CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

ATHANASIOS RANTOS

föredraget den 20 september 2022(1)

Mål C‑252/21

Meta Platforms Inc., tidigare Facebook Inc.,

Meta Platforms Ireland Limited, tidigare Facebook Ireland Ltd.,

Facebook Deutschland GmbH

mot

Bundeskartellamt

ytterligare deltagare i rättegången:

Verbraucherzentrale Bundesverband e.V.

(begäran om förhandsavgörande från Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf, Tyskland))

”Begäran om förhandsavgörande – Förordning (EU) 2016/679 – Skydd för fysiska personer med avseende på behandling av personuppgifter – Sociala nätverk – Artikel 4 led 11 – Begreppet samtycke av den registrerade – Samtycke som lämnas till ett personuppgiftsansvarigt företag med en dominerande ställning – Artikel 6.1 b–f – Laglig behandling av personuppgifter – Behandling som är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intressen – Behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åligger den personuppgiftsansvarige, för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning – Artikel 9.1 och 9.2 e – Särskilda kategorier av personuppgifter – Personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade – Artiklarna 51–66 – Den nationella konkurrensmyndighetens behörighet – Förhållandet till dataskyddstillsynsmyndigheternas behörighet – Konkurrensrättsliga åtgärder som vidtas av en myndighet i en annan medlemsstat än den där den ansvariga dataskyddstillsynsmyndigheten är belägen”

Inledning

1. Den nu aktuella begäran om förhandsavgörande har framställts av Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf, Tyskland) i ett mål mellan bolag i koncernen Meta Platforms(2) och Bundeskartellamt (den federala konkurrensmyndigheten, Tyskland). Tvisten rör Bundeskartellamts beslut att förbjuda klaganden i det nationella målet att behandla uppgifter på det sätt som anges i användarvillkoren för det sociala nätverket Facebook och att tillämpa dessa användarvillkor samt att förelägga koncernen att upphöra med denna behandling.(3)

2. Tolkningsfrågorna avser i huvudsak dels huruvida en nationell konkurrensmyndighet, såsom Bundeskartellamt, är behörig att, i huvudsyfte eller i anslutning därtill, granska ett företags handlande mot bakgrund av vissa bestämmelser i förordning (EU) 2016/679,(4) dels hur dessa bestämmelser ska tolkas, bland annat när det gäller behandling av känsliga personuppgifter, relevanta villkor för laglig behandling av personuppgifter och frivilligt samtycke vad avser ett företag med dominerande ställning.

Tillämpliga bestämmelser

Unionsrätt

3. I artikel 4 i dataskyddsförordningen anges följande:

”I denna förordning avses med

…

11) samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

…”

4. Artikel 6.1 i förordningen, som har rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.”

5. I artikel 9.1 och 9.2 i förordningen, som har rubriken ”Behandling av särskilda kategorier av personuppgifter”, föreskrivs följande:

”1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2. Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

…

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

…”

6. I artikel 51 i förordningen, som har rubriken ”Tillsynsmyndighet” och ingår i kapitel VI i förordningen, vilket i sin tur har rubriken ”Oberoende tillsynsmyndigheter”, föreskrivs följande:

”1. Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen …

2. Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

…”

Tysk rätt

7. I 19 § 1 i Gesetz gegen Wettbewerbsbeschränkungen (lag om förbud mot konkurrensbegränsningar) (nedan kallad GWB) föreskrivs följande:

”Missbruk av en dominerande ställning på marknaden av ett eller flera företag är förbjudet.”(5)

8. I 50f § GWB föreskrivs följande:

”1) Konkurrensmyndigheter, tillsynsmyndigheter, förbundsansvarig för dataskydd och informationsfrihet, länderansvariga för dataskydd samt behöriga myndigheter enligt artikel 2 i EU-Verbraucherschutzdurchführungsgesetz (lag om genomförande av EU:s konsumentskyddsrätt) får, oavsett vilket förfarande som valts, sinsemellan utbyta uppgifter, däribland personuppgifter och affärshemligheter, i den mån det är nödvändigt för att de ska kunna fullgöra sina respektive uppdrag samt använda dessa uppgifter i sina förfaranden. …”

Målet vid den nationella domstolen, tolkningsfrågorna och förfarandet vid domstolen

9. Meta Platforms hanterar det sociala nätverket Facebooks onlineutbud i Europeiska unionen (på adressen www.facebook.com) och även andra onlinetjänster, till exempel Instagram och WhatsApp. Den ekonomiska modellen för de sociala nätverk som hanteras av Meta Platforms går i allt väsentligt ut på att dels erbjuda privata användare sociala nätverkstjänster gratis, dels sälja onlinereklam som anpassas till varje enskild användare av det sociala nätverket och som är avsedd att visa användaren varor och tjänster som kan intressera honom eller henne, bland annat utifrån användarens individuella konsumtionsmönster, intressen, köpkraft och livssituation. Denna typ av reklam bygger tekniskt sett på att mycket detaljerade användarprofiler skapas automatiskt för alla som använder nätverket och koncernens onlinetjänster.(6)

10. För att kunna samla in och behandla uppgifter om användarna grundar sig Meta Platforms på ett användaravtal som ingås med användarna när de genom att klicka på knappen ”gå med” godtar Facebooks användarvillkor. Ett väsentligt villkor för att kunna använda det sociala nätverket Facebook är att man godtar dessa användarvillkor.(7) Den centrala frågan i detta mål rör ett tillvägagångssätt som går ut på att för det första samla in uppgifter från andra tjänster inom koncernen och från andra webbplatser och applikationer med hjälp av gränssnitt som är integrerade med de sistnämnda eller med hjälp av kakor som registreras i användarens dator eller mobila enhet, för det andra sätta uppgifterna i relation till den berörda användarens facebook-konto och, för det tredje, använda uppgifterna (nedan kallat det omtvistade tillvägagångssättet).

11. Bundeskartellamt inledde ett förfarande mot Meta Platforms och beslutade, genom det omtvistade beslutet, att Meta Platforms inte fick vare sig behandla uppgifter på det sätt som angavs i Facebooks användarvillkor eller tillämpa dessa villkor och förelade koncernen att upphöra med denna behandling. Bundeskartellamt motiverade beslutet bland annat med att behandlingen i fråga utgjorde missbruk av bolagets dominerande ställning på marknaden för sociala nätverk för privatanvändare i Tyskland, i den mening som avses i 19 § GWB.(8)

12. Den 11 februari 2019 överklagade Meta Platforms det omtvistade beslutet vid Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf),(9) som är den hänskjutande domstolen. Denna domstol är tveksam dels till huruvida det är möjligt för nationella konkurrensmyndigheter att kontrollera att en behandling av uppgifter uppfyller kraven i dataskyddsförordningen samt att fastställa och besluta om påföljder för åsidosättande av dataskyddsförordningens bestämmelser, dels till hur vissa bestämmelser i denna förordning ska tolkas och tillämpas.

13. Mot denna bakgrund beslutade Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf) att vilandeförklara målet och ställa följande frågor till domstolen:

”1) a) Är det förenligt med artikel 51 och följande artiklar [i datatskyddsförordningen] att en nationell konkurrensmyndighet i en medlemsstat, såsom Bundeskartellamt (som inte är tillsynsmyndighet i den mening som avses i artikel 51 och följande artiklar i datatskyddsförordningen), i samband med konkurrensrättslig tillsyn av missbruk av dominerande ställning, fastställer att avtalsvillkoren avseende behandling av personuppgifter för ett i en annan medlemsstat beläget huvudsakligt verksamhetsställe för ett företag som har hemvist utanför Europeiska unionen och tillämpningen av dessa villkor åsidosätter [dataskyddsförordningen] samt meddelar ett föreläggande om att överträdelsen ska upphöra, då det huvudsakliga verksamhetsstället är ensamt ansvarig för behandlingen av personuppgifter inom hela Europeiska unionen och företaget har ett verksamhetsställe i den förstnämnda medlemsstaten, vilket understödjer det huvudsakliga verksamhetsstället med marknadsföring, kommunikation och public relations?

b) Om denna fråga ska besvaras jakande, är detta då förenligt med artikel 4.3 FEU om det samtidigt pågår en utredning av det huvudsakliga verksamhetsställets avtalsvillkor avseende behandling av personuppgifter, som genomförs av den ansvariga tillsynsmyndigheten i den medlemsstat där det huvudsakliga verksamhetsstället är beläget i den mening som avses i artikel 56.1 [dataskyddsförordningen]?

Om fråga 1 ska besvaras jakande:

2) a) Om internetanvändare antingen endast går in på webbplatser eller appar som omfattas av kriterierna i artikel 9.1 [dataskyddsförordningen] – såsom flört-appar, dejtingsajter för homosexuella, politiska partiers webbplatser eller hälsorelaterade webbplatser – eller även lämnar uppgifter på dessa webbplatser eller appar, exempelvis genom att registrera sig eller göra beställningar, och ett annat företag, såsom Facebook Ireland, använder gränssnitt som är integrerade i dessa webbplatser eller appar, såsom Facebook Tools, eller webbkakor eller andra lagringstekniker som är inlagda på internetanvändarens dator eller mobilenhet, för att samla in uppgifter om besöken på dessa webbplatser eller appar och om de uppgifter som de lämnat där, och knyter samman dessa uppgifter med uppgifter från internetanvändarnas Facebookkonton, ska denna insamling och/eller sammanknytning och/eller användning anses utgöra behandling av känsliga personuppgifter i den mening som avses i denna bestämmelse?

b) Om denna fråga ska besvaras jakande, innebär då användarens besök av dessa webbplatser och appar och/eller lämnande av uppgifter och/eller klickande på någon av de knappar som integrerats på webbplatserna och apparna av en tjänsteleverantör som Facebook Ireland (’sociala insticksprogram’ som ’gilla’, ’dela’ eller ’Facebook Login’ och ’Account Kit’) att användaren har offentliggjort uppgifterna om besöket som sådant och/eller de inmatade uppgifterna på ett tydligt sätt, i den mening som avses i artikel 9.2 e [dataskyddsförordningen]?

3) Kan ett företag som Facebook Ireland, som driver ett reklamfinansierat digitalt socialt nätverk och som enligt sina användarvillkor erbjuder personaliserat innehåll, personaliserad reklam, nätverkssäkerhet, produktförbättring och kontinuerlig och sömlös användning av alla koncernens produkter, motivera att det, för detta ändamål, samlar in uppgifter från andra koncerntjänster och från tredje parts webbplatser och appar via gränssnitt som är integrerade i dessa, såsom ’Facebook Business Tools’, eller via webbkakor eller liknande lagringstekniker som är inlagda på internetanvändarens dator eller mobilenhet, och att företaget använder uppgifterna och sammanknyter dem med användarens Facebookkonto, med hänvisning till att behandlingen av personuppgifter är laglig på den grunden att den är nödvändig för att fullgöra ett avtal i enlighet med artikel 6.1 b [dataskyddsförordningen], eller att den är nödvändig för ändamål som rör berättigade intressen i enlighet med artikel 6.1 f [dataskyddsförordningen]?

4) Kan i ett sådant fall även

– den omständigheten att användaren är minderårig, med avseende på personaliseringen av innehåll och reklam, produktförbättring, nätverkssäkerhet och kommunikation med användaren som inte är relaterad till marknadsföring,

– tillhandahållande av mätningar, analyser och andra företagstjänster till annonsörer, utvecklare och andra partners, i syfte att de ska kunna utvärdera och förbättra sina tjänster,

– tillhandahållande av marknadsföringskommunikation till användaren för att företaget ska kunna förbättra sina produkter och bedriva direktmarknadsföring,

– samhällsnyttig forskning och innovation för att främja den tekniska utvecklingen och den vetenskapliga förståelsen av viktiga sociala frågor och för att påverka samhället och världen positivt,

– att dela information med brottsbekämpande myndigheter och besvara förelägganden för att förhindra, avslöja och bekämpa brott, otillåten användning, brott mot användarvillkor och policies och annat skadligt beteende,

utgöra berättigade intressen i den mening som avses i artikel 6.1 f [dataskyddsförordningen], när företaget för dessa ändamål sammanknyter uppgifter från andra koncerntjänster och från tredje mans webbplatser och appar med användarens Facebookkonto, via integrerade gränssnitt, såsom ”Facebook Business Tools”, eller via webbkakor eller andra lagringstekniker som är inlagda på internetanvändarens dator eller mobilenehet, och använder uppgifterna?

