ROZSUDOK SÚDNEHO DVORA (veľká komora)
z 5. júna 2018 (*)(i)
„Návrh na začatie prejudiciálneho konania – Smernica 95/46/ES – Osobné údaje – Ochrana fyzických osôb pri spracovaní týchto údajov – Príkaz na deaktivovanie stránky Facebook (fanúšikovská stránka), ktorá umožňuje zbieranie a spracovanie určitých údajov týkajúcich sa návštevníkov tejto stránky – Článok 2 písm. d) – Prevádzkovateľ spracovania osobných údajov – Článok 4 – Uplatniteľné vnútroštátne právo – Článok 28 – Vnútroštátne dozorné orgány – Intervenčné právomoci týchto orgánov“
Vo veci C‑210/16,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Bundesverwaltungsgericht (Spolkový správny súd, Nemecko) z 25. februára 2016 a doručený Súdnemu dvoru 14. apríla 2016, ktorý súvisí s konaním:
Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein
proti
Wirtschaftsakademie Schleswig‑Holstein GmbH,
za účasti:
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,
SÚDNY DVOR (veľká komora),
v zložení: predseda K. Lenaerts, podpredseda A. Tizzano (spravodajca), predsedovia komôr M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský a E. Levits, sudcovia E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras a E. Regan,
generálny advokát: Y. Bot,
tajomník: C. Strömholm, referentka,
so zreteľom na písomnú časť konania a po pojednávaní z 27. júna 2017,
so zreteľom na pripomienky, ktoré predložili:
– Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, v zastúpení: U. Karpenstein a M. Kottmann, Rechtsanwälte,
– Wirtschaftsakademie Schleswig‑Holstein GmbH, v zastúpení: C. Wolff, Rechtsanwalt,
– Facebook Ireland Ltd, v zastúpení: C. Eggers, H.‑G. Kamann, M. Braun, Rechtsanwälte, a I. Perego, avvocato,
– nemecká vláda, v zastúpení: J. Möller, splnomocnený zástupca,
– belgická vláda, v zastúpení: L. Van den Broeck, C. Pochet, P. Cottin a J. C. Halleux, splnomocnení zástupcovia,
– česká vláda, v zastúpení: M. Smolek, J. Vláčil a L. Březinová, splnomocnení zástupcovia,
– Írsko, v zastúpení: M. Browne, L. Williams, E. Creedon, G. Gilmore a A. Joyce, splnomocnení zástupcovia,
– talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci P. Gentili, avvocato dello Stato,
– holandská vláda, v zastúpení: C. S. Schillemans a K. Bulterman, splnomocnené zástupkyne,
– fínska vláda, v zastúpení: J. Heliskoski, splnomocnený zástupca,
– Európska komisia, v zastúpení: H. Krämer a D. Nardi, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 24. októbra 2017,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).
2 Tento návrh bol podaný v rámci sporu medzi Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (nezávislý orgán spolkovej krajiny Šlezvicko‑Holštajnsko pre ochranu údajov, Nemecko) (ďalej len „ULD“) a Wirtschaftsakademie Schleswig‑Holstein GmbH, súkromná spoločnosť, ktorá sa špecializuje na oblasť vzdelávania (ďalej len „Wirtschaftsakademie“) vo veci zákonnosti príkazu, ktorým ULD nariadil, aby Wirtschaftsakademie deaktivovala svoju fanúšikovskú stránku umiestnenú na sociálnej sieti Facebook (ďalej len „Facebook“).
Právny rámec
Právo Únie
3 V odôvodneniach 10, 18, 19 a 26 smernice 95/46 sa uvádza:
„(10) keďže cieľom vnútroštátnych právnych predpisov o spracovaní osobných údajov je chrániť základné práva a slobody, najmä právo na súkromie, čo sa rešpektuje tak v článku 8 Európskeho dohovoru na ochranu ľudských práv a základných slobôd, ako aj vo všeobecných zásadách práva [Únie]; keďže z toho dôvodu aproximácia týchto právnych predpisov nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v [Únii];
…
(18) keďže, aby sa zabezpečilo, že jednotlivci nebudú zbavení ochrany, na ktorú majú nárok podľa tejto smernice, bude sa musieť každé spracovanie osobných údajov v [Únii] vykonávať v súlade s právom jedného z členských štátov; keďže v tejto súvislosti sa spracovanie vykonávané v zodpovednosti kontrolóra, ktorý je ustanovený [prevádzkovateľa, ktorý je usadený – neoficiálny preklad] v členskom štáte, bude riadiť právom tohto štátu;
(19) keďže založenie takejto inštitúcie [usadenie sa – neoficiálny preklad] na území členského štátu predpokladá účinné a skutočné vykonávanie činnosti prostredníctvom stabilných dohôd [stálej prevádzkarne – neoficiálny preklad]; keďže právna forma takejto inštitúcie [prevádzkarne – neoficiálny preklad], či je to pobočka, alebo dcérska spoločnosť s právnou subjektivitou, nie je určujúcim činiteľom z tohto hľadiska; keďže, ak je jeden kontrolór, resp. inštitúcia, ktorá spracovanie riadi, zavedený [ak je jeden prevádzkovateľ usadený – neoficiálny preklad] na území niekoľkých členských štátov, najmä prostredníctvom dcérskych spoločností, potom tento kontrolór [prevádzkovateľ – neoficiálny preklad] musí zabezpečiť, aby nedošlo k obchádzaniu vnútroštátneho práva, aby každý z podnikov spĺňal [si každá z prevádzkarní plnila – neoficiálny preklad] povinnosti uložené vnútroštátnym právom, ktoré je uplatniteľné na jeho [jej – neoficiálny preklad] činnosti;
…
(26) keďže zásady ochrany sa musia vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej osoby; keďže k určeniu, či je osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že ich využije kontrolór [prevádzkovateľ – neoficiálny preklad], alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby; keďže zásady ochrany sa nebudú vzťahovať na údaje poskytnuté anonymne, a to tak, že predmet údajov sa už nebude dať identifikovať;…“
4 Článok 1 smernice 95/46 s názvom „Predmet smernice“ stanovuje:
„1. V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.
