STANOVISKO GENERÁLNÍHO ADVOKÁTA
ATHANASIOSE RANTOSE
přednesené dne 20. září 2022(1)
Věc C‑252/21
Meta Platforms Inc., dříve Facebook Inc.,
Meta Platforms Ireland Limited, dříve Facebook Ireland Ltd.,
Facebook Deutschland GmbH
proti
Bundeskartellamt
za účasti:
Verbraucherzentrale Bundesverband e.V.
[žádost o rozhodnutí o předběžné otázce podaná Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu, Německo)]
„Řízení o předběžné otázce – Nařízení (EU) 2016/679 – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Sociální sítě – Článek 4 bod 11 – Pojem „souhlas“ subjektu údajů – Souhlas vyjádřený v souvislosti s podnikem odpovědným za zpracování údajů v dominantním postavení – Článek 6 odst. 1 písm. b) až f) – Zákonnost zpracování – Zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro účely oprávněných zájmů příslušného správce či třetí strany – Zpracování nezbytné pro dodržení zákonné povinnosti, která se na správce vztahuje, pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby nebo pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce – Článek 9 odst. 1 a čl. 9 odst. 2 písm. e) – Zvláštní kategorie osobních údajů – Osobní údaje zjevně zveřejněné subjektem údajů – Články 51 až 66 – Pravomoci vnitrostátního orgánu pro hospodářskou soutěž – Skloubení s pravomocemi dozorových úřadů na ochranu osobních údajů – Přijetí opatření v oblasti práva hospodářské soutěže ze strany úřadu nacházejícího se v jiném členském státě než vedoucí dozorový úřad na ochranu osobních údajů“
Úvod
1. Tuto žádost o rozhodnutí o předběžné otázce podal Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu, Německo) v rámci sporu mezi společnostmi skupiny Meta Platforms(2) a Bundeskartellamt (Spolkovým úřadem pro hospodářskou soutěž, Německo) ohledně rozhodnutí, kterým Bundeskartellamt zakázal stěžovatelce v původním řízení zpracování osobních údajů stanovené v podmínkách používání služby její sociální sítě Facebook, jakož i uplatňování těchto podmínek používání služby, a uložil opatření směřující k ukončení těchto činností(3).
2. Předběžné otázky se v zásadě týkají na jedné straně pravomoci vnitrostátního orgánu pro hospodářskou soutěž, jako je Bundeskartellamt, přezkoumat ve věci samé nebo incidenčně chování podniku ve světle některých ustanovení nařízení (EU) 2016/679(4) a na druhé straně jejich výkladu zejména s ohledem na zpracování citlivých osobních údajů, relevantních podmínek zákonnosti zpracování osobních údajů a projevu svobodného souhlasu v souvislosti s podnikem v dominantním postavení.
Právní rámec
Unijní právo
3. Článek 4 GDPR stanoví:
„Pro účely tohoto nařízení se rozumí:
[…]
11) „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
[…]„
4. Článek 6 odst. 1 tohoto nařízení, nadepsaný „Zákonnost zpracování“, zní takto:
„Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.“
5. Článek 9 odst. 1 a 2 uvedeného nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, stanoví:
„1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:
a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;
[…]
e) zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;
[…]“
6. Článek 51 tohoto nařízení, nadepsaný „Dozorový úřad“, který je součástí kapitoly VI nařízení nazvané „Nezávislé dozorové úřady“, uvádí:
„1. Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie […]
2. Každý dozorový úřad přispívá k jednotnému uplatňování tohoto nařízení v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.
[…]“
Německé právo
7. Článek 19 odst. 1 Gesetz gegen Wettbewerbsbeschränkungen (zákon proti omezování hospodářské soutěže, dále jen „GWB“) stanoví:
„Využívání dominantního postavení, které má zneužívající povahu, jedním nebo více podniky je zakázáno.“(5)
8. Článek 50f GWB stanoví:
„(1) Úřady pro hospodářskou soutěž, regulační úřady, spolkový zmocněnec pro ochranu osobních údajů a svobodu informací, zmocněnci spolkových zemí pro ochranu osobních údajů, jakož i příslušné orgány ve smyslu článku 2 EU-Verbraucherschutzdurchführungsgesetz [zákon, kterým se provádí právní úprava Evropské unie o ochraně spotřebitelů] si mohou mezi sebou bez ohledu na zvolený postup vyměňovat informace, včetně osobních údajů a obchodního tajemství v rozsahu, v jakém je to nezbytné pro plnění jejich příslušných úkolů, jakož i těchto informací využívat při své činnosti. […]“
Spor v původním řízení, předběžné otázky a řízení před Soudním dvorem
9. Společnost Meta Platforms spravuje nabídku online sociální sítě „Facebook“ v Evropské unii (na adrese www.facebook.com), jakož i další online služby, například Instagram a WhatsApp. Hospodářský model sociálních sítí spravovaných společností Meta Platforms v podstatě spočívá na jedné straně v nabízení bezplatných služeb sociálních sítí soukromým uživatelům a na druhé straně v prodeji online reklamy šité na míru jednotlivým uživatelům sociální sítě, jejímž cílem je prezentovat uživateli produkty a služby, které by ho mohly zajímat zejména z důvodu jeho osobních spotřebitelských postojů, jeho zájmů, kupní síly a osobní situace. Technickým základem tohoto typu reklamy je automatizované sestavení velmi detailních profilů uživatelů sítě a online služeb nabízených na úrovni skupiny(6).