5) Är det i ett sådant fall möjligt att i det enskilda fallet, med stöd av artikel [6.1] c, d och e [dataskyddsförordningen], motivera att företaget samlar in uppgifter från andra koncerntjänster och från tredje mans webbplatser och appar via integrerade gränssnitt, såsom ’Facebook Business Tools’, eller via webbkakor eller andra lagringstekniker som är inlagda på internetanvändarens dator eller mobilenhet och använder uppgifterna och sammanknyter dem med användarens Facebookkonto, eller använder uppgifter som redan har samlats in och sammanknutits på annat lagligt sätt – exempelvis för att besvara en rättsligt giltig begäran avseende vissa uppgifter (led c), för att bekämpa skadligt beteende och främja säkerhet (led d), för samhällsnyttig forskning och för att främja trygghet, integritet och säkerhet (led e)?

6) Går det att lämna giltigt samtycke, i den mening som avses i artikel 6.1 a och 9.2 a [dataskyddsförordningen], och i synnerhet frivilligt samtycke enligt artikel 4[ led 11] [dataskyddsförordningen], till ett företag med dominerande ställning, såsom Facebook Ireland?

Om fråga 1 ska besvaras nekande:

7) a) Får en nationell konkurrensmyndighet i en medlemsstat, såsom Bundeskartellamt (som inte är tillsynsmyndighet i den mening som avses i artikel 51 och följande artiklar [dataskyddsförordningen]), och som prövar ett dominerande företags överträdelse av det konkurrensrättsliga förbudet mot missbruk av denna ställning, vilken dock inte består i att företagets avtalsvillkor avseende behandling av personuppgifter och tillämpningen av dessa villkor strider mot [dataskyddsförordningen], till exempel inom ramen för intresseavvägningen, fastställa att företagets avtalsvillkor avseende behandling av personuppgifter och deras genomförande strider mot [dataskyddsförordningen]?

b) Om denna fråga ska besvaras jakande: Gäller detta, mot bakgrund av artikel 4.3 FEU, även om det samtidigt pågår en utredning av företagets avtalsvillkor avseende behandling av personuppgifter som genomförs av den ansvariga tillsynsmyndigheten enligt artikel 56.1 [dataskyddsförordningen]?

Om fråga 7 ska besvaras jakande krävs ett svar på frågorna 3–5 med avseende på uppgifter som härrör från användningen av koncernens tjänst Instagram.”

14. Skriftliga yttranden har inkommit från Meta Platforms och från den tyska, tjeckiska, italienska och österrikiska regeringen samt från Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (konsumentskyddsorganisation, Tyskland) och Europeiska kommissionen. Dessa parter yttrade sig även muntligen vid förhandlingen den 10 maj 2022.

Bedömning

15. Huvudföremålet för tolkningsfrågorna i detta mål, vilka rör tolkningen av flera bestämmelser i dataskyddsförordningen, är för det första en konkurrensmyndighets behörighet att fastställa och besluta om påföljder för åsidosättande av bestämmelserna om behandling av personuppgifter och dess skyldigheter att samarbeta med den ansvariga myndigheten enligt dataskyddsförordningen (tolkningsfråga 1 och 7), för det andra förbudet mot behandling av känsliga personuppgifter och villkoren för samtycke till att sådana uppgifter används (tolkningsfråga 2), för det tredje lagenligheten av behandlingen av personuppgifter mot bakgrund av vissa motiveringar (tolkningsfråga 3–5) och, för det fjärde, giltigheten av ett samtycke till behandling av personuppgifter som lämnats till ett företag med en dominerande ställning (tolkningsfråga 6).

16. I de följande punkterna behandlar jag först tolkningsfråga 1 och 7 och därefter de övriga frågorna, i den ordning de ställts, varvid tolkningsfrågorna 3–5 behandlas tillsammans.

Tolkningsfråga 1

17. Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida en konkurrensmyndighet, när den beivrar överträdelser av konkurrensreglerna, får uttala sig i första hand(10) om ett åsidosättande av dataskyddsförordningens bestämmelser om behandling av personuppgifter som begås av ett företag vars huvudsakliga verksamhetsställe, vilket är ensamt ansvarigt för all behandling av personuppgifter i unionen, är beläget i en annan medlemsstat och meddela föreläggande om att överträdelsen ska upphöra (fråga 1 a) och, i så fall, huruvida den ansvariga tillsynsmyndigheten enligt artikel 56.1 i dataskyddsförordningen fortfarande kan granska villkoren för företagets behandling av personuppgifter (fråga 1 b).

18. Bundeskartellamt tycks emellertid inte, med förbehåll för den hänskjutande domstolens prövning, i det omtvistade beslutet ha beivrat Meta Platforms överträdelse av dataskyddsförordningen, utan har granskat Meta Platforms påstådda missbruk av en dominerande ställning endast i syfte att tillämpa konkurrensreglerna med beaktande bland annat av företagets beteende som stod i strid med förordningens bestämmelser.

19. Jag anser följaktligen att fråga 1 a är verkningslös, eftersom den rör en konkurrensmyndighets möjlighet att uttala sig i första hand om en överträdelse av dataskyddsförordningens bestämmelser och meddela föreläggande om att överträdelsen i den mening som avses i denna förordning.(11)

20. Följaktligen är även fråga 1 b, som förutsätter ett jakande svar på fråga 1 a, verkningslös.(12)

Tolkningsfråga 7

21. Den hänskjutande domstolen har ställt fråga 7 för att få klarhet i huruvida en konkurrensmyndighet, i anslutning till att den beivrar överträdelser av konkurrensreglerna,(13) får fastställa huruvida villkoren för behandling av personuppgifter och deras genomförande är förenliga med dataskyddsförordningen (fråga 7 a) och, i så fall, huruvida konkurrensmyndigheten även kan göra denna bedömning samtidigt som dessa villkor granskas av den ansvariga tillsynsmyndigheten (fråga 7 b).

22. Vad i första hand gäller fråga 7 a, anser jag att även om en konkurrensmyndighet inte är behörig att fastställa en överträdelse av dataskyddsförordningen,(14) utgör förordningen i princip inget hinder för att andra myndigheter än tillsynsmyndigheten vid utövandet av sina egna behörigheter och befogenheter i anslutning till detta får ta hänsyn till huruvida ett beteende är förenligt med dataskyddsförordningens bestämmelser. Jag anser att så bland annat är fallet när det gäller en konkurrensmyndighets utövande av sina befogenheter enligt artikel 102 FEUF och artikel 5 första stycket i förordning (EG) nr 1/2003(15) eller enligt någon annan motsvarande nationell bestämmelse.(16)

23. När en konkurrensmyndighet utövar sin behörighet ska den bland annat bedöma huruvida det beteende som granskas innebär ett användande av andra medel än dem som hör till prestationskonkurrens, med beaktande av det rättsliga och ekonomiska sammanhang som beteendet ingår i.(17) Ett viktigt indicium när det gäller att fastställa huruvida beteendet ska betraktas som användande av metoder som räknas till normal konkurrens kan vara huruvida beteende, inte i sig utan med hänsyn till alla omständigheter i det aktuella fallet, är förenligt eller inte med dataskyddsförordningens bestämmelser. Jag vill samtidigt förtydliga att det inte är frågan huruvida ett beteende är förenligt eller inte med dataskyddsförordningen eller med andra rättsregler som avgör om beteendet ska betraktas som missbruk mot bakgrund av artikel 102 FEUF.(18)

24. Jag anser följaktligen att en granskning avseende missbruk av en dominerande ställning på marknaden kan motivera att en konkurrensmyndighet tolkar bestämmelser som inte hör till konkurrensrätten, till exempel dataskyddsförordningens bestämmelser(19), samtidigt som det anges att en sådan tolkning företas i anslutning till en granskning som har ett annat syfte(20) och inte vinner företräde över de behöriga tillsynsmyndigheternas tillämpning av dataskyddsförordningen.(21)

25. Vad i andra hand gäller tolkningsfråga 7 b har den hänskjutande domstolen ifrågasatt vilka skyldigheter en konkurrensmyndighet har, enligt principen om lojalt samarbete i artikel 4.3 FEU, i förhållande till den behöriga ansvariga tillsynsmyndigheten enligt dataskyddsförordningen, när den tolkar bestämmelserna i denna förordning och, närmare bestämt, när samma beteende som granskas av konkurrensmyndigheten är föremål för en granskning av behörig ansvarig tillsynsmyndighet.

26. I det nu aktuella fallet innebär en konkurrensmyndighets granskning av ett företags beteende mot bakgrund av bestämmelserna i dataskyddsförordningen, även om den görs i anslutning till en granskning som har ett annat syfte, en risk för att konkurrensmyndighetens och tillsynsmyndigheternas tolkningar skiljer sig åt, vilket i princip kan äventyra en enhetlig tolkning av dataskyddsförordningen.(22)

27. Unionsrätten innehåller inga detaljerade regler om samarbetet mellan en konkurrensmyndighet och tillsynsmyndigheterna enligt dataskyddsförordningen i en sådan situation. I förevarande fall är varken mekanismen för samarbete mellan de behöriga myndigheterna enligt dataskyddsförordningen vid tillämpning av denna förordning(23) eller andra ingående regler om samarbete mellan förvaltningsmyndigheter, exempelvis reglerna om samarbete mellan konkurrensmyndigheter sinsemellan och mellan konkurrensmyndigheter och kommissionen vid tillämpning av konkurrensreglerna,(24) tillämpliga.

28. En konkurrensmyndighet som tolkar dataskyddsförordningen är emellertid bunden av principen om lojalt samarbete enligt artikel 4.3 FEU, enligt vilken unionen och medlemsstaterna, vilket inbegriper deras förvaltningsmyndigheter,(25) ska respektera och bistå varandra när de fullgör de uppgifter som följer av fördragen. Enligt tredje stycket i denna bestämmelse ska medlemsstaterna hjälpa unionen att fullgöra sina uppgifter, och de ska avstå från varje åtgärd som kan äventyra fullgörandet av unionens mål.(26) Dessutom är en konkurrensmyndighet, precis som alla förvaltningsmyndigheter som ska tillämpa unionsrätten, bunden av principen om god förvaltningssed, en allmän unionsrättslig princip som bland annat inbegriper en omfattande omsorgsplikt för de nationella myndigheterna.(27)

29. I och med att det saknas närmare regler om samarbetsmekanismer, som det ankommer på unionslagstiftaren att eventuellt anta, omfattas en konkurrensmyndighet som tolkar dataskyddsförordningens bestämmelser åtminstone av skyldigheterna avseende information, upplysningar och samarbete med de behöriga myndigheterna enligt denna förordning, i enlighet med de nationella bestämmelser som reglerar konkurrensmyndighetens behörighet (principen om medlemsstaternas processuella autonomi) och med iakttagande av likvärdighetsprincipen och effektivitetsprincipen.(28)

30. Jag menar att detta innebär att konkurrensmyndigheten, för det fall att den behöriga ansvariga tillsynsmyndigheten har uttalat sig om tillämpningen av vissa bestämmelser i dataskyddsförordningen med avseende på ett identiskt eller liknande förfarande, i princip inte får frångå den tolkning som gjorts av denna myndighet, vilken är den enda behöriga för tillämpningen av denna förordning.(29) Konkurrensmyndigheten ska i möjligaste mån, och inte minst med iakttagande av de berörda personernas rätt till försvar, rätta sig efter beslut som tillsynsmyndigheten kan ha fattat om samma beteende(30) och härvid samråda med denna myndighet och eventuellt, om den behöriga tillsynsmyndigheten finns i en annan medlemsstat, samråda med den nationella tillsynsmyndigheten i händelse av tvivel om den behöriga myndighetens tolkning i det aktuella fallet.(31)

31. För det fall den behöriga tillsynsmyndigheten inte har fattat något beslut, ankommer det ändå på konkurrensmyndigheten att underrätta och samarbeta med denna tillsynsmyndighet(32) om den har inlett en granskning av samma tillvägagångssätt eller har visat sin avsikt att göra detta och eventuellt invänta utfallet av den sistnämnda myndighetens granskning innan konkurrensmyndigheten påbörjar sin egen bedömning, i den mån så är lämpligt och det inte påverkar konkurrensmyndighetens iakttagande av en rimlig utredningstid och de berörda personernas rätt till försvar.(33)

32. I det nu aktuella fallet framstår det som tillräckligt att Bundeskartellamt inledde ett samarbete med de nationellt ansvariga tillsynsmyndigheterna(34) och även informellt kontaktade den irländska ansvariga tillsynsmyndigheten, omständigheter som har anförts av Bundeskartellamt och som ska kontrolleras av den hänskjutande domstolen, för att denna myndighet ska anses ha fullgjort sina skyldigheter i fråga om omsorg och lojalt samarbete.(35)

33. Sammanfattningsvis föreslår jag att domstolen ska besvara tolkningsfråga 7 på följande sätt. Artiklarna 51–66 i dataskyddsförordningen ska tolkas så, att en konkurrensmyndighet i anslutning till en granskning som har ett annat syfte, inom ramen för sina befogenheter enligt konkurrenslagstiftningen, får granska det ifrågavarande beteendets förenlighet med dataskyddsförordningens bestämmelser. Konkurrensmyndigheten ska samtidigt beakta den enligt dataskyddsförordningen behöriga tillsynsmyndighetens eventuella beslut eller undersökningar och underrätta den nationella tillsynsmyndigheten om sin granskning och vid behov samråda med denna myndighet.