2. Členské štáty neobmedzujú, ani nebránia voľnému toku osobných údajov medzi členskými štátmi z dôvodov spojených s ochranou poskytnutou podľa odseku 1.“
5 Článok 2 tejto smernice s názvom „Definície“ znie:
„Na účely tejto smernice:
…
b) ‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom, šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie;
…
d) ‚kontrolór‘ [prevádzkovateľ – neoficiálny preklad] znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán [subjekt – neoficiálny preklad], ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami [zákonmi a inými právnymi predpismi – neoficiálny preklad], alebo zákonmi a nariadeniami [legislatívnymi aktmi a inými právnymi predpismi – neoficiálny preklad] [Únie], ten, kto spracovanie riadi, alebo konkrétne kritéria pre jeho menovanie, [osobitné kritériá na jeho určenie – neoficiálny preklad] môžu byť navrhnuté na základe vnútroštátneho práva alebo práva [Únie];
e) ‚spracovateľ‘ znamená fyzickú alebo právnickú osobu, štátny orgán, agentúru, alebo akýkoľvek iný orgán, ktorý spracúva osobné údaje v mene kontrolóra [prevádzkovateľa – neoficiálny preklad];
f) ‚tretia strana‘ znamená akúkoľvek fyzickú alebo právnickú osobu, štátny orgán, agentúru alebo akýkoľvek iný orgán, ako údajový subjekt [dotknutú osobu – neoficiálny preklad], ten, kto spracovanie riadi, spracovateľ a osoby, ktoré sú na základe priameho poverenia kontrolóra [prevádzkovateľa – neoficiálny preklad] alebo spracovateľom poverené spracovať údaje;
…“
6 Článok 4 uvedenej smernice, nazvaný „Uplatniteľnosť vnútroštátneho práva“ [„Uplatniteľné vnútroštátne právo“ – neoficiálny preklad], vo svojom odseku 1 stanovuje:
„Každý členský štát uplatňuje vnútroštátne ustanovenia, ktoré prijme na základe tejto smernice, na spracovanie osobných údajov tam, kde:
a) sa spracovanie vykonáva v kontexte činností ustanovenia [prevádzkarne – neoficiálny preklad] kontrolóra [prevádzkovateľa – neoficiálny preklad] na území členského štátu; keď je tá istá inštitúcia, ktorá riadi spracovanie, ustanovená [keď je ten istý prevádzkovateľ usadený – neoficiálny preklad] na území niekoľkých členských štátov, musí prijať nevyhnutné opatrenia, aby zaistila, že každé z týchto ustanovení je v súlade so záväzkami [aby zaistil, že každá z týchto prevádzkarní si plní povinnosti – neoficiálny preklad], ktoré predpisuje uplatniteľnosť vnútroštátneho práva [uplatniteľné vnútroštátne právo – neoficiálny preklad];
b) ten, kto spracovanie riadi, nie je ustanovený [prevádzkovateľ nie je usadený – neoficiálny preklad] na území členského štátu, ale na mieste, kde sa [kde sa jeho – neoficiálny preklad] vnútroštátne právo uplatňuje na základe medzinárodného verejného práva;
c) kontrolór nie je ustanovený [prevádzkovateľ nie je usadený –neoficiálny preklad] na území [Únie] a na účely spracovania osobných údajov používa zariadenie, automatizované, alebo iné, umiestnené na území členského štátu, pokiaľ sa takéto zariadenie používa iba pre účely tranzitu cez územie [Únie].“
7 Článok 17 smernice 95/46, nazvaný „Bezpečnosť spracovania“, vo svojich odsekoch 1 a 2 stanovuje:
„1. Členské štáty zabezpečia zavedenie príslušných technických a organizačných opatrení na ochranu osobných údajov pred náhodným alebo nezákonným poškodením alebo [na zabránenie – neoficiálny preklad] náhodnej strate, zmene, neoprávnenému prezradeniu alebo sprístupneniu, najmä, kde spracovanie obsahuje prenos údajov cez sieť a proti všetkým iným nezákonným formám spracovania.
So zreteľom na stav techniky a cenu jej zavedenia takéto opatrenia zabezpečia úroveň bezpečnosti primeranú pre riziká, ktoré predstavuje spracovanie a charakter údajov, ktoré sa majú chrániť.
2. Členské štáty zabezpečia, aby kontrolór [prevádzkovateľ – neoficiálny preklad] musel tam, kde sa spracovávanie vykonáva v jeho mene, vybrať spracovateľa, ktorý poskytne dostatočné záruky vzhľadom na technické bezpečnostné opatrenia a organizačné opatrenia riadiace spracovanie, ktoré sa má vykonať a aby musel zabezpečiť zhodu s týmito opatreniami.“
8 Článok 24 tejto smernice s názvom „Sankcie“ stanovuje:
„Členské štáty prijmú vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice a najmä ustanovia sankcie, ktoré sa uvalia v prípade porušenia ustanovení prijatých v súlade s touto smernicou.“
9 Článok 28 uvedenej smernice, nazvaný „Dozorný orgán“, znie:
„1. Každý členský štát zabezpečí, aby jeden alebo viac štátnych orgánov bolo zodpovedných za monitorovanie uplatňovania ustanovení v rámci jeho územia, prijatých členskými štátmi v súlade s touto smernicou.
Tieto orgány konajú s úplnou nezávislosťou vo vykonávaní im zverených funkcií.
2. Každý členský štát zabezpečí, že s dozornými orgánmi sa budú konzultovať návrhy administratívnych opatrení alebo predpisov týkajúcich sa osobných práv a slobôd [o právach a slobodách osôb – neoficiálny preklad] týkajúcich sa spracovania osobných údajov.
3. Každý [dozorný orgán – neoficiálny preklad] je zabezpečený najmä:
– vyšetrovacími právomocami, ako sú práva prístupu k údajom, tvoriacich záležitosť subjektu operácií spracovania [ktoré sú predmetom spracovania – neoficiálny preklad] a práva zbierať všetky nevyhnutné informácie pre plnenie jeho kontrolných povinností,
– efektívnymi právomocami intervencie, ako sú napríklad doručenie stanovísk pred vykonaním operácii spracovania, podľa článku 20 a zabezpečenie príslušného zverejnenia takýchto stanovísk, nariadenie zablokovania, vymazania alebo zničenia údajov, uvalenie dočasného alebo úplného zákazu na spracovanie, upozornenie alebo pripomenutie kontrolórovi [prevádzkovateľovi – neoficiálny preklad], alebo oznámenie záležitosti vnútroštátnemu parlamentu alebo iným politickým inštitúciám,
– právomocou zaoberať sa právnymi postupmi tam, kde sa porušili vnútroštátne ustanovenia prijaté v súlade s touto smernicou alebo dať tieto porušenia do pozornosti súdnych orgánov.
Proti rozhodnutiam dozorného orgánu, ktoré vznesú žalobcovia je možné odvolať sa prostredníctvom súdov [Proti rozhodnutiam dozorného orgánu, ktoré spôsobujú ujmu, je možné podať opravný prostriedok na súd – neoficiálny preklad].
…
6. Každý kontrolný [dozorný – neoficiálny preklad] orgán je kompetentný, bez ohľadu na príslušné vnútroštátne právo uplatniteľné na spracovanie, vykonávať na území svojho členského štátu právomoci jemu udelené v súlade s odsekom 3. Každý orgán môže byť požiadaný orgánom iného členského štátu, aby uplatnil svoje právomoci.
Dozorné orgány navzájom spolupracujú do miery, nevyhnutnej na plnenie svojich povinností, najmä výmenou všetkých užitočných informácií.
…“
Nemecké právo
10 Ustanovenie § 3 ods. 7 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) vo svojom znení uplatniteľnom na skutkové okolnosti vo veci samej (ďalej len „BDSG“) znie:
„Zodpovedným subjektom sa rozumie akákoľvek osoba alebo subjekt, ktorý pre seba zbiera, spracúva alebo používa osobné údaje alebo výkonom týchto činností poverí inú osobu.“
11 Ustanovenie § 11 BDSG s názvom „Zbieranie, spracovanie alebo používanie osobných údajov prostredníctvom inej osoby“ znie:
„1. Pokiaľ sú osobné údaje zbierané, spracované alebo používané prostredníctvom inej osoby, poverená zodpovedná osoba je zodpovedná za dodržanie ustanovení tohto zákona a iných predpisov o ochrane údajov. …
2. Spracovateľ musí byť starostlivo vybraný najmä z hľadiska primeranosti technických a organizačných opatrení, ktoré prijal. Spracovanie musí mať písomnú formu, pričom je potrebné najmä presne uviesť:…
Prevádzkovateľ, ktorý udeľuje poverenie na spracovanie údajov, musí pred začatím spravovania a následne pravidelne zabezpečiť dodržanie technických a organizačných opatrení prijatých spracovateľom. O výsledku treba vyhotoviť záznam.
