SODBA SODIŠČA (veliki senat)
z dne 24. septembra 2019(*)
„Predhodno odločanje – Osebni podatki – Varstvo posameznikov pri obdelavi takih podatkov – Direktiva 95/46/ES – Uredba (EU) 2016/679 – Spletni iskalniki – Obdelava podatkov, ki so na spletnih straneh – Ozemeljski obseg pravice do odstranitve povezav“
V zadevi C‑507/17,
katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložil Conseil d'État (državni svet, Francija) z odločbo z dne 19. julija 2017, ki je prispela na Sodišče 21. avgusta 2017, v postopku
Google LLC, pravna naslednica družbe Google Inc.,
proti
Commission nationale de l’informatique et des libertés (CNIL),
ob udeležbi
Wikimedia Foundation Inc.,
Fondation pour la liberté de la presse,
Microsoft Corp.,
Reporters Committee for Freedom of the Press in drugih,
Article 19 in drugih,
Internet Freedom Foundation in drugih,
Défenseur des droits,
SODIŠČE (veliki senat),
v sestavi K. Lenaerts, predsednik, A. Arabadjiev, E. Regan, T. von Danwitz, predsedniki senatov, C. Toader, predsednica senata, F. Biltgen, predsednik senata, M. Ilešič (poročevalec), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda in S. Rodin, sodniki,
generalni pravobranilec: M. Szpunar,
sodna tajnica: V. Giacobbo-Peyronnel, administratorka,
na podlagi pisnega postopka in obravnave z dne 11. septembra 2018,
ob upoštevanju stališč, ki so jih predložili:
– za Google LLC P. Spinosi, Y. Pelosi in W. Maxwell, avocats,
– za Commission nationale de l’informatique et des libertés (CNIL) I. Falque‑Pierrotin, J. Lessi in G. Le Grand, agenti,
– za Wikimedia Foundation Inc. C. Rameix-Seguin, avocate,
– za Fondation pour la liberté de la presse T. Haas, avocat,
– za Microsoft Corp. E. Piwnica, avocat,
– za Reporters Committee for Freedom of the Press in druge F. Louis, avocat, H.‑G. Kamann, C. Schwedler in M. Braun, Rechtsanwälte,
– za Article 19 in druge G. Tapie, avocat, G. Facenna, QC, in E. Metcalfe, barrister,
– za internet Freedom Foundation in druge T. Haas, avocat,
– za Défenseur des droits J. Toubon, agent,
– za francosko vlado D. Colas, R. Coesme, E. de Moustier in S. Ghiandoni, agenti,
– za Irsko M. Browne, G. Hodge, J. Quaney in A. Joyce, agenti, skupaj z M. Gray, BL,
– za grško vlado E.-M. Mamouna, G. Papadaki, E. Zisi in S. Papaioannou, agentke,
– za italijansko vlado G. Palmieri, agentka, skupaj z R. Guizzi, avvocato dello Stato,
– za avstrijsko vlado G. Eberhard in G. Kunnert, agenta,
– za poljsko vlado B. Majczyna, M. Pawlicka in J. Sawicka, agenti,
– za Evropsko komisijo A. Buchet, H. Kranenborg in D. Nardi, agenti,
po predstavitvi sklepnih predlogov generalne pravobranilke na obravnavi 10. januarja 2019
izreka naslednjo
Sodbo
1 Predlog za sprejetje predhodne odločbe se nanaša na razlago Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).
2 Ta predlog je bil vložen v okviru spora med družbo Google LLC, ki je pravna naslednica družbe Google Inc., in Commission nationale de l’informatique et des libertés (CNIL) (nacionalna komisija za informatiko in svoboščine, Francija) zaradi sankcije v višini 100.000 EUR, ki jo je ta komisija naložila družbi Google, ker ta družba v primeru, v katerem ugodi zahtevi za odstranitev povezav, povezav ne odstrani na vseh domenskih končnicah svojega iskalnika.
Pravni okvir
Pravo Unije
Direktiva 95/46
3 Člen 1(1) Direktive 95/46 določa, da je njen namen varstvo temeljnih pravic in svoboščin fizičnih oseb in predvsem njihove pravice do zasebnosti pri obdelavi osebnih podatkov ter odstranjevanje ovir za prosti prenos teh podatkov.
4 V uvodnih izjavah 2, 7, 10, 18, 20 in 37 Direktive 95/46 je navedeno:
„(2) ker so sistemi za obdelavo podatkov namenjeni temu, da služijo človeku; ker morajo, ne glede na državljanstvo ali stalno prebivališče fizičnih oseb, spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ter prispevati h […] blaginji posameznikov;
[…]
(7) ker lahko razlika v ravneh varstva pravic in svoboščin posameznikov, predvsem pravice do zasebnosti glede obdelave osebnih podatkov, ki je zagotovljena v državah članicah, prepreči prenos takih podatkov z ozemlja ene države članice na ozemlje druge države članice; ker zato ta razlika lahko predstavlja oviro pri izvajanju številnih gospodarskih dejavnosti na ravni Skupnosti […];
[…]
(10) ker je namen nacionalne zakonodaje o obdelavi osebnih podatkov varovati temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ki jo priznava člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin[, podpisane v Rimu 4. novembra 1950], pa tudi splošna načela zakonodaje Skupnosti; ker zato približevanje teh zakonodaj ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora imeti za cilj zagotovitev visoke ravni varstva v Skupnosti;
[…]
(18) ker se mora vsaka obdelava osebnih podatkov v Skupnosti izvajati v skladu z zakonodajo ene izmed držav članic, zaradi zagotovitve, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te direktive; […]
[…]
(20) ker dejstvo, da obdelavo podatkov izvaja oseba, ustanovljena v tretji državi, ne sme ovirati varstva posameznikov, ki ga opredeljuje ta direktiva; ker bi v teh primerih morala urejati obdelavo zakonodaja države članice, v kateri so uporabljena sredstva, in bi morala obstajati jamstva za zagotovitev, da se pravice in obveznosti, ki jih opredeljuje ta direktiva, spoštujejo v praksi;
[…]
(37) ker bi morala obdelava osebnih podatkov v novinarske namene ali zaradi literarnega ali umetniškega izražanja, predvsem na avdiovizualnem področju, predstavljati izjemo od zahtev nekaterih določb te direktive, kadar je to potrebno za uskladitev temeljnih pravic posameznikov s svobodo informiranja ter predvsem s pravico do prejemanja in prenašanja podatkov, zagotovljeno predvsem s členom 10 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin; ker bi morale države članice zato določiti izjeme in odstopanja, ki so potrebni za ravnotežje med temeljnimi pravicami glede splošnih ukrepov za zakonitost obdelave podatkov […]“.