Tolkningsfråga 2

34. Den hänskjutande domstolen har ställt tolkningsfråga 2 för att få klarhet i huruvida artikel 9.1 i dataskyddsförordningen ska tolkas så, att det omtvistade tillvägagångssättet, vad gäller besök på webbplatser och användning av appar som tillhör tredje part,(36) är hänförligt till sådan behandling av angivna känsliga personuppgifter(37) som är förbjuden(38) (fråga 2 a) och, i så fall, huruvida artikel 9.2 e i förordningen ska tolkas så, att en användare ska anses ha offentliggjort på ett tydligt sätt, i den mening som avses i denna bestämmelse, dels uppgifter som avslöjas när användaren besöker webbplatser och använder appar, dels uppgifter som fylls i eller blir följden av att användaren klickar på knappar som är integrerade i dessa webbplatser eller appar(39) (fråga 2 b).

35. När det först gäller fråga 2 a vill jag erinra om att behandling av känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen är förbjuden. Dessa uppgifter ses som särskilt skyddsvärda, såsom framgår av skäl 51 i förordningen, på grund av att de till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna och att behandling av sådana uppgifter kan innebära betydande risker för dessa fri- och rättigheter. Trots bestämmelsens något oklara lydelse(40) tycks den också, som den hänskjutande domstolen har antagit, göra en saklig skillnad mellan personuppgifter som är känsliga för att de ”avslöjar” en viss situation och personuppgifter som är känsliga i sig själva.(41)

36. I det nu aktuella fallet anser jag att det är uppenbart att det omtvistade tillvägagångssättet utgör en behandling av personuppgifter som i princip kan omfattas av tillämpningsområdet för denna bestämmelse och vara förbjuden, när de uppgifter som behandlas ”avslöjar” någon av de känsliga situationer som anges i bestämmelsen. Det ska alltså fastställas huruvida och i vilken mån besök på webbplatser och användning av appar eller den omständigheten att användaren fyller i uppgifter på webbplatserna och i appar kan ”avslöja” någon av de känsliga situationer som avses i den aktuella bestämmelsen.

37. Jag tror inte att det är relevant (och alltid möjligt) att skilja mellan, å ena sidan, ett rent intresse hos den registrerade för vissa uppgifter och, å andra sidan, hans eller hennes tillhörighet till någon av de kategorier som avses i den aktuella bestämmelsen.(42) Parterna i det nationella målet har intagit motsatta ståndpunkter i detta avseende.(43) Jag anser emellertid att svaret på denna fråga endast står att finna i varje enskilt fall och med avseende på var och en av de aktiviteter som ingår i det omtvistade tillvägagångssättet.

38. Enbart en insamling av känsliga personuppgifter om besök på en webbplats eller användning av en app behöver inte i sig, såsom den tyska regeringen har framhållit, nödvändigtvis betraktas som behandling av känsliga personuppgifter i den mening som avses i denna bestämmelse.(44) Däremot ligger det närmare till hands att sammanlänkningen av dessa uppgifter med den registrerades Facebookkonto eller användningen av dessa uppgifter är ett beteende som skulle kunna utgöra en sådan behandling. Den springande punkten med avseende på tillämpning av artikel 9.1 i dataskyddsförordningen är enligt min mening att uppgifterna som behandlas kan möjliggöra en profilering av användaren utifrån de kategorier som framträder i uppräkningen av känsliga uppgifter i bestämmelsen.(45)

39. För att i detta sammanhang kunna avgöra om en behandling av uppgifter omfattas av tillämpningsområdet för denna bestämmelse, kan det vara lämpligt att i förevarande fall göra åtskillnad mellan, å ena sidan, behandling av uppgifter som vid första påseendet kan klassificeras som känsliga personuppgifter, vilka i sig gör det möjligt att profilera den berörda personen, och, å andra sidan, behandling av uppgifter som inte i sig är känsliga men som kräver ytterligare grupperingsaktivitet för att dra trovärdiga slutsatser för en profilering av den registrerade.

40. Jag vill emellertid klargöra att förekomsten av en kategorisering i den mening som avses i denna bestämmelse är oberoende av frågan huruvida denna kategorisering är sann eller riktig.(46) Avgörande är möjligheten att en sådan kategorisering medför en betydande risk för den registrerades grundläggande fri- och rättigheter, såsom erinras om i skäl 51 i dataskyddsförordningen, och denna möjlighet är oberoende av kategoriseringens riktighet.

41. När det slutligen gäller den hänskjutande domstolens önskan att få klarhet i huruvida ändamålet med användningen är relevant för bedömningen i fråga,(47) anser jag, tvärtemot vad klaganden i det nationella målet har anfört, att det i princip inte krävs att den personuppgiftsansvarige behandlar dessa uppgifter ”med vetskap om och i avsikt att direkt få fram särskilda kategorier av uppgifter”. Syftet med bestämmelsen i fråga är nämligen att på ett objektivt sätt förhindra betydande risker för de registrerades grundläggande fri- och rättigheter som orsakas av behandlingen av känsliga personuppgifter, oavsett alla subjektiva aspekter såsom avsikten hos den personuppgiftsansvarige.

42. Vad beträffar fråga 2 b vill jag erinra om att förbudet mot behandling av känsliga personuppgifter enligt artikel 9.2 e i dataskyddsförordningen inte gäller om behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Adverbialet ”på ett tydligt sätt” i bestämmelsens lydelse och den omständigheten att bestämmelsen utgör ett undantag från det principiella förbudet mot behandling av känsliga personuppgifter(48) innebär att detta undantag ska tillämpas synnerligen strikt, på grund av de betydande riskerna för de registrerades grundläggande fri- och rättigheter.(49) För att undantaget ska vara tillämpligt krävs enligt min mening att användaren är fullt medveten om att han eller hon, genom en explicit handling,(50) offentliggör personuppgifter.(51)

43. I det nu aktuella fallet anser jag att ett beteende bestående i att besöka webbplatser och använda appar, fylla i uppgifter på webbplatserna och i apparna samt klicka på knappar som är integrerade i dessa i princip inte kan likställas med ett beteende genom vilket användaren på ett tydligt sätt offentliggör känsliga personuppgifter i den mening som avses i artikel 9.2 e i dataskyddsförordningen.

44. Besök på webbplatser och användning av appar innebär närmare bestämt att uppgifterna om sådana besök och sådan användning i princip enbart görs tillgängliga för den som är ansvarig för webbplatsen eller appen i fråga och för den tredje part som vederbörande vidarebefordrar dessa uppgifter, såsom klaganden i det nationella målet.(52) Även om den registrerade genom att fylla i uppgifter på webbplatser och i appar direkt eller indirekt skulle kunna lämna information om vissa känsliga personuppgifter, vill jag också påpeka att sådana uppgifter på samma sätt endast är tillgängliga för den som är ansvarig för webbplatsen eller appen och för den tredje part till vilken vederbörande vidarebefordrar uppgifterna. Jag ser det alltså som uteslutet att ett sådant beteende kan anses uttrycka en vilja att göra dessa uppgifter tillgängliga för alla.(53) Även om det också är uppenbart att den registrerade genom att klicka på integrerade knappar på webbplatser och i appar(54) klart och tydligt uttrycker en vilja att dela vissa uppgifter med en allmänhet utanför webbplatsen eller appen i fråga, anser jag att vederbörande, såsom Bundeskartellamt har understrukit, genom detta beteende är medveten om att uppgifterna delas med en bestämd krets av personer, vilka ofta definieras av användaren själv,(55) inte med alla.(56)

45. När det slutligen gäller relevansen av ett samtycke som användaren kan ha lämnat enligt artikel 5.3 i direktiv 2002/58 för att personuppgifter ska kunna samlas in med hjälp av kakor eller liknande teknik, vilket har berörts av den hänskjutande domstolen, anser jag att detta samtycke, mot bakgrund av dess specifika syfte, i sig inte kan motivera en behandling av känsliga personuppgifter som samlats in på så sätt.(57) Nämnda samtycke, vilket krävs för att ett tekniskt hjälpmedel för att läsa av vissa av användarens aktiviteter ska få installeras,(58) rör inte behandling av känsliga personuppgifter och kan inte likställas med en vilja att på ett tydligt sätt offentliggöra dessa uppgifter i den mening som avses i artikel 9.2 e i dataskyddsförordningen.(59)

46. Sammanfattningsvis föreslår jag att domstolen ska besvara tolkningsfråga 2 på följande sätt. Artikel 9.1 i dataskyddsförordningen ska tolkas så, att förbudet mot behandling av känsliga personuppgifter kan omfatta behandling av uppgifter som utförs av en operatör av ett socialt onlinenätverk och som består av insamling av uppgifter om en användare när användaren besöker andra webbplatser eller använder andra appar eller fyller i uppgifter där, sammanlänkning av dessa uppgifter med användarens konto på det sociala nätverket och användning av uppgifterna, förutsatt att den information som behandlas, enskilt eller sammantaget, möjliggör en profilering av användaren utifrån de kategorier som återfinns i uppräkningen av känsliga personuppgifter i denna bestämmelse. Artikel 9.2 e i dataskyddsförordningen ska tolkas så, att en användare inte offentliggör uppgifter på ett tydligt sätt på grund av att dessa har angetts vid besök på webbplatser eller vid användning av appar eller fyllts i på dessa webbplatser eller i dessa appar eller framkommit genom att användaren klickar på knappar som är integrerade på dessa webbplatser eller i dessa appar.

Tolkningsfrågorna 3, 4 och 5

47. Den hänskjutande domstolen har ställt tolkningsfrågorna 3, 4 och 5 för att få klarhet i huruvida artikel 6.1 b, c, d, e och f i dataskyddsförordningen ska tolkas så, att det omtvistade tillvägagångssättet(60) omfattas av tillämpningsområdet för någon av de grunder som anges i dessa bestämmelser, närmare bestämt

– att det är nödvändigt för avtalets fullgörande(61) eller av hänsyn till berättigade intressen,(62) med hänsyn till att Meta Platforms driver ett reklamfinansierat digitalt socialt nätverk och enligt sina användarvillkor erbjuder ett personligt anpassat innehåll, personligt anpassad reklam, nätverkssäkerhet, produktförbättring och kontinuerlig och sömlös användning av alla koncernens produkter (tolkningsfråga 3),

– av hänsyn till berättigade intressen(63) i vissa situationer(64) (tolkningsfråga 4),

– att det är nödvändigt att kunna tillmötesgå en rättsligt giltig begäran om utlämning av vissa uppgifter,(65) att motverka skadliga beteenden och främja säkerhet(66) eller samhällsnyttiga forskningsändamål och behovet av att främja skydd, integritet och säkerhet(67) (tolkningsfråga 5).

48. Inledningsvis föreslår jag, trots att vissa tvivel kvarstår gällande huruvida tolkningsfrågorna 4 och 5 kan tas upp till sakprövning,(68) att fråga 3–5 ska prövas tillsammans. Det som anförs nedan, huvudsakligen vad avser den tredje tolkningsfrågan, kan nämligen även vara användbart för den hänskjutande domstolen när den ska tillämpa de bestämmelser som är föremål för tolkningsfrågorna 4 och 5.