…“
12 § 38 ods. 5 BDSG stanovuje:
„Na zabezpečenie dodržiavania tohto zákona a iných predpisov o ochrane údajov môže dozorný orgán vydať opatrenia na odstránenie zistených porušení pri zbere, spracovaní alebo využívaní osobných údajov alebo technických alebo organizačných nedostatkov. V prípade závažných porušení alebo nedostatkov, najmä tých, s ktorými je spojené osobitné ohrozenie práva na súkromie, môže zakázať zber, spracovanie alebo využívanie alebo používanie určitých postupov, ak v rozpore s príkazom uvedeným v prvej vete aj napriek uloženiu pokuty nedôjde včas k odstráneniu porušení alebo nedostatkov. Dozorný orgán môže požadovať odvolanie splnomocnenca pre ochranu údajov, ak tento splnomocnenec nemá odborné znalosti a spoľahlivosť potrebné na plnenie svojich úloh.“
13 § 12 Telemediengesetz (zákon o elektronických médiách) z 26. februára 2007 (BGBl. 2007, I, s. 179, ďalej len „TMG“) stanovuje:
„1. Poskytovateľ služieb je oprávnený zbierať a používať osobné údaje na účely sprístupnenia elektronických médií, len ak to povoľuje tento zákon alebo iný právny predpis vzťahujúci sa výslovne na elektronické médiá alebo ak na to dal užívateľ súhlas.
…
3. Pokiaľ nie je stanovené inak, uplatňujú sa príslušné predpisy o ochrane osobných údajov aj v prípade, že údaje sa nespracovávajú automaticky.“
Spor vo veci samej a prejudiciálne otázky
14 Wirtschaftsakademie ponúka vzdelávacie služby prostredníctvom fanúšikovskej stránky umiestnenej na Facebooku.
15 Fanúšikovské stránky sú užívateľské účty, ktoré si môžu na sociálnej sieti Facebook vytvoriť najmä jednotlivci alebo podniky. Na tento účel môže autor fanúšikovskej stránky po svojom zaregistrovaní sa na Facebooku používať platformu prevádzkovanú spoločnosťou Facebook na to, aby sa prezentoval užívateľom tejto sociálnej siete, ako aj osobám, ktoré túto stránku navštevujú, a šíril na mediálnom trhu akéhokoľvek informácie a názory. Správcovia fanúšikovských stránok môžu získavať anonymné štatistické údaje o návštevníkoch týchto stránok prostredníctvom funkcie s názvom Facebook Insight, ktorú im bezodplatne poskytuje spoločnosť Facebook za nezmeniteľných podmienok užívania. Tieto údaje sa zbierajú prostredníctvom skrytých súborov (ďalej len „súbory cookies“), pričom každý z týchto súborov obsahuje jedinečný kód užívateľa, ktorý je aktívny počas obdobia dvoch rokov, a spoločnosť Facebook ho ukladá na pevnom disku počítača alebo na inom zariadení návštevníkov fanúšikovskej stránky. Kód užívateľa, ktorý možno priradiť k údajom o pripojení užívateľov zaregistrovaných na Facebooku, sa zbiera a spracúva pri otvorení fanúšikovských stránok. V tejto súvislosti z rozhodnutia vnútroštátneho súdu vyplýva, že Wirtschaftsakademie ani spoločnosť Facebook Ireland Ltd neinformovali, prinajmenšom v období relevantnom pre konanie vo veci samej, o ukladaní a funkcii tohto súboru cookie ani o následnom spracovaní údajov.
16 Rozhodnutím z 3. novembra 2011 (ďalej len „napadnuté rozhodnutie“) ULD v postavení dozorného orgánu v zmysle článku 28 smernice 95/46, ktorý dozerá na uplatňovanie ustanovení, ktoré prijala Spolková republika Nemecko podľa tejto smernice na území spolkovej krajiny Šlezvicko‑Holštajnsko (Nemecko), nariadil spoločnosti Wirtschaftsakademie podľa § 38 ods. 5 prvej vety BDSG, aby deaktivovala fanúšikovskú stránku, ktorú vytvorila na Facebooku na adrese www.facebook.com/wirtschaftsakademie, pod hrozbou pokuty v prípade nesplnenia tejto povinnosti v stanovenej lehote, z dôvodu, že ani Wirtschaftsakademie, ani spoločnosť Facebook neinformovali návštevníkov fanúšikovskej stránky, že spoločnosť Facebook zbiera ich osobné údaje pomocou súborov cookies a že tieto údaje následne spracovávali. Wirtschaftsakademie podala proti tomuto rozhodnutiu sťažnosť, v ktorej v podstate uviedla, že z hľadiska uplatniteľnej právnej úpravy týkajúcej sa ochrany osobných údajov nebola zodpovedná ani za spracovanie údajov vykonávané spoločnosťou Facebook, ani za súbory cookies, ktoré táto sociálna sieť inštalovala.
17 ULD rozhodnutím zo 16. decembra 2011 zamietol túto sťažnosť, pričom konštatoval, že zodpovednosť spoločnosti Wirtschaftsakademie ako poskytovateľa služieb je preukázaná na základe § 3 ods. 3 bodu 4 a § 12 ods. 1 TMG v spojení s § 3 ods. 7 BDSG. ULD uviedol, že Wirtschaftsakademie vytvorením svojej fanúšikovskej stránky aktívne a dobrovoľne prispela k zberu osobných údajov týkajúcich sa návštevníkov tejto fanúšikovskej stránky zo strany spoločnosti Facebook, pričom tieto údaje mohla využívať prostredníctvom štatistík, ktoré jej poskytla spoločnosť Facebook.
18 Wirtschaftsakademie podala proti tomuto rozhodnutiu žalobu na Verwaltungsgericht (Správny súd, Nemecko), pričom tvrdila, že jej nemožno pripísať spracovanie osobných údajov, ktoré vykonáva spoločnosť Facebook, a že sociálnu sieť Facebook v zmysle § 11 BDSG ani nepoverila, aby uskutočňovala spracovanie osobných údajov, ktoré kontroluje alebo môže ovplyvniť. Wirtschaftsakademie z toho vyvodila, že ULD mal konať priamo proti spoločnosti Facebook a nemal voči nej prijať napadnuté rozhodnutie.
19 Verwaltungsgericht (Správny súd) rozsudkom z 9. októbra 2013 zrušil napadnuté rozhodnutie v podstate z dôvodu, že vzhľadom na to, že správca fanúšikovskej stránky na Facebooku nie je zodpovedným subjektom v zmysle § 3 ods. 7 BDSG, Wirtschaftsakademie nemohla byť adresátom opatrenia prijatého na základe § 38 ods. 5 BDSG.
20 Oberverwaltungsgericht (Vyšší správny súd, Nemecko) zamietol odvolanie ULD podané proti tomuto rozsudku ako nedôvodné. Tento súd v podstate konštatoval, že zákaz spracovávať osobné údaje uložený v napadnutom rozhodnutí je protiprávny, keďže § 38 ods. 5 druhá veta BDSG upravuje viacstupňový proces, ktorého prvá etapa umožňuje len prijať opatrenia, ktorých cieľom je napraviť zistené porušenia pri spracovaní údajov. Okamžitý zákaz spracovávať osobné údaje prichádza do úvahy len vtedy, keď je postup spracovania osobných údajov protiprávny ako celok a nápravu možno dosiahnuť len pomocou pozastavenia tohto postupu. Podľa Oberverwaltungsgericht (Vyšší správny súd) pritom v prejednávanej veci nejde o taký prípad, keďže spoločnosť Facebook mala možnosť ukončiť porušenia, ku ktorým podľa ULD došlo.
21 Oberverwaltungsgericht (Vyšší správny súd) dodal, že napadnuté rozhodnutie bolo protiprávne aj z dôvodu, že zákaz podľa § 38 ods. 5 BDSG možno uložiť len voči zodpovednému subjektu v zmysle § 3 ods. 7 BDSG, ktorým pokiaľ ide o údaje zbierané spoločnosťou Facebook, nie je Wirtschaftsakademie. O účele a prostriedkoch týkajúcich sa zberu a spracovania osobných údajov využívaných v rámci funkcie Facebook Insight rozhoduje len spoločnosť Facebook, pričom Wirtschaftsakademie ako taká dostáva len anonymizované štatistické údaje.