10. Při shromažďování a zpracování uživatelských údajů se společnost Meta Platforms opírá o smlouvu o užívání uzavřenou se svými uživateli stisknutím tlačítka „Zaregistrovat se“, čímž tito uživatelé přijímají podmínky služby Facebook. Přijetí těchto podmínek služby je nezbytnou podmínkou pro používání sociální sítě Facebook(7). Problém, který je jádrem projednávané věci, se týká praxe spočívající zaprvé ve shromažďování údajů z jiných služeb patřících koncernu, jakož i z internetových stránek a aplikací třetích stran prostřednictvím do nich integrovaných rozhraní nebo prostřednictvím souborů cookies uložených v počítači nebo mobilním koncovém zařízení uživatele, zadruhé, propojením těchto údajů s facebookovým účtem dotyčného uživatele a zatřetí používáním uvedených údajů (dále jen „sporná praxe“).
11. Bundeskartellamt zahájil proti společnosti Meta Platforms řízení, po kterém napadeným rozhodnutím zakázal společnosti Meta Platforms zpracovávat údaje na základě podmínek služby Facebook a uplatňovat tyto podmínky a uložil jí opatření směřující k ukončení těchto činností. Bundeskartellamt založil své rozhodnutí zejména na skutečnosti, že předmětné zpracování představuje zneužití dominantního postavení této společnosti na trhu sociálních sítí pro soukromé uživatele v Německu ve smyslu článku 19 GWB(8).
12. Dne 11. února 2019 společnost Meta Platforms podala proti spornému rozhodnutí stížnost k Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu)(9), předkládajícímu soudu, který má na jedné straně v zásadě pochybnosti o možnostech vnitrostátních orgánů pro hospodářskou soutěž monitorovat soulad zpracovávání údajů s požadavky stanovenými v GDPR, jakož i zjišťovat a sankcionovat porušování ustanovení GDPR, a na druhé straně o výkladu a uplatňování některých ustanovení tohoto nařízení.
13. Za těchto okolností se Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) a) Je slučitelné s článkem 51 a násl. [GDPR], pokud vnitrostátní orgán členského státu pro hospodářskou soutěž, jako je Bundeskartellamt, který není dozorovým úřadem ve smyslu článku 51 a násl. GDPR a v jehož členském státě má podnik usazený mimo Evropskou unii provozovnu, která hlavní provozovně tohoto podniku, která se nachází v jiném členském státě a nese výlučnou odpovědnost za zpracování osobních údajů na celém území Evropské unie, poskytuje podporu v oblasti reklamy, komunikace a styku s veřejností, pro účely výkonu dohledu nad zneužíváním dominantního postavení podle soutěžního práva konstatuje, že smluvní podmínky hlavní provozovny týkající se zpracování údajů a jejich uplatňování porušují GDPR, a vydá rozhodnutí směřující k ukončení tohoto porušování?
b) V případě kladné odpovědi: Je to slučitelné s čl. 4 odst. 3 SEU, pokud vedoucí dozorový úřad v členském státě hlavní provozovny ve smyslu čl. 56 odst. 1 GDPR zároveň provádí šetření ohledně jejích smluvních podmínek týkajících se zpracování údajů?
V případě kladné odpovědi na první otázku:
2) a) Jedná se tehdy, jestliže uživatel internetu buď pouze zobrazí internetové stránky nebo aplikace, které mají vztah ke kritériím uvedeným v čl. 9 odst. 1 GDPR, jako například Flirting Apps, seznamovací služby pro gaye, internetové stránky politických stran, internetové stránky týkající se zdraví, nebo tam rovněž zadá data, například při registraci nebo objednávání, a jiný podnik, jako je společnost Facebook Ireland, prostřednictvím rozhraní, která jsou vložena do daných internetových stránek a aplikací, jako jsou „Facebook Business Tools“, nebo prostřednictvím cookies uložených do počítače nebo mobilního koncového zařízení uživatele internetu nebo podobných technologií ukládání dat shromažďuje údaje o zobrazení internetových stránek a aplikací ze strany uživatele a o tom, co tam uživatel zadal, propojuje je s údaji o účtu uživatele [Facebooku] a využívá je, v případě daného shromažďování nebo propojování nebo využívání o zpracování citlivých údajů ve smyslu uvedeného ustanovení?
b) V případě kladné odpovědi: Představuje zobrazení těchto internetových stránek nebo zadání dat nebo stisknutí tlačítek poskytovatele, jako je společnost Facebook Ireland, která jsou vložena do těchto internetových stránek nebo aplikací („sociální moduly“ jako „To se mi líbí“, „Sdílet“ nebo „Facebook Login“ či „Account Kit“) zjevné zveřejnění údajů o zobrazení jako takovém nebo o zadání dat ze strany uživatele ve smyslu čl. 9 odst. 2 písm. e) GDPR?
