SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
ATHANASIOSA RANTOSA,
predstavljeni 20. septembra 2022(1)
Zadeva C‑252/21
Meta Platforms Inc., nekdanja Facebook Inc.,
Meta Platforms Ireland Limited, nekdanja Facebook Ireland Ltd.,
Facebook Deutschland GmbH
proti
Bundeskartellamt,
ob udeležbi
Verbraucherzentrale Bundesverband e.V.
(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija))
„Predhodno odločanje – Uredba (EU) 2016/679 – Varstvo posameznikov pri obdelavi osebnih podatkov – Družbena omrežja – Člen 4, točka 11 – Pojem ‚privolitve‘ posameznika, na katerega se nanašajo osebni podatki – Privolitev, dana podjetju upravljavcu s prevladujočim položajem – Člen 6(1), od (b) do (f) – Zakonitost obdelave – Obdelava, potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba – Obdelava, potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe ali za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu – Člen 9(1) in člen 9(2)(e) – Posebne vrste osebnih podatkov – Osebni podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi – Členi od 51 do 66 – Pristojnosti nacionalnega organa za varstvo konkurence – Povezava s pristojnostmi nadzornih organov za varstvo osebnih podatkov – Sprejetje ukrepov na podlagi konkurenčnega prava s strani organa, ki ima sedež v drugi državi članici kot vodilni nadzorni organ za varstvo podatkov“
Uvod
1. Ta predlog za sprejetje predhodne odločbe je vložilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija) v okviru spora med družbami skupine Meta Platforms(2) in Bundeskartellamt (zvezni urad za varstvo konkurence, Nemčija) v zvezi s sklepom, s katerim je zadnjenavedeni pritožnici v postopku v glavni stvari prepovedal obdelavo podatkov, določeno v pogojih za uporabo storitev njenega družbenega omrežja Facebook, in izvajanje teh pogojev za uporabo storitev ter naložil ukrepe za prenehanje teh dejavnosti.(3)
2. Vprašanja za predhodno odločanje se v bistvu nanašajo, po eni strani, na pristojnost nacionalnega organa za varstvo konkurence, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), da primarno ali posredno preuči ravnanje podjetja glede na nekatere določbe Uredbe (EU) 2016/679,(4) in, po drugi strani, na razlago teh določb, zlasti glede obdelave občutljivih osebnih podatkov, upoštevnih pogojev za zakonitost obdelave osebnih podatkov in izraza prostovoljne privolitve v razmerju do podjetja s prevladujočim položajem.
Pravni okvir
Pravo Unije
3. Člen 4 GDPR določa:
„V tej uredbi:
[…]
(11) ‚privolitev‘ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;
[…]“.
4. Člen 6(1) te uredbe, naslovljen „Zakonitost obdelave“, določa:
„Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo [svojih] osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.“
5. Člen 9(1) in (2) navedene uredbe, naslovljen „Obdelava posebnih vrst osebnih podatkov“, določa:
„1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:
(a) posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;
[…]
(e) obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;
[…]“.
6. Člen 51 navedene uredbe, naslovljen „Nadzorni organ“, ki je del njenega poglavja VI, naslovljenega „Neodvisni nadzorni organi“, določa:
„1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji […].
2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.
[…]“.
Nemško pravo
7. Člen 19(1) Gesetz gegen Wettbewerbsbeschränkungen (zakon o preprečevanju omejevanja konkurence, v nadaljevanju: GWB) določa:
„Zloraba pri izkoriščanju prevladujočega položaja na trgu s strani enega ali več podjetij je prepovedana.“(5)
8. Člen 50f GWB določa:
„(1) Organi za varstvo konkurence, regulativni organi, zvezni pooblaščenec za varstvo podatkov in svobodo obveščanja, deželni pooblaščenci za varstvo podatkov ter pristojni organi v smislu člena 2 EU-Verbraucherschutzdurchführungsgesetz [zakon o izvajanju prava Evropske unije o varstvu potrošnikov] si lahko ne glede na izbrani postopek izmenjujejo informacije, vključno z osebnimi podatki ter industrijskimi in poslovnimi skrivnostmi, kolikor je to potrebno za opravljanje njihovih nalog, in te informacije uporabijo v okviru svojih postopkov. […]“.
Spor o glavni stvari, vprašanja za predhodno odločanje in postopek pred Sodiščem
9. Družba Meta Platforms v Evropski uniji upravlja spletno družbeno omrežje „Facebook“ (na naslovu www.facebook.com) in druge storitve na spletu, med katerim sta Instagram in WhatsApp. Poslovni model družbenih omrežij, ki jih upravlja družba Meta Platforms, je v bistvu po eni strani ponudba brezplačnih storitev družbenega omrežja za zasebne uporabnike in po drugi strani prodaja spletnega oglaševanja, ki je prilagojeno posameznim uporabnikom družbenega omrežja in katerega cilj je uporabniku prikazati izdelke in storitve, ki bi ga lahko zanimali, zlasti zaradi njegovega osebnega potrošniškega vedenja, interesov, kupne moči in osebnega položaja. Tehnična podlaga za tako oglaševanje je avtomatizirana vzpostavitev zelo podrobnih profilov uporabnikov omrežja in spletnih storitev, ki se ponujajo na ravni skupine.(6)
10. Družba Meta Platforms se za namen zbiranja in obdelave podatkov uporabnikov opira na pogodbo o uporabi, ki jo je sklenila s svojimi uporabniki s klikom na polje „Registracija“, s katerim se navedeni uporabniki tako strinjajo s Facebookovimi pogoji za uporabo storitev. Strinjanje s temi pogoji za uporabo storitev je bistveni pogoj za uporabo družbenega omrežja Facebook.(7) Bistvo obravnavane zadeve se nanaša na prakso, ki zajema, prvič, zbiranje podatkov iz drugih storitev, ki jih zagotavlja skupina, ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov ali prek piškotkov, nameščenih na računalniku ali mobilni terminalni opremi uporabnika, drugič, povezovanje teh podatkov s Facebookovim računom zadevnega uporabnika in, tretjič, uporabo navedenih podatkov (v nadaljevanju: sporna praksa).
11. Bundeskartellamt (zvezni urad za varstvo konkurence) je proti družbi Meta Platforms začel postopek, po katerem ji je s spornim sklepom prepovedal obdelavo podatkov, določeno v pogojih za uporabo storitev Facebooka, in izvajanje teh pogojev ter ji naložil ukrepe za prenehanje teh dejavnosti. Bundeskartellamt (zvezni urad za varstvo konkurence) je svoj sklep obrazložil zlasti z dejstvom, da zadevna obdelava pomeni zlorabo prevladujočega položaja te družbe na trgu družbenih omrežij za zasebne uporabnike v Nemčiji v smislu člena 19 GWB.(8)
12. Družba Meta Platforms je 11. februarja 2019 zoper sporni sklep vložila tožbo pri Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu),(9) tj. predložitvenem sodišču, ki v bistvu dvomi, po eni strani, glede možnosti nacionalnih organov za varstvo konkurenco, da nadzirajo skladnost obdelave podatkov z zahtevami iz GDPR ter ugotovijo in kaznujejo kršitev njenih določb, ter, po drugi strani, glede razlage in uporabe nekaterih določb te uredbe.
