ir kurie tam tikrais atvejais yra susiję su nagrinėjamu asmens duomenų tvarkymu.
102 Kalbant apie Direktyvos 95/46 2 straipsnio h punkte ir 7 straipsnio a punkte nurodytą sutikimą, atrodo, kad jis turi būti duotas iki duomenų subjekto duomenų rinkimo ir perdavimo. Esant tokioms aplinkybėms, interneto svetainės administratorius, o ne socialinio modulio teikėjas turi gauti šį sutikimą, nes lankytojas apsilanko šioje interneto svetainėje, kurioje pradedamas asmens duomenų tvarkymas. Kaip savo išvados 132 punkte nurodė generalinis advokatas, duomenų subjekto teisės nebūtų veiksmingai ir laiku apsaugotos, jei sutikimas būtų duotas tik vienam bendrai už tvarkymą atsakingam ir vėliau pradedančiam veikti subjektui, t. y. minėto modulio teikėjui. Sutikimas, kuris turi būti duotas administratoriui, yra susijęs tik su asmens duomenų tvarkymo operacija arba operacijų rinkiniu, kurių tikslus ir būdus šis administratorius realiai nustato.
103 Tą patį galima pasakyti ir apie Direktyvos 95/46 10 straipsnyje nustatytą pareigą pateikti informaciją.
104 Šiuo klausimu iš minėtos nuostatos formuluotės matyti, kad duomenų valdytojas arba jo atstovas privalo suteikti asmeniui, kurio duomenis jis renka, bent jau minėtoje nuostatoje nurodytą informaciją. Šią informaciją duomenų valdytojas privalo pateikti nedelsdamas, t. y. duomenų rinkimo momentu (šiuo klausimu žr. 2009 m. gegužės 7 d. Sprendimo Rijkeboer, C‑553/07, EU:C:2009:293, 68 punktą ir 2013 m. lapkričio 7 d. Sprendimo IPI, C‑473/12, EU:C:2013:715, 23 punktą).
105 Vadinasi, esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, Direktyvos 95/46 10 straipsnyje nustatyta pareiga teikti informaciją tenka ir interneto svetainės administratoriui; vis dėlto informacija, kurią jis privalo pateikti duomenų subjektui, turi būti susijusi tik su asmens duomenų tvarkymo operacija ar operacijų rinkiniu, kurių tikslus ir būdus šis administratorius realiai nustato.
106 Atsižvelgiant į tai, kas išdėstyta, į penktąjį ir šeštąjį klausimus reikėtų atsakyti taip, kad Direktyvos 95/46 2 straipsnio h punktas ir 7 straipsnio a punktas turi būti aiškinami taip, kad, esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, kai interneto svetainės administratorius integruoja į minėtą svetainę socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, šiose nuostatose nurodytą sutikimą šis administratorius privalo gauti tik dėl asmens duomenų tvarkymo operacijos ar operacijų rinkinio, kurių tikslus ir būdus minėtas administratorius realiai nustato. Be to, šios direktyvos 10 straipsnis turi būti aiškinamas taip, kad tokiu atveju šioje nuostatoje numatyta pareiga pateikti informaciją tenka ir minėtam administratoriui; vis dėlto informacija, kurią jis privalo pateikti duomenų subjektui, turi būti susijusi tik su asmens duomenų tvarkymo operacija ar operacijų rinkiniu, kurių tikslus ir būdus jis realiai nustato.
Dėl bylinėjimosi išlaidų
107 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (antroji kolegija) nusprendžia:
1. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 22–24 straipsniai turi būti aiškinami taip, kad jais nedraudžiamos nacionalinės taisyklės, leidžiančios vartotojų teisių gynimo asociacijoms pareikšti ieškinį tariamam asmens duomenų apsaugos pažeidėjui.
2. Interneto svetainės administratorius, kaip antai Fashion ID GmbH & Co. KG, kuris toje interneto svetainėje įterpia socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, gali būti laikomas duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Vis dėlto tokia atsakomybė jam tenka tik už tą asmens duomenų tvarkymo operaciją arba operacijų rinkinį, kurių tikslus ir būdus jis realiai nustatė, t. y. už nagrinėjamą duomenų rinkimą ir perdavimą.
3. Esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, kai interneto svetainės administratorius į minėtą svetainę integruoja socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, būtina, kad ir šis administratorius, ir šis teikėjas tokiomis tvarkymo operacijomis siektų teisėtų interesų, kaip apibrėžta Direktyvos 95/46 7 straipsnio f punkte, kad tokios operacijos galėtų būtų pagrįstos šiuo atžvilgiu.
4. Direktyvos 95/46 2 straipsnio h punktas ir 7 straipsnio a punktas turi būti aiškinami taip, kad esant tokiai situacijai, kokia nagrinėjama pagrindinėje byloje, kai interneto svetainės administratorius integruoja į minėtą svetainę socialinį modulį, leidžiantį šios svetainės lankytojo naršyklei prašyti minėto modulio teikėjo turinio ir perduoti šiam teikėjui lankytojo asmens duomenis, šiose nuostatose nurodytą sutikimą šis administratorius privalo gauti tik dėl asmens duomenų tvarkymo operacijos ar operacijų rinkinio, kurių tikslus ir būdus minėtas administratorius realiai nustato. Be to, šios direktyvos 10 straipsnis turi būti aiškinamas taip, kad tokiu atveju šioje nuostatoje numatyta pareiga pateikti informaciją tenka ir minėtam administratoriui; vis dėlto informacija, kurią jis privalo pateikti duomenų subjektui, turi būti susijusi tik su asmens duomenų tvarkymo operacija ar operacijų rinkiniu, kurių tikslus ir būdus jis realiai nustato.
Parašai.