DOMSTOLENS DOM (andra avdelningen)
den 29 juli 2019 (*)
”Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46/EG – Artikel 2 d – Begreppet ’registeransvarig’ – Webbplatsoperatör har på sin webbplats integrerat ett socialt insticksprogram som tillåter överföring av webbplatsbesökarnas personuppgifter till tjänsteleverantören för detta program – Artikel 7 f – Uppgiftsbehandling som kan tillåtas – Beakta webbplatsoperatörens eller tjänsteleverantören till det sociala insticksprogrammets intresse – Artikel 2 h och artikel 7 a – Den registrerades samtycke – Artikel 10 – Informationsplikt till den registrerade – Nationell bestämmelse som ger konsumentskyddsorganisationer rätt att väcka talan”
I mål C‑40/17,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Oberlandesgericht Düsseldorf (Düsseldorfs regionala överdomstol, Tyskland) genom beslut av den 19 januari 2017, som inkom till domstolen den 26 januari 2017, i målet
Fashion ID GmbH & Co. KG
mot
Verbraucherzentrale NRW eV,
ytterligare deltagare i rättegången:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
meddelar
DOMSTOLEN (andra avdelningen)
sammansatt av domstolens ordförande K. Lenaerts, tillika tillförordnad ordförande på andra avdelningen, samt domarna A. Prechal, C. Toader, A. Rosas (referent) och M. Ilešič
generaladvokat: M. Bobek,
justitiesekreterare: enhetschefen D. Dittert,
efter det skriftliga förfarandet och förhandlingen den 6 september 2018,
med beaktande av de yttranden som avgetts av:
– Fashion ID GmbH & Co. KG, genom C.-M. Althaus och J. Nebel, Rechtsanwälte,
– Verbraucherzentrale NRW eV, genom K. Kruse, C. Rempe och S. Meyer, Rechtsanwälte,
– Facebook Ireland Ltd, genom H.-G. Kamann, C. Schwedler och M. Braun, Rechtsanwälte samt genom I. Perego, avvocatessa,
– Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, genom U. Merger, i egenskap av ombud,
– Tysklands regering, inledningsvis genom T. Henze och J. Möller, därefter av J. Möller, båda i egenskap av ombud,
– Belgiens regering, genom P. Cottin och L. Van den Broeck, båda i egenskap av ombud,
– Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av P. Gentili, avvocato dello Stato,
– Österrikes regering, inledningsvis genom C. Pesendorfer, därefter av G. Kunnert båda i egenskap av ombud,
– Polens regering, genom B. Majczyna, i egenskap av ombud,
– Europeiska kommissionen, genom H. Krämer och H. Kranenborg, båda i egenskap av ombud,
och efter att den 19 december 2018 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser tolkningen av artiklarna 2, 7, 10, 22–24 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
2 Begäran har framställts i ett mål mellan Fashion ID GmbH & Co. KG och Verbraucherzentrale NRW eV avseende att Fashion ID på sin webbplats integrerat ett socialt insticksprogram från Facebook Ireland Ltd
Tillämpliga bestämmelser
Unionsrätt
3 Direktiv 95/46/EG har upphävts och ersatts, med verkan från och med den 25 maj 2018, genom Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EUT L 119, 2016, s. 1). Direktivet är dock, i fråga om tidpunkten för de faktiska omständigheterna i målet, tillämpligt i detta fall.
4 I skäl 10 i direktiv 95/46 anges följande:
”Ändamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna[, undertecknad i Rom den 4 november 1950] och i [unions]rättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom [unionen].”
5 I artikel 1 i direktiv 95/46 föreskrivs följande:
”1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.”
6 I artikel 2 i direktivet anges följande:
”I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
…
d) registeransvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av [unionsrätten] kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i [unionsrätten],
…
f) tredje man: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna,
g) mottagare: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare,
h) den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.”
7 I artikel 7 i direktivet föreskrivs följande:
”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
a) den registrerade otvetydigt har lämnat sitt samtycke,
eller
…
f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.”
8 I artikel 10 i samma direktiv med rubriken: ”Information vid insamling av uppgifter från den registrerade”, föreskrivs följande:
”Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
c) All ytterligare information, exempelvis
– mottagarna eller de kategorier som mottar uppgifterna,
– huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,
– förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom,
i den utsträckning som den ytterligare informationen - med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade en korrekt behandling.”
9 Artikel 22 i direktiv 95/46 har följande lydelse:
”Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans - föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.”
10 I artikel 23 i nämnda direktiv föreskrivs följande:
”1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.”
11 Artikel 24 i direktivet föreskrivs följande:
”Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.”
12 I artikel 28 i samma direktiv föreskrivs följande:
”1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.
…
3. Varje tillsynsmyndighet skall särskilt ha
…
– befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
…
4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.
…”
13 I artikel 5.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EGT L 337, 2009, s. 11) (nedan kallat direktiv 2002/58) föreskrivs följande:
”Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv [95/46], bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.”
14 I artikel 1.1 i Europaparlamentets och rådets direktiv 2009/22/EG av den 23 april 2009 om förbudsföreläggande för att skydda konsumenternas intressen (EUT L 110, 2009, s. 30), i dess lydelse enligt Europaparlamentets och rådets förordning (EU) nr 524/2013 av den 21 maj 2013 (EUT L 165, 2013, s. 1) (nedan kallat direktiv 2009/22), föreskrivs följande:
”Syftet med detta direktiv är att närma medlemsstaternas lagar och andra författningar till varandra när det gäller åtgärder för förbudsföreläggande enligt artikel 2 för skydd för de kollektiva konsumentintressen som omfattas av de unionsakter som anges i förteckningen i bilaga I för att säkerställa att den inre marknaden fungerar väl.”
15 I artikel 2 i samma direktiv förskrivs följande:
”1. Medlemsstaterna ska utse de domstolar eller administrativa myndigheter som ska vara behöriga att besluta vid förfaranden som inleds av sådana godkända inrättningar som avses i artikel 3 om att
a) så snart som möjligt, och där det är lämpligt inom ramen för ett förenklat förfarande, meddela föreläggande om upphörande av eller förbud mot varje överträdelse,
…”
16 I artikel 7 i samma direktiv föreskrivs följande:
”Detta direktiv ska inte utgöra hinder för medlemsstaterna att anta eller behålla bestämmelser som är utarbetade för att tillerkänna godkända inrättningar och alla andra berörda personer mer vittgående rättigheter att väcka talan på nationell nivå.”