13. V teh okoliščinah je Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. (a) Ali je združljivo s členom 51 [GDPR] in naslednjimi, če nacionalni organ za varstvo konkurence, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), ki ni nadzorni organ v smislu člena 51 GDPR in naslednjih in ki je v državi, kjer ima podjetje s sedežem zunaj Evropske unije ‚podružnico‘, ki na področju oglaševanja, komunikacije in promocije podpira ‚glavno poslovno enoto‘ tega podjetja, ki ima sedež v drugi državi članici in ki je izključno odgovorna za obdelavo osebnih podatkov za celotno ozemlje Evropske unije, v okviru nadzora kršitev pravil konkurenčnega prava ugotovi, da ‚glavni sedež‘ s pogodbenimi pogoji, ki se nanašajo na obdelavo podatkov, in njihovim izvajanjem krši GDPR ter izda odredbo za prenehanje te kršitve?
(b) Če je odgovor pritrdilen: Ali je združljivo s členom 4(3) PEU, če vodilni nadzorni organ v državi članici ‚glavnega sedeža‘ v smislu člena 56(1) GDPR hkrati vodi postopek preiskave njenih pogodbenih pogojev, ki se nanašajo na obdelavo podatkov?
Če je odgovor na prvo vprašanje pritrdilen:
2. (a) Ali gre potem – v primeru, ko internetni uporabnik spletna mesta ali aplikacije, ki so povezane z merili iz člena 9(1) GDPR, kot so na primer aplikacije za zmenke, platforme za iskanje istospolnih partnerjev, spletna mesta političnih strank ali z zdravjem povezana spletna mesta, zgolj obišče ali vanje vnese tudi podatke, recimo pri registraciji ali naročilih, neko drugo podjetje, kot je Facebook Ireland, pa prek vmesnikov, vključenih v ta spletna mesta in aplikacije, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika, zbira podatke o uporabnikovih obiskih spletnih mest in aplikacij ter o vanje vnesenih uporabnikovih podatkih, jih povezuje s podatki uporabnikovega računa [Facebook] in uporablja – pri tem zbiranju in/ali povezovanju in/ali uporabi za obdelavo občutljivih [osebnih] podatkov v smislu navedene določbe?
(b) Če je odgovor pritrdilen: Ali obisk teh spletnih mest in aplikacij in/ali vnos podatkov in/ali klik na polja, ki jih ponudnik, kot je Facebook Ireland, vključi v ta spletna mesta ali aplikacije (‚družbeni vtičniki‘, kot je ‚Všeč mi je‘, ‚Deli z drugimi‘ oziroma ‚Facebook Login‘ ali ‚Account Kit‘) pomeni, da uporabnik podatke o obisku kot takem in/ali vnesene podatke sam objavi v smislu člena 9(2)(e) GDPR?
3. Ali lahko podjetje, kot je Facebook Ireland, ki upravlja digitalno družbeno omrežje, financirano z oglasi, in v svojih pogojih za uporabo storitev ponuja personalizacijo vsebin in oglaševanja, varnost omrežja, izboljševanje proizvodov ter dosledno in nemoteno uporabo vseh koncernovih proizvodov, v utemeljitev navede potrebnost za izvajanje pogodbe v smislu člena 6(1)(b) GDPR ali upoštevanje zakonitih interesov v smislu člena 6(1)(f) GDPR, če v te namene z uporabnikovim računom [Facebook] povezuje in uporablja podatke, zbrane iz drugih koncernovih storitev ter prek vmesnikov, vključenih v tretja spletna mesta in aplikacije, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika?
4. Ali so lahko v takem primeru tudi
– mladoletnost uporabnika za personalizacijo vsebin in trženja, izboljševanje proizvoda, varnost omrežja in netrženjska komunikacija z uporabnikom,
– zagotavljanje meritev, analitičnih podatkov in drugih poslovnih storitev za oglaševalce, razvijalce in druge partnerje, da lahko ti ocenijo in izboljšajo svoje storitve,
– zagotavljanje trženjske komunikacije z uporabnikom, da lahko podjetje izboljša svoje proizvode in izvaja neposredno trženje,
– raziskave in inovacije za družbeno korist, da se izboljša stanje tehnike oziroma znanstveno razumevanje pomembnih družbenih tem ter pozitivno vpliva na družbo in svet,
– informiranje organov kazenskega pregona in izvršilnih organov ter odgovarjanje na poizvedbe, ki temeljijo na neki pravni podlagi, zaradi preprečevanja, odkrivanja in pregona kaznivih dejanj, nezakonite uporabe, kršitev pogojev za uporabo storitev in pravilnikov ter drugih škodljivih načinov vedenja,
zakoniti interesi v smislu člena 6(1)(f) GDPR, če podjetje v navedene namene z uporabnikovim računom [Facebook] povezuje in uporablja podatke, zbrane iz drugih koncernovih storitev ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika?
5. Ali so lahko v takem primeru zbiranje podatkov iz drugih koncernovih storitev ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika, povezovanje z uporabnikovim računom [Facebook] in uporaba oziroma uporaba že drugje zakonito zbranih in povezanih podatkov v posamičnem primeru utemeljeni tudi na podlagi člena 6(1)(c), (d) in (e) GDPR, na primer, da bi se lahko odgovorilo na poizvedbo po določenih podatkih, ki temelji na neki pravni podlagi (točka (c)), preprečilo škodljivo vedenje in okrepilo varnost (točka (d)), opravljalo raziskave v družbeno koristne namene ter spodbujalo zaščito, integriteto in varnost (točka (e))?
6. Ali je v razmerju do podjetja, ki ima prevladujoč položaj na trgu, kot je Facebook Ireland, mogoče dati učinkovito – zlasti prostovoljno, kot določa člen 4, točka 11, GDPR – privolitev v smislu člena 6(1)(a) in člena 9(2)(a) GDPR?
Če je odgovor na prvo vprašanje nikalen:
7. (a) Ali lahko nacionalni organ za varstvo konkurence države članice, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), ki ni nadzorni organ v smislu člena 51 GDPR in naslednjih in ki preiskuje kršitev nekega podjetja s prevladujočim položajem na trgu zoper prepoved zlorabe na področju konkurenčnega prava – pri kateri ne gre za vprašanje, ali se s pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in z izvajanjem teh pogojev krši GDPR – na primer v okviru presoje uravnoteženosti interesov sprejme ugotovitve v zvezi s tem, ali so pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in njihovo izvajanje skladni z GDPR?
(b) Če je odgovor pritrdilen: Ali ob upoštevanju člena 4(3) PEU to velja tudi takrat, kadar pristojni vodilni nadzorni organ iz člena 56(1) GDPR istočasno vodi postopek preiskave v zvezi s pogoji tega podjetja, ki se nanašajo na obdelavo podatkov?
Če je odgovor na sedmo vprašanje pritrdilen, je potreben odgovor na tretje, četrto in peto vprašanje v zvezi s podatki, ki izhajajo iz uporabe koncernove storitve Instagram.“
14. Pisna stališča so predložili družba Meta Platforms, nemška, češka, italijanska in avstrijska vlada, Bundeskartellamt (zvezni urad za varstvo konkurence), Verbraucherzentrale Bundesverband e.V. (združenje potrošnikov, Nemčija) in Evropska komisija. Te stranke so na obravnavi 10. maja 2022 tudi ustno predstavile stališča.