22 ULD podal na Bundesverwaltungsgericht (Spolkový správny súd, Nemecko) opravný prostriedok Revision, v ktorom okrem iného namietal porušenie § 38 ods. 5 BDSG, ako aj viaceré procesné pochybenia, ktorými bolo zaťažené rozhodnutie odvolacieho súdu. Domnieva sa, že porušenie, ktorého sa dopustila Wirtschaftsakademie, súvisí s tým, že poverila nevhodného poskytovateľa, ktorý nedodržiava právnu úpravu týkajúcu sa ochrany osobných údajov, v prejednávanej veci Facebook Ireland, realizáciou, hostingom a údržbou internetovej stránky. Príkaz uložený Wirtschaftsakademie napadnutým rozhodnutím na deaktivovanie svojej fanúšikovskej stránky má teda za cieľ napraviť toto porušenie, tým, že jej zakazuje ďalej využívať infraštruktúru Facebooku ako technický základ svojej internetovej stránky.
23 Rovnako ako Oberverwaltungsgericht (Vyšší správny súd) aj Bundesverwaltungsgericht (Spolkový správny súd) zastáva názor, že samotnú Wirtschaftsakademie nemožno považovať za subjekt zodpovedný za spracovanie údajov v zmysle § 3 ods. 7 BDSG alebo článku 2 písm. d) smernice 95/46. Tento posledný uvedený súd však konštatuje, že tento pojem sa má v záujme účinnej ochrany práva na súkromie v zásade vykladať extenzívne, ako Súdny dvor uviedol vo svojej nedávnej judikatúre v tejto oblasti. Ďalej vyjadruje pochybnosti, pokiaľ ide o právomoci, ktoré má v prejednávanej veci ULD týkajúce sa spoločnosti Facebook Germany, keďže subjektom zodpovedným za zber a spracovanie osobných údajov v rámci skupiny Facebook je na úrovni Únie spoločnosť Facebook Ireland. Napokon sa zaoberá aj dopadom posúdenia dozorného orgánu, pod ktorý patrí spoločnosť Facebook Ireland, ktoré sa týka aj zákonnosti spracovania predmetných osobných údajov, na výkon právomocí zasiahnuť zo strany ULD.
24 Za týchto podmienok Bundesverwaltungsgericht (Spolkový správny súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru nasledujúce prejudiciálne otázky:
„1. Má sa článok 2 písm. d) smernice [95/46] vykladať v tom zmysle, že komplexne a vyčerpávajúco upravuje zodpovednosť za porušenie ochrany osobných údajov, alebo v rámci ‚vhodných opatrení‘ podľa článku 24 [tejto smernice] a ‚efektívnych právomocí intervencie‘ podľa článku 28 ods. 3 druhej zarážky [tejto smernice] v prípade niekoľkostupňových vzťahov poskytovateľov informácií existuje pri výbere prevádzkovateľa v súvislosti s jeho informačnou ponukou priestor na zodpovednosť subjektu, ktorý nie je zodpovedný za spracovanie osobných údajov v zmysle článku 2 písm. d) [tejto smernice]?
2. Vyplýva a contrario z povinnosti členských štátov podľa článku 17 ods. 2 smernice [95/46], že tam, kde sa spracovanie vykonáva v mene prevádzkovateľa, musí prevádzkovateľ ‚vybrať spracovateľa, ktorý poskytne dostatočné záruky vzhľadom na technické bezpečnostné opatrenia a organizačné opatrenia‘, že pri inom využívaní, ktoré nie je spojené so spracovaním v mene prevádzkovateľa v zmysle článku 2 písm. e) [tejto smernice], neexistuje povinnosť starostlivého výberu a nemožno ju vyvodiť ani z vnútroštátneho práva?
3. Je v prípadoch, keď si materská spoločnosť so sídlom mimo Európskej únie zriadi v rôznych členských štátoch prevádzkarne, ktoré majú vlastnú právnu subjektivitu (dcérske spoločnosti), dozorný orgán členského štátu (v tomto prípade Nemecka) oprávnený podľa článku 4 a článku 28 ods. 6 smernice [95/46] vykonávať právomoci, ktoré sa naň preniesli podľa článku 28 ods. 3 [tejto smernice], voči prevádzkarni nachádzajúcej sa na jeho území aj vtedy, keď je táto prevádzkareň zodpovedná výlučne za podporu predaja reklamy a iné marketingové opatrenia zamerané na obyvateľov daného členského štátu, kým samostatná prevádzkareň (dcérska spoločnosť) nachádzajúca sa v inom členskom štáte (v tomto prípade v Írsku) je podľa rozdelenia úloh v rámci skupiny výlučne zodpovedná za zber a spracovanie osobných údajov na celom území Európskej únie, a teda aj v druhom členskom štáte (v tomto prípade v Nemecku), ak rozhodnutie o spracovaní osobných údajov v skutočnosti prijíma materská spoločnosť?
4. Majú sa článok 4 ods. 1 a článok 28 ods. 3 smernice [95/46] vykladať v tom zmysle, že v prípadoch, keď má prevádzkovateľ prevádzkareň na území jedného členského štátu (v tomto prípade v Írsku) a na území druhého členského štátu (v tomto prípade v Nemecku) existuje ďalšia prevádzkareň s vlastnou právnou subjektivitou, ktorá zabezpečuje okrem iného predaj reklamného priestoru, pričom jej činnosť sa zameriava na obyvateľov tohto štátu, môže príslušný dozorný orgán v uvedenom druhom členskom štáte (v tomto prípade v Nemecku) vydať opatrenia a príkazy na presadzovanie právnej úpravy v oblasti ochrany osobných údajov aj voči ďalšej prevádzkarni (v tomto prípade v Nemecku), ktorá podľa rozdelenia úloh a zodpovednosti v rámci skupiny nie je zodpovedná za spracovanie osobných údajov, alebo môže opatrenia a príkazy potom vydať len dozorný orgán toho členského štátu, na území ktorého má svoje sídlo subjekt zodpovedný v rámci skupiny (v tomto prípade Írska)?
5. Majú sa článok 4 ods. 1 písm. a) a článok 28 ods. 3 a 6 smernice [95/46] vykladať v tom zmysle, že v prípadoch, keď dozorný orgán jedného členského štátu (v tomto prípade Nemecka) vyvodzuje zodpovednosť voči osobe alebo subjektu pôsobiacim na jeho území podľa článku 28 ods. 3 [tejto smernice] z dôvodu nedbanlivosti pri výbere tretej osoby zapojenej do procesu spracovania osobných údajov (v tomto prípade spoločnosti Facebook), pretože táto tretia osoba porušuje právnu úpravu v oblasti ochrany osobných údajov, konajúci (v tomto prípade nemecký) dozorný orgán je viazaný posúdením z hľadiska právnej úpravy v oblasti ochrany osobných údajov, ktoré vykonal dozorný orgán druhého členského štátu, v ktorom má tretia osoba zodpovedná za spracovanie osobných údajov svoju prevádzkareň (v tomto prípade Írska), v tom zmysle, že nemôže vykonať nijaké právne posúdenie, ktoré sa od neho odlišuje, alebo môže konajúci (v tomto prípade nemecký) dozorný orgán samostatne preskúmať zákonnosť spracovania osobných údajov treťou osobou so sídlom v inom členskom štáte (v tomto prípade v Írsku) ako predbežnú otázku predtým, ako začne konať?
