MIŠLJENJE NEZAVISNOG ODVJETNIKA
YVESA BOTA
od 24. listopada 2017.(1)
Predmet C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein
protiv
Wirtschaftsakademie Schleswig‑Holstein GmbH,
uz sudjelovanje
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
(zahtjev za prethodnu odluku koji je uputio Bundesverwaltungsgericht (Savezni upravni sud, Njemačka))
„Zahtjev za prethodnu odluku – Direktiva 95/46/EZ – Članci 2., 4. i 28. – Zaštita pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka – Nalog za deaktivaciju stranice obožavatelja na društvenoj mreži Facebook – Pojam ‚nadzornik’ – Odgovornost administratora stranice obožavatelja – Zajednička odgovornost – Primjenjivo nacionalno pravo – Opseg ovlasti za posredovanje nadzornih tijela”
1. Ovaj se zahtjev za prethodnu odluku odnosi na tumačenje članka 2. točke (d), članka 4. stavka 1., članka 17. stavka 2. te članka 28. stavaka 3. i 6. Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka(2), kako je izmijenjena Uredbom (EZ) br. 1882/2003 Europskog parlamenta i Vijeća od 29. rujna 2003.(3).
2. Taj je zahtjev podnesen u okviru spora između Wirtschaftsakademie Schleswig‑Holstein GmbH, društva privatnog prava koje je specijalizirano u području obrazovanja (u daljnjem tekstu: Wirtschaftsakademie) i Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, regionalnog tijela za zaštitu podataka savezne zemlje Schleswig‑Holstein (u daljnjem tekstu: ULD) u pogledu zakonitosti naloga koji je potonje tijelo izdalo protiv Wirtschaftsakademie, zahtijevajući da ukloni „stranicu obožavatelja” (Fanpage) koja se nalazi na internetskoj stranici društva Facebook Ireland Ltd.
3. Taj je nalog obrazložen navodnom povredom odredbi njemačkog prava kojima se prenosi Direktiva 95/46, među ostalim, zbog činjenice da posjetitelji stranice obožavatelja nisu upozoreni na to da njihove osobne podatke prikuplja društvena mreža Facebook (u daljnjem tekstu: Facebook) zahvaljujući kolačićima (cookies) koji se pohranjuju na njihovom tvrdom disku, s obzirom na to da se to prikupljanje provodi radi izrade statistike posjećenosti namijenjene administratoru te stranice i društvu Facebook za objavljivanje ciljanih oglasa.
4. Pozadinu ovog predmeta čini fenomen „webtrackinga”, koji se sastoji od promatranja i analize ponašanja korisnika interneta u komercijalne i marketinške svrhe. Tim se praćenjem internetskog mjesta (webtracking) omogućava, među ostalim, utvrđivanje središta interesa korisnikâ interneta na temelju promatranja njihovih ponašanja u pregledavanju interneta. Tako je riječ o „bihevioralnom praćenju internetskog mjesta”. Potonje se praćenje obično provodi uporabom kolačića.
5. Ti su kolačići datoteke koje se zapisuju na računalo korisnika interneta prilikom posjećivanja internetske stranice.
6. Praćenje internetskog mjesta, među ostalim, provodi se s ciljem učinkovitije optimizacije i konfiguracije internetske stranice. Njime se također oglašivačima omogućuje da se ciljano obraćaju različitim segmentima javnosti.
7. Prema definiciji radne skupine iz članka 29. za zaštitu podataka(4) u njezinu mišljenju 2/2010 od 22. lipnja 2010. o bihevioralnom oglašavanju na internetu(5), „[b]ihevioralno je oglašavanje oblik oglašavanja koje se temelji na promatranju ponašanja pojedinaca tijekom vremena. Njime se nastoji proučiti karakteristike tog ponašanja putem njihova djelovanja (uzastopni posjeti stranicama, interakcije, ključne riječi, stvaranje sadržaja on‑line itd.) kako bi se utvrdio specifični profil i dotičnim osobama prikazali oglasi prilagođeni njihovim središtima interesa, koji su utvrđeni na taj način”(6). Kako bi se došlo do tog rezultata, informacije koje proizlaze iz preglednika i iz terminalne opreme korisnika moraju se prikupiti te potom iskoristiti. Glavna tehnika praćenja zahvaljujući kojoj je moguće slijediti korisnike na internetu temelji se na „kolačićima za praćenje”(7). Stoga, „[u] bihevioralnom oglašavanju upotrebljavaju se informacije prikupljene o ponašanju korisnika interneta prilikom pregledavanja, kao što su posjećene stranice ili izvršena pretraživanja, radi odabira oglasa koji će mu se prikazati”(8).
8. Praćenjem ponašanja pregledavanja također se omogućava da se operaterima internetskih stranica pruži statistika posjećenosti koja se odnosi na osobe koje posjećuju te stranice.
9. Prikupljanje i uporaba osobnih podataka radi izrade statistike posjećenosti i objavljivanja ciljanih oglasa podliježu određenim uvjetima, kako bi bili u skladu s pravilima o zaštiti osobnih podataka koja proizlaze iz Direktive 95/46. Osobito, te obrade ne smiju se izvršavati bez prethodnog obavješćivanja i dopuštenja osoba čiji se podaci obrađuju.
10. Ispitivanjem te usklađenosti pretpostavlja se, međutim, prethodno rješavanje više pitanja o definiranju nadzornika te utvrđivanju primjenjivog nacionalnog prava i tijela nadležnog za izvršavanje svojih ovlasti za posredovanje.
11. Pitanje koje se odnosi na utvrđivanje nadzornika postaje osobito složeno u situaciji u kojoj gospodarski subjekt odluči da na svoju internetsku stranicu neće instalirati alate potrebne za izradu statistike posjećenosti i za objavljivanje ciljanih oglasa, već da će se poslužiti društvenom mrežom kao što je Facebook otvaranjem stranice obožavatelja kako bi se koristio sličnim alatima.
12. Pitanja o utvrđivanju primjenjivog nacionalnog prava i tijela nadležnog za izvršavanje svojih ovlasti za posredovanje postaju također složena kada je u predmetnu obradu osobnih podataka uključeno više subjekata koji se nalaze izvan, kao i unutar Europske unije.
13. U vrijeme kada su nadzorna tijela više država članica tijekom posljednjih mjeseci odlučila izreći novčane kazne društvu Facebook zbog povrede pravila o zaštiti podataka svojih korisnika(9), u predmetu koji se ispituje omogućit će se Sudu da pojasni opseg ovlasti za posredovanje kojom nadzorno tijelo kao što je ULD raspolaže u pogledu obrade osobnih podataka koja upućuje na uključenost više sudionika.
14. Radi dobrog razumijevanja pravnih pitanja iz ovog predmeta, najprije valja opisati činjenični okvir spora u glavnom postupku.
I. Činjenice u glavnom postupku i prethodna pitanja
15. Wirtschaftsakademie nudi usluge obrazovanja putem stranice obožavatelja na internetskoj stranici društvene mreže Facebook.
16. Stranice obožavatelja korisnički su računi koje na Facebooku mogu konfigurirati, među ostalima, pojedinci ili poduzetnici. Kako bi to učinio, administrator stranice obožavatelja mora se registrirati na Facebook te tako može upotrebljavati platformu koju potonja mreža uređuje, kako bi se predstavio korisnicima te društvene mreže i objavljivao obavijesti svih vrsta, među ostalim, s ciljem razvijanja komercijalne djelatnosti.
17. Administratori stranica obožavatelja mogu dobiti statistiku posjećenosti s pomoću alata „Facebook Insights”, koji im na raspolaganje besplatno stavlja Facebook u okviru uvjeta korištenja koji se ne mogu mijenjati. Tu statistiku izrađuje Facebook, a personalizira je administrator stranice obožavatelja putem različitih kriterija koje može odabrati, kao što su dob ili spol. Navedenom statistikom tako se pružaju anonimne informacije o osobinama i navikama osoba koje su posjetile stranicu obožavatelja, čime se administratorima tih stranica omogućuje da bolje usmjere svoje obavijesti.
18. Kako bi se izradila takva statistika posjećenosti, Facebook pohranjuje najmanje jedan kolačić koji sadržava jedinstveni identifikacijski broj, koji je aktivan dvije godine, na tvrdom disku osobe koja je posjetila stranicu obožavatelja. Identifikacijski broj, koji se može povezati s podacima o spajanju registriranih korisnika na Facebook, prikuplja se i obrađuje u trenutku otvaranja stranica Facebook.
19. Odlukom od 3. studenoga 2011. ULD je, u skladu s prvom rečenicom članka 38. stavka 5. Bundesdatenschutzgesetza (Savezni zakon o zaštiti podataka; u daljnjem tekstu: BDSG)(10), naložio Wirtschaftsakademie da deaktivira stranicu obožavatelja koju je izradio na Facebooku na sljedećoj internetskoj adresi https://www.facebook.com/wirtschaftsakademie, pod prijetnjom izricanja periodične novčane kazne u slučaju neizvršenja u propisanom roku, jer ni Wirtschaftsakademie, ni Facebook nisu obavještavali posjetitelje stranice obožavatelja da potonja mreža prikuplja njihove osobne podatke s pomoću kolačića te da potom te podatke obrađuje. Wirtschaftsakademie izjavio je prigovor protiv te odluke u kojem je, u biti, istaknuo da nije bio odgovoran, s obzirom na primjenjivo pravo na zaštitu podataka, ni za obradu podataka koju provodi Facebook, ni za kolačiće koje je instalirala potonja mreža.
20. Odlukom od 16. prosinca 2011. ULD odbio je taj prigovor, pri čemu je smatrao da je odgovornost Wirtschaftsakademie kao pružatelja usluga utvrđena u skladu s člankom 3. stavkom 3. točkom 4. i člankom 12. stavkom 1. Telemediengesetza (Zakon o elektroničkim medijima)(11). Izradom stranice obožavatelja Wirtschaftsakademie je također aktivno i svojevoljno pridonio prikupljanju osobnih podataka od strane društva Facebook, kojima se koristio zahvaljujući statistikama o korisnicima koje je na raspolaganje stavila ta društvena mreža.
21. Wirtschaftsakademie podnio je tužbu protiv te odluke pred Verwaltungsgerichtom (Upravni sud, Njemačka), pri čemu je tvrdio da mu se ne mogu pripisati postupci obrade podataka koje provodi Facebook te da isto tako nije zadužio Facebook, u smislu članka 11. BDSG‑a(12), da provodi obradu podataka koju bi nadzirao ili na koju bi mogao utjecati. Wirtschaftsakademie tako smatra da je ULD pogrešno pokrenuo postupak protiv njega, a ne izravno protiv Facebooka.
22. Presudom od 9. listopada 2013. Verwaltungsgericht (Upravni sud) poništio je pobijanu odluku, pri čemu je u biti tvrdio da administrator stranice obožavatelja na Facebooku nije „odgovorno tijelo” u smislu članka 3. stavka 7. BDSG‑a(13) te da Wirtschaftsakademie stoga nije mogao biti adresat mjere poduzete na temelju članka 38. stavka 5. BDSG‑a.