Analiza
15. Vprašanja za predhodno odločanje, ki so predmet te zadeve in se nanašajo na razlago več določb GDPR, se v bistvu nanašajo, prvič, na pristojnost organa za varstvo konkurence za ugotovitev in sankcioniranje kršitve pravil o obdelavi osebnih podatkov ter njegove obveznosti sodelovanja z vodilnim organom v smislu GDPR (prvo in sedmo vprašanje za predhodno odločanje), drugič, na prepoved obdelave občutljivih osebnih podatkov in pogoje za privolitev v njihovo uporabo (drugo vprašanje za predhodno odločanje), tretjič, na zakonitost obdelave osebnih podatkov glede na nekatere utemeljitve (tretje, četrto in peto vprašanje za predhodno odločanje) in, četrtič, na veljavnost privolitve v obdelavo osebnih podatkov, podeljene podjetju s prevladujočim položajem (šesto vprašanje za predhodno odločanje).
16. V naslednjih točkah bom najprej obravnaval prvo in sedmo vprašanje za predhodno odločanje in nato druga vprašanja za predhodno odločanje v vrstnem redu, v katerem so bila postavljena, pri čemer bom združil tretje, četrto in peto vprašanje za predhodno odločanje.
Prvo vprašanje za predhodno odločanje
17. Predložitveno sodišče s prvim vprašanjem za predhodno odločanje v bistvu sprašuje, ali se lahko organ za varstvo konkurenco, kadar preganja kršitve pravil o konkurenci, po eni strani, primarno izreče(10) o kršitvi pravil GDPR v zvezi z obdelavo podatkov s strani podjetja, katerega glavni sedež, ki je izključno odgovoren za obdelavo osebnih podatkov za celotno Unijo, se nahaja v drugi državi članici, in, po drugi strani, odredi prenehanje te kršitve (prvo vprašanje, točka (a)), ter, če je odgovor pritrdilen, ali lahko vodilni nadzorni organ, pristojen na podlagi člena 56(1) GDPR, še vedno odredi izvedbo postopka preučitve pogojev obdelave podatkov tega podjetja (prvo vprašanje, točka (b)).
18. Vendar se mi zdi, da – kar mora sicer preveriti predložitveno sodišče – Bundeskartellamt (zvezni urad za varstvo konkurence) v spornem sklepu ni sankcioniral kršitve GDPR s strani družbe Meta Platforms, temveč je zgolj za namene uporabe pravil o konkurenci izvedel preizkus zatrjevane kršitve prepovedi zlorabe prevladujočega položaja s strani te družbe, pri čemer je med drugim upošteval neskladnost ravnanja tega podjetja z določbami GDPR.
19. Zato menim, da je prvo vprašanje, točka (a), v delu, v katerem se nanaša na možnost, da se organ za varstvo konkurence primarno izreče o kršitvi pravil GDPR in odredi prenehanje te kršitve v smislu te uredbe, brezpredmetno.(11)
20. Iz tega sledi, da je tudi prvo vprašanje, točka (b), ki je odvisno od pritrdilnega odgovora na prvo vprašanje, točka (a), brezpredmetno.(12)
Sedmo vprašanje za predhodno odločanje
21. Predložitveno sodišče s sedmim vprašanjem za predhodno odločanje v bistvu sprašuje, ali lahko organ za varstvo konkurence, kadar preganja kršitve pravil o konkurenci, posredno ugotovi,(13) ali so pogoji za obdelavo podatkov in njihovo izvajanje skladni z GDPR (sedmo vprašanje, točka (a)), ter, če je odgovor pritrdilen, ali je preizkus organa za varstvo konkurence mogoč tudi, kadar so ti pogoji hkrati predmet postopka preiskave pristojnega vodilnega nadzornega organa (sedmo vprašanje, točka (b)).
22. Glede, na prvem mestu, sedmega vprašanja, točka (a), se mi zdi, da če organ za varstvo konkurence ni pristojen za ugotovitev kršitve GDPR,(14) zadnjenavedena načeloma ne nasprotuje temu, da lahko drugi organi, ki niso nadzorni organi, pri izvajanju svojih pristojnosti in pooblastil posredno upoštevajo združljivost ravnanja z določbami GDPR. To po mojem mnenju velja zlasti v zvezi s tem, da organ za varstvo konkurence izvaja pooblastila, ki so mu podeljena s členom 102 PDEU in členom 5, prvi odstavek, Uredbe (ES) št. 1/2003(15) ali s katerim koli drugim ustreznim nacionalnim pravilom(16).
23. Organ za varstvo konkurence mora namreč pri izvajanju svojih pristojnosti presoditi zlasti, ali obravnavano ravnanje pomeni uporabo drugačnih sredstev od tistih, ki so značilna za konkurenco na podlagi učinkovitosti, ob upoštevanju pravnega in gospodarskega okvira, v katerega se umešča to ravnanje.(17) V zvezi s tem lahko skladnost ali neskladnost navedenega ravnanja z določbami GDPR, ne samo po sebi, ampak ob upoštevanju vseh okoliščin obravnavanega primera, pomeni pomemben indic za ugotovitev, ali to ravnanje pomeni uporabo sredstev, ki so značilna za običajno konkurenco, pri čemer je treba pojasniti, da dejstvo, ali ravnanje pomeni zlorabo ali ne glede na člen 102 PDEU, ne izhaja iz njegove skladnosti ali neskladnosti z GDPR ali drugimi pravnimi pravili.(18)
24. Zato menim, da lahko preučitev zlorabe prevladujočega položaja na trgu upraviči to, da organ za varstvo konkurence razlaga pravila, ki ne spadajo v konkurenčno pravo, kot so pravila GDPR,(19) pri čemer je treba pojasniti, da se taka preučitev opravi posredno(20) in ne prejudicira uporabe te uredbe s strani pristojnih nadzornih organov.(21)
25. Na drugem mestu, glede sedmega vprašanja, točka (b), predložitveno sodišče sprašuje, kakšne so v okviru načela lojalnega sodelovanja iz člena 4(3) PEU obveznosti, ki jih ima glede na vodilni nadzorni organ v smislu GPDR organa za varstvo konkurence, ko razlaga določbe te uredbe in, natančneje, kadar isto ravnanje, kot je tisto, ki ga preučuje organ za varstvo konkurence, preučuje pristojni vodilni nadzorni organ.