49. Jag vill först och främst framhålla att personuppgifter, i enlighet med artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), ska behandlas lagenligt, för bestämda ändamål och på grundval av en legitim och lagenlig grund. I artikel 6.1 i dataskyddsförordningen anges att behandling av dessa uppgifter endast är laglig om något av de sex villkor som anges i bestämmelsen är uppfyllt.(69)

50. I det nu aktuella fallet anser jag först och främst att tolkningsfråga 3–5 kräver en ingående analys av varje enskild klausul i Facebooks användarvillkor mot bakgrund av det omtvistade tillvägagångssättet, eftersom det inte är möjligt att med avseende på detta tillvägagångssätt fastställa huruvida ”ett företag som [Meta Platforms]” kan göra gällande, i sin helhet, alla (eller några av) grunderna i artikel 6.1 i dataskyddsförordningen, även om det är uteslutet att nämnda tillvägagångssätt eller vissa av dess aktiviteter i vissa fall kan falla inom tillämpningsområdet för denna artikel.(70)

51. Den behandling som avses i de angivna bestämmelserna utförs, i det aktuella fallet, med stöd av de allmänna avtalsvillkor som den personuppgiftsansvarige har ställt upp, utan den registrerades samtycke(71) eller till och med mot den registrerades vilja. Jag menar att det ställer krav på en strikt tolkning av de aktuella grunderna, inte minst för att förhindra att villkoret om den registrerades samtycke kringgås.(72)

52. Jag erinrar slutligen om att bevisbördan enligt artikel 5.2 i dataskyddsförordningen åligger den personuppgiftsansvarige som ska visa att personuppgifter behandlas i enlighet med förordningen och att det enligt artikel 13.1 c i nämnda förordning ankommer på den personuppgiftsansvarige att precisera ändamålen med den behandling som uppgifterna är avsedda för samt den rättsliga grunden för behandlingen.

Tolkningsfråga 3

53. Enligt artikel 6.1 b i dataskyddsförordningen är behandling av personuppgifter laglig i den mån den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.(73)

54. Vad som avses med begreppet nödvändigt fastställs inte i unionsrätten men det utgör ändå, enligt rättspraxis, ett självständigt unionsrättsligt begrepp.(74) För att behandlingen ska vara nödvändig för att fullgöra avtalet, räcker det inte att den utförs i samband med fullgörandet av avtalet eller att den anges i avtalet(75) eller ens att den helt enkelt är ändamålsenlig för fullgörandet av avtalet.(76) Behandlingen ska enligt domstolens praxis vara objektivt nödvändig för fullgörandet av avtalet i den meningen att det inte går att tänka sig åtgärder som medför mindre långtgående ingrepp,(77) även med hänsyn till den registrerades rimliga förväntningar.(78) Detta innebär även att om ett avtal består av flera fristående tjänster eller delar av en tjänst som i själva verket rimligen kan utföras oberoende av varandra ska tillämpligheten av artikel 6.1 b i dataskyddsförordningen bedömas mot bakgrund av var och en av dessa tjänster separat.(79)

55. I samband med denna grund har den hänskjutande domstolen nämnt det personligt anpassade innehållet och den kontinuerliga och sömlösa användningen av koncernens produkter (eller snarare tjänster).

56. Vad beträffar det personligt anpassade innehållet tycks en sådan aktivitet visserligen i viss mån kunna ligga i användarens intresse, i den del den gör det möjligt att inte minst i ”nyhetsflödet” presentera innehåll som enligt en automatiserad bedömning motsvarar användarens intressen. Det är emellertid inte uppenbart att den även skulle vara nödvändig för att tjänsten ska kunna tillhandahållas av det ifrågavarande sociala nätverket, på så sätt att behandlingen av personuppgifter för dessa ändamål inte skulle kräva användarens samtycke.(80) Vid denna granskning bör hänsyn även tas till att det omtvistade tillvägagångssättet inte avser behandling av uppgifter om användarens beteende på Facebooksidan eller i Facebookappen, utan av uppgifter som härrör från externa, och alltså ett potentiellt obegränsat antal, källor. Frågan är alltså i vilken mån denna behandling skulle kunna motsvara en genomsnittlig användares förväntningar och, mer allmänt, vilken ”grad av personlig anpassning” som användaren kan förvänta sig av den tjänst som han eller hon registrerar sig i.(81)

57. När det gäller den kontinuerliga och sömlösa användningen av koncernens tjänster, vill jag påpeka att det visserligen kan vara till gagn för användaren, och till och med efterfrågas av denne, att det finns en koppling mellan de olika tjänster som klaganden i det nationella målet erbjuder, till exempel mellan Facebook och Instagram. Jag har emellertid svårt att tro att det är nödvändigt att behandla personuppgifter från koncernens andra tjänster (bland annat Instagram) för att tillhandahålla Facebooktjänsterna.(82)

58. Vidare är behandlingen laglig enligt artikel 6.1 f i dataskyddsförordningen om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

59. I bestämmelsen i fråga föreskrivs enligt domstolens praxis tre kumulativa villkor för att en behandling av personuppgifter ska vara tillåten, nämligen för det första att det ska föreligga ett berättigat intresse hos den personuppgiftsansvarige eller hos den tredje part eller de tredje parter som uppgifterna lämnas ut till, för det andra att behandlingen av personuppgifter ska vara nödvändig för det berättigade intresse som eftersträvas och för det tredje att den registrerades grundläggande fri- och rättigheter inte väger tyngre.(83)

60. När det först och främst gäller att eftersträva ett berättigat intresse, finns det en lång rad intressen som enligt dataskyddsförordningen och rättspraxis ska betraktas som berättigade.(84) Samtidigt ankommer det enligt artikel 13.1 d i dataskyddsförordningen på personuppgiftsansvarig att ange vilka berättigade intressen som eftersträvas inom ramen för artikel 6.1 f i dataskyddsförordningen.(85)

61. Vad sedan gäller villkoret att behandlingen av personuppgifter ska vara nödvändig för att uppnå det berättigade intresset, ska undantag från och inskränkningar av principen om skydd av personuppgifter enligt domstolens praxis inskränkas till vad som är strängt nödvändigt.(86) Det krävs således att det finns en nära koppling mellan behandlingen och det intresse som eftersträvas och att det saknas alternativ som i större utsträckning iakttar skyddet av personuppgifter, eftersom det inte är tillräckligt att behandlingen helt enkelt är till nytta för personuppgiftsansvarig.

62. När det slutligen gäller avvägningen mellan den personuppgiftsansvariges intressen och de registrerades grundläggande fri- och rättigheter, ankommer det enligt domstolens praxis på den hänskjutande domstolen att göra en avvägning mellan de intressen som står på spel.(87) Såsom anges i skäl 47 i dataskyddsförordningen ska hänsyn vid denna avvägning ofrånkomligen tas till den registrerades rimliga förväntningar på grundval av dennes förhållande till den personuppgiftsansvarige. Det ska fastställas huruvida den registrerade då personuppgifter lämnas och i samband med detta rimligen kan förvänta sig att uppgifterna kan komma att behandlas för detta ändamål.

63. Den hänskjutande domstolen har i samband med denna grund anfört personlig anpassning av reklam, nätsäkerhet och produktförbättring.

64. När det först och främst gäller den personliga anpassningen av reklamen framgår det av skäl 47 i dataskyddsförordningen att behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse för den personuppgiftsansvarige. Vad beträffar frågan huruvida behandlingen är nödvändig vill jag emellertid framhålla att uppgifterna i fråga härrör från källor utanför Facebook. Frågan blir då vilken ”grad av personlig anpassning” av reklamen som objektivt sett är nödvändig i detta avseende. När det gäller avvägningen av de intressen som står på spel, bör hänsyn enligt min mening tas till arten av det berättigade intresset i fråga (i det nu aktuella fallet ett rent ekonomiskt intresse) och behandlingens inverkan på användaren, däribland användarens rimliga förväntningar och eventuella skyddsåtgärder som vidtagits av den personuppgiftsansvarige.(88)

65. Liknande överväganden kan även framhållas när det gäller nätsäkerheten. Även om en sådan grund kan utgöra ett berättigat intresse för den personuppgiftsansvarige,(89) är det nämligen inte lika uppenbart att behandlingen är nödvändig i det nu aktuella fallet, inte minst med hänsyn till att uppgifterna i fråga härrör från källor utanför Facebook.(90) Jag vill i vart fall erinra om att det ankommer på den personuppgiftsansvarige att ange vilka säkerhetsskäl som eventuellt ligger till grund för varje behandling.

66. När det slutligen gäller produktförbättring bör en sådan grund, visserligen med undantag för förbättringar som rör säkerheten och som omfattas av den särskilda grund som granskas ovan, snarare ligga i användarens intresse än i den personuppgiftsansvariges. Sett ur den synvinkeln är det svårt att se i vilken mån denna grund skulle kunna utgöra ett berättigat intresse för den personuppgiftsansvarige som inte kräver användarens samtycke. När det gäller kravet på nödvändighet och avvägningen mellan de rättigheter och intressen som står på spel hänvisar jag till de överväganden som görs ovan.

Tolkningsfrågorna 4 och 5

67. Den hänskjutande domstolen har ställt tolkningsfråga 4, i förlängningen av fråga 3, för att få klarhet i huruvida vissa situationer som räknas upp innebär att det föreligger ett berättigat intresse i den mening som avses i artikel 6.1 f i dataskyddsförordningen. Fråga 5 har ställts för att den hänskjutande domstolen ska få klarhet i huruvida omständigheterna att det är nödvändigt att besvara en rättsligt giltig begäran om utlämnande av vissa uppgifter, att det är nödvändigt att motverka skadliga beteenden och främja säkerheten eller samhällsnyttiga forskningsändamål och att det är nödvändigt att främja skydd, integritet samt säkerhet utgör grunder som kan tillämpas på det omtvistade tillvägagångssättet.(91)

68. Oavsett om dessa frågor kan tas upp till prövning(92) anser jag rent allmänt att det inte är uteslutet, vad gäller tolkningsfråga 4, att vissa klausuler som karakteriserar det omtvistade tillvägagångssättet kan vara motiverade av berättigade intressen under de omständigheter som berörts av den hänskjutande domstolen(93) och att det omtvistade tillvägagångssättet, vad gäller fråga 5, kan vara motiverat i vissa situationer med stöd av de angivna bestämmelserna.

69. Det framgår emellertid inte av beslutet om hänskjutande huruvida, och i vilken mån, Meta Platforms Ireland för varje behandlingsändamål och varje typ av behandlade uppgifter har angett vilka berättigade intressen som konkret har eftersträvats eller andra grunder som kan vara relevanta i det aktuella fallet.(94) Det ankommer således på den hänskjutande domstolen att med beaktande av vad som anförs ovan undersöka i vilken mån det omtvistade tillvägagångssättet under de omständigheter som berörts av den hänskjutande domstolen är motiverat genom att Meta Platforms Ireland har berättigade intressen av att behandla uppgifterna i den mening som avses i artikel 6.1 f i dataskyddsförordningen eller genom något annat villkor som anges i artikel 6.1 c, d och e i denna förordning.

Svaret på tolkningsfrågorna 3–5

70. Sammanfattningsvis föreslår jag att domstolen ska besvara tolkningsfrågorna 3–5 på följande sätt: Artikel 6.1 b, c, d, e och f i dataskyddsförordningen ska tolkas så, att det omtvistade tillvägagångssättet eller vissa aktiviteter som ingår i det kan omfattas av undantagen i dessa bestämmelser, förutsatt att varje granskat sätt att behandla uppgifterna uppfyller villkoren för den grund som konkret har angetts av den personuppgiftsansvarige och följaktligen att

– behandlingen objektivt sett är nödvändig för att tjänster som rör Facebookkontot ska kunna tillhandahållas,

– behandlingen är nödvändig för ändamål som rör ett berättigat intresse som angetts av den personuppgiftsansvarige eller hos den tredje part eller de tredje parter som uppgifterna har lämnats ut till och inte på ett oproportionerligt sätt påverkar den registrerades grundläggande fri- och rättigheter, samt att

– behandlingen är nödvändig för att besvara en rättsligt giltig begäran om utlämnande av vissa uppgifter, för att motverka skadliga beteenden och främja säkerheten eller för samhällsnyttiga forskningsändamål samt för att främja skydd, integritet och säkerhet.

Tolkningsfråga 6

71. Den hänskjutande domstolen har ställt tolkningsfråga 6 för att få klarhet i huruvida artiklarna 6.1 a och 9.2 a i dataskyddsförordningen ska tolkas så, att ett giltigt och frivilligt samtycke i den mening som avses i artikel 4 led 11 i denna förordning kan lämnas till ett företag med en dominerande ställning på den nationella marknaden för sociala onlinenätverk för privata användare.