23. Oberverwaltungsgericht (Visoki upravni sud, Njemačka) potom je žalbu ULD‑a protiv te presude odbio kao neosnovanu, pri čemu je u biti smatrao da je zabrana obrade podataka iz pobijane odluke bila nezakonita, s obzirom na to da se drugom rečenicom članka 38. stavka 5. BDSG‑a predviđa postupan proces, u čijoj se prvoj fazi dopušta samo donošenje mjera za otklanjanje utvrđenih povreda nastalih tijekom obrade podataka. Trenutna zabrana obrade podataka moguća je samo ako je postupak obrade podataka u potpunosti nezakonit te ako se to može otkloniti samo prekidom tog postupka. Međutim, prema mišljenju Oberverwaltungsgerichta (Visoki upravni sud), u ovom predmetu to nije slučaj jer je Facebook itekako mogao okončati povrede koje navodi ULD.
24. Nalog je također nezakonit jer tužitelj nije odgovorno tijelo u smislu članka 3. stavka 7. BDSG‑a, što se tiče podataka koje Facebook prikuplja prilikom administriranja stranice obožavatelja, i zato što se nalog na temelju članka 38. stavka 5. BDSG‑a može izdati samo protiv takvog tijela. U ovom slučaju, samo Facebook odlučuje o svrsi i načinima prikupljanja i obrade osobnih podataka koji se upotrebljavaju za funkciju „Facebook Insights”. Tužitelj je pak primao samo statističke informacije koje su anonimne.
25. Člankom 38. stavkom 5. BDSG‑a ne dopuštaju se nalozi protiv trećih osoba. Takozvana „neizravna” odgovornost („Störerhaftung”) na internetu, koja je razvijena sudskom praksom građanskih sudova, ne može se primijeniti na izvršavanje javnih ovlasti. Iako se u članku 38. stavku 5. BDSG‑a izričito ne imenuje adresat naloga o zabrani, iz strukture, cilja i svrhe tog propisa, kao i iz njegova nastanka proizlazi da adresat može biti samo odgovorno tijelo.
26. U okviru svojeg prijedloga za ponavljanje postupka podnesenog pred Bundesverwaltungsgerichtom (Savezni upravni sud, Njemačka), ULD ističe, među ostalim, povredu članka 38. stavka 5. BDSG‑a te se poziva na više postupovnih pogrešaka koje je počinio žalbeni sud. Smatra da se povreda koju je počinio Wirtschaftsakademie odnosi na činjenicu da je za izradu, smještaj na poslužitelju (hosting) i održavanje internetske stranice zadužio pružatelja usluga koji je neprikladan jer ne poštuje primjenjivo pravo zaštite podataka, u ovom slučaju Facebook Ireland. Cilj naloga za deaktivaciju stoga je otklanjanje te povrede koju je počinio Wirtschaftsakademie u dijelu u kojem mu se zabranjuje daljnja uporaba infrastrukture Facebooka kao tehničke osnove za njegovu internetsku stranicu.
27. Sud koji je uputio zahtjev smatra da, u pogledu prikupljanja i obrade podataka osoba koje posjećuju stranicu obožavatelja koje izvršava intervenijent u glavnom postupku, odnosno Facebook Ireland, Wirtschaftsakademie nije „tijelo koje prikuplja, obrađuje ili upotrebljava osobne podatke za svoj račun ili putem posrednika koji je obrađivač”, u smislu članka 3. stavka 7. BDSG‑a, ili „tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka” u smislu članka 2. točke (d) Direktive 95/46. Točno je da je, svojom odlukom o izradi stranice obožavatelja na platformi kojom upravlja intervenijent u glavnom postupku ili njegovo društvo majka (u konkretnom slučaju Facebook Inc., USA), Wirtschaftsakademie intervenijentu u glavnom postupku objektivno pružio mogućnost da instalira kolačiće prilikom otvaranja te stranice obožavatelja te da tim putem prikuplja podatke. Tom se odlukom ipak Wirtschaftsakademie ne omogućuje da utječe, usmjeruje, oblikuje ili pak nadzire narav i opseg obrade podataka korisnika svoje stranice obožavatelja, koju izvršava intervenijent u glavnom postupku. Ni uvjetima korištenja stranice obožavatelja Wirtschaftsakademie ne dodjeljuju se prava posredovanja ili nadzora. Uvjeti korištenja koje je intervenijent u glavnom postupku jednostrano utvrdio nisu rezultat postupka pregovora niti daju pravo Wirtschaftsakademie da intervenijentu u glavnom postupku zabrani prikupljanje i obradu podataka korisnika stranice obožavatelja.
28. Sud koji je uputio zahtjev priznaje da pravnu definiciju „nadzornika” navedenu u članku 2. točki (d) Direktive 95/46 u biti treba široko tumačiti, u interesu učinkovite zaštite prava na privatni život. Međutim, Wirtschaftsakademie ne odgovara toj definiciji s obzirom na to da nema nikakav pravni ili činjenični utjecaj na načine obrade osobnih podataka koju intervenijent u glavnom postupku provodi na vlastitu odgovornost i potpuno neovisno. U tom pogledu, nije dovoljna okolnost da Wirtschaftsakademie objektivno može ostvariti korist od funkcije „Facebook Insights”, kojom upravlja intervenijent u glavnom postupku, jer mu se anonimni podaci prosljeđuju radi korištenja stranice obožavatelja.
29. Prema mišljenju suda koji je uputio zahtjev, Wirtschaftsakademie ne može se smatrati ni nadzornikom koji je obrađivač u smislu članka 11. BDSG‑a te članka 2. točke (e) i članka 17. stavaka 2. i 3. Direktive 95/46.
30. Taj sud smatra da je potrebno pojasniti mogu li se i pod kojim uvjetima ovlasti nadzora i posredovanja nadzornih tijela u području zaštite podataka izvršavati samo protiv „nadzornika” u smislu članka 2. točke (d) Direktive 95/46 ili je li moguće utvrditi odgovornost tijela koje nije nadzornik obrade podataka, u skladu s definicijom koja proizlazi iz te iste odredbe, na temelju izbora tog tijela da se koristi Facebookom u svrhu ponude informacija.
31. U potonjem slučaju, sud koji je uputio zahtjev pita se bi li se takva odgovornost mogla temeljiti na primjeni po analogiji obveza izbora i nadzora, koje proizlaze iz članka 17. stavka 2. Direktive 95/46 u okviru obrade podataka koju izvršava obrađivač.
32. Kako bi mogao odlučiti o zakonitosti naloga koji je izdan u ovom slučaju, sud koji je uputio zahtjev smatra da je također potrebno pojasniti određena pitanja o nadležnosti nadzornih tijela i opsegu njihovih ovlasti za posredovanje.
33. Osobito, sud koji je uputio zahtjev pita o podjeli nadležnosti među nadzornim tijelima u slučaju u kojem društvo majka, kao što je Facebook Inc., USA, ima više poslovnih nastana na području Unije i u kojem su zadaće dodijeljene tim poslovnim nastanima unutar grupe različite.
34. Sud koji je uputio zahtjev u tom pogledu podsjeća na to da je Sud u svojoj presudi od 13. svibnja 2014., Google Spain i Google(14), presudio da „članak 4. stavak 1. točku (a) Direktive 95/46 treba tumačiti u smislu da je obrada osobnih podataka izvršena u okviru aktivnosti poslovnog nastana nadzornika na području države članice u smislu te odredbe kad operater pretraživača u državi članici osnuje podružnicu ili društvo kćer u cilju promocije i prodaje oglašivačkih prostora na pretraživaču i čija je aktivnost usmjerena na stanovnike te države članice”(15). Sud koji je uputio zahtjev pita može li se ta povezanost s poslovnim nastanom kao što je Facebook Germany GmbH, koji je, prema informacijama sadržanim u odluci kojom se upućuje zahtjev za prethodnu odluku, zadužen za promociju i prodaju oglašivačkih prostora te za druge marketinške aktivnosti namijenjene stanovnicima Njemačke, u svrhu primjenjivosti Direktive 95/46 i utvrđivanja nadležnog nadzornog tijela, primijeniti na situaciju u kojoj društvo kći s poslovnim nastanom u drugoj državi članici (u ovom slučaju u Irskoj) djeluje kao „nadzornik” na čitavom području Unije.
35. Što se tiče adresata mjere donesene u skladu s člankom 28. stavkom 3. Direktive 95/46, sud koji je uputio zahtjev ističe da bi mjera izdavanja naloga protiv društva Wirtschaftsakademie mogla biti zahvaćena pogreškom u ocjeni i, prema tome, biti nezakonita ako su se, prema tvrdnjama ULD‑a, navodne povrede prava na zaštitu podataka mogle ispraviti mjerom usmjerenom izravno protiv društva kćeri Facebook Germany s poslovnim nastanom u Njemačkoj.
36. Sud koji je uputio zahtjev također napominje da ULD smatra da ga ne obvezuju utvrđenja i ocjene Data Protection Commissionera (Nadzorno tijelo za zaštitu podataka, Irska), koje, prema navodima Wirtschaftsakademie i intervenijenta u glavnom postupku, nije osporavalo obradu osobnih podataka iz glavnog postupka. Taj sud stoga želi znati, s jedne strane, je li dopuštena takva samostalna ocjena ULD‑a te, s druge strane, je li se drugom rečenicom članka 28. stavka 6. Direktive 95/46 ULD‑u nalagalo da od Nadzornog tijela za zaštitu podataka) zatraži, s obzirom na razliku u ocjeni tih dvaju nadzornih tijela u pogledu usklađenosti obrade podataka iz glavnog postupka s pravilima koja proizlaze iz Direktive 95/46, da izvrši svoje ovlasti protiv društva Facebook Ireland.
37. U tim je okolnostima Bundesverwaltungsgericht (Savezni upravni sud) odlučio prekinuti postupak i postaviti Sudu sljedeća prethodna pitanja:
„1. Treba li članak 2. točku (d) Direktive 95/46 tumačiti na način da se njime konačno i iscrpno uređuje odgovornost u slučaju povrede zaštite podataka ili se pak, u okviru ‚odgovarajućih mjera’ iz članka 24. [te direktive] i ‚učinkovitih ovlasti za posredovanje’ iz članka 28. stavka 3. druge alineje [te direktive] u višestupanjskim odnosima između pružatelja informacija, može utvrditi odgovornost tijela koje u smislu članka 2. točke (d) [navedene direktive] nije nadzornik obrade podataka na temelju izbora administratora za svoju ponudu informacija?
2. Proizlazi li, a contrario, iz obveze koju države članice imaju u skladu s člankom 17. stavkom 2. Direktive 95/46/EZ, da se prilikom obrade podataka koju izvršava obrađivač mora zahtijevati da nadzornik ‚[izabire] obrađivača koji daje dovoljna jamstva u vezi mjera tehničke sigurnosti kojima je uređena obrada koju je potrebno izvršiti’, da u okviru drugih korisničkih odnosa koji ne podrazumijevaju nikakvu obradu podataka koju izvršava obrađivač u smislu članka 2. točke (e) [te direktive] ne postoji nikakva obveza pažljivog izbora i da se ni ta obveza ne [može] uvesti na temelju nacionalnog prava?
