ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ
YVES BOT
της 24ης Οκτωβρίου 2017 (1)
Υπόθεση C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
κατά
Wirtschaftsakademie Schleswig-Holstein GmbH,
παρισταμένων των:
FacebookIrelandLtd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
[αίτηση του Bundesverwaltungsgericht
(Ανώτατου Ομοσπονδιακού Διοικητικού Δικαστηρίου, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]
«Προδικαστική παραπομπή – Οδηγία 95/46/ΕΚ – Άρθρα 2, 4 και 28 – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ελεύθερη κυκλοφορία των δεδομένων αυτών – Διαταγή απενεργοποιήσεως fanpage στο κοινωνικό δίκτυο Facebook – Έννοια του όρου “υπεύθυνος της επεξεργασίας” – Ευθύνη του διαχειριστή fanpage – Από κοινού ευθύνη – Εφαρμοστέο εθνικό δίκαιο – Έκταση των εξουσιών παρεμβάσεως των αρχών ελέγχου»
1. Η υπό κρίση αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 2, στοιχείο δʹ, του άρθρου 4, παράγραφος 1, του άρθρου 17, παράγραφος 2, καθώς και του άρθρου 28, παράγραφοι 3 και 6, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (2), όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 1882/2003 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003 (3).
2. Η αίτηση υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ της Wirtschaftsakademie Schleswig-Holstein GmbH, εκπαιδευτικού οργανισμού διεπόμενου από το ιδιωτικό δίκαιο (στο εξής: Wirtschaftsakademie), και του Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, περιφερειακής αρχής προστασίας των δεδομένων του Schleswig-Holstein (στο εξής: ULD), με αντικείμενο τη νομιμότητα διαταγής που εξέδωσε η δεύτερη κατά της Wirtschaftsakademie με αίτημα την απενεργοποίηση ιστοσελίδας τύπου «fanpage», η οποία φιλοξενείται στον διαδικτυακό τόπο της Facebook Ireland Ltd.
3. Η διαταγή εκδόθηκε λόγω της προβαλλόμενης παραβάσεως των διατάξεων του γερμανικού δικαίου περί μεταφοράς στο εθνικό δίκαιο της οδηγίας 95/46 και, συγκεκριμένα, λόγω της μη ενημερώσεως των επισκεπτών της fanpage ότι τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν συλλέγονται από το κοινωνικό δίκτυο Facebook (στο εξής: Facebook) με τη χρήση «cookies» που εναποτίθενται στον σκληρό δίσκο αυτών, συλλογή η οποία πραγματοποιείται με σκοπό την κατάρτιση στατιστικών επισκεψιμότητας, προοριζόμενων για τον διαχειριστή της εν λόγω σελίδας και την προώθηση από το Facebook στοχοθετημένων διαφημίσεων.
4. Η υπό κρίση υπόθεση εντάσσεται στο ευρύτερο πλαίσιο του φαινομένου που καλείται «webtracking», το οποίο συνίσταται στην παρατήρηση και στην ανάλυση της συμπεριφοράς των χρηστών του διαδικτύου, για εμπορικούς σκοπούς και σκοπούς μάρκετινγκ. Ειδικότερα, το webtracking παρέχει τη δυνατότητα προσδιορισμού των ενδιαφερόντων των χρηστών του διαδικτύου με την παρατήρηση της συμπεριφοράς τους κατά την πλοήγησή τους στο διαδίκτυο. Πρόκειται για το καλούμενο «συμπεριφορικό webtracking», το οποίο πραγματοποιείται συνήθως με τη χρήση cookies.
5. Τα cookies είναι μικρά αρχεία κειμένου τα οποία αποθηκεύονται στον υπολογιστή του χρήστη του διαδικτύου όταν αυτός επισκέπτεται έναν διαδικτυακό τόπο.
6. Το «webtracking» χρησιμοποιείται ιδίως για τη βελτιστοποίηση και την αποτελεσματικότερη διαμόρφωση ενός διαδικτυακού τόπου. Παρέχει επίσης τη δυνατότητα στους διαφημιστές να απευθύνονται με στοχοθετημένο τρόπο στις διάφορες ομάδες του κοινού.
7. Κατά τον ορισμό της ομάδας εργασίας του άρθρου 29 για την προστασία των δεδομένων (4) στη γνώμη 2/2010, της 22ας Ιουνίου 2010, σχετικά με τη συμπεριφορική επιγραμμική διαφήμιση (5), «[η] συμπεριφορική διαφήμιση είναι η διαφήμιση που βασίζεται στην παρατήρηση της συμπεριφοράς των χρηστών σε βάθος χρόνου. Η συμπεριφορική διαφήμιση μελετά τα χαρακτηριστικά της συμπεριφοράς αυτής μέσω των ενεργειών των χρηστών (επαναλαμβανόμενες επισκέψεις σε δικτυακούς τόπους, διαδραστικές ενέργειες, λέξεις-κλειδιά, επιγραμμική παραγωγή περιεχομένου κ.λπ.) με σκοπό τη δημιουργία συγκεκριμένου προφίλ και την επακόλουθη προώθηση στοχοθετημένης διαφήμισης που να ανταποκρίνεται στα ενδιαφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα» (6). Για την επίτευξη του αποτελέσματος αυτού, πρέπει να προηγηθεί η συλλογή και η αξιοποίηση πληροφοριών προερχόμενων από τον φυλλομετρητή και τον τερματικό εξοπλισμό του χρήστη. Η βασική τεχνική η οποία παρέχει τη δυνατότητα παρακολουθήσεως των χρηστών στο διαδίκτυο βασίζεται στα «cookies παρακολουθήσεως» (7). Επομένως, «[η] συμπεριφορική διαφήμιση χρησιμοποιεί πληροφορίες που συλλέγονται σχετικά με τη συμπεριφορά ενός ατόμου κατά την πλοήγησή του στο διαδίκτυο, όπως τις σελίδες που επισκέφθηκε ή τις αναζητήσεις που έκανε, για να επιλεγούν οι διαφημίσεις που θα απεικονισθούν για το συγκεκριμένο άτομο» (8).
8. Με την παρακολούθηση της συμπεριφοράς κατά την πλοήγηση παρέχονται επίσης στους φορείς εκμεταλλεύσεως διαδικτυακών τόπων στατιστικές επισκεψιμότητας για τα πρόσωπα που επισκέπτονται τους οικείους διαδικτυακούς τόπους.
9. Η συλλογή και η αξιοποίηση δεδομένων προσωπικού χαρακτήρα για την κατάρτιση στατιστικών επισκεψιμότητας και τη διανομή στοχοθετημένων διαφημίσεων πρέπει να πληρούν ορισμένες προϋποθέσεις, προκειμένου να είναι σύμφωνες προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα που απορρέουν από την οδηγία 95/46. Ειδικότερα, οι επεξεργασίες αυτές δεν μπορούν να πραγματοποιούνται χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των ενδιαφερομένων.
10. Εντούτοις, για να εξετασθεί η συμμόρφωση προς τους εν λόγω κανόνες πρέπει να αποσαφηνισθούν προηγουμένως αρκετά ζητήματα σχετικά με τον ορισμό του υπευθύνου της επεξεργασίας, τον προσδιορισμό του εφαρμοστέου εθνικού δικαίου καθώς και της αρμόδιας για την άσκηση των εξουσιών παρεμβάσεως αρχής.
11. Ο προσδιορισμός του υπευθύνου της επεξεργασίας καθίσταται ιδιαίτερα δυσχερής όταν οικονομικός φορέας, αντί να εγκαταστήσει στον διαδικτυακό του τόπο τα αναγκαία εργαλεία για την κατάρτιση στατιστικών επισκεψιμότητας και τη διανομή στοχοθετημένων διαφημίσεων, αποφασίζει να χρησιμοποιήσει κοινωνικό δίκτυο, όπως το Facebook, δημιουργώντας μια fanpage ώστε να επωφεληθεί παρόμοιων εργαλείων.
12. Τα ζητήματα που αφορούν τον προσδιορισμό του εφαρμοστέου εθνικού δικαίου καθώς και τον καθορισμό της αρμόδιας για την άσκηση των εξουσιών παρεμβάσεως αρχής καθίστανται επίσης πολύπλοκα όταν η επίμαχη επεξεργασία των δεδομένων προσωπικού χαρακτήρα συνεπάγεται την παρέμβαση περισσότερων οντοτήτων εγκατεστημένων τόσο εκτός όσο και εντός της Ευρωπαϊκής Ένωσης.
13. Σε περίοδο που οι αρχές ελέγχου αρκετών κρατών μελών αποφάσισαν, κατά τους τελευταίους μήνες, να επιβάλουν πρόστιμα στο Facebook λόγω παραβάσεως κανόνων σχετικών με την προστασία των δεδομένων των χρηστών του (9), η υπό κρίση υπόθεση θα παράσχει τη δυνατότητα στο Δικαστήριο να διευκρινίσει την έκταση των εξουσιών παρεμβάσεως που διαθέτει αρχή ελέγχου όπως η ULD, σε σχέση με επεξεργασία δεδομένων προσωπικού χαρακτήρα που συνεπάγεται τη συμμετοχή περισσότερων παραγόντων.
14. Για να γίνουν καλύτερα αντιληπτές οι νομικές πτυχές της υπό κρίση υποθέσεως, πρέπει καταρχάς να εκτεθούν τα πραγματικά περιστατικά της υποθέσεως της κύριας δίκης.
I. Το ιστορικό της διαφοράς της κύριας δίκης και τα προδικαστικά ερωτήματα
15. Η Wirtschaftsakademie παρέχει εκπαιδευτικές υπηρεσίες μέσω fanpage η οποία φιλοξενείται στο κοινωνικό δίκτυο Facebook.
16. Οι fanpages είναι λογαριασμοί χρηστών οι οποίοι μπορούν να δημιουργηθούν στο Facebook, ιδίως από ιδιώτες ή επιχειρήσεις. Για τον σκοπό αυτό, ο διαχειριστής της fanpage πρέπει να εγγραφεί στο Facebook και μπορεί, κατ’ αυτόν τον τρόπο, να χρησιμοποιεί τη διαμορφωμένη από αυτό πλατφόρμα για να παρουσιάζεται στους χρήστες του συγκεκριμένου κοινωνικού δικτύου και να αναρτά κάθε είδους ανακοινώσεις, ιδίως με σκοπό την ανάπτυξη εμπορικής δραστηριότητας.
17. Οι διαχειριστές των fanpages μπορούν να εξασφαλίσουν στατιστικές επισκεψιμότητας κάνοντας χρήση του εργαλείου «Facebook Insights», το οποίο διατίθεται δωρεάν από το Facebook στο πλαίσιο των μη τροποποιήσιμων όρων χρήσεως. Τις εν λόγω στατιστικές καταρτίζει το Facebook και εξατομικεύει ο διαχειριστής της fanpage με τη βοήθεια διάφορων κριτηρίων που αυτός μπορεί να επιλέξει, όπως η ηλικία ή το φύλο. Με τον τρόπο αυτό, οι στατιστικές παρέχουν ανώνυμες πληροφορίες για τα χαρακτηριστικά και τις συνήθειες των προσώπων που επισκέφθηκαν τις fanpages, παρέχοντας τη δυνατότητα στους διαχειριστές των οικείων σελίδων να στοχοθετούν καλύτερα την επικοινωνία τους.
18. Για την κατάρτιση στατιστικών επισκεψιμότητας, το Facebook αποθηκεύει στον σκληρό δίσκο του προσώπου που επισκέφθηκε τη fanpage τουλάχιστον ένα cookie με μοναδικό αριθμό αναγνωρίσεως, το οποίο είναι ενεργό επί δύο έτη. Ο αναγνωριστικός αριθμός, ο οποίος μπορεί να συσχετιστεί με τα δεδομένα συνδέσεως των εγγεγραμμένων χρηστών του Facebook, συλλέγεται και υποβάλλεται σε επεξεργασία κατά το άνοιγμα των σελίδων του Facebook.
19. Με απόφαση της 3ης Νοεμβρίου 2011, η ULD διέταξε τη Wirtschaftsakademie, βάσει του άρθρου 38, παράγραφος 5, πρώτο εδάφιο, του Bundesdatenschutzgesetz (ομοσπονδιακού νόμου περί της προστασίας των δεδομένων, στο εξής: BDSG) (10), να απενεργοποιήσει τη fanpage που δημιούργησε στο Facebook στη διεύθυνση https://www.facebook.com/wirtschaftsakademie, επί ποινή προστίμου σε περίπτωση μη εκτελέσεως της αποφάσεως εντός της ταχθείσας προθεσμίας, με την αιτιολογία ότι ούτε η Wirtschaftsakademie ούτε το Facebook ενημέρωναν τους επισκέπτες της fanpage ότι το Facebook συλλέγει, με τη χρήση cookies, τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν, τα οποία ακολούθως επεξεργάζεται. Η Wirtschaftsakademie υπέβαλε ένσταση κατά της εν λόγω αποφάσεως, με την οποία υποστήριξε, κατ’ ουσίαν, ότι δεν είναι υπεύθυνη, βάσει του εφαρμοστέου δικαίου προστασίας των δεδομένων, ούτε για την επεξεργασία των δεδομένων από το Facebook ούτε για τα cookies που αυτό εγκαθιστά.
20. Με απόφαση της 16ης Δεκεμβρίου 2011, η ULD απέρριψε την ως άνω ένσταση εκτιμώντας ότι η ευθύνη της Wirtschaftsakademie, ως φορέα παροχής υπηρεσιών, καθορίζεται βάσει του άρθρου 3, παράγραφος 3, σημείο 4, και του άρθρου 12, παράγραφος 1, του Telemediengesetz (νόμου περί ηλεκτρονικών μέσων) (11). Δημιουργώντας τη fanpage, η Wirtschaftsakademie συνέβαλε επίσης ενεργά και οικειοθελώς στη συλλογή δεδομένων προσωπικού χαρακτήρα από το Facebook, από την οποία επρόκειτο να επωφεληθεί μέσω των στατιστικών επισκεψιμότητας που θέτει στη διάθεσή της το συγκεκριμένο κοινωνικό δίκτυο.
21. Η Wirtschaftsakademie προσέφυγε κατά της ως άνω αποφάσεως ενώπιον του Verwaltungsgericht (διοικητικού πρωτοδικείου, Γερμανία), υποστηρίζοντας ότι δεν είναι δυνατόν να καταλογιστούν σε αυτήν οι πράξεις επεξεργασίας των δεδομένων από το Facebook και ότι δεν ανέθεσε στο Facebook, κατά το άρθρο 11 του BDSG (12), να πραγματοποιήσει επεξεργασία δεδομένων την οποία ελέγχει ή μπορεί να επηρεάσει. Επομένως, η Wirtschaftsakademie εκτιμά ότι κακώς η ULD στράφηκε εναντίον της και όχι απευθείας κατά του Facebook.
22. Με απόφαση της 9ης Οκτωβρίου 2013, το Verwaltungsgericht (διοικητικό πρωτοδικείο) ακύρωσε την προσβαλλόμενη απόφαση εκτιμώντας, κατ’ ουσίαν, ότι ο διαχειριστής fanpage στο Facebook δεν είναι «υπεύθυνος φορέας» κατά την έννοια του άρθρου 3, παράγραφος 7, του BDSG (13) και ότι, επομένως, η Wirtschaftsakademie δεν μπορούσε να είναι αποδέκτης μέτρου ληφθέντος βάσει του άρθρου 38, παράγραφος 5, του BDSG.