3) Může se podnik, jako je společnost Facebook Ireland, který provozuje digitální sociální síť financovanou prostřednictvím reklamy a ve svých podmínkách používání služby nabízí personalizaci obsahů a reklamy, zabezpečení sítě, zlepšování produktů a konzistentní a plynulé používání veškerých produktů patřících koncernu, jehož je součástí, dovolávat právního důvodu zpracování spočívajícího v nezbytnosti pro splnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR nebo týkajícího se zpracování pro účely oprávněných zájmů podle čl. 6 odst. 1 písm. f) GDPR, pokud pro tyto účely shromažďuje údaje získané v souvislosti s jinými službami patřícími koncernu, a z internetových stránek a aplikací třetích stran, a to prostřednictvím rozhraní, která jsou v nich vložena, jako jsou „Facebook Business Tools“, nebo prostřednictvím cookies uložených do počítače nebo mobilního koncového zařízení uživatele internetu či podobné technologie ukládání dat, propojuje je s účtem uživatele [Facebooku] a využívá je?
4) Mohou v takovém případě i
– nezletilost uživatelů v případě personalizace obsahů a reklam, zlepšování produktů, zabezpečení sítě a jiné než marketingové komunikace s uživatelem,
– poskytování měření, analýz a dalších služeb pro firmy inzerentům, vývojářům a dalším partnerům, aby mohli vyhodnocovat a zlepšovat svou efektivitu,
– poskytování marketingové komunikace s uživatelem, aby podnik mohl zlepšovat své produkty a provádět přímý marketing,
– společensky prospěšný výzkum a inovace za účelem zlepšování stavu techniky, resp. vědeckého pochopení důležitých společenských témat a za účelem pozitivního ovlivňování společnosti a světa,
– informování bezpečnostních složek a odpovědi na právní žádosti za účelem prevence, odhalování a stíhání trestných činů, neoprávněného používání produktů, porušování podmínek používání služby a zásad a dalšího škodlivého jednání
být oprávněnými zájmy ve smyslu čl. 6 odst. 1 písm. f) GDPR, pokud podnik pro tyto účely shromažďuje údaje získané v souvislosti s jinými službami patřícími koncernu, jehož je součástí, a z internetových stránek a aplikací třetích stran prostřednictvím rozhraní, která jsou do nich vložena, jako jsou „Facebook Business Tools“, nebo prostřednictvím cookies uložených do počítače nebo mobilního koncového zařízení uživatele internetu nebo podobných technologií ukládání dat, propojuje je s účtem uživatele [Facebooku] a využívá je?
5) Může být v takovém případě shromažďování údajů získaných v souvislosti s jinými službami patřícími koncernu a z internetových stránek a aplikací třetích stran prostřednictvím rozhraní, která jsou do nich vložena, jako jsou například „Facebook Business Tools“, nebo prostřednictvím cookies uložených do počítače nebo mobilního koncového zařízení uživatele internetu nebo podobných technologií ukládání dat, jejich propojování s účtem uživatele [Facebooku] a využívání nebo využívání údajů, které již byly zákonně shromážděny a propojeny jiným způsobem, v konkrétních případech ospravedlněno rovněž na základě čl. 6 odst. 1 písm. c), d) a e) GDPR, například za účelem odpovědi na právoplatnou žádost o poskytnutí určitých údajů [písmeno c)], potírání škodlivého chování a zvyšování bezpečnosti [písmeno d)], výzkumu prováděného pro blaho společnosti a za účelem podpory bezpečnosti, integrity a zabezpečení [písmeno e)]?
6) Lze ve vztahu k podniku v dominantním postavení, jako je společnost Facebook Ireland, vyjádřit souhlas ve smyslu čl. 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) GDPR, který je platný a zejména svobodný ve smyslu čl. 4 bodu 11 GDPR?
V případě záporné odpovědi na první otázku:
7) a) Může vnitrostátní orgán členského státu pro hospodářskou soutěž, jako je Spolkový úřad pro hospodářskou soutěž, který není dozorovým úřadem ve smyslu článku 51 a násl. GDPR a který prověřuje porušení zákazu zneužití stanoveného soutěžním právem ze strany podniku v dominantním postavení, které nespočívá v tom, že jeho podmínky zpracování údajů a jejich uplatňování porušují GDPR, například v rámci zvážení zájmů určit, zda jsou podmínky zpracování údajů tohoto podniku a jejich uplatňování v souladu s GDPR?
b) V případě kladné odpovědi: Je tomu tak s ohledem na čl. 4 odst. 3 SEU i v případě, že vedoucí dozorový úřad, který je příslušný podle čl. 56 odst. 1 GDPR, zároveň provádí šetření ohledně podmínek tohoto podniku pro zpracování údajů?
V případě kladné odpovědi na sedmou otázku je třeba zodpovědět třetí až pátou otázku ve vztahu k údajům získaným v souvislosti s používáním služby Instagram, která patří koncernu.“
14. Písemná vyjádření předložila společnost Meta Platforms, německá, česká, italská a rakouská vláda, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (sdružení spotřebitelů, Německo) a také Evropská komise. Tyto strany rovněž přednesly ústní vyjádření během jednání, které se konalo dne 10. května 2022.