26. V obravnavanem primeru preučitev, čeprav posredna, ravnanja podjetja glede na pravila GPDR, ki jo opravi organ za varstvo konkurence, vključuje tveganje različnih ugotovitev tega organa in nadzornih organov glede razlage te uredbe, kar lahko načeloma ogrozi enotno razlago GDPR.(22)
27. Pravo Unije v takem primeru ne določa podrobnih pravil o sodelovanju med organom za varstvo konkurence in nadzornimi organi v smislu GDPR. Natančneje, v obravnavanem primeru se ne uporabljajo niti mehanizem sodelovanja med pristojnimi organi v smislu GDPR pri uporabi te uredbe(23) niti druga natančna pravila o sodelovanju med upravnimi organi, kot so pravila o sodelovanju med organi za varstvo konkurence ter med njimi in Komisijo pri uporabi pravil o konkurenci.(24)
28. Kljub temu mora organ za varstvo konkurenco pri razlagi GDPR upoštevati načelo lojalnega sodelovanja iz člena 4(3) PEU, v skladu s katerim se Unija in države članice, vključno z njihovimi upravnimi organi,(25) medsebojno spoštujejo in si pomagajo pri izpolnjevanju nalog, ki izhajajo iz Pogodb. Zlasti tretji pododstavek navedene določbe določa, da države članice podpirajo Unijo pri izpolnjevanju njenih nalog in se vzdržijo vseh ukrepov, ki bi lahko ogrozili uresničevanje ciljev Unije.(26) Poleg tega mora organ za varstvo konkurence tako kot vsak upravni organ, pristojen za uporabo prava Unije, upoštevati načelo dobrega upravljanja kot splošno načelo prava Unije, ki med drugim vključuje obširno dolžnost skrbnega ravnanja nacionalnih organov.(27)
29. Ker torej ni natančnih pravil o mehanizmih sodelovanja, ki jih mora eventualno sprejeti zakonodajalec Unije, za organ za varstvo konkurence pri razlagi določb GDPR veljajo vsaj obveznosti seznanjanja, obveščanja in sodelovanja v razmerju do pristojnih organov v smislu te uredbe na podlagi nacionalnih pravil, ki urejajo njegove pristojnosti (načelo procesne avtonomije držav članic), ter ob upoštevanju načel enakovrednosti in učinkovitosti.(28)
30. Iz tega po mojem mnenju sledi, da če se je pristojni vodilni nadzorni organ izrekel o uporabi nekaterih določb GDPR v zvezi z enako ali podobno prakso, organ za varstvo konkurenco načeloma ne bo mogel odstopiti od razlage tega organa, ki je edini pristojen za uporabo te uredbe,(29) in bo moral, kolikor je to mogoče in ob upoštevanju zlasti pravice do obrambe posameznikov, na katere se nanašajo osebni podatki, ravnati v skladu z morebitnimi odločbami, ki jih je ta sprejel v zvezi z istim ravnanjem,(30) in se bo v primeru dvomov o razlagi, ki jo je podal pristojni organ, posvetoval z njim ali se bo, po potrebi, če je ta v drugi državi članici, posvetoval z nacionalnim nadzornim organom.(31)
31. Poleg tega mora, če pristojni nadzorni organ ni sprejel odločbe, organ za varstvo konkurence vseeno obvestiti pristojni nadzorni organ(32) in sodelovati z njim, če je ta organ začel preizkus iste prakse ali je izrazil namero, da bo to storil, in po potrebi počakati izid preizkusa, ki ga opravi zadnjenavedeni, preden začne svojo presojo, če je to ustrezno in ne prejudicira med drugim tega, da organ za varstvo konkurence upošteva razumen rok za preiskavo in pravico do obrambe posameznikov, na katere se nanašajo osebni podatki.(33)
32. V obravnavani zadevi se mi zdi, da lahko dejstvo, da je Bundeskartellamt (zvezni urad za varstvo konkurence) vzpostavil sodelovanje z nadzornimi organi, pristojnimi na nacionalni ravni,(34) in tudi neuradno stopil v stik z irskim vodilnim nadzornim organom, tj. dejstvo, ki ga navaja ta urad in ga mora preveriti predložitveno sodišče, zadostuje za ugotovitev, da je ta organ izpolnil svoje obveznosti skrbnega ravnanja in lojalnega sodelovanja.(35)
33. Skratka, predlagam, naj se na sedmo vprašanje za predhodno odločanje odgovori tako, da je treba člene od 51 do 66 GDPR razlagati tako, da lahko organ za varstvo konkurence v okviru svojih pooblastil v smislu pravil o konkurenci posredno preuči skladnost obravnavanih praks s pravili GDPR, pri čemer upošteva vsako odločbo ali preiskavo nadzornega organa, pristojnega na podlagi GDPR, ter o tem obvesti nacionalni nadzorni organ in se po potrebi posvetuje z njim.
Drugo vprašanje za predhodno odločanje
34. Predložitveno sodišče z drugim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 9(1) GDPR razlagati tako, da sporna praksa, kadar se nanaša na obisk tretjih spletnih strani in aplikacij,(36) spada pod obdelavo naštetih(37) občutljivih osebnih podatkov, ki je prepovedana(38) (drugo vprašanje, točka (a)), in če je odgovor pritrdilen, ali je treba člen 9(2)(e) te uredbe razlagati tako, da uporabnik sam objavi v smislu te določbe podatke, ki so bili, po eni strani, razkriti ob obisku spletnih strani in aplikacij ali, po drugi strani, tiste, ki so vneseni na te spletne strani ali v aplikacije ali pridobljeni s klikom na polja, vključena na te spletne strani ali v aplikacije(39) (drugo vprašanje, točka (b)).
35. Glede, na prvem mestu, drugega vprašanja, točka (a), naj opozorim, da je v skladu s členom 9(1) GDPR obdelava občutljivih osebnih podatkov prepovedana. Kot izhaja iz uvodne izjave 51 te uredbe, posebno varstvo teh podatkov temelji na dejstvu, da so ti podatki po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin ter da bi lahko njihova obdelava resno ogrozila te pravice in svoboščine. Poleg tega se mi kljub nekoliko nejasnemu besedilu te določbe(40) ne zdi, kot meni predložitveno sodišče, da uvaja bistveno razliko med osebnimi podatki, ki so občutljivi, ker „razkrivajo“ določeno stanje, in podatki, ki so sami po sebi občutljivi.(41)
36. V obravnavanem primeru je po mojem mnenju očitno, da sporna praksa pomeni obdelavo osebnih podatkov, ki načeloma lahko spada na področje uporabe te določbe in je prepovedana, kadar obdelani podatki „razkrivajo“ enega od občutljivih položajev, navedenih v tej določbi. Zato je treba ugotoviti, ali in v kakšnem obsegu lahko obisk spletnih mest in aplikacij ali vnos podatkov nanje oziroma vanje „razkriva“ enega od občutljivih položajev, navedenih v zadevni določbi.
37. V zvezi s tem dvomim, da je upoštevno (in še vedno mogoče) razlikovati med, na eni strani, preprostim zanimanjem posameznika, na katerega se nanašajo osebni podatki, za nekatere informacije in, na drugi strani, dejstvom, da ta posameznik spada v eno od kategorij, ki jih zajema zadevna določba.(42) Čeprav si stališča strank v postopku v glavni stvari v zvezi s tem nasprotujejo,(43) menim, da je odgovor na to vprašanje mogoče poiskati le za vsak primer posebej in ob upoštevanju vsake od dejavnosti, ki so del sporne prakse.