3. Kada društvo majka s poslovnim nastanom izvan Unije u različitim državama članicama ima pravno samostalne poslovne nastane (društva kćeri), je li nadzorno tijelo države članice (u ovom slučaju Njemačke), na temelju članka 4. i članka 28. stavka 6. Direktive 95/46, također ovlašteno za izvršavanje ovlasti koje su mu dodijeljene u skladu s člankom 28. stavkom 3. [te direktive] protiv poslovnog nastana na njegovu državnom području, ako je taj poslovni nastan osnovan jedino s ciljem promocije i prodaje oglašivačkih prostora, kao i ostalih marketinških mjera namijenjenih stanovnicima te države članice, dok samostalni poslovni nastan (društvo kći) sa sjedištem u drugoj državi članici (u ovom slučaju Irskoj), na temelju podjele zadaća unutar grupe, ima isključivu odgovornost prikupljanja i obrade osobnih podataka na cjelokupnom području Unije te stoga i u drugoj državi članici (u ovom slučaju Njemačkoj), ako odluku o obradi podatka stvarno donosi društvo majka?
4. Treba li članak 4. stavak 1. i članak 28. stavak 3. Direktive 95/46 tumačiti na način da, u slučajevima u kojima nadzornik ima poslovni nastan na državnom području jedne države članice (u ovom slučaju Irske), a drugi pravno samostalni poslovni nastan postoji na državnom području druge države članice (u ovom slučaju Njemačke), čija je zadaća, među ostalim, prodaja oglašivačkih prostora i čija je djelatnost namijenjena stanovnicima te države, nadzorno tijelo nadležno u toj drugoj državi članici (u ovom slučaju Njemačkoj) može donositi mjere i naloge radi provedbe primjenjivog prava zaštite podataka, uključujući protiv drugog poslovnog nastana, koji prema podjeli zadaća i odgovornosti unutar grupe nije nadzornik obrade podataka (u ovom slučaju u Njemačkoj), ili mjere i naloge u tom slučaju može donositi samo nadzorno tijelo države članice (u ovom slučaju Irske) na čijem državnom području sjedište ima tijelo odgovorno unutar grupe?
5. Treba li članak 4. stavak 1. točku (a) i članak 28. stavke 3. i 6. Direktive 95/46 tumačiti na način da je, u slučajevima u kojima nadzorno tijelo države članice (u ovom slučaju Njemačke) pokreće postupak protiv osobe ili tijela koje obavlja svoje djelatnosti na njezinu državnom području u skladu s člankom 28. stavkom 3. [te direktive] zbog nepažljivog izbora treće osobe uključene u postupak obrade podataka (u ovom slučaju društva Facebook) jer je ta treća osoba povrijedila primjenjivo pravo zaštite podataka, nadzorno tijelo koje intervenira (u ovom slučaju Njemačke) obvezano ocjenom u pogledu primjenjivog prava zaštite podataka koje je utvrdilo nadzorno tijelo druge države članice, u kojoj treća osoba, koja je nadzornik obrade podataka, ima poslovni nastan (u ovom slučaju Irska), tako da nije ovlašteno dati drukčiju pravnu ocjenu, ili da nadzorno tijelo koje intervenira (u ovom slučaju Njemačke) smije samostalno ispitivati zakonitost obrade podataka koju je provela treća osoba sa sekundarnim poslovnim nastanom u drugoj državi članici (u ovom slučaju Irskoj)?
6. U slučaju da [je] nadzorno tijelo koje intervenira (u ovom slučaju Njemačke) ovlašteno samostalno provoditi nadzor: treba li drugu rečenicu članka 28. stavka 6. Direktive 95/46 tumačiti na način da to nadzorno tijelo može izvršavati učinkovite ovlasti za posredovanje, koje su mu dodijeljene u skladu s člankom 28. stavkom 3. [te direktive], protiv osobe ili tijela s poslovnim nastanom na njegovu državnom području na temelju suodgovornosti za povrede zaštite podataka, koje je počinila treća osoba s poslovnim nastanom u drugoj državi članici samo ako je ono zatražilo nadzorno tijelo te druge države članice (u ovom slučaju Irske) da izvrši svoje ovlasti?”
II. Moja analiza
38. Valja pojasniti da se prethodna pitanja koja je postavio sud koji je uputio zahtjev ne odnose na pitanje protivi li se obrada osobnih podataka, na koju se odnose prigovori koje je iznio ULD, odnosno prikupljanje i uporaba podataka osoba koje posjećuju stranice obožavatelja, a da te osobe o tome nisu prethodno obaviještene, pravilima koja proizlaze iz Direktive 95/46.
39. Prema objašnjenjima koja je dostavio sud koji je uputio zahtjev, zakonitost naloga koju on mora ocijeniti ovisi o sljedećim elementima. Sa stajališta tog suda, najprije valja utvrditi je li ULD imao pravo izvršavati svoje ovlasti za posredovanje protiv osobe koja nije nadzornik u smislu članka 2. točke (d) Direktive 95/46. Nadalje, sud koji je uputio zahtjev smatra da zakonitost naloga također ovisi o pitanjima je li ULD bio nadležan djelovati u pogledu obrade osobnih podataka iz glavnog postupka, je li činjenica da svoj nalog nije uputio društvu Facebook Germany nego društvu Wirtschaftsakademie pogreška u ocjeni, te, naposljetku, bi li ULD počinio drugu pogrešku u ocjeni da je društvu Wirtschaftsakademie naložio da zatvori svoju stranicu obožavatelja, iako je prethodno trebao od Nadzornog tijela za zaštitu podataka zatražiti da izvrši svoje ovlasti protiv društva Facebook Ireland.
A. Prvo i drugo prethodno pitanje
40. Svojim prvim i drugim prethodnim pitanjem, koja prema mojem mišljenju valja ispitati zajedno, sud koji je uputio zahtjev u biti pita Sud da odluči o tome treba li članak 17. stavak 2., članak 24. i članak 28. stavak 3.drugu alineju Direktive 95/46 tumačiti na način da se njima omogućuje da nadzorna tijela izvršavaju svoje ovlasti za posredovanje protiv tijela koje se ne može smatrati „nadzornikom” u smislu članka 2. točke (d) te iste direktive, ali koje bi unatoč svemu moglo biti odgovorno u slučaju povrede pravila o zaštiti osobnih podataka zbog izbora tog tijela da se za širenje svoje ponude informacija koristi društvenom mrežom kao što je Facebook.
41. Ta se pitanja temelje na pretpostavci prema kojoj Wirtschaftsakademie nije „nadzornik” u smislu članka 2. točke (d) Direktive 95/46. Zato taj sud želi znati može li mjera izdavanja naloga kao što je ona u glavnom postupku biti usmjerena protiv osobe koja ne odgovara kriterijima utvrđenim tom odredbom.
42. Međutim, smatram da je ta pretpostavka pogrešna. Naime, Wirtschaftsakademie prema mojem mišljenju treba smatrati suodgovornim za fazu obrade koja se sastoji od prikupljanja osobnih podataka koje provodi Facebook.
43. „Nadzornik” u smislu članka 2. točke (d) Direktive 95/46 znači „fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka”(16).
44. Nadzornik ima ključnu ulogu u okviru sustava koji je uspostavljen Direktivom 95/46 te je njegovo utvrđivanje stoga nužno. Naime, tom se direktivom predviđa da je nadzornik dužan izvršavati određeni broj obveza namijenjenih osiguranju zaštite osobnih podataka(17). Tu je ključnu ulogu Sud istaknuo u svojoj presudi od 13. svibnja 2014., Google Spain i Google(18). Taj je sud naime presudio da nadzornik mora u okviru svojih odgovornosti, nadležnosti i mogućnosti osigurati da predmetna obrada podataka zadovoljava uvjete iz Direktive 95/46 kako bi njome predviđena jamstva mogla razviti svoj puni učinak i kako bi se djelotvorno ostvarila učinkovita i potpuna zaštita osoba čiji se podaci obrađuju, osobito zaštita njihovog prava na privatnost(19).
45. Iz sudske prakse Suda također proizlazi da taj pojam treba široko tumačiti kako bi se osigurala učinkovita i potpuna zaštita osoba čiji se podaci obrađuju(20).
46. Nadzornik obrade osobnih podataka odlučuje zašto i kako će se ti podaci obrađivati. Kao što ističe radna skupina iz članka 29., „[p]ojam nadzornika funkcionalni je pojam čiji je cilj da se dodijele odgovornosti osobama koje izvršavaju činjenični utjecaj te koji se stoga temelji na činjeničnoj, a ne formalnoj analizi”(21).
47. Prema mojem mišljenju, tu su odredbu upravo osmislili Facebook Inc. i, kada se radi o Uniji, Facebook Ireland, koji su najprije utvrdili ciljeve i načine te obrade.
48. Točnije, Facebook Inc. razvio je opći gospodarski model na temelju kojeg se prikupljanjem osobnih podataka prilikom posjećivanja stranice obožavatelja te potom i uporabom tih podataka može omogućiti, s jedne strane, objavljivanje personaliziranih oglasa te, s druge strane, izrada statistike posjećenosti namijenjene administratorima tih stranica.
49. K tome, iz sadržaja spisa proizlazi da je Facebook Inc. imenovao Facebook Ireland zaduženim za obradu osobnih podataka u Uniji. Prema objašnjenjima koja je dostavio Facebook Ireland, na načine funkcioniranja društvene mreže mogu se primijeniti određene prilagodbe u Uniji(22).
50. Osim toga, iako je nesporno da svaka osoba s boravištem na području Unije koja se želi koristiti Facebookom treba prilikom registracije sklopiti ugovor s Facebookom Ireland, valja istaknuti da se, istovremeno, osobni podaci korisnika Facebooka koji borave na području Unije prenose u cijelosti ili djelomično na poslužitelje koji pripadaju Facebooku Inc., koji su smješteni na državnom području Sjedinjenih Američkih Država, gdje su predmet obrade(23).
51. Uzimajući u obzir uključenost društva Facebook Inc. te, konkretnije što se tiče Unije, društva Facebook Ireland u utvrđivanje svrhe i načinâ obrade osobnih podataka iz glavnog postupka, ta dva subjekta treba, s obzirom na elemente kojima raspolažem, smatrati suodgovornima za tu obradu. U tom pogledu valja istaknuti da se člankom 2. točkom (d) Direktive 95/46 izričito predviđa mogućnost takve zajedničke odgovornosti. Kao što je naveo sam sud koji je uputio zahtjev, naposljetku je na tom sudu da pojasni unutarnju strukturu donošenja odluka i obrade podataka grupe Facebook kako bi se utvrdilo koji je poslovni nastan, ili više njih, nadzornik u smislu članka 2. točke (d) Direktive 95/46(24).
52. Prema mojem mišljenju, zajedničkoj odgovornosti društava Facebook Inc. i Facebook Ireland valja, što se tiče faze obrade koja obuhvaća prikupljanje osobnih podataka koju provodi Facebook(25), dodati odgovornost administratora stranice obožavatelja kao što je Wirtschaftsakademie.