17 Artikel 80 i förordning nr 2016/679 har följande lydelse:
”1. Den registrerade ska ha rätt att ge ett organ, en organisation eller sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 77, 78 och 79 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82 om så föreskrivs i medlemsstatens nationella rätt.
2. Medlemsstaterna får föreskriva att ett organ, en organisation eller en sammanslutning enligt punkt 1 i den här artikeln, oberoende av en registrerads mandat, har rätt att i den medlemsstaten inge klagomål till den tillsynsmyndighet som är behörig enligt artikel 77 och utöva de rättigheter som avses i artiklarna 78 och 79 om organet, organisationen eller sammanslutningen anser att den registrerades rättigheter enligt den här förordningen har kränkts som en följd av behandlingen.”
Tysk rätt
18 I 3 § punkt 1 Gesetz gegen den unlauteren Wettbewerb (lagen om illojal konkurrens), i den lydelse som är tillämplig i det nationella målet (nedan kallad UWG) anges följande:
”Otillbörliga affärsmetoder är förbjudna.”
19 3a § UWG har följande lydelse:
”Personer agerar illojalt om de åsidosätter bestämmelser som bland annat är avsedda att reglera beteendet på marknaden i marknadsaktörernas intresse och denna överträdelse är ägnad att märkbart påverka konsumenters, andra marknadsaktörers eller konkurrenters intressen.”
20 I 8 § UWG föreskrivs följande:
”1) Den som använder affärsmetoder som är förbjudna enligt 3 § eller 7 § kan bli föremål för ett föreläggande om upphörande och, om det föreligger risk för att beteendet upprepas, ett förbudsföreläggande. Rätten att ansöka om förbudsföreläggande uppkommer redan då det finns en risk för att affärsmetoderna i 3 § eller 7 § kommer att användas.
…
3) Följande kan ansöka om de förelägganden som avses i första stycket:
…
3. Godkända inrättningar som kan visa att de står med i förteckningen över godkända inrättningar enligt 4 § i Unterlassungsklagegesetz (lagen om förbudsförelägganden) eller i Europeiska kommissionens förteckning enligt artikel 4.3 i direktiv [2009/22].
…”
21 I 2 § lagen om förbudsförelägganden föreskrivs följande:
”1) Den som åsidosätter de bestämmelser som har till syfte att skydda konsumenter (lagar om konsumentskydd), på annat sätt än vid tillämpning av eller genom rekommendationer om allmänna försäljningsvillkor, kan föreläggas att upphöra med detta, eller förbjudas att fortsätta med detta, till skydd för konsumenterna. …
2) Med ’lagar om konsumentskydd’ menas vid tillämpningen av denna bestämmelse särskilt:
…
11. De bestämmelser som reglerar tillåtligheten för
a) ett företags insamling av en konsuments personuppgifter eller
b) ett företags behandling eller användning av insamlade personuppgifter om en konsument
i de fall då dessa uppgifter insamlas, behandlas eller används för reklamändamål, marknads- och opinionsundersökningar, upplysningsinstituts verksamhet, framtagande av personlighets- och användarprofiler, adresshandel, övrig datahandel eller andra jämförbara kommersiella ändamål.”
22 12 § punkt 1 Telemediengesetz (lagen om elektroniska informations- och kommunikationstjänster, nedan kallad TMG) har följande lydelse:
”Tjänsteleverantören får samla in och använda personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om detta är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke.”
23 I 13 § punkt 1 TMG anges följande:
”Senast vid sessionens början ska tjänsteleverantören på ett lättbegripligt sätt informera användaren om art, omfattning och syfte vad gäller insamlingen och användningen av personuppgifter samt behandlingen av dennes uppgifter i länder utanför tillämpningsområdet för direktiv [95/46] om inte användaren redan har informerats om detta. Om processen sker automatiskt och möjliggör senare identifiering av användaren samt inhämtande och användning av personuppgifter ska användaren informeras vid processens början. Användaren ska alltid ha möjlighet att hämta fram denna information.”
24 I 15 § punkt 1 TMG föreskrivs följande:
”Tjänsteleverantören får inhämta och använda en användares personuppgifter endast i den mån det krävs för att möjliggöra och fakturera användningen av de elektroniska informations- eller kommunikationstjänsterna (användningsdata). Med användningsdata avses särskilt
1. uppgifter som gör det möjligt att identifiera användaren,
2. uppgifter om när den aktuella användningen inleddes och avslutades, samt dess omfattning, och
3. uppgifter om de elektroniska informations- eller kommunikationstjänster som användaren använt.”
Målet vid den nationella domstolen och tolkningsfrågorna
25 Fashion ID, ett företag som säljer modekläder på nätet, har integrerat det sociala insticksprogrammet ”Gilla” från det sociala nätverket Facebook (nedan kallat Facebooks ”Gilla”-knapp) på sin webbplats.
26 Det framgår av begäran om förhandsavgörande att ett av internets särdrag är att en webbplatsbesökares webbläsare kan hämta innehåll från olika källor. På en och samma webbplats är det sålunda möjligt att integrera och visa exempelvis foton, videoklipp, nyhetsfeeds såväl som Facebooks ”Gilla”-knapp som är i fråga i förevarande mål. Om webbplatsoperatören tänker integrera sådant tredjepartsinnehåll på sin webbplats lägger den in en hänvisning till det externa innehållet på sin webbplats. När besökarens webbläsare öppnar en sådan hänvisning hämtar den tredjepartsinnehållet och lägger in det på önskad plats i webbplatsens visningsläge. För detta ändamål skickar webbläsaren besökarens dators IP-adress samt teknisk information om webbläsaren till tredjepartsleverantörens server för att servern ska kunna avgöra i vilket format som innehållet ska levereras till denna adress. Dessutom skickar webbläsaren information om önskat innehåll. Webbplatsoperatören som integrerar tredjepartsinnehållet på sin webbplats kan inte påverka vilken information webbläsaren skickar och vad tredjepartsleverantören gör med denna information, framför allt i fråga om lagring och användning.