Analýza
15. Předběžné otázky, které jsou předmětem projednávané věci a které se týkají výkladu několika ustanovení GDPR, se v zásadě týkají zaprvé pravomoci orgánu pro hospodářskou soutěž zjišťovat a postihovat porušení pravidel v oblasti zpracování osobních údajů a jeho povinnosti spolupracovat s vedoucím orgánem ve smyslu GDPR (první a sedmá předběžná otázka), zadruhé zákazu zpracování citlivých osobních údajů a podmínek udělení souhlasu s jejich využitím (druhá předběžná otázka), zatřetí zákonnosti zpracování osobních údajů ve světle určitých odůvodnění (třetí až pátá předběžná otázka) a začtvrté platnosti souhlasu se zpracováním osobních údajů daného podniku v dominantním postavení (šestá předběžná otázka).
16. V následujících bodech se budu zabývat nejprve první a sedmou předběžnou otázkou a poté dalšími předběžnými otázkami v pořadí, v jakém byly položeny, přičemž třetí až pátou předběžnou otázku spojím do jedné otázky.
K první předběžné otázce
17. Podstatou první předběžné otázky předkládajícího soudu je, zda orgán pro hospodářskou soutěž, jestliže stíhá porušení pravidel hospodářské soutěže, může na jedné straně rozhodnout především(10) o porušení pravidel zpracování údajů GDPR ze strany podniku, jehož hlavní provozovna, výlučně odpovědná za zpracování osobních údajů na celém území Unie, se nachází v jiném členském státě, a na druhé straně může nařídit ukončení tohoto porušování [první otázka písm. a)], a v případě kladné odpovědi, zda vedoucí dozorový úřad příslušný podle čl. 56 odst. 1 GDPR ještě může podmínky zpracování údajů této společnosti podrobit přezkumnému postupu [první otázka písm. b)].
18. Nicméně s výhradou ověření předkládajícím soudem se mi zdá, že Bundeskartellamt ve sporném rozhodnutí nepotrestal porušení GDPR společností Meta Platforms, ale přistoupil pouze k použití pravidel hospodářské soutěže k posouzení údajného porušení zákazu zneužití dominantního postavení touto společností s přihlédnutím, mimo jiné, k nesouladu jednání tohoto podniku s ustanoveními GDPR.
19. Proto je, podle mého názoru, první otázka písm. a), v rozsahu, v němž se týká možnosti orgánu pro hospodářskou soutěž vyjádřit se primárně k porušení pravidel GDPR a nařídit ukončení tohoto porušování ve smyslu tohoto nařízení, irelevantní(11).
20. Z toho vyplývá, že první otázka písm. b), která je podmíněna kladnou odpovědí na první otázku písm. a), je rovněž irelevantní(12).
K sedmé předběžné otázce
21. Podstatou sedmé předběžné otázky předkládajícího soudu je, zda orgán pro hospodářskou soutěž může při stíhání porušení pravidel hospodářské soutěže incidenčně určit(13), zda jsou podmínky zpracování údajů a jejich provádění v souladu s GDPR [sedmá otázka písm. a)] a v případě kladné odpovědi, zda je možný i přezkum orgánem pro hospodářskou soutěž, jestliže tyto podmínky současně podléhají přezkumnému postupu příslušného vedoucího dozorového orgánu [sedmá otázka písm. b)].
22. Pokud jde, zaprvé o sedmou otázku písm. a), zdá se mi, že i když orgán pro hospodářskou soutěž není příslušný určovat porušení GDPR(14), toto nařízení v zásadě nebrání tomu, aby jiné orgány než dozorové úřady mohly při výkonu svých vlastních kompetencí a pravomocí incidenčně brát v úvahu slučitelnost určitého chování s ustanoveními GDPR. To je podle mého názoru zejména případ, kdy orgán pro hospodářskou soutěž vykonává pravomoci, které mu svěřuje článek 102 SFEU a čl. 5 první pododstavec nařízení (ES) č. 1/2003(15) nebo jakýkoli jiný obdobný vnitrostátní právní předpis(16).
23. Při výkonu svých pravomocí musí totiž orgán pro hospodářskou soutěž zejména posoudit, zda posuzované chování spočívá v použití jiných prostředků než těch, které se týkají hospodářské soutěže na základě výkonnosti, s přihlédnutím k právním a hospodářským souvislostem, v nichž k tomuto chování dochází(17). V tomto ohledu může soulad či nesoulad uvedeného chování s ustanoveními GDPR, nikoli sám o sobě, ale s přihlédnutím ke všem okolnostem věci, představovat důležité vodítko pro určení, zda toto chování představuje použití prostředků, kterými se řídí běžná hospodářská soutěž, přičemž je upřesněno, že zneužívající nebo nezneužívající povaha chování s ohledem na článek 102 SFEU nevyplývá z jeho souladu nebo nesouladu s GDPR nebo jinými právními předpisy(18).
24. Domnívám se proto, že zkoumání zneužití dominantního postavení na trhu může odůvodnit, že orgán pro hospodářskou soutěž vykládá normy, na které se nevztahuje právo hospodářské soutěže, jako jsou normy GDPR(19), přičemž upřesňuje, že kontrola se provádí incidenčně(20) a nepředpokládá použití tohoto nařízení příslušnými dozorovými úřady(21).
25. Zadruhé, pokud jde o sedmou otázku písm. b), předkládající soud si klade otázku, jaké jsou povinnosti orgánu pro hospodářskou soutěž v rámci uplatňování zásady loajální spolupráce zakotvené v čl. 4 odst. 3 SEU, jestliže provádí výklad ustanovení tohoto nařízení, pokud jde o příslušný vedoucí dozorový úřad ve smyslu GDPR, a konkrétněji, jestliže stejné chování, jako je chování zkoumané orgánem pro hospodářskou soutěž, podléhá přezkumu ze strany příslušného vedoucího dozorového úřadu.