6. Ak má konajúci (v tomto prípade nemecký) dozorný orgán možnosť samostatného preskúmania, má sa článok 28 ods. 6 druhá veta smernice [95/46] vykladať v tom zmysle, že efektívne intervenčné právomoci, ktoré sa tomuto dozornému orgánu udelili podľa článku 28 ods. 3 [tejto] smernice, môže tento orgán vykonávať voči osobe usadenej alebo subjektu so sídlom na jeho území, pokiaľ ide o spoluzodpovednosť tretej osoby so sídlom v inom členskom štáte za porušenie ochrany osobných údajov, len vtedy, ak predtým požiadal dozorný orgán druhého členského štátu (v tomto prípade Írska) o výkon jeho právomocí?“
O prejudiciálnych otázkach
O prvej a druhej otázke
25 Svojou prvou a druhou otázkou, ktoré treba skúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa majú článok 2 písm. d), článok 17 ods. 2, článok 24 a článok 28 ods. 3 druhá zarážka smernice 95/46 vykladať v tom zmysle, že umožňujú založenie zodpovednosti subjektu, ktorý má postavenie správcu fanúšikovskej stránky umiestnenej na sociálnej sieti, v prípade porušenia pravidiel o ochrane osobných údajov z dôvodu voľby vykonanej týmto subjektom využiť túto sociálnu sieť na šírenie svojej informačnej ponuky.
26 S cieľom odpovedať na tieto otázky treba pripomenúť, že ako vyplýva z článku 1 ods. 1 a odôvodnenia 10 smernice 95/46, účelom tejto smernice je zabezpečiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov (rozsudok z 11. decembra 2014, Ryneš, C‑212/13, EU:C:2014:2428, bod 27 a citovaná judikatúra).
27 V súlade s týmto cieľom článok 2 písm. d) tejto smernice definuje pojem „prevádzkovateľ“ široko ako fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný subjekt, ktorý sám alebo v spojení s inými určí účely a prostriedky spracovania osobných údajov.
28 Ako už rozhodol Súdny dvor, cieľom tohto ustanovenia je zaručiť – prostredníctvom širokej definície pojmu „prevádzkovateľ“ – účinnú a úplnú ochranu dotknutých osôb (rozsudok z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 34).
29 Okrem toho vzhľadom na to, že, ako výslovne stanovuje článok 2 písm. d) smernice 95/46, pojem „prevádzkovateľ“znamená subjekt, ktorý „sám alebo v spojení s inými“ určí účely a prostriedky spracovania osobných údajov, tento pojem nevyhnutne neodkazuje na jediný subjekt a môže sa týkať viacerých subjektov, ktoré sa na tomto spracovaní zúčastňujú, a na každý z týchto subjektov sa teda vzťahujú ustanovenia uplatniteľné v oblasti ochrany osobných údajov.
30 V prejednávanej veci treba zastávať názor, že spoločnosť Facebook Inc., a pokiaľ ide o Úniu, spoločnosť Facebook Ireland, určujú predovšetkým účely a prostriedky spracovania osobných údajov užívateľov Facebooku, ako aj osôb, ktoré navštívili fanúšikovské stránky umiestnené na Facebooku, a vzťahuje sa na ne teda pojem „prevádzkovateľ“ v zmysle článku 2 písm. d) smernice 95/46, čo nie je v tejto veci spochybnené.
31 V dôsledku toho a na účely odpovede na položené otázky treba skúmať, či a v akom rozsahu sa správca fanúšikovskej stránky umiestnenej na Facebooku, ako je Wirtschaftsakademie, podieľa v rámci tejto fanúšikovskej stránky na určovaní účelov a prostriedkov spracovania osobných údajov návštevníkov uvedenej fanúšikovskej stránky spolu so spoločnosťami Facebook Ireland a Facebook Inc. a možno ho teda považovať za „prevádzkovateľa“ v zmysle článku 2 písm. d) smernice 95/46.
32 V tejto súvislosti sa zdá, že každá osoba, ktorá má v úmysle vytvoriť na Facebooku fanúšikovskú stránku, uzatvára so spoločnosťou Facebook Ireland osobitnú zmluvu týkajúcu sa zriadenia takejto stránky, podľa ktorej súhlasí s podmienkami používania tejto stránky, vrátane súvisiacej politiky v oblasti cookies, čo prináleží overiť vnútroštátnemu súdu.
33 Ako vyplýva zo spisu predloženého Súdnemu dvoru, spracovanie údajov, o ktoré ide vo veci samej, sa v zásade vykonáva prostredníctvom umiestňovania súborov cookies zo strany spoločnosti Facebook na počítači alebo akomkoľvek inom zariadení osôb, ktoré navštívili fanúšikovskú stránku, ktoré slúžia na ukladanie informácií o internetových prehliadačoch a ktoré ostávajú aktívne počas dvoch rokov, ak nie sú vymazané. Z uvedeného taktiež vyplýva, že spoločnosť Facebook v skutočnosti získava, zaznamenáva a spracováva informácie uložené v súboroch cookies najmä, keď osoba navštívi „služby Facebooku, služby ponúkané inými spoločnosťami Facebooku a služby ponúkané inými podnikmi, ktoré používajú služby Facebooku“. Okrem toho iné subjekty, ako sú partneri spoločnosti Facebook alebo dokonca tretie osoby, „môžu používať súbory cookies týkajúce sa služieb Facebooku na účely [ponúkania služieb priamo na tejto sociálnej sieti], ako aj ponúkania služieb podnikom prevádzkujúcim reklamu na Facebooku“.
34 Toto spracovanie osobných údajov má za cieľ najmä, aby sa spoločnosti Facebook jednak umožnilo zlepšiť svoj systém reklamy, ktorú šíri v rámci svojej siete a jednak, aby správca fanúšikovskej stránky získaval štatistické údaje, ktoré spoločnosť Facebook získava na základe návštev tejto stránky, na účely riadenia podpory svojej činnosti, čo mu napríklad umožňuje zistiť profil návštevníkov, ktorí kladne hodnotia jeho fanúšikovskú stránku, alebo ktorí využívajú jeho aplikácie, s cieľom ponúknuť im relevantnejší obsah a rozvinúť funkcie, o ktoré by títo návštevníci mohli mať väčší záujem.
35 Aj keď samotné používanie sociálnej siete, ako je Facebook, nezakladá spoluzodpovednosť užívateľa Facebooku za spracovanie osobných údajov touto sieťou, treba naopak uviesť, že správca fanúšikovskej stránky umiestnenej na Facebooku vytvorením takej stránky umožňuje spoločnosti Facebook, aby umiestňoval súbory cookies na počítači alebo akomkoľvek inom zariadení osoby, ktorá jeho fanúšikovskú stránku navštívila, bez ohľadu na to, či táto osoba má alebo nemá účet na Facebooku.
36 V tomto kontexte z informácií poskytnutých Súdnemu dvoru vyplýva, že vytvorenie fanúšikovskej stránky na Facebooku zo strany jej správcu znamená, že nastavil parametre okrem iného podľa svojej cieľovej skupiny, ako aj cieľov riadenia alebo podpory svojich činností, čo má vplyv na spracovanie osobných údajov na účely vypracovania štatistík získaných na základe návštev fanúšikovskej stránky. Tento správca môže pomocou filtrov, ktoré mu poskytuje spoločnosť Facebook, vymedziť kritériá, na základe ktorých majú byť tieto štatistiky vypracované a tiež vymedziť kategórie osôb, ktorých osobné údaje budú využívané spoločnosťou Facebook. Správca fanúšikovskej stránky umiestnenej na Facebooku preto prispieva k spracovaniu osobných údajov návštevníkov svojej stránky.
37 Správca fanúšikovskej stránky môže najmä požiadať o získanie – a teda o spracovanie – demografických údajov, ktoré sa týkajú jeho cieľovej skupiny, najmä tendencií týkajúcich sa veku, pohlavia, rodinného stavu a povolania, informácií o životnom štýle a záujmoch jeho cieľovej skupiny, ako aj informácií o nákupoch návštevníkov jeho stránky a ich nákupoch cez internet, kategóriách výrobkov alebo služieb, ktoré ich najviac zaujímajú, ako aj geografických údajov, ktoré umožňujú správcovi fanúšikovskej stránky zistiť, kde má ponúkať špeciálne akcie a organizovať podujatia a všeobecne čo najlepšie zamieriť svoju ponuku informácií.