27 Särskilt när det gäller Facebooks ”Gilla”-knapp tycks det framgå av begäran om förhandsavgörande att när en besökare är inne på Fashion ID:s webbplats översänds dess personuppgifter till Facebook Ireland på grund av att webbplatsen har integrerat denna knapp. Det verkar som om denna överföring görs utan besökarens vetskap och oavsett om han eller hon är medlem i det sociala nätverket Facebook eller har klickat på Facebooks ”Gilla” -knapp.
28 Verbraucherzentrale NRW, en allmännyttig konsumentskyddsorganisation, gör gällande att Fashion ID har översänt sina webbplatsbesökares personuppgifter till Facebook Ireland, dels, utan deras samtycke, dels, i strid med informationsplikten som följer av bestämmelserna om skydd av personuppgifter.
29 Verbraucherzentrale NRW väckte ett förbudsföreläggande vid Landgericht Düsseldorf (Regionala domstolen i Düsseldorf, Tyskland) mot Fashion ID för att denna ska upphöra med behandlingen.
30 Efter att ha konstaterat att Verbraucherzentrale NRW hade talerätt i enlighet med 8 § punkt 3.3 UWG, biföll Landgericht Düsseldorf (Regionala domstolen i Düsseldorf) genom beslut av den 9 mars 2016 delvis Verbraucherzentrale NRW:s yrkanden.
31 Fashion ID överklagade beslutet till Oberlandesgericht Düsseldorf (Düsseldorfs regionala överdomstol, Tyskland), den hänskjutande domstolen. Facebook Ireland intervenerade till stöd för Fashion ID vid överklagandet. Verbraucherzentrale NRW inkom för egen del med ett anslutningsöverklagande och yrkade att talan ska bifallas i enlighet med det avgörande som meddelades i första instans mot Fashion ID.
32 Fashion ID har vid den hänskjutande domstolen hävdat att beslutet av Landgericht Düsseldorf (Regionala domstolen i Düsseldorf) inte är förenligt med direktiv 95/46.
33 Fashion ID har hävdat, för det första, att artiklarna 22–24 i direktivet endast omfattar rättsmedel för de personer som berörs av behandlingen av personuppgifter och för de behöriga tillsynsmyndigheterna. Den talan som Verbraucherzentrale NRW har väckt kan följaktligen inte tas upp till prövning i sak, eftersom organisationen inte har rätt att väcka talan enligt direktiv 95/46.
34 För det andra har Fashion ID ansett att Landgericht Düsseldorf (Regionala domstolen i Düsseldorf) felaktigt har funnit att det var registeransvarig, i den mening som avses i artikel 2 d i direktiv 95/46, eftersom det varken har något inflytande över de uppgifter som översänds från sina webbplatsbesökares webbläsare eller kan veta hur Facebook Ireland eventuellt använder sig av uppgifterna.
35 Den hänskjutande domstolen hyser för det första tvivel om huruvida direktiv 95/46 gör det möjligt för allmännyttiga organisationer att företräda skadelidande parters intressen i domstol. Den hänskjutande domstolen är av den uppfattningen att artikel 24 i direktivet inte hindrar organisationer från att väcka talan, eftersom medlemsstaterna enligt artikeln ska anta ”lämpliga bestämmelser” för att säkerställa att detta direktiv genomförs fullständigt. Följaktligen anser den hänskjutande domstolen att en nationell bestämmelse som gör det möjligt för organisationer att väcka talan i konsumenters intresse skulle kunna utgöra en sådan lämplig bestämmelse.
36 I detta sammanhang har den hänskjutande domstolen påpekat att artikel 80.2 i förordning nr 2016/679, som upphävt och ersatt direktiv 95/46, uttryckligen tillåter att en sådan sammanslutning väcker talan, vilket förefaller bekräfta att direktiv 95/46 inte utesluter en sådan talan.
37 Den hänskjutande domstolen har även önskat få klarhet i huruvida en webbplatsoperatör, såsom Fashion ID, som integrerar ett socialt insticksprogram som tillåter insamling av personuppgifter, kan anses vara registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46, även om operatören inte har något inflytande på behandlingen av de uppgifter som utlämnas till tjänsteleverantören av insticksprogrammet. Den hänskjutande domstolen hänvisar i detta avseende till dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), som rör en liknande fråga.
38 För det fall att Fashion ID inte ska anses vara registeransvarig, vill den hänskjutande domstolen i andra hand få klarhet i huruvida direktivet uttömmande reglerar detta begrepp, på så sätt att det utgör hinder för en nationell bestämmelse om civilrättsligt ansvar för en tredje part vid överträdelse av rätten till skydd av uppgifter. Den hänskjutande domstolen gör nämligen gällande att det skulle vara möjligt att tillskriva Fashion ID ansvar på grundval av den nationella lagstiftningen, genom det nationella rättsinstitutet ”Störer” (någon som blandar sig i).
39 Om Fashion ID skulle anses vara registeransvarig eller åtminstone indirekt ansvarig genom rättsinstitutet ”Störer” för eventuella kränkningar av skyddet av uppgifter av Facebook Ireland, vill den hänskjutande domstolen få klarhet i huruvida behandlingen av de personuppgifter som är i fråga i det nationella målet är tillåten och huruvida informationsplikten till den registrerade i enlighet med artikel 10 i direktiv 95/46 åligger Fashion ID eller Facebook Ireland.
40 Den hänskjutande domstolen undrar med beaktande av de bestämmelser om när personuppgifter får behandlas som framgår i artikel 7 f i direktiv 95/46, huruvida, i en situation såsom den som är aktuell i det nationella målet, hänsyn ska tas till det berättigade intresset hos webbplatsoperatören eller hos tjänsteleverantören av det sociala insticksprogrammet.
41 Nämnda domstol vill vidare få klarhet i vem det åligger att inhämta samtycke från de registrerade och att informera dem om personuppgiftsbehandlingen såsom den som är aktuell i det nationella målet. Den hänskjutande domstolen anser att frågan om vem som ska fullgöra plikten att informera de registrerade, i enlighet med artikel 10 i direktiv 95/46, är av särskild betydelse, eftersom all integrering av externt innehåll på en webbplats i princip ger upphov till behandling av personuppgifter, vars omfattning och ändamål emellertid är okända för den som integrerar sådant innehåll, dvs. den berörda webbplatsoperatören. Webbplatsoperatören kan därför inte ange den information som skulle krävas om en sådan plikt skulle föreligga, vilket innebär att ett krav på webbplatsoperatören att informera de registrerade i praktiken skulle leda till ett förbud mot att integrera tredjepartsinnehåll.