23. Εν συνεχεία, το Oberverwaltungsgericht (διοικητικό εφετείο, Γερμανία) απέρριψε ως αβάσιμη την έφεση της ULD κατά της ως άνω αποφάσεως εκτιμώντας, κατ’ ουσίαν, ότι η απαγόρευση επεξεργασίας των δεδομένων που διατάσσεται με την προσβαλλόμενη απόφαση είναι παράνομη, καθόσον το άρθρο 38, παράγραφος 5, δεύτερο εδάφιο, του BDSG προβλέπει σταδιακή διαδικασία, κατά το πρώτο στάδιο της οποίας επιτρέπεται μόνον η λήψη μέτρων για την επανόρθωση των παραβάσεων που διαπιστώνονται κατά την επεξεργασία δεδομένων. Άμεση απαγόρευση της επεξεργασίας δεδομένων μπορεί να επιβληθεί μόνον εάν αυτή είναι παράνομη στο σύνολό της και η παρανομία μπορεί να επανορθωθεί μόνο με την αναστολή της εν λόγω διαδικασίας επεξεργασίας δεδομένων. Εντούτοις, κατά το Oberverwaltungsgericht (διοικητικό εφετείο), δεν συνέτρεχε τέτοια περίπτωση εν προκειμένω, εφόσον το Facebook έχει τη δυνατότητα να παύσει τις προβαλλόμενες από την ULD παραβάσεις.
24. Η διαταγή είναι επίσης παράνομη, κατά το Oberverwaltungsgericht (διοικητικό εφετείο), καθόσον η προσφεύγουσα δεν είναι υπεύθυνος φορέας κατά την έννοια του άρθρου 3, παράγραφος 7, του BDSG, όσον αφορά τα δεδομένα που συλλέγει το Facebook επ’ ευκαιρία της διαχειρίσεως της fanpage, και καθόσον διαταγή βάσει του άρθρου 38, παράγραφος 5, του BDSG μπορεί να εκδοθεί μόνον κατά τέτοιου φορέα. Εν προκειμένω, μόνο το Facebook αποφασίζει για τους σκοπούς και τον τρόπο συλλογής και επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται για τη λειτουργία που καλείται «Facebook Insights». Από την πλευρά της, η προσφεύγουσα ελάμβανε μόνον ανωνυμοποιημένες στατιστικές πληροφορίες.
25. Το άρθρο 38, παράγραφος 5, του BDSG δεν επιτρέπει την έκδοση διαταγών κατά τρίτων. Η αναπτυχθείσα από τη νομολογία των αστικών δικαστηρίων ευθύνη «από διατάραξη» («Störerhaftung») στο διαδίκτυο δεν μπορεί να εφαρμοσθεί στην άσκηση δημόσιας εξουσίας. Καίτοι το άρθρο 38, παράγραφος 5, του BDSG δεν κατονομάζει ρητώς τον αποδέκτη της διαταγής απαγορεύσεως, από την οικονομία, το αντικείμενο και το πνεύμα της εν λόγω ρυθμίσεως, καθώς και από την προέλευσή της, προκύπτει ότι αποδέκτης μπορεί να είναι μόνον ο υπεύθυνος φορέας.
26. Με την αίτηση αναιρέσεως που κατέθεσε ενώπιον του Bundesverwaltungsgericht (Ανώτατου Ομοσπονδιακού Διοικητικού Δικαστηρίου, Γερμανία), η ULD προβάλλει, μεταξύ άλλων, παράβαση του άρθρου 38, παράγραφος 5, του BDSG και επικαλείται διάφορα δικονομικά σφάλματα στα οποία υπέπεσε το εφετείο. Η ULD εκτιμά ότι η παράβαση που διέπραξε η Wirtschaftsakademie συνίσταται στο γεγονός ότι ανέθεσε σε ακατάλληλο πάροχο υπηρεσιών, λόγω της μη τηρήσεως από αυτόν του εφαρμοστέου στην προστασία των δεδομένων δικαίου –εν προκειμένω, στη Facebook Ireland–, τη δημιουργία, τη φιλοξενία και τη συντήρηση διαδικτυακού τόπου. Επομένως, στόχος της διαταγής απενεργοποιήσεως ήταν η επανόρθωση της παραβάσεως που διέπραξε η Wirtschaftsakademie, απαγορεύοντας τη συνέχιση της χρήσεως των υποδομών του Facebook ως τεχνικής βάσεως του διαδικτυακού τόπου της.
27. Το αιτούν δικαστήριο εκτιμά ότι, όσον αφορά τη συλλογή και την επεξεργασία των δεδομένων των προσώπων που επισκέπτονται τη fanpage από την παρεμβαίνουσα στην υπόθεση της κύριας δίκης, ήτοι τη Facebook Ireland, η Wirtschaftsakademie δεν είναι «φορέας ο οποίος συλλέγει, επεξεργάζεται ή χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα για ίδιο λογαριασμό ή αναθέτει σε άλλους την εκτέλεση των ανωτέρω για λογαριασμό του», κατά την έννοια του άρθρου 3, παράγραφος 7, του BDSG, ούτε «φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα», κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Αναμφίβολα, με την απόφαση δημιουργίας fanpage στην πλατφόρμα που λειτουργεί η παρεμβαίνουσα στην υπόθεση της κύριας δίκης ή η μητρική εταιρία αυτής (εν προκειμένω, η Facebook Inc., USA), η Wirtschaftsakademie παρέχει αντικειμενικά στην παρεμβαίνουσα στην υπόθεση της κύριας δίκης τη δυνατότητα να εγκαταστήσει cookies κατά το άνοιγμα της συγκεκριμένης fanpage και να συλλέγει, με τον τρόπο αυτό, δεδομένα. Εντούτοις, η απόφαση αυτή δεν παρέχει τη δυνατότητα στη Wirtschaftsakademie να επηρεάζει, να καθοδηγεί, να διαμορφώνει ή ακόμη να ελέγχει τη φύση και την έκταση της επεξεργασίας των δεδομένων των χρηστών της fanpage από την παρεμβαίνουσα στην υπόθεση της κύριας δίκης. Οι όροι χρήσεως της fanpage δεν παρέχουν στη Wirtschaftsakademie ούτε δικαιώματα παρεμβάσεως ή ελέγχου. Οι καθορισμένοι μονομερώς από την παρεμβαίνουσα στην υπόθεση της κύριας δίκης όροι χρήσεως δεν είναι αποτέλεσμα διαδικασίας διαπραγματεύσεως και ούτε παρέχουν στη Wirtschaftsakademie το δικαίωμα να απαγορεύσει στην παρεμβαίνουσα στην υπόθεση της κύριας δίκης να συλλέγει και να επεξεργάζεται τα δεδομένα των χρηστών της fanpage.
28. Το αιτούν δικαστήριο αναγνωρίζει ότι ο νομικός ορισμός της έννοιας του «υπευθύνου της επεξεργασίας» στο άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46 πρέπει να ερμηνεύεται, καταρχήν, ευρέως, με σκοπό την αποτελεσματική προστασία του δικαιώματος στον ιδιωτικό βίο. Εντούτοις, η Wirtschaftsakademie δεν εμπίπτει στον ορισμό αυτό, εφόσον δεν ασκεί καμία επιρροή, de jure ή de facto, στον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, η οποία πραγματοποιείται από την παρεμβαίνουσα στην υπόθεση της κύριας δίκης με δική της ευθύνη και απολύτως ανεξάρτητα. Συναφώς, δεν αρκεί η περίσταση ότι η Wirtschaftsakademie μπορεί να επωφεληθεί αντικειμενικά από τη λειτουργία «Facebook Insights» την οποία εκμεταλλεύεται η παρεμβαίνουσα στην υπόθεση της κύριας δίκης, για τον λόγο ότι τα ανωνυμοποιημένα δεδομένα διαβιβάζονται σε αυτήν για τη χρήση της fanpage της.
29. Κατά το αιτούν δικαστήριο, η Wirtschaftsakademie δεν μπορεί επίσης να θεωρηθεί ως εκτελών την επεξεργασία δεδομένων για λογαριασμό του υπευθύνου της επεξεργασίας, κατά το άρθρο 11 του BDSG, καθώς και το άρθρο 2, στοιχείο εʹ, και το άρθρο 17, παράγραφοι 2 και 3, της οδηγίας 95/46.
30. Το αιτούν δικαστήριο εκτιμά ότι πρέπει να διευκρινιστεί κατά πόσον, και υπό ποιες προϋποθέσεις, οι εξουσίες ελέγχου και παρεμβάσεως των αρχών ελέγχου στον τομέα της προστασίας των δεδομένων μπορούν να ασκούνται μόνο σε σχέση με τον «υπεύθυνο της επεξεργασίας», κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, ή εάν είναι δυνατόν να θεωρηθεί υπεύθυνος ένας φορέας ο οποίος δεν είναι υπεύθυνος της επεξεργασίας των δεδομένων, δυνάμει του ορισμού που προκύπτει από την ως άνω διάταξη, λόγω της επιλογής του εν λόγω φορέα να χρησιμοποιήσει το Facebook για τη διακίνηση των πληροφοριών του.
31. Στην τελευταία αυτή περίπτωση, το αιτούν δικαστήριο ζητεί να διευκρινιστεί εάν μια τέτοια ευθύνη μπορεί να θεμελιωθεί σε κατ’ αναλογία εφαρμογή των υποχρεώσεων επιλογής και ελέγχου που απορρέουν από το άρθρο 17, παράγραφος 2, της οδηγίας 95/46 στο πλαίσιο επεξεργασίας δεδομένων από εκτελούντα την επεξεργασία για λογαριασμό του υπευθύνου της επεξεργασίας.
32. Για να μπορέσει να αποφανθεί επί της νομιμότητας της επίμαχης εκδοθείσας διαταγής, το αιτούν δικαστήριο εκτιμά ότι είναι επίσης αναγκαίο να αποσαφηνιστούν ορισμένα σημεία σχετικά με την αρμοδιότητα των αρχών ελέγχου και την έκταση των εξουσιών παρεμβάσεως αυτών.
33. Ειδικότερα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί η κατανομή των αρμοδιοτήτων μεταξύ των αρχών ελέγχου στην περίπτωση που μητρική εταιρία, όπως η Facebook Inc., διαθέτει περισσότερες της μιας εγκαταστάσεις στο έδαφος της Ένωσης και τα καθήκοντα που έχουν ανατεθεί σε αυτές εντός του ομίλου είναι διαφορετικά.
34. Συναφώς, το αιτούν δικαστήριο υπενθυμίζει ότι το Δικαστήριο αποφάνθηκε, στην απόφαση της 13ης Μαΐου 2014, Google Spain και Google (14), ότι «το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 έχει την έννοια ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων εγκατάστασης που έχει ο υπεύθυνος της επεξεργασίας αυτής στο έδαφος κράτους μέλους, κατά την έννοια της διάταξης αυτής, όταν ο φορέας εκμετάλλευσης της μηχανής αναζήτησης ιδρύει σε ορισμένο κράτος μέλος υποκατάστημα ή θυγατρική που έχει ως σκοπό την προώθηση και την πώληση του διαφημιστικού χώρου ο οποίος διατίθεται στο πλαίσιο της μηχανής αναζήτησης και που ασκεί δραστηριότητα κατευθυνόμενη προς τους κατοίκους του εν λόγω κράτους μέλους» (15). Το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν η σύνδεση αυτή με εγκατάσταση, όπως η Facebook Germany GmbH, η οποία είναι, βάσει των πληροφοριών που περιέχονται στην απόφαση περί παραπομπής, επιφορτισμένη με την προώθηση και την πώληση διαφημιστικού χώρου και άλλες δραστηριότητες μάρκετινγκ που απευθύνονται στους κατοίκους της Ομοσπονδιακής Δημοκρατίας της Γερμανίας μπορεί να μεταφερθεί, για τον σκοπό της εφαρμογής της οδηγίας 95/46 και του καθορισμού της αρμόδιας αρχής ελέγχου, σε κατάσταση στην οποία θυγατρική εταιρία εγκατεστημένη σε άλλο κράτος μέλος (εν προκειμένω, στην Ιρλανδία) παρεμβαίνει ως «υπεύθυνος της επεξεργασίας» στο σύνολο του εδάφους της Ένωσης.
35. Όσον αφορά τους αποδέκτες μέτρου ληφθέντος κατ’ εφαρμογή του άρθρου 28, παράγραφος 3, της οδηγίας 95/46, το αιτούν δικαστήριο επισημαίνει ότι η εκδοθείσα κατά της Wirtschaftsakademie διαταγή θα μπορούσε να θεωρηθεί αποτέλεσμα πλάνης εκτιμήσεως και, επομένως, να είναι παράνομη, εάν οι προβαλλόμενες από την ULD παραβάσεις του εφαρμοστέου δικαίου προστασίας των δεδομένων μπορούσαν να επανορθωθούν με μέτρο στρεφόμενο απευθείας κατά της θυγατρικής Facebook Germany, η οποία είναι εγκατεστημένη στη Γερμανία.
36. Το αιτούν δικαστήριο επισημαίνει επίσης ότι η ULD εκτιμά ότι δεν δεσμεύεται από τις διαπιστώσεις και τις εκτιμήσεις του Data Protection Commissioner (αρχής ελέγχου της προστασίας των δεδομένων, Ιρλανδία), αρχή η οποία, βάσει των ενδείξεων που παρέχουν η Wirtschaftsakademie και η παρεμβαίνουσα στην υπόθεση της κύριας δίκης, δεν αμφισβήτησε την επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα. Επομένως, το αιτούν δικαστήριο ζητεί να διευκρινιστεί, αφενός, εάν μπορεί να γίνει δεκτή μια τέτοια αυτοτελής εκτίμηση από την ULD και, αφετέρου, εάν το άρθρο 28, παράγραφος 6, δεύτερο εδάφιο, της οδηγίας 95/46 επιβάλλει στην ULD να ζητήσει από την αρχή ελέγχου της προστασίας των δεδομένων, λαμβανομένων υπόψη των διαφορετικών εκτιμήσεων των δύο αυτών αρχών ελέγχου όσον αφορά τη συμμόρφωση της επίμαχης στην υπόθεση της κύριας δίκης επεξεργασίας δεδομένων προς τους κανόνες που απορρέουν από την οδηγία 95/46, να ασκήσει τις εξουσίες της έναντι της Facebook Ireland.