72. Inledningsvis erinrar jag om att det i artiklarna 6.1 a och 9.2 a i dataskyddsförordningen föreskrivs en skyldighet att inhämta den registrerades samtycke till behandling av personuppgifter i allmänhet respektive behandling av känsliga personuppgifter. Enligt artikel 4 led 11 i dataskyddsförordningen betyder samtycke av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.(95)

73. När det närmare bestämt gäller villkoret om frivilligt samtycke, som är det enda som är ifrågasatt i det nu aktuella fallet, framhåller jag att samtycke enligt skäl 42 i dataskyddsförordningen inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet(96) eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.(97) Den personuppgiftsansvarige ska dessutom, såsom föreskrivs i artikel 7.1 i dataskyddsförordningen (och såsom erinras om i skäl 42 i förordningen), när behandlingen grundas på den registrerades samtycke, kunna visa att den registrerade har samtyckt till behandlingen av hans eller hennes uppgifter.

74. Relevant i det nu aktuella fallet är först och främst att ett samtycke, såsom understryks i skäl 43 första meningen i dataskyddsförordningen, inte utgör en giltig rättslig grund för behandling av personuppgifter om det råder en ”betydande ojämlikhet” mellan den registrerade och den personuppgiftsansvarige.(98) Enligt artikel 7.4 i dataskyddsförordningen ska största möjliga hänsyn tas, vid bedömningen av huruvida samtycket är frivilligt, bland annat till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.(99) Slutligen bör samtycket enligt skäl 43 andra meningen i dataskyddsförordningen även antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet.(100)

75. I det nu aktuella fallet anser jag att det har betydelse om en personuppgiftsansvarig som driver ett socialt nätverk har en dominerande ställning på marknaden vid bedömningen av huruvida det föreligger ett frivilligt samtycke från användarna av detta nätverk. Om den personuppgiftsansvarige har en stark ställning på marknaden kan det uppstå en uppenbar obalans i styrkeförhållandena, i den mening som avses ovan i punkt 74 i detta förslag till avgörande(101). Jag vill emellertid förtydliga dels att det inte är nödvändigt, för att en sådan stark ställning på marknaden ska vara relevant vid tillämpning av dataskyddsförordningen, att likställa denna ställning med tröskeln för en dominerande ställning i den mening som avses i artikel 102 FEUF,(102) dels att den enda omständigheten i princip inte innebär att ett samtycke förlorar all giltighet.(103)

76. Giltigheten av ett samtycke ska följaktligen prövas i varje enskilt fall, mot bakgrund av de andra faktorer som anges ovan i punkterna 73 och 74 samt med beaktande av samtliga omständigheter i det aktuella fallet och av den personuppgiftsansvariges uppgift att visa att den registrerade har lämnat sitt samtycke till behandlingen av personuppgifter.

77. Sammanfattningsvis föreslår jag att tolkningsfråga 6 ska besvaras på följande sätt. Artiklarna 6.1 a och 9.2 a i dataskyddsförordningen ska tolkas så, att enbart den omständigheten att ett företag som driver ett socialt nätverk har en dominerande ställning på den nationella marknaden för sociala onlinenätverk för privata användare inte i sig innebär att det samtycke som en användare av nätverket har lämnat till behandling av hans eller hennes personuppgifter förlorar sin giltighet i den mening som avses i artikel 4 le 11 i dataskyddsförordningen. En sådan omständighet har emellertid betydelse vid bedömningen av huruvida samtycket är frivilligt i den mening som avses i denna bestämmelse, något som det ankommer på den personuppgiftsansvarige att visa, i förekommande fall med beaktande av en eventuell uppenbar obalans i styrkeförhållandet mellan den registrerade och den personuppgiftsansvarige, ett eventuellt krav på att samtycka till annan behandling av personuppgifterna än vad som är strikt nödvändigt för att tillhandahålla de aktuella tjänsterna, den omständigheten att samtycket ska vara specifikt för varje behandlingsändamål och att ett återtagande av ett samtycke inte får medföra skada för den användare som återtar sitt samtycke.

Förslag till avgörande

78. Mot bakgrund av vad som anförs ovan föreslår jag att domstolen ska besvara de tolkningsfrågor som ställts av Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf, Tyskland) på följande sätt:

1) Artiklarna 51–66 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 5/46/EG (allmän dataskyddsförordning),

ska tolkas så, att

att en konkurrensmyndighet i anslutning till en granskning som har ett annat syfte, inom ramen för sina befogenheter enligt konkurrenslagstiftningen, får granska det ifrågavarande beteendets förenlighet med dataskyddsförordningens bestämmelser. Konkurrensmyndigheten ska samtidigt beakta den enligt dataskyddsförordningen behöriga tillsynsmyndighetens eventuella beslut eller undersökningar och underrätta den nationella tillsynsmyndigheten om sin granskning och vid behov samråda med denna myndighet.

2) Artikel 9.1 i förordning nr 2016/679

ska tolkas så, att

förbudet mot behandling av känsliga personuppgifter kan omfatta behandling av uppgifter som utförs av en operatör av ett socialt onlinenätverk och som består av insamling av uppgifter om en användare när användaren besöker andra webbplatser eller använder andra appar eller fyller i uppgifter där, sammanlänkning av dessa uppgifter med användarens konto på det sociala nätverket och användning av uppgifterna, förutsatt att den information som behandlas, enskilt eller sammantaget, möjliggör en profilering av användaren utifrån de kategorier som återfinns i uppräkningen av känsliga personuppgifter i denna bestämmelse.

Artikel 9.2 e i förordningen ska tolkas så, att

en användare inte offentliggör uppgifter på ett tydligt sätt på grund av att dessa har angetts vid besök på webbplatser eller vid användning av appar eller fyllts i på dessa webbplatser eller i dessa appar eller framkommit genom att användaren klickar på knappar som är integrerade på dessa webbplatser eller i dessa appar.

3) Artikel 6.1 b, c, d, e och f i förordning 2016/679

ska tolkas så, att

det tillvägagångssätt som består i att för det första samla in uppgifter från koncernens andra tjänster och från tredje mans webbplatser och appar med hjälp av integrerade gränssnitt i de sistnämnda eller med hjälp av kakor som registreras i användarens dator eller mobila enhet, för det andra sätta uppgifterna i relation till den berörda användarens Facebookkonto och, för det tredje, använda uppgifterna eller vissa delar av detta tillvägagångssätt kan omfattas av de undantag som föreskrivs i dessa bestämmelser, förutsatt att varje behandling av uppgifter som granskas uppfyller de villkoren som föreskrivs för den konkreta grund som angetts av den personuppgiftsansvarige och förutsatt att

– behandlingen objektivt sett är nödvändig för att tillhandahålla tjänster som rör Facebookkontot,

– behandlingen är nödvändig för ändamål som rör ett berättigat intresse som angetts av den personuppgiftsansvarige eller av den tredje part eller de tredje parter som uppgifterna lämnas ut till och inte på ett oproportionerligt sätt påverkar den registrerades grundläggande fri- och rättigheter, samt att

4) Artikel 6.1 a och artikel 9.2 a i förordning 2016/679

ska tolkas så, att

enbart den omständigheten att ett företag som driver ett socialt nätverk har en dominerande ställning på den nationella marknaden för sociala onlinenätverk för privata användare inte i sig innebär att det samtycke som en användare av nätverket har lämnat till behandling av hans eller hennes personuppgifter förlorar sin giltighet i den mening som avses i artikel 4 le 11 i dataskyddsförordningen. En sådan omständighet har emellertid betydelse vid bedömningen av huruvida samtycket är frivilligt i den mening som avses i denna bestämmelse, något som det ankommer på den personuppgiftsansvarige att visa, i förekommande fall med beaktande av en eventuell uppenbar obalans i styrkeförhållandet mellan den registrerade och den personuppgiftsansvarige, ett eventuellt krav på att samtycka till annan behandling av personuppgifterna än vad som är strikt nödvändigt för att tillhandahålla de aktuella tjänsterna, den omständigheten att samtycket ska vara specifikt för varje behandlingsändamål och att ett återtagande av ett samtycke inte får medföra skada för den användare som återtar sitt samtycke.

1 Originalspråk: franska.

2 Meta Platforms Inc., tidigare Facebook Inc., Meta Platforms Ireland Limited, tidigare Facebook Ireland Ltd., och Facebook Deutschland GmbH (nedan kallade Meta Platforms eller klaganden i det nationella målet).

3 Beslut B6‑22/16 av den 6 februari 2019 (nedan kallat det omtvistade beslutet).

4 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 5/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

5 I den lydelse som var i kraft till och med den 18 januari 2021.

6 Meta Platforms samlar för detta ändamål in dels uppgifter som användarna själva lämnar direkt när de registrerar sig för de berörda onlinetjänsterna, dels andra uppgifter om användarna och deras utrustning, på och utanför det sociala nätverket och de onlinetjänster som koncernen tillhandahåller. Dessa uppgifter kopplas sedan ihop med de berörda användarnas olika konton. De insamlade uppgifterna gör det möjligt att dra detaljerade slutsatser om användarnas preferenser och intressen.

7 När det särskilt gäller behandling av personuppgifter hänvisas det i användarvillkoren till en policy för användning av personuppgifter och kakor som fastställts av Meta Platforms. Enligt denna policy samlar Meta Platforms in uppgifter om användarna och deras apparater som rör deras aktivitet på och utanför det sociala nätverket. Dessa uppgifter kopplas sedan till deras facebook-konton. Aktivitet utanför det sociala nätverket består dels av besök på och användning av webbplatser och appar som tillhör tredje man och som är kopplade till Facebook genom programmeringsgränssnitt (”Facebook Business Tools”), dels av användning av andra onlinetjänster som tillhör Facebook, däribland Instagram och WhatsApp.

8 Bundeskartellamt menade att denna behandling, som ett utryck för bolagets starka ställning på marknaden, stred mot bestämmelserna i dataskyddsförordningen och inte var motiverad mot bakgrund av artikel 6.1 och artikel 9.2 i denna förordning.

9 Den 31 juli 2019 införde Meta Platforms nya användarvillkor efter ett initiativ av Europeiska kommissionen och medlemsstaternas nationella konsumentskyddsorganisationer. I de nya användarvillkoren anges det uttryckligen att användaren, i stället för att betala för att använda Facebooks produkter, ger sitt samtycke till reklamannonserna. Meta Platforms erbjuder också, sedan den 28 januari 2020, användare i hela världen att ta del av sin aktivitet utanför Facebook (”Off-Facebook-Activity”). Härigenom kan facebookanvändarna få en sammanfattning av uppgifter om dem som inhämtats i samband med deras aktivitet på andra webbplatser och i andra appar, och att om de så önskar separera dessa uppgifter från deras Facebook-konto, både vad gäller tidigare och framtida aktivitet.

10 Jag anser att formuleringen ”fastställer … åsidosätter [dataskyddsförordningen] … samt meddelar ett föreläggande om att överträdelsen ska upphöra” i den första tolkningsfrågan ska tolkas på detta vis.

11 Dataskyddsförordningen innebär en fullständig harmonisering av rätten till uppgiftsskydd, vars centrala beståndsdel är en harmoniserad genomförandemekanism grundad på principen om en enda kontaktpunkt enligt artiklarna 51–67 i denna förordning. Därför är det som jag ser det uppenbart att en annan myndighet än tillsynsmyndigheterna enligt nämnda förordning (till exempel en konkurrensmyndighet) varken är behörig att först fastställa en överträdelse av denna förordning eller att tillämpa de påföljder som föreskrivs.

12 Med hänsyn till att en konkurrensmyndighet varken är behörig att först fastställa en överträdelse av förordningen eller att tillämpa de föreskrivna påföljderna, anser jag hursomhelst att ett eventuellt beslut i den riktningen som fattas av en konkurrensmyndighet inte får inkräkta på tillsynsmyndigheternas behörighet enligt dataskyddsförordningen.

13 Det förefaller vara på detta sätt som formuleringen ”fastställa att företagets avtalsvillkor avseende behandling av personuppgifter och deras genomförande strider mot [dataskyddsförordningen]” i tolkningsfråga 7 ska tolkas.

14 Se fotnot 11 i detta förslag till avgörande.

15 Rådets förordning av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna 101 och 102 [FEUF] (EGT L 1, 2003, s. 1).

16 I likhet med artikel 19 GWB, som ligger till grund för det omtvistade beslutet.

17 Se till exempel, dom av den 6 september 2017, Intel/kommissionen (C‑413/14 P, EU:C:2017:632, punkt 136 och där angiven rättspraxis). Domstolen har klargjort att artikel 102 FEUF har allmän giltighet och inte kan begränsas av till exempel bestämmelser som unionslagstiftaren har antagit, i detta fall regelverket för elektronisk kommunikation (se, för ett liknande resonemang, dom av den 10 juli 2014, Telefónica och Telefónica de España/kommissionen, C‑295/12 P, EU:C:2014:2062, punkt 128).