38 Je pravda, že štatistiky návštevnosti zostavené spoločnosťou Facebook sa poskytujú správcovi fanúšikovskej stránky výlučne v anonymizovanej podobe, nič to však nemení na tom, že tieto štatistiky sú zostavené na základe predchádzajúceho zberu osobných údajov prostredníctvom súborov cookies, ktoré spoločnosť Facebook inštaluje na počítačoch alebo na akýchkoľvek iných zariadeniach osôb, ktoré navštívili túto stránku a na základe spracovania osobných údajov týchto návštevníkov na takéto štatistické účely. Smernica 95/46 v každom prípade nevyžaduje, aby v prípade, ak ide spoluzodpovednosť viacerých subjektov za to isté spracovanie, mal každý z nich prístup k dotknutým osobným údajom.
39 Za týchto okolností je potrebné domnievať sa, že správca fanúšikovskej stránky umiestnenej na Facebooku, ako je Wirtschaftsakademie, sa svojím nastavením parametrov, okrem iného podľa svojej cieľovej skupiny, ako aj cieľov riadenia alebo podpory svojich činností, podieľa na určení účelov a prostriedkov spracovania osobných údajov návštevníkov svojej fanúšikovskej stránky. Z tohto dôvodu musí byť v prejednávanej veci tento správca v zmysle článku 2 písm. d) smernice 95/46 považovaný v Únii za prevádzkovateľa spolu so spoločnosťou Facebook Ireland.
40 Skutočnosť, že správca fanúšikovskej stránky využíva platformu, ktorú ponúka spoločnosť Facebook, aby mal prospech zo služieb, ktoré sú s ňou spojené, ho totiž nezbavuje jeho povinností v oblasti ochrany osobných údajov.
41 Navyše treba zdôrazniť, že fanúšikovské stránky umiestnené na Facebooku môžu navštevovať aj osoby, ktoré nie sú užívateľmi Facebooku a ktoré teda nemajú užívateľský účet na tejto sociálnej sieti. V tomto prípade sa zdá byť zodpovednosť správcu fanúšikovskej stránky týkajúca sa spracovania osobných údajov týchto osôb ešte väčšia, keďže samotné navštívenie fanúšikovskej stránky návštevníkmi automaticky vedie k spracovaniu ich osobných údajov.
42 Za týchto podmienok prispieva uznanie spoločnej zodpovednosti prevádzkovateľa sociálnej siete a správcu fanúšikovskej stránky umiestnenej na tejto sieti v súvislosti so spracovaním osobných údajov návštevníkov tejto fanúšikovskej stránky v súlade s požiadavkami smernice 95/46 k zaručeniu lepšej ochrany práv osôb, ktoré navštevujú fanúšikovskú stránku.
43 Vzhľadom na uvedené treba spresniť, ako uviedol generálny advokát v bodoch 75 a 76 svojich návrhov, že existencia spoločnej zodpovednosti neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov, ktorých sa týka spracovanie osobných údajov. Tieto subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci.
44 Vzhľadom na predchádzajúce úvahy treba na prvú a druhú otázku odpovedať tak, že článok 2 písm. d) smernice 95/46 sa má vykladať v tom zmysle, že pojem [„prevádzkovateľ“] v zmysle tohto ustanovenia zahŕňa správcu fanúšikovskej stránky umiestnenej na sociálnej sieti.
O tretej a štvrtej prejudiciálnej otázke
45 Svojou treťou a štvrtou otázkou, ktoré treba skúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa majú články 4 a 28 smernice 95/46 vykladať v tom zmysle, že pokiaľ má podnik so sídlom mimo Únie niekoľko prevádzkarní v rôznych členských štátoch, dozorný orgán členského štátu je oprávnený vykonávať právomoci, ktoré mu zveruje článok 28 ods. 3 tejto smernice, voči prevádzkarni nachádzajúcej sa na území tohto členského štátu, hoci na jednej strane na základe rozdelenia úloh v rámci skupiny je táto prevádzkareň zodpovedná len za predaj reklamných priestorov a iné marketingové činnosti na území uvedeného členského štátu a na druhej strane výlučnú zodpovednosť za zber a spracovanie osobných údajov na celom území Únie má prevádzkareň, ktorá sa nachádza v inom členskom štáte, alebo či prináleží dozornému orgánu tohto posledného uvedeného členského štátu, aby vykonával tieto právomoci voči druhej prevádzkarni.
46 ULD a talianska vláda vyjadrili pochybnosti o prípustnosti týchto otázok z dôvodu, že nie sú relevantné pre riešenie sporu vo veci samej. Adresátom napadnutého rozhodnutia je totiž Wirtschaftsakademie a netýka sa teda ani spoločnosti Facebook Inc., ani žiadnej z jej pobočiek so sídlom na území Únie.
47 V tejto súvislosti treba pripomenúť, že v rámci spolupráce medzi Súdnym dvorom a vnútroštátnymi súdmi zakotvenej v článku 267 ZFEÚ prináleží výlučne vnútroštátnemu súdu, ktorému bol spor predložený a ktorý musí prevziať zodpovednosť za vydávané súdne rozhodnutie, aby s prihliadnutím na osobitosti veci posúdil tak nevyhnutnosť prejudiciálneho rozhodnutia na to, aby mohol vydať svoj rozsudok, ako aj relevantnosť otázok, ktoré kladie Súdnemu dvoru. V dôsledku toho v prípade, že sa položené otázky týkajú výkladu práva Únie, je Súdny dvor v zásade povinný rozhodnúť (rozsudok zo 6. septembra 2016, Petruhhin, C‑182/15, EU:C:2016:630, bod 19 a citovaná judikatúra).
48 V prejednávanej veci treba uviesť, že vnútroštátny súd tvrdí, že na rozhodnutie sporu vo veci samej potrebuje odpoveď Súdneho dvora na tretiu a štvrtú prejudiciálnu otázku. Uvádza totiž, že pokiaľ by sa z hľadiska tejto odpovede konštatovalo, že ULD mohol napraviť údajné porušenia práva na ochranu osobných údajov prijatím opatrení voči spoločnosti Facebook Germany, takáto okolnosť by mohla zakladať existenciu nesprávneho posúdenia, ktorým by bolo postihnuté napadnuté rozhodnutie, keďže by bolo neprávom prijaté voči spoločnosti Wirtschaftsakademie.
49 Za týchto podmienok sú tretia a štvrtá otázka prípustné.
50 Na účely odpovede na tieto otázky treba na úvod pripomenúť, že podľa článku 28 ods. 1 a 3 smernice 95/46 vykonáva každý dozorný orgán všetky právomoci, ktoré mu boli priznané na území jeho členského štátu vnútroštátnym právom, s cieľom zabezpečiť dodržiavanie pravidiel v oblasti ochrany údajov na tomto území (pozri v tomto zmysle rozsudok z 1. októbra 2015, Weltimmo, C‑230/14, EU:C:2015:639, bod 51).
51 Otázka týkajúca sa práva, ktoré sa uplatňuje na spracovanie osobných údajov, je upravená v článku 4 smernice 95/46. Podľa odseku 1 písm. a) tohto článku uplatňuje každý členský štát vnútroštátne ustanovenia, ktoré prijme na základe tejto smernice, na spracovanie osobných údajov tam, kde sa spracovanie vykonáva v kontexte činností prevádzkarne prevádzkovateľa na území členského štátu. Toto ustanovenie spresňuje, že keď je ten istý prevádzkovateľ usadený na území niekoľkých členských štátov, musí prijať nevyhnutné opatrenia, aby zaistil, že každá z týchto prevádzkarní si plní povinnosti, ktoré predpisuje uplatniteľné vnútroštátne právo.