37. Υπό τις συνθήκες αυτές, το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Έχει το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46 την έννοια ότι ρυθμίζει αποκλειστικώς και εξαντλητικώς την ευθύνη και τις υποχρεώσεις λόγω παραβάσεων σχετικών με την προστασία δεδομένων ή είναι επίσης δυνατόν, λαμβανομένων υπόψη των “κατάλληλων μέτρων” κατά το άρθρο 24 της [εν λόγω οδηγίας] και των “αποτελεσματικών εξουσιών παρέμβασης” κατά το άρθρο 28, παράγραφος 3, δεύτερη περίπτωση, [αυτής], να υφίσταται, στο πλαίσιο των πολυεπίπεδων έννομων σχέσεων βάσει των οποίων παρέχονται οι πληροφορίες, ευθύνη και άλλου φορέα, ο οποίος δεν είναι υπεύθυνος επεξεργασίας δεδομένων κατά την έννοια του άρθρου 2, στοιχείο δʹ, της [εν λόγω οδηγίας], όσον αφορά την επιλογή του παρόχου μέσω του οποίου ο φορέας αυτός διακινεί τις πληροφορίες του;
2) Μπορεί από την επιβαλλόμενη με το άρθρο 17, παράγραφος 2, της οδηγίας 95/46 υποχρέωση των κρατών μελών να προβλέπουν ότι ο “υπεύθυνος της επεξεργασίας” οφείλει, σε περίπτωση επεξεργασίας για λογαριασμό του, “να επιλέγει προς εκτέλεση της επεξεργασίας πρόσωπο το οποίο παρέχει επαρκείς εγγυήσεις όσον αφορά τα μέτρα τεχνικής ασφάλειας και οργάνωσης της επεξεργασίας”, να συναχθεί εξ αντιδιαστολής ότι, όσον αφορά άλλες έννομες σχέσεις με αντικείμενο τη χρήση δεδομένων οι οποίες δεν συνδέονται με την ανάθεση της επεξεργασίας δεδομένων κατά την έννοια του άρθρου 2, στοιχείο εʹ, της [εν λόγω οδηγίας], δεν υφίσταται, ούτε μπορεί να θεσπισθεί από το εθνικό δίκαιο, υποχρέωση επιμέλειας κατά τη σχετική επιλογή;
3) Στην περίπτωση κατά την οποία μια εδρεύουσα εκτός της Ένωσης μητρική επιχείρηση διατηρεί νομικά αυτοτελείς εγκαταστάσεις (θυγατρικές εταιρίες) σε διάφορα κράτη μέλη, δύναται η αρχή ελέγχου ορισμένου κράτους μέλους (εν προκειμένω της Γερμανίας), δυνάμει των άρθρων 4 και 28, παράγραφος 6, της οδηγίας 95/46, να ασκήσει τις εξουσίες που της απονέμει το άρθρο 28, παράγραφος 3, [αυτής] έναντι της ευρισκόμενης στο έδαφός της εγκαταστάσεως, ακόμη και αν η συγκεκριμένη εγκατάσταση είναι επιφορτισμένη μόνο με την προώθηση της πωλήσεως διαφημίσεων και άλλες δραστηριότητες μάρκετινγκ με αποδέκτες τους κατοίκους του συγκεκριμένου κράτους μέλους, ενώ η ευρισκόμενη σε άλλο κράτος μέλος (εν προκειμένω στην Ιρλανδία) αυτοτελής εγκατάσταση (θυγατρική επιχείρηση) είναι, βάσει της ενδοομιλικής κατανομής καθηκόντων, αποκλειστικά υπεύθυνη για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ολόκληρο το έδαφος της Ένωσης, και συνεπώς και στο άλλο κράτος μέλος (εν προκειμένω τη Γερμανία), όταν οι αποφάσεις σχετικά με την επεξεργασία δεδομένων λαμβάνονται στην πράξη από τη μητρική επιχείρηση;
4) Έχουν τα άρθρα 4, παράγραφος 1, στοιχείο αʹ και 28, παράγραφος 3, της οδηγίας 95/46 την έννοια ότι, στην περίπτωση κατά την οποία ο υπεύθυνος της επεξεργασίας διαθέτει εγκατάσταση στο έδαφος ορισμένου κράτους μέλους (εν προκειμένω της Ιρλανδίας) και άλλη μία, νομικά αυτοτελή, εγκατάσταση στο έδαφος άλλου κράτους μέλους (εν προκειμένω της Γερμανίας), η οποία είναι, μεταξύ άλλων, επιφορτισμένη με την πώληση διαφημιστικού χώρου και της οποίας η δραστηριότητα κατευθύνεται προς τους κατοίκους του συγκεκριμένου κράτους μέλους, η αρμόδια σε αυτό το άλλο κράτος μέλος (εν προκειμένω στη Γερμανία) αρχή ελέγχου δύναται να λαμβάνει μέτρα και να εκδίδει διαταγές προς διασφάλιση της εφαρμογής της νομοθεσίας περί προστασίας δεδομένων ακόμη και έναντι της άλλης εγκαταστάσεως (εν προκειμένω της γερμανικής), η οποία δεν είναι υπεύθυνη για την επεξεργασία δεδομένων με βάση την ενδοομιλική κατανομή καθηκόντων και αρμοδιοτήτων, ή μήπως τα εν λόγω μέτρα και διαταγές μπορούν να επιβάλλονται μόνο από την αρχή ελέγχου του κράτους μέλους (εν προκειμένω της Ιρλανδίας) στο έδαφος του οποίου εδρεύει ο κατά τους εσωτερικούς κανονισμούς του ομίλου υπεύθυνος φορέας;
5) Έχουν τα άρθρα 4, παράγραφος 1, στοιχείο αʹ και 28, παράγραφοι 3 και 6, της οδηγίας 95/46 την έννοια ότι, στην περίπτωση κατά την οποία η αρχή ελέγχου ορισμένου κράτους μέλους (εν προκειμένω της Γερμανίας) λαμβάνει μέτρα κατά το άρθρο 28, παράγραφος 3, της [εν λόγω οδηγίας] έναντι εγκατεστημένου στο έδαφός της προσώπου ή φορέα για τον λόγο ότι αυτός δεν επέδειξε επιμέλεια κατά την επιλογή του εμπλεκόμενου στη διαδικασία επεξεργασίας δεδομένων τρίτου (εν προκειμένου του Facebook), ο οποίος φέρεται να παραβίασε τη νομοθεσία περί προστασίας δεδομένων, η επιληφθείσα αρχή ελέγχου (εν προκειμένω η γερμανική) δεσμεύεται, υπό την έννοια ότι δεν επιτρέπεται να αποκλίνει από τη σχετική με την προστασία των δεδομένων νομική εκτίμηση της αρχής ελέγχου του άλλου κράτους μέλους, στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας των δεδομένων τρίτος (εν προκειμένω στην Ιρλανδία), ή μήπως η επιληφθείσα αρχή ελέγχου (εν προκειμένω η γερμανική) επιτρέπεται να ελέγξει αυτοτελώς τη νομιμότητα της επεξεργασίας δεδομένων από τον εγκατεστημένο σε άλλο κράτος μέλος (εν προκειμένω στην Ιρλανδία) τρίτο ως προκαταρκτικό ζήτημα της δικής της παρεμβάσεως;
6) Σε περίπτωση που η επιληφθείσα αρχή ελέγχου (εν προκειμένω η γερμανική) δύναται να προβεί σε αυτοτελή έλεγχο: έχει το άρθρο 28, παράγραφος 6, δεύτερο εδάφιο, της οδηγίας 95/46 την έννοια ότι η εν λόγω αρχή ελέγχου δύναται να ασκήσει τις αποτελεσματικές εξουσίες παρεμβάσεως που διαθέτει δυνάμει του άρθρου 28, παράγραφος 3, της [εν λόγω οδηγίας] έναντι εγκατεστημένου στο έδαφός της προσώπου ή φορέα για τον λόγο ότι αυτός φέρει επίσης ευθύνη για τις παραβάσεις της νομοθεσίας περί προστασίας δεδομένων τις οποίες διέπραξε ο εγκατεστημένος σε άλλο κράτος μέλος τρίτος, μόνον αν προηγουμένως η ως άνω αρχή καλέσει την αρχή ελέγχου του άλλου κράτους μέλους (εν προκειμένω της Ιρλανδίας) να ασκήσει τις εξουσίες της;»
II. Ανάλυση
38. Πρέπει να διευκρινιστεί ότι τα προδικαστικά ερωτήματα που υποβάλλει το αιτούν δικαστήριο δεν αφορούν το κατά πόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποτελεί αντικείμενο των αιτιάσεων της ULD, ήτοι η συλλογή και η αξιοποίηση των δεδομένων προσώπων που επισκέπτονται fanpages χωρίς τη σχετική προηγούμενη ενημέρωση των εν λόγω προσώπων, αντιβαίνει ή όχι στους κανόνες που απορρέουν από την οδηγία 95/46.
39. Βάσει των εξηγήσεων που παρέσχε το αιτούν δικαστήριο, η νομιμότητα της διαταγής που υποβλήθηκε στην κρίση του εξαρτάται από τα ακόλουθα στοιχεία. Κατ’ αυτό, πρέπει, καταρχάς, να καθοριστεί εάν η ULD νομιμοποιείται να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει έναντι προσώπου μη έχοντος την ιδιότητα του υπευθύνου της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Ακολούθως, το αιτούν δικαστήριο εκτιμά ότι η νομιμότητα της διαταγής εξαρτάται επίσης από το κατά πόσον η ULD ήταν αρμόδια να ενεργήσει σε σχέση με την επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα, από το κατά πόσον το γεγονός ότι η ULD απηύθυνε τη διαταγή της στη Wirtschaftsakademie, αντί της Facebook Germany, συνιστά πλάνη εκτιμήσεως και, τέλος, από το κατά πόσον η ULD υπέπεσε σε άλλη μια πλάνη εκτιμήσεως διατάσσοντας τη Wirtschaftsakademie να κλείσει τη fanpage της, ενώ θα έπρεπε να είχε ζητήσει προηγουμένως από την αρχή ελέγχου της προστασίας των δεδομένων να ασκήσει τις εξουσίες της έναντι της Facebook Ireland.
1. Επί του πρώτου και του δεύτερου προδικαστικού ερωτήματος
40. Με το πρώτο και το δεύτερο προδικαστικό ερώτημα, τα οποία εκτιμώ ότι πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, από το Δικαστήριο να διευκρινίσει εάν το άρθρο 17, παράγραφος 2, το άρθρο 24 και το άρθρο 28, παράγραφος 3, δεύτερη περίπτωση, της οδηγίας 95/46 έχουν την έννοια ότι επιτρέπουν στις αρχές ελέγχου να ασκούν τις εξουσίες παρεμβάσεως που διαθέτουν έναντι φορέα ο οποίος δεν μπορεί να θεωρηθεί «υπεύθυνος της επεξεργασίας», κατά την έννοια του άρθρου 2, στοιχείο δʹ, της εν λόγω οδηγίας, αλλά ο οποίος μπορεί, εντούτοις, να θεωρηθεί υπεύθυνος σε περίπτωση παραβάσεως των σχετικών με την προστασία των δεδομένων προσωπικού χαρακτήρα κανόνων λόγω της επιλογής του εν λόγω φορέα να χρησιμοποιήσει κοινωνικό δίκτυο, όπως το Facebook, για τη διανομή των πληροφοριών που διακινεί.
41. Τα ερωτήματα αυτά βασίζονται στην παραδοχή ότι η Wirtschaftsakademie δεν αποτελεί «υπεύθυνο της επεξεργασίας», κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Για τον λόγο αυτόν, το αιτούν δικαστήριο ζητεί να διευκρινιστεί εάν διαταγή όπως η επίμαχη στην υπόθεση της κύριας δίκης μπορεί να απευθύνεται σε πρόσωπο το οποίο δεν πληροί τα κριτήρια που καθορίζονται στην ως άνω διάταξη.
42. Εντούτοις, εκτιμώ ότι η ως άνω παραδοχή είναι εσφαλμένη. Συγκεκριμένα, φρονώ ότι η Wirtschaftsakademie πρέπει να θεωρηθεί από κοινού υπεύθυνη του σταδίου της επεξεργασίας που συνίσταται στη συλλογή δεδομένων προσωπικού χαρακτήρα από το Facebook.
43. Ως «υπεύθυνος της επεξεργασίας» νοείται, κατά το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46, «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα» (16).
44. Ο υπεύθυνος της επεξεργασίας διαδραματίζει καθοριστικό ρόλο στο πλαίσιο του συστήματος που καθιερώνει η οδηγία 95/46 και, επομένως, ο προσδιορισμός του είναι απαραίτητος. Συγκεκριμένα, η εν λόγω οδηγία προβλέπει ότι ο υπεύθυνος της επεξεργασίας υπέχει ορισμένες υποχρεώσεις που αποσκοπού στη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα (17). Το Δικαστήριο τόνισε τον καθοριστικό αυτό ρόλο στην απόφαση της 13ης Μαΐου 2014, Google Spain και Google (18). Συγκεκριμένα, το Δικαστήριο αποφάνθηκε ότι ο υπεύθυνος της επεξεργασίας πρέπει να διασφαλίζει, στο πλαίσιο των ευθυνών, των ικανοτήτων και των δυνατοτήτων του, ότι η επίμαχη επεξεργασία των δεδομένων ανταποκρίνεται στις απαιτήσεις της οδηγίας 95/46 ώστε οι προβλεπόμενες με αυτήν εγγυήσεις να μπορούν να παράγουν πλήρως τα αποτελέσματά τους και να μπορεί να υλοποιείται στην πράξη η αποτελεσματική και πλήρης προστασία των υποκειμένων των δικαιωμάτων, ιδίως του δικαιώματος στην προστασία της ιδιωτικής τους ζωής (19).
45. Από τη νομολογία του Δικαστηρίου προκύπτει επίσης ότι η έννοια αυτή πρέπει να ορίζεται ευρέως, ώστε να διασφαλίζεται αποτελεσματική και πλήρης προστασία των υποκειμένων των δεδομένων (20).
46. Ο υπεύθυνος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι το πρόσωπο που αποφασίζει για ποιο λόγο και με ποιον τρόπο πραγματοποιείται η επεξεργασία των εν λόγω δεδομένων. Όπως επισημαίνει η ομάδα εργασίας του άρθρου 29, «[η] έννοια του υπευθύνου της επεξεργασίας είναι μια λειτουργική έννοια η οποία προορίζεται να κατανείμει αρμοδιότητες εκεί όπου βρίσκεται η πραγματολογική επιρροή και, επομένως, βασίζεται περισσότερο σε πραγματολογική παρά σε τυπική ανάλυση» (21).
47. Εκτιμώ ότι, δεδομένου ότι είναι οι σχεδιαστές της εν λόγω επεξεργασίας, τους «στόχους» και τον «τρόπο» αυτής καθόρισαν πρωτίστως η Facebook Inc. και, στην Ένωση, η Facebook Ireland.
48. Ειδικότερα, η Facebook Inc. ανέπτυξε το γενικό οικονομικό μοντέλο, το οποίο έχει ως αποτέλεσμα η συλλογή δεδομένων προσωπικού χαρακτήρα, κατά την επίσκεψη στις fanpages, και η αξιοποίηση αυτών των δεδομένων να καθιστούν εφικτή, αφενός, τη διάδοση εξατομικευμένων διαφημίσεων και, αφετέρου, την κατάρτιση στατιστικών επισκεψιμότητας προοριζόμενων για τους διαχειριστές των συγκεκριμένων σελίδων.
49. Επιπλέον, από το υλικό της δικογραφίας προκύπτει ότι η Facebook Inc. έχει αναθέσει στη Facebook Ireland την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης. Βάσει των εξηγήσεων που παρέσχε η Facebook Ireland, ο τρόπος λειτουργίας του κοινωνικού δικτύου μπορεί να επιδέχεται κάποιες προσαρμογές στην Ένωση (22).
50. Εξάλλου, καίτοι δεν αμφισβητείται ότι κάθε πρόσωπο που κατοικεί στο έδαφος της Ένωσης και επιθυμεί να χρησιμοποιήσει το Facebook οφείλει να υπογράψει, κατά την εγγραφή του, σύμβαση με τη Facebook Ireland, πρέπει να επισημανθεί ότι, ταυτόχρονα, τα δεδομένα προσωπικού χαρακτήρα των χρηστών του Facebook που κατοικούν στο έδαφος της Ένωσης διαβιβάζονται, εν όλω ή εν μέρει, σε διακομιστές που ανήκουν στη Facebook Inc, οι οποίοι είναι εγκατεστημένοι στις Ηνωμένες Πολιτείες, όπου τα δεδομένα αυτά αποτελούν αντικείμενο επεξεργασίας (23).
51. Λαμβανομένης υπόψη της συμμετοχής της Facebook Inc. και, όσον αφορά ειδικότερα την Ένωση, της Facebook Ireland στον καθορισμό των σκοπών και του τρόπου της επίμαχης στην υπόθεση της κύριας δίκης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι δύο αυτές εταιρίες πρέπει, βάσει των διαθέσιμων στοιχείων, να θεωρούνται από κοινού υπεύθυνες της εν λόγω επεξεργασίας. Συναφώς, επισημαίνεται ότι το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46 προβλέπει ρητώς τη δυνατότητα μιας τέτοιας από κοινού ευθύνης. Όπως επισημαίνει το ίδιο το αιτούν δικαστήριο, τελικώς θα απόκειται σε αυτό να αποσαφηνίσει τις εσωτερικές δομές λήψεως αποφάσεων και επεξεργασίας των δεδομένων του ομίλου Facebook, προκειμένου να καθορίσει την εγκατάσταση ή τις εγκαταστάσεις που είναι υπεύθυνοι της επεξεργασίας κατά το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46 (24).
52. Εκτιμώ ότι, στην από κοινού ευθύνη της Facebook Inc. και της Facebook Ireland, πρέπει να προστεθεί, στο στάδιο της επεξεργασίας που συνίσταται στη συλλογή των δεδομένων προσωπικού χαρακτήρα από το Facebook (25), η ευθύνη του διαχειριστή fanpage, όπως η Wirtschaftsakademie.