53. Točno je da je administrator stranice obožavatelja prije svega korisnik Facebooka, kojim se služi kako bi se koristio njegovim alatima i tako stekao bolju vidljivost. Tim se utvrđenjem, međutim, ne može isključiti da ga se može smatrati i nadzornikom faze obrade osobnih podataka koja je predmet spora u glavnom postupku, odnosno prikupljanja takvih podataka koje provodi Facebook.
54. Što se tiče pitanja „utvrđuje” li administrator stranice obožavatelja svrhu i načine obrade, valja provjeriti izvršava li taj administrator pravni ili činjenični utjecaj na tu svrhu i te načine. Na temelju tog elementa utvrđivanja može se smatrati da nadzornik ne provodi obradu osobnih podataka, već utvrđuje način i svrhu te obrade.
55. Budući da se koristi Facebookom za širenje svoje ponude informacija, administrator stranice obožavatelja prihvaća načelo provođenja obrade osobnih podataka posjetitelja svoje stranice radi izrade statistike posjećenosti(26). Iako se podrazumijeva da nije osmislio alat „Facebook Insights”, taj administrator upotrebom tog alata ipak sudjeluje u utvrđivanju svrhe i načinâ obrade osobnih podataka posjetitelja svoje stranice.
56. Naime, s jedne strane, ta se obrada ne može provoditi bez prethodne odluke administratora stranice obožavatelja da kreira tu stranicu i da se njome koristi na društvenoj mreži Facebook. Omogućavanjem obrade osobnih podataka korisnika stranice obožavatelja upravitelj te stranice pristupa sustavu koji je uspostavio Facebook. Time stječe bolju vidljivost profila korisnika svoje stranice obožavatelja te istovremeno omogućuje Facebooku da bolje usmjeri oglašavanje korišteno u okviru te društvene mreže. Prihvaćajući načine i svrhu obrade osobnih podataka, kako ih je prethodno utvrdio Facebook, treba smatrati da upravitelj stranice obožavatelja sudjeluje u njihovu utvrđivanju. K tome, kao što administrator stranice obožavatelja tako izvršava odlučujući utjecaj na pokretanje obrade osobnih podataka osoba koje posjećuju tu stranicu, on također ima ovlast okončati tu obradu zatvaranjem svoje stranice obožavatelja.
57. S druge strane, iako je svrhu i načine primjene alata „Facebook Insights” kao takvog općenito utvrdio Facebook Inc. zajedno s društvom Facebook Ireland, administrator stranice obožavatelja može utjecati na konkretnu uporabu tog alata utvrđivanjem kriterija na temelju kojih se izrađuje statistika posjećenosti. Kada Facebook poziva administratora stranice obožavatelja da kreira ili izmijeni publiku svoje stranice, ukazuje mu na to da će postupiti najbolje što može kako bi pokazao tu stranicu osobama koje su mu najvažnije. Administrator stranice obožavatelja može pomoću filtera odrediti personaliziranu publiku, čime mu se omogućuje ne samo sužavanje skupine osoba kojima će prenositi informacije o svojoj komercijalnoj ponudi, već prije svega utvrđivanje kategorija osoba čije će osobne podatke Facebook prikupljati. Stoga administrator stranice obožavatelja, time što određuje publiku kojoj se želi obratiti, istovremeno utvrđuje ciljanu publiku čije osobne podatke Facebook može prikupljati te potom i upotrijebiti. Osim što pri kreiranju stranice obožavatelja pokreće obradu takvih podataka, administrator te stranice od tog trenutka ima odlučujuću ulogu u toj obradi koju provodi Facebook. Tako preuzima ulogu u utvrđivanju načinâ i svrhe navedene obrade, pri čemu na nju izvršava činjenični utjecaj.
58. Iz prethodno navedenog zaključujem da, u okolnostima kao što su one iz glavnog postupka, administratora stranice obožavatelja na društvenoj mreži kao što je Facebook treba smatrati odgovornim za fazu obrade osobnih podataka koja se sastoji od toga da ta društvena mreža prikuplja podatke o osobama koje posjećuju tu stranicu.
59. Taj zaključak je potkrijepljen utvrđenjem prema kojem administrator stranice obožavatelja kao što je Wirtschaftsakademie, s jedne strane, te pružatelji usluga kao što su Facebook Inc. i Facebook Ireland, s druge strane, zasebno nastoje ostvariti usko povezanu svrhu. Wirtschaftsakademie želi dobiti statistiku posjećenosti u svrhu upravljanja promocijom svoje djelatnosti, za što je potrebna obrada osobnih podataka. Na temelju te iste obrade Facebook također može bolje usmjeriti oglase koje objavljuje na svojoj mreži.
60. Stoga, valja odbaciti tumačenje koje se temelji isključivo na odredbama i uvjetima ugovora sklopljenog između društava Wirtschaftsakademie i Facebook Ireland. Naime, podjela zadaća navedena u ugovoru može poslužiti tek kao naznaka stvarne uloge koju ugovorne strane imaju u provedbi obrade osobnih podataka. U suprotnom bi te strane odgovornost za obradu mogle umjetno pripisati jednoj od njih. To vrijedi tim više u situaciji u kojoj je društvena mreža unaprijed pripremila opće uvjete o kojima se ne može pregovarati. Ne može se stoga smatrati da onaj tko može jednino pristati na ugovor ili ga odbiti ne može biti nadzornik. Od trenutka u kojem je taj isti suugovaratelj slobodno sklopio ugovor, on uvijek može biti nadzornik s obzirom na svoj konkretan utjecaj na načine i svrhu te obrade.
61. Stoga se činjenicom da je ugovor i njegove opće uvjete pripremio pružatelj usluga i da poslovni subjekt koji se koristi uslugama koje nudi taj pružatelj nema pristup podacima, ne isključuje mogućnost da ga se smatra nadzornikom ako je svojevoljno prihvatio ugovorne odredbe, preuzimajući time potpunu odgovornost što se tiče potonjih odredbi(27). Poput radne skupine iz članka 29., također valja priznati da moguća neravnoteža u odnosu snaga između pružatelja i primatelja usluge ne sprječava da se potonjeg primatelja može smatrati „nadzornikom”(28).
62. Osim toga, da bi se osobu moglo smatrati nadzornikom u smislu članka 2. točke (d) Direktive 95/46, nije nužno da ta osoba ima ovlast potpunog nadzora nad svim aspektima obrade. Kao što je belgijska vlada pravilno navela na raspravi, takav nadzor sve rjeđe postoji u praksi. Obrade su sve češće složene naravi, u smislu da se radi o više različitih obrada koje podrazumijevaju više strana koje same izvršavaju različite stupnjeve nadzora. Prema tome, tumačenje kojim se daje prednost postojanju ovlasti potpunog nadzora nad svim aspektima obrade može dovesti do ozbiljnih propusta u području zaštite osobnih podataka.
63. Činjenice iz kojih proizlazi presuda od 13. svibnja 2014., Google Spain i Google(29), primjer su toga. U tom se predmetu, naime, radilo o situaciji u koju su bili uključeni višestupanjski pružatelji informacija i u kojoj su različite strane zasebno imale različiti utjecaj na obradu. U tom predmetu Sud je odbio usko tumačiti pojam „nadzornika”. Smatrao je da operater pretraživača mora „kao osoba koja određuje svrhe i načine [svoje] aktivnosti [,] u okviru svojih odgovornosti, nadležnosti i mogućnosti osigurati da ta aktivnost zadovoljava uvjete iz Direktive 95/46”(30). Sud je, osim toga, naveo mogućnost zajedničke odgovornosti operatera pretraživača i urednikâ mrežnih stranica(31).
64. Kao i belgijska vlada, smatram da se širokim tumačenjem pojma „nadzornik” u smislu članka 2. točke (d) Direktive 95/46, koje se prema mojem mišljenju treba primjenjivati u okviru ovog predmeta, može spriječiti zlouporaba. Naime, u suprotnom bi bilo dovoljno da se poduzetnik koristi uslugama treće osobe kako bi izbjegao svoje obveze u području zaštite osobnih podataka. Drugim riječima, prema mojem mišljenju, ne treba praviti razliku između poduzetnika koji na svojoj internetskoj stranici ima alate slične onima koje nudi Facebook i poduzetnika koji društvenoj mreži Facebook pristupa kako bi se koristio alatima koje nudi potonja mreža. Stoga valja osigurati da gospodarski subjekti koji se koriste uslugom smještaja svoje internetske stranice ne mogu izbjeći odgovornost time što pristaju na opće uvjete pružatelja usluga. K tome, kao što je ta ista vlada navela na raspravi, nije nerazumno očekivati od poduzetnika da budu pozorni u trenutku odabira svojeg pružatelja usluga.
65. Stoga smatram da činjenica da administrator stranice obožavatelja upotrebljava platformu koju nudi Facebook te da se koristi pripadajućim uslugama, tog administratora ne oslobađa njegovih obveza u području zaštite osobnih podataka. Napominjem u tom pogledu da, čak i da je Wirtschaftsakademie otvorio internetsku stranicu izvan Facebooka uporabom alata sličnog „Facebook Insights” za izradu statistike posjećenosti, smatralo bi ga se nadzornikom obrade koja je potrebna za izradu takvih statistika. Prema mojem mišljenju, takvog gospodarskog subjekta ne treba osloboditi obveze poštovanja pravila o zaštiti osobnih podataka koja proizlaze iz Direktive 95/46 samo zato što se za promicanje svojih aktivnosti koristi platformom društvene mreže Facebook. Kao što sam sud koji je uputio zahtjev pravilno navodi, pružatelj informacija ne može se zbog izbora određenog pružatelja infrastrukture izuzeti od obveza koje mu se nalažu pravom mjerodavnim za zaštitu podataka u pogledu korisnika njegove ponude informacija, a koje bi morao ispuniti da se radi o običnom pružatelju sadržaja(32). Suprotnim bi se tumačenjem stvorila opasnost od zaobilaženja pravila o zaštiti osobnih podataka.
66. Također, prema mojem mišljenju, ne treba stvarati umjetnu razliku između situacije u okviru ovog predmeta i situacije u okviru predmeta C‑40/17, Fashion ID(33).
67. Taj se potonji predmet odnosi na situaciju u kojoj upravitelj internetske stranice na svoju stranicu uvodi ono što se naziva „dodatak za društvenu mrežu” (u ovom slučaju gumb „sviđa mi se” na Facebooku) vanjskog pružatelja usluga (odnosno Facebooka), koji pokreće prijenos osobnih podataka s računala korisnika internetske stranice vanjskom pružatelju usluga.
68. U okviru spora iz kojeg proizlazi taj predmet, udruga za zaštitu potrošača prigovara društvu Fashion ID da je, time što je na svoju internetsku stranicu uvelo dodatak „sviđa mi se” koji pruža društvena mreža Facebook, omogućilo potonjoj mreži pristup osobnim podacima korisnika te stranice bez njihova pristanka, te tako povrijedilo obveze obavješćivanja predviđene odredbama o zaštiti osobnih podataka. Stoga se postavlja pitanje može li se Fashion ID, s obzirom na to da Facebooku dopušta pristup osobnih podacima korisnika svoje internetske stranice, kvalificirati kao „nadzornik” u smislu članka 2. točke (d) Direktive 95/46.