26. V projednávané věci totiž přezkum chování podniku ve světle norem GDPR orgánem pro hospodářskou soutěž, byť incidenční, s sebou nese riziko rozdílů mezi ním a dozorovými úřady, pokud jde o výklad tohoto nařízení, což by mohlo poškodit jednotný výklad GDPR(22).
27. Unijní právo nestanoví v takové situaci podrobná pravidla, pokud jde o spolupráci mezi orgánem pro hospodářskou soutěž a dozorovými úřady ve smyslu GDPR. Přesněji řečeno, ani mechanismus spolupráce mezi příslušnými orgány ve smyslu GDPR při jeho uplatňování(23), ani jiná konkrétní pravidla ohledně spolupráce mezi správními orgány, jako jsou pravidla týkající se spolupráce mezi orgány pro hospodářskou soutěž a spolupráce mezi nimi a Komisí při uplatňování pravidel hospodářské soutěže(24), se v tomto případě nepoužijí.
28. Orgán pro hospodářskou soutěž je nicméně při výkladu GDPR vázán zásadou loajální spolupráce zakotvenou v čl. 4 odst. 3 SEU, podle níž se Unie a členské státy, včetně jejich správních orgánů(25), vzájemně respektují a pomáhají si při plnění úkolů vyplývajících ze Smluv. Zejména třetí pododstavec tohoto ustanovení stanoví, že členské státy usnadňují Unii plnění jejích úkolů a zdrží se všech opatření, jež by mohla ohrozit dosažení cílů Unie(26). Kromě toho, jako každý správní orgán pověřený uplatňováním unijního práva je orgán pro hospodářskou soutěž vázán zásadou řádné správy jako obecnou zásadou unijního práva, která zahrnuje zejména rozšířenou povinnost řádné péče a péče příslušející vnitrostátním orgánům(27).
29. Při neexistenci přesných pravidel, pokud jde o mechanismy spolupráce, jejichž přijetí může být případně na unijním zákonodárci, má tedy orgán pro hospodářskou soutěž při výkladu ustanovení GDPR přinejmenším informační a sdělovací povinnost a povinnost spolupráce s příslušnými orgány ve smyslu tohoto nařízení za použití vnitrostátních norem, které upravují jejich pravomoci (zásada procesní autonomie členských států) a v souladu se zásadami rovnocennosti a účinnosti(28).
30. Z toho podle mého názoru vyplývá, že pokud příslušný vedoucí dozorový úřad rozhodl o uplatnění některých ustanovení GDPR s ohledem na shodnou nebo obdobnou praxi, orgán pro hospodářskou soutěž se v zásadě nemůže odchýlit od výkladu tohoto orgánu, který je jako jediný příslušný k uplatňování tohoto nařízení(29), a musí, pokud je to možné a zejména v souladu s právem subjektů údajů na obhajobu, dodržovat případná rozhodnutí přijatá tímto orgánem týkající se stejného jednání(30) a v případě pochybností v konkrétním případě o výkladu podaném příslušným orgánem jej konzultovat, nebo případně, pokud se nachází v jiném členském státě, konzultovat s vnitrostátním dozorovým úřadem(31).
31. Kromě toho, při neexistenci rozhodnutí příslušného dozorového úřadu je nicméně na orgánu pro hospodářskou soutěž, aby jej informoval(32) a spolupracoval s ním, jakmile tento úřad zahájí zkoumání stejné praktiky nebo projeví úmysl tak učinit, a případně počkal na výsledek šetření provedeného tímto úřadem, než zahájí vlastní posuzování, pokud je to vhodné a nepoškozuje to zejména dodržování přiměřené doby šetření ze strany orgánu pro hospodářskou soutěž a práva na obhajobu dotčených osob(33).
32. V projednávané věci se mi zdá, že skutečnost, že byla navázána spolupráce s příslušnými dozorovými úřady na vnitrostátní úrovni(34) a rovněž byl neformálně kontaktován hlavní irský dozorový úřad, tedy okolnosti, na které poukazuje Bundeskartellamt a jež má ověřit předkládající soud, může stačit k závěru, že tento orgán splnil své povinnosti řádné péče a loajální spolupráce(35).
33. Závěrem navrhuji odpovědět na sedmou předběžnou otázku, že články 51 až 66 GDPR je třeba vykládat v tom smyslu, že orgán pro hospodářskou soutěž může v rámci svých pravomocí ve smyslu pravidel hospodářské soutěže incidenčně přezkoumat soulad prověřovaných praktik s pravidly GDPR, přičemž je třeba vzít v úvahu veškerá rozhodnutí nebo šetření příslušného dozorového úřadu podle GDPR, informovat vnitrostátní dozorový úřad a v případě potřeby s ním věc konzultovat.