53. Αναμφίβολα, ο διαχειριστής fanpage είναι πρωτίστως χρήστης του Facebook, για να χρησιμοποιήσει τα εργαλεία του και να επωφεληθεί κατ’ αυτόν τον τρόπο μεγαλύτερης προβολής. Εντούτοις, η διαπίστωση αυτή δεν σημαίνει ότι αποκλείεται να μπορεί επίσης να θεωρηθεί υπεύθυνος του σταδίου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αποτελεί αντικείμενο της υποθέσεως της κύριας δίκης, ήτοι της συλλογής των εν λόγω δεδομένων από το Facebook.
54. Όσον αφορά το κατά πόσον ο διαχειριστής fanpage «καθορίζει» τους στόχους και τον τρόπο της επεξεργασίας, πρέπει να ελεγχθεί αν ο συγκεκριμένος διαχειριστής ασκεί, de jure ή de facto, επιρροή στους στόχους και στον τρόπο της επεξεργασίας. Το συγκεκριμένο στοιχείο του ορισμού οδηγεί στη σκέψη ότι υπεύθυνος της επεξεργασίας δεν είναι αυτός που πραγματοποιεί την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, αλλά εκείνος που καθορίζει τους στόχους και τον τρόπο αυτής.
55. Χρησιμοποιώντας το Facebook για τη διανομή των πληροφοριών που διακινεί, ο διαχειριστής της fanpage αποδέχεται την αρχή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του για τον σκοπό της καταρτίσεως στατιστικών επισκεψιμότητας (26). Καίτοι, αναμφίβολα, δεν είναι ο σχεδιαστής του εργαλείου «Facebook Insights», χρησιμοποιώντας το ο ως άνω διαχειριστής συμμετέχει στον καθορισμό των στόχων και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του.
56. Συγκεκριμένα, αφενός, η εν λόγω επεξεργασία δεν θα μπορούσε να πραγματοποιηθεί χωρίς την προηγούμενη απόφαση του διαχειριστή της fanpage να τη δημιουργήσει και να την αξιοποιήσει στο κοινωνικό δίκτυο Facebook. Καθιστώντας εφικτή την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των χρηστών της fanpage, ο διαχειριστής της εν λόγω σελίδας αποδέχεται το σύστημα που έχει καθιερώσει το Facebook. Αποκτά κατ’ αυτόν τον τρόπο καλύτερη εικόνα του προφίλ των χρηστών της fanpage του και, ταυτόχρονα, παρέχει τη δυνατότητα στο Facebook να στοχοθετήσει καλύτερα τις διαφημίσεις που προβάλλονται στο πλαίσιο του συγκεκριμένου κοινωνικού δικτύου. Αποδεχόμενος τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως προκαθορίζονται από το Facebook, ο διαχειριστής της fanpage πρέπει να θεωρείται ότι συμμετέχει στον καθορισμό τους. Εξάλλου, όπως ο διαχειριστής fanpage ασκεί κατ’ αυτόν τον τρόπο καθοριστική επιρροή στην έναρξη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα των προσώπων που επισκέπτονται τη συγκεκριμένη σελίδα, διαθέτει και την εξουσία να σταματήσει την εν λόγω επεξεργασία κλείνοντας ομοίως τη fanpage του.
57. Αφετέρου, καίτοι οι στόχοι και ο τρόπος χρήσεως του εργαλείου «Facebook Insights» αυτού καθαυτό καθορίζονται με γενικό τρόπο από τη Facebook Inc. από κοινού με τη Facebook Ireland, ο διαχειριστής fanpage έχει τη δυνατότητα να ασκήσει επιρροή στη συγκεκριμένη χρήση του εν λόγω εργαλείου καθορίζοντας τα κριτήρια βάσει των οποίων καταρτίζονται οι στατιστικές επισκεψιμότητας. Όταν καλεί τον διαχειριστή fanpage να δημιουργήσει ή να τροποποιήσει το κοινό της σελίδας του, το Facebook του επισημαίνει ότι θα καταβάλει κάθε προσπάθεια ώστε να δείξει τη συγκεκριμένη σελίδα στα άτομα που έχουν τη μεγαλύτερη σημασία για αυτόν. Ο διαχειριστής fanpage μπορεί, με τη χρήση φίλτρων, να καθορίσει ένα εξατομικευμένο κοινό, και τούτο του παρέχει τη δυνατότητα όχι μόνο να εξειδικεύσει την ομάδα προσώπων στα οποία θα διαδοθούν πληροφορίες σχετικά με την εμπορική προσφορά του, αλλά κυρίως να ορίσει τις κατηγορίες προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα θα συλλέξει το Facebook. Κατ’ αυτόν τον τρόπο, καθορίζοντας το κοινό το οποίο επιθυμεί να προσεγγίσει, ο διαχειριστής fanpage προσδιορίζει, ταυτόχρονα, το κοινό-στόχο του οποίου τα δεδομένα προσωπικού χαρακτήρα μπορεί να συλλέξει και, ακολούθως, να αξιοποιήσει το Facebook. Επομένως, επιπλέον της ενεργοποιήσεως της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα όταν δημιουργεί fanpage, ο διαχειριστής της συγκεκριμένης σελίδας διαδραματίζει εξέχοντα ρόλο στην πραγματοποίηση της επεξεργασίας από το Facebook. Συμμετέχει, με τον τρόπο αυτό, στον καθορισμό των στόχων και του τρόπου της εν λόγω επεξεργασίας ασκώντας de facto επιρροή σε αυτήν.
58. Από τα προεκτεθέντα συνάγεται ότι, σε περιστάσεις όπως οι επίμαχες στην υπόθεση της κύριας δίκης, ο διαχειριστής fanpage κοινωνικού δικτύου, όπως το Facebook, πρέπει να θεωρείται υπεύθυνος του σταδίου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη συλλογή, από το συγκεκριμένο κοινωνικό δίκτυο, των δεδομένων των προσώπων που επισκέπτονται τη συγκεκριμένη σελίδα.
59. Το ως άνω συμπέρασμα επιρρωννύεται από τη διαπίστωση ότι ο διαχειριστής fanpage, όπως η Wirtschaftsakademie, αφενός, και οι φορείς παροχής υπηρεσιών, όπως η Facebook Inc. και η Facebook Ireland, αφετέρου, επιδιώκουν καθένας σκοπούς οι οποίοι συνδέονται στενά μεταξύ τους. Η Wirtschaftsakademie θέλει να λάβει στατιστικές επισκεψιμότητας για τη διαχείριση της προωθήσεως της δραστηριότητάς της, για την εξασφάλιση δε αυτών είναι αναγκαία η επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η ίδια επεξεργασία θα παράσχει επίσης τη δυνατότητα στο Facebook να στοχοθετήσει καλύτερα τις διαφημίσεις που προωθεί μέσω του δικτύου του.
60. Επομένως, πρέπει να απορριφθεί ερμηνεία βασισμένη αποκλειστικά στους όρους και στις προϋποθέσεις της συναφθείσας μεταξύ της Wirtschaftsakademie και της Facebook Ireland συμβάσεως. Συγκεκριμένα, η προβλεπόμενη στη σύμβαση κατανομή καθηκόντων δεν μπορεί να αποτελέσει παρά μόνο μιαν ένδειξη για τον πραγματικό ρόλο των συμβαλλομένων στην εκτέλεση επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Διαφορετικά, οι συμβαλλόμενοι θα μπορούσαν να αποδώσουν τεχνητά την ευθύνη της επεξεργασίας σε έναν εξ αυτών. Αυτό ισχύει a fortiori σε μια κατάσταση στην οποία οι γενικοί όροι καταρτίζονται εκ των προτέρων από το κοινωνικό δίκτυο και δεν είναι διαπραγματεύσιμοι. Επομένως, δεν πρέπει να θεωρηθεί ότι αυτός που μπορεί μόνο να αποδεχθεί τη σύμβαση ή να την αρνηθεί δεν μπορεί να είναι υπεύθυνος της επεξεργασίας. Από τη στιγμή που ο ως άνω συμβαλλόμενος συνήψε ελεύθερα τη συμφωνία, μπορεί πάντοτε να είναι υπεύθυνος της επεξεργασίας λαμβανομένης υπόψη της συγκεκριμένης επιρροής που ασκεί στους στόχους και στον τρόπο της εν λόγω επεξεργασίας.
61. Επομένως, το γεγονός ότι η σύμβαση και οι γενικοί όροι αυτής καταρτίζονται από φορέα παροχής υπηρεσιών και ότι ο οικονομικός φορέας που χρησιμοποιεί τις υπηρεσίες που παρέχει ο εν λόγω φορέας παροχής υπηρεσιών δεν έχει πρόσβαση στα δεδομένα δεν αποκλείει να μπορεί να θεωρηθεί ο οικονομικός φορέας υπεύθυνος της επεξεργασίας, εφόσον δέχθηκε ελεύθερα τους συμβατικούς όρους, αποδεχόμενος έτσι την πλήρη ευθύνη για αυτούς (27). Όπως έπραξε και η ομάδα εργασίας του άρθρου 29, πρέπει επίσης να γίνει δεκτό ότι τυχόν ανισότητα διαπραγματευτικής ισχύος μεταξύ φορέα παροχής των υπηρεσιών και αποδέκτη των υπηρεσιών ουδόλως εμποδίζει τον χαρακτηρισμό του δεύτερου ως «υπευθύνου της επεξεργασίας» (28).
62. Εξάλλου, για να μπορεί ένα πρόσωπο να θεωρηθεί υπεύθυνος της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, δεν είναι αναγκαίο να διαθέτει πλήρη εξουσία ελέγχου επί όλων των πτυχών της επεξεργασίας. Όπως ορθώς επισήμανε η Βελγική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, τέτοιος έλεγχος ασκείται ολοένα και λιγότερο στην πράξη. Ολοένα και περισσότερο η φύση της επεξεργασίας καθίσταται πολύπλοκη, υπό την έννοια ότι πρόκειται για περισσότερες διαφορετικές επεξεργασίες με τη συμμετοχή περισσότερων μερών που ασκούν διαφορετικούς βαθμούς ελέγχου. Ως εκ τούτου, η ερμηνεία στην οποία προέχει η ύπαρξη πλήρους εξουσίας ελέγχου επί όλων των πτυχών της επεξεργασίας μπορεί να συνεπάγεται σοβαρά κενά στην προστασία των δεδομένων προσωπικού χαρακτήρα.
63. Χαρακτηριστικό παράδειγμα αποτελούν τα πραγματικά περιστατικά της υποθέσεως επί της οποίας εκδόθηκε η απόφαση της 13ης Μαΐου 2014, Google Spain και Google (29). Συγκεκριμένα, η υπόθεση αφορούσε κατάσταση με διαδοχικούς φορείς παροχής πληροφοριών, στην οποία διαφορετικά μέρη ασκούσαν έκαστο διαφορετική επιρροή στην επεξεργασία. Στην ως άνω υπόθεση, το Δικαστήριο αρνήθηκε να ερμηνεύσει συσταλτικά την έννοια του «υπευθύνου της επεξεργασίας». Έκρινε ότι ο φορέας εκμεταλλεύσεως μηχανής αναζητήσεως, «ως πρόσωπο που καθορίζει τους σκοπούς και τον τρόπο άσκησης της […] δραστηριότητάς [του], πρέπει να διασφαλίζει, στο πλαίσιο των ευθυνών, των ικανοτήτων και των δυνατοτήτων του, ότι η εν λόγω δραστηριότητα ανταποκρίνεται στις απαιτήσεις της οδηγίας 95/46» (30). Εξάλλου, το Δικαστήριο μνημόνευσε το ενδεχόμενο από κοινού ευθύνης του φορέα εκμεταλλεύσεως της μηχανής αναζητήσεως και των εκδοτών ιστοτόπων (31).
64. Όπως και η Βελγική Κυβέρνηση, εκτιμώ ότι η διασταλτική ερμηνεία του «υπευθύνου της επεξεργασίας», κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, η οποία πρέπει, κατά την άποψή μου, να γίνει δεκτή στο πλαίσιο της υπό κρίση υποθέσεως, μπορεί να συμβάλει στην αποφυγή των καταχρήσεων. Συγκεκριμένα, σε διαφορετική περίπτωση, κάθε επιχείρηση θα μπορούσε να χρησιμοποιεί τις υπηρεσίες τρίτου ώστε να αποφύγει τις υποχρεώσεις της όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Με άλλα λόγια, εκτιμώ ότι δεν πρέπει να γίνεται διάκριση μεταξύ της επιχειρήσεως που παρέχει στον διαδικτυακό της τόπο εργαλεία παρόμοια εκείνων που προτείνει το Facebook και εκείνης που προσχωρεί στο κοινωνικό δίκτυο Facebook για να επωφεληθεί των εργαλείων που αυτό προσφέρει. Επομένως, πρέπει να διασφαλίζεται ότι οι οικονομικοί φορείς που χρησιμοποιούν υπηρεσίες φιλοξενίας της διαδικτυακής σελίδας τους δεν μπορούν να αποφύγουν την ευθύνη τους αποδεχόμενοι τους γενικούς όρους ενός φορέα παροχής υπηρεσιών. Επιπλέον, όπως επισήμανε η ίδια κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, είναι εύλογο να αναμένεται από τις επιχειρήσεις να επιδεικνύουν επιμέλεια κατά την επιλογή των φορέων που παρέχουν υπηρεσίες σε αυτές.
65. Επομένως, κατά την άποψή μου, το γεγονός ότι διαχειριστής fanpage χρησιμοποιεί την παρεχόμενη από το Facebook πλατφόρμα και επωφελείται των σχετικών υπηρεσιών δεν τον απαλλάσσει από τις υποχρεώσεις του όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα. Συναφώς, επισημαίνεται ότι, εάν είχε δημιουργήσει διαδικτυακό τόπο εκτός του Facebook, χρησιμοποιώντας ένα εργαλείο παρόμοιο με το «Facebook Insights» για την κατάρτιση στατιστικών επισκεψιμότητας, η Wirtschaftsakademie θα θεωρούνταν υπεύθυνος της επεξεργασίας που είναι αναγκαία για την κατάρτιση των εν λόγω στατιστικών. Κατά την άποψή μου, ένας τέτοιος οικονομικός φορέας δεν πρέπει να απαλλάσσεται από την τήρηση των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα που απορρέουν από την οδηγία 95/46 για τον λόγο και μόνον ότι χρησιμοποιεί την πλατφόρμα του κοινωνικού δικτύου Facebook για την προώθηση των δραστηριοτήτων του. Όπως ορθώς επισήμανε το ίδιο το αιτούν δικαστήριο, ο πάροχος πληροφοριών δεν πρέπει να μπορεί να απαλλάσσεται, διά της επιλογής ορισμένου παρόχου υποδομών, από τις υποχρεώσεις που επιβάλλει σε αυτόν το εφαρμοστέο δίκαιο προστασίας των δεδομένων έναντι των χρηστών των πληροφοριών που διακινεί, υποχρεώσεις τις οποίες θα όφειλε να τηρεί εάν ήταν απλός πάροχος περιεχομένου (32). Αντίθετη ερμηνεία ενέχει κίνδυνο καταστρατηγήσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα.
66. Κατά την άποψή μου, δεν πρέπει επίσης να δημιουργηθεί τεχνητή διάκριση μεταξύ της επίμαχης στην υπό κρίση υπόθεση καταστάσεως και της επίμαχης καταστάσεως στο πλαίσιο της υποθέσεως C‑40/17, Fashion ID (33).
67. Στην ως άνω υπόθεση, ο διαχειριστής διαδικτυακού τόπου εισήγαγε στον διαδικτυακό του τόπο ένα «κοινωνικό δομοστοιχείο» (συγκεκριμένα την επιλογή «Μου αρέσει!» του Facebook) εξωτερικού παρόχου (ήτοι του Facebook), το οποίο συνεπάγεται διαβίβαση δεδομένων προσωπικού χαρακτήρα από τον υπολογιστή του χρήστη του διαδικτυακού τόπου στον εξωτερικό πάροχο.