5 Člen 2 te direktive določa:
„V tej direktivi:
(a) ,osebni podatek‘ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (,posameznik, na katerega se nanašajo osebni podatki‘); […]
(b) ,obdelava osebnih podatkov‘ (,obdelava‘) pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;
[…]
(d) ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; […]
[…]“
6 Člen 4 te direktive, naslovljen „Uporaba nacionalne zakonodaje“, določa:
„1. Vsaka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme v skladu s to direktivo, kadar:
(a) se obdelava izvaja v okviru dejavnosti ustanovitve upravljavca na ozemlju države članice; kadar je isti upravljavec ustanovljen na ozemlju več držav članic, mora sprejeti potrebne ukrepe za zagotovitev, da vsaka od teh ustanovitev izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo;
(b) upravljavec ni ustanovljen na ozemlju države članice, ampak v kraju, kjer se njegova nacionalna zakonodaja uporablja na podlagi mednarodnega javnega prava;
(c) upravljavec ni ustanovljen na ozemlju Skupnosti in za obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja na ozemlju te države članice, razen če se taka oprema uporablja samo za prehod prek Skupnosti.
2. V okoliščinah, navedenih v odstavku 1(c), mora upravljavec določiti predstavnika, ki je ustanovljen na ozemlju omenjene države članice, ne da bi to posegalo v tožbe, ki se lahko vložijo zoper samega upravljavca.“
7 Člen 9 Direktive 95/46, naslovljen „Obdelava osebnih podatkov in svoboda izražanja“, določa:
„Države članice določijo izjeme ali odstopanja od določb tega poglavja, poglavja IV in poglavja VI za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja samo, če so potrebna za uskladitev pravice do zasebnosti s predpisi, ki urejajo svobodo izražanja.“
8 Člen 12 navedene direktive, naslovljen „Pravica do dostopa“, določa:
„Države članice jamčijo vsakemu posamezniku, na katerega se osebni podatki nanašajo, pravico, da pridobi od upravljavca:
[…]
(b) po potrebi popravke, izbris ali blokiranje podatkov, katerih obdelava ni v skladu z določbami te direktive, predvsem zaradi nepopolnih ali netočnih podatkov;
[…]“
9 Člen 14 navedene direktive, naslovljen „Pravica posameznika, na katerega se nanašajo osebni podatki, do ugovora“, določa:
„Države članice priznavajo posamezniku, na katerega se osebni podatki nanašajo, pravico:
(a) da vsaj v primerih iz člena 7(e) in (f) na podlagi zakonitih in nujnih razlogov, povezanih z njegovim posebnim položajem kadar koli ugovarja obdelavi podatkov, ki se nanašajo nanj, razen kjer nacionalna zakonodaja določa drugače. Kadar obstaja utemeljen ugovor, obdelava, ki jo uvede upravljavec, ne sme več vključevati teh podatkov;
[…]“
10 Člen 24 Direktive 95/46, naslovljen „Sankcije“, določa:
„Države članice sprejmejo ustrezne ukrepe za zagotovitev popolne izvedbe določb te direktive in predvsem določijo sankcije, ki se naložijo ob kršitvi določb, sprejetih v skladu s to direktivo.“
11 Člen 28 navedene direktive, naslovljen „Nadzorni organ“, določa:
„1. Vsaka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo.
[…]
3. Vsakemu organu se podeli predvsem:
– preiskovalna pooblastila, kakršna so pooblastila za dostop do podatkov, ki sestavljajo vsebino postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog,
– učinkovita pooblastila za posredovanje, kakšna so npr. […] odrejanje blokiranja, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave […],
[…]
Zoper odločitve nadzornega organa je zagotovljeno sodno pravno sredstvo.
4. Vsak nadzorni organ obravnava zahtevke, ki jih je vložila katera koli oseba ali združenje, ki predstavlja to osebo, v zvezi z varstvom svojih pravic in svoboščin glede obdelave osebnih podatkov. Zadevna oseba je obveščena o odločitvah o zahtevkih.
[…]
6. Vsak nadzorni organ je pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo. Od vsakega nadzornega organa je mogoče zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice.
Nadzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij.
[…]“
Uredba (EU) 2016/679
12 Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46 (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek UL 2018, L 127, str. 2), ki temelji na členu 16 PDEU, se na podlagi člena 99(2) te uredbe uporablja od 25. maja 2018. Člen 94(1) te uredbe določa, da se Direktiva 95/46 razveljavi z učinkom od istega dne.
13 V uvodnih izjavah 1, 4, od 9 do 11, 13, od 22 do 25 in 65 navedene uredbe je navedeno:
„(1) Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) [PDEU] je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.
[…]
(4) Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem. Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Ta uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, […] varstvo osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude […].
[…]
(9) […] Direktiv[a] 95/46[…] ni preprečil[a] razdrobljenosti izvajanja varstva osebnih podatkov v Uniji […]. Različne ravni varstva […] v državah članicah lahko preprečijo prosti pretok osebnih podatkov po celotni Uniji. Te razlike lahko pomenijo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije […].
(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. […]
(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.
[…]
(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom […] zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. Za pravilno delovanje notranjega trga prosti pretok osebnih podatkov v Uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov. […]
[…]
(22) Vsaka obdelava osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji. […]
(23) Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi se morala za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, uporabljati ta uredba, kadar so dejavnosti obdelave povezane z nudenjem blaga ali storitev takim posameznikom, na katere se nanašajo osebni podatki, ne glede na to, ali so povezane s plačilom. Za ugotovitev, ali tak upravljavec ali obdelovalec nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki so v Uniji, bi bilo treba ugotoviti, ali je jasno, da namerava upravljavec ali obdelovalec nuditi storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije. […]
(24) Za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, bi se prav tako morala uporabljati ta uredba, kadar je obdelava povezana s spremljanjem vedenja takih posameznikov, na katere se nanašajo osebni podatki, kolikor njihovo vedenje poteka v Uniji. Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da spremlja vedenje posameznikov, na katere se nanašajo osebni podatki, bi bilo treba ugotoviti, ali se posameznikom sledi na internetu, kar vključuje morebitno naknadno uporabo tehnik obdelave osebnih podatkov, ki obsegajo oblikovanje profila posameznika, zlasti z namenom sprejemanja odločitev o njem oziroma za analiziranje ali predvidevanje njegovega osebnega okusa in vedenja.