38. Čeprav, kot poudarja nemška vlada, preprosto zbiranje občutljivih osebnih podatkov, ki se nanašajo na obisk spletnega mesta ali aplikacije, samo po sebi ni nujno obdelava občutljivih osebnih podatkov v smislu te določbe,(44) pa je po drugi strani povezovanje teh podatkov s Facebookovim računom zadevnega uporabnika ali njihova uporaba ravnanje, ki bi lahko pomenilo tako obdelavo. Odločilni element za uporabo člena 9(1) GDPR je po mojem mnenju možnost, da obdelani podatki omogočajo oblikovanje profila uporabnika glede na kategorije, ki izhajajo iz seznama občutljivih osebnih podatkov, ki ga vsebuje ta določba.(45)
39. V tem okviru bi bilo za ugotovitev, ali obdelava podatkov spada na področje uporabe te določbe, morda koristno razlikovati, kjer je to ustrezno, med, na eni strani, obdelavo podatkov, ki jih je mogoče prima facie uvrstiti v kategorijo občutljivih osebnih podatkov, ki sami po sebi omogočajo oblikovanje profila posameznika, na katerega se nanašajo osebni podatki, in, na drugi strani, obdelavo podatkov, ki sami po sebi niso občutljivi, vendar zahtevajo naknadno dejavnost združevanja, da bi se izpeljali verodostojni sklepi za oblikovanje profila posameznika, na katerega se nanašajo osebni podatki.
40. Ob tem je treba pojasniti, da obstoj kategorizacije v smislu te določbe ni odvisen od vprašanja, ali je ta kategorizacija resnična ali pravilna.(46) Kar je pomembno, je možnost, da taka kategorizacija povzroča veliko tveganje za temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, kot je na to opozorjeno v uvodni izjavi 51 GDPR, pri čemer ta možnost ni odvisna od njene resničnosti.
41. Nazadnje, glede predloga predložitvenega sodišča, s katerim želi izvedeti, ali je cilj uporabe upošteven za zadevno presojo,(47) v nasprotju s tem, kar trdi tožeča stranka v postopku v glavni stvari, menim, da se načeloma ne zahteva, da upravljavec obdeluje te podatke „ob zavedanju in z namenom, da iz tega neposredno izpelje določene vrste informacij“. Cilj zadevne določbe je namreč v bistvu objektivno preprečiti znatna tveganja za temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki jih povzroča obdelava občutljivih osebnih podatkov, neodvisno od kakršnega koli subjektivnega elementa, kot je namen upravljavca.
42. Na drugem mestu, glede drugega vprašanja, točka (b), naj opozorim, da se v skladu s členom 9(2)(e) GDPR prepoved obdelave občutljivih osebnih podatkov ne uporablja, če je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi. Poleg tega je zaradi sklicevanja v besedilu te določbe na zaimek „sam“ in dejstva, da navedena določba pomeni izjemo od načela prepovedi obdelave občutljivih osebnih podatkov,(48) potrebna posebej stroga uporaba te izjeme zaradi znatnih tveganj za temeljne pravice in temeljne svoboščine posameznikov, na katere se nanašajo osebni podatki.(49) Da bi se lahko ta izjema uporabila, se mora uporabnik po mojem mnenju popolnoma zavedati, da z izrecnim dejanjem(50) objavlja osebne podatke.(51)
43. V obravnavani zadevi se mi zdi, da ravnanja, ki vključuje obisk spletnih mest in aplikacij, vnos podatkov na ta spletna mesta in v te aplikacije ter klik na polja, vključena vanje, načeloma ni mogoče enačiti z ravnanjem, s katerim uporabnik sam objavi občutljive osebne podatke v smislu člena 9(2)(e) GDPR.
44. Natančneje, ugotavljam, da z obiskom spletnih mest in aplikacij podatki o obisku načeloma postanejo dostopni samo upravljavcu zadevne spletne strani ali aplikacije in tretjim osebam, ki jim ta te informacije posreduje, kot je tožeča stranka v postopku v glavni stvari.(52) Prav tako, če bi posameznik, na katerega se nanašajo osebni podatki, z vnosom podatkov na spletna mesta in v aplikacije lahko neposredno in prostovoljno posredoval informacije o nekaterih občutljivih osebnih podatkih, ugotavljam tudi, da so te informacije dostopne le upravljavcu zadevnega spletnega mesta ali aplikacije in tretjim osebam, ki jim ta te informacije posreduje. Zato izključujem možnost, da bi takšno ravnanje lahko dokazovalo željo, da se ti podatki dajo na voljo skupnosti.(53) Poleg tega, čeprav je očitno, da posameznik, na katerega se nanašajo osebni podatki, s klikom na polja, vključena na spletna mesta ali v aplikacije,(54) jasno izrazi željo po deljenju nekaterih informacij z javnostjo zunaj zadevnega spletnega mesta ali aplikacije, menim, da se, kot poudarja Bundeskartellamt (zvezni urad za varstvo konkurence), zadevna oseba s tem ravnanjem zaveda, da informacije deli z določenim krogom oseb, ki ga pogosto opredeli uporabnik sam,(55) in ne s skupnostjo.(56)
45. Nazadnje, glede upoštevnosti morebitne privolitve uporabnika v smislu člena 5(3) Direktive 2002/58 za zbiranje osebnih podatkov s piškotki ali podobnimi tehnologijami, ki jo navaja predložitveno sodišče, menim, da ta privolitev glede na njen poseben cilj sama po sebi ne more upravičiti obdelave občutljivih osebnih podatkov, zbranih s temi sredstvi.(57) Navedena privolitev, ki je potrebna za namestitev tehničnega sredstva za zajemanje določenih dejavnosti uporabnika,(58) se namreč ne nanaša na obdelavo občutljivih osebnih podatkov in je ni mogoče enačiti z željo, da te podatke sam objavi v smislu člena 9(2)(e) GDPR.(59)
46. Skratka, predlagam, naj se na drugo vprašanje za predhodno odločanje odgovori, da je treba, po eni strani, člen 9(1) GDPR razlagati tako, da lahko prepoved obdelave občutljivih osebnih podatkov vključuje obdelavo podatkov, ki jo opravi upravljavec spletnega družbenega omrežja in ki zajema zbiranje podatkov uporabnika, ko obišče druga spletna mesta ali aplikacije ali vanje vnese te podatke, povezovanje navedenih podatkov z računom uporabnika družbenega omrežja in njihovo uporabo, če obdelane informacije, obravnavane posamično ali združene, omogočajo oblikovanje profilov uporabnika glede na kategorije, ki izhajajo s seznama občutljivih osebnih podatkov, ki ga vsebuje ta določba, in, po drugi strani, da je treba člen 9(2)(e) GDPR razlagati tako, da uporabnik ne objavi sam podatkov, zato ker so bili ti razkriti z obiskom spletnih strani in aplikacij ali vneseni na te spletne strani ali v aplikacije ali ki izhajajo iz klika na polja, vključena vanje.