68. Στο πλαίσιο της διαφοράς την οποία αφορούσε η συγκεκριμένη υπόθεση, ένωση για την προστασία των καταναλωτών προσήψε στην εταιρία Fashion ID ότι, εισάγοντας στον διαδικτυακό τόπο της το δομοστοιχείο «Μου αρέσει!» που προέρχεται από το κοινωνικό δίκτυο Facebook, παρείχε τη δυνατότητα σε αυτό να αποκτήσει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των χρηστών του συγκεκριμένου τόπου, χωρίς τη συγκατάθεσή τους και κατά παράβαση των υποχρεώσεων ενημερώσεως που προβλέπονται στις σχετικές με την προστασία των δεδομένων προσωπικού χαρακτήρα διατάξεις. Δεδομένου ότι η εταιρία Fashion ID επιτρέπει στο Facebook να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των χρηστών του διαδικτυακού της τόπου, τίθεται, επομένως, το ζήτημα κατά πόσον η εν λόγω εταιρία μπορεί ή όχι να χαρακτηριστεί «υπεύθυνος της επεξεργασίας» κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46.
69. Συναφώς, δεν εντοπίζω ουσιαστική διαφορά μεταξύ της καταστάσεως ενός διαχειριστή fanpage και εκείνης ενός φορέα εκμεταλλεύσεως διαδικτυακού τόπου που ενσωματώνει τον κώδικα ενός φορέα παροχής υπηρεσιών webtracking στον διαδικτυακό του τόπο και διευκολύνει, κατ’ αυτόν τον τρόπο, εν αγνοία του χρήστη του διαδικτύου, τη διαβίβαση δεδομένων, την εγκατάσταση cookies και τη συλλογή δεδομένων προς όφελος του φορέα παροχής υπηρεσιών webtracking.
70. Τα «κοινωνικά plug-ins» παρέχουν τη δυνατότητα στους φορείς εκμεταλλεύσεως διαδικτυακών τόπων να χρησιμοποιούν ορισμένες υπηρεσίες κοινωνικών δικτύων στους δικούς τους διαδικτυακούς τόπους, για την αύξηση της προβολής τους, για παράδειγμα ενσωματώνοντας στον διαδικτυακό τους τόπο την επιλογή «Μου αρέσει!» του Facebook. Όπως και οι διαχειριστές fanpages, οι φορείς εκμεταλλεύσεως διαδικτυακών τόπων που ενσωματώνουν «κοινωνικά plugins» μπορούν να επωφελούνται της υπηρεσίας «Facebook Insights» για να εξασφαλίσουν συγκεκριμένες στατιστικές πληροφορίες σχετικά με τους χρήστες του διαδικτυακού τους τόπου.
71. Όπως και στην περίπτωση της επισκέψεως σε fanpage, η επίσκεψη σε διαδικτυακό τόπο που περιέχει «κοινωνικό plugin» ενεργοποιεί τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στον οικείο πάροχο.
72. Κατά την άποψή μου, σε ένα τέτοιο πλαίσιο, όπως και ο διαχειριστής fanpage, ο διαχειριστής διαδικτυακού τόπου περιέχοντος «κοινωνικό plugin», δεδομένου ότι ασκεί de facto επιρροή στο στάδιο της επεξεργασίας που αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στο Facebook, πρέπει να χαρακτηρίζεται «υπεύθυνος της επεξεργασίας» κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46 (34).
73. Προσθέτω ότι, όπως ορθώς επισημαίνει η Βελγική Κυβέρνηση, η διαπίστωση ότι η Wirtschaftsakademie ενεργεί ως από κοινού υπεύθυνος της επεξεργασίας όταν αποφασίζει να χρησιμοποιήσει τις υπηρεσίες του Facebook για τη διακίνηση των πληροφοριών της ουδόλως μειώνει τις υποχρεώσεις που υπέχουν η Facebook Inc. και η Facebook Ireland υπό την ιδιότητα των υπευθύνων της επεξεργασίας. Ειδικότερα, είναι σαφές ότι οι δύο αυτές εταιρίες ασκούν καθοριστική επιρροή στους στόχους και στον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται στο πλαίσιο της επισκέψεως σε fanpage και την οποία χρησιμοποιούν επίσης για τους δικούς τους στόχους και τα δικά τους συμφέροντα.
74. Εντούτοις, η αναγνώριση από κοινού ευθύνης των διαχειριστών fanpages για το στάδιο της επεξεργασίας που συνίσταται στη συλλογή δεδομένων προσωπικού χαρακτήρα από το Facebook συμβάλλει στη διασφάλιση πληρέστερης προστασίας των δικαιωμάτων των ατόμων που επισκέπτονται τέτοιου είδους σελίδες. Εξάλλου, η ενεργή σύνδεση των διαχειριστών fanpages με τον σεβασμό των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, με το να ορίζονται αυτοί ως υπευθύνοι της επεξεργασίας, μπορεί εμμέσως να παροτρύνει τον ίδιο τον φορέα του κοινωνικού δικτύου να συμμορφωθεί προς τους εν λόγω κανόνες.
75. Πρέπει επίσης να διευκρινιστεί ότι η ύπαρξη από κοινού ευθύνης δεν σημαίνει ότι η ευθύνη κατανέμεται εξίσου. Αντιθέτως, οι διάφοροι υπεύθυνοι της επεξεργασίας μπορεί να συμμετέχουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα σε διαφορετικά στάδια και σε διαφορετικούς βαθμούς (35).
76. Κατά την ομάδα εργασίας του άρθρου 29, «[τ]ο ενδεχόμενο πολλαπλ[ών επιπέδων ευθύνης] λαμβάνει υπόψη τον αυξανόμενο αριθμό περιπτώσεων στις οποίες διαφορετικά μέρη ενεργούν ως υπεύθυνοι της επεξεργασίας. H αξιολόγηση του κοινού αυτού ελέγχου πρέπει να αντικατοπτρίζει την αξιολόγηση [της “ενιαίας” ευθύνης,] υιοθετώντας μια ουσιαστική και λειτουργική προσέγγιση, επικεντρωμένη στο κατά πόσον οι στόχοι και τα ουσιώδη στοιχεία του τρόπου καθορίζονται από περισσότερα του ενός μέρη. Η συμμετοχή των μερών στον καθορισμό των στόχων και του τρόπου επεξεργασίας στο πλαίσιο [της ενιαίας ευθύνης] μπορεί να προσλάβει διάφορες μορφές και δεν είναι υποχρεωτικό να είναι επιμερισμένη εξίσου» (36). Συγκεκριμένα, «σε περίπτωση [που εμπλέκονται συναφώς περισσότερα του ενός μέρη], αυτά μπορεί να έχουν πολύ στενή σχέση (να μοιράζονται, για παράδειγμα, όλους τους στόχους και τον τρόπο μιας επεξεργασίας) ή μια πιο χαλαρή σχέση (για παράδειγμα, να μοιράζονται μόνον στόχους ή τρόπο, ή μέρη αυτών). Επομένως, πρέπει να εξετασθεί ευρεία ποικιλία τυπολογιών [κοινής ευθύνης] και πρέπει να αξιολογηθούν οι έννομες συνέπειές τους, επιτρέποντας κάποια ευελιξία ώστε να ληφθεί υπόψη η αυξανόμενη πολυπλοκότητα της τρέχουσας πραγματικότητας στον τομέα της επεξεργασίας δεδομένων» (37).
77. Εκτιμώ ότι από τα προεκτεθέντα συνάγεται ότι ο διαχειριστής fanpage στο κοινωνικό δίκτυο Facebook πρέπει να θεωρείται, μαζί με τη Facebook Inc. και τη Facebook Ireland, υπεύθυνος της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για την κατάρτιση στατιστικών επισκεψιμότητας οι οποίες σχετίζονται με την εν λόγω σελίδα.
2. Επί του τρίτου και του τέταρτου προδικαστικού ερωτήματος
78. Με το τρίτο και το τέταρτο προδικαστικό ερώτημα, τα οποία εκτιμώ ότι πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί από το Δικαστήριο να αποσαφηνίσει ερμηνευτικά το άρθρο 4, παράγραφος 1, στοιχείο αʹ, και το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46, σε περίπτωση που μητρική εταιρία εγκατεστημένη εκτός της Ένωσης, όπως η Facebook Inc., παρέχει υπηρεσίες σχετικές με κοινωνικό δίκτυο στο έδαφος της Ένωσης μέσω περισσότερων εγκαταστάσεων. Μεταξύ αυτών, η μία ορίζεται από τη μητρική εταιρία υπεύθυνος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο έδαφος της Ένωσης (Facebook Ireland) και η άλλη διασφαλίζει την προώθηση και την πώληση διαφημιστικού χώρου, καθώς και τις δραστηριότητες μάρκετινγκ που απευθύνονται στους κατοίκους της Ομοσπονδιακής Δημοκρατίας της Γερμανίας (Facebook Germany). Υπό τις συνθήκες αυτές, το αιτούν δικαστήριο ζητεί να διευκρινιστεί, αφενός, αν η γερμανική αρχή ελέγχου δικαιούται να ασκεί εξουσίες παρεμβάσεως με σκοπό τη διακοπή της επίμαχης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και, αφετέρου, έναντι ποίας εγκαταστάσεως μπορούν να ασκηθούν τέτοιες εξουσίες.
79. Ως απάντηση στις αμφιβολίες που διατύπωσαν η ULD και η Ιταλική Κυβέρνηση σχετικά με το παραδεκτό του τρίτου και του τέταρτου προδικαστικού ερωτήματος, επισημαίνεται ότι το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο) εκθέτει στην απόφασή του περί παραπομπής ότι χρειάζεται διευκρινίσεις επί των συγκεκριμένων σημείων, προκειμένου να μπορέσει να αποφανθεί επί της νομιμότητας της επίμαχης στην υπόθεση της κύριας δίκης διαταγής. Ειδικότερα, το αιτούν δικαστήριο επισημαίνει ότι η εκδοθείσα κατά της Wirtschaftsakademie διαταγή μπορεί να είναι αποτέλεσμα πλάνης εκτιμήσεως και, επομένως, να είναι παράνομη εάν οι προβαλλόμενες από την ULD παραβιάσεις του δικαίου προστασίας των δεδομένων μπορούσαν να επανορθωθούν με μέτρο στρεφόμενο απευθείας κατά της θυγατρικής Facebook Germany, η οποία είναι εγκατεστημένη στη Γερμανία (38). Εκτιμώ ότι η παρατήρηση αυτή του αιτούντος δικαστηρίου καθιστά σαφείς τους λόγους για τους οποίους αυτό υποβάλλει στο Δικαστήριο το τρίτο και το τέταρτο προδικαστικό ερώτημα. Επομένως, λαμβανομένου υπόψη του τεκμηρίου λυσιτέλειας των αιτήσεων προδικαστικής αποφάσεως (39), προτείνω στο Δικαστήριο να απαντήσει στα ως άνω ερωτήματα.
80. Κατά το άρθρο 4 της οδηγίας 95/46, το οποίο επιγράφεται «Εφαρμοστέο εθνικό δίκαιο»:
«1. Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον:
α) η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Όταν ο ίδιος υπεύθυνος είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία·
[…]».
81. Στη γνώμη 8/2010, της 16ης Δεκεμβρίου 2010, για το εφαρμοστέο δίκαιο (40), η ομάδα εργασίας του άρθρου 29 εκθέτει την εφαρμογή του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 στην ακόλουθη κατάσταση: «Πλατφόρμα κοινωνικού δικτύου έχει την έδρα [της] σε τρίτη χώρα και εγκατάσταση σε κράτος μέλος. Η εγκατάσταση καθορίζει και εφαρμόζει τις πολιτικές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα διαμενόντων στην [Ένωση]. Το κοινωνικό δίκτυο στοχοθετεί ενεργά διαμένοντες σε όλα τα κράτη μέλη της Ένωσης, που αποτελούν σημαντικό τμήμα των πελατών και των εσόδων του. Επίσης, εγκαθιστά cookies στους υπολογιστές των χρηστών στην Ένωση. Σε αυτή την περίπτωση, το εφαρμοστέο δίκαιο θα είναι σύμφωνα με το άρθρο 4, παράγραφος 1, στοιχείο αʹ, [της οδηγίας 95/46], το δίκαιο προστασίας των δεδομένων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εταιρία εντός της Ένωσης. Το θέμα αν το κοινωνικό δίκτυο προσφεύγει σε μέσα ευρισκόμενα στο έδαφος άλλων κρατών μελών δεν έχει σημασία, διότι όλη η επεξεργασία πραγματοποιείται στα πλαίσια των δραστηριοτήτων μοναδικής εγκατάστασης και η οδηγία αποκλείει τη σωρευτική εφαρμογή των στοιχείων αʹ και γʹ του άρθρου 4, παράγραφος 1, [της εν λόγω οδηγίας]» (41). Η ομάδα εργασίας του άρθρου 29 διευκρινίζει επίσης ότι «η αρχή ελέγχου του κράτους μέλους όπου είναι εγκατεστημένο το κοινωνικό δίκτυο στην Ένωση, σύμφωνα με το άρθρο 28, παράγραφος 6, [της εν λόγω οδηγίας], θα έχει υποχρέωση να συνεργάζεται με άλλες αρχές ελέγχου για να εξετάζει, για παράδειγμα, αιτήματα ή καταγγελίες που προέρχονται από διαμένοντες σε άλλες χώρες της Ένωσης» (42).
82. Η εκτιθέμενη στο ανωτέρω σημείο περίπτωση δεν γεννά δυσκολίες όσον αφορά τον καθορισμό του εφαρμοστέου εθνικού δικαίου. Συγκεκριμένα, στην περίπτωση αυτή, δεδομένου ότι η μητρική εταιρία διαθέτει μόνο μία εγκατάσταση στην Ένωση, στην επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο ευρίσκεται η εν λόγω εγκατάσταση.
83. Η κατάσταση γίνεται πιο περίπλοκη όταν, όπως συμβαίνει στην υπό κρίση υπόθεση, εταιρία εγκατεστημένη σε κράτος μέλος, όπως η Facebook Inc., ασκεί τις δραστηριότητές της στην Ένωση, αφενός, μέσω εγκαταστάσεως στην οποία η μητρική εταιρία αναθέτει την αποκλειστική ευθύνη της συλλογής και της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στον όμιλο Facebook σε ολόκληρο το έδαφος της Ευρωπαϊκής Ένωσης (Facebook Ireland) και, αφετέρου, μέσω άλλων εγκαταστάσεων, εκ των οποίων μία ευρίσκεται στην Ομοσπονδιακή Δημοκρατία της Γερμανίας (Facebook Germany) και είναι επιφορτισμένη, βάσει των πληροφοριών που περιέχονται στην απόφαση περί παραπομπής, με την προώθηση και την πώληση διαφημιστικών χώρων και άλλων δραστηριοτήτων μάρκετινγκ που απευθύνονται στους κατοίκους του συγκεκριμένου κράτους μέλους (43).
84. Σε μια τέτοια κατάσταση, είναι η γερμανική αρχή ελέγχου αρμόδια να ασκήσει εξουσίες παρεμβάσεως ώστε να παύσει η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την οποία είναι από κοινού υπεύθυνες η Facebook Inc. και η Facebook Ireland;
85. Για να απαντηθεί το ερώτημα αυτό, πρέπει να καθοριστεί αν η γερμανική αρχή ελέγχου νομιμοποιείται να εφαρμόσει στην εν λόγω επεξεργασία το εθνικό της δίκαιο.
86. Συναφώς, από το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 προκύπτει ότι επεξεργασία δεδομένων η οποία πραγματοποιείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως διέπεται από το δίκαιο του κράτους μέλους στο έδαφος του οποίου ευρίσκεται η εν λόγω εγκατάσταση.
87. Το Δικαστήριο έχει αποφανθεί ότι, λαμβανομένου υπόψη του σκοπού της εν λόγω οδηγίας, ο οποίος συνίσταται στη διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και, ιδίως, του δικαιώματος στην προσωπική σφαίρα, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η έκφραση «στα πλαίσια των δραστηριοτήτων», η οποία περιέχεται στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, της εν λόγω οδηγίας δεν μπορεί να ερμηνεύεται υπό στενή έννοια (44).