42 Mot denna bakgrund beslutade Oberlandesgericht Düsseldorf (Düsseldorfs regionala överdomstol) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1. Utgör bestämmelserna i artiklarna 22, 23 och 24 i [direktiv 95/46/] hinder för en nationell bestämmelse som, förutom dataskyddsmyndigheternas befogenheter att ingripa och de registrerades rätt att väcka talan, ger allmännyttiga organisationer behörighet att tillvarata konsumenternas intressen vid eventuella överträdelser mot den part som begått intrång?
För det fall fråga 1 besvaras nekande:
2. I en situation som den förevarande – där en aktör på sin webbplats integrerar en programkod som får användarens webbläsare att begära innehåll från en tredje part och, i detta syfte, översända personuppgifter till denna tredje part – är det aktören som har integrerat programkoden, som är ’registeransvarig’ i den mening som avses i artikel 2 d i [direktiv 95/46], när denna aktör inte själv kan påverka uppgiftsbehandlingen?
3. För det fall fråga 2 besvaras nekande: Ska artikel 2 d i [direktiv 95/46] tolkas så, att denna bestämmelse uttömmande reglerar ansvar och skyldighet på ett sådant sätt att den utgör hinder för att väcka en civilrättslig talan mot en tredje part som visserligen inte är ’registeransvarig’, men som utgör orsaken till behandlingen utan att själv påverka behandlingen i fråga?
4. I en situation som den förevarande, vems ’berättigade intressen’ är avgörande vid den intresseavvägning som ska göras enligt artikel 7 f i [direktiv 95/46]? Är det intresset att integrera innehåll från en tredje part eller den tredje partens intresse?
5. Till vem ska samtycket enligt artiklarna 2 h och 7 a i [direktiv 95/46] lämnas i en situation som den förevarande?
6. Gäller informationsplikten enligt artikel 10 i [direktiv 95/46] i en situation som den förevarande även webbplatsoperatören som har integrerat innehåll från en tredje part och därmed har utgjort orsaken till att denna tredje part behandlar personuppgifter?”
Prövning av tolkningsfrågorna
Den första frågan
43 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artiklarna 22–24 i direktiv 95/46 ska tolkas så, att de utgör hinder för nationella bestämmelser som gör det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter.
44 Det ska inledningsvis erinras om att medlemsstaterna enligt artikel 22 i direktiv 95/46 ska föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.
45 I artikel 28.3 tredje stycket i direktiv 95/46 föreskrivs att en tillsynsmyndighet, som i enlighet med artikel 28.1 i direktivet har till uppgift att inom den berörda medlemsstatens territorium övervaka tillämpningen av de bestämmelser som medlemsstaten har antagit till följd av detta direktiv, särskilt ska ha befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
46 Vad gäller artikel 28.4 i direktiv 95/46 föreskrivs att var och en som avses i artikel 2 a i direktivet kan företrädd av en organisation vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter.
47 Direktivet innehåller inte någon bestämmelse som ålägger medlemsstaterna en skyldighet – och inte heller någon som ger dem uttrycklig behörighet – att i sin nationella lagstiftning föreskriva att en organisation ska ha möjlighet att företräda en sådan person inför domstol eller på eget initiativ väcka talan mot den som påstås kränka skyddet av personuppgifter.
48 Av detta följer emellertid inte att direktiv 95/46 utgör hinder för nationella bestämmelser som gör det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås utföra sådana kränkningar.
49 Det följer av artikel 288 tredje stycket FEUF att medlemsstaterna, vid införlivandet av ett direktiv, är skyldiga att säkerställa direktivets fulla verkan, samtidigt som de förfogar över ett betydande utrymme för skönsmässig bedömning avseende valet av tillvägagångssätt för att säkerställa direktivets genomförande. Den friheten inverkar inte på skyldigheten för varje medlemsstat till vilken direktivet är riktat att vidta alla de åtgärder som är nödvändiga för att säkerställa att direktivet får full verkan i överensstämmelse med det syfte som det eftersträvar (dom av den 6 oktober 2010, Base m.fl., C‑389/08, EU:C:2010:584, punkterna 24 och 25, och dom av den 22 februari 2018, Porras Guisado, C‑103/16, EU:C:2018:99, punkt 57).
50 Det ska i detta avseende erinras om att ett av de underliggande syftena bakom direktiv 95/46 är att säkerställa ett effektivt och fullständigt skydd för fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 53, och dom av den 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punkt 38). I skäl 10 i direktivet anges att tillnärmningen av de nationella lagstiftningar som är tillämpliga på området inte får medföra någon inskränkning i det skydd de ger, utan i stället skall syfta till att garantera en hög skyddsnivå inom unionen (dom av 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punkt 95, dom av den 16 december 2008, Huber, C‑524/06, EU:C:2008:724, punkt 50, och dom av den 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 och C‑469/10, EU:C:2011:777, punkt 28).
51 Att en medlemsstat i sina nationella bestämmelser ger möjlighet för en konsumentskyddsorganisation att väcka talan mot den som påstås kränka skyddet av personuppgifter är inte på något sätt till men för syftet med direktivet, utan bidrar tvärtom till att dess syften uppnås.
52 Fashion ID och Facebook Ireland har emellertid gjort gällande att eftersom direktiv 95/46 utgör en fullständig harmonisering av de nationella bestämmelserna om skydd av personuppgifter, ska alla rättsliga åtgärder som inte uttryckligen föreskrivs i direktivet uteslutas. Artiklarna 22, 23 och 28 i direktiv 95/46 skulle följaktligen begränsas till åtgärder som vidtas av de registrerade och av tillsynsmyndigheterna för dataskydd.
53 Domstolen godtar dock inte detta argument.
54 Direktiv 95/46 leder förvisso till en i princip fullständig harmonisering av de nationella bestämmelserna om skydd av personuppgifter (se, för ett liknande resonemang, dom av den 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 och C‑469/10, EU:C:2011:777, punkt 29, och dom av den 7 november 2013, IPI, C‑473/12, EU:C:2013:715, punkt 31).