69. U tom pogledu, ne mogu utvrditi temeljnu razliku između položaja administratora stranice obožavatelja i operatera internetske stranice koji na svoju stranicu uvodi kôd pružatelja usluga praćenja internetskog mjesta te tako, bez znanja korisnika interneta, olakšava prijenos podataka, instalaciju kolačića i prikupljanje podataka u korist pružatelja usluge praćenja internetskog mjesta.
70. Dodacima za društvene mreže također se operaterima internetskih stranica omogućuje korištenje određenih usluga društvenih mreža na njihovim vlastitim stranicama s ciljem povećanja vidljivosti potonjih stranica, uvođenjem na stranicu, na primjer, gumba „sviđa mi se” s Facebooka. Kao administratori stranica obožavatelja, operateri internetskih stranica koji uvode dodatke za društvene mreže mogu se koristiti uslugom „Facebook Insights” kako bi dobili precizne statističke informacije o korisnicima svoje stranice.
71. Kao što se događa u slučaju posjećivanja stranice obožavatelja, posjećivanjem internetske stranice koja sadržava dodatak za društvene mreže pokreće se prijenos osobnih podataka predmetnom pružatelju usluga.
72. Prema mojem mišljenju, u takvim bi okolnostima, kao i kod administratora stranice obožavatelja, upravitelja internetske stranice koja sadržava dodatak za društvene mreže, s obzirom na to da izvršava činjenični utjecaj na fazu obrade koja se odnosi na prijenos osobnih podataka Facebooku, trebalo kvalificirati kao „nadzornika” u smislu članka 2. točke (d) Direktive 95/46(34).
73. Dodajem da, kao što je pravilno navela belgijska vlada, utvrđenjem prema kojem Wirtschaftsakademie djeluje suodgovorno za obradu kada odlučuje koristiti se uslugama Facebooka u pogledu njegove ponude informacija, nikako se ne umanjuju obveze koje imaju Facebook Inc. i Facebook Ireland kao nadzornici. Jasno je, naime, da ta dva subjekta izvršavaju odlučujući utjecaj na svrhu i načine obrade osobnih podataka koja se provodi u okviru posjećivanja stranice obožavatelja i koju ti subjekti upotrebljavaju također za vlastite svrhe i ciljeve.
74. Međutim, priznavanjem zajedničke odgovornosti administratorâ stranica obožavatelja za fazu obrade koja se sastoji od prikupljanja osobnih podataka koju provodi Facebook, pridonosi se potpunijoj zaštiti prava kojima raspolažu osobe koje posjećuju tu vrstu stranica. Osim toga, činjenica da se administratori stranica obožavatelja aktivno povezuju s poštovanjem pravila o zaštiti osobnih podataka tako što ih se imenuje nadzornicima može, prema učinku koji iz toga proizlazi, samu platformu društvene mreže navesti na usklađivanje s takvim pravilima.
75. Također valja pojasniti da zajednička odgovornost ne znači jednaka odgovornost. Naprotiv, različiti nadzornici mogu biti uključeni u obradu osobnih podataka u različitim fazama i stupnjevima(35).
76. Prema mišljenju radne skupine iz članka 29., „[m]ogućnošću pluralističke odgovornosti uzima se u obzir rastući broj situacija u kojima različiti dionici djeluju kao nadzornici. Ocjena te suodgovornosti mora slijediti ocjenu ‚jedinstvene’ odgovornosti, primjenom konkretnog i praktičnog pristupa kako bi se odredilo utvrđuje li svrhu i osnovne elemente načinâ obrade više dionika. Sudjelovanje dionika u utvrđivanju svrhe i načina obrade u okviru suodgovornosti može imati više oblika i nije nužno jednako podijeljeno”(36). Naime, „kada postoji više dionika, oni mogu biti u vrlo bliskom odnosu (tako što, na primjer, dijele sve svrhe i načine postupka obrade) ili, naprotiv, u daljem odnosu (tako što dijele samo svrhu ili načine, ili jedan dio njih). Stoga, široki raspon oblika suodgovornosti valja ispitati, te ocijeniti njihove pravne posljedice, uz određenu fleksibilnost kako bi se uzela u obzir rastuća složenost trenutnog stanja obrade podataka”(37).
77. Iz prethodno navedenog proizlazi da, prema mojem mišljenju, administratora stranice obožavatelja na društvenoj mreži Facebook valja smatrati, uz Facebook Inc. i Facebook Ireland, nadzornikom obrade osobnih podataka koja se provodi radi izrade statistike posjećenosti za tu stranicu.
B. Treće i četvrto prethodno pitanje
78. Svojim trećim i četvrtim prethodnim pitanjem, koja prema mojem mišljenju valja ispitati zajedno, sud koji je uputio zahtjev od Suda želi dobiti pojašnjenja o tumačenju članka 4. stavka 1. točke (a) i članka 28. stavaka 1., 3. i 6. Direktive 95/46 u situaciji u kojoj društvo majka s poslovnim nastanom izvan Unije, kao što je Facebook Inc., pruža usluge u pogledu društvene mreže na području Unije posredstvom više poslovnih nastana. Među tim poslovnim nastanima, jednu je društvo majka imenovalo nadzornikom obrade osobnih podataka na području Unije (Facebook Ireland), a druga osigurava promociju i prodaju oglašivačkih prostora, kao i marketinšku aktivnost namijenjene stanovnicima Njemačke (Facebook Germany). U tim okolnostima, sud koji je uputio zahtjev želi znati, s jedne strane, smije li njemačko nadzorno tijelo izvršavati svoje ovlasti za posredovanje čiji je cilj prekid sporne obrade osobnih podataka te, s druge strane, protiv kojeg se poslovnog nastana takve ovlasti mogu izvršavati.
79. Kao odgovor na dvojbe ULD‑a i talijanske vlade u pogledu dopuštenosti trećeg i četvrtog prethodnog pitanja, ističem da Bundesverwaltungsgericht (Savezni upravni sud) u svojoj odluci kojom se upućuje zahtjev za prethodnu odluku objašnjava da su mu potrebna pojašnjenja u tom pogledu kako bi mogao odlučiti o zakonitosti naloga iz glavnog postupka. Osobito, taj sud tvrdi da bi mjera izdavanja naloga protiv društva Wirtschaftsakademie mogla biti zahvaćena pogreškom u ocjeni i, prema tome, biti nezakonita ako su se, prema tvrdnjama ULD‑a, navodne povrede primjenjivog prava na zaštitu podataka mogle ispraviti mjerom usmjerenom izravno protiv društva kćeri Facebook Germany s poslovnim nastanom u Njemačkoj(38). Tim se razmišljanjem suda koji je uputio zahtjev omogućuje, prema mojem mišljenju, dobro shvaćanje razloga iz kojih taj sud postavlja Sudu treće i četvrto prethodno pitanje. S obzirom na pretpostavku relevantnosti koja se odnosi na zahtjeve za prethodnu odluku(39), predlažem Sudu, prema tome, da na ta pitanja odgovori.
80. U skladu s člankom 4. Direktive 95/46, naslovljenim „Primjena nacionalnog prava”:
„1. Svaka država članica na obradu osobnih podataka primjenjuje nacionalne propise koje donese u skladu s ovom Direktivom kada:
(a) se obrada provodi u smislu aktivnosti poslovnog nastana nadzornika na području države članice; kada taj nadzornik ima poslovni nastan na području nekoliko država članica, on mora poduzeti potrebne mjere kako bi osigurao da svaki od tih poslovnih nastana ispunjava obveze propisane važećim nacionalnim pravom;
[…]”
81. U svojem Mišljenju 8/2010 od 16. prosinca 2010. o primjenjivom pravu(40), radna skupina iz članka 29. navodi primjenu članka 4. stavka 1. točke (a) Direktive 95/46 u sljedećoj situaciji: „Platforma društvene mreže ima sjedište u trećoj zemlji i poslovni nastan u državi članici. Poslovni nastan utvrđuje i primjenjuje politike koje se odnose na obradu osobnih podataka u pogledu rezidenata [Unije]. Društvena mreža aktivno je usmjerena na rezidente svih država članica [Unije], koji čine velik dio njezinih klijenata i prihoda. Također instalira kolačiće na računala korisnika u [Uniji]. U tom slučaju, u skladu s člankom 4. stavkom 1. točkom (a) [Direktive 95/46], u području zaštite podataka primjenjivo je pravo države članice [Unije] na čijem državnom području poduzetnik ima poslovni nastan. Nije važno koristi li se društvena mreža opremom koja je smještena na državnom području drugih država članica jer se sve obrade provode u okviru aktivnosti jedinstvenog poslovnog nastana niti isključuje li se Direktivom kumulativna primjena članka 4. stavka 1. točaka (a) i (c) [te direktive]”(41). Radna skupina iz članka 29. također pojašnjava da, „u skladu s člankom 28. stavkom 6. [navedene direktive], nadzorno tijelo države članice na čijem državnom području društvena mreža ima poslovni nastan dužno je surađivati s drugim nadzornim tijelima, na primjer, pri obradi zahtjeva ili prigovora rezidenata drugih država članica [Unije]”(42).
82. Slučaj naveden u prethodnoj točki ne predstavlja nikakvu poteškoću što se tiče utvrđivanja primjenjivog nacionalnog prava. Naime, pod tom pretpostavkom, budući da društvo majka ima samo jedan poslovni nastan u Uniji, na predmetnu obradu osobnih podataka primjenjuje se pravo države članice u kojoj se taj poslovni nastan nalazi.
83. Situacija postaje složenija kada, kao što je slučaj u okviru ovog predmeta, društvo s poslovnim nastanom u trećoj državi kao što je Facebook Inc. obavlja svoje djelatnosti u Uniji, s jedne strane, posredstvom poslovnog nastana koji je to društvo imenovalo isključivo odgovornim za prikupljanje i obradu osobnih podataka unutar grupe Facebook na cjelokupnom području Unije (Facebook Ireland) te, s druge strane posredstvom drugih poslovnih nastana, od kojih se jedan nalazi u Njemačkoj (Facebook Germany) te je, prema navodima iz odluke kojom se upućuje zahtjev za prethodnu odluku, zadužen za promociju i prodaju oglašivačkih prostora te za druge marketinške aktivnosti namijenjene stanovnicima te države članice(43).
84. U takvoj situaciji, je li njemačko nadzorno tijelo nadležno za izvršavanje ovlasti za posredovanje kojim se nastoji okončati obrada osobnih podataka za koju su Facebook Inc. i Facebook Ireland suodgovorni?
85. Radi odgovora na to pitanje, valja utvrditi smije li njemačko nadzorno tijelo primijeniti svoje nacionalno pravo na takvu obradu.
86. U tom pogledu, iz članka 4. stavka 1. točke (a) Direktive 95/46 proizlazi da se obrada koja se provodi u okviru aktivnosti poslovnog nastana uređuje pravom države članice na državnom području na kojem se nalazi taj poslovni nastan.