52 Z tohto ustanovenia v spojení s článkom 28 ods. 1 a 3 smernice 95/46 vyplýva, že pokiaľ sa podľa článku 4 ods. 1 písm. a) tejto smernice uplatňuje vnútroštátne právo členského štátu, ktoré sa vzťahuje na dozorný orgán, z toho dôvodu, že predmetné spracovanie sa uskutočňuje v rámci činností prevádzkarne prevádzkovateľa na území tohto členského štátu, môže tento dozorný orgán vykonávať voči tejto prevádzkarni všetky právomoci, ktoré mu toto právo zveruje, a to nezávisle od toho, či má prevádzkovateľ prevádzky aj v iných členských štátoch.
53 Na účely určenia, či je dozorný orgán za okolností, o aké ide vo veci samej, oprávnený vykonať voči prevádzkarni, ktorá sa nachádza na území jeho členského štátu, právomoci, ktoré mu zveruje vnútroštátne právo, treba overiť, či sú splnené dve podmienky stanovené v článku 4 ods. 1 písm. a) smernice 95/46, konkrétne, či ide o „prevádzkareň prevádzkovateľa“ v zmysle tohto ustanovenia a či sa uvedené spracovanie vykonáva „v kontexte činností“ tejto prevádzkarne v zmysle tohto istého ustanovenia.
54 Pokiaľ ide po prvé o podmienku, podľa ktorej musí mať prevádzkovateľ spracovania osobných údajov prevádzkareň na území členského štátu dotknutého dozorného orgánu, je potrebné pripomenúť, že podľa odôvodnenia 19 smernice 95/46 usadenie sa na území členského štátu predpokladá účinné a skutočné vykonávanie činnosti prostredníctvom stálej prevádzkarne a že právna forma tohto usadenia, či je to pobočka, alebo dcérska spoločnosť s právnou subjektivitou, nie je určujúcim činiteľom (rozsudok z 1. októbra 2015, Weltimmo, C‑230/14, EU:C:2015:639, bod 28 a citovaná judikatúra).
55 V prejednávanej veci je nesporné, že Facebook Inc, ako prevádzkovateľ spracovania osobných údajov spolu, so spoločnosťou Facebook Ireland, má stálu prevádzkareň v Nemecku, konkrétne Facebook Germany, ktorá sa nachádza v Hamburgu, a že táto posledná uvedená spoločnosť skutočne vykonáva činnosti v uvedenom členskom štáte. Z toho dôvodu predstavuje v zmysle článku 4 ods. 1 písm. a) smernice 95/46 prevádzkareň.
56 Pokiaľ ide v druhom rade o podmienku, podľa ktorej sa spracovanie osobných údajov má vykonávať „v kontexte činností“ dotknutej prevádzkarne, treba v prvom rade pripomenúť, že vzhľadom na cieľ sledovaný smernicou 95/46, ktorým je zaručiť účinnú a úplnú ochranu základných práv a slobôd fyzických osôb, a najmä ich práva na súkromie v súvislosti so spracovaním osobných údajov, nemožno výraz „v kontexte činností prevádzkarne“ vykladať reštriktívne (rozsudok z 1. októbra 2015, Weltimmo, C‑230/14, EU:C:2015:639, bod 25 a citovaná judikatúra).
57 Treba ďalej zdôrazniť, že článok 4 ods. 1 písm. a) smernice 95/46 nevyžaduje, aby sa takéto spracovanie vykonalo „prostredníctvom“ samotnej dotknutej prevádzkarne, ale aby sa vykonalo len „v kontexte činností“ tejto prevádzkarne (rozsudok z 13. mája 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 52).
58 V prejednávanej veci z rozhodnutia vnútroštátneho súdu, ako aj z písomných pripomienok predložených spoločnosťou Facebook Ireland vyplýva, že Facebook Germany je poverená podporou a predajom reklamného priestoru a venuje sa činnostiam zameraným na osoby s bydliskom v Nemecku.
59 Ako bolo pripomenuté v bodoch 33 a 34 tohto rozsudku, cieľom spracovania osobných údajov, o ktoré ide vo veci samej, vykonávané spoločnosťou Facebook Inc. spolu so spoločnosťou Facebook Ireland, a ktoré spočíva v zbere takýchto údajov prostredníctvom súborov cookies uložených na počítačoch alebo akýchkoľvek iných zariadeniach návštevníkov fanúšikovskej stránky umiestnenej na Facebooku, je najmä zlepšiť systém reklamy tejto sociálnej siete, aby čo najlepšie zamerala informácie, ktoré šíri.
60 Ako uviedol generálny advokát v bode 94 svojich návrhov, vzhľadom na to, že sociálna sieť, akou je Facebook, jednak získava väčšinu svojich príjmov najmä z reklamy, ktorá sa zobrazí na webových stránkach, ktoré užívatelia vytvárajú a na ktoré vstupujú, a jednak, že prevádzkareň spoločnosti Facebook, ktorá sa nachádza v Nemecku, v tomto členskom štáte zodpovedá za podporu a predaj reklamných priestorov, ktoré zabezpečujú výnosnosť služieb ponúkaných spoločnosťou Facebook, činnosti tejto prevádzkarne sa musia považovať za neoddeliteľne spojené so spracovaním osobných údajov, o ktoré ide vo veci samej, za ktoré spoločne zodpovedajú spoločnosti Facebook Inc. a Facebook Ireland. Takéto spracovanie sa preto musí považovať za vykonávané v kontexte činností prevádzkarne prevádzkovateľa v zmysle článku 4 ods. 1 písm. a) smernice 95/46 (pozri v tomto zmysle rozsudok z 13. mája 2014, Google Spain a Google,C‑131/12, EU:C:2014:317, body 55 a 56).
61 Z uvedeného vyplýva, že vzhľadom na to, že podľa článku 4 ods. 1 písm. a) smernice 95/46 sa na spracovanie osobných údajov, o ktoré ide vo veci samej, uplatňuje nemecké právo, nemecký dozorný orgán je v súlade s článkom 28 ods. 1 tejto smernice oprávnený uplatniť toto právo na uvedené spracovanie osobných údajov.
62 Tento dozorný orgán bol preto na účely zabezpečenia dodržiavania pravidiel v oblasti ochrany osobných údajov na nemeckom území oprávnený uplatniť voči spoločnosti Facebook Germany všetky právomoci, ktoré má podľa vnútroštátnych ustanovení, ktorými sa preberá článok 28 ods. 3 smernice 95/46.
63 Treba ešte spresniť, že skutočnosť, na ktorú poukazuje vnútroštátny súd vo svojej tretej otázke, podľa ktorej materská spoločnosť so sídlom v tretej krajine, ako je v prejednávanej veci spoločnosť Facebook Inc., prijíma strategické rozhodnutia, čo sa týka zberu a spracovania osobných údajov osôb s bydliskom na území Únie, nemôže spochybniť právomoc dozorného orgánu, na ktorý sa vzťahuje právo členského štátu, voči prevádzkarni spracovania uvedených osobných údajov nachádzajúcej sa na území tohto istého členského štátu.
64 Vzhľadom na vyššie uvedené úvahy treba na tretiu a štvrtú otázku odpovedať tak, že články 4 a 28 smernice 95/46 sa majú vykladať v tom zmysle, že pokiaľ má podnik so sídlom mimo Únie niekoľko prevádzkarní v rôznych členských štátoch, dozorný orgán členského štátu je oprávnený vykonávať právomoci, ktoré mu zveruje článok 28 ods. 3 tejto smernice, voči prevádzkarni tohto podniku nachádzajúcej sa na území tohto členského štátu, hoci na jednej strane na základe rozdelenia úloh v rámci skupiny je táto prevádzkareň zodpovedná len za predaj reklamných priestorov a iné marketingové činnosti na území uvedeného členského štátu a na druhej strane výlučnú zodpovednosť za zber a spracovanie osobných údajov na celom území Únie má prevádzkareň, ktorá sa nachádza v inom členskom štáte.