Ke druhé předběžné otázce
34. Podstatou druhé předběžné otázky předkládajícího soudu je, zda čl. 9 odst. 1 GDPR musí být vykládán v tom smyslu, že sporná praxe, pokud jde o zobrazování internetových stránek a aplikací třetích stran(36), spadá do zpracování uvedených citlivých osobních údajů(37), což je zakázáno(38) [druhá otázka písm. a)], a v případě kladné odpovědi, zda čl. 9 odst. 2 písm. e) uvedeného nařízení musí být vykládán v tom smyslu, že uživatel zjevně zveřejňuje ve smyslu tohoto ustanovení údaje, které zanechává při používání internetových stránek a aplikací, nebo na druhé straně údaje, které zadává nebo jež vyplývají z aktivace tlačítek integrovaných do těchto internetových stránek nebo aplikací(39) [druhá otázka písm. b)].
35. Pokud jde v první řadě o otázku 2 písm. a), připomínám, že podle čl. 9 odst. 1 GDPR je zpracování citlivých osobních údajů zakázáno. Zvláštní ochrana těchto údajů je motivována, jak vyplývá z bodu 51 odůvodnění uvedeného nařízení, skutečností, že jsou svou povahou zvláště citlivé z hlediska základních práv a svobod a že jejich zpracování by mohlo tato základní práva a svobody významně ohrozit. Kromě toho se mi, navzdory poněkud nejasné povaze znění tohoto ustanovení(40), nezdá, že, jak předpokládá předkládající soud, zavádí podstatný rozdíl mezi osobními údaji, které jsou citlivé, protože „vypovídají“ o určité situaci, a údaji, jež jsou samy o sobě citlivé(41).
36. V projednávané věci je podle mého názoru zřejmé, že sporná praxe představuje zpracování osobních údajů, které v zásadě může spadat do působnosti tohoto ustanovení a může být zakázáno, pokud zpracovávané údaje „vypovídají“ o některé z citlivých situací uvedených v tomto ustanovení. Je proto nutné zjistit, zda a do jaké míry může zobrazení internetových stránek a aplikací nebo vkládání do nich údajů „vypovídat“ o některé z citlivých situací, na které se předmětné ustanovení vztahuje.
37. V tomto ohledu pochybuji, že je relevantní (a vždy možné) rozlišovat mezi na jedné straně pouhým zájmem subjektu údajů o určité informace a na straně druhé příslušností tohoto subjektu k některé z kategorií, na které se dané ustanovení vztahuje(42). Ačkoli jsou v tomto ohledu stanoviska účastníků původního řízení protichůdná(43), domnívám se, že odpověď na tuto otázku lze hledat pouze případ od případu a s ohledem na každou z činností tvořících spornou praxi.
38. Pokud, jak zdůrazňuje německá vláda, pouhé shromažďování citlivých osobních údajů souvisejících se zobrazováním internetových stránek nebo aplikace není samo o sobě nutně zpracováním citlivých osobních údajů ve smyslu tohoto ustanovení(44), spojení těchto údajů s facebookovým účtem dotyčného uživatele nebo jejich použití jsou chováním, které by naopak mohlo snadno představovat takové zpracování. Rozhodujícím prvkem pro účely uplatnění čl. 9 odst. 1 GDPR je dle mého názoru možnost, že zpracovávané údaje umožňují profilování uživatele podle kategorií, které vyplývají z výčtu citlivých osobních údajů prováděného tímto ustanovením(45).
39. V této souvislosti, aby bylo možné určit, zda zpracování údajů spadá do oblasti působnosti tohoto ustanovení, by mohlo být užitečné rozlišovat tam, kde je to vhodné, na jedné straně zpracování údajů, které lze prima facie zařadit do kategorie citlivých osobních údajů a jež samy o sobě umožňují profilování subjektu údajů a na druhé straně zpracování údajů, které samy o sobě nejsou citlivé, ale vyžadují následné přeskupení za účelem vyvození věrohodných závěrů pro profilování subjektu údajů.
40. Je však třeba upřesnit, že existence kategorizace ve smyslu tohoto ustanovení je nezávislá na otázce, zda je tato kategorizace pravdivá nebo správná(46). Důležitá je možnost, že taková kategorizace představuje významné riziko pro základní svobody a základní práva subjektu údajů, jak je uvedeno v bodě 51 odůvodnění GDPR, což je možnost nezávislá na její pravdivosti.
41. Pokud jde konečně o žádost předkládajícího soudu, kterou se snaží zjistit, zda je účel užívání relevantní pro účely dotčeného posouzení(47), domnívám se, na rozdíl od toho, co tvrdí stěžovatelka v původním řízení, že není v zásadě nezbytné, aby správce tyto údaje zpracovával, „vědomě a s úmyslem přímo z nich odvodit zvláštní kategorie informací“. Cílem předmětného ustanovení je totiž v podstatě objektivním způsobem předcházet významným rizikům pro základní svobody a základní práva subjektů údajů, která jsou způsobena zpracováním citlivých osobních údajů, nezávisle na jakémkoli subjektivním prvku, jako je záměr správce.
42. Zadruhé, pokud jde o druhou otázku písm. b), připomínám, že podle čl. 9 odst. 2 písm. e) GDPR se zákaz zpracování citlivých osobních údajů nepoužije, pokud se zpracování týká osobních údajů zjevně zveřejněných subjektem údajů. Navíc odkaz ve znění tohoto ustanovení na příslovce „zjevně“ a skutečnost, že toto ustanovení představuje výjimku ze zásady zákazu zpracování citlivých osobních údajů(48), ukládá zvláště striktní použití této výjimky z důvodu značných rizik ohrožujících základní práva a svobody subjektů údajů(49). Aby se tato výjimka mohla použít, musí si být uživatel dle mého názoru plně vědom toho, že explicitním aktem(50) zveřejňuje osobní údaje(51).