87. Sud je već presudio da, s obzirom na to da je cilj navedene direktive učinkovita i potpuna zaštita temeljnih prava i sloboda fizičkih osoba, a posebno prava na privatnost u vezi s obradom osobnih podataka, izraz „u okviru aktivnosti poslovnog nastana”, koji se navodi u članku 4. stavku 1. točki (a) te direktive, ne može se restriktivno tumačiti(44).
88. Da bi se zakon o prenošenju određene države članice primjenjivao na obradu osobnih podataka potrebno je ispuniti dva uvjeta. Na prvom mjestu, nadzornik mora imati „poslovni nastan” u toj državi članici. Na drugom mjestu, navedena obrada mora se provoditi „u okviru aktivnosti” tog poslovnog nastana
89. Kao prvo, kada je riječ o pojmu „poslovni nastan” u smislu članka 4. stavka 1. točke (a) Direktive 95/46, Sud je već precizirao, tumačeći taj pojam široko i fleksibilno, da se on odnosi na svaku stvarnu i učinkovitu djelatnost, pa i minimalnu, koja se obavlja putem stabilnih aranžmana(45), odstupajući od formalističkog pristupa(46).
90. S tog stajališta, valja procijeniti kako stupanj stabilnosti aranžmana tako i stvarnost obavljanja aktivnosti u predmetnoj državi članici(47), uzimajući u obzir posebnu prirodu predmetnih gospodarskih djelatnosti i pružanja usluga(48). U tom se pogledu ne osporava da Facebook Germany, čije se sjedište nalazi u Hamburgu (Njemačka), učinkovito i stvarno obavlja djelatnost putem stabilnog aranžamana u Njemačkoj. Taj je aranžman stoga „poslovni nastan” u smislu članka 4. stavka 1. točke (a) Direktive 95/46.
91. Kao drugo, kada je riječ o tome je li predmetna obrada osobnih podataka izvršena „u okviru aktivnosti” tog poslovnog nastana u smislu članka 4. stavka 1. točke (a) Direktive 95/46, Sud je već podsjetio da ta odredba zahtijeva da predmetna obrada osobnih podataka bude izvršena ne „od strane” samog predmetnog poslovnog nastana, već samo „u okviru [njegove] aktivnosti”(49).
92. Kao što proizlazi iz Mišljenja 8/2010, „pojam ‚okvir aktivnosti’, a ne smještaj podataka, odlučujući je čimbenik za utvrđivanje mjerodavnog prava. Tim se pojmom pretpostavlja da primjenjivo pravo nije pravo države članice u kojoj nadzornik ima poslovni nastan, već pravo države u kojoj poslovni nastan nadzornika sudjeluje u aktivnostima [koje se odnose na obradu osobnih podataka ili koje su uključuju tu obradu]. U tim okolnostima, stupanj sudjelovanja jednog poslovnog nastana ili više njih u aktivnostima u okviru kojih se osobni podaci obrađuju od ključne je važnosti. K tome, valja uzeti u obzir narav aktivnosti poslovnih nastana, kao i potrebu osiguranja učinkovite zaštite prava osoba. Valja usvojiti funkcionalni pristup za analizu tih kriterija: prije su odlučujući ponašanje dionika i njihov međuodnos, nego teorijska procjena primjenjivog prava”(50).
93. U presudi od 13. svibnja 2014., Google Spain i Google(51), Sud je morao provjeriti poštovanje tog uvjeta. Taj je sud primijenio široko tumačenje time što je smatrao da se obrada osobnih podataka koja se provodi za potrebe usluge pretraživača kao što je Google Search, koji iskorištava poduzetnik sa sjedištem u trećoj zemlji, ali ima poslovni nastan u državi članici, izvršava „u okviru aktivnosti” tog poslovnog nastana ako on u toj državi članici ima za cilj promociju i prodaju oglašivačkih prostora na tom pretraživaču, a koji služe za naplatu usluge koju nudi navedeni pretraživač(52). Naime, Sud je istaknuo da „u tim okolnostima aktivnosti operatera pretraživača i njegovog poslovnog nastana smještenog u dotičnoj državi članici neodvojivo su povezane budući da aktivnosti povezane s oglašivačkim prostorima predstavljaju način na koji je pretraživač o kojem je riječ ekonomski isplativ i budući da je taj pretraživač istodobno sredstvo koje omogućuje ostvarenje tih aktivnosti”(53). Sud je u potporu svojem rješenju dodao da je, s obzirom na to da je prikazivanje osobnih podataka na stranici s rezultatima pretrage „popraćeno na istoj stranici prikazivanjem reklama povezanih s izrazima za pretraživanje, nužno […] ustvrditi da se obrada osobnih podataka o kojima je riječ izvršava u okviru oglašivačke i trgovačke aktivnosti poslovnog nastana nadzornika na području države članice, u predmetnom slučaju na području Španjolske”(54).
94. Međutim, prema navodima iz odluke kojom se upućuje zahtjev, Facebook Germany zadužen je za promociju i prodaju oglašivačkih prostor te druge marketinške aktivnosti namijenjene stanovnicima Njemačke Budući da je cilj obrade osobnih podataka iz glavnog postupka, koja se sastoji od prikupljanja takvih podataka s pomoću kolačića instaliranih na računalima posjetitelja stranica obožavatelja, među ostalim, omogućiti Facebooku bolje usmjeravanje oglasa koje objavljuje, valja smatrati da se takva obrada provodi u okviru aktivnosti koje Facebook Germany obavlja u Njemačkoj U tom pogledu, uzimajući u obzir da društvena mreža kao što je Facebook većinu svojih prihoda ostvaruje zahvaljujući oglasima koje širi na internetskim stranicama koje korisnici kreiraju i posjećuju(55), valja smatrati da su aktivnosti suodgovornih nadzornika, Facebook Inc. i Facebook Ireland, neodvojivo povezane s aktivnostima poslovnog nastana kao što je Facebook Germany. Osim toga, uslijed obrade osobnih podataka koja se omogućuje instalacijom kolačića na računalo osobe koja posjećuje stranicu koja pripada domeni Facebook.com, posjećivanje stranice Facebook na istoj je internetskoj stranici popraćeno prikazivanjem reklama koje se odnose na središta interesa tog posjetitelja. Iz toga valja zaključiti da se predmetna obrada osobnih podataka izvršava u okviru oglašivačke i trgovačke aktivnosti poslovnog nastana nadzornika na državnom području države članice, u predmetnom slučaju na njemačkom državnom području.
95. Okolnost da grupa Facebook, za razliku od slučaja u okviru predmeta u kojem je donesena presuda od 13. svibnja 2014., Google Spain i Google(56), ima europsko sjedište, u ovom slučaju u Irskoj, nije protivna tome da se tumačenje članka 4. stavka 1. točke (a) Direktive 95/46, koje je Sud utvrdio u toj presudi, primijeni u okviru ovog predmeta. U navedenoj je presudi Sud izrazio želju da se izbjegne izuzimanje obrade osobnih podataka od obveza i jamstava predviđenih tom direktivom. U okviru ovog postupka navedeno je da ovdje ne postoji problem povezan s takvim izbjegavanjem jer nadzornik ima poslovni nastan u državi članici, u ovom slučaju u Irskoj. Stoga, u skladu s tom logikom, članak 4. stavak 1. točku (a) navedene direktive valjalo bi tumačiti na način da se tom nadzorniku nalaže da uzima u obzir samo jedno nacionalno zakonodavstvo te da ovisi o samo jednom nadzornom tijelu, odnosno o irskom zakonodavstvu i tijelu.
96. Takvo se tumačenje međutim protivi tekstu članka 4. stavka 1. točki (a) Direktive 95/46, kao i nastanku te odredbe. Naime, kao što je belgijska vlada pravilno istaknula na raspravi, tom direktivom ne uvodi se ni jedinstveni mehanizam, ni načelo države podrijetla(57). U tom pogledu, ne treba pomiješati ono što je obuhvaćeno političkim ciljem koji je Europska komisija željela postići u svojem prijedlogu direktive i rješenje koje je Vijeće Europske unije na kraju prihvatilo. U navedenoj direktivi, taj je zakonodavac odlučio da neće dati prednost primjeni nacionalnog prava države članice u kojoj se nalazi glavni poslovni nastan nadzornika. Rezultat koji proizlazi iz Direktive 95/46 odražava volju država članica da zadrže svoju nacionalnu izvršnu ovlast. Zakonodavac Unije je, time što nije primijenio načelo države podrijetla, dopustio svakoj državi članici da primjenjuje vlastito nacionalno zakonodavstvo te je tako omogućio kumulaciju primjenjivih nacionalnih zakonodavstava(58).
97. Člankom 4. stavkom 1. točkom (a) navedene direktive zakonodavac Unije namjerno je odlučio omogućiti da se, u slučaju prisutnosti više poslovnih nastana nadzornika u Uniji, više nacionalnih zakonodavstava o zaštiti osobnih podataka može primijeniti na obradu osobnih podataka rezidenata država članica čiji se podaci obrađuju kako bi osigurao učinkovitu zaštitu prava potonjih rezidenata u tim državama članicama.
98. To je potvrđeno uvodnom izjavom 19. Direktive 95/46 kojom se pojašnjava da „kada pojedini nadzornik ima poslovni nastan na području nekoliko država članica, posebno putem društava‑kćeri, on mora osigurati, kako bi spriječio izbjegavanje nacionalnih propisa, da svaki poslovni nastan ispunjava obveze koje nalaže nacionalno zakonodavstvo koje se primjenjuje na njegove aktivnosti”.
99. Stoga iz članka 4. stavka 1. točke (a) Direktive 95/46, u čijoj se drugoj rečenici pojašnjuje, u smislu onoga što se navodi u uvodnoj izjavi 19. te direktive, kada taj nadzornik ima poslovni nastan na području nekoliko država članica, on mora poduzeti potrebne mjere kako bi osigurao da svaki od tih poslovnih nastana ispunjava obveze propisane važećim nacionalnim pravom, zaključujem da struktura grupe čiji nadzornik ima poslovne nastane u nekoliko država članica ne mora imati za učinak omogućavanje potonjem nadzorniku da zaobilazi pravo države članice u kojoj se nalazi svaki od tih poslovnih nastana.
100. Dodajem da se tumačenje kojim se pogoduje isključivoj primjeni prava države članice u kojoj se nalazi europsko središte međunarodne grupe, prema mojem mišljenju, više ne može zagovarati nakon donošenja presude od 28. srpnja 2016., Verein für Konsumenteninformation(59). U toj je presudi Sud odlučio da je obrada osobnih podataka koju izvrši poduzetnik za e‑trgovinu uređena pravom države članice prema kojoj taj poduzetnik usmjerava svoje aktivnosti ako se pokaže da taj poduzetnik predmetne podatke obrađuje u okviru aktivnosti poslovnog nastana smještenog u toj državi članici. Sud je odlučio u tom smislu unatoč činjenici da je Amazon, baš kao i Facebook, poduzetnik koji ne samo da ima europsko središte u državi članici, nego je i fizički prisutan u više država članica. Pod takvom pretpostavkom također valja ispitati je li obrada podataka obuhvaćena okvirom aktivnosti poslovnog nastana u državi članici različitoj od one u kojoj se nalazi europsko sjedište nadzornika.