Tretje, četrto in peto vprašanje za predhodno odločanje
47. Predložitveno sodišče s tretjim, četrtim in petim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 6(1)(b), (c), (d), (e) in (f) GDPR razlagati tako, da sporna praksa(60) spada na področje uporabe ene od utemeljitev iz teh določb, natančneje:
– potrebnosti za izvajanje pogodbe(61) ali upoštevanja zakonitih interesov(62) glede na to, da družba Meta Platforms upravlja družbeno omrežje, ki se financira iz oglaševanja in ki v svojih pogojih za uporabo storitev ponuja personalizacijo vsebin in oglaševanja, varnost omrežja, izboljševanje proizvoda ter dosledno in nemoteno uporabo vseh proizvodov skupine (tretje vprašanje za predhodno odločanje);
– upoštevanja teh zakonitih interesov(63) v nekaterih okoliščinah(64) (četrto vprašanje za predhodno odločanje);
– potrebe po odgovoru na pravno veljavno zahtevo po predložitvi nekaterih podatkov,(65) potrebe po preprečevanju škodljivega vedenja in okrepitvi varnosti(66) ali raziskovalnih namenov za družbeno korist in potrebe po spodbujanju zaščite, integritete in varnosti(67) (peto vprašanje za predhodno odločanje).
48. Uvodoma, ne glede na nekatera vprašanja glede dopustnosti četrtega in petega vprašanja za predhodno odločanje,(68) predlagam, naj se na tretje, četrto in peto vprašanje za predhodno odločanje odgovori skupaj, ker bodo lahko informacije, ki jih bom navedel v nadaljevanju, predvsem v zvezi s tretjim vprašanjem za predhodno odločanje, za predložitveno sodišče koristne tudi pri uporabi določb, ki so predmet četrtega in petega vprašanja za predhodno odločanje.
49. Primarno poudarjam, da je treba v skladu s členom 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina) osebne podatke obdelovati pošteno, za določene namene in na legitimni podlagi, določeni z zakonom. V zvezi s tem člen 6(1) GDPR določa, da je obdelava teh podatkov zakonita le, če je izpolnjen eden od šestih pogojev iz te določbe.(69)
50. V obravnavani zadevi najprej menim, da je treba za tretje, četrto in peto vprašanje za predhodno odločanje za vsak primer posebej podrobno analizirati različne klavzule pogojev za uporabo storitev Facebooka v okviru sporne prakse, saj ni mogoče ugotoviti, ali se lahko v zvezi s to prakso „podjetje, kot je [Meta Platforms]“, kot celota sklicuje na vse (ali nekatere) utemeljitve iz člena 6(1) GDPR, čeprav ni mogoče izključiti, da lahko navedena praksa ali nekatere njene dejavnosti v nekaterih primerih spadajo na področje uporabe tega člena.(70)
51. Dalje, obdelava, predvidena z navedenimi določbami, se v obravnavanem primeru izvaja na podlagi splošnih pogojev pogodbe, ki jih je vsilil upravljavec, brez privolitve posameznika, na katerega se nanašajo osebni podatki,(71) ali celo proti njegovi volji, zaradi česar je po mojem mnenju potrebna ozka razlaga zadevnih utemeljitev, zlasti zato, da se prepreči izogibanje pogoju privolitve.(72)
52. Nazadnje naj opozorim, da v skladu s členom 5(2) GDPR dokazno breme, da se osebni podatki obdelujejo v skladu s pravili te uredbe, nosi upravljavec ter da mora v skladu s členom 13(1)(c) navedene uredbe upravljavec osebnih podatkov določiti namene, za katere se podatki obdelujejo, in tudi pravno podlago za njihovo obdelavo.
Tretje vprašanje za predhodno odločanje
53. Na prvem mestu, v skladu s členom 6(1)(b) GDPR je obdelava osebnih podatkov zakonita, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki.(73)
54. V zvezi s tem opozarjam, da pojem „nujnost“ ni opredeljen v zakonodaji Unije, vendar v skladu s sodno prakso kljub temu pomeni avtonomni pojem prava Unije.(74) Da bi bila obdelava potrebna za izvajanje pogodbe, ne zadostuje, da se izvaja v povezavi z izvajanjem pogodbe ali da je navedena v pogodbi(75) niti da je preprosto koristna za izvajanje pogodbe.(76) V skladu s sodno prakso Sodišča mora biti obdelava objektivno potrebna za izvajanje pogodbe v tem smislu, da ne smejo obstajati realne alternative, ki manj posegajo v pravice,(77) pri čemer se upoštevajo tudi razumna pričakovanja posameznika, na katerega se nanašajo osebni podatki.(78) To vključuje tudi dejstvo, da bi bilo treba, kadar je pogodba sestavljena iz več storitev ali ločenih elementov iste storitve, ki se lahko izvedejo neodvisno drug od drugega, uporabo člena 6(1)(b) GDPR oceniti ločeno v okviru vsake od teh storitev.(79)
55. V okviru te utemeljitve predložitveno sodišče navaja personalizacijo vsebin ter dosledno in nemoteno uporabo proizvodov (ali bolje storitev) skupine.
56. V zvezi s personalizacijo vsebin se mi zdi, da čeprav je taka dejavnost lahko v določeni meri v interesu uporabnika, ker omogoča, da se zlasti v polju „Vir novic“ predstavijo vsebine, ki v skladu z avtomatizirano oceno ustrezajo interesom uporabnika, ni očitno, da je potrebna tudi za zagotavljanje storitve zadevnega družbenega omrežja, tako da za obdelavo osebnih podatkov za te namene ni potrebna privolitev tega uporabnika.(80) Za namene te preučitve bi bilo treba upoštevati tudi dejstvo, da se sporna praksa ne nanaša na obdelavo podatkov v zvezi z vedenjem uporabnika na Facebookovi strani ali v aplikaciji, ampak na obdelavo podatkov, ki izhajajo iz zunanjih virov in so torej potencialno neomejeni. Zato se sprašujem, v kakšnem obsegu bi ta obdelava lahko ustrezala pričakovanjem povprečnega uporabnika in, splošneje, kakšna je „stopnja personalizacije“, ki jo lahko pričakuje od storitve, v katero se prijavi.(81)
57. V zvezi z dosledno in nemoteno uporabo storitev skupine ugotavljam, da je lahko povezava med različnimi storitvami, ki jih ponuja tožeča stranka v postopku v glavni stvari, na primer med Facebookom in Instagramom, koristna za uporabnika ali jo ta včasih celo želi. Vendar dvomim, da je obdelava osebnih podatkov, pridobljenih iz drugih storitev skupine (zlasti Instagrama), potrebna za zagotavljanje storitev Facebooka.(82)
58. Na drugem mestu, v skladu s členom 6(1)(f) GDPR je obdelava osebnih podatkov zakonita, kadar je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
59. V skladu s sodno prakso Sodišča zadevna določba predpisuje tri kumulativne pogoje za to, da je obdelava osebnih podatkov zakonita, in sicer, prvič, da si upravljavec ali tretja oseba ali osebe, ki so jim podatki posredovani, prizadevajo za zakonit interes, drugič, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, in tretjič, da ne prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov.(83)
60. Najprej, glede uresničevanja zakonitega interesa opozarjam, da GDPR in sodna praksa priznavata širok nabor interesov, ki se štejejo za zakonite,(84) pri čemer pojasnjujeta, da mora upravljavec v skladu s členom 13(1)(c) GDPR navesti zakonite interese, ki se uresničujejo na podlagi člena 6(1)(f) GDPR.(85)
61. Dalje, glede pogoja v zvezi tem, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, morajo biti v skladu s sodno prakso Sodišča odstopanja od načela varstva osebnih podatkov in njegove omejitve strogo omejeni na tisto, kar je nujno.(86) Zato je potrebna tesna povezava med obdelavo in zasledovanim interesom, če ni drugih možnosti, ki bi bolj spoštovale varstvo osebnih podatkov, saj ne zadostuje, da je obdelava zgolj koristna za upravljavca.