55 Domstolen har således slagit fast att det i artikel 7 i direktiv 95/46 görs en uttömmande uppräkning av de situationer där en behandling av personuppgifter kan anses vara tillåten och att medlemsstaterna varken får foga ytterligare principer för tillåtligheten av behandlingen av personuppgifter till dem som nämns i den artikeln eller föreskriva ytterligare villkor som påverkar räckvidden av de sex principer som föreskrivs däri (dom av den 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 och C‑469/10, EU:C:2011:777, punkterna 30 och 32, liksom dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 57).
56 Domstolen har emellertid också klargjort att direktiv 95/46 innehåller regler som är relativt allmänna eftersom de ska tillämpas på ett stort antal mycket olikartade situationer. Dessa regler karaktäriseras av en viss flexibilitet och i många fall överlåts till medlemsstaterna att fastställa detaljerna eller att välja bland olika alternativ, vilket innebär att medlemsstaterna i många avseenden har ett handlingsutrymme vid införlivandet av direktivet (se, för ett liknande resonemang, dom av den 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punkterna 83, 84 och 97, och dom av den 24 november 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 och C‑469/10, EU:C:2011:777, punkt 35).
57 Detta är fallet i artiklarna 22–24 i direktiv 95/46, vilka, såsom generaladvokaten har påpekat i punkt 42 i sitt förslag till avgörande, har uttryckts i allmänna ordalag och inte medfört en fullständig harmonisering av nationella bestämmelser om vem som har rätt att föra talan mot den som påstås kränka skyddet av personuppgifter (se, analogt, dom av den 26 oktober 2017, I, C‑195/16, EU:C:2017:815, punkterna 57 och 58).
58 Även om artikel 22 i direktivet ålägger medlemsstaterna att föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling av personuppgifter, innehåller detta direktiv emellertid inte någon bestämmelse som specifikt reglerar under vilka omständigheter en sådan talan kan föras (se, för ett liknande resonemang, dom av den 27 september 2017, Puškár, C‑73/16, EU:C:2017:725, punkterna 54 och 55).
59 I artikel 24 i direktiv 95/46 föreskrivs dessutom att medlemsstaterna ska anta ”lämpliga bestämmelser” för att säkerställa att detta direktiv genomförs fullständigt, utan att definiera sådana bestämmelser. Att ge möjlighet för en konsumentskyddsorganisation att väcka talan mot den som påstås kränka skyddet av personuppgifter förefaller kunna utgöra en lämplig bestämmelse som avses i denna artikel, vilken bidrar till, såsom har påpekats i punkt 51 ovan, att uppnå direktivets syften, enligt domstolens praxis (se, för ett liknande resonemang, dom av den 6 november 2003, Lindqvist, C‑101/01, EU:C:2003:596, punkt 97).
60 Den omständigheten att en medlemsstat i sin nationella lagstiftning kan föreskriva en sådan möjlighet påverkar, till skillnad från vad som gjorts gällande av Fashion ID, inte menligt det oberoende med vilket tillsynsmyndigheterna ska utöva de uppgifter som åläggs dem i enlighet med kraven i artikel 28 i direktiv 95/46, eftersom denna möjlighet varken påverkar tillsynsmyndigheternas frihet att fatta beslut eller deras handlingsfrihet.
61 Även om det är riktigt att direktiv 95/46 inte förekommer bland de rättsakter som förtecknats i bilaga I till direktiv 2009/22, kvarstår icke desto mindre, enligt artikel 7 i direktiv 2009/22, att direktivet inte medför en fullständig harmonisering i detta avseende.
62 Slutligen innebär den omständigheten att förordning nr 2016/679, som har upphävt och ersatt direktiv 95/46 och som tillämpas från och med den 25 maj 2018, uttryckligen ger medlemsstaterna rätt att i artikel 80.2 tillåta konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter på intet sätt att medlemsstaterna inte kan ge dem den rätten enligt direktiv 95/46, utan tvärtom bekräftar detta att tolkningen i denna dom återspeglar unionslagstiftarens vilja.
63 Mot denna bakgrund ska den första frågan besvaras enligt följande. Artiklarna 22–24 i direktiv 95/46 ska tolkas så, att de inte utgör hinder för nationella bestämmelser som gör det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter.
Den andra frågan
64 Den hänskjutande domstolen har ställt sin andra fråga för att få klarhet i huruvida en webbplatsoperatör, såsom Fashion ID, som integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – kan anses vara registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46, även om webbplatsoperatören inte har något inflytande på behandlingen av uppgifterna liksom översändandet till tjänsteleverantören av insticksprogrammet.
65 I detta hänseende ska det erinras om att – i enlighet med syftet med direktiv 95/46 att säkerställa en hög skyddsnivå när det gäller fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter – begreppet ”registeransvarig” i artikel 2 d i direktivet definieras i vid bemärkelse som den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (se, för ett liknande resonemang, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkterna 26 och 27).
66 Såsom domstolen redan har konstaterat är syftet med denna bestämmelse att genom en vid definition av begreppet ”ansvarig” säkerställa ett effektivt och komplett skydd för de berörda personerna (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 34, och dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 28).
67 Vidare, eftersom begreppet ”registeransvarig”, såsom uttryckligen framgår av artikel 2 d i direktiv 95/46, avser det organ som ”ensamt eller tillsammans med andra” bestämmer ändamålen och medlen för behandlingen av personuppgifter, avser detta begrepp således inte nödvändigtvis en enda enhet och det kan avse flera aktörer som deltar i behandlingen, där var och en av dem omfattas av bestämmelserna om skydd av personuppgifter. (se, för ett liknande resonemang, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 29, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 65).
68 Domstolen har även slagit fast att en fysisk eller juridisk person som i eget syfte påverkar behandlingen av personuppgifter, och därigenom bidrar till att bestämma ändamål och medel för behandlingen, kan anses vara registeransvarig, i den mening som avses i artikel 2 d i direktiv 95/46 (dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 68).
69 För att flera aktörer ska anses ha ett gemensamt ansvar för samma behandling krävs, för övrigt, enligt denna bestämmelse, inte att var och en av dessa har tillgång till de aktuella personuppgifterna (se, för ett liknande resonemang, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 38, och dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 69).