101. Kao što je istaknula belgijska vlada, stoga je savršeno moguće da poslovni nastan različit od europskog sjedišta poduzetnika bude relevantan za primjenu članka 4. stavka 1. točke (a) Direktive 95/46.
102. U okviru sustava koji je uspostavljen tom direktivom, mjesto na kojem se provodi obrada, kao ni mjesto na kojem nadzornik ima sjedište u Uniji nisu stoga odlučujući, u slučaju postojanja više poslovnih nastana tog nadzornika u Uniji, za utvrđivanje nacionalnog prava primjenjivog na obradu podataka te za dodjeljivanje nadzornom tijelu nadležnosti za izvršavanje svojih ovlasti za posredovanje.
103. U tom pogledu, Sud prema mojem mišljenju ne bi trebao predviđati sustav uveden Općom uredbom o zaštiti podataka(60), koja će se primjenjivati od 25. svibnja 2018. U okviru tog sustava, uveden je jedinstveni mehanizam. To znači da će nadzornik koji provodi prekogranične obrade, kao što je Facebook, imati samo jedno nadzorno tijelo za sugovornika, odnosno vodeće nadzorno tijelo, koje će biti ono koje se nalazi ondje gdje je glavni poslovni nastan nadzornika. Međutim, još ne primjenjuje taj se sustav, kao ni sofisticirani mehanizam suradnje koji se njime uvodi.
104. Točno je da, s obzirom na to da je Facebook odlučio u Irskoj osnovati svoje glavno sjedište u Uniji, nadzorno tijelo te države članice ima važnu ulogu u provjeravanju poštuje li Facebook pravila koja proizlaze iz Direktive 95/46. Stoga, kao što priznaje samo to tijelo, to ne znači da ono ima, u okviru postojećeg sustava koji se temelji na toj direktivi, isključivu nadležnost u pogledu aktivnosti grupe Facebook u Uniji(61).
105. Svi ti elementi navode me da, kao i belgijska vlada, nizozemska vlada te ULD, smatram da je tumačenje koje je Sud primijenio na članak 4. stavak 1. točku (a) Direktive 95/46 u svojoj presudi od 13. svibnja 2014., Google Spain i Google(62), primjenjivo i na situaciju kao što je ona u glavnom postupku, u kojoj nadzornik ima sjedište u državi članici Unije te više poslovnih nastana u Uniji.
106. Stoga, na temelju navoda suda koji je uputio zahtjev u pogledu naravi aktivnosti koje obavlja Facebook Germany, valja smatrati da se sporna obrada osobnih podataka provodi u okviru aktivnosti tog poslovnog nastana i da se člankom 4. stavkom 1. točkom (a) Direktive 95/46 omogućuje, u situaciji kao što je ona u glavnom postupku, primjena njemačkog prava o zaštiti osobnih podataka(63).
107. Njemačko nadzorno tijelo stoga je nadležno za primjenu svojeg nacionalnog prava na obradu osobnih podataka iz glavnog postupka.
108. Iz članka 28. stavka 1. te direktive proizlazi da svako nadzorno tijelo koje je osnovala država članica osigurava na državnom području te države članice poštovanje odredbi koje su države članice donijele u skladu s navedenom direktivom.
109. Na temelju članka 28. stavka 3. Direktive 95/46, ta nadzorna tijela posebno imaju istražne ovlasti, kao što su ovlasti za prikupljanje svih podataka potrebnih za izvršavanje svojih nadzornih dužnosti te učinkovite ovlasti za posredovanje, kao što su ovlasti naređivanja blokiranja, brisanja ili uništavanja podataka, nametanja privremene ili konačne zabrane obrade, upozoravanja ili opominjanja nadzornika. Te ovlasti za posredovanje mogu podrazumijevati ovlast sankcioniranja nadzornika obrade podataka tako da mu se u tom slučaju izrekne novčana kazna(64).
110. Članak 28. stavak 6. Direktive 95/46 pak glasi kako slijedi:
„Svako nadzorno tijelo je na području svoje države članice nadležno za provedbu ovlasti koje su mu dodijeljene u skladu sa stavkom 3. ovog članka, neovisno o tome koje se nacionalno pravo primjenjuje na tu obradu. Svako tijelo može zatražiti tijelo druge države članice da provodi svoje ovlasti.
Nadzorna tijela međusobno surađuju u mjeri potrebnoj za izvršavanje svojih ovlasti, posebno razmjenom korisnih podataka.”
111. S obzirom na činjenicu da je pravo države članice kojoj pripada primjenjivo na obradu osobnih podataka iz glavnog postupka, njemačko nadzorno tijelo može izvršavati sve svoje ovlasti za posredovanje kako bi osiguralo da Facebook na njemačkom državnom području primjenjuje i poštuje njemačko pravo. Takav zaključak proizlazi iz presude od 1. listopada 2015., Weltimmo(65), kojom se omogućilo pojašnjenje dosega članka 28. stavaka 1., 3. i 6. Direktive 95/46.
112. Glavno pitanje u tom predmetu bilo je utvrditi nadležnost mađarskog nadzornog tijela za izricanje novčane kazne pružatelju usluga s poslovnim nastanom u drugoj državi članici, odnosno u Slovačkoj. Kako bi se utvrdila ta nadležnost, prethodno je trebalo ispitati je li, u skladu s kriterijem postavljenim u članku 4. stavku 1. točke (a) Direktive 95/46, mađarsko pravo primjenjivo.
113. U prvom dijelu svojeg odgovora, Sud je sudu koji je uputio zahtjev iznio određeni broj navoda na temelju kojih potonji sud može utvrditi postojanje poslovnog nastana nadzornika u Mađarskoj. Sud je usto smatrao da je ta obrada provedena u okviru aktivnosti tog poslovnog nastana te da se člankom 4. stavkom 1. točkom (a) Direktive 95/46 omogućuje, u situaciji kao što je ona u tom predmetu, primjena mađarskog prava o zaštiti osobnih podataka.
114. Tim se prvim dijelom odgovora Suda potvrdila nadležnost mađarskog nadležnog tijela za izricanje, u skladu s mađarskim pravom, novčane kazne pružatelju usluga s poslovnim nastanom u drugoj državi članici, u tom slučaju društvu Weltimmo.
115. Drugim riječima, od trenutka u kojem se, u skladu s kriterijem navedenim u članku 4. stavku 1. točki (a) Direktive 95/46, moglo priznati da je mađarsko pravo primjenjivo nacionalno pravo, mađarsko nadzorno tijelo bilo je nadležno osigurati poštovanje tog prava u slučaju da nadzornik to pravo povrijedi, iako je potonji nadzornik registriran u Slovačkoj. U skladu s tom odredbom Direktive 95/46, moglo se smatrati da Weltimmo, iako registriran u Slovačkoj, također ima poslovni nastan u Mađarskoj. Postojanje poslovnog nastana u Mađarskoj nadzornika koji provodi aktivnosti u okviru kojih se provodila ta obrada tako je osnova potrebna za priznavanje primjenjivosti mađarskog prava te, prema tome, nadležnosti mađarskog nadzornog tijela za osiguranje poštovanja tog prava na mađarsku državnom području.
116. Drugi dio odgovora Suda, u kojem je taj sud naglasio načelo teritorijalne primjene ovlasti svakog nadzornog tijela, samo je podredno istaknut, odnosno „samo za slučaj da mađarsko nadzorno tijelo smatra da Weltimmo nema poslovni nastan u Mađarskoj, nego u drugoj državi članici, u smislu članka 4. stavka 1. točke (a) Direktive 95/46, provodeći aktivnosti u okviru kojih je došlo do obrade osobnih podataka […]”(66). Stoga se radi o odgovoru na pitanje „treba li, u slučaju da mađarsko nadzorno tijelo zaključi da pravo koje je primjenjivo na obradu osobnih podataka nije mađarsko, nego pravo druge države članice, članak 28. stavke 1., 3. i 6. Direktive 95/46 tumačiti na način da bi to tijelo moglo izvršavati samo one ovlasti predviđene u članku 28. stavku 3. te direktive, sukladno pravu te druge države članice, i da ne bi moglo nametati sankcije”(67).
117. U tom drugom dijelu svojeg odgovora Sud je, prema tome, pojasnio opseg materijalne i teritorijalne ovlasti koje nadzorno tijelo može izvršavati u određenoj situaciji, odnosno onoj u kojoj pravo države članice kojoj pripada to nadzorno tijelo nije primjenjivo.
118. U takvom slučaju, Sud je smatrao da „ovlasti [navedenog] tijela ne podrazumijevaju nužno sve one koje su mu dodijeljene sukladno pravu države članice kojoj pripada”(68). Stoga, „to tijelo može izvršavati svoje istražne ovlasti neovisno o primjenjivom pravu i čak i prije nego što sazna koje je nacionalno pravo primjenjivo na predmetnu obradu. Međutim, ako zaključi da je primjenjivo pravo neke druge države članice, ono ne može nametnuti sankcije izvan teritorija države članice kojoj pripada. U takvoj situaciji na tom je tijelu da, ispunjavajući obvezu suradnje predviđenu člankom 28. stavkom 6. [Direktive 95/46], od nadzornog tijela te druge države članice zatraži da utvrdi moguću povredu tog prava i nametne sankcije ako to pravo to dopušta, oslanjajući se po potrebi na informacije koje je primilo od tijela prve države članice”(69).
119. Iz presude od 1. listopada 2015., Weltimmo(70), za potrebe ovog predmeta izvest ću sljedeće zaključke.
120. Za razliku od pretpostavke na kojoj je Sud temeljio svoje rasuđivanje o ovlastima nadzornih tijela u tom drugom dijelu presude od 1. listopada 2015., Weltimmo(71), predmet koji razmatram odgovara situaciji sličnoj onoj koja odgovara prvom dijelu te presude, u kojoj je, kao što sam prethodno naveo, primjenjivo nacionalno pravo ono države članice kojoj pripada nadzorno tijelo koje izvršava svoje ovlasti za posredovanje, i to zato što se na državnom području te države članice nalazi poslovni nastan nadzornika čija je aktivnost neodvojivo povezana s tom obradom. Postojanje tog poslovnog nastana u Njemačkoj osnova je potrebna za primjenu njemačkog prava na spornu obradu osobnih podataka.
121. Kada je taj prethodni uvjet ispunjen, njemačko nadzorno tijelo mora se priznati nadležnim za osiguranje poštovanja na njemačkom državnom području pravila u području zaštite osobnih podataka time što izvršava sve svoje ovlasti kojima raspolaže na temelju njemačkih odredbi kojima se prenosi članak 28. stavak 3. Direktive 95/46. Takve ovlasti mogu uključivati izdavanje naloga kojim se nameće privremena ili konačna zabrana obrade.
122. Što se tiče pitanja koji subjekt treba biti adresat takve mjere, moguća su dva rješenja.