O piatej a šiestej prejudiciálnej otázke
65 Svojou piatou a šiestou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa majú článok 4 ods. 1 písm. a) a článok 28 ods. 3 a 6 smernice 95/46 vykladať v tom zmysle, že keď má dozorný orgán jedného členského štátu v úmysle vykonať voči subjektu usadenému na území tohto členského štátu intervenčné právomoci uvedené v článku 28 ods. 3 tejto smernice z dôvodu porušenia pravidiel týkajúcich sa ochrany osobných údajov, ktorých sa dopustila tretia osoba zodpovedná za spracovanie týchto údajov, ktorá má svoje sídlo v inom členskom štáte, je tento dozorný orgán oprávnený nezávisle od dozorného orgánu tohto posledného uvedeného členského štátu posúdiť zákonnosť takéhoto spracovania osobných údajov a môže vykonávať svoje intervenčné právomoci voči subjektu usadenému na svojom území bez toho, aby predtým požiadal dozorný orgán iného členského štátu, aby zasiahol.
66 Na účely odpovede na tieto otázky treba pripomenúť, ako vyplýva z odpovede na prvú a druhú prejudiciálnu otázku, že článok 2 písm. d) smernice 95/46 sa má vykladať v tom zmysle, že za okolností, o aké ide vo veci samej, umožňuje v prípade porušenia pravidiel o ochrane osobných údajov založenie zodpovednosti subjektu, akým je Wirtschaftsakademie, ktorý má postavenie správcu fanúšikovskej stránky umiestnenej na Facebooku.
67 Z uvedeného vyplýva, že podľa článku 4 ods. 1 písm. a), ako aj článku 28 ods. 1 a 3 smernice 95/46 má dozorný orgán členského štátu, na území ktorého je tento subjekt usadený, právomoc uplatniť svoje vnútroštátne právo, a teda aj vykonať voči uvedenému subjektu všetky právomoci, ktoré mu toto vnútroštátne právo v súlade s článkom 28 ods. 3 tejto smernice zveruje.
68 Ako stanovuje článok 28 ods. 1 druhá veta uvedenej smernice, dozorné orgány zodpovedné za monitorovanie uplatňovania ustanovení v rámci územia ich členských štátov, prijatých týmito poslednými uvedenými členskými štátmi v súlade s touto istou smernicou, konajú s úplnou nezávislosťou vo vykonávaní im zverených funkcií. Táto požiadavka vyplýva tiež z primárneho práva Únie, najmä z článku 8 ods. 3 Charty základných práv Európskej únie a článku 16 ods. 2 ZFEÚ (pozri v tomto zmysle rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 40).
69 Okrem toho, aj keď podľa článku 28 ods. 6 druhého pododseku smernice 95/46 dozorné orgány navzájom spolupracujú do miery nevyhnutnej na plnenie svojich povinností, najmä výmenou všetkých užitočných informácií, toto isté ustanovenie neuvádza žiadne kritérium upravujúce prednosť zásahu jedných pred druhými, ani neukladá povinnosť dozornému orgánu určitého členského štátu riadiť sa stanoviskom, ktoré by prípadne vyjadril orgán dozoru iného členského štátu.
70 Dozorný orgán, ktorého právomoc je stanovená na základe jeho vnútroštátneho práva, teda nemá žiadnu povinnosť prijať riešenie, ktoré iný orgán dozoru použil na podobnú situáciu.
71 V tejto súvislosti treba pripomenúť, že vzhľadom na to, že vnútroštátne dozorné orgány sú v súlade s článkom 8 ods. 3 Charty základných práv a s článkom 28 smernice 95/46 poverené kontrolou dodržiavania pravidiel Únie o ochrane fyzických osôb pri spracovaní osobných údajov, každý z nich má právomoc overiť, či spracovanie osobných údajov na území členského štátu, ktorému podlieha, spĺňa požiadavky stanovené smernicou 95/46 (pozri v tomto zmysle rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 47).
72 Keďže článok 28 smernice 95/46 sa svojou povahou uplatňuje na každé spracovanie osobných údajov, aj v prípade existencie rozhodnutia dozorného orgánu iného členského štátu, dozorný orgán, na ktorý sa obrátila osoba so žiadosťou týkajúcou sa ochrany jej práv a slobôd pri spracovaní osobných údajov, ktoré sa jej týkajú, musí úplne nezávisle preskúmať, či spracovanie týchto údajov spĺňa požiadavky stanovené uvedenou smernicou (pozri v tomto zmysle rozsudok zo 6. októbra 2015, Schrems, C‑362/14, EU:C:2015:650, bod 57).
73 Z uvedeného vyplýva, že v prejednávanej veci bol ULD podľa systému stanoveného v smernici 95/46 oprávnený nezávisle od posúdení, ktoré vykonal írsky dozorný orgán, posúdiť zákonnosť spracovania osobných údajov, o ktoré ide vo veci samej.
74 Na piatu a šiestu otázku preto treba odpovedať tak, že článok 4 ods. 1 písm. a) a článok 28 ods. 3 a 6 smernice 95/46 sa majú vykladať v tom zmysle, že keď má dozorný orgán jedného členského štátu v úmysle vykonať voči subjektu usadenému na území tohto členského štátu intervenčné právomoci uvedené v článku 28 ods. 3 tejto smernice z dôvodu porušení pravidiel týkajúcich sa ochrany osobných údajov, ktorých sa dopustila tretia osoba zodpovedná za spracovanie týchto údajov, ktorá má svoje sídlo v inom členskom štáte, je tento dozorný orgán oprávnený nezávisle od dozorného orgánu tohto posledného uvedeného členského štátu posúdiť zákonnosť takéhoto spracovania údajov a môže vykonávať svoje intervenčné právomoci voči subjektu usadenému na svojom území bez toho, aby predtým požiadal dozorný orgán iného členského štátu, aby zasiahol.
O trovách
75 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (veľká komora) rozhodol takto:
1. Článok 2 písm. d) smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov sa má vykladať v tom zmysle, že pojem [„prevádzkovateľ“] v zmysle tohto ustanovenia zahŕňa správcu fanúšikovskej stránky umiestnenej na sociálnej sieti.
2. Články 4 a 28 smernice 95/46 sa majú vykladať v tom zmysle, že pokiaľ má podnik so sídlom mimo Európskej únie niekoľko prevádzkarní v rôznych členských štátoch, dozorný orgán členského štátu je oprávnený vykonávať právomoci, ktoré mu zveruje článok 28 ods. 3 tejto smernice, voči prevádzkarni tohto podniku nachádzajúcej sa na území tohto členského štátu, hoci na jednej strane na základe rozdelenia úloh v rámci skupiny je táto prevádzkareň zodpovedná len za predaj reklamných priestorov a iné marketingové činnosti na území uvedeného členského štátu a na druhej strane výlučnú zodpovednosť za zber a spracovanie osobných údajov na celom území Únie má prevádzkareň, ktorá sa nachádza v inom členskom štáte.
3. Článok 4 ods. 1 písm. a) a článok 28 ods. 3 a 6 smernice 95/46 sa majú vykladať v tom zmysle, že keď má dozorný orgán jedného členského štátu v úmysle vykonať voči subjektu usadenému na území tohto členského štátu intervenčné právomoci uvedené v článku 28 ods. 3 tejto smernice z dôvodu porušení pravidiel týkajúcich sa ochrany osobných údajov, ktorých sa dopustila tretia osoba zodpovedná za spracovanie týchto údajov, ktorá má svoje sídlo v inom členskom štáte, je tento dozorný orgán oprávnený nezávisle od dozorného orgánu tohto posledného uvedeného členského štátu posúdiť zákonnosť takéhoto spracovania údajov a môže vykonávať svoje intervenčné právomoci voči subjektu usadenému na svojom území bez toho, aby predtým požiadal dozorný orgán iného členského štátu, aby zasiahol.
Podpisy
i Znenie bodu 16 tohto textu bolo po jeho sprístupnení na internete predmetom jazykovej úpravy.