88. Η δυνατότητα εφαρμογής, σε επεξεργασία δεδομένων προσωπικού χαρακτήρα, της νομοθεσίας κράτους μέλους περί μεταφοράς οδηγίας στην εθνική έννομη τάξη προϋποθέτει τη συνδρομή δύο προϋποθέσεων. Πρώτον, ο υπεύθυνος της επεξεργασίας αυτής πρέπει να έχει «εγκατάσταση» στο συγκεκριμένο κράτος μέλος. Δεύτερον, η επεξεργασία αυτή πρέπει να διενεργείται «στα πλαίσια των δραστηριοτήτων» της εν λόγω εγκαταστάσεως.
89. Όσον αφορά, πρώτον, την έννοια της «εγκαταστάσεως» κατά το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το Δικαστήριο έχει διευκρινίσει, ερμηνεύοντας ευρέως και με ευελιξία τη συγκεκριμένη έννοια, ότι αυτή καλύπτει κάθε πραγματική και ουσιαστικού χαρακτήρα δραστηριότητα, έστω και περιορισμένη, ασκούμενη μέσω μόνιμης εγκαταστάσεως (45), αποκλείοντας κατ’ αυτόν τον τρόπο κάθε τυπολατρική προσέγγιση (46).
90. Από την άποψη αυτή, πρέπει να αξιολογηθεί τόσο ο βαθμός μονιμότητας της εγκαταστάσεως όσο και ο πραγματικός χαρακτήρας της ασκήσεως των δραστηριοτήτων εντός του οικείου κράτους μέλους (47), λαμβάνοντας υπόψη τον ειδικό χαρακτήρα των επίμαχων οικονομικών δραστηριοτήτων και παρεχόμενων υπηρεσιών (48). Συναφώς, δεν αμφισβητείται ότι η Facebook Germany, της οποίας η έδρα ευρίσκεται στο Αμβούργο (Γερμανία), ασκεί πραγματική και ουσιαστικού χαρακτήρα δραστηριότητα μέσω μόνιμης εγκαταστάσεως στη Γερμανία. Επομένως, συνιστά «εγκατάσταση» κατά την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46.
91. Δεύτερον, όσον αφορά το κατά πόσον η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται «στα πλαίσια των δραστηριοτήτων» της εν λόγω εγκαταστάσεως, κατά την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το Δικαστήριο έχει υπενθυμίσει ότι η εν λόγω διάταξη δεν απαιτεί η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα να γίνεται «από» την ίδια την οικεία εγκατάσταση, αλλά απλώς να γίνεται «στα πλαίσια των δραστηριοτήτων» της (49).
92. Όπως προκύπτει από τη γνώμη 8/2010, «[η] έννοια των “πλαισίων των δραστηριοτήτων” –και όχι [η χώρα όπου εντοπίζονται τα δεδομένα]– αποτελεί καθοριστικό παράγοντα για τον εντοπισμό του πεδίου του εφαρμοστέου δικαίου. Η [ως άνω έννοια] συνεπάγεται ότι εφαρμοστέο δίκαιο δεν είναι το δίκαιο του κράτους μέλους [στο οποίο] είναι εγκατεστημένος ο υπεύθυνος αλλά [στο οποίο] μια εγκατάσταση του υπευθύνου συμμετέχει σε δραστηριότητες [που συνδέονται με ή αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα]. Στο πλαίσιο αυτό, ο βαθμός συμμετοχής της ή των εγκαταστάσεων στις δραστηριότητες στα πλαίσια των οποίων υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα έχει ζωτική σημασία. Επιπλέον, θα πρέπει να συνεκτιμηθούν ο χαρακτήρας των δραστηριοτήτων της εγκατάστασης και η ανάγκη εξασφάλισης πραγματικής προστασίας των δικαιωμάτων των φυσικών προσώπων. Κατά την ανάλυση αυτών των κριτηρίων θα πρέπει να χρησιμοποιείται μια λειτουργική προσέγγιση. Οι καθοριστικοί παράγοντες θα πρέπει να έγκεινται περισσότερο στην πρακτική συμπεριφορά των μερών και τη διάδραση μεταξύ τους παρά στη θεωρητική υπόδειξη του εφαρμοστέου δικαίου από τα μέρη» (50).
93. Στην απόφαση της 13ης Μαΐου 2014, Google Spain και Google (51), το Δικαστήριο κλήθηκε να ελέγξει τη συνδρομή της προϋποθέσεως αυτής. Το Δικαστήριο έκρινε ότι η προϋπόθεση αυτή πρέπει να ερμηνεύεται ευρέως, αποφαινόμενο ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για τις ανάγκες υπηρεσίας μηχανής αναζητήσεως, όπως η Google Search, την οποία εκμεταλλεύεται επιχείρηση που έχει έδρα σε τρίτο κράτος αλλά διαθέτει εγκατάσταση εντός ορισμένου κράτους μέλους, εκτελείται «στα πλαίσια των δραστηριοτήτων» της εν λόγω εγκαταστάσεως, εφόσον αυτή έχει ως σκοπό την προώθηση και πώληση, εντός του προαναφερθέντος κράτους μέλους, του διαφημιστικού χώρου που διατίθεται στο πλαίσιο της μηχανής αναζητήσεως και που αποσκοπεί στην οικονομική εκμετάλλευση της υπηρεσίας που παρέχεται με την εν λόγω μηχανή (52). Ειδικότερα, το Δικαστήριο επισήμανε ότι, «υπό τις περιστάσεις αυτές, οι δραστηριότητες του φορέα εκμετάλλευσης της μηχανής αναζήτησης και οι δραστηριότητες της εγκατάστασής του εντός του οικείου κράτους μέλους είναι αδιάσπαστα συνδεδεμένες, εφόσον οι σχετικές με τον διαφημιστικό χώρο δραστηριότητες αποτελούν το μέσο για να καταστεί η επίμαχη μηχανή αναζήτησης οικονομικώς αποδοτική και εφόσον η μηχανή αυτή είναι συγχρόνως το μέσο που καθιστά δυνατή την άσκηση των ως άνω δραστηριοτήτων» (53). Το Δικαστήριο πρόσθεσε, προς στήριξη της λύσεως που προέκρινε, ότι καθόσον η εμφάνιση δεδομένων προσωπικού χαρακτήρα σε σελίδα αποτελεσμάτων αναζητήσεως «συνοδεύεται, στην ίδια σελίδα, από την εμφάνιση διαφημιστικών μηνυμάτων που συνδέονται με τους όρους αναζήτησης, επιβάλλεται η διαπίστωση ότι η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο της διαφημιστικής και εμπορικής δραστηριότητας της εγκατάστασης που έχει ο υπεύθυνος της επεξεργασίας στο έδαφος κράτους μέλους, εν προκειμένω στο ισπανικό έδαφος» (54).
94. Εντούτοις, σύμφωνα με τις πληροφορίες που περιέχονται στην απόφαση περί παραπομπής, η Facebook Germany είναι επιφορτισμένη με την προώθηση και την πώληση διαφημιστικών χώρων και άλλων δραστηριοτήτων μάρκετινγκ που απευθύνονται στους κατοίκους της Ομοσπονδιακής Δημοκρατίας της Γερμανίας. Δεδομένου ότι σκοπός της επίμαχης στην υπόθεση της κύριας δίκης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συνίσταται στη συλλογή των εν λόγω δεδομένων μέσω cookies εγκατεστημένων στους υπολογιστές των επισκεπτών των fanpages, είναι ιδίως να παράσχει τη δυνατότητα στο Facebook να στοχοθετήσει καλύτερα τις διαφημίσεις που προωθεί, μια τέτοια επεξεργασία πρέπει να θεωρείται ότι πραγματοποιείται στο πλαίσιο των δραστηριοτήτων που ασκεί η Facebook Germany στη Γερμανία. Συναφώς, δεδομένου ότι ένα κοινωνικό δίκτυο όπως το Facebook εξασφαλίζει το μεγαλύτερο μέρος των εσόδων του από τη διαφήμιση, η οποία παρέχεται στις ιστοσελίδες που δημιουργούν και χρησιμοποιούν οι χρήστες (55), πρέπει να θεωρηθεί ότι οι δραστηριότητες των από κοινού υπευθύνων της επεξεργασίας, Facebook Inc. και Facebook Ireland, συνδέονται άρρηκτα με εκείνες εγκαταστάσεως όπως η Facebook Germany. Εξάλλου, μετά την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία καθίσταται εφικτή με την εγκατάσταση cookie στον υπολογιστή του επισκεπτόμενου σελίδα που ανήκει στο όνομα χώρου Facebook.com, η επίσκεψη σε σελίδα του Facebook συνοδεύεται από την εμφάνιση, στην ίδια ιστοσελίδα, διαφημίσεων που σχετίζονται με τα ενδιαφέροντα του συγκεκριμένου επισκέπτη. Εξ αυτού συνάγεται ότι η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο της διαφημιστικής και εμπορικής δραστηριότητας της εγκαταστάσεως του υπευθύνου της επεξεργασίας στο έδαφος κράτους μέλους, εν προκειμένω στο έδαφος της Γερμανίας.
95. Το γεγονός ότι ο όμιλος Facebook, εν αντιθέσει προς ό,τι ίσχυε στο πλαίσιο της υποθέσεως επί της οποίας εκδόθηκε η απόφαση της 13ης Μαΐου 2014, Google Spain και Google (56), διαθέτει ευρωπαϊκή έδρα, συγκεκριμένα στην Ιρλανδία, δεν εμποδίζει την εφαρμογή στην υπό κρίση υπόθεση της ερμηνείας του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 που έδωσε το Δικαστήριο στην ως άνω απόφαση. Το Δικαστήριο έκρινε, συναφώς, ότι επιβάλλεται να αποφεύγεται το ενδεχόμενο να αποσυνδέεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υποχρεώσεις και τις εγγυήσεις που προβλέπονται στην εν λόγω οδηγία. Στο πλαίσιο της υπό κρίση υποθέσεως, υποστηρίχθηκε ότι το πρόβλημα που σχετίζεται με μια τέτοια καταστρατήγηση δεν ανακύπτει εν προκειμένω, δεδομένου ότι ο υπεύθυνος της επεξεργασίας είναι εγκατεστημένος σε κράτος μέλος, και συγκεκριμένα στην Ιρλανδία. Επομένως, κατά τη συλλογιστική αυτή, το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της εν λόγω οδηγίας θα πρέπει να έχει την έννοια ότι επιβάλλει στον εν λόγω υπεύθυνο της επεξεργασίας να λάβει υπόψη μία μόνον εθνική νομοθεσία και να υπάγεται σε μία μόνον αρχή ελέγχου, ήτοι την ιρλανδική νομοθεσία και στην ιρλανδική αρχή ελέγχου.
96. Εντούτοις, μια τέτοια ερμηνεία αντιβαίνει στο γράμμα του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, καθώς και στους λόγους που οδήγησαν στη θέσπιση της συγκεκριμένης διατάξεως. Συγκεκριμένα, όπως ορθώς επισήμανε η Βελγική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, η εν λόγω οδηγία δεν εισάγει ούτε «μηχανισμό μίας στάσεως» ούτε την αρχή της χώρας καταγωγής (57). Συναφώς, δεν πρέπει να γίνεται σύγχυση μεταξύ, αφενός, του πολιτικού σκοπού τον οποίο επιδίωκε η Ευρωπαϊκή Επιτροπή στην πρόταση οδηγίας που υπέβαλε και, αφετέρου, της λύσεως που επέλεξε τελικώς το Συμβούλιο της Ευρωπαϊκής Ένωσης. Στην εν λόγω οδηγία, ο νομοθέτης επέλεξε να μη δώσει προτεραιότητα στην εφαρμογή του εθνικού δικαίου του κράτους μέλους στο οποίο ευρίσκεται η κύρια εγκατάσταση του υπευθύνου της επεξεργασίας. Το αποτέλεσμα, όπως αποτυπώνεται στην οδηγία 95/46, εκφράζει τη βούληση των κρατών μελών να διατηρήσουν την εθνική εκτελεστική τους αρμοδιότητα. Απορρίπτοντας την αρχή της χώρας καταγωγής, ο νομοθέτης της Ένωσης παρέσχε τη δυνατότητα σε κάθε κράτος μέλος να εφαρμόζει τη δική του εθνική νομοθεσία και κατέστησε με τον τρόπο αυτό εφικτή τη σώρευση εφαρμοστέων εθνικών νομοθεσιών (58).
97. Με το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της εν λόγω οδηγίας, ο νομοθέτης της Ένωσης επέλεξε σκοπίμως να είναι δυνατή, σε περίπτωση υπάρξεως περισσότερων εγκαταστάσεων ενός υπευθύνου επεξεργασίας εντός της Ένωσης, η εφαρμογή περισσότερων της μιας εθνικών νομοθεσιών για την προστασία των δεδομένων προσωπικού χαρακτήρα στην επεξεργασία δεδομένων προσωπικού χαρακτήρα των κατοίκων των οικείων κρατών μελών, προκειμένου να διασφαλίζεται αποτελεσματική προστασία των δικαιωμάτων των ως άνω ατόμων στα εν λόγω κράτη μέλη.
98. Αυτό επιβεβαιώνεται με την αιτιολογική σκέψη 19 της οδηγίας 95/46, κατά την οποία «όταν ένας μόνον υπεύθυνος επεξεργασίας είναι εγκατεστημένος στο έδαφος πλειόνων κρατών μελών, ιδίως μέσω θυγατρικής, πρέπει να εξασφαλίζει, κυρίως για να αποφεύγονται οι καταστρατηγήσεις, ότι κάθε κατάστημά του πληροί τις απαιτήσεις τις οποίες προβλέπει η οικεία εθνική νομοθεσία».
99. Επομένως, από το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, στο δεύτερο εδάφιο του οποίου διευκρινίζεται, στο πνεύμα της αιτιολογικής σκέψεως 19 της εν λόγω οδηγίας, ότι, εάν ο ίδιος υπεύθυνος της επεξεργασίας είναι εγκατεστημένος στο έδαφος περισσότερων κρατών μελών, οφείλει να λάβει τα αναγκαία μέτρα ώστε να διασφαλίζεται ο σεβασμός, από καθεμία από τις εγκαταστάσεις του, των προβλεπόμενων από το εφαρμοστέο εθνικό δίκαιο υποχρεώσεων, συνάγεται ότι η διάρθρωση ομίλου που χαρακτηρίζεται από την παρουσία εγκαταστάσεων του υπευθύνου της επεξεργασίας σε διάφορα κράτη μέλη δεν πρέπει να έχει ως αποτέλεσμα να παρέχει σε αυτόν τη δυνατότητα να καταστρατηγεί το δίκαιο του κράτους μέλους στη δικαιοδοσία του οποίου υπάγεται καθεμία από τις εν λόγω εγκαταστάσεις.
100. Προσθέτω ότι, κατά την άποψή μου, η ερμηνεία που προκρίνει την αποκλειστική εφαρμογή του δικαίου του κράτους μέλους στο οποίο ευρίσκεται η ευρωπαϊκή έδρα διεθνούς ομίλου δεν μπορεί πλέον να υποστηριχθεί μετά την απόφαση της 28ης Ιουλίου 2016, Verein für Konsumenteninformation (59). Στην ως άνω απόφαση το Δικαστήριο έκρινε ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από επιχείρηση ηλεκτρονικού εμπορίου διέπεται από το δίκαιο του κράτους μέλους προς το οποίο η επιχείρηση αυτή κατευθύνει τις δραστηριότητές της, εφόσον αποδεικνύεται ότι η εν λόγω επιχείρηση προβαίνει στην επεξεργασία των επίμαχων δεδομένων στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως ευρισκόμενης στο συγκεκριμένο κράτος μέλος. Το Δικαστήριο αποφάνθηκε κατ’ αυτόν τον τρόπο, παρά το γεγονός ότι η Amazon, όπως και η Facebook, είναι επιχείρηση η οποία διαθέτει όχι μόνον ευρωπαϊκή έδρα σε κράτος μέλος, αλλά και επιτόπια παρουσία σε περισσότερα κράτη μέλη. Σε μια τέτοια περίπτωση επίσης, πρέπει να εξεταστεί αν η επεξεργασία των δεδομένων εμπίπτει στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως σε κράτος μέλος διαφορετικό από εκείνο στο οποίο ευρίσκεται η ευρωπαϊκή έδρα του υπευθύνου της επεξεργασίας.