62. Nazadnje, glede uravnoteženja interesov upravljavca na eni strani z interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, na drugi strani mora predložitveno sodišče v skladu s sodno prakso Sodišča pretehtati zadevne interese.(87) Poleg tega je, kot je navedeno v uvodni izjavi 47 GDPR, bistveno upoštevati razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje z upravljavcem, in ugotoviti, ali lahko posameznik, na katerega se nanašajo osebni podatki, v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo obdelovali za določen namen.
63. V okviru te utemeljitve predložitveno sodišče navaja personalizacijo oglaševanja, varnost omrežja in izboljševanje proizvoda.
64. Najprej, glede personalizacije oglaševanja, iz uvodne izjave 47 GDPR izhaja, da se lahko obdelava osebnih podatkov za neposredno trženje šteje za opravljeno v zakonitem interesu upravljavca. Vendar je treba v zvezi z nujnostjo obdelave poudariti, da zadevni podatki izvirajo iz virov zunaj Facebooka, zato se postavlja vprašanje, kakšna je „stopnja personalizacije“ oglaševanja, ki je v zvezi s tem objektivno potrebna. Glede uravnoteženja zadevnih interesov, po mojem mnenju je treba upoštevati naravo zadevnega zakonitega interesa (v obravnavanem primeru izključno gospodarski interes) in vpliv obdelave na uporabnika, vključno z njegovimi razumnimi pričakovanji in morebitnimi zaščitnimi ukrepi, ki jih sprejme upravljavec.(88)
65. Podobni preudarki so nadalje mogoči v zvezi z varnostjo omrežja. Čeprav namreč lahko taka utemeljitev pomeni zakonit interes upravljavca,(89) je manj očitna ugotovitev, da je obdelava v obravnavanem primeru potrebna, tudi ob upoštevanju tega, da zadevni podatki izvirajo iz virov zunaj Facebooka.(90) Vsekakor opozarjam, da mora upravljavec določiti varnostne namene, na katerih morebiti temelji posamezna obdelava.
66. Nazadnje, glede izboljševanja proizvoda se mi zdi, da bi morala biti taka utemeljitev, če so izključena izboljševanja, povezana z varnostjo, ki spadajo pod zgoraj preučeno konkretno utemeljitev, bolj v interesu uporabnika kot pa upravljavca podatkov. S tega vidika je težko razumeti, v kakšnem obsegu bi lahko pomenila zakonit interes upravljavca in se izognila privolitvi uporabnika. Glede pogoja nujnosti ter uravnoteženja zadevnih pravic in interesov se sklicujem na zgornje preudarke.
Četrto in peto vprašanje za predhodno odločanje
67. Četrto vprašanje za predhodno odločanje, ki v bistvu pomeni razširitev drugega dela tretjega vprašanja za predhodno odločanje, se nanaša na to, ali nastanek nekaterih naštetih položajev pomeni obstoj zakonitega interesa v smislu člena 6(1)(f) GDPR, medtem ko želi predložitveno sodišče s petim vprašanjem za predhodno odločanje izvedeti, ali potreba po odgovoru na pravno veljavno zahtevo po predložitvi nekaterih podatkov, in sicer potreba po preprečevanju škodljivega vedenja in okrepitvi varnosti ali raziskovalni nameni za družbeno korist ter potreba po spodbujanju zaščite, integritete in varnosti pomenijo utemeljitve, ki se uporabljajo za sporno prakso.(91)
68. Ne glede na dopustnost teh vprašanj(92) na splošno menim, da v zvezi s četrtim vprašanjem za predhodno odločanje ni mogoče izključiti, da so nekatere klavzule, ki opredeljujejo sporno prakso, v okoliščinah, ki jih navaja predložitveno sodišče,(93) lahko utemeljene z zakonitimi interesi, in v zvezi s petim vprašanjem za predhodno odločanje, da je v nekaterih primerih sporno prakso mogoče utemeljiti na podlagi navedenih določb.
69. Vendar iz predložitvene odločbe ni razvidno, ali in v kakšnem obsegu je družba Meta Platforms Ireland za vsak namen obdelave in tipologijo obdelanih podatkov navedla konkretno zasledovane zakonite interese ali druge utemeljitve, ki bi bile morebiti upoštevne v obravnavani zadevi.(94) Zato mora predložitveno sodišče ob upoštevanju zgoraj navedenega preučiti, v kakšnem obsegu je sporna praksa v okoliščinah, ki jih navaja to sodišče, utemeljena z obstojem zakonitih interesov družbe Meta Platforms Ireland za obdelavo podatkov v smislu člena 6(1)(f) GDPR ali z drugim pogojem iz člena 6(1)(c), (d) in (e) te uredbe.
Odgovor na tretje, četrto in peto vprašanje za predhodno odločanje
70. Skratka, predlagam, naj se na tretje, četrto in peto vprašanje za predhodno odločanje odgovori tako, da je treba člen 6(1)(b), (c), (d), (e) in (f) GDPR razlagati tako, da lahko sporna praksa ali nekatere od dejavnosti, ki jo sestavljajo, spadajo med izjeme iz teh določb, če vsak preučeni način obdelave podatkov izpolnjuje pogoje, določene z utemeljitvijo, ki jo konkretno navede upravljavec, in če je torej:
– obdelava objektivno potrebna za zagotavljanje storitev, povezanih s Facebookovim računom;
– obdelava potrebna za uresničevanje zakonitega interesa, ki so ga navedli upravljavec ali tretja oseba ali tretje osebe, ki so jim podatki posredovani, ter ne vpliva nesorazmerno na temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki;
– obdelava potrebna zaradi odgovora na pravno veljavno zahtevo po predložitvi nekaterih podatkov, preprečevanja škodljivega vedenja in okrepitve varnosti ali za raziskovalne namene za družbeno korist ter spodbujanje zaščite, integritete in varnosti.
Šesto vprašanje za predhodno odločanje
71. Predložitveno sodišče s šestim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 6(1)(a) in člen 9(2)(a) GDPR razlagati tako, da je mogoče veljavno in prostovoljno privolitev v smislu člena 4, točka 11, te uredbe dati podjetju, ki ima prevladujoč položaj na nacionalnem trgu spletnih družbenih omrežij za zasebne uporabnike.
72. Uvodoma opozarjam, da člen 6(1)(a) in člen 9(2)(a) GDPR določata obveznost privolitve posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov na splošno oziroma obdelavo občutljivih osebnih podatkov. Poleg tega v skladu s členom 4, točka 11, GDPR v tej uredbi „privolitev“ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj.(95)
73. Natančneje, glede pogoja „prostovoljne“ privolitve, ki je edini zadevni pogoj v obravnavani zadevi, poudarjam, da se v skladu z uvodno izjavo 42 GDPR privolitev ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire(96) ali privolitve ne more zavrniti ali preklicati brez škode.(97) Poleg tega bi moral biti upravljavec, kot je določeno v členu 7(1) GDPR (in navedeno v uvodni izjavi 42 navedene uredbe), kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, zmožen dokazati, da je ta posameznik privolil v obdelavo svojih osebnih podatkov.