18 Mot bakgrund av att de två kategorierna av bestämmelser har olika syften, är det nämligen uppenbart att ett beteende som rör behandling av uppgifter kan utgöra åsidosättande av konkurrensregler även om detta beteende är förenligt med dataskyddsförordningen och, tvärtom, ett beteende som är rättsstridigt enligt dataskyddsförordningen behöver inte föranleda slutsatsen att det innebär åsidosättande av konkurrensreglerna. Domstolen har i detta avseende klargjort att ett beteendes förenlighet med en särskild lagstiftning inte utesluter att artiklarna 101 FEUF och 102 FEUF är tillämpliga på samma beteende (se, bland annat, dom av den 6 december 2012, AstraZeneca/kommissionen (C‑457/10 P, EU:C:2012:770, punkt 132), i vilken domstolen även erinrade om att missbruk av dominerande ställning i de flesta fall utgörs av beteenden som i övrigt är lagenliga mot bakgrund av andra rättsordningar än konkurrensrätten). Om det endast var förfaranden som på samma gång är objektivt konkurrensbegränsande och rättsligt sett rättsstridiga som betraktades som missbruk i den mening som avses i artikel 102 FEUF, skulle det innebära att ett beteende, av det enda skälet att det är lagenligt, trots att det kan inverka menligt på konkurrensen, inte skulle kunna beivras enligt artikel 102 FEUF. Det skulle undergräva syftet med denna bestämmelse, vilket är att fastställa en ordning som säkerställer att konkurrensen inte snedvrids på den inre marknaden (se, för ett liknande resonemang, mitt förslag till avgörande i målet Servizio Elettrico Nazionale m.fl., C‑377/20, EU:C:2021:998, punkt 37). Enligt domstolens praxis är det endast om företagen åläggs att agera på ett konkurrensbegränsande sätt i nationell lagstiftning, eller om denna lagstiftning ger upphov till ett rättsligt ramverk som omöjliggör ett konkurrensmässigt beteende från företagens sida, som artiklarna 101 FEUF och 102 FEUF inte är tillämpliga, medan dessa artiklar kan vara tillämpliga om det visar sig att den nationella lagstiftningen ger utrymme för en konkurrens som kan hindras, begränsas eller snedvridas genom företagens självständiga beteende (se, för ett liknande resonemang, dom av den 14 oktober 2010, Deutsche Telekom/kommissionen, C‑280/08 P, EU:C:2010:603, punkt 80 och där angiven rättspraxis).

19 Att göra en tolkning som innebär att konkurrensmyndigheterna inom ramen för sin behörighet inte skulle få tolka bestämmelserna i dataskyddsförordningen vore i själva verket att undergräva den faktiska tillämpningen av unionens konkurrensrätt.

20 Den omständigheten att konkurrensmyndighetens tolkning av dataskyddsförordningen sker i anslutning till en annan granskning hindrar inte heller att denna tolkning kan bli föremål för en domstolsprövning vid en nationell domstol som är behörig i konkurrensfrågor, vilken i händelse av tolkningssvårigheter kan behöva begära ett förhandsavgörande av EU-domstolen, som i det nu aktuella fallet vad beträffar tolkningsfrågorna 2–6.

21 Konkurrensmyndighetens tolkning av dataskyddsförordningen i det enda syftet att tillämpa bestämmelser (och eventuellt besluta om påföljder) som föreskrivs i konkurrensrätten kan inte frånta tillsynsmyndigheterna de behörigheter och befogenheter som de har inom ramen för denna förordning. Konkurrensmyndighetens möjlighet att i anslutning till en annan granskning tolka nämnda förordning vållar inte heller några problem när det gäller tillämpningen av förordningen, som är förbehållen tillsynsmyndigheterna, eller när det gäller korrigerande åtgärder eller påföljder, eftersom de åtgärder eller påföljder som en konkurrensmyndighet eventuellt beslutar om grundas på andra berättigade regler, syften och intressen än dem som skyddas av dataskyddsförordningen (för övrigt är detta skälet till att påföljder som en konkurrensmyndighet i en sådan situation beslutar om och påföljder som tillsynsmyndigheten enligt dataskyddsförordningen beslutar om enligt min mening inte faller under principen ne bis in idem (se, analogt, dom av den 22 mars 2022, bpost, C‑117/20, EU:C:2022:202, punkterna 42–50).

22 Det finns en risk för olika tolkningar på alla områden som regleras genom bestämmelser som konkurrensmyndigheten ska eller får beakta för att avgöra om ett visst beteende är lagenligt mot bakgrund av konkurrensrätten.

23 I kapitel VI och kapitel VII i dataskyddsförordningen inrättas bland annat mekanismer för en enda kontaktpunkt för informationsutbyte och bistånd mellan tillsynsmyndigheterna.

24 Se rådets förordning nr 1/2003 och Europaparlamentets och rådets direktiv (EU) 2019/1 av den 11 december 2018 om att ge medlemsstaternas konkurrensmyndigheter befogenhet att mer effektivt kontrollera efterlevnaden av konkurrensreglerna och om att säkerställa en väl fungerande inre marknad (EUT L 11, 2019, s. 3).

25 Se bland annat, för ett liknande resonemang, dom av den 14 november 1989, Italien/kommissionen (14/88, EU:C:1989:421, punkt 20), och dom av den 11 juni 1991, Athanasopoulos m.fl. (C‑251/89, EU:C:1991:242, punkt 57).

26 Den samarbetsmekanism som genom dataskyddsförordningen inrättades mellan tillsynsmyndigheterna kan i sig betraktas som en lex specialis som kompletterar och preciserar den allmänna principen om lojalt samarbete i artikel 4.3 FEU (se bland annat, i doktrinen, Hijmans, H., ”Article 51 Supervisory authority”, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, s. 869). Samma sak gäller de andra samarbetsinstrument som fanns före det system som föreskrivs i dataskyddsförordningen, exempelvis systemet för samarbete mellan konkurrensmyndigheter (se bland annat kapitel IV i förordning 1/2003).

27 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Trstenjak i målet Gorostiaga Atxalandabaso/parlamentet (C‑308/07 P, EU:C:2008:498, punkt 89).

28 Se, bland annat, dom av den 2 juni 2022, Skeyes (C‑353/20, EU:C:2022:423, punkt 52 och där angiven rättspraxis). Vägledning om tillvägagångssätt skulle vid behov kunna hämtas från det samarbetssystem som inrättats genom dataskyddsförordningen och från samarbetssystemet på konkurrensområdet. I avsaknad av särskilda bestämmelser ska det samtidigt påpekas att konkurrensmyndighetens omsorgsplikt inte år så långtgående att den omfattas av sådana ingående skyldigheter som dem som föreskrivs inom ramen för det förfarande för samarbete och kontroll av enhetlighet som regleras i kapitel VII i dataskyddsförordningen (en konkurrensmyndighet kan till exempel inte förväntas skicka ett förslag till beslut till den behöriga tillsynsmyndigheten enligt denna förordning för att inhämta dess yttrande).

29 Se bland annat, analogt, på ett område som omfattas av unionens läkemedelslagstiftning, dom av den 23 januari 2018, F. Hoffmann-La Roche m.fl. (C‑179/16, EU:C:2018:25, punkterna 58–64).

30 Det beslut är med andra ord i sig en del av den rättsliga och faktiska ram som konkurrensmyndigheten ska granska, samtidigt som det står den fritt att dra sina slutsatser utifrån tillämpningen av konkurrensrätten (se fotnot 18 i detta förslag till avgörande).

31 I och med de nationella tillsynsmyndigheternas roll och uppgifter i det samarbetssystem som inrättats genom dataskyddsförordningen, anser jag att en interaktion med den nationella tillsynsmyndigheten i sig kan vara tillräcklig för att konkurrensmyndigheten ska anses ha uppfyllt sin omsorgsplikt och skyldigheten till lojalt samarbete, i synnerhet om konkurrensmyndigheten inte har möjlighet (med hänsyn till tillämpliga förfaranden enligt nationell rätt) eller medel (i synnerhet språkliga) för att interagera på ett tillfredsställande sätt med ansvarig tillsynsmyndighet i en annan medlemsstat.

32 Eller eventuellt, om denna myndighet finns i en annan medlemsstat, den nationella tillsynsmyndigheten (se fotnot 31 i detta förslag till avgörande).

33 Samtidigt vill jag erinra om att en tolkning som en konkurrensmyndighet gör av vissa bestämmelser i dataskyddsförordningen när den utövar sina befogenheter inte påverkar den tolkning och tillämpning av dessa bestämmelser som görs av de enligt förordningen behöriga tillsynsmyndigheterna (se fotnot 21 i detta förslag till avgörande).

34 Bundeskartellamt har i detta avseende grundat sig på tysk konkurrensrätt, enligt vilken myndigheten kan ha kontakter med de nationella tillsynsmyndigheterna enligt dataskyddsförordningen.

35 I synnerhet om den tyska förbundstillsynsmyndigheten och den irländska ansvariga tillsynsmyndigheten, såsom Bundeskartellamt har gjort gällande, bekräftat för Bundeskartellamt att den sistnämnda inte hade inlett något förfarande med avseende på samma tillvägagångssätt som Bundeskartellamt granskade.

36 Den hänskjutande domstolen har bland annat berört användarens besök på webbplatser eller appar och ifyllnad av uppgifter på dessa webbplatser och i dessa appar (till exempel flört- eller dejtingappar för homosexuella, eller webbplatser som tillhör politiska partier eller rör människors hälsa) som ger upphov till uppgifter som skyddas genom den aktuella bestämmelsen.

37 Nedan kallade känsliga personuppgifter. Det rör sig om behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

38 Jag vill i förbigående framhålla att Bundeskartellamt hyser tvivel i frågan om denna fråga är relevant för utgången av målet, eftersom den i sitt beslut beaktat ett samtycke enligt artikel 6.1 a i dataskyddsförordningen, inte ett samtycke enligt artikel 9.2 a i förordningen.

39 Den hänskjutande domstolen har i detta avseende hänfört sig till sociala insticksprogram, såsom fälten ”gilla” eller ”dela”, inloggning med Facebook (det vill säga möjligheten att identifiera sig med hjälp av inloggningsuppgifterna till sitt Facebook-konto) och ”Account kit” (det vill säga en möjlighet, som inte behöver vara kopplad till Facebook, att identifiera sig i en app eller på en webbplats med ett telefonnummer eller en e-postadress, utan att behöva något lösenord).

40 Jag vill även påpeka en betydande brist på överensstämmelse mellan den franska versionen av dataskyddsförordningen, vilken i bestämmelsens första mening hänför sig till en behandling av personuppgifter ”vilken avslöjar” vissa känsliga situationer, och den tyska versionen (liksom bland annat den grekiska och den italienska versionen), vilken hänför sig till en behandling av personuppgifter ”vilka avslöjar” dessa situationer. Om jag inte misstar mig är det den franska versionen av bestämmelsen som inte stämmer överens med flertalet av de andra språkversionerna. I det sammanhang som bestämmelsen ingår i förefaller det för övrigt mer logiskt att koppla verbet ”avslöja” till uppgifterna, eftersom det i fortsättningen av bestämmelsen anges att det är uppgifterna som ska bedömas, inte behandlingen. Detta framgår även av den franska texten i skäl 51 i dataskyddsförordningen, där det anges att känsliga personuppgifter ”bör inbegripa personuppgifter som avslöjar ras eller etniskt ursprung” (min kursivering).

41 Jag anser att det skulle strida mot andan i artikel 9.1 i dataskyddsförordningen bestämmelsens (och i denna förordning) – som är att skydda vissa känsliga uppgifter om en person – att till exempel göra skillnad mellan, å ena sidan, ras eller etniskt ursprung, vilket skulle omfatta ett förbud mot att behandla inte bara uppgifter som anger detta direkt, utan även uppgifter som avslöjar denna situation, och, å andra sidan, genetiska uppgifter, där förbudet mot behandling inte skulle sträcka sig till uppgifter som avslöjar denna situation. Det är inte alltid lätt att skilja mellan, å ena sidan, uppgifter som avslöjar vissa situationer (till exempel ras eller etniskt ursprung) och, å andra sidan, uppgifter som rör andra situationer (till exempel hälsa). Artikel 9.1 i dataskyddsförordningen hänför sig visserligen till bland annat uppgifter om hälsa, men i artikel 4 led 15 i förordningen definieras ”uppgifter om hälsa” som ”personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus” (min kursivering). Såsom den tyska regeringen har låtit förstå kan det vara så att den bristande överensstämmelse i den aktuella bestämmelsens lydelse endast är ett mindre lyckat försök att skilja mellan rena uppgifter med ett direkt informativt värde och ”metauppgifter” vars motsvarande informativa värde endast framträder i ett konkret sammanhang, genom en bedömning eller en sammankoppling.