101. Επομένως, όπως επισημαίνει η Βελγική Κυβέρνηση, ουδόλως αποκλείεται να ληφθεί υπόψη για την εφαρμογή του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 εγκατάσταση διαφορετική από εκείνη της ευρωπαϊκής έδρας της επιχειρήσεως.
102. Ως εκ τούτου, στο πλαίσιο του συστήματος που καθιερώνει η εν λόγω οδηγία, ο τόπος στον οποίο πραγματοποιείται η επεξεργασία, όπως και ο τόπος στον οποίο έχει την έδρα του εντός της Ένωσης ο υπεύθυνος της επεξεργασίας δεν είναι καθοριστικοί, εάν υπάρχουν περισσότερες εγκαταστάσεις του συγκεκριμένου υπευθύνου εντός της Ένωσης, για τον προσδιορισμό του εφαρμοστέου εθνικού δικαίου σε επεξεργασία δεδομένων και για την αναγνώριση της αρμοδιότητας αρχής ελέγχου να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει.
103. Συναφώς, εκτιμώ ότι το Δικαστήριο δεν θα πρέπει να εφαρμόσει πρόωρα το καθεστώς που καθιερώνεται με τον γενικό κανονισμό για την προστασία δεδομένων (60), το οποίο θα εφαρμόζεται από τις 25 Μαΐου 2018. Στο πλαίσιο του καθεστώτος αυτού, θεσπίζεται «μηχανισμός μίας στάσεως». Αυτό σημαίνει ότι υπεύθυνος της επεξεργασίας ο οποίος πραγματοποιεί διασυνοριακές επεξεργασίες, όπως η Facebook, θα έχει ως συνομιλητή μία μόνον εποπτική αρχή, ήτοι την επικεφαλής εποπτική αρχή, η οποία θα είναι αυτή του τόπου στον οποίο ευρίσκεται η κύρια εγκατάσταση του υπευθύνου της επεξεργασίας. Εντούτοις, το συγκεκριμένο καθεστώς, όπως και ο εξειδικευμένος μηχανισμός συνεργασίας που καθιερώνει δεν τυγχάνουν ακόμη εφαρμογής.
104. Αναμφίβολα, στο μέτρο που η Facebook επέλεξε να εγκαταστήσει την έδρα της στην Ένωση, ήτοι στην Ιρλανδία, η αρχή ελέγχου του εν λόγω κράτους μέλους καλείται να διαδραματίσει σημαντικό ρόλο όσον αφορά την τήρηση από τη Facebook των κανόνων που απορρέουν από την οδηγία 95/46. Εντούτοις, όπως αναγνωρίζει η ίδια η αρχή ελέγχου, αυτό δεν σημαίνει ότι διαθέτει, στο πλαίσιο του ισχύοντος συστήματος που βασίζεται στην ως άνω οδηγία, αποκλειστική αρμοδιότητα όσον αφορά τις δραστηριότητες του Facebook εντός της Ένωσης (61).
105. Από το σύνολο των ως άνω στοιχείων οδηγούμαι στην εκτίμηση, όπως και η Βελγική Κυβέρνηση, η Ολλανδική Κυβέρνηση και η ULD, ότι η ερμηνεία του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 από το Δικαστήριο στην απόφαση της 13ης Μαΐου 2014, Google Spain και Google (62), μπορεί επίσης να εφαρμοστεί σε κατάσταση όπως η επίμαχη στην υπόθεση της κύριας δίκης, στην οποία ο υπεύθυνος της επεξεργασίας είναι εγκατεστημένος σε κράτος μέλος της Ένωσης και διαθέτει περισσότερες της μιας εγκαταστάσεις εντός της Ένωσης.
106. Επομένως, βάσει των ενδείξεων που παρέσχε το αιτούν δικαστήριο σχετικά με τη φύση των δραστηριοτήτων της Facebook Germany, πρέπει να γίνει δεκτό ότι η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της εν λόγω εγκαταστάσεως και ότι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 επιτρέπει, σε κατάσταση όπως η επίμαχη στην υπόθεση της κύριας δίκης, την εφαρμογή του γερμανικού δικαίου για την προστασία των δεδομένων προσωπικού χαρακτήρα (63).
107. Επομένως, η γερμανική αρχή ελέγχου είναι αρμόδια να εφαρμόσει το εθνικό της δίκαιο στην επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα.
108. Από το άρθρο 28, παράγραφος 1, της οδηγίας 95/46 προκύπτει ότι κάθε αρχή ελέγχου συσταθείσα από κράτος μέλος φροντίζει για την τήρηση, στο έδαφος του κράτους μέλους αυτού, των διατάξεων που θεσπίζουν τα κράτη μέλη κατ’ εφαρμογήν της εν λόγω οδηγίας.
109. Κατά το άρθρο 28, παράγραφος 3, της οδηγίας 95/46, οι αρχές αυτές ελέγχου διαθέτουν μεταξύ άλλων εξουσίες προς διεξαγωγή ερευνών, όπως είναι η εξουσία συλλογής όλων των αναγκαίων πληροφοριών για την εκτέλεση του ελεγκτικού έργου που τους έχει ανατεθεί, καθώς και αποτελεσματικές εξουσίες παρεμβάσεως, όπως είναι η εξουσία να διατάσσουν τη δέσμευση, τη διαγραφή ή την καταστροφή δεδομένων, ή να απαγορεύουν προσωρινά ή οριστικά την επεξεργασία, ή να απευθύνουν προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία. Οι εξουσίες παρεμβάσεως μπορούν να περιλαμβάνουν και την εξουσία επιβολής κυρώσεων στον υπεύθυνο για την επεξεργασία των δεδομένων, επιβάλλοντάς του σχετικό πρόστιμο (64).
110. Εξάλλου, το άρθρο 28, παράγραφος 6, της οδηγίας 95/46 ορίζει τα εξής:
«Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους.
Οι αρχές ελέγχου διατηρούν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή όλων των χρήσιμων πληροφοριών.»
111. Δεδομένου ότι στην επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο αυτή υπάγεται, η γερμανική αρχή ελέγχου μπορεί να ασκήσει το σύνολο των εξουσιών παρεμβάσεως που διαθέτει προκειμένου να διασφαλίζεται η εφαρμογή και η τήρηση στο γερμανικό έδαφος του γερμανικού δικαίου από το Facebook. Το συμπέρασμα αυτό απορρέει από την απόφαση της 1ης Οκτωβρίου 2015, Weltimmo (65), με την οποία διευκρινίστηκε η εμβέλεια του άρθρου 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46.
112. Κύριο ζήτημα στην εν λόγω υπόθεση ήταν ο καθορισμός της αρμοδιότητας της ουγγρικής αρχής ελέγχου να επιβάλει πρόστιμο σε φορέα παροχής υπηρεσιών εγκατεστημένο σε άλλο κράτος μέλος, και συγκεκριμένα στη Σλοβακία. Για τον καθορισμό της αρμοδιότητας αυτής έπρεπε να εξεταστεί προηγουμένως αν το ουγγρικό δίκαιο ήταν ή όχι εφαρμοστέο, διά της εφαρμογής του προβλεπόμενου στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 κριτηρίου.
113. Στο πρώτο μέρος της απαντήσεώς του, το Δικαστήριο παρέσχε στο αιτούν δικαστήριο ορισμένες ενδείξεις ώστε αυτό να μπορέσει να εξακριβώσει την ύπαρξη εγκαταστάσεως του υπευθύνου της επεξεργασίας στην Ουγγαρία. Έκρινε, εν τέλει, ότι η εν λόγω επεξεργασία πραγματοποιήθηκε στο πλαίσιο των δραστηριοτήτων της εν λόγω εγκαταστάσεως, καθώς και ότι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 επιτρέπει, σε κατάσταση όπως η επίμαχη στην εν λόγω υπόθεση, την εφαρμογή του ουγγρικού δικαίου για την προστασία των δεδομένων προσωπικού χαρακτήρα.
114. Επομένως, με το πρώτο μέρος της απαντήσεώς του το Δικαστήριο επιβεβαίωσε την αρμοδιότητα της ουγγρικής αρχής ελέγχου να επιβάλει, κατ’ εφαρμογή του ουγγρικού δικαίου, πρόστιμο σε φορέα παροχής υπηρεσιών, συγκεκριμένα στη Weltimmo, εγκατεστημένο σε άλλο κράτος μέλος.
115. Με άλλα λόγια, εφόσον, κατ’ εφαρμογή του προβλεπόμενου στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 κριτηρίου, το ουγγρικό δίκαιο μπορούσε να αναγνωριστεί ως εθνικό εφαρμοστέο δίκαιο, η ουγγρική αρχή ελέγχου ήταν αρμόδια να διασφαλίσει τον σεβασμό του δικαίου αυτού σε περίπτωση παραβάσεώς του από υπεύθυνο της επεξεργασίας, καίτοι αυτός ήταν καταχωρισμένος στη Σλοβακία. Δυνάμει της ως άνω διατάξεως της οδηγίας 95/46, μπορούσε να θεωρηθεί ότι, καίτοι καταχωρισμένη στη Σλοβακία, η Weltimmo ήταν επίσης εγκατεστημένη στην Ουγγαρία. Η ύπαρξη στην Ουγγαρία εγκαταστάσεως του υπευθύνου της επεξεργασίας ασκούσας δραστηριότητες στο πλαίσιο των οποίων πραγματοποιούνταν η εν λόγω επεξεργασία συνιστούσε, επομένως, το αναγκαίο συνδετικό στοιχείο για την αναγνώριση της δυνατότητας εφαρμογής του ουγγρικού δικαίου και, κατ’ επέκταση, της αρμοδιότητας της ουγγρικής αρχής ελέγχου να διασφαλίζει τον σεβασμό του εν λόγω δικαίου στο ουγγρικό έδαφος.
116. Το δεύτερο μέρος της απαντήσεως του Δικαστηρίου, στο οποίο αυτό τόνισε την αρχή της εδαφικής εφαρμογής των εξουσιών κάθε αρχής ελέγχου, διατυπώθηκε μόνον επικουρικώς, ήτοι «μόνο για την περίπτωση που η ουγγρική αρχή ελέγχου κρίνει ότι η Weltimmo διαθέτει όχι στην Ουγγαρία, αλλά εντός άλλου κράτους μέλους, εγκατάσταση υπό την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, η οποία ασκεί δραστηριότητες στο πλαίσιο των οποίων πραγματοποιείται η επεξεργασία των […] δεδομένων προσωπικού χαρακτήρα» (66). Επρόκειτο, επομένως, για την απάντηση στο ερώτημα αν, «σε περίπτωση που η ουγγρική αρχή ελέγχου καταλήξει στο συμπέρασμα ότι το εφαρμοστέο στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα δίκαιο είναι όχι το ουγγρικό, αλλά το δίκαιο άλλου κράτους μέλους, το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46 πρέπει να ερμηνευθεί υπό την έννοια ότι η εν λόγω αρχή μπορεί να ασκήσει μόνο τις εξουσίες που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας αυτής, σύμφωνα με το δίκαιο του άλλου αυτού κράτους μέλους και δεν μπορεί να επιβάλει κυρώσεις» (67).
117. Επομένως, στο δεύτερο αυτό μέρος της απαντήσεώς του, το Δικαστήριο διευκρίνισε την έκταση, τόσο ουσιαστική όσο και εδαφική, των εξουσιών που μπορεί να ασκήσει αρχή ελέγχου σε συγκεκριμένη κατάσταση, ήτοι σε αυτήν στην οποία δεν εφαρμόζεται το δίκαιο του κράτους μέλους στο οποίο υπάγεται η εν λόγω αρχή ελέγχου.
118. Το Δικαστήριο έκρινε ότι, σε μια τέτοια περίπτωση, «οι εξουσίες της εν λόγω αρχής δεν περιλαμβάνουν κατ’ ανάγκη το σύνολο εκείνων που της έχουν παρασχεθεί σύμφωνα με το δίκαιο του κράτους μέλους στο οποίο αυτή υπάγεται» (68). Συγκεκριμένα, «η εν λόγω αρχή μπορεί να ασκεί τις εξουσίες της ελέγχου ανεξαρτήτως του εφαρμοστέου δικαίου και ακόμα και πριν τεθεί το ζήτημα ποιο είναι το εθνικό δίκαιο που έχει εφαρμογή στην οικεία επεξεργασία. Εντούτοις, αν καταλήξει στο συμπέρασμα ότι εφαρμοστέο είναι το δίκαιο άλλου κράτους μέλους, δεν μπορεί να επιβάλει κυρώσεις εκτός του εδάφους του κράτους μέλους στο οποίο αυτή υπάγεται. Σε μια τέτοια κατάσταση, στην ίδια εναπόκειται να ζητήσει, στο πλαίσιο της υποχρεώσεως συνεργασίας την οποία προβλέπει το άρθρο 28, παράγραφος 6, της οδηγίας αυτής, από την αρχή ελέγχου τού ως άνω άλλου κράτους μέλους να διαπιστώσει εκείνη ενδεχόμενη παραβίαση του δικαίου αυτού και να επιβάλει κυρώσεις αν το εν λόγω δίκαιο παρέχει τη σχετική δυνατότητα, στηριζόμενη, ενδεχομένως, σε πληροφορίες διαβιβαζόμενες από την ίδια» (69).
119. Από την απόφαση της 1ης Οκτωβρίου 2015, Weltimmo (70), αντλούνται τα ακόλουθα διδάγματα όσον αφορά την υπό κρίση υπόθεση.
120. Εν αντιθέσει προς την παραδοχή στην οποία το Δικαστήριο θεμελίωσε τη συλλογιστική του για τις εξουσίες των αρχών ελέγχου στο δεύτερο μέρος της αποφάσεως της 1ης Οκτωβρίου 2015, Weltimmo (71), η υπό κρίση υπόθεση αφορά κατάσταση παρόμοια με εκείνη που αντιστοιχεί στο πρώτο μέρος της εν λόγω αποφάσεως, στην οποία, όπως προεκτέθηκε, το εθνικό εφαρμοστέο δίκαιο είναι εκείνο του κράτους μέλους στο οποίο υπάγεται η αρχή ελέγχου που ασκεί τις εξουσίες παρεμβάσεως τις οποίες διαθέτει, τούτο δε λόγω της παρουσίας στο έδαφος του συγκεκριμένου κράτους μέλους εγκαταστάσεως του υπευθύνου της επεξεργασίας, η δραστηριότητα της οποίας συνδέεται άρρηκτα με την εν λόγω επεξεργασία. Η ύπαρξη της συγκεκριμένης εγκαταστάσεως στη Γερμανία συνιστά το αναγκαίο συνδετικό σημείο για την εφαρμογή του γερμανικού δικαίου στην επίμαχη επεξεργασία των δεδομένων προσωπικού χαρακτήρα.
121. Εφόσον πληρούται η προϋπόθεση αυτή, η γερμανική αρχή ελέγχου πρέπει να αναγνωριστεί ως αρμόδια για τη διασφάλιση, στο γερμανικό έδαφος, των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα ασκώντας το σύνολο των εξουσιών που διαθέτει δυνάμει των γερμανικών διατάξεων μεταφοράς του άρθρου 28, παράγραφος 3, της οδηγίας 95/46 στην εθνική έννομη τάξη. Οι εξουσίες αυτές μπορούν να περιλαμβάνουν διαταγή προσωρινής ή οριστικής απαγορεύσεως επεξεργασίας.