123. U skladu s prvim rješenjem, valja smatrati da, u skladu s uskim tumačenje područja primjene teritorijalnih ovlasti za posredovanje kojim raspolažu nadzorna tijela, ta tijela mogu te ovlasti izvršavati isključivo protiv poslovnog nastana nadzornika koji se nalazi na državnom području države članice kojoj ta tijela pripadaju. Ako, kao što je slučaj u ovom predmetu, taj poslovni nastan, konkretno Facebook Germany, nije nadzornik te stoga ne on sam ne može ispuniti zahtjev nadzornog tijela kojim se nastoji okončati obrada podataka, taj nastan mora proslijediti taj zahtjev nadzorniku kako bi ga potonji nadzornik mogao izvršiti.
124. U skladu s drugim rješenjem, suprotno tome, s obzirom na to da je nadzornik jedini koji izvršava odlučujući utjecaj na predmetnu obradu podataka, on je taj kojem bi se trebala izravno usmjeriti mjera izdavanja naloga za okončanje takve obrade.
125. Prema mojem mišljenju, tom se drugom rješenju treba dati prednost s obzirom na to da je u skladu s temeljnom ulogom koju nadzornik ima u sustavu provedbe Direktive 95/46(72). Takvim se rješenjem, time što se izbjegava obvezno posredovanje putem poslovnog nastana koji obavlja aktivnosti u okviru kojih se provodi obrada, osigurava trenutna i učinkovita primjena nacionalnih pravila o zaštiti osobnih podataka. Osim toga, nadzorno tijelo koje nadzorniku, koji nema poslovni nastan na državnom području države članice kojoj pripada, kao što su to Facebook Inc. ili Facebook Ireland, izravno odredi mjeru u vidu izdavanja naloga za okončanje obrade podataka, ostaje u granicama svoje nadležnosti, koja se sastoji u osiguravanju da je ta obrada u skladu s pravom te države na njezinu državnom području. U tom pogledu, nije važno što jedan nadzornik ili više njih imaju poslovni nastan u drugoj državi članici ili pak u trećoj državi.
126. Vezano uz moj prijedlog odgovora na prvo i drugo prethodno pitanje, također ističem da, imajući u vidu cilj osiguravanja najšire moguće zaštite prava osoba koje posjećuju stranice obožavatelja, smatram da mogućnost da ULD izvršava svoje ovlasti za posredovanje protiv društava Facebook Inc. i Facebook Ireland uopće ne isključuje poduzimanje mjera protiv Wirtschaftsakademie te da ona stoga sama po sebi ne može utjecati na zakonitost istih.(73)
127. Iz prethodnih razmatranja proizlazi da članak 4. stavak 1. točku (a) Direktive 95/46 treba tumačiti na način da je obrada osobnih podataka, kao što je ona u glavnom postupku, izvršena u okviru aktivnosti poslovnog nastana nadzornika te obrade na državnom području države članice, u smislu te odredbe, kad poduzetnik koji je operater društvene mreže u toj državi članici osnuje društvo kćer u cilju promocije i prodaje oglašivačkih prostora tog poduzetnika i čija je aktivnost usmjerena na stanovnike te države članice.
128. Osim toga, u situaciji kao što je ona u glavnom postupku, u kojoj je nacionalno pravo primjenjivo na predmetnu obradu osobnih podataka pravo države članice kojoj pripada nadzorno tijelo, članak 28. stavke 1., 3. i 6. Direktive 95/46 treba tumačiti na način da to nadzorno tijelo protiv nadzornika može izvršavati sve učinkovite ovlasti za posredovanje koje su mu dodijeljene u skladu s člankom 28. stavkom 3. te direktive, uključujući kada taj nadzornik ima poslovni nastan u drugoj državi članici ili pak u trećoj državi.
C. Peto i šesto prethodno pitanje
129. Svojim petim i šestim prethodnim pitanjem, koja prema mojem mišljenju valja ispitati zajedno, sud koji je uputio zahtjev u biti pita Sud da presudi treba li članak 28. stavke 1., 3. i 6. Direktive 95/46 tumačiti na način da je u okolnostima kao što su one u glavnom postupku, nadzorno tijelo države članice u kojoj se nalazi poslovni nastan nadzornika (Facebook Germany), ovlašteno samostalno izvršavati svoje ovlasti za posredovanje, a da nije dužno prethodno zatražiti nadzorno tijelo države članice u kojoj se nalazi nadzornik (Facebook Ireland) da izvrši svoje ovlasti.
130. U svojoj odluci kojom se upućuje zahtjev za prethodnu odluku, Bundesverwaltungsgericht (Savezni upravni sud) objašnjava povezanost tih dvaju prethodnih pitanja i nadzora zakonitosti nad nalogom koji mora izvršiti u okviru spora u glavnom postupku. Taj sud tako navodi, u biti, da bi se moglo smatrati da je izdavanje naloga protiv društva Wirtschaftsakademie zahvaćeno pogreškom u ocjeni ULD‑a, ako članak 28. stavak 6. Direktive 95/46 treba tumačiti na način da se njime predviđa, u okolnostima kao što su one u glavnom postupku, obveza nadzornog tijela kao što je ULD da zatraži nadzorno tijelo druge države članice, u ovom slučaju Nadzorno tijelo za zaštitu podataka, da izvrši svoje ovlasti u slučaju razlike u ocjeni tih dvaju tijela u pogledu usklađenosti obrade podataka koju provodi Facebook Ireland s pravilima koja proizlaze iz Direktive 95/46.
131. Kao što je Sud presudio u svojoj presudi od 1. listopada 2015., Weltimmo(74), pod pretpostavkom da pravo primjenjivo na predmetnu obradu osobnih podataka nije pravo države članice kojoj pripada nadzorno tijelo koje želi izvršiti svoje ovlasti za posredovanje nego pravo druge države članice, članak 28. stavke 1., 3. i 6. Direktive 95/46 treba tumačiti na način da to tijelo ne bi moglo izricati sankcije na temelju prava države članice kojoj pripada, nadzorniku koji nema poslovni nastan na državnom području te države članice, ali bi u skladu s člankom 28. stavkom 6. te direktive moralo zatražiti od nadzornog tijela države članice čije je pravo primjenjivo da postupi(75).
132. U takvoj situaciji, nadzorno tijelo prve države članice gubi svoju nadležnost za izvršavanje svoje ovlasti kažnjavanja u pogledu nadzornika koji ima poslovni nastan u drugoj državi članici. To tijelo stoga mora, ispunjavajući obvezu suradnje predviđenu člankom 28. stavkom 6. navedene direktive, od nadzornog tijela te druge države članice zatražiti da utvrdi moguću povredu prava te države i izrekne sankcije ako to pravo to dopušta, oslanjajući se po potrebi na informacije koje je primilo od tijela prve države članice(76).
133. Kao što sam prethodno naveo, situacija u ovom predmetu potpuno je drukčija jer je primjenjivo pravo ono države članice kojoj pripada nadzorno tijelo koje želi izvršiti svoje ovlasti za posredovanje. U takvoj situaciji, članak 28. stavak 6. Direktive 95/46 treba tumačiti na način da se njime ne nalaže tom nadzornom tijelu da zatraži od nadzornog tijela države članice u kojoj nadzornik ima poslovni nastan da izvrši svoje ovlasti za posredovanje protiv potonjeg nadzornika.
134. Dodajem da u skladu s drugom rečenicom članka 28. stavka 1. Direktive 95/46, nadzorno tijelo, koje je nadležno izvršavati svoje ovlasti za posredovanje protiv nadzornika koji ima poslovni nastan u državi članici različitoj od one kojoj pripada, u provedbi funkcija koje su mu povjerene djeluje potpuno neovisno.
135. Kao što proizlazi iz mojih prethodnih razmatranja, Direktivom 95/46 ne predviđa se ni načelo države podrijetla, ni sustav „sve na jednom mjestu” kao što je onaj koji se navodi u Uredbi 2016/679. Nadzornik koji ima poslovne nastane u više država članica, prema tome, u potpunosti podliježe nadzoru nekoliko nadzornih tijela kada su primjenjiva prava država članica kojima ta tijela pripadaju. Iako su dogovor i suradnja među tim nadzornim tijelima naravno poželjni, ničime se ne obvezuje nadzorno tijelo čija se nadležnost priznaje da uskladi svoje stajalište sa stajalištem drugog nadzornog tijela.
136. Iz prethodno navedenog zaključujem da članak 28. stavke 1., 3. i 6. Direktive 95/46 treba tumačiti na način da je u okolnostima kao što su one u glavnom postupku, nadzorno tijelo države članice u kojoj se nalazi poslovni nastan nadzornika ovlašteno samostalno izvršavati svoje ovlasti za posredovanje protiv tog nadzornika, a da nije dužno prethodno zatražiti od nadzornog tijela države članice u kojoj se nalazi navedeni nadzornik da izvrši svoje ovlasti.
III. Zaključak
137. S obzirom na prethodna razmatranja, predlažem Sudu da na prethodna pitanja koja je postavio Bundesverwaltungsgericht (Savezni upravni sud, Njemačka) odgovori na sljedeći način:
1. Članak 2. točku (d) Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, kako je izmijenjena Uredbom (EZ) br. 1882/2003 Europskog parlamenta i Vijeća od 29. rujna 2003., treba tumačiti na način da je nadzornik, u smislu te odredbe, administrator stranice obožavatelja društvene mreže kao što je Facebook što se tiče faze obrade osobnih podataka koja se sastoji od toga da ta društvena mreža prikuplja podatke o osobama koje posjećuju tu stranicu, s ciljem izrade statistike posjećenosti za navedenu stranicu.
2. Članak 4. stavak 1. točku (a) Direktive 95/46, kako je izmijenjena Uredbom br. 1882/2003, treba tumačiti na način da je obrada osobnih podataka kao što je ona u glavnom postupku, izvršena u okviru aktivnosti poslovnog nastana nadzornika te obrade na državnom području države članice, u smislu te odredbe, kad poduzetnik koji je operater društvene mreže u državi članici osnuje društvo kćer u cilju promocije i prodaje oglašivačkih prostora tog poduzetnika i čija je aktivnost usmjerena na stanovnike te države članice.
3. U situaciji kao što je ona u glavnom postupku, u kojoj je nacionalno pravo primjenjivo na predmetnu obradu osobnih podataka pravo države članice kojoj pripada nadzorno tijelo, članak 28. stavke 1., 3. i 6. Direktive 95/46, kako je izmijenjena Uredbom br. 1882/2003, treba tumačiti na način da to nadzorno tijelo protiv nadzornika može izvršavati sve učinkovite ovlasti za posredovanje, koje su mu dodijeljene u skladu s člankom 28. stavkom 3. te direktive, uključujući kada taj nadzornik ima poslovni nastan u drugoj državi članici ili pak u trećoj državi.
4. Članak 28. stavke 1., 3. i 6. Direktive 95/46, kako je izmijenjena Uredbom br. 1882/2003, treba tumačiti na način da je u okolnostima kao što su one u glavnom postupku, nadzorno tijelo države članice u kojoj se nalazi poslovni nastan nadzornika, ovlašteno samostalno izvršavati svoje ovlasti za posredovanje protiv tog nadzornika, a da nije dužno prethodno zatražiti od nadzornog tijela države članice u kojoj se nalazi navedeni nadzornik da izvrši svoje ovlasti.