42 Såsom klaganden i det nationella målet har gjort gällande rör det sig i princip om två olika aspekter. Den enda omständigheten att en användare har gått in på en webbplats eller interagerat med den behöver nämligen inte i sig avslöja uppgifter om vederbörandes övertygelse, hälsa, politiska åsikter etcetera, eftersom intresset för en webbplats inte automatiskt avslöjar att man ansluter sig till de idéer som sprids eller hör till de kategorier som webbplatsen företräder. Så är bland annat fallet när det gäller ett besök på en webbplats som tillhör ett politiskt parti eller som företräder en viss politisk ideologi. Besöket behöver inte nödvändigtvis innebära att man delar denna ideologi, utan kan göras av nyfikenhet eller till och med på grund av ett kritiskt förhållningssätt till denna ideologi.

43 Meta Platforms menar att den omständigheten att en användare har gått in på en webbplats eller interagerat med den inte i sig behöver avslöja känsliga uppgifter, eftersom även om ett intresse för en webbplats observerades eller användes, skulle det inte utgöra en behandling av känsliga personuppgifter. Så skulle endast vara fallet om användarna kategoriserades med hjälp av dessa uppgifter. De uppgifter som är föremål för det omtvistade tillvägagångssättet omfattas därmed endast av skyddet i artikel 9.1 i dataskyddsförordningen om de hänför sig till någon av de kategorier som avses i denna bestämmelse och medvetet behandlas subjektivt i avsikt att inhämta denna typ av information utifrån dessa uppgifter. Enligt Bundeskartellamts tolkning däremot, som enligt min mening är alltför rigid, blir artikel 9.1 i dataskyddsförordningen tillämplig så snart den registrerade besöker en viss webbplats eller använder en viss app vars huvudsakliga föremål hör till de områden som anges i denna bestämmelse. Skyddet för känsliga personuppgifter beror inte på den personuppgiftsansvariges avsikt att använda dessa uppgifter, eftersom den registrerades rättigheter redan har påverkats av den omständigheten att uppgifter ligger utanför den registrerades inflytande.

44 Såsom Europeiska dataskyddsstyrelsen har medgett innebär enbart det faktum att en leverantör av sociala medier behandlar stora mängder uppgifter som potentiellt skulle kunna användas för att härleda särskilda kategorier av uppgifter inte automatiskt att artikel 9 i dataskyddsförordningen är tillämplig på behandlingen (se EDPB, riktlinjer 8/2020 av den 13 april 2021 om riktad marknadsföring mot användare av sociala medier (nedan kallade EDPB:s riktlinjer 8/2020), punkt 124).

45 Genom en sådan tolkning skulle man enligt min mening kunna undvika den situation som klaganden i det nationella målet har beklagat, där en personuppgiftsansvarig ofrånkomligen bryter mot dataskyddsförordningen på grund av att vederbörande inte kan förhindra att uppgifter med en indirekt koppling till känsliga uppgifter eventuellt tas emot (inte minst på automatisk väg), utan att det påverkar den personuppgiftsansvariges skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i dataskyddsförordningen.

46 Se, för ett liknande resonemang, EDPB:s riktlinjer 8/2020, punkt 125.

47 Den hänskjutande domstolen har i detta avseende nämnt personalisering av det sociala nätverket och av reklamen, nätverkets säkerhet, produktförbättring, tillhandahållande av mät- och analystjänster till annonsörer, samhällsnyttig forskning, svar på rättsliga förfrågningar, fullgörande av lagstadgade förpliktelser, skydd för användares och tredje mans grundläggande intressen och uppgifter som utförs för allmänhetens bästa.

48 Se, analogt, dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. (C‑203/15 och C‑698/15, EU:C:2016:970, punkt 89 och där angiven rättspraxis), angående tolkningen av artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11).

49 Se även utlåtande 6/2014, s. 10 och 11, från ”artikel 29-gruppen”, ett oberoende rådgivande organ som inrättades enligt artikel 29 i Europaparlamentets och rådets direktiv 5/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), vilken efter dataskyddsförordningens antagande har ersatts av Europeiska dataskyddsstyrelsen.

50 Jag anser att detta villkor ligger mycket nära villkoret om den registrerades samtycke.

51 Enligt artikel 5.2 i dataskyddsförordningen är det den personuppgiftsansvarige som har bevisbördan för att personuppgifterna behandlas i enlighet med dataskyddsförordningens bestämmelser.

52 Även om en uppmärksam användare sannolikt är medveten om att uppgifterna om uppkopplingen är tillgängliga för den som hanterar webbplatsen eller appen i fråga, anser jag inte att det är uppenbart att användaren även är medveten om att dessa uppgifter även är tillgängliga för den som hanterar hans eller hennes Facebook-konto.

53 Användaren är på sin höjd medveten om sin ”relation” med förvaltaren av webbplatsen eller appen och till den tredje man till vilken denne vidarebefordrar informationen, men det kan också vara så att användaren inte ens är medveten om denna relation, eftersom han eller hon, beroende på omständigheterna, skulle kunna föreställa sig att uppgifterna endast avslöjas, eventuellt anonymt, för en apparat.

54 Sådana knappar som ”gilla”, ”dela” etcetera (se fotnot 39 i detta förslag till avgörande).

55 Facebook erbjuder till exempel användaren flera möjligheter att i sina inställningar välja hur informationen i hans eller hennes Facebook-konto ska delas.

56 Det kan visserligen inte uteslutas att användaren i sådana särskilda fall, genom dessa handlingar, faktiskt vill vidarebefordra information om honom eller henne till ett obestämt antal personer. Det är till exempel möjligt att användaren har ställt in delningsalternativen i sitt Facebook-konto så att innehåll som finns i användarens profil är tillgängligt för alla användare av detta sociala nätverk och är medveten om detta. Inte ens under sådana omständigheter är det emellertid självklart att användaren, genom ett sådant beteende, säkert har velat uttrycka sin avsikt att på ett tydligt sätt offentliggöra de aktuella personuppgifterna, med beaktande av det aktuella undantagets strikta karaktär (se ovan punkt 42).

57 Se, för ett liknande resonemang, dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, punkterna 87–89).

58 I synnerhet kakor (se skäl 25 i direktiv 2002/58).

59 Detta samtycke kan inte heller likställas med ett uttryckligt samtycke till behandling av dessa uppgifter i den mening som avses i artikel 9.2 a i dataskyddsförordningen. Ett samtycke till profilering i den mening som avses i artikel 22.1 c i dataskyddsförordningen, vars föremål uppenbarligen är begränsat till profileringsbehandling, kan inte heller vara relevant.

60 I fråga 5 har den hänskjutande domstolen förutsatt att det omtvistade tillvägagångssättet – utöver insamling, sammankoppling med användarens Facebookkonto och användning av uppgifter från andra koncerntjänster och från tredje mans webbplatser och appar (se ovan punkt 10) – även inbegriper användandet av ”uppgifter som redan har samlats in och sammanknutits [med användarens Facebookkonto] på annat lagligt sätt”.

61 Artikel 6.1 b i dataskyddsförordningen.

62 Artikel 6.1 f i dataskyddsförordningen.

63 Artikel 6.1 f i dataskyddsförordningen.

64 Det vill säga att minderåriga användare, mät- och analystjänster och affärstjänster, marknadsföringskommunikation mot användarna, samhällsnyttig forskning och innovation samt utbyte av information med brottsbekämpande myndigheter och svar på rättsliga framställningar.

65 Artikel 6.1 c i dataskyddsförordningen.

66 Artikel 6.1 d i dataskyddsförordningen.

67 Artikel 6.1 e i dataskyddsförordningen.

68 Tolkningsfråga 4 tycks nämligen vara en anmodan till domstolen att uttala sig om tillämpningen, snarare än tolkningen, av artikel 6.1 f i dataskyddsförordningen, och vad gäller tolkningsfråga 5 har den hänskjutande domstolen inte angett skälen till att den hyser tvivel i fråga om tolkningen av artikel 6.1 c, d och e i förordningen.

69 Se EDPB:s riktlinjer 2/2019 av den 8 oktober 2019 om behandling av personuppgifter enligt artikel 6.1 b i dataskyddsförordningen inom ramen för tillhandahållande av onlinetjänster till de registrerade (nedan kallade EDPB:s riktlinjer 2/2019), punkt 1.

70 Även om parterna i det nationella målet i saken är ense om premissen att det för tillämpningen av grunderna i fråga krävs en bedömning av varje enskilt fall, har de intagit olika ståndpunkter i frågan om de praktiska konsekvenserna av denna premiss. Bundeskartellamt har understrukit att det ankommer på den personuppgiftsansvarige att på ett utförligt sätt fastställa vilka uppgifter som konkret kommer att behandlas i vilket användningsscenario och har i synnerhet gjort gällande att klaganden i det nationella målet endast har angett att all behandling av uppgifter som härrör från källor utanför Facebook är nödvändig för vart och ett av de ändamål med behandlingen av uppgifter som anges i användarvillkoren. Meta Platforms Ireland anser däremot att Bundeskartellamt inte utan att granska särdragen i varje behandling kunde utesluta att det omtvistade tillvägagångssättet kunde grundas på de aktuella grunderna och alltså inte kunde dra slutsatsen att tillvägagångssättet var oförenligt med dataskyddsförordningen.

71 I artikel 6.1 a i dataskyddsförordningen anges att användaren ska ha lämnat sitt samtycke.

72 I detta avseende, Europeiska datatillsynsmannens riktlinjer 2/2019, i punkt 16, preciserar bland annat att principerna om begränsning av syftet (artikel 5.1 b i dataskyddsförordningen] och minimering av uppgifterna (artikel 5.1 c i dataskyddsförordningen) är särskilt viktiga i avtal om onlinetjänster, vilka i allmänhet inte är föremål för individuell förhandling, enligt den ökade risken för att de personuppgiftsansvariga försöker föra in villkor som syftar till att maximera insamlingen och den möjliga användningen av uppgifterna, utan att precisera ändamålen på ett adekvat sätt och utan att föreskriva några skyldigheter att minimera uppgifterna.

73 Enligt punkt 2 i EDPB:s riktlinjer 2/2019 stöder denna bestämmelse näringsfriheten, vilken garanteras i artikel 16 i stadgan, och speglar det faktum att de avtalsenliga skyldigheterna gentemot den registrerade ibland inte kan uppfyllas utan att den registrerade tillhandahåller vissa personuppgifter. Det andra exemplet i denna bestämmelse, att behandlingen ska vara nödvändig för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, är inte relevant i det nu aktuella fallet. Samma sak gäller frågan om förekomsten av ett giltigt avtal mot bakgrund av såväl tillämplig avtalsrätt som andra lagstadgade krav, däribland kraven avseende konsumentavtal (se bland annat rådets direktiv 3/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 1993, s. 29)) som inte berörs av begäran om förhandsavgörande.

74 Se, beträffande artikel 7 e i direktiv 5/46 som motsvarade artikel 6.1 b i dataskyddsförordningen, dom av den 16 december 2008, Huber (C‑524/06, EU:C:2008:724, punkt 52).

75 För övrigt räcker det inte att endast hänvisa till eller nämna uppgiftsbehandling i ett avtal för att behandlingen i fråga ska omfattas av artikel 6.1 b men samtidigt kan behandlingen objektivt sett vara nödvändig även om den inte särskilt nämns i avtalet, utan att det påverkar den personuppgiftsansvariges skyldigheter i fråga om öppenhet (se EDPB:s riktlinjer 2/2019, punkt 27).