(25) Kadar se pravo države članice uporablja na podlagi mednarodnega javnega prava, bi se morala ta uredba uporabljati tudi za upravljavca, ki nima sedeža v Uniji, na primer v diplomatskem ali konzularnem predstavništvu države članice.
[…]
(65) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti […] ‚pravico do pozabe‘, kadar hramba takih podatkov krši to uredbo ali pravo Unije ali pravo države članice, ki velja za upravljavca. […] Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja […].“
14 Člen 3 Uredbe 2016/679, naslovljen „Ozemeljska veljavnost“, določa:
„1. Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.
2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima ustanovitve v Uniji, kadar so dejavnosti obdelave povezane:
(a) z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali
(b) s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.
3. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo države članice uporablja na podlagi mednarodnega javnega prava.“
15 V členu 4, točka 23, te uredbe je pojem „čezmejna obdelava osebnih podatkov“ opredeljen tako:
„(a) obdelav[a] osebnih podatkov, ki poteka v Uniji v okviru dejavnosti ustanovitev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec ustanovitev v več kot eni državi članici, bodisi
(b) obdelav[a] osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edine ustanovitve upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici“.
16 Člen 17 navedene uredbe, naslovljen „Pravica do izbrisa (,pravica do pozabe‘)“, določa:
„1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
(a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);
(d) osebni podatki so bili obdelani nezakonito;
(e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;
(f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).
[…]
3. Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:
(a) za uresničevanje pravice do svobode izražanja in obveščanja;
[…]“
17 Člen 21 iste uredbe, naslovljen „Pravica do ugovora“, v odstavku 1 določa:
„Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.“
18 Člen 55 Uredbe 2016/679, naslovljen „Pristojnost“, ki je del poglavja VI te uredbe, naslovljenega „Neodvisni nadzorni organi“, v odstavku 1 določa:
„Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.“
19 Člen 56 navedene uredbe, naslovljen „Pristojnosti vodilnega nadzornega organa“, določa:
„1. Nadzorni organ glavne ali edine ustanovitve upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.
2. Z odstopanjem od odstavka 1 je vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na ustanovitev v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.
3. Nadzorni organ v primerih iz odstavka 2 tega člena o tej zadevi brez odlašanja obvesti vodilni nadzorni organ. Vodilni nadzorni organ v treh tednih po tem, ko je obveščen, odloči, ali bo zadevo obravnaval v skladu s postopkom iz člena 60 ali ne, pri tem pa upošteva, ali ima upravljavec ali obdelovalec ustanovitev v državi članici nadzornega organa, ki ga je o tem obvestil, ali ne.
4. Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, se uporabi postopek iz člena 60. Nadzorni organ, ki je obvestil vodilni nadzorni organ, lahko temu nadzornemu organu predloži osnutek odločitve. Vodilni nadzorni organ v največji meri upošteva ta osnutek pri pripravi osnutka odločitve iz člena 60(3).
5. Kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo v skladu s členoma 61 in 62 obravnava nadzorni organ, ki je o tem obvestil vodilni nadzorni organ.
6. Vodilni nadzorni organ je edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni.“
20 Člen 58 te uredbe, naslovljen „Pooblastila“, v odstavku 2 določa:
„Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:
[…]
(g) da v skladu s členi […] 17 […] odredi […] izbris osebnih podatkov […];
[…]
(i) da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo […]“.
21 Oddelek I, naslovljen „Sodelovanje“, iz poglavja VII Uredbe 2016/679, naslovljenega „Sodelovanje in skladnost“, vsebuje člene od 60 do 62 te uredbe. Ta člen 60, naslovljen „Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi“, določa:
„1. Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.
2. Vodilni nadzorni organ lahko od drugih zadevnih nadzornih organov kadar koli zahteva zagotovitev medsebojne pomoči v skladu s členom 61 in lahko ukrepa skupaj z njimi v skladu s členom 62, zlasti pri izvajanju preiskav ali spremljanju izvajanja ukrepa, povezanega z upravljavcem ali obdelovalcem s sedežem v drugi državi članici.
3. Vodilni nadzorni organ brez odlašanja posreduje ustrezne informacije o zadevi drugim zadevnim nadzornim organom. Drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.
4. Kadar kateri koli od drugih zadevnih nadzornih organov v obdobju štirih tednov po opravljenem posvetovanju v skladu z odstavkom 3 tega člena poda ustrezne in utemeljene razloge za ugovor glede osnutka odločitve, vodilni nadzorni organ zadevo predloži mehanizmu za skladnost iz člena 63, če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen.
5. Kadar namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom predloži v mnenje spremenjeni osnutek odločitve. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz odstavka 4.
6. Kadar noben drug zadevni nadzorni organ v obdobju iz odstavkov 4 in 5 ne nasprotuje osnutku odločitve, ki jo predloži vodilni nadzorni organ, se šteje, da se vodilni nadzorni organ in zadevni nadzorni organi strinjajo s tem osnutkom odločitve, ki je zanje zavezujoča.
7. Vodilni nadzorni organ sprejme odločitev in o njej uradno obvesti glavno ali edino ustanovitev upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posreduje tudi drugim zadevnim nadzornim organom in odboru. Nadzorni organ, pri katerem je bila vložena pritožba, o odločitvi obvesti pritožnika.
8. Z odstopanjem od odstavka 7 nadzorni organ, pri katerem je bila vložena pritožba, v primeru zavržene ali zavrnjene pritožbe sprejme odločitev, o kateri uradno obvesti pritožnika, sporoči pa jo tudi upravljavcu.
9. Kadar se vodilni nadzorni organ in zadevni nadzorni organi strinjajo, da se zavržejo ali zavrnejo deli pritožbe in uveljavijo drugi deli te pritožbe, se za vsakega od navedenih delov zadeve sprejme ločena odločitev. […]
10. Upravljavec ali obdelovalec po prejemu uradnega obvestila o odločitvi vodilnega nadzornega organa v skladu z odstavkoma 7 in 9 sprejme ukrepe, potrebne za zagotovitev spoštovanja odločitve, kar zadeva obdelavo v okviru vseh njegovih ustanovitev v Uniji. Upravljavec ali obdelovalec o ukrepih, sprejetih za zagotovitev spoštovanja odločitve, uradno obvesti vodilni nadzorni organ, ki to sporoči drugim zadevnim nadzornim organom.