43. V projednávané věci se mi zdá, že chování spočívající v zobrazování internetových stránek a aplikací, vkládání údajů do těchto stránek a aplikací a v aktivaci v nich integrovaných tlačítek nelze v zásadě srovnávat s chováním, kterým dochází ke zjevnému zveřejňování citlivých osobních údajů uživatele ve smyslu čl. 9 odst. 2 písm. e) GDPR.
44. Konkrétně připomínám, že zobrazení internetových stránek a aplikací v zásadě zpřístupňuje zobrazované údaje pouze správci příslušných internetových stránek nebo aplikace a třetím stranám, kterým tyto informace předává, jako je stěžovatelka v původním řízení(52). Obdobně, pokud by subjekt údajů vložením údajů na internetové stránky a do aplikací mohl přímo a dobrovolně poskytnout informace o určitých citlivých osobních údajích, upozorňuji rovněž, že tyto informace jsou přístupné pouze správci příslušných internetových stránek nebo aplikace a třetím stranám, kterým tyto informace předá. Vylučuji proto, že by takové chování mohlo svědčit o touze zpřístupnit tato data celému společenství(53). Dále, pokud je zřejmé, že aktivací tlačítek začleněných do internetových stránek nebo aplikací(54) subjekt údajů jasně vyjadřuje vůli sdílet určité informace s veřejností mimo dotyčné internetové stránky nebo aplikaci, jsem toho názoru, stejně jako zdůrazňuje Bundeskartellamt, že tímto chováním si subjekt údajů uvědomuje sdílení informací s určitým okruhem osob, často definovaným samotným uživatelem(55), a nikoli s celým společenstvím(56).
45. Pokud jde konečně o relevanci případného souhlasu uděleného uživatelem ve smyslu čl. 5 odst. 3 směrnice 2002/58, aby osobní údaje mohly být shromažďovány prostřednictvím identifikátorů (cookies) nebo podobných technologií zmíněných předkládajícím soudem, domnívám se, že tento souhlas s ohledem na svůj konkrétní cíl nemůže sám o sobě odůvodnit zpracování citlivých osobních údajů shromážděných těmito prostředky(57). Uvedený souhlas, nezbytný pro instalaci technického prostředku pro zaznamenávání určitých činností uživatele(58), se totiž netýká zpracování citlivých osobních údajů a nelze jej přirovnat k úmyslu zjevně zveřejnit tyto údaje ve smyslu čl. 9 odst. 2 písm. e) GDPR(59).
46. Závěrem navrhuji odpovědět na druhou otázku tak, že na jedné straně je třeba čl. 9 odst. 1 GDPR vykládat v tom smyslu, že zákaz zpracování citlivých osobních údajů může zahrnovat zpracování údajů prováděné provozovatelem online sociální sítě spočívající ve shromažďování údajů od uživatele, když si zobrazuje jiné internetové stránky nebo aplikace nebo do nich tyto údaje vkládá, v propojení těchto údajů s účtem uživatele sociální sítě a v jejich použití, pokud zpracovávané informace, individuálně posuzované či agregované, umožňují profilování uživatele podle kategorií, které vyplynou z výčtu citlivých osobních údajů tímto ustanovením, a že na druhé straně čl. 9 odst. 2 písm. e) GDPR musí být vykládán v tom smyslu, že uživatel zjevně nezveřejňuje údaje pouze proto, že byly odhaleny při zobrazení internetových stránek a aplikací nebo byly vloženy do těchto internetových stránek či do aplikací nebo vyplývají z aktivace v nich integrovaných tlačítek.
Ke třetí až páté předběžné otázce
47. Podstatou třetí až páté předběžné otázky předkládajícího soudu je, zda čl. 6 odst. 1 písm. b), c), d), e) a f) GDPR musí být vykládán v tom smyslu, že sporná praxe(60) spadá do oblasti působnosti některého z odůvodnění stanovených těmito ustanoveními, konkrétně:
– nezbytná povaha pro splnění smlouvy(61) nebo zohlednění oprávněných zájmů(62) s přihlédnutím k tomu, že společnost Meta Platforms provozuje sociální síť financovanou reklamou, která ve svých podmínkách služby nabízí personalizaci obsahu a inzerci, zabezpečení sítě, zlepšování produktu, stejně jako jednotné a plynulé používání všech vlastních produktů patřících koncernu (třetí předběžná otázka);
– zohlednění těchto oprávněných zájmů(63) v souvislosti s určitými situacemi(64) (čtvrtá předběžná otázka);
– potřeba odpovědět na právně závaznou žádost o poskytnutí určitých údajů(65), potírání škodlivého chování a zvyšování bezpečnosti(66) nebo výzkum prováděný pro blaho společnosti a za účelem podpory bezpečnosti, integrity a zabezpečení(67) (pátá předběžná otázka).