76 Se EDPB:s riktlinjer 2/2019, punkt 25.

77 Se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert (C‑92/09 och C‑93/09, EU:C:2010:662, punkt 86) och EDPB:s riktlinjer 2/2019, punkt 25. Punkterna 27–32 i dessa riktlinjer hänför sig bland annat till att behandlingen ska vara objektivt sett nödvändig för ett ändamål som är väsentligt för tillhandahållandet av denna tjänst på avtalsbasis till den registrerade, varvid den personuppgiftsansvarige bör kunna visa hur huvudföremålet i det angivna avtalet med den registrerade rent faktiskt inte kan fullgöras om den särskilda behandlingen av personuppgifterna i fråga inte äger rum. Punkt 33 i riktlinjerna innehåller vägledande frågor i detta avseende.

78 Se EDPB:s riktlinjer 2/2019, punkt 32.

79 Se EDPB:s riktlinjer 2/2019, punkt 37.

80 Den österrikiska regeringen har gjort det relevanta påpekandet att klaganden i det nationella målet tidigare gjorde det möjligt för Facebookanvändare att välja mellan en kronologisk presentation eller en personaliserad presentation av innehållet i nyhetsflödet, vilket visar att man kan tänka sig ett alternativt sätt.

81 Jag tror inte, med förbehåll för den hänskjutande domstolens bedömning, att det kan vara nödvändigt att samla in och använda personuppgifter utanför Facebook för att tillhandahålla de tjänster som erbjuds inom ramen för en Facebookprofil, så att det samtycke som en användare lämnar för att kunna gå med i det sociala nätverket (det vill säga skapa en Facebookprofil) på ett giltigt sätt kan omfatta behandling av användarens personuppgifter utanför Facebook. Användningen av de aktuella tjänsterna skulle nämligen under den omständigheten ha gjorts beroende av ett samtycke som inte är nödvändigt för avtalets fullgörande och denna omständighet måste den hänskjutande domstolen i enlighet med artikel 7.4 i dataskyddsförordningen ta största möjliga hänsyn till (denna omständighet utgör i enlighet med skäl 43 i dataskyddsförordningen en presumtion om att samtycket inte är giltigt som den personuppgiftsansvarige ska motbevisa enligt artikel 7.1 i dataskyddsförordningen). Jag anser inte heller att ett sådant samtycke uppfyller kravet på ett särskilt samtycke till olika former av behandling av personuppgifter (se den tredje delen av punkt 74 ovan), eftersom det inte finns någon koppling mellan användarens ursprungliga samtycke vid öppnandet av Facebookkontot och ett eventuellt samtycke från användaren till behandling av personuppgifter utanför Facebook. Även för det fall att samtycke eventuellt lämnas senare, specifikt för användning av uppgifter utanför Facebook, är det också viktigt att undersöka huruvida personuppgiftsansvarig erbjuder en likvärdig tjänst som inte inkluderar samtycke till användning av uppgifter för andra ändamål (se punkt 37 i Europeiska dataskyddsstyrelsens riktlinjer 5/2020 av den 4 maj 2020, om samtycke i den mening som avses i förordning (EU) 2016/679 (nedan kallade EDPB:s riktlinjer 5/2020) där även anges, i punkt 38, att personuppgiftsansvarig inte får hänvisa till en likvärdig tjänst från en annan operatör).

82 Såsom den österrikiska regeringen har påpekat är det i detta avseende avgörande att koncernens olika produkter kan användas oberoende av varandra och att användningen av varje tjänst grundar sig på ett separat användaravtal. Såsom Bundeskartellamt har påpekat bör en kontinuerlig och sömlös användning av koncernens tjänster anses ligga i användarens intresse, snarare än vara nödvändig för att tjänsternas funktion, och att det därför i princip skulle vara lämpligare om det var användarens val.

83 Se, analogt, dom av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 28), om artikel 7 f i direktiv 5/46, bestämmelse som motsvarade artikel 6.1 f i dataskyddsförordningen.

84 I direktiv 5/46 framstod begreppet berättigat intresse, som generaladvokaten Bobek påpekade i förslaget till avgörande i målet Fashion ID (C‑40/17, EU:C:2018:1039, punkt 122) som relativt flexibelt och öppet. Domstolen har nämligen, såsom klaganden i det nationella målet har gjort gällande, erkänt flera intressen som berättigade (se bland annat dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 81), dom av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punkt 55), dom av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 29), dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) (C‑136/17, EU:C:2019:773, punkt 53), dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, punkt 59), och dom av den 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punkterna 108 och 109). Jag anser att samma slutsats kan dras utifrån dataskyddsförordningen, där det som exempel bland annat anges i skäl 47 en situation där den registrerade är kund hos eller arbetar för den personuppgiftsansvarige och behandling av personuppgifter för att förhindra bedrägerier eller för direktmarknadsföring, och i skäl 49, nät- och informationssäkerhet och säkerheten hos de tjänster som tillhandahålls.

85 Vilket enligt min mening innebär att det måste anges vilken behandling som grundar sig på vilket berättigat intresse.

86 Se dom av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 30), och dom av den 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punkt 110).

87 Se, för ett liknande resonemang, dom av den 4 maj 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 31), och dom av den 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punkt 111). Domstolen har i detta avseende erinrat om att artikel 7 f i direktiv 5/46 (som motsvarade artikel 6.1 f i dataskyddsförordningen) utgjorde hinder för att en medlemsstat kategoriskt och generellt uteslöt möjligheten att behandla vissa typer av personuppgifter, utan att tillåta en avvägning mellan de motstående rättigheterna och intressena i det enskilda fallet. Domstolen klargjorde att en medlemsstat inte, för dessa typer av personuppgifter, slutgiltigt fick ange vad resultatet av avvägningen mellan de motstående rättigheterna och intressena skulle bli, utan att tillåta ett annat resultat med hänsyn till de särskilda omständigheterna i det enskilda fallet (dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 62 och där angiven rättspraxis).

88 I punkt III.3.4 i artikel 29-gruppens utlåtande 6/2014 görs några intressanta överväganden i detta avseende.

89 Enligt skäl 49 i dataskyddsförordningen utgör nämligen behandling av personuppgifter ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet. Detta skulle till exempel kunna innefatta att förhindra obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning. Jag vill även framhålla att den personuppgiftsansvarige, i enlighet med artikel 32 i dataskyddsförordningen, bland annat ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och att personuppgifter enligt artikel 5.1 f i förordningen ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifter.

90 Det ska således prövas i vilken utsträckning behandling av personuppgifter som härrör från källor utanför Facebooks webbplats eller Facebookappen är nödvändig för Facebooks säkerhet. I detta avseende har den hänskjutande domstolen visserligen framhållit möjligheten att använda WhatsApp-uppgifter till antispamfunktionen (genom att använda information från WhatsApp-konton som skickar spam för att vidta åtgärder mot motsvarande Facebookkonton) och Instagram-uppgifter för att hitta tvivelaktiga eller olagliga beteenden. Jag har emellertid svårt att tro att klaganden i det nationella målet kan ge sig själv rätten att behandla personuppgifter för ”polisändamål” i vid bemärkelse, med beaktande av att det är utrett i domstolens praxis, på (ett annat men närbesläktat) område som rör uppgifter om elektronisk kommunikation, att till och med lagstiftning som föreskriver generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter i förebyggande syfte är oförenlig med direktiv 2002/58 (se dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 168). För det fall att det är nödvändigt att säkerställa nätsäkerheten till följd av ett lagstadgat krav, kan den personuppgiftsansvarige dessutom åberopa den särskilda grunden i artikel 6.1 c i dataskyddsförordningen.

91 I enlighet med artikel 6.1 c, d och e i dataskyddsförordningen.

92 Se ovan punkt 48

93 Med hänsyn till den långa raden av berättigade intressen som erkänts i rättspraxis (se ovan punkt 60 Till exempel förefaller det i princip uppenbart att skyddet för minderåriga kan motivera lämpliga skyddsåtgärder för att hindra minderåriga från att få åtkomst till olämpligt eller farligt innehåll.

94 Det följer nämligen av artikel 13.1 c och d i dataskyddsförordningen att det bland annat ankommer på den personuppgiftsansvarige att för varje behandling ange vilka berättigade intressen som eftersträvas av personuppgiftsansvarig eller av tredje man.

95 I dom av den 11 november 2020, Orange Romania (C‑61/19, EU:C:2020:901, punkterna 35 och 36 samt där angiven rättspraxis), klargjorde domstolen att ordalydelsen i artikel 4 led 11 i dataskyddsförordningen, där ”samtycke av den registrerade” definieras, är striktare än den i artikel 2 h i direktiv 95/46, eftersom det krävs en ”frivillig, specifik, informerad och otvetydig” viljeyttring av den registrerade, antingen genom ett uttalande eller genom ”en entydig bekräftande handling” genom vilken behandling av den registrerades personuppgifter godtas.

96 Såsom Europeiska dataskyddsstyrelsen har understrukit innebär adjektivet ”frivilligt” ett val och en faktisk kontroll för de registrerade (EDPB:s riktlinjer 5/2020, punkt 13). I samma punkt preciseras bland annat att samtycket inte har lämnats frivilligt om den registrerade känner sig tvingad att samtycka till eller drabbas av betydande negativa konsekvenser om han eller hon inte ger sitt samtycke eller om samtycket presenteras som en icke förhandlingsbar del av de allmänna avtalsvillkoren. Samtycket ska således inte anses ha lämnats frivilligt om denna person inte kan vägra eller dra tillbaka det utan att lida skada. Den enda olägenhet som den registrerade i så fall måste acceptera, såsom klaganden i det nationella målet har understrukit, är att tjänsten i förekommande fall kanske inte har samma funktion eller kvalitet, i den mån behandlingen av uppgifter för vilka samtycke inte har lämnats är tekniskt nödvändig för detta.

97 I EDPB:s riktlinjer 5/2020 anges bedrägeri, trakasserier, tvång eller betydande negativa konsekvenser om den registrerade vägrar att ge sitt samtycke. Det erinras om att bevisbördan ligger på den personuppgiftsansvarige som bör kunna bevisa att den registrerade har haft en fri eller genuin valmöjlighet att samtycka eller inte samtycka och att den registrerade utan problem har kunnat återkalla samtycket (punkt 47).

98 Utöver de situationer som rör förbindelser med offentliga myndigheter och anställningsförhållanden, vilka berörs i skäl 43 och inte är relevanta i det aktuella fallet, anges i punkt 24 i EPDB:s riktlinjer 5/2020 bland annat situationer där den registrerade inte har något egentligt val eller i vilka det finns risk för bedrägeri, trakasserier, tvång eller betydande negativa konsekvenser (till exempel betydande tilläggskostnader) om inget samtycke ges.

99 Denna fråga sammanfaller delvis med föremålet för den första delen av tolkningsfråga 3 (se ovan punkterna 53–57). I skäl 43 andra meningen i dataskyddsförordningen anges att samtycke i en sådan situation inte antas vara frivilligt (enligt punkt 26 i EDPB:s riktlinjer 5/2020 ser dataskyddsförordning härigenom till att behandling av personuppgifter för vilken samtycke krävs inte direkt eller indirekt får ställas som krav för genomförandet av ett avtal), och ordvalet ”antas” visar tydligt att det är mycket sällsynt med sådana fall där samtycke är giltigt (se punkt 35 i riktlinjerna). Artikel 7.4 i dataskyddsförordningen är också formulerad på ett icke uttömmande sätt genom användningen av orden ”bland annat”. Det betyder att en rad andra situationer kan omfattas av denna bestämmelse, däribland alla former av påtryckningar eller otillbörlig påverkan på den registrerade som hindrar honom eller henne från att utöva sin fria vilja (EDPB:s riktlinjer 5/2020, punkt 14).

100 I skäl 32 i dataskyddsförordningen anges bland annat att samtycket bör gälla all behandling som utförs för samma ändamål och att om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. EPDB:s riktlinjer 5/2020 hänför sig i detta avseende till samtyckets ”granularitet” som ett hinder för valfrihet (punkt 44).

101 En sådan situation gynnar bland annat uppställandet av villkor som inte är nödvändiga för avtalets fullgörande (se ovan punkterna 53–57).

102 Den grad av företagets relativa marknadsstyrka som är kritisk för att ett samtycke enligt dataskyddsförordningen ska vara giltigt kan med andra ord, såsom kommissionen har framhållit, inte nödvändigtvis likställas med tröskeln för dominerande ställning på marknaden i den mening som avses i artikel 102 FEUF.

103 Även om en dominerande ställning inte i sig hindrar att det kan vara möjligt att lämna ett frivilligt samtycke till behandling av personuppgifter, är avsaknaden av en sådan ställning naturligtvis inte heller i sig tillräcklig för att garantera att ett sådant samtycke är giltigt under alla omständigheter.