11. V izjemnih okoliščinah, ko zadevni nadzorni organ utemeljeno sklepa, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, se uporabi nujni postopek iz člena 66.
[…]“
22 Člen 61 navedene uredbe, naslovljen „Medsebojna pomoč“, v odstavku 1 določa:
„Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.“
23 Člen 62 iste uredbe, naslovljen „Skupno ukrepanje nadzornih organov“, določa:
„1. Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.
2. Kadar ima upravljavec ali obdelovalec sedeže v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. […]“
24 Oddelek 2 poglavja VII Uredbe 2016/679, naslovljen „Skladnost“, vsebuje člene od 63 do 67 te uredbe. Ta člen 63, naslovljen „Mehanizem za skladnost“, določa:
„Da bi prispevali k dosledni uporabi te uredbe v vsej Uniji, nadzorni organi sodelujejo med seboj in po potrebi s Komisijo, in sicer prek mehanizma za skladnost, kakor je določen v tem oddelku.“
25 Člen 65 navedene uredbe, naslovljen „Reševanje sporov s strani odbora“, v odstavku 1 določa:
„Da se zagotovi pravilna in dosledna uporaba te uredbe v posameznih primerih, odbor sprejme zavezujočo odločitev v naslednjih primerih:
(a) kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega nadzornega organa ter se vodilni nadzorni organ z ugovorom ni strinjal ali je tak ugovor zavrnil kot neustrezen ali neutemeljen. Zavezujoča odločitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe;
(b) kadar obstajajo nasprotujoča si stališča o tem, kateri zadevni nadzorni organ je pristojen za glavno ustanovitev;
[…]“
26 Člen 66 te uredbe, naslovljen „Nujni postopek“, v odstavku 1 določa:
„V izjemnih okoliščinah, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, lahko z odstopanjem od mehanizma za skladnost iz členov 63, 64 in 65 ali postopka iz člena 60 brez odlašanja sprejme začasne ukrepe, katerih namen je doseči pravne učinke na ozemlju, na katerem deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev. Nadzorni organ o teh ukrepih in razlogih za njihovo sprejetje nemudoma obvesti druge zadevne nadzorne organe, odbor in Komisijo.“
27 Člen 85 Uredbe 2016/679, naslovljen „Obdelava in svoboda izražanja in obveščanja“, določa:
„1. Države članice z zakonom usklajujejo pravico do varstva osebnih podatkov na podlagi te uredbe s pravico do svobode izražanja in obveščanja, vključno z obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja.
2. Za obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja države članice določijo izjeme ali odstopanja od poglavja II (načela), poglavja III (pravice posameznika, na katerega se nanašajo osebni podatki), poglavja IV (upravljavec in obdelovalec), poglavja V (prenos osebnih podatkov v tretje države ali mednarodne organizacije), poglavja VI (neodvisni nadzorni organi), poglavja VII (sodelovanje in skladnost) in poglavja IX (posebni primeri obdelave podatkov), če so potrebni za uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja.
[…]“
Francosko pravo
28 V francoskem pravu se Direktiva 95/46 izvaja z loi nº 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (zakon št. 78-17 z dne 6. januarja 1978 o informatiki, zbirkah in svoboščinah), v različici, ki je upoštevna za postopek v glavni stvari (v nadaljevanju: zakon z dne 6. januarja 1978).
29 Člen 45 tega zakona določa, da kadar upravljavec podatkov ne spoštuje obveznosti, ki izhajajo iz tega zakona, ga lahko predsednik CNIL opomni, naj odpravi ugotovljeno neizpolnitev obveznosti v roku, ki ga določi. Če upravljavec podatkov ne ravna v skladu z opominom, ki mu je poslan, lahko ožja sestava CNIL po kontradiktornem postopku med drugim izreče denarno sankcijo.
Spor o glavni stvari in vprašanja za predhodno odločanje
30 Predsednica CNIL je z odločbo z dne 21. maja 2015 družbo Google opomnila, naj v primeru, v katerem ugodi zahtevi fizične osebe, da se s seznama zadetkov, ki se prikaže po iskanju, opravljenem na podlagi njenega imena, odstranijo povezave na spletne strani, povezave odstrani na vseh domenskih končnicah svojega iskalnika.
31 Družba Google tega opomina ni upoštevala in se je omejila na odstranitev zadevnih povezav samo iz zadetkov, ki se prikažejo po iskanjih, opravljenih na podlagi domen, ki ustrezajo domenskim končnicam njenega iskalnika v državah članicah.
32 CNIL je poleg tega kot nezadosten ocenila dodatni predlog „geoblokiranja“, ki ga je družba Google podala po izteku roka iz opomina in ki se nanaša na preprečitev možnosti dostopa iz naslova IP (Internet Protocol), za katerega se šteje, da je v državi, kjer ima prebivališče posameznik, na katerega se nanašajo osebni podatki, do spornih zadetkov, prikazanih po iskanju, opravljenem na podlagi njegovega imena, in to ne glede na domensko končnico iskalnika, ki ga je spletni uporabnik uporabil.
33 CNIL je družbi Google, potem ko je ugotovila, da ta v predpisanem roku ni izpolnila zahteve iz navedenega opomina, z odločbo z dne 10. marca 2016 izrekla sankcijo v višini 100.000 EUR, ki je bila objavljena.
34 Družba Google je s tožbo, vloženo pri Conseil d’État (državni svet, Francija), predlagala, naj se ta odločba odpravi.
35 Conseil d’État (državni svet) je ugotovil, da obdelava osebnih podatkov, ki jo izvaja iskalnik, ki ga upravlja družba Google, ob upoštevanju dejavnosti trženja in prodaje oglasnega prostora, ki jih v Franciji opravlja njena hčerinska družba Google France, spada na področje uporabe zakona z dne 6. januarja 1978.
36 Conseil d’État (državni svet) je poleg tega navedel, da iskalnik, ki ga upravlja družba Google, uporablja več domen z različnimi nacionalnimi domenskimi končnicami, da se lahko prikazani zadetki prilagodijo posebnostim – zlasti jezikovnim – različnih držav, v katerih ta družba opravlja svojo dejavnost. Kadar se iskanje opravlja z naslova „google.com“, naj bi družba Google načeloma samodejno preusmerila to iskanje na domeno, ki ustreza državi, iz katere naj bi se glede na identifikacijo naslova IP spletnega uporabnika to iskanje opravljalo. Vendar lahko spletni uporabnik ne glede na kraj, kjer je, svoje iskanje opravlja na drugih domenah iskalnika. Poleg tega, čeprav se lahko zadetki razlikujejo glede na domeno, s katere je iskanje v iskalniku opravljeno, naj ne bi bilo sporno, da povezave, ki se prikažejo po iskanju, izvirajo iz skupnih podatkovnih zbirk in skupnega indeksiranja.