74. Kolikor je upoštevno v obravnavani zadevi, opozarjam, najprej, da kot je poudarjeno v uvodni izjavi 43, prvi stavek, GDPR, privolitev ni veljavna pravna podlaga za obdelavo osebnih podatkov, kadar obstaja „očitno neravnotežje“ med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem,(98) dalje, da je treba v skladu s členom 7(4) GDPR pri ugotavljanju, ali je bila privolitev dana prostovoljno, med drugim zlasti upoštevati, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe,(99) in nazadnje, da se v skladu z uvodno izjavo 43, drugi stavek, GDPR ravno tako domneva, da privolitev ni bila dana prostovoljno, če ni mogoče dati ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi bila taka ločena privolitev v posameznem primeru ustrezna.(100)
75. V obravnavani zadevi menim, da ima morebiten prevladujoč položaj na trgu, ki ga ima upravljavec osebnih podatkov, ki upravlja družbeno omrežje, pomembno vlogo pri presoji obstoja prostovoljne privolitve uporabnika tega omrežja. Obstoj položaja tržne moči upravljavca osebnih podatkov lahko namreč povzroči očitno neravnotežje v razmerjih moči v smislu, navedenem v točki 74 teh sklepnih predlogov.(101) Vendar je treba pojasniti, po eni strani, da za to, da bi bil tak položaj tržne moči upošteven z vidika uporabe GDPR, ni treba, da je nujno izenačen s pragom prevladujočega položaja v smislu člena 102 PDEU,(102) in, po drugi strani, da sama ta okoliščina načeloma ne more preprečiti vsakršne veljavnosti privolitve.(103)
76. Zato bo treba veljavnost privolitve preučiti za vsak primer posebej glede na druge dejavnike, navedene v točkah 73 in 74 teh sklepnih predlogov, ter ob upoštevanju vseh okoliščin primera in dejstva, da dokazno breme, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo osebnih podatkov, ki se nanašajo nanj, nosi upravljavec.
77. Skratka, predlagam, naj se na šesto vprašanje za predhodno odločanje odgovori tako, da je treba člen 6(1)(a) in člen 9(2)(a) GDPR razlagati tako, da zgolj okoliščina, da ima podjetje, ki upravlja družbeno omrežje, prevladujoč položaj na nacionalnem trgu spletnih družbenih omrežij za zasebne uporabnike, sama po sebi ne more preprečiti, da bi bila privolitev uporabnika tega omrežja v obdelavo njegovih osebnih podatkov veljavna v smislu člena 4, točka 11, GDPR. Vendar ima taka okoliščina vlogo pri presoji prostovoljnosti privolitve v smislu te določbe, ki jo mora dokazati upravljavec, pri čemer je treba po potrebi upoštevati obstoj očitnega neravnotežja v razmerjih moči med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, morebitno obveznost privolitve v obdelavo osebnih podatkov, ki niso nujno potrebni za zagotavljanje zadevnih storitev, potrebo, da mora biti privolitev specifična za vsak namen obdelave, in potrebo po preprečitvi, da bi preklic privolitve uporabniku, ki prekliče svojo privolitev, povzročil škodo.
Predlog
78. Glede na zgornje preudarke Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija), odgovori:
1. Člene od 51 do 66 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
je treba razlagati tako, da:
lahko organ za varstvo konkurence v okviru svojih pooblastil v smislu pravil o konkurenci posredno preuči skladnost obravnavanih praks s pravili te uredbe, pri čemer upošteva vsako odločbo ali preiskavo nadzornega organa, pristojnega na podlagi navedene uredbe, ter o tem obvesti nacionalni nadzorni organ in se po potrebi posvetuje z njim.
2. Člen 9(1) Uredbe 2016/679
je treba razlagati tako, da:
lahko prepoved obdelave občutljivih osebnih podatkov vključuje obdelavo podatkov, ki jo opravi upravljavec spletnega družbenega omrežja in ki zajema zbiranje podatkov uporabnika, ko obišče druga spletna mesta ali aplikacije ali vanje vnese te podatke, povezovanje navedenih podatkov z računom uporabnika družbenega omrežja in njihovo uporabo, če obdelane informacije, obravnavane posamično ali združene, omogočajo oblikovanje profilov uporabnika glede na kategorije, ki izhajajo s seznama občutljivih osebnih podatkov, ki ga vsebuje ta določba.
Člen 9(2)(e) te uredbe je treba razlagati tako, da:
uporabnik ne objavi sam podatkov, zato ker so bili ti razkriti z obiskom spletnih strani in aplikacij ali vneseni na te spletne strani ali v aplikacije ali ki izhajajo iz klika na polja, vključena vanje.
3. Člen 6(1)(b), (c), (d), (e) in (f) Uredbe 2016/679
je treba razlagati tako, da:
lahko praksa, ki zajema, prvič, zbiranje podatkov iz drugih storitev, ki jih zagotavlja skupina, ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov ali prek piškotkov, nameščenih na računalniku ali mobilni terminalni opremi uporabnika, drugič, povezovanje teh podatkov s Facebookovim računom zadevnega uporabnika in, tretjič, uporabo navedenih podatkov, ali nekatere od dejavnosti, ki sestavljajo to prakso, spadajo med izjeme iz teh določb, če vsak preučeni način obdelave podatkov izpolnjuje pogoje, določene z utemeljitvijo, ki jo konkretno navede upravljavec, in če je torej:
– obdelava objektivno potrebna za zagotavljanje storitev, povezanih s Facebookovim računom;
– obdelava potrebna za uresničevanje zakonitega interesa, ki so ga navedli upravljavec ali tretja oseba ali tretje osebe, ki so jim podatki posredovani, ter ne vpliva nesorazmerno na temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki;
– obdelava potrebna zaradi odgovora na pravno veljavno zahtevo po predložitvi nekaterih podatkov, preprečevanja škodljivega vedenja in okrepitve varnosti ali za raziskovalne namene za družbeno korist ter spodbujanje zaščite, integritete in varnosti.
4. Člen 6(1)(a) in člen 9(2)(a) Uredbe 2016/679
je treba razlagati tako, da:
zgolj okoliščina, da ima podjetje, ki upravlja družbeno omrežje, prevladujoč položaj na nacionalnem trgu spletnih družbenih omrežij za zasebne uporabnike, sama po sebi ne more preprečiti, da bi bila privolitev uporabnika tega omrežja v obdelavo njegovih osebnih podatkov veljavna v smislu člena 4, točka 11, te uredbe. Vendar ima taka okoliščina vlogo pri presoji prostovoljnosti privolitve v smislu te določbe, ki jo mora dokazati upravljavec, pri čemer je treba po potrebi upoštevati obstoj očitnega neravnotežja v razmerjih moči med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, morebitno obveznost privolitve v obdelavo osebnih podatkov, ki niso nujno potrebni za zagotavljanje zadevnih storitev, potrebo, da mora biti privolitev specifična za vsak namen obdelave, in potrebo po preprečitvi, da bi preklic privolitve uporabniku, ki prekliče svojo privolitev, povzročil škodo.