48. Úvodem, bez ohledu na některé otázky týkající se přípustnosti čtvrté a páté předběžné otázky(68), navrhuji odpovědět na třetí až pátou otázku společně, pokud údaje, které uvedu níže, zejména pokud jde o třetí předběžnou otázku, mohou být rovněž užitečné pro předkládající soud při použití ustanovení, která jsou předmětem čtvrté a páté předběžné otázky.
49. V první řadě upozorňuji, že v souladu s článkem 8 Listiny základních práv Evropské unie (dále jen „Listina“) musí být osobní údaje zpracovány korektně, k přesně stanoveným účelům a na legitimním základě stanoveném zákonem. V tomto ohledu čl. 6 odst. 1 GDPR objasňuje, že zpracování takových údajů je zákonné pouze tehdy, je-li splněna jedna ze šesti podmínek uvedených v tomto ustanovení(69).
50. V projednávané věci se především domnívám, že třetí až pátá předběžná otázka vyžaduje podrobnou analýzu, případ od případu, různých ustanovení podmínek používání služby Facebook v souvislosti se spornou praxí, protože není možné určit, zda s ohledem na tuto praxi může „společnost jako [Meta Platforms]“ v celém rozsahu využít veškerá (nebo některá) odůvodnění uvedená v čl. 6 odst. 1, GDPR, i když nelze vyloučit, že uvedená praxe nebo některé její činnosti mohou v určitých případech spadat do působnosti tohoto článku(70).
51. Dále, zpracování předpokládané citovanými ustanoveními se v této věci provádí na základě všeobecných podmínek smlouvy uložených správcem, bez souhlasu subjektu údajů(71), nebo dokonce proti jeho vůli, což, dle mého názoru, volá po striktním výkladu předmětných odůvodnění, zejména proto, aby nedošlo k obcházení podmínky souhlasu(72).
52. Nakonec připomínám, že v souladu s čl. 5 odst. 2 GDPR nese důkazní břemeno, že osobní údaje jsou zpracovávány v souladu se standardem tohoto nařízení, správce a že v souladu s čl. 13 odst. 1 písm. c) uvedeného nařízení je odpovědností správce osobních údajů specifikovat účely zpracování, pro které jsou údaje určeny, a právní základ pro zpracování.
Ke třetí předběžné otázce
53. Zaprvé podle čl. 6 odst. 1 písm. b) GDPR je zpracování osobních údajů zákonné, pokud je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů(73).
54. V tomto ohledu připomínám, že pojem „nezbytnost“ není v unijním právu definován, nicméně podle judikatury představuje autonomní pojem unijního práva(74). K tomu, aby bylo zpracování nezbytné pro plnění smlouvy, nestačí, že je prováděno u příležitosti plnění smlouvy, že je uvedeno ve smlouvě(75) nebo dokonce, že je pouze užitečné pro plnění smlouvy(76). Podle judikatury Soudního dvora musí být zpracování objektivně nezbytné pro plnění smlouvy v tom smyslu, že nesmí existovat jiná realistická a méně rušivá řešení(77), a to i s přihlédnutím k přiměřeným očekáváním subjektu údajů(78). To zahrnuje také skutečnost, že pokud se smlouva skládá z několika odlišných služeb nebo prvků téže služby, které lze provádět nezávisle na sobě, měla by být použitelnost čl. 6 odst. 1 písm. b) GDPR posuzována v souvislosti s každou z těchto služeb samostatně(79).
55. V rámci tohoto odůvodnění předkládající soud zmiňuje personalizaci obsahu a jednotné a plynulé používání vlastních produktů (nebo spíše služeb) patřících koncernu.
56. Pokud jde o personalizaci obsahu, zdá se mi, že pokud taková činnost může být do určité míry v zájmu uživatele v tom smyslu, že umožňuje prezentovat, zejména v „news feed“, obsah, který podle automatizovaného vyhodnocení odpovídá zájmům uživatele, není zřejmé, že je pro poskytování služeb dotčené sociální sítě rovněž nezbytný, a to tak, že zpracování osobních údajů pro tyto účely nevyžaduje souhlas daného uživatele(80). Pro účely tohoto přezkumu je rovněž třeba vzít v úvahu, že sporná praxe se netýká zpracování údajů týkajících se chování uživatele na internetových stránkách nebo v aplikaci Facebook, ale údajů pocházejících z vnějších zdrojů, které jsou tedy potenciálně neomezené. Kladu si tedy otázku, do jaké míry by toto zacházení mohlo odpovídat očekáváním průměrného uživatele a obecněji, jaký je „stupeň personalizace“, jež může tento průměrný uživatel očekávat od služby, ve které se registruje(81).
57. Pokud jde o jednotné a plynulé využívání služeb patřících koncernu, podotýkám, že propojení mezi různými službami nabízenými stěžovatelkou v původním řízení, například mezi Facebookem a Instagramem, může být pro uživatele jistě užitečné, nebo někdy dokonce žádoucí. Pochybuji však, že zpracování osobních údajů z jiných služeb patřících koncernu (zejména Instagramu) je pro poskytování služeb Facebooku nezbytné(82).
58. Zadruhé podle čl. 6 odst. 1 písm. f) GDPR je zpracování osobních údajů zákonné, pokud je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
59. Podle judikatury Soudního dvora předmětné ustanovení stanoví tři kumulativní podmínky pro to, aby bylo zpracování osobních údajů zákonné, a to zaprvé sledování oprávněného zájmu správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, zadruhé