37 Conseil d’État (državni svet) meni, da ob upoštevanju dejstva, da so na eni strani vse domene iskalnika družbe Google dostopne s francoskega ozemlja in da na drugi strani obstajajo prehodi med temi različnimi domenami, na kar kažeta med drugim samodejno preusmerjanje in obstoj piškotkov na drugih domenskih končnicah iskalnika, ki niso domenska končnica, na kateri so bili ti prvotno naloženi, je treba za ta iskalnik, za katerega je bila pri CNIL sicer vložena le ena prijava, šteti, da opravlja le eno obdelavo osebnih podatkov za uporabo zakona z dne 6. januarja 1978. Iz tega naj bi izhajalo, da se obdelava osebnih podatkov z iskalnikom, ki ga upravlja družba Google, izvaja v okviru ene od njenih poslovnih enot, to je družbe Google France, ki ima sedež na francoskem ozemlju, zaradi česar zanjo velja zakon z dne 6. januarja 1978.
38 Družba Google pred Conseil d’État (državni svet) trdi, da sporna sankcija temelji na napačni razlagi določb zakona z dne 6. januarja 1978, s katerimi sta bila prenesena člen 12(b) in člen 14, prvi odstavek, točka (a), Direktive 95/46, na podlagi katerih je Sodišče v sodbi z dne 13. maja 2014, Google Spain in Google (C‑131/12, EU:C:2014:317), priznalo „pravico do odstranitve povezav“. Družba Google trdi, da ta pravica ne pomeni nujno, da je treba sporne povezave odstraniti na vseh domenah njenega iskalnika, brez geografske omejitve. Poleg tega naj bi CNIL s tem, da je sprejela tako razlago, kršila načeli vljudnosti in nevmešavanja, ki ju priznava mednarodno javno pravo, ter nesorazmerno posegla v svobodo izražanja, obveščanja, sporočanja in tiska, ki je med drugim zagotovljena s členom 11 Listine.
39 Ker je Conseil d’État (državni svet) ugotovil, da iz te utemeljitve izhaja več resnih vprašanj v zvezi z razlago Direktive 95/46, je prekinil odločanje in Sodišču v predhodno odločanje predložil ta vprašanja:
„1. Ali je treba ‚pravico do odstranitve povezav‘, kot jo je [Sodišče] potrdilo v sodbi [z dne 13. maja 2014, Google Spain in Google (C‑131/12, EU:C:2014:317)], na podlagi določb člena 12(b) in člena 14[, prvi odstavek,] točka (a), Direktive [95/46] razlagati tako, da mora upravljavec iskalnika, če ugodi zahtevi za odstranitev povezav, te povezave odstraniti na vseh domenah svojega iskalnika, tako da se sporne povezave ne prikažejo več v nobenem kraju, iz katerega se opravi iskanje na podlagi imena osebe, ki je zahtevala odstranitev, tudi zunaj ozemeljskega področja uporabe Direktive [95/46]?
2. Če je odgovor na to prvo vprašanje nikalen, ali je treba ‚pravico do odstranitve povezav‘, kot jo je [Sodišče] potrdilo v zgoraj navedeni sodbi, razlagati tako, da mora upravljavec iskalnika, če ugodi zahtevi za odstranitev povezav, sporne povezave odstraniti samo s seznama zadetkov, ki se prikažejo po iskanju na podlagi imena osebe, ki je zahtevala odstranitev, na domeni, ki ustreza državi, za katero se šteje, da je bila v njej zahteva podana, ali splošneje na domenah iskalnika, ki ustrezajo nacionalnim domenskim končnicam tega iskalnika za vse države članice […]?
3. Poleg tega, ali je treba poleg obveznosti, navedene [v drugem vprašanju], ‚pravico do odstranitve povezav‘, kot jo je [Sodišče] potrdilo v zgoraj navedeni sodbi, razlagati tako, da mora upravljavec iskalnika, če ugodi zahtevi za odstranitev povezav, s tako imenovano tehniko ‚geoblokiranja‘ z naslova IP, za katerega se šteje, da je v državi prebivališča upravičenca do ‚pravice do odstranitve povezav‘, odstraniti sporne zadetke, ki se prikažejo po iskanju na podlagi njegovega imena, ali celo splošneje z naslova IP, za katerega se šteje, da je v eni od držav članic, za katere velja Direktiva [95/46], in to neodvisno od domene, ki jo uporabi spletni uporabnik, ki opravi iskanje?“
Vprašanja za predhodno odločanje
40 Postopek v glavni stvari se nanaša na spor med družbo Google in CNIL o tem, kako mora upravljavec iskalnika, če ugotovi, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se ena ali več povezav na spletne strani, na katerih so njegovi osebni podatki, izbriše s seznama rezultatov, ki se prikaže pri iskanju, opravljenem na podlagi njegovega imena, izvršiti to pravico do odstranitve povezav. Ob vložitvi predloga za sprejetje predhodne odločbe se je sicer uporabljala Direktiva 95/46, ki pa je bila razveljavljena z učinkom od 25. maja 2018, to je od datuma, od katerega se uporablja Uredba 2016/679.
41 Sodišče bo postavljena vprašanja preučilo tako glede na to direktivo kot tudi glede na to uredbo, da bi zagotovilo, da bodo njegovi odgovori vsekakor koristni za predložitveno sodišče.
42 V postopku pred Sodiščem je družba Google navedla, da je po vložitvi predloga za sprejetje predhodne odločbe uvedla nov prikaz nacionalnih različic svojega iskalnika, v okviru katerega domena, ki jo vnese spletni uporabnik, ne določa več nacionalne različice iskalnika, do katere ta uporabnik dostopa. Tako naj bi bil spletni uporabnik samodejno usmerjen na nacionalno različico iskalnika družbe Google, ki ustreza kraju, za katerega se šteje, da iz njega opravlja iskanje, rezultati tega iskalnika pa naj bi bili prikazani na podlagi tega kraja, ki ga je družba Google določila s procesom geolokalizacije.
43 V teh okoliščinah je treba postavljena vprašanja, ki jih je treba obravnavati skupaj, razumeti tako, da se z njimi v bistvu sprašuje, ali je treba člen 12(b) in člen 14, prvi odstavek, točka (a), Direktive 95/46 ter člen 17(1) Uredbe 2016/679 razlagati tako, da mora upravljavec iskalnika, če na podlagi teh določb ugodi zahtevi za odstranitev povezav, povezave odstraniti na vseh različicah svojega iskalnika, ali tako, da jih mora odstraniti le na različicah svojega iskalnika, ki ustrezajo vsem državam članicam, oziroma zgolj na različici, ki ustreza državi članici, v kateri je bila zahteva za odstranitev povezav vložena, po potrebi tudi z uporabo tehnike „geoblokiranja“, da bi zagotovil, da spletni uporabnik, ne glede na to, kateri nacionalni iskalnik uporabi, pri iskanju iz naslova IP, za katerega se šteje, da je v državi članici, kjer ima prebivališče imetnik pravice do odstranitve povezav, ali da je, širše, v kateri koli državi članici, ne more dostopati do povezav, na katere se odstranitev nanaša.
44 Uvodoma je treba spomniti, da je Sodišče presodilo, da je treba člen 12(b) in člen 14, prvi odstavek, točka (a), Direktive 95/46 razlagati tako, da mora upravljavec iskalnika, da bi spoštoval pravice iz teh določb in če so pogoji iz teh določb dejansko izpolnjeni, s seznama zadetkov, ki se prikaže po iskanju, opravljenem na podlagi imena osebe, odstraniti povezave na spletne strani, ki jih objavijo tretje osebe in ki vsebujejo podatke, ki se nanašajo na to osebo, tudi če to ime ali te informacije niso predhodno ali sočasno izbrisane s teh spletnih strani in tudi če je – če gre za tak primer – njihova objava na navedenih straneh sama po sebi zakonita (sodba z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 88).
45 Sodišče je poleg tega pojasnilo, da je treba v okviru presoje pogojev za uporabo teh določb med drugim preizkusiti, ali ima posameznik, na katerega se nanašajo osebni podatki, pravico, da informacija, ki se nanj nanaša, zdaj ni več povezana z njegovim imenom prek seznama zadetkov, ki se prikaže po iskanju, opravljenem na podlagi njegovega imena, pri čemer ugotovitev obstoja take pravice ni odvisna od tega, da vključitev zadevne informacije na seznam zadetkov temu posamezniku povzroča škodo. Ker lahko posameznik, na katerega se nanašajo osebni podatki, v skladu s temeljnimi pravicami, ki jih ima na podlagi členov 7 in 8 Listine, zahteva, da zadevna informacija ni več na voljo splošni javnosti prek vključitve na tak seznam zadetkov, imajo te pravice načeloma prednost ne le nad gospodarskim interesom upravljavca iskalnika, ampak tudi nad interesom te javnosti, da do navedene informacije dostopi z iskanjem na podlagi imena tega posameznika. Vendar ne bi bilo tako, če bi se izkazalo, da je iz posebnih razlogov, kot je vloga navedene osebe v javnem življenju, poseg v njene temeljne pravice upravičen zaradi prevladujočega interesa navedene javnosti, da ima prek te vključitve dostop do zadevne informacije (sodba z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 99).
46 Uredba 2016/679 to pravico posameznika, na katerega se nanašajo osebni podatki, do odstranitve povezav vsebuje v členu 17, ki posebej ureja „pravico do izbrisa“, ki je v naslovu tega člena imenovana tudi „pravica do pozabe“.
47 Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi člena 17(1) Uredbe 2016/679 pravico doseči, da upravljavec brez nepotrebnega odlašanja te podatke izbriše, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od razlogov, naštetih v tej določbi. Člen 17(3) te uredbe določa, da se ta člen 17(1) ne uporablja, če je obdelava potrebna iz katerega od razlogov, ki so našteti v prvonavadeni določbi. Ti razlogi se na podlagi člena 17(3)(a) navedene uredbe med drugim nanašajo na uresničevanje pravice spletnih uporabnikov do svobode obveščanja.
48 Iz člena 4(1)(a) Direktive 95/46 in člena 3(1) Uredbe 2016/679 izhaja, da ta direktiva in ta uredba posameznikom, na katere se nanašajo osebni podatki, omogočata, da svojo pravico do odstranitve povezav uveljavljajo proti upravljavcu iskalnika, ki ima na ozemlju Unije eno ali več poslovnih enot, v okviru dejavnosti katerih obdeluje osebne podatke, ki se nanašajo na te posameznike, in to ne glede na to, ali ta obdelava poteka v Uniji ali ne.
49 V zvezi s tem je Sodišče presodilo, da se obdelava osebnih podatkov izvaja v okviru dejavnosti poslovne enote upravljavca na ozemlju države članice, če upravljavec iskalnika v eni od držav članic ustanovi podružnico ali hčerinsko družbo, ki se ukvarja s trženjem in prodajo oglasnega prostora na iskalniku, katerega dejavnost je usmerjena k prebivalcem te države članice (sodba z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 60).
50 V takih okoliščinah so namreč dejavnosti upravljavca iskalnika in dejavnosti njegove poslovne enote v Uniji neločljivo povezane, ker so dejavnosti, ki se nanašajo na oglasni prostor, sredstvo, s katerim iskalnik postane donosen, in ker je hkrati ta iskalnik sredstvo, ki omogoča opravljanje teh dejavnosti, saj je prikazu zadetkov na isti strani dodan prikaz oglasov, povezanih z iskanimi izrazi (sodba z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točki 56 in 57).
51 V teh razmerah okoliščina, da ta iskalnik upravlja podjetje iz tretje države, ne more učinkovati tako, da za obdelavo osebnih podatkov, ki se opravlja za delovanje tega iskalnika v okviru oglaševalske in poslovne dejavnosti poslovne enote, ki jo ima oseba, odgovorna za to obdelavo, na ozemlju države članice, ne bi veljale obveznosti in varovalke, določene v Direktivi 95/46 in Uredbi 2016/679 (glej v tem smislu sodbo z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 58).
52 V obravnavanem primeru je iz navedb v predložitveni odločbi razvidno, prvič, da poslovna enota, ki jo ima družba Google na francoskem ozemlju, opravlja dejavnosti, med drugim poslovne in oglaševalske, ki so neločljivo povezane z obdelavo osebnih podatkov, ki se izvaja za potrebe delovanja iskalnika, in drugič, da je treba ob upoštevanju, med drugim, povezav med različnimi nacionalnimi različicami tega iskalnika šteti, da ta iskalnik opravlja le eno obdelavo osebnih podatkov. Predložitveno sodišče meni, da se v teh okoliščinah ta obdelava izvaja v okviru poslovne enote družbe Google na francoskem ozemlju. Tako je treba ugotoviti, da tak položaj spada na ozemeljsko področje uporabe Direktive 95/46 in Uredbe 2016/679.
53 Predložitveno sodišče želi s svojimi vprašanji izvedeti, kakšno ozemeljsko področje uporabe je treba v takem položaju dodeliti odstranitvi povezav.
54 V zvezi s tem iz uvodne izjave 10 Direktive 95/46 ter uvodnih izjav 10, 11 in 13 Uredbe 2016/679, ki je bila sprejeta na podlagi člena 16 PDEU, izhaja, da je cilj te direktive in te uredbe zagotoviti visoko raven varstva osebnih podatkov v celotni Uniji.
55 Z odstranitvijo povezav na vseh različicah iskalnika je sicer ta cilj v celoti izpolnjen.
56 Splet je namreč globalno omrežje brez meja in iskalniki informacijam in povezavam, vsebovanim na seznamu zadetkov, ki se prikaže pri iskanju na podlagi imena fizične osebe, zagotavljajo vsenavzočnost (glej v tem smislu sodbi z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 80, in z dne 17. oktobra 2017, Bolagsupplysningen in Ilsjan, C‑194/16, EU:C:2017:766, točka 48).
57 V globaliziranem svetu ima lahko dostop spletnih uporabnikov, med drugim tistih, ki so zunaj Unije, do povezave, ki napotuje na informacije o osebi, katere središče interesov je v Uniji, za to osebo takojšnje in znatne učinke znotraj Unije.
58 Na podlagi takih ugotovitev je mogoče upravičiti pristojnost zakonodajalca Unije za določitev obveznosti upravljavca iskalnika, da v primeru, v katerem ugodi zahtevi za odstranitev povezav, ki jo vloži taka oseba, povezave odstrani na vseh različicah svojega iskalnika.
59 Glede na to je treba poudariti, da številne tretje države ne poznajo pravice do odstranitve povezav ali pa so sprejele drugačen pristop k tej pravici.
60 Poleg tega pravica do varstva osebnih podatkov ni absolutna pravica, temveč jo je treba v skladu z načelom sorazmernosti obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami (glej v tem smislu sodbo z dne 9. novembra 2010, Volker und Markus Schecke in Eifert, C‑92/09 in C‑93/09, EU:C:2010:662, točka 48, in mnenje 1/15 (Sporazum PNR med EU in Kanado) z dne 26. julija 2017, EU:C:2017:592, točka 136). K temu je treba dodati dejstvo, da se ravnotežje med pravico do spoštovanja zasebnega življenja in pravico do varstva osebnih podatkov na eni strani ter svobodo obveščanja spletnih uporabnikov na drugi strani po svetu lahko zelo razlikuje.
61 Zakonodajalec Unije je v členu 17(3)(a) Uredbe 2016/679 na ravni Unije sicer uravnotežil to pravico in to svobodo (glej v tem smislu današnjo sodbo GC in drugi (Odstranitev povezav do občutljivih podatkov), C‑136/17, točka 59), vendar je treba ugotoviti, da takega uravnoteženja v zvezi z obsegom pravice do odstranitve povezav zunaj Unije doslej ni opravil.
62 Natančneje, iz besedila člena 12(b) in člena 14, prvi odstavek, točka (a), Direktive 95/46 ali člena 17 Uredbe 2016/679 nikakor ne izhaja, da se je zakonodajalec Unije za zagotovitev uresničevanja cilja, navedenega v točki 54 te sodbe, odločil pravicam iz teh določb podeliti veljavnost, ki presega ozemlje držav članic, in da je nameraval gospodarskemu subjektu, za katerega se, tako kot za družbo Google, uporabljata ta direktiva ali ta uredba, naložiti obveznost odstranitve povezav, ki se nanaša tudi na nacionalne različice njegovega iskalnika za države, ki niso države članice.
63 Poleg tega, čeprav Uredba 2016/679 v členih 56 in od 60 do 66 nadzornim organom držav članic zagotavlja instrumente in mehanizme, ki jim po potrebi omogočajo sodelovanje za dosego skupne odločitve, ki temelji na tehtanju pravice posameznika, na katerega se nanašajo osebni podatki, do spoštovanja njegovega zasebnega življenja in do varstva njegovih osebnih podatkov na eni strani ter interesa javnosti iz različnih držav članic, da ima dostop do informacij, na drugi strani, pa v pravu Unije, kar zadeva obseg odstranitve povezav zunaj Unije, trenutno niso določeni taki instrumenti in mehanizmi sodelovanja.
64 Iz tega sledi, da v sedanjem stanju upravljavec iskalnika, ki ugodi zahtevi za odstranitev povezav, ki jo je podal posameznik, na katerega se nanašajo osebni podatki – po potrebi na podlagi odredbe nadzornega ali sodnega organa države članice – na podlagi prava Unije nima obveznosti, da bi povezave odstranil na vseh različicah svojega iskalnika.
65 Ob upoštevanju vseh teh ugotovitev upravljavec iskalnika na podlagi člena 12(b) in člena 14, prvi odstavek, točka (a), Direktive 95/46 ter člena 17(1) Uredbe 2016/679 nima obveznosti, da bi povezave odstranil na vseh različicah svojega iskalnika.
66 V zvezi z vprašanjem, ali je treba tako odstranitev povezav opraviti na različicah iskalnika, ki ustrezajo vsem državam članicam, ali le na različici iskalnika, ki ustreza državi članici, v kateri ima upravičenec do odstranitve povezav prebivališče, je treba ugotoviti, da iz dejstva, da se je zakonodajalec Unije odločil, da bodo odslej pravila na področju varstva podatka določena z uredbo, ki se neposredno uporablja v vseh državah članicah, in sicer – kot je poudarjeno v uvodni izjavi 10 Uredbe 2016/679 – za to, da se zagotovi dosledna in visoka raven varstva v vsej Uniji ter da se odpravijo ovire za prenos podatkov znotraj Unije, izhaja, da je mišljeno, da se sporna odstranitev povezav izvede za vse države članice.
67 Vendar pa je treba ugotoviti, da se lahko interes javnosti za dostop do neke informacije tudi znotraj Unije razlikuje od ene države članice do druge, tako da rezultat tehtanja, ki ga je treba opraviti med tem interesom na eni strani ter pravicami do spoštovanja zasebnega življenja in do varstva osebnih podatkov posameznika, na katerega se ti podatki nanašajo, na drugi strani, ni nujno enak za vse države članice, in sicer še toliko bolj, ker je na podlagi člena 9 Direktive 95/46 in člena 85 Uredbe 2016/679 naloga držav članic, da med drugim pri obdelavi izključno v novinarske namene ali zaradi umetniškega ali književnega izražanja določijo izjeme in odstopanja, ki so potrebna za uskladitev teh pravic – med drugim – s svobodo obveščanja.
68 Zlasti iz členov 56 in 60 Uredbe 2016/679 je razvidno, da morajo pri čezmejni obdelavi osebnih podatkov v smislu člena 4, točka 23, te uredbe ob upoštevanju njenega člena 56(2) različni zadevni nacionalni nadzorni organi sodelovati v skladu s postopkom, določenim v teh določbah, za doseganje soglasja in izdaje enotne odločbe, ki zavezuje vse te organe in katere spoštovanje mora upravljavec podatkov zagotoviti glede dejavnosti obdelave podatkov v okviru vseh svojih poslovnih enot v Uniji. Poleg tega člen 61(1) Uredbe 2016/679 nadzornim organom nalaga, da si med drugim sporočajo koristne informacije in si medsebojno pomagajo za skladno izvajanje in uporabo te uredbe v vsej Uniji, člen 63 navedene uredbe pa določa, da je temu namenjen mehanizem za skladnost iz členov 64 in 65 te uredbe. Nazadnje, nujni postopek iz člena 66 Uredbe 2016/679 v izjemnih okoliščinah, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, omogoča, da se brez odlašanja sprejmejo začasni ukrepi, katerih namen je doseči pravne učinke na ozemlju, na katerem ta organ deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev.
69 Ta regulativni okvir tako nacionalnim nadzornim organom zagotavlja instrumente in mehanizme, ki so potrebni za uskladitev pravic do spoštovanja zasebnega življenja in do varstva osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, z interesom celotne javnosti držav članic, da dostopa do zadevnih informacij, in tako za to, da se lahko po potrebi sprejme odločba, s katero se naloži odstranitev povezav za vsa iskanja, ki se na podlagi imena tega posameznika opravijo na ozemlju Unije.
70 Upravljavec iskalnika mora poleg tega po potrebi sprejeti dovolj učinkovite ukrepe za zagotovitev učinkovitega varstva temeljnih pravic posameznika, na katerega se nanašajo osebni podatki. Ti ukrepi morajo izpolnjevati vse zakonske zahteve, njihov učinek pa mora biti tak, da se spletnim uporabnikom v državah članicah prepreči ali so vsaj resno odvrnjeni od tega, da bi z iskanjem na podlagi imena tega posameznika dostopali do zadevnih povezav (glej po analogiji sodbi z dne 27. marca 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, točka 62, in z dne 15. septembra 2016, Mc Fadden, C‑484/14, EU:C:2016:689, točka 96).
71 Predložitveno sodišče mora preveriti, ali ukrepi, ki jih je družba Google sprejela ali jih predlaga – tudi ob upoštevanju nedavnih sprememb svojega iskalnika, ki so navedene v točki 42 te sodbe – izpolnjujejo te zahteve.
72 Nazadnje je treba poudariti, kot je bilo navedeno v točki 64 te sodbe, da pravo Unije v sedanjem stanju sicer ne vsebuje obveznosti, da je treba v primeru ugoditve zahtevi za odstranitev povezav povezave odstraniti na vseh različicah zadevnega iskalnika, vendar pa tega tudi ne prepoveduje. Zato so nadzorni ali sodni organi držav članic še naprej pristojni, da na podlagi nacionalnih standardov varstva temeljnih pravic (glej v tem smislu sodbi z dne 26. februarja 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, točka 29, in z dne 26. februarja 2013, Melloni, C‑399/11, EU:C:2013:107, točka 60) opravijo tehtanje med pravico posameznika, na katerega se nanašajo osebni podatki, do spoštovanja njegovega zasebnega življenja in do varstva njegovih osebnih podatkov na eni strani ter svobodo obveščanja na drugi strani in da na koncu tega tehtanja upravljavcu tega iskalnika po potrebi odredijo, naj odstrani povezave na vseh različicah tega iskalnika.
73 Glede na navedeno je treba na postavljena vprašanja odgovoriti, da je treba člen 12(b) in člen 14, prvi odstavek, točka (a), Direktive 95/46 ter člen 17(1) Uredbe 2016/679 razlagati tako, da upravljavcu iskalnika, ki na podlagi teh določb ugodi zahtevi za odstranitev povezav, povezav ni treba odstraniti na vseh različicah svojega iskalnika, ampak jih mora odstraniti na različicah svojega iskalnika, ki ustrezajo vsem državam članicam, ob tem pa mora po potrebi sprejeti ukrepe, ki izpolnjujejo zakonske zahteve in hkrati spletnim uporabnikom dejansko preprečujejo ali jih vsaj resno odvračajo od tega, da bi z iskanjem na podlagi imena posameznika, na katerega se nanašajo osebni podatki, opravljenim iz kake od držav članic, prek seznama zadetkov, ki se prikaže na podlagi tega iskanja, dostopali do povezav, ki so predmet te zahteve.
Stroški
74 Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški, priglašeni za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (veliki senat) razsodilo:
Člen 12(b) in člen 14, prvi odstavek, točka (a), Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter člen 17(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46 (Splošna uredba o varstvu podatkov) je treba razlagati tako, da upravljavcu iskalnika, ki na podlagi teh določb ugodi zahtevi za odstranitev povezav, povezav ni treba odstraniti na vseh različicah svojega iskalnika, ampak jih mora odstraniti na različicah svojega iskalnika, ki ustrezajo vsem državam članicam, ob tem pa mora po potrebi sprejeti ukrepe, ki izpolnjujejo zakonske zahteve in hkrati spletnim uporabnikom dejansko preprečujejo ali jih vsaj resno odvračajo od tega, da bi z iskanjem na podlagi imena posameznika, na katerega se nanašajo osebni podatki, opravljenim iz kake od držav članic, prek seznama zadetkov, ki se prikaže na podlagi tega iskanja, dostopali do povezav, ki so predmet te zahteve.
Podpisi