122. Όσον αφορά τον προσδιορισμό της επιχειρήσεως στην οποία πρέπει να απευθύνεται ένα τέτοιο μέτρο, διαφαίνονται δύο ενδεχόμενες λύσεις.
123. Κατά την πρώτη λύση, η οποία βασίζεται σε αυστηρή ερμηνεία του εδαφικού πεδίου εφαρμογής των εξουσιών παρεμβάσεως που διαθέτουν οι αρχές ελέγχου, αυτές μπορούν να ασκούν τις εν λόγω εξουσίες μόνον έναντι της εγκαταστάσεως του υπευθύνου της επεξεργασίας που ευρίσκεται στο έδαφος του κράτους μέλους στο οποίο υπάγονται. Εάν, όπως συμβαίνει στο πλαίσιο της υπό κρίση υποθέσεως, η εγκατάσταση αυτή δεν είναι ο υπεύθυνος της επεξεργασίας και, επομένως, δεν μπορεί να ανταποκριθεί η ίδια σε αίτημα της αρχής ελέγχου να πάψει η επεξεργασία δεδομένων, θα πρέπει να διαβιβάσει το εν λόγω αίτημα στον υπεύθυνο της επεξεργασίας προκειμένου να συμμορφωθεί εκείνος προς αυτό.
124. Αντιθέτως, κατά τη δεύτερη λύση, δεδομένου ότι μόνον ο υπεύθυνος της επεξεργασίας ασκεί καθοριστική επιρροή στην επίμαχη επεξεργασία δεδομένων, μέτρο το οποίο συνίσταται σε διαταγή παύσεως μιας τέτοιας επεξεργασίας θα πρέπει να απευθύνεται απευθείας σε αυτόν.
125. Κατά την άποψή μου, η δεύτερη λύση θα πρέπει να υπερισχύσει, διότι συνάδει με τον θεμελιώδη ρόλο του υπευθύνου της επεξεργασίας στο πλαίσιο του συστήματος που καθιερώνει η οδηγία 95/46 (72). Μια τέτοια λύση, με την οποία αποφεύγεται το υποχρεωτικό πέρασμα από τον ενδιάμεσο, ήτοι την εγκατάσταση που ασκεί δραστηριότητες στο πλαίσιο των οποίων πραγματοποιείται επεξεργασία, μπορεί να διασφαλίσει την άμεση και αποτελεσματική εφαρμογή των εθνικών κανόνων περί προστασίας δεδομένων προσωπικού χαρακτήρα. Εξάλλου, η αρχή ελέγχου η οποία λαμβάνει απευθείας έναντι του υπευθύνου της επεξεργασίας, μη εγκατεστημένου στο έδαφος του κράτους μέλους στο οποίο αυτή υπάγεται, όπως η Facebook Inc. ή η Facebook Ireland, μέτρο με το οποίο διατάσσεται η παύση επεξεργασίας δεδομένων ενεργεί εντός των ορίων της αρμοδιότητάς της, η οποία συνίσταται στη διασφάλιση επεξεργασίας σύμφωνης προς το δίκαιο του συγκεκριμένου κράτους στο έδαφος αυτού. Συναφώς, δεν ασκεί επιρροή το γεγονός ότι ο υπεύθυνος ή οι υπεύθυνοι της επεξεργασίας είναι εγκατεστημένοι σε άλλο κράτος μέλος ή σε τρίτο κράτος.
126. Διευκρινίζεται επίσης, σε σχέση με την απάντηση που προτείνω να δώσει το Δικαστήριο στο πρώτο και στο δεύτερο προδικαστικό ερώτημα, ότι, λαμβανομένου υπόψη του σκοπού διασφαλίσεως όσο το δυνατόν πληρέστερης προστασίας των δικαιωμάτων των ατόμων που επισκέπτονται τις fanpages, η δυνατότητα της ULD να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει έναντι της Facebook Inc. και της Facebook Ireland ουδόλως αποκλείει τη λήψη μέτρων κατά της Wirtschaftsakademie και, επομένως, δεν επηρεάζει αφ’ εαυτής τη νομιμότητα των εν λόγω μέτρων (73).
127. Από τα προεκτεθέντα συνάγεται ότι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 έχει την έννοια ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η επίμαχη στην υπόθεση της κύριας δίκης, πραγματοποιείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως του υπευθύνου της εν λόγω επεξεργασίας στο έδαφος κράτους μέλους, κατά την έννοια της εν λόγω διατάξεως, όταν επιχείρηση η οποία είναι υπεύθυνη κοινωνικού δικτύου ιδρύει στο συγκεκριμένο κράτος μέλος θυγατρική με σκοπό την προώθηση και την πώληση διαφημιστικού χώρου που προτείνει η επιχείρηση αυτή, της οποίας η δραστηριότητα κατευθύνεται προς τους κατοίκους του εν λόγω κράτους μέλους.
128. Εξάλλου, σε κατάσταση όπως η επίμαχη στην υπόθεση της κύριας δίκης, στην οποία το εθνικό εφαρμοστέο στην επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα δίκαιο είναι αυτό του κράτους μέλους στο οποίο υπάγεται μια αρχή ελέγχου, το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46 έχει την έννοια ότι η συγκεκριμένη αρχή ελέγχου μπορεί να ασκεί το σύνολο των αποτελεσματικών εξουσιών παρεμβάσεως που διαθέτει, βάσει του άρθρου 28, παράγραφος 3, της εν λόγω οδηγίας, έναντι του υπευθύνου της επεξεργασίας, ακόμη και όταν ο εν λόγω υπεύθυνος είναι εγκατεστημένος σε άλλο κράτος μέλος ή σε τρίτο κράτος.
3. Επί του πέμπτου και του έκτου προδικαστικού ερωτήματος
129. Με το πέμπτο και το έκτο προδικαστικό ερώτημα, τα οποία εκτιμώ ότι πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν από το Δικαστήριο να διευκρινίσει αν το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46 έχει την έννοια ότι, σε περιστάσεις όπως οι επίμαχες στην υπόθεση της κύριας δίκης, η αρχή ελέγχου που υπάγεται στο κράτος μέλος στο οποίο ευρίσκεται η εγκατάσταση του υπευθύνου της επεξεργασίας (Facebook Germany) δικαιούται να ασκεί αυτοτελώς τις εξουσίες παρεμβάσεως που διαθέτει και χωρίς να υποχρεούται να ζητήσει πρώτα από την αρχή ελέγχου του κράτους μέλους στο οποίο ευρίσκεται ο υπεύθυνος της επεξεργασίας (Facebook Ireland) να ασκήσει τις δικές της εξουσίες.
130. Στην απόφαση περί παραπομπής, το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο) εκθέτει τον σύνδεσμο μεταξύ των δύο ως άνω προδικαστικών ερωτημάτων και του ελέγχου της νομιμότητας της διαταγής στον οποίο θα πρέπει να προβεί στο πλαίσιο της υποθέσεως της κύριας δίκης. Συγκεκριμένα, το αιτούν δικαστήριο επισημαίνει κατ’ ουσίαν ότι η έκδοση διαταγής κατά της Wirtschaftsakademie μπορεί να θεωρηθεί ως αποτέλεσμα πλάνης εκτιμήσεως εκ μέρους της ULD, εάν το άρθρο 28, παράγραφος 6, της οδηγίας 95/46 έχει την έννοια ότι προβλέπει, σε περιστάσεις όπως οι επίμαχες στην υπόθεση της κύριας δίκης, την υποχρέωση αρχής ελέγχου, όπως η ULD, να ζητήσει από την αρχή ελέγχου άλλου κράτους μέλους, εν προκειμένω από την αρχή ελέγχου της προστασίας των δεδομένων [Data Protection Commissioner], να ασκήσει τις εξουσίες της σε περίπτωση διαφορετικών εκτιμήσεων των δύο αυτών αρχών όσον αφορά τη συμμόρφωση της επεξεργασίας των δεδομένων από τη Facebook Ireland προς τους κανόνες που απορρέουν από την οδηγία 95/46.
131. Όπως έκρινε το Δικαστήριο στην απόφαση της 1ης Οκτωβρίου 2015, Weltimmo (74), στην περίπτωση που το εφαρμοστέο στην επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα δίκαιο δεν είναι αυτό του κράτους μέλους στο οποίο υπάγεται η αρχή ελέγχου που επιθυμεί να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει, αλλά εκείνο άλλου κράτους μέλους, το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46 έχει την έννοια ότι η εν λόγω αρχή δεν μπορεί να επιβάλει κυρώσεις βάσει του δικαίου του κράτους μέλους στο οποίο αυτή υπάγεται στον υπεύθυνο της επεξεργασίας που δεν είναι εγκατεστημένος στο έδαφος του εν λόγω κράτους μέλους, αλλά θα πρέπει, κατ’ εφαρμογή του άρθρου 28, παράγραφος 6, της ως άνω οδηγίας να ζητήσει την παρέμβαση της αρχής ελέγχου που υπάγεται στο κράτος μέλος του οποίου το δίκαιο είναι εφαρμοστέο (75).
132. Σε μια τέτοια κατάσταση, η αρχή ελέγχου του πρώτου κράτους μέλους χάνει την αρμοδιότητα να ασκήσει την εξουσία επιβολής κυρώσεων που διαθέτει έναντι υπευθύνου επεξεργασίας ο οποίος είναι εγκατεστημένος σε άλλο κράτος μέλος. Επομένως, σεβόμενη την υποχρέωση συνεργασίας που προβλέπεται στο άρθρο 28, παράγραφος 6, της οδηγίας 95/46, πρέπει να ζητήσει από την αρχή ελέγχου του ως άνω άλλου κράτους μέλους να διαπιστώσει εκείνη ενδεχόμενη παραβίαση του δικαίου αυτού και να επιβάλει κυρώσεις εάν το εν λόγω δίκαιο παρέχει τη σχετική δυνατότητα, στηριζόμενη, ενδεχομένως, σε πληροφορίες διαβιβαζόμενες από την αρχή του πρώτου κράτους μέλους (76).
133. Όπως προεκτέθηκε, η επίμαχη στην υπό κρίση υπόθεση κατάσταση είναι τελείως διαφορετική, δεδομένου ότι το εφαρμοστέο δίκαιο είναι όντως εκείνο του κράτους μέλους στο οποίο υπάγεται η αρχή ελέγχου που επιθυμεί να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει. Στην κατάσταση αυτή, το άρθρο 28, παράγραφος 6, της οδηγίας 95/46 έχει την έννοια ότι δεν επιβάλλει στην ως άνω αρχή ελέγχου να ζητήσει από την αρχή ελέγχου η οποία υπάγεται στο κράτος μέλος στο οποίο είναι εγκατεστημένος ο υπεύθυνος της επεξεργασίας να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει έναντι αυτού.
134. Προσθέτω ότι, κατά τα προβλεπόμενα στο άρθρο 28, παράγραφος 1, δεύτερη περίοδος, της οδηγίας 95/46, η αρχή ελέγχου που είναι αρμόδια να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει έναντι υπευθύνου της επεξεργασίας εγκατεστημένου σε κράτος μέλος διαφορετικό από εκείνο στο οποίο αυτή υπάγεται ασκεί αυτοτελώς τα καθήκοντα που της έχουν ανατεθεί.
135. Όπως προκύπτει από τα προεκτεθέντα, η οδηγία 95/46 δεν προβλέπει ούτε την αρχή της χώρας καταγωγής ούτε μηχανισμό μίας στάσεως, όπως ο προβλεπόμενος στον κανονισμό 2016/679. Ως εκ τούτου, υπεύθυνος της επεξεργασίας ο οποίος διαθέτει εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη υπόκειται πλήρως στον έλεγχο περισσότερων της μιας αρχών ελέγχου όταν εφαρμόζονται τα δίκαια των κρατών μελών στα οποία υπάγονται οι εν λόγω αρχές. Καίτοι η διαβούλευση και η συνεργασία μεταξύ των εν λόγω αρχών είναι αναμφίβολα ευκταίες, η αρχή ελέγχου της οποίας η αρμοδιότητα αναγνωρίζεται ουδόλως υποχρεούται να εναρμονίσει την άποψή της προς εκείνη άλλης αρχής ελέγχου.
136. Από τα προεκτεθέντα συνάγεται ότι το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46 έχει την έννοια ότι, σε περιστάσεις όπως οι επίμαχες στην υπόθεση της κύριας δίκης, η αρχή ελέγχου που υπάγεται στο κράτος μέλος στο οποίο ευρίσκεται η εγκατάσταση του υπευθύνου της επεξεργασίας μπορεί να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει έναντι του υπευθύνου αυτοτελώς και χωρίς να υποχρεούται να ζητήσει προηγουμένως από την αρχή ελέγχου του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εν λόγω υπεύθυνος να ασκήσει τις εξουσίες της.
III. Πρόταση
137. Λαμβανομένων υπόψη των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα που υπέβαλε το Bundesverwaltungsgericht (Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο, Γερμανία) ως εξής:
1) Το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, όπως τροποποιήθηκε με τον κανονισμό (ΕΚ) 1882/2003 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Σεπτεμβρίου 2003, έχει την έννοια ότι ο διαχειριστής fanpage κοινωνικού δικτύου, όπως το Facebook, είναι υπεύθυνος της επεξεργασίας, κατά την έννοια της εν λόγω διατάξεως, όσον αφορά το στάδιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη συλλογή από το κοινωνικό δίκτυο των δεδομένων που αφορούν τα πρόσωπα που επισκέπτονται την εν λόγω σελίδα με σκοπό την κατάρτιση στατιστικών επισκεψιμότητας της συγκεκριμένης σελίδας.
2) Το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, όπως τροποποιήθηκε με τον κανονισμό 1882/2003, έχει την έννοια ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η επίμαχη στην υπόθεση της κύριας δίκης, πραγματοποιείται στο πλαίσιο των δραστηριοτήτων εγκαταστάσεως του υπευθύνου της εν λόγω επεξεργασίας στο έδαφος κράτους μέλους, κατά την έννοια της εν λόγω διατάξεως, όταν επιχείρηση η οποία εκμεταλλεύεται κοινωνικό δίκτυο ιδρύει στο εν λόγω κράτος μέλος θυγατρική με σκοπό τη διασφάλιση της προωθήσεως και της πωλήσεως διαφημιστικών χώρων που προτείνει η επιχείρηση αυτή, της οποίας η δραστηριότητα κατευθύνεται προς τους κατοίκους του εν λόγω κράτους μέλους.
3) Σε κατάσταση όπως η επίμαχη στην υπόθεση της κύριας δίκης, στην οποία το εθνικό εφαρμοστέο στην επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα δίκαιο είναι αυτό του κράτους μέλους στο οποίο υπάγεται αρχή ελέγχου, το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46, όπως τροποποιήθηκε με τον κανονισμό 1882/2003, έχει την έννοια ότι η συγκεκριμένη αρχή ελέγχου μπορεί να ασκεί το σύνολο των αποτελεσματικών εξουσιών παρεμβάσεως που διαθέτει, βάσει του άρθρου 28, παράγραφος 3, της εν λόγω οδηγίας, έναντι του υπευθύνου της επεξεργασίας, ακόμη και όταν ο εν λόγω υπεύθυνος είναι εγκατεστημένος σε άλλο κράτος μέλος ή σε τρίτο κράτος.
4) Το άρθρο 28, παράγραφοι 1, 3 και 6, της οδηγίας 95/46, όπως τροποποιήθηκε με τον κανονισμό 1882/2003, έχει την έννοια ότι, σε περιστάσεις όπως οι επίμαχες στην υπόθεση της κύριας δίκης, η αρχή ελέγχου που υπάγεται στο κράτος μέλος στο οποίο ευρίσκεται η εγκατάσταση του υπευθύνου της επεξεργασίας δικαιούται να ασκεί τις εξουσίες παρεμβάσεως που διαθέτει έναντι του υπευθύνου αυτοτελώς και χωρίς να υποχρεούται να ζητήσει προηγουμένως από την αρχή ελέγχου του κράτους μέλους στο οποίο ευρίσκεται ο εν λόγω υπεύθυνος να ασκήσει τις εξουσίες της.