70 Eftersom syftet med artikel 2 d i direktiv 95/46 är att genom en vid definition av begreppet ”registeransvarig” säkerställa ett effektivt och heltäckande skydd för de berörda personerna, innebär förekomsten av ett gemensamt ansvar inte nödvändigtvis att olika aktörer har samma ansvar för samma typ av behandling av personuppgifter. Tvärtom kan dessa aktörer vara involverade i olika skeden av behandlingen och i olika utsträckning, så att ansvaret för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter i fråga (se, för ett liknande resonemang, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 66).
71 Det ska i detta avseende påpekas att artikel 2 b i direktiv 95/46 definierar ”behandling av personuppgifter” som ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”.
72 Det framgår av denna definition att en behandling av personuppgifter kan bestå av en eller flera åtgärder, som i var och en av de olika leden kan innehålla en behandling av personuppgifter.
73 Dessutom följer det av definitionen av begreppet ”registeransvarig” i artikel 2 d i direktiv 95/46, som det erinrats om i punkt 65 ovan, att när flera aktörer tillsammans bestämmer ändamålen och medlen för behandlingen av personuppgifter, är de, i egenskap av ansvariga, delaktiga i denna behandling.
74 Härav följer, såsom generaladvokaten angett i punkt 101 i sitt förslag till avgörande, att en fysisk eller juridisk person endast betraktas som ansvarig, i den mening som avses i artikel 2 d i direktiv 95/46, tillsammans med andra, för de behandlingar av personuppgifter för vilken den tillsammans bestämt medlen och ändamålen för. Däremot, och utan att det påverkar eventuellt civilrättsligt ansvar enligt nationell lagstiftning i detta avseende, kan denna fysiska eller juridiska person inte anses vara ansvarig i den mening som avses i denna bestämmelse för de tidigare eller senare åtgärderna i den övergripande behandlingskedjan, som denna varken fastställer ändamålen eller medlen för.
75 I föreliggande fall, med förbehåll för den prövning som ankommer på den hänskjutande domstolen, framgår det av handlingarna i målet att genom att Fashion ID har integrerat Facebooks ”Gilla”-knapp på sin webbplats förefaller Fashion ID ha gjort det möjligt för Facebook Ireland att få tillgång till webbplatsbesökarnas personuppgifter. Denna möjlighet ges redan i det ögonblick som någon går in på webbplatsen, och det oavsett om besökarna är medlemmar i det sociala nätverket Facebook eller om de har klickat på Facebooks ”Gilla”‑knapp eller om de ens känner till en sådan åtgärd.
76 Mot bakgrund av dessa uppgifter kan det konstateras att de åtgärder i behandlingen av personuppgifter som Fashion ID är i stånd att, tillsammans med Facebook Ireland, fastställa ändamålen och medlen för är, enligt definitionen av begreppet ”behandling av personuppgifter” i artikel 2 b i direktiv 95/46, insamlingen och utlämnandet genom översändande av webbplatsbesökarnas personuppgifter. Däremot framstår det med hänsyn till dessa uppgifter, vid första anblicken, som uteslutet att Fashion ID fastställer ändamålen och medlen för de senare åtgärderna i den behandling av personuppgifter som utförs av Facebook Ireland efter det att uppgifterna har utlämnats till den senare, så att Fashion ID inte kan anses vara ansvarig för dessa åtgärder i den mening som avses i artikel 2 d.
77 Vad gäller de medel som används för insamling och utlämnande genom översändande av vissa av webbplatsbesökarnas personuppgifter, framgår det av punkt 75 ovan att Fashion ID på sin webbplats tycks ha integrerat Facebooks ”Gilla”-knapp, som tillhandahålls av tjänsteleverantören Facebook Ireland, väl medveten om att den används som ett verktyg för att samla in och översända webbplatsbesökarnas personuppgifter, och detta oavsett om de är medlemmar i det sociala nätverket Facebook eller inte.
78 Genom att integrera ett sådant socialt insticksprogram på sin webbplats har Fashion ID ett väsentligt inflytande på insamlingen och översändandet av webbplatsbesökarnas personuppgifter till förmån för tjänsteleverantören av insticksprogrammet, det vill säga Facebook Ireland, som utan att insticksprogrammet integreras inte skulle vara möjlig.
79 Under dessa omständigheter och med förbehåll för de kontroller som det ankommer på den hänskjutande domstolen att göra, ska Facebook Ireland och Fashion ID anses tillsammans bestämma de ursprungliga medlen för insamlingen och utlämnande genom översändande av Fashion ID:s webbplatsbesökares personuppgifter.
80 Vad gäller ändamålen för behandlingen av personuppgifter, tycks det som om Fashion ID genom att integrera Facebooks ”Gilla”-knapp på sin webbplats optimerar reklamen för sina produkter genom att de blir mer synliga på det sociala nätverket Facebook när webbplatsbesökarna klickar på denna knapp. Det är för att kunna åtnjuta denna kommersiella fördel bestående i ökad reklam för sina produkter som Fashion ID, genom att integrera en sådan knapp på sin webbplats, tycks ha samtyckt, åtminstone indirekt, till insamlingen och utlämnandet genom översändande av webbplatsbesökarnas personuppgifter. Dessa behandlingar utförs således både i Fashion ID:s och i Facebook Irelands ekonomiska intresse. För Facebook Ireland utgör det faktum att få tillgång till dessa uppgifter för sina egna kommersiella syften själva ersättningen för den fördel som Fashion ID erhåller.
81 Under sådana omständigheter kan det anses, med förbehåll för de kontroller som det ankommer på den hänskjutande domstolen att utföra, att Fashion ID och Facebook Ireland tillsammans bestämmer ändamålen med insamlingen och utlämnandet genom översändande av de personuppgifter som är aktuella i det nationella målet.
82 Såsom framgår av den rättspraxis som det erinrats om i punkt 69 ovan, utgör den omständigheten att en webbplatsoperatör, såsom Fashion ID, inte själv har tillgång till de personuppgifter som samlats in och utlämnats till tjänsteleverantören till det sociala insticksprogrammet – med vilken den tillsammans bestämmer medlen och ändamålen för behandlingen av personuppgifter – inte något hinder för att kvalificeras som ”registeransvarig” i den mening som avses i artikel 2 d i direktiv 95/46.
83 Det ska för övrigt påpekas att en webbplats, som Fashion ID:s, besöks av både personer som är medlemmar i det sociala nätverket Facebook och som sålunda har ett konto hos det sociala nätverket, och av de som inte har det. I det senare fallet framstår ansvaret som åvilar webbplatsoperatören, såsom Fashion ID, för behandlingen av dessa personers personuppgifter som än mer betydande, eftersom endast ett besök på en sådan sida, som innehåller Facebooks ”Gilla”-knapp, verkar medföra att Facebook Ireland behandlar deras personuppgifter (se, för ett liknande resonemang, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 41).
84 Det framgår följaktligen att Fashion ID kan anses som gemensamt ansvarig i den mening som avses i artikel 2 d i direktiv 95/46, med Facebook Ireland för insamling och utlämnande genom översändande av sina webbplatsbesökares personuppgifter.
85 Mot denna bakgrund ska den andra frågan besvaras enligt följande. En webbplatsoperatör, såsom Fashion ID, som integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – kan anses vara registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46. Detta ansvar är dock begränsat till den behandling eller den gemensamma behandling av personuppgifter som den faktiskt bestämmer ändamålen och medlen för, nämligen insamlingen och utlämnandet genom översändande av personuppgifter i det aktuella målet.
Den tredje frågan
86 Med hänsyn till svaret på den andra frågan saknas anledning att besvara den tredje frågan.
Den fjärde frågan
87 Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida i en sådan situation som den i det nationella målet, där en webbplatsoperatör integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – hänsyn bör tas, vid tillämpningen av artikel 7 f i direktiv 95/46, till det berättigade intresset hos operatören eller det berättigade intresset hos tjänsteleverantören.
88 Det ska inledningsvis påpekas att kommissionen anser att denna fråga inte är relevant för utgången i det nationella målet, eftersom de registrerades samtycke, som krävs enligt artikel 5.3 i direktiv 2002/58, inte inhämtats.
89 I detta avseende bör det noteras att enligt artikel 5.3 i det nämnda direktiv ska medlemsstaterna se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna.
90 Det ankommer på den hänskjutande domstolen att, i en sådan situation som den som är aktuell i det nationella målet, pröva huruvida tjänsteleverantören till ett socialt insticksprogram, såsom Facebook Ireland, får tillgång till information från besökarna till operatörens webbplats som är lagrad i terminalutrustningen, i den mening som avses i artikel 5.3 i direktiv 2002/58, vilket gjorts gällande av kommissionen.
91 Under sådana omständigheter och eftersom den hänskjutande domstolen förefaller anse att de uppgifter som, i föreliggande fall, översänts till Facebook Ireland utgör personuppgifter i den mening som avses i direktiv 95/46, vilket för övrigt inte nödvändigtvis är begränsat till information som är lagrad i terminalutrustningen, vilket det ankommer på den hänskjutande domstolen att kontrollera, innebär inte kommissionens överväganden att det är möjligt att ifrågasätta den fjärde tolkningsfrågans relevans för avgörandet av målet vid den hänskjutande domstolen. Detta eftersom den hänför sig till den eventuella lagenliga karaktären hos behandlingen av de aktuella uppgifterna, såsom generaladvokaten även påpekat i punkt 115 i sitt förslag till avgörande.
92 Därför finns det skäl att undersöka frågan om vilka berättigade intressen som ska beaktas vid tillämpningen av artikel 7 f i direktiv 95/46 på behandlingen av dessa uppgifter.
93 Det ska i detta sammanhang inledningsvis påpekas att, det i enlighet med bestämmelserna i kapitel II i direktiv 95/46, med rubriken ”Allmänna bestämmelser om när personuppgifter får behandlas”, ska, med förbehåll för de undantag som får göras enligt artikel 13 i direktivet, all behandling av personuppgifter stå i överensstämmelse med, bland annat, någon av de principer som gör att uppgiftsbehandlingen kan tillåtas, som anges i artikel 7 i direktivet (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 71, och dom av den 1 oktober 2015, Bara m.fl., C‑201/14, EU:C:2015:638, punkt 30).
94 Enligt artikel 7 f i direktiv 95/46, som den hänskjutande domstolen begärt tolkning av, är behandlingen av personuppgifter tillåten om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd enligt artikel 1.1 i direktiv 95/46.
95 I artikel 7 f i direktiv 95/46 föreskrivs således tre kumulativa villkor för att en behandling av personuppgifter ska vara tillåten, nämligen för det första förekomsten av ett berättigat intresse hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna lämnas ut, för det andra att behandlingen av personuppgifter är nödvändig för det berättigade intresse som eftersträvas och för det tredje att den berörda personens grundläggande fri- och rättigheter inte ska ges företräde (dom av den 4 maj 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punkt 28).
96 Mot bakgrund av svaret på den andra tolkningsfrågan framgår det att, i en sådan situation som den som är aktuell i det nationella målet, det är nödvändigt för envar av de registeransvariga att ha ett berättigat intresse i enlighet med artikel 7 f i direktiv 95/46 för att dessa behandlingar ska tillåtas. Detta förutsätter att en webbplatsoperatör som integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – kan anses vara gemensamt ansvarig med tjänsteleverantören för behandlingen av webbplatsbesökarnas personuppgifter som innefattar insamling och utlämnande genom översändande.
97 Mot bakgrund av det ovan anförda ska den fjärde tolkningsfrågan besvaras på följande sätt. I en sådan situation som den i det nationella målet, där en webbplatsoperatör integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – ska både webbplatsoperatören och tjänsteleverantören ha ett berättigat intresse i enlighet med artikel 7 f i direktiv 95/46, för att dessa behandlingar ska tillåtas.
Den femte och den sjätte frågan
98 Den hänskjutande domstolen har ställt den femte och den sjätte frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida, för det första, artikel 2 h och artikel 7 a i direktiv 95/46 ska tolkas så, att – i en sådan situation som den i det nationella målet, där en webbplatsoperatör integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – samtycke som enligt dessa bestämmelser ska inhämtas av antingen den förutnämnda webbplatsoperatören eller tjänsteleverantören och, för det andra, om artikel 10 i direktivet ska tolkas så, att – i en sådan situation – informationsplikten som föreskrivs i den bestämmelsen åligger webbplatsoperatören.
99 Såsom framgår av svaret på den andra tolkningsfrågan, kan en webbplatsoperatör som integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör, anses vara registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46. Detta ansvar är dock begränsat till den behandling eller den gemensamma behandling av personuppgifter som webbplatsoperatören faktiskt bestämmer ändamålen och medlen för.
100 Det framgår således att de förpliktelser som åläggs den registeransvarige enligt direktiv 95/46, såsom skyldigheten att inhämta den registrerades samtycke enligt artikel 2 h och artikel 7 a i direktivet liksom informationsplikten i artikel 10 i direktivet, ska avse den behandling eller den gemensamma behandling av personuppgifter som den faktiskt bestämmer ändamålen och medlen för.
101 I detta fall, om en webbplatsoperatör som integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör, kan anses vara gemensamt registeransvarig med tjänsteleverantören för insamlingen och utlämnandet genom översändande av besökarnas personuppgifter, ska dess skyldighet att inhämta samtycke från den registrerade som avses i artikel 2 h och artikel 7 a i direktiv 95/46 liksom dess informationsplikt enligt artikel 10 i direktivet avse dess egna åtgärder. Sådana skyldigheter ska i gengäld inte omfatta behandling av personuppgifter som rör andra stadier, före eller efter dessa åtgärder, som i förekommande fall innefattar behandling av personuppgifter.
102 När det gäller det samtycke som avses i artikel 2 h och artikel 7 a i direktiv 95/46, framgår det att samtycket måste inhämtas före den registrerades personuppgifter samlas in och utlämnas genom översändande. Under dessa omständigheter är det webbplatsoperatören, och inte tjänsteleverantören till det sociala insticksprogrammet, som ska inhämta detta samtycke, eftersom det är när en besökare går in på denna webbplats som behandlingen av personuppgifter påbörjas. Såsom generaladvokaten har påpekat i punkt 132 i sitt förslag till avgörande skulle det inte vara förenligt med ett effektivt och omedelbart skydd för den registrerades rättigheter om samtycket endast skulle lämnas till den gemensamt registeransvarige som är inblandad senare, det vill säga tjänsteleverantören till insticksprogrammet. Det samtycke som ges till webbplatsoperatören avser emellertid enbart den behandling eller den gemensamma behandling av personuppgifter som webbplatsoperatören effektivt fastställer ändamålen och medlen för.
103 Detsamma gäller informationsplikten som föreskrivs i artikel 10 i direktiv 95/46.
104 I detta avseende framgår det av ordalydelsen i denna bestämmelse att den registeransvarige eller hans företrädare i vart fall ska informera den registrerade från vilken den samlar in uppgifter om det som framgår i nämnda bestämmelse. Det framgår således att denna information ska lämnas omedelbart av den registeransvarige, nämligen vid tidpunkten för insamlingen av uppgifterna (se, för ett liknande resonemang, dom av den 7 maj 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punkt 68, och dom av den 7 november 2013, IPI, C‑473/12, EU:C:2013:715, punkt 23).
105 Av detta följer att – i en sådan situation som den som är aktuell i det nationella målet – informationsplikten enligt artikel 10 i direktiv 95/46 även åligger webbplatsoperatören och att de uppgifter som webbplatsoperatören ska ge till den registrerade enbart omfattar den behandling eller den gemensamma behandling av personuppgifter som den faktiskt bestämmer ändamålen och medlen för.
106 Mot bakgrund av det ovan anförda ska den femte och sjätte tolkningsfrågan besvaras på följande sätt. Artikel 2 h och artikel 7 a i direktiv 95/46 ska tolkas så, att – i en sådan situation som den i det nationella målet, där en webbplatsoperatör integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – det samtycke som enligt dessa bestämmelser ska inhämtas av webbplatsoperatören enbart omfattar den behandling eller den gemensamma behandling av personuppgifter som webbplatsoperatören faktiskt bestämmer ändamålen och medlen för. Dessutom ska artikel 10 i direktivet tolkas så, att – i en sådan situation – informationsplikten enligt artikeln även åligger webbplatsoperatören och att de uppgifter som webbplatsoperatören ska ge till den registrerade enbart omfattar den behandling eller den gemensamma behandling av personuppgifter som den faktiskt bestämmer ändamålen och medlen för.
Rättegångskostnader
107 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (andra avdelningen) följande:
1) Artiklarna 22–24 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ska tolkas så, att de inte utgör hinder för nationella bestämmelser som gör det möjligt för konsumentskyddsorganisationer att väcka talan mot den som påstås kränka skyddet av personuppgifter.
2) En webbplatsoperatör, såsom Fashion ID GmbH & Co. KG, som integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – kan anses vara registeransvarig i den mening som avses i artikel 2 d i direktiv 95/46. Detta ansvar är dock begränsat till den behandling eller den gemensamma behandling av personuppgifter som den faktiskt bestämmer ändamålen och medlen för.
3) I en sådan situation som den i det nationella målet, där en webbplatsoperatör integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – ska både webbplatsoperatören och tjänsteleverantören ha ett berättigat intresse i enlighet med artikel 7 f i direktiv 95/46, för att dessa behandlingar ska tillåtas.
4) Artikel 2 h och artikel 7 a i direktiv 95/46 ska tolkas så, att – i en sådan situation som den i det nationella målet, där en webbplatsoperatör integrerar ett socialt insticksprogram på sin webbplats – som får webbplatsbesökarens webbläsare att begära innehåll från tjänsteleverantören till insticksprogrammet och, i detta syfte, översända besökarens personuppgifter till denna tjänsteleverantör – det samtycke som enligt dessa bestämmelser ska inhämtas av webbplatsoperatören enbart omfattar den behandling eller den gemensamma behandling av personuppgifter som webbplatsoperatören faktiskt bestämmer ändamålen och medlen för. Dessutom ska artikel 10 i direktivet tolkas så, att – i en sådan situation – informationsplikten enligt artikeln även åligger webbplatsoperatören och att de uppgifter som webbplatsoperatören ska ge till den registrerade enbart omfattar den behandling eller den gemensamma behandling av personuppgifter som den faktiskt bestämmer ändamålen och medlen för.
Underskrifter