ROZSUDOK SÚDNEHO DVORA (druhá komora)
z 29. júla 2019 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Smernica 95/46/ES – Článok 2 písm. d) – Pojem ‚prevádzkovateľ‘ – Správca internetovej stránky, ktorý umiestnil na túto stránky modul sociálnej siete umožňujúci oznámenie osobných údajov návštevníka tejto stránky dodávateľovi uvedeného modulu – Článok 7 písm. f) – Legitimita spracovania údajov – Zohľadnenie záujmu správcu internetovej stránky alebo záujmu dodávateľa modulu sociálnej siete – Článok 2 písm. h) a článok 7 písm. a) – Súhlas dotknutej osoby – Článok 10 – Informácie, ktoré je potrebné poskytnúť dotknutej osobe – Vnútroštátna právna úprava priznávajúca aktívnu legitimáciu neziskovým združeniam na ochranu záujmov spotrebiteľov“
Vo veci C‑40/17,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko) z 19. januára 2017 a doručený Súdnemu dvoru 26. januára 2017, ktorý súvisí s konaním:
Fashion ID GmbH & Co. KG
proti
Verbraucherzentrale NRW eV,
za účasti:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen,
SÚDNY DVOR (druhá komora),
v zložení: predseda Súdneho dvora K. Lenaerts, vykonávajúci funkciu predsedu druhej komory, sudcovia A. Prechal, C. Toader, A. Rosas (spravodajca) a M. Ilešič,
generálny advokát: M. Bobek,
tajomník: D. Dittert, vedúci sekcie,
so zreteľom na písomnú časť konania a po pojednávaní zo 6. septembra 2018,
so zreteľom na pripomienky, ktoré predložili:
– Fashion ID GmbH & Co. KG, v zastúpení: C.‑M. Althaus a J. Nebel, Rechtsanwälte,
– Verbraucherzentrale NRW eV, v zastúpení: K. Kruse, C. Rempe a S. Meyer, Rechtsanwälte,
– Facebook Ireland Ltd, v zastúpení: H.‑G. Kamann, C. Schwedler a M. Braun, Rechtsanwälte, ako aj I. Perego, avvocatessa,
– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen, v zastúpení: U. Merger, splnomocnená zástupkyňa,
– nemecká vláda, v zastúpení: pôvodne T. Henze a J. Möller, neskôr J. Möller, splnomocnení zástupcovia,
– belgická vláda, v zastúpení: P. Cottin a L. Van den Broeck, splnomocnení zástupcovia,
– talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci P. Gentili, avvocato dello Stato,
– rakúska vláda, v zastúpení: pôvodne C. Pesendorfer, neskôr G. Kunnert, splnomocnení zástupcovia,
– poľská vláda, v zastúpení: B. Majczyna, splnomocnený zástupca,
– Európska komisia, v zastúpení: H. Krämer a H. Kranenborg, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 19. decembra 2018,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článkov 2, 7, 10, 22 až 24 smernice Európskeho parlamentu a Rady 95/46/[ES] z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).
2 Tento návrh bol podaný v rámci sporu medzi spoločnosťou Fashion ID GmbH & Co. KG a združením Verbraucherzentrale NRW eV, ktorý sa týkal umiestnenia modulu sociálne siete spoločnosti Facebook Ireland Ltd na internetovej stránke spoločnosti Fashion ID.
Právny rámec
Právo Únie
3 Smernica 95/46 bola s účinnosťou od 25. mája 2018 zrušená a nahradená nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (Ú. v. EÚ L 119, 2016, s. 1). Táto smernica sa však vzhľadom na deň, keď nastali skutkové okolnosti vo veci samej, uplatňuje na tieto skutkové okolnosti.
4 Odôvodnenie 10 smernice 95/46 stanovuje:
„Keďže cieľom vnútroštátnych právnych predpisov o spracovaní osobných údajov je chrániť základné práva a slobody, najmä právo na súkromie, čo sa rešpektuje tak v článku 8 Európskeho dohovoru na ochranu ľudských práv a základných slobôd [, podpísaného v Ríme 4. novembra 1950], ako aj vo všeobecných zásadách práva [Únie]; keďže z toho dôvodu aproximácia týchto právnych predpisov nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v [Únii]“.
5 Článok 1 smernice 95/46 stanovuje:
„1. V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.
2. Členské štáty neobmedzujú, ani nebránia voľnému toku osobných údajov medzi členskými štátmi z dôvodov spojených s ochranou poskytnutou podľa odseku 1.“
6 Článok 2 tejto smernice stanovuje:
„Na účely tejto smernice sa uplatnia tieto definície:
a) ‚osobné údaje‘ znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘); identifikovateľná osoba je osoba, ktorú možno identifikovať, priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu;
b) ‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom [prenos – neoficiálny preklad], šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie;
…
d) ‚kontrolór‘ [‚prevádzkovateľ‘ – neoficiálny preklad] znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami [zákonmi a inými právnymi predpismi – neoficiálny preklad], alebo zákonmi a nariadeniami [legislatívnymi aktmi a inými právnymi predpismi – neoficiálny preklad] [Únie], ten, kto spracovanie riadi [prevádzkovateľ – neoficiálny preklad], alebo konkrétne kritéria pre jeho menovanie [osobitné kritériá na jeho určenie – neoficiálny preklad], môžu byť navrhnuté na základe vnútroštátneho práva alebo práva [Únie];
…
f) ‚tretia strana‘ znamená akúkoľvek fyzickú alebo právnickú osobu, štátny orgán, agentúru alebo akýkoľvek iný orgán, ako údajový subjekt [dotknutú osobu – neoficiálny preklad], ten, kto spracovanie riadi, spracovateľ a osoby, ktoré sú na základe priameho poverenia kontrolóra [prevádzkovateľa – neoficiálny preklad] alebo spracovateľom poverené spracovať údaje;
g) ‚príjemca‘ znamená fyzickú alebo právnickú osobu, štátny orgán, agentúru alebo akýkoľvek iný orgán, pre ktorý sa údaje odhaľujú, či to je tretia strana alebo nie; avšak, úrady, ktoré môžu získať údaje v rámci konkrétneho zisťovania nebudú považované za príjemcov;
h) ‚súhlas osoby pracujúcej s údajmi [dotknutej osoby – neoficiálny preklad]‘ znamená slobodne poskytnutú a informovanú indikáciu jeho prianí [poskytnutý a informovaný prejav jej vôle – neoficiálny preklad], ktorou osoba pracujúca s údajmi [ktorým dotknutá osoba – neoficiálny preklad] prejaví svoj súhlas, aby sa osobné údaje, ktoré sa ho [jej – neoficiálny preklad] týkajú, spracovali.“
7 Článok 7 uvedenej smernice uvádza:
„Členské štáty zabezpečia, aby bolo možné osobné údaje spracovať, iba ak:
a) osoba pracujúca s údajmi [dotknutá osoba – neoficiálny preklad] poskytla svoj súhlas jednoznačne;
alebo
…
f) spracovanie je nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór [prevádzkovateľ – neoficiálny preklad], alebo tretia strana alebo strany, ktorým sú údaje odhalené [prenesené – neoficiálny preklad], s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi, ktoré potrebujú ochranu podľa článku 1 ods. 1 [s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu podľa článku 1 ods. 1 – neoficiálny preklad].“
8 Podľa článku 10 tej istej smernice s názvom „Informácie v prípade zberu údajov od dotknutej osoby [údajov dotknutej osoby – neoficiálny preklad]“:
„Členské štáty zabezpečia, že kontrolór [prevádzkovateľ – neoficiálny preklad] alebo jeho zástupca musí poskytnúť osobe pracujúcej s údajmi [dotknutej osobe – neoficiálny preklad], od ktorej sa údaje, ktoré sa jej týkajú, zbierajú, aspoň nasledujúce informácie, s výnimkou, ak ich tento subjekt už má:
a) identita kontrolóra [prevádzkovateľa – neoficiálny preklad] a jeho zástupcu, ak existuje;
b) účely spracovania, pre ktoré sú údaje potrebné;
c) akékoľvek ďalšie informácie, ako napríklad:
– príjemcovia alebo kategórie príjemcov údajov,
– či odpovede na otázky sú povinné alebo dobrovoľné, ako aj možné dôsledky neschopnosti odpovedať,
– existencia práva prístupu a práva skorigovania údajov, ktoré sa ho týkajú,
pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti za ktorých sa údaje zhromažďujú, zaručenie správneho spracovania vzhľadom na osobu pracujúcu s údajmi [dotknutú osobu – neoficiálny preklad].“
9 Článok 22 smernice 95/46 znie takto:
„Bez toho, aby bol[i] dotknuté akékoľvek administratívne prostriedky nápravy, pre ktoré sa môže urobiť predpis [ktoré možno podať, – neoficiálny preklad] okrem iného pred dozorným orgánom uvedeným v článku 28[,] pred žiadosťou o súhlas súdneho orgánu [pred predložením veci súdnemu orgánu – neoficiálny preklad], zabezpečia členské štáty právo každej osoby na súdny opravný prostriedok za akékoľvek porušenie práv, ktoré [jej] zaručuje vnútroštátne právo, použiteľné na uvedené spracovanie.“
10 Článok 23 tejto smernice stanovuje:
„1. Členské štáty zabezpečia, že každá osoba, ktorá utrpela škodu ako dôsledok nezákonnej operácie spracovania alebo akéhokoľvek činu nezlúčiteľného s prijatými vnútroštátnymi predpismi na základe tejto smernice, je oprávnená dostať kompenzáciu od kontrolóra [prevádzkovateľa – neoficiálny preklad] za spôsobenú škodu.
2. Kontrolór [prevádzkovateľ – neoficiálny preklad] môže byť vyňatý od tohto záväzku, buď úplne alebo čiastočne, ak dokáže, že nie je zodpovedný za udalosť spôsobujúcu škodu.“
11 Článok 24 uvedenej smernice stanovuje:
„Členské štáty prijmú vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice a najmä ustanovia sankcie, ktoré sa uvalia v prípade porušenia ustanovení prijatých v súlade s touto smernicou.“
12 V článku 28 tej istej smernice sa uvádza:
„1. Každý členský štát zabezpečí, aby jeden a alebo viac štátnych orgánov bolo zodpovedných za monitorovanie uplatňovania ustanovení v rámci jeho územia, prijatých členskými štátmi v súlade s touto smernicou.
Tieto orgány konajú s úplnou nezávislosťou vo vykonávaní im zverených funkcií.
…
3. Každý je zabezpečený najmä:
…
– právomocou zaoberať sa právnymi postupmi tam, kde sa porušili vnútroštátne ustanovenia prijaté v súlade s touto smernicou alebo dať tieto porušenia do pozornosti súdnych orgánov.
…
4. Každý dozorný orgán si vypočuje nároky uplatňované [rozhodne o žiadosti predloženej – neoficiálny preklad] každou osobou alebo každou asociáciou predstavujúcou [zastupujúcou – neoficiálny preklad] túto osobu, týkajúce sa ochrany jeho [týkajúcej sa ochrany jej – neoficiálny preklad] práv a slobôd vzhľadom na spracovanie osobných údajov. Príslušná osoba je informovaná o výsledku žaloby [o výsledku vybavenia žiadosti – neoficiálny preklad].
…“
13 Článok 5 ods. 3 smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. EÚ L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514), zmenenej smernicou Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009 (Ú. v. EÚ L 337, 2009, s. 11) (ďalej len „smernica 2002/58“), stanovuje:
„Členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou [95/46], okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“
14 Článok 1 ods. 1 smernice Európskeho parlamentu a Rady 2009/22/ES z 23. apríla 2009 o súdnych príkazoch na ochranu spotrebiteľských záujmov (Ú. v. EÚ L 110, 2009, s. 30), zmenenej nariadením Európskeho parlamentu a Rady (EÚ) č. 524/2013 z 21. mája 2013 (Ú. v. EÚ L 165, 2013, s. 1) (ďalej len „smernica 2009/22“), stanovuje:
„Účelom tejto smernice je aproximácia právnych a správnych predpisov členských štátov v súvislosti so žalobami na vydanie súdneho príkazu uvedenými v článku 2, zameranými na ochranu kolektívnych spotrebiteľských záujmov zahrnutých v aktoch Únie uvedených v prílohe I, s cieľom zabezpečiť riadne fungovanie vnútorného trhu.“
15 Článok 2 tejto smernice stanovuje:
„1. Členské štáty určia súdy alebo správne orgány príslušné na konania vo veciach začatých oprávnenými subjektmi v zmysle článku 3, ktorých cieľom je:
a) vydanie príkazu na zastavenie alebo zákaz každého protiprávneho konania so všetkými náležitými účelnými opatreniami, prípadne aj formou skráteného konania;
…“
16 Článok 7 tejto smernice stanovuje:
„Táto smernica nebráni členským štátom prijímať alebo ponechávať v účinnosti ustanovenia poskytujúce oprávneným subjektom alebo ľubovoľnej inej dotknutej osobe rozsiahlejšie práva na podanie žaloby na vnútroštátnej úrovni.“
17 Článok 80 nariadenia 2016/679 znie:
„1. Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.
2. Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.“
Nemecké právo
18 § 3 ods. 1 Gesetz gegen den unlauteren Wettbewerb (zákon proti nekalej súťaži) v znení uplatniteľnom na spor vo veci samej (ďalej len „UWG“) stanovuje:
„Nekalé obchodné praktiky sú zakázané.“
19 § 3a UWG znie:
„Nekalej praktiky sa dopustí ten, kto koná v rozpore s právnym predpisom, ktorý je určený najmä na to, aby v záujme subjektov pôsobiacich na trhu reguloval trhové správanie, ak toto konanie môže citeľne obmedziť záujmy spotrebiteľov, iných subjektov na trhu alebo konkurentov.“
20 § 8 UWG stanovuje:
„1. Voči osobe, ktorá sa dopustí protiprávneho obchodného konania v zmysle § 3 alebo § 7, možno podať žalobu na odstránenie protiprávneho stavu a v prípade rizika opakovania aj žalobu o zdržanie sa nedovoleného konania. Právo na zdržanie sa nedovoleného konania existuje už vtedy, ak hrozí také porušenie § 3 alebo § 7.
…
3. Nároky podľa prvého odseku prináležia:
…
(3) oprávneným subjektom, ktoré preukážu, že sú zapísané na zozname oprávnených subjektov podľa § 4 Unterlassungsklagegesetz [zákon o žalobách na zdržanie sa konania] alebo na zozname Európskej komisie podľa článku 4 ods. 3 smernice [2009/22];
…“
21 § 2 zákona o žalobách na zdržanie sa konania stanovuje:
„1. Proti každému, kto poruší právne predpisy na ochranu spotrebiteľov (zákon na ochranu spotrebiteľov) iným spôsobom ako pri uplatnení alebo odporučení všeobecných obchodných podmienok, môže byť podaná žaloba na zdržanie sa konania a žaloba na odstránenie protiprávneho stavu v záujme ochrany spotrebiteľov. …
2. V zmysle tohto ustanovenia sa zákonmi na ochranu spotrebiteľov rozumejú najmä:
…
(11) ustanovenia, ktoré upravujú prípustnosť
a) zberu osobných údajov spotrebiteľa zo strany podnikateľa alebo
b) spracovania alebo používania osobných údajov, ktoré boli nazbierané o spotrebiteľovi, zo strany podnikateľa,
ak sa zber, spracovanie alebo používanie osobných údajov uskutočňuje na účely reklamy, prieskumu trhu a verejnej mienky, prevádzkovania informačnej kancelárie, vypracovania osobných a používateľských profilov, obchodovania s adresami, iného obchodovania s osobnými údajmi alebo na porovnateľné komerčné účely.“
22 V § 12 ods. 1 Telemediengesetz (zákon o on‑line mediálnych službách, ďalej len „TMG“) sa uvádza:
„Poskytovateľ služieb je oprávnený získavať a spracúvať osobné údaje na sprístupnenie elektronických médií len v rozsahu, v akom to povoľuje tento zákon alebo iný právny predpis vzťahujúci sa výslovne na elektronické médiá, alebo v akom na to dal používateľ súhlas.“
23 § 13 ods. 1 TMG stanovuje:
„Poskytovateľ služieb je povinný poučiť používateľa na začiatku používania o type, rozsahu a účele zberu a použitia osobných údajov, ako aj o spracovaní jeho osobných údajov v štátoch, na ktoré sa nevzťahuje pôsobnosť smernice [95/46], vo všeobecne zrozumiteľnej forme, pokiaľ sa také poučenie už neuskutočnilo. Pri automatizovanom postupe, ktorý umožňuje neskoršiu identifikáciu používateľa a predstavuje prípravu na zber alebo na použitie osobných údajov, treba používateľa poučiť na začiatku tohto procesu. Používateľ musí mať kedykoľvek možnosť prístupu k obsahu poučenia.“
24 § 15 ods. 1 TMG stanovuje:
„Poskytovateľ služieb je oprávnený získavať a spracúvať osobné údaje používateľa len v rozsahu nevyhnutnom na umožnenie a zúčtovanie využitia elektronického média (údaje o využívaní). Údajmi o využívaní sú predovšetkým
(1) údaje na identifikovanie používateľa;
(2) údaje o začiatku a konci, ako aj o rozsahu jednotlivého používania;
(3) údaje o elektronických médiách využitých používateľom.“
Spor vo veci samej a prejudiciálne otázky
25 Spoločnosť Fashion ID zaoberajúca sa predajom odevov on‑line, umiestnila na svoju internetovú stránku modul sociálnej siete spoločnosti Facebook „Páči sa mi to“ (ďalej len „tlačidlo ‚Páči sa mi to‘ spoločnosti Facebook“).
26 Z návrhu na začatie prejudiciálneho konania vyplýva, že inherentnou vlastnosťou internetu je umožniť v prehliadači návštevníka internetovej stránky zobrazovanie obsahu pochádzajúceho z rôznych zdrojov. V tomto zmysle napríklad fotografie, videá, novinky, ako aj tlačidlo „Páči sa mi to“ spoločnosti Facebook, o ktoré ide vo veci samej, môžu byť odkazom spojené s internetovou stránkou a nachádzať sa na nej. Pokiaľ chce správca internetovej stránky umiestniť taký obsah tretích osôb, vloží do tejto stránky odkaz na externý obsah. Keď prehliadač návštevníka otvorí taký odkaz, vyžiada si obsah od tretieho poskytovateľa a doplní ho na želanom mieste v zobrazení stránky. Na tento účel prehliadač zašle serveru tretieho poskytovateľa informáciu o IP adrese počítača daného návštevníka, ako aj technické údaje o prehliadači, aby server mohol určiť formát, v akom sa má poslať obsah na danú adresu. Prehliadač okrem toho oznámi informácie o želanom obsahu. Správca internetovej stránky, ktorý do tejto stránky zapracuje obsah tretej strany, nemôže ovplyvniť, aké informácie prehliadač prenesie, ani čo tretia strana s týmito informáciami spraví, predovšetkým, či ich uloží alebo preskúma.
27 Pokiaľ ide konkrétne o tlačidlo „Páči sa mi to“ spoločnosti Facebook, z návrhu na začatie prejudiciálneho konania vyplýva, že keď si návštevník prezerá internetovú stránku spoločnosti Fashion ID, osobné údaje tohto návštevníka sa z dôvodu, že táto lokalita obsahuje uvedené tlačidlo, prenesú spoločnosti Facebook Ireland. Je zrejmé, že k tomuto prenosu dochádza bez toho, aby si bol uvedený návštevník toho vedomý, a bez ohľadu na to, či je členom sociálnej siete Facebook alebo či klikol na tlačidlo „Páči sa mi to“ spoločnosti Facebook.
28 Verbraucherzentrale NRW, neziskové združenie na ochranu záujmov spotrebiteľov spoločnosti Fashion ID vytýka, že spoločnosti Facebook Ireland preniesla osobné údaje týkajúce sa návštevníkov jej internetovej stránky jednak bez ich súhlasu a jednak v rozpore s informačnými povinnosťami stanovenými v ustanoveniach týkajúcich sa ochrany osobných údajov.
29 Verbraucherzentrale NRW podala žalobu na zdržanie sa konania na Landgericht Düsseldorf (Krajinský súd Düsseldorf, Nemecko) proti spoločnosti Fashion ID, aby túto praktiku skončila.
30 Rozhodnutím z 9. marca 2016 Landgericht Düsseldorf (Krajinský súd Düsseldorf) čiastočne vyhovel návrhom združenia Verbraucherzentrale NRW, po tom, čo uznal jej aktívnu legitimáciu na konanie v zmysle § 8 ods. 3 bodu 3 UWG.
31 Fashion ID podala proti tomuto rozhodnutiu odvolanie na Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko), ktorý podal návrh na začatie prejudiciálneho konania. Facebook Ireland vstúpila do tohto konania o odvolaní ako vedľajší účastník na podporu spoločnosti Fashion ID. Verbraucherzentrale NRW podala vzájomné odvolanie s cieľom rozšíriť odsúdenie spoločnosti Fashion ID, ktoré bolo vyhlásené v prvostupňovom konaní.
32 Pred vnútroštátnym súdom Fashion ID tvrdila, že rozhodnutie Landgericht Düsseldorf (Krajinský súd Düsseldorf) nie je zlučiteľné so smernicou 95/46.
33 Na jednej strane Fashion ID tvrdí, že články 22 až 24 uvedenej smernice upravujú právne prostriedky len v prospech osôb dotknutých spracovaním osobných údajov a príslušných kontrolných orgánov. V dôsledku toho žaloba, ktorú podalo Verbraucherzentrale NRW, nie je prípustná z dôvodu, že toto združenie nemá aktívnu legitimáciu v rámci smernice 95/46.
34 Na druhej strane Fashion ID zastáva názor, že Landgericht Düsseldorf (Krajinský súd Düsseldorf) nesprávne rozhodol, že táto spoločnosť je prevádzkovateľom v zmysle článku 2 písm. d) smernice 95/46, keďže nemá žiadny vplyv na údaje prenesené prehliadačom návštevníka jej internetovej stránky, ani na to, či a prípadne akým spôsobom ich Facebook Ireland použije.
35 Vnútroštátny súd má v prvom rade pochybnosti, pokiaľ ide o otázku, či smernica 95/46 dáva neziskovým združeniam aktívnu legitimáciu na ochranu záujmov poškodených osôb. Zastáva názor, že článok 24 tejto smernice nebráni neziskovým združeniam, aby mali aktívnu legitimáciu, keďže podľa tohto článku členské štáty prijmú „vhodné opatrenia“ na zabezpečenie úplného uplatnenia danej smernice. Vnútroštátny súd sa teda domnieva, že vnútroštátna právna úprava, ktorá umožňuje združeniam mať aktívnu legitimáciu na ochranu záujmov spotrebiteľov, by mohla predstavovať takéto vhodné opatrenie.
36 Uvedený súd v tejto súvislosti uvádza, že článok 80 ods. 2 nariadenia 2016/679, ktorým bola zrušená a nahradená smernica 95/46, výslovne povoľuje takémuto združeniu začať konanie, čo potvrdzuje, že táto smernica nebráni začatiu takéhoto konania.
37 Ďalej sa pýta, či správcu internetovej stránky, akým je Fashion ID, ktorý umiestnil na tejto stránke modul sociálnej siete umožňujúci zber osobných údajov, možno považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46, napriek tomu, že táto spoločnosť nemá žiadny vplyv na spracovanie údajov prenesených dodávateľovi uvedeného modulu. Vnútroštátny súd sa v tejto súvislosti odvoláva na vec, v ktorej bol vydaný rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), a ktorá sa týkala podobnej otázky.
38 Subsidiárne pre prípad, že by sa Fashion ID nemala považovať za prevádzkovateľa, sa vnútroštátny súd pýta, či táto smernica taxatívne upravuje tento pojem tak, že bráni vnútroštátnej právnej úprave, ktorá stanovuje občianskoprávnu zodpovednosť za škodu spôsobenú treťou osobou v prípade porušenia práv na ochranu údajov. Vnútroštátny súd totiž tvrdí, že je možné uvažovať o zodpovednosti spoločnosti Fashion ID na tomto právnom základe vnútroštátneho práva ako o „narušiteľovi“ („Störer“).
39 Pokiaľ sa má Fashion ID považovať za prevádzkovateľa alebo prinajmenšom za zodpovednú ako „narušiteľ“ za prípadné porušenia ochrany údajov spôsobené spoločnosťou Facebook Ireland, vnútroštátny súd sa pýta, či spracovanie osobných údajov, o ktoré ide vo veci samej, je zákonné a či povinnosť informovať dotknutú osobu na základe článku 10 smernice 95/46 spočíva na spoločnosti Fashion ID alebo spoločnosti Facebook Ireland.
40 Na jednej strane sa vnútroštátny súd vzhľadom na podmienky prípustnosti spracovania údajov, ako sú stanovené v článku 7 písm. f) smernice 95/46, pýta, či v takej situácii, o akú ide vo veci samej, treba zohľadniť legitímny záujem správcu internetovej stránky alebo dodávateľa modulu sociálnej siete.
41 Na druhej strane sa uvedený súd snaží zistiť, komu prináležia povinnosti získania súhlasu a informovania osôb dotknutých spracovaním osobných údajov v situácii, o akú ide vo veci samej. Vnútroštátny súd sa domnieva, že otázka, ktorá spočíva v povinnosti informovať dotknuté osoby, ako je upravená v článku 10 smernice 95/46, má osobitný význam, pretože každé umiestnenie externého obsahu na internetovej stránke vedie v zásade k spracovaniu osobných údajov, ktorého rozsah a účel sú však neznáme osobe, ktorá umiestnenie na predmetnej internetovej stránke vykoná, t. j. správcovi dotknutej internetovej stránky. Z tohto dôvodu nemôže daný správca poskytnúť potrebnú informáciu v rozsahu, v akom je povinný to urobiť, takže uloženie mu povinnosti informovať dotknutú osobu by v praxi viedlo k zákazu vkladania externých obsahov.
42 Za týchto okolností Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Bráni úprava v článkoch 22, 23 a 24 smernice [95/46] takej vnútroštátnej úprave, ktorá okrem intervenčných právomocí úradov na ochranu osobných údajov a možností dotknutej osoby podať opravné prostriedky priznáva neziskovým združeniam na ochranu záujmov spotrebiteľov právomoc zakročiť v prípade porušenia voči porušovateľovi?
V prípade zápornej odpovede na prvú otázku:
2. Predstavuje v prípade, o aký ide v prejednávanej veci, keď niekto vloží do svojej stránky programový kód, ktorý umožní prehliadaču návštevníka, aby si vyžiadal obsah od tretích strán, a na tento účel prenesie osobné údaje tejto tretej strane, subjekt, ktorý uvedené zapracovanie uskutočnil, ‚prevádzkovateľa‘ v zmysle článku 2 písm. d) [smernice 95/46], pokiaľ on sám nemôže mať nijaký vplyv na dané spracovanie osobných údajov?
3. Treba v prípade zápornej odpovede na druhú otázku článok 2 písm. d) smernice [95/46] vykladať v tom zmysle, že taxatívne upravuje zodpovednosť tak, že bráni tomu, aby sa občianskoprávny nárok uplatnil proti tretej strane, ktorá síce nie je ‚prevádzkovateľ‘, ale dá podnet na spracovanie údajov bez toho, aby mohla mať naň vplyv?
4. Z koho ‚legitímnych záujmov‘ treba vychádzať v situácii, aká nastala v prejednávanej veci, pri rozhodovaní, ktoré treba uskutočniť podľa článku 7 písm. f) smernice [95/46]? Zo záujmov na umiestnení obsahu tretej strany alebo zo záujmu tretej strany?
5. Komu treba podľa článku 7 písm. a) a článku 2 písm. h) smernice [95/46] udeliť požadovaný súhlas v situácii, aká nastala v prejednávanej veci?
6. Týka sa informačná povinnosť podľa článku 10 smernice [95/46] v situácii, aká nastala v prejednávanej veci, aj správcu internetovej stránky, ktorý umiestnil obsah tretej strany, a dal tak podnet na spracovanie osobných údajov touto stranou?“
O prejudiciálnych otázkach
O prvej otázke
43 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa majú články 22 až 24 smernice 95/46 vykladať v tom zmysle, že bránia vnútroštátnej právnej úprave, ktorá združeniam na ochranu záujmov spotrebiteľov priznáva aktívnu legitimáciu na konanie proti údajnému pôvodcovi porušenia ochrany osobných údajov.
44 Na úvod treba pripomenúť, že v súlade s článkom 22 smernice 95/46 členské štáty zabezpečia právo každej osoby na súdny opravný prostriedok v prípade akéhokoľvek porušenia práv, ktoré jej zaručuje vnútroštátne právo, použiteľné na uvedené spracovanie.
45 Článok 28 ods. 3 tretí pododsek smernice 95/46 stanovuje, že dozorný orgán, ktorý je v súlade s článkom 28 ods. 1 tejto smernice poverený monitorovaním uplatňovania ustanovení prijatých týmto štátom pri uplatnení tejto smernice, má najmä aktívnu legitimáciu v prípade porušenia vnútroštátnych ustanovení prijatých na uplatnenie tej istej smernice alebo právo predložiť tieto porušenia súdnym orgánom.
46 Pokiaľ ide o článok 28 ods. 4 smernice 95/46, toto ustanovenie stanovuje, že žiadosť o ochranu práv a slobôd pri spracovaní osobných údajov môže podať združenie zastupujúce dotknutú osobu v zmysle článku 2 písm. a) tejto smernice.
47 Žiadne ustanovenie uvedenej smernice však členským štátom neukladá povinnosť stanoviť – ani ich výslovne neoprávňuje stanoviť – vo svojom vnútroštátnom práve možnosť združenia zastupovať takúto osobu alebo z vlastnej iniciatívy podať žalobu proti údajnému páchateľovi porušenia ochrany osobných údajov.
48 Z toho však nevyplýva, že by smernica 95/46 bránila vnútroštátnej právnej úprave, ktorá by združeniam na ochranu záujmov spotrebiteľov priznávala aktívnu legitimáciu na konanie proti údajnému páchateľovi takého porušenia.
49 Podľa článku 288 tretieho odseku ZFEÚ sú totiž členské štáty pri preberaní smernice povinné zabezpečiť jej úplnú účinnosť, pričom však disponujú širokou mierou voľnej úvahy, pokiaľ ide o voľbu spôsobov a prostriedkov určených na zabezpečenie jej prebratia. Táto sloboda nemá žiadny dosah na povinnosť uloženú všetkým členským štátom, ktorým je smernica určená, a to prijať všetky opatrenia potrebné na zabezpečenie plného účinku dotknutej smernice v súlade s cieľom, ktorý smernica sleduje (rozsudky zo 6. októbra 2010, Base a i., C‑389/08, EU:C:2010:584, body 24 a 25, ako aj z 22. februára 2018, Porras Guisado, C‑103/16, EU:C:2018:99, bod 57).
50 V tejto súvislosti treba pripomenúť, že jedným z cieľov, na ktoré sa vzťahuje smernica 95/46, je zabezpečiť účinnú a úplnú ochranu základných práv a slobôd fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov (pozri v tomto zmysle rozsudky z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 53, ako aj z 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, bod 38). Odôvodnenie 10 tejto smernice spresňuje, že aproximácia právnych predpisov v tejto oblasti nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak, musí mať za cieľ zabezpečenie vysokej úrovne ochrany v Únii (rozsudky zo 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, bod 95; zo 16. decembra 2008, Huber, C‑524/06, EU:C:2008:724, bod 50, a z 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10, EU:C:2011:777, bod 28).
51 Skutočnosť, že členský štát vo svojej vnútroštátnej právnej úprave stanovuje možnosť združenia na ochranu záujmov spotrebiteľov podať žalobu proti údajnému pôvodcovi porušenia ochrany osobných údajov, však nemôže poškodiť jej ciele, ale naopak prispieva k dosiahnutiu týchto cieľov.
52 Fashion ID a Facebook Ireland pritom tvrdia, že vzhľadom na to, že smernica 95/46 vykonala úplnú harmonizáciu vnútroštátnych ustanovení týkajúcich sa ochrany údajov, akákoľvek žaloba, ktorá nie je touto smernicou výslovne stanovená, má byť vylúčená. Články 22, 23 a 28 smernice 95/46 sa však obmedzujú na definovanie žalôb dotknutých osôb a žaloby podanej dozorným orgánom na ochranu osobných údajov.
53 S touto argumentáciou však nemožno súhlasiť.
54 Je pravda, že smernica 95/46 vedie k harmonizácii vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, pričom táto harmonizácia je v zásade úplná (pozri v tomto zmysle rozsudky z 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10, EU:C:2011:777, bod 29, a zo 7. novembra 2013, IPI, C‑473/12, EU:C:2013:715, bod 31).
55 Súdny dvor teda konštatoval, že článok 7 uvedenej smernice stanovuje taxatívny a úplný zoznam prípadov, v ktorých možno spracovanie osobných údajov považovať za prípustné a že členské štáty nemôžu ani pridať nové zásady týkajúce sa zákonnosti spracovania osobných údajov podľa tohto článku, ani stanoviť dodatočné požiadavky, ktoré by menili rozsah jednej zo šiestich zásad stanovených v uvedenom článku (rozsudky z 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10, EU:C:2011:777, body 30 a 32, ako aj z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 57).
56 Súdny dvor však tiež spresnil, že smernica 95/46 obsahuje pravidlá, ktoré sú relatívne všeobecné, keďže sa musí uplatňovať na veľký počet rôznych situácií. Tieto pravidlá sa vyznačujú istou pružnosťou a v mnohých prípadoch ponechávajú na členských štátoch, aby upravili podrobnosti alebo si vybrali medzi možnosťami tak, že členské štáty majú pri preberaní uvedenej smernice rozhodovací priestor (pozri v tomto zmysle rozsudky zo 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, body 83, 84 a 97, ako aj z 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10, EU:C:2011:777, bod 35).
57 Tak je to v prípade článkov 22 až 24 smernice 95/46, ktoré sú, ako uviedol generálny advokát v bode 42 svojich návrhov, formulované všeobecne a nevykonávajú úplnú harmonizáciu vnútroštátnych ustanovení týkajúcich sa súdnych prostriedkov nápravy, ktoré by mohli byť použité voči údajnému pôvodcovi porušenia ochrany osobných údajov (pozri analogicky rozsudok z 26. októbra 2017, I, C‑195/16, EU:C:2017:815, body 57 až 58).
58 Konkrétne, hoci článok 22 tejto smernice ukladá členským štátom povinnosť stanoviť, aby každá osoba mala v prípade porušenia práv, ktoré sú jej zaručené vnútroštátnymi ustanoveniami uplatniteľnými na predmetné spracovanie osobných údajov, právo na súdny prostriedok nápravy, uvedená smernica neobsahuje žiadne ustanovenie, ktoré by osobitne upravovalo podmienky, za ktorých možno tento opravný prostriedok uplatniť (pozri v tomto zmysle rozsudok z 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, body 54 a 55).
59 Okrem toho článok 24 smernice 95/46 stanovuje, že členské štáty prijmú „vhodné opatrenia“ na úplné zavedenie ustanovení tejto smernice, ale nedefinuje takéto opatrenia. Stanovenie možnosti združenia na ochranu záujmov spotrebiteľov podať žalobu proti údajnému pôvodcovi porušenia ochrany osobných údajov sa javí ako vhodné opatrenie v zmysle tohto ustanovenia, ktoré, ako bolo uvedené v bode 51 tohto rozsudku, prispieva k dosiahnutiu cieľov uvedenej smernice v súlade s judikatúrou Súdneho dvora (pozri v tomto zmysle rozsudok zo 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, bod 97).
60 Okrem toho, na rozdiel od tvrdenia spoločnosti Fashion ID, skutočnosť, že členský štát takúto možnosť vo svojej vnútroštátnej právnej úprave stanoví, nemá takú povahu, aby ohrozila nezávislosť, s ktorou dozorné orgány musia vykonávať úlohy, ktoré sú im zverené, v súlade s požiadavkami článku 28 smernice 95/46, keďže táto možnosť nemôže ovplyvniť ani slobodu rozhodovania týchto kontrolných orgánov, ani ich slobodu konať.
61 Okrem toho hoci je pravda, že smernica 95/46 sa nenachádza medzi aktmi uvedenými v prílohe I smernice 2009/22, nič to nemení na tom, že podľa článku 7 tejto smernice nebola v tejto súvislosti uvedenou smernicou vykonaná úplná harmonizácia.
62 Napokon skutočnosť, že nariadenie 2016/679, ktoré zrušilo a nahradilo smernicu 95/46 a ktoré sa uplatňuje od 25. mája 2018, výslovne vo svojom článku 80 ods. 2 povoľuje členským štátom, aby umožnili združeniam na ochranu záujmov spotrebiteľov aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov, vôbec neznamená, že členské štáty im nemohli priznať toto právo v čase účinnosti smernice 95/46, ale naopak potvrdzuje, že výklad danej smernice uvedený v tomto rozsudku zodpovedá vôli normotvorcu Únie.
63 Vzhľadom na všetky predchádzajúce úvahy treba na prvú otázku odpovedať tak, že články 22 až 24 smernice 95/46 sa majú vykladať v tom zmysle, že nebránia vnútroštátnej právnej úprave, ktorá združeniam na ochranu záujmov spotrebiteľov priznáva aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov.
O druhej otázke
64 Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či správca internetovej stránky, akým je Fashion ID, ktorý umiestni na uvedenej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, možno považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46, hoci tento prevádzkovateľ nemá žiadny vplyv na spracovanie údajov takto odovzdaných uvedenému dodávateľovi modulu.
65 V tejto súvislosti treba pripomenúť, že v súlade s cieľom sledovaným smernicou 95/46, ktorým je zabezpečiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov, článok 2 písm. d) tejto smernice definuje pojem „prevádzkovateľ“ široko ako fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám alebo v spojení s inými určí účely a prostriedky spracovania osobných údajov (pozri v tomto zmysle rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, body 26 a 27).
66 Ako už Súdny dvor rozhodol, cieľom tohto ustanovenia je prostredníctvom širokej definície pojmu „prevádzkovateľ“ zaručiť účinnú a úplnú ochranu dotknutých osôb (rozsudky z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 34, ako aj z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 28).
67 Okrem toho vzhľadom na to, že ako výslovne stanovuje článok 2 písm. d) smernice 95/46, pojem „prevádzkovateľ“ znamená subjekt, ktorý „sám alebo v spojení s inými“ určí účely a prostriedky spracovania osobných údajov, tento pojem nevyhnutne neodkazuje na jediný subjekt a môže sa týkať viacerých subjektov, ktoré sa na tomto spracovaní zúčastňujú, a na každý z týchto subjektov sa teda vzťahujú ustanovenia uplatniteľné v oblasti ochrany osobných údajov (pozri v tomto zmysle rozsudky z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 29, a z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 65).
68 Súdny dvor tiež už dospel k záveru, že fyzickú alebo právnickú osobu, ktorá ovplyvňuje na svoje vlastné účely spracovanie osobných údajov a v dôsledku toho sa podieľa na určovaní účelov a prostriedkov tohto spracovania, možno považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46 (rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 68).
69 Okrem toho spoluzodpovednosť viacerých subjektov za to isté spracovanie podľa tohto ustanovenia nepredpokladá, aby mal každý z nich prístup k dotknutým osobným údajom (pozri v tomto zmysle rozsudky z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 38, a z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 69).
70 Keďže cieľom článku 2 písm. d) smernice 95/46 je prostredníctvom širokej definície pojmu „prevádzkovateľ“ zaručiť účinnú a úplnú ochranu dotknutých osôb, existencia spoločnej zodpovednosti neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov za to isté spracovanie osobných údajov. Tieto subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci (pozri v tomto zmysle rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 66).
71 V tejto súvislosti treba uviesť, že na jednej strane článok 2 písm. b) smernice 95/46 definuje „spracovanie osobných údajov“ ako „akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, [prenos], šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie“.
72 Z tejto definície vyplýva, že spracovanie osobných údajov môže pozostávať z jednej alebo viacerých operácií, pričom každá z nich sa týka jedného z rôznych štádií, z ktorých môže pozostávať spracovávanie osobných údajov.
73 Na druhej strane z definície pojmu „prevádzkovateľ“ uvedeného v článku 2 písm. d) smernice 95/46, ako bola táto definícia pripomenutá v bode 65 tohto rozsudku, vyplýva, že ak viaceré subjekty spoločne určujú účely a prostriedky spracovania osobných údajov, zúčastňujú sa na tomto spracovaní ako prevádzkovatelia.
74 Z toho vyplýva, ako to v podstate uviedol generálny advokát v bode 101 svojich návrhov, že fyzická alebo právnická osoba môže byť v zmysle článku 2 písm. d) smernice 95/46 prevádzkovateľom v spojení s inými osobami len za tie operácie spracovania osobných údajov, pri ktorých spoločne určuje účely a prostriedky spracovania. Naproti tomu a bez toho, aby bola v tejto súvislosti dotknutá prípadná občianskoprávna zodpovednosť stanovená vnútroštátnym právom, nemožno uvedenú fyzickú alebo právnickú osobu považovať za prevádzkovateľa v zmysle uvedeného ustanovenia za predchádzajúce alebo neskoršie operácie v postupe spracovania, pri ktorých neurčuje účely ani prostriedky.
75 V prejednávanej veci s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, zo spisu predloženému Súdnemu dvoru vyplýva, že tým, že Fashion ID umiestnila na svojej internetovej stránke tlačidlo „Páči sa mi to“ spoločnosti Facebook, uvedená spoločnosť pravdepodobne dala tejto druhej spoločnosti možnosť získať osobné údaje návštevníkov jej internetovej stránky, pretože tento proces sa začne v momente navštívenia uvedenej stránky, a to nezávisle od skutočnosti, či jej návštevníci sú členmi sociálnej siete Facebook, či klikli na tlačidlo „Páči sa mi to“ spoločnosti Facebook, alebo či vôbec vedeli o takejto operácii.
76 Vzhľadom na tieto informácie treba konštatovať, že operácie spracovania osobných údajov, pri ktorých dokáže Fashion ID v spojení so spoločnosťou Facebook Ireland určovať účely a prostriedky, sú, pokiaľ ide o definíciu pojmu „spracovanie osobných údajov“ uvedeného v článku 2 písm. b) smernice 95/46, zber a prenos osobných údajov návštevníkov jej internetovej stránky. Naopak, vzhľadom na uvedené informácie sa na prvý pohľad javí ako vylúčené, že by Fashion ID určovala účely a prostriedky neskorších operácií spracovania osobných údajov, ktoré vykonáva Facebook Ireland po tom, čo sú jej postúpené, takže Fashion ID nemôže byť považovaná za prevádzkovateľa s ohľadom na tieto operácie v zmysle daného článku 2 písm. d).
77 Pokiaľ ide o prostriedky použité na účely zberu a prenosu určitých osobných údajov návštevníkov internetovej stránky spoločnosti Fashion ID, z bodu 75 tohto rozsudku vyplýva, že táto spoločnosť umiestnila na svojej internetovej stránke tlačidlo „Páči sa mi to“ spoločnosti Facebook, ktoré Facebook Ireland dala k dispozícii správcom internetových stránok, pričom si bola vedomá, že toto tlačidlo slúži ako nástroj na zber a prenos osobných údajov návštevníkov tejto stránky bez ohľadu na to, či sú alebo nie sú členmi sociálnej siete Facebook.
78 Fashion ID navyše umiestnením takého modulu sociálnej siete na svojej internetovej stránke rozhodujúcim spôsobom vplýva na zber a prenos osobných údajov návštevníkov uvedenej stránky v prospech dodávateľa uvedeného modulu, v tomto prípade spoločnosti Facebook Ireland, ku ktorým by v prípade neumiestnenia uvedeného modulu nedošlo.
79 Za týchto podmienok a s výhradou overení, ktoré v tejto súvislosti prináleží vykonať vnútroštátnemu súdu, treba dospieť k záveru, že Facebook Ireland a Fashion ID spoločne rozhodujú o prostriedkoch, ktoré sú základom operácií zberu a prenosu osobných údajov návštevníkov internetovej stránky spoločnosti Fashion ID.
80 Pokiaľ ide o účel uvedených operácií spracovania osobných údajov, zdá sa, že Fashion ID umiestnením tlačidla „Páči sa mi to“ spoločnosti Facebook na svojej internetovej stránke jej umožňuje optimalizovať reklamu svojich výrobkov tým, že ich spraví viditeľnejšími na sociálnej sieti Facebook, keď návštevník jej internetovej stránky klikne na uvedené tlačidlo. Zdá sa, že na to, aby Fashion ID mohla využiť túto obchodnú výhodu pozostávajúcu z takejto zlepšenej reklamy svojich výrobkov, táto spoločnosť v dôsledku umiestnenia daného tlačidla na svojej internetovej stránke súhlasila, prinajmenšom implicitne, so zberom a prenosom osobných údajov návštevníkov jej stránky, pričom tieto operácie spracovania sa uskutočňovali v hospodárskom záujme tak spoločnosti Fashion ID, ako aj spoločnosti Facebook Ireland, pre ktorú skutočnosť, že má prístup k týmto údajom na svoje vlastné obchodné účely, predstavuje protiplnenie za výhodu, ktorú ponúka spoločnosti Fashion ID.
81 Za týchto okolností možno s výhradou overení, ktoré musí vykonať vnútroštátny súd, dospieť k záveru, že Fashion ID a Facebook Ireland spoločne určujú účely operácií zberu a prenosu osobných údajov, o ktoré ide vo veci samej.
82 Navyše ako vyplýva z judikatúry pripomenutej v bode 69 tohto rozsudku, skutočnosť, že samotný správca internetovej stránky, akým je Fashion ID, nemá sám prístup k osobným údajom zozbieraným a preneseným dodávateľovi modulu sociálnej siete, s ktorým spoločne určuje účely a ciele spracovania osobných údajov, nebráni tomu, aby mohol mať postavenie prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46.
83 Okrem toho treba zdôrazniť, že internetovú stránku, akou je stránka spoločnosti Fashion ID, navštevujú tak osoby, ktoré sú členmi sociálnej siete Facebook a majú na tejto sociálnej sieti účet, ako aj osoby, ktoré taký účet nemajú. V tomto poslednom uvedenom prípade zodpovednosť správcu internetovej stránky, akým je Fashion ID, pokiaľ ide o spracovávanie osobných údajov týchto osôb, sa javí ešte dôležitejšia, pretože ako sa zdá, samotné navštívenie takej stránky, ktorá obsahuje tlačidlo „Páči sa mi to“ spoločnosti Facebook, spustí spracovanie ich osobných údajov spoločnosťou Facebook Ireland (pozri v tomto zmysle rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 41).
84 V dôsledku toho je zrejmé, že Fashion ID sa môže považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46 v spojení so spoločnosťou Facebook Ireland, s ohľadom na operácie zberu a prenosu osobných údajov návštevníkov svojej internetovej stránky.
85 Vzhľadom na všetky predchádzajúce úvahy treba na druhú prejudiciálnu otázku odpovedať tak, že správcu internetovej stránky, akým je Fashion ID, ktorý umiestni na uvedenej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, možno považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. Táto zodpovednosť prevádzkovateľa je však obmedzená na operáciu alebo všetky operácie spracovania osobných údajov, pri ktorých skutočne určuje účely a prostriedky, t. j. operácie zberu a prenosu predmetných údajov.
O tretej otázke
86 Vzhľadom na odpoveď na druhú prejudiciálnu otázku nie je potrebné odpovedať na tretiu prejudiciálnu otázku.
O štvrtej otázke
87 Svojou štvrtou otázkou sa vnútroštátny súd v podstate pýta, či v situácii, o akú ide vo veci samej, v ktorej správca internetovej stránky umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, treba na účely uplatnenia článku 7 písm. f) smernice 95/46 zohľadniť legitímny záujem sledovaný týmto správcom alebo legitímny záujem sledovaný daným dodávateľom.
88 Na úvod treba uviesť, že podľa Komisie nie je táto otázka pre rozhodnutie sporu vo veci samej relevantná, keďže súhlas dotknutých osôb vyžadovaný podľa článku 5 ods. 3 smernice 2002/58 nebol poskytnutý.
89 V tejto súvislosti treba konštatovať, že článok 5 ods. 3 tejto smernice stanovuje, že členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo používateľa povolilo len pod podmienkou, že dotknutý účastník alebo používateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46, okrem iného aj o účeloch spracovania.
90 Vnútroštátnemu súdu prináleží overiť, či v situácii, o akú ide vo veci samej, dodávateľ modulu sociálnej siete, akým je Facebook Ireland, pristupuje, ako tvrdí Komisia, k informáciám uloženým v koncovom zariadení v zmysle článku 5 ods. 3 smernice 2002/58 návštevníka internetovej stránky patriacej správcovi tejto stránky.
91 Za týchto okolností a keďže sa vnútroštátny súd podľa všetkého domnieva, že v prejednávanej veci údaje prenesené spoločnosti Facebook Ireland predstavujú osobné údaje v zmysle smernice 95/46, ktoré sa okrem toho nevyhnutne neobmedzujú na informácie uložené v koncovom zariadení, čo bude musieť potvrdiť daný súd, pričom tvrdenia Komisie neumožňujú spochybniť relevantnosť štvrtej prejudiciálnej otázky na rozhodnutie sporu vo veci samej, ktorá sa týka prípadnej zákonnej povahy spracovania údajov, o ktoré ide vo veci samej, ako to tiež uviedol generálny advokát v bode 115 svojich návrhov.
92 V dôsledku toho treba preskúmať otázku, aký legitímny záujem treba na účely uplatnenia článku 7 písm. f) tejto smernice zohľadniť pri spracovaní daných údajov.
93 V tejto súvislosti treba na úvod pripomenúť, že podľa ustanovení kapitoly II smernice 95/46 s názvom „Všeobecné [podmienky] týkajúce sa zákonnosti spracovania osobných údajov“, s výhradou odchýlok, ktoré sú prípustné podľa článku 13 tejto smernice, každé spracovanie osobných údajov musí najmä zodpovedať niektorej zo zásad vzťahujúcich sa na zákonnosť spracovania údajov vymenovaných v článku 7 uvedenej smernice (pozri v tomto zmysle rozsudky z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 71, ako aj z 1. októbra 2015, Bara a i., C‑201/14, EU:C:2015:638, bod 30).
94 V súlade s článkom 7 písm. f) smernice 95/46, ktorého výklad žiada vnútroštátny súd, spracovanie osobných údajov je zákonné, ak je nevyhnutné na splnenie legitímnych záujmov, ktoré sleduje prevádzkovateľ alebo tretie osoby, ktorým sú údaje sprístupnené, pod podmienkou, že neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré potrebujú ochranu podľa článku 1 ods. 1 smernice 95/46.
95 Uvedený článok 7 písm. f) teda stanovuje, že na to, aby spracovanie osobných údajov bolo zákonné, musia byť splnené tri kumulatívne podmienky, a to po prvé sledovanie legitímneho záujmu prevádzkovateľom alebo tretími osobami, ktorým sú údaje oznámené, po druhé nevyhnutnosť spracovania osobných údajov na realizáciu sledovaného legitímneho záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka (rozsudok zo 4. mája 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, bod 28).
96 Keďže vzhľadom na odpoveď na druhú otázku je zrejmé, že v situácii, o akú ide vo veci samej, správca internetovej stránky, ktorý umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, sa má považovať za prevádzkovateľa, ktorý v spojení s týmto dodávateľom zodpovedá za spracovanie osobných údajov návštevníkov jeho internetovej stránky, ktorými sú zber a prenos údajov, je potrebné, aby každý z týchto prevádzkovateľov sledoval uvedenými operáciami spracovania údajov legitímny záujem v zmysle článku 7 písm. f) smernice 95/46, aby tieto operácie boli z jeho pohľadu odôvodnené.
97 Vzhľadom na predchádzajúce úvahy treba na štvrtú otázku odpovedať tak, že v situácii, o akú ide vo veci samej, v ktorej správca internetovej stránky umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, je potrebné, aby tak tento správca, ako aj dodávateľ sledovali týmito operáciami spracovania legitímny záujem v zmysle článku 7 písm. f) smernice 95/46, aby tieto operácie boli z jeho pohľadu odôvodnené.
Piata a šiesta otázka
98 Svojou piatou a šiestou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či jednak sa článok 2 písm. h) a článok 7 písm. a) smernice 95/46 majú vykladať v tom zmysle, že v situácii, o akú ide vo veci samej, v ktorej správca internetovej stránky umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, musí uvedený správca alebo dodávateľ získať súhlas podľa týchto ustanovení, a jednak, či sa článok 10 tejto smernice má vykladať v tom zmysle, že v takejto situácii spočíva informačná povinnosť stanovená týmto ustanovením na tomto správcovi.
99 Ako vyplýva z odpovede na druhú otázku, môže správca internetovej stránky, ktorý umiestni na uvedenej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, možno považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46, avšak táto zodpovednosť prevádzkovateľa je obmedzená na operáciu alebo všetky operácie spracovania osobných údajov, pri ktorých skutočne určuje účely a prostriedky.
100 Zdá sa teda, že povinnosti, ktoré môžu podľa smernice 95/46 prináležať tomuto prevádzkovateľovi, ako je povinnosť získať súhlas dotknutej osoby uvedenej v článku 2 písm. h) a v článku 7 písm. a) tejto smernice, ako aj informačná povinnosť stanovená v článku 10 tejto smernice, sa musia týkať operácie alebo súboru operácií spracovania osobných údajov, pri ktorých tento prevádzkovateľ skutočne určuje účely a prostriedky.
101 Ak sa teda v prejednávanej veci správca internetovej stránky, ktorý umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, má považovať za prevádzkovateľa, ktorý v spojení s týmto dodávateľom zodpovedá za operácie zberu a prenosu osobných údajov tohto návštevníka, jeho povinnosť získať súhlas dotknutej osoby uvedenej v článku 2 písm. h) a článku 7 písm. a) smernice 95/46, ako aj jej informačná povinnosť stanovená v článku 10 tejto smernice sa týkajú len týchto operácií. Na druhej strane sa tieto povinnosti nevzťahujú na spracovanie osobných údajov týkajúcich sa iných štádií, ktoré nastali skôr alebo až po uvedených operáciách a ktoré prípadne zahŕňajú spracovanie dotknutých osobných údajov.
102 Pokiaľ ide o súhlas uvedený v článku 2 písm. h) a v článku 7 písm. a) smernice 95/46, je zrejmé, že musí byť daný pred zberom a prenosom údajov dotknutej osoby. Za týchto podmienok prináleží správcovi internetovej stránky a nie dodávateľovi modulu, aby získal tento súhlas, keďže k procesu spracovania osobných údajov dochádza v dôsledku navštívenia tejto internetovej stránky. Ako totiž uviedol generálny advokát v bode 132 svojich návrhov, efektívnej a včasnej ochrane práv dotknutých osôb by nezodpovedal stav, pri ktorom by sa súhlas poskytoval len spoločnému prevádzkovateľovi, ktorý sa podieľa na neskoršej fáze, teda dodávateľovi uvedeného modulu. Súhlas, ktorý sa má poskytnúť správcovi, je však obmedzený na operáciu alebo všetky operácie spracovania osobných údajov, pri ktorých tento správca skutočne určuje účely a prostriedky.
103 To isté platí, aj pokiaľ ide o informačnú povinnosť stanovenú v článku 10 smernice 95/46.
104 V tejto súvislosti zo znenia tohto ustanovenia vyplýva, že prevádzkovateľ alebo jeho zástupca musí poskytnúť aspoň informácie, na ktoré sa vzťahuje uvedené ustanovenie, osobe, o ktorej údaje zbiera. Zdá sa teda, že táto informácia musí byť poskytnutá prevádzkovateľom okamžite, t. j. v okamihu zberu údajov (pozri v tomto zmysle rozsudky zo 7. mája 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 68, a zo 7. novembra 2013, IPI, C‑473/12, EU:C:2013:715, bod 23).
105 Z toho vyplýva, že v situácii, o akú ide vo veci samej, informačná povinnosť stanovená v článku 10 smernice 95/46 spočíva na správcovi internetovej stránky, pričom informácia, ktorú musí tento správca poskytnúť dotknutej osobe, sa musí týkať len operácie alebo všetkých operácií spracovania osobných údajov, pri ktorých tento správca skutočne určuje účely a prostriedky.
106 Vzhľadom na vyššie uvedené úvahy treba na piatu a šiestu otázku odpovedať tak, že článok 2 písm. h) a článok 7 písm. a) smernice 95/46 sa majú vykladať v tom zmysle, že v situácii, o akú ide vo veci samej, v ktorej správca internetovej stránky umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, musí uvedený správca alebo dodávateľ získať súhlas podľa týchto ustanovení len s ohľadom na operáciu alebo všetky operácie spracovania osobných údajov, pri ktorých tento správca určuje účely a prostriedky. Okrem toho článok 10 tejto smernice sa má vykladať v tom zmysle, že v takejto situácii informačná povinnosť stanovená v tomto ustanovení spočíva aj na uvedenom správcovi, pričom informácia, ktorú musí tento správca poskytnúť dotknutej osobe, sa musí týkať len operácie alebo všetkých operácií spracovania osobných údajov, pri ktorých tento správca určuje účely a prostriedky.
O trovách
107 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (druhá komora) rozhodol takto:
1. Články 22 až 24 smernice Európskeho parlamentu a Rady 95/46/[ES] z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov sa majú vykladať v tom zmysle, že nebránia vnútroštátnej právnej úprave, ktorá združeniam na ochranu záujmov spotrebiteľov priznáva aktívnu legitimáciu na konanie proti údajnému pôvodcovi zásahu do ochrany osobných údajov.
2. Správcu internetovej stránky, akým je Fashion ID GmbH & Co. KG, ktorý umiestni na uvedenej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, možno považovať za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. Táto zodpovednosť prevádzkovateľa je však obmedzená na operáciu alebo všetky operácie spracovania osobných údajov, pri ktorých skutočne určuje účely a prostriedky, t. j. operácie zberu a prenosu predmetných údajov.
3. V situácii, o akú ide vo veci samej, v ktorej správca internetovej stránky umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, je potrebné, aby tak tento správca, ako aj dodávateľ sledovali týmito operáciami spracovania legitímny záujem v zmysle článku 7 písm. f) smernice 95/46, aby tieto operácie boli z jeho odôvodnené.
4. Článok 2 písm. h) a článok 7 písm. a) smernice 95/46 sa majú vykladať v tom zmysle, že v situácii, o akú ide vo veci samej, v ktorej správca internetovej stránky umiestni na danej stránke modul sociálnej siete umožňujúci prehliadaču návštevníka tejto stránky vyžiadať si obsah od dodávateľa uvedeného modulu a na tento účel prenesie tomuto dodávateľovi osobné údaje návštevníka, musí uvedený správca alebo dodávateľ získať súhlas podľa týchto ustanovení len s ohľadom na operáciu alebo všetky operácie spracovania osobných údajov, pri ktorých tento správca určuje účely a prostriedky. Okrem toho článok 10 tejto smernice sa má vykladať v tom zmysle, že v takejto situácii informačná povinnosť stanovená v tomto ustanovení spočíva aj na uvedenom správcovi, pričom informácia, ktorú musí tento správca poskytnúť dotknutej osobe, sa musí týkať len operácie alebo všetkých operácií spracovania osobných údajov, pri ktorých tento správca určuje účely a prostriedky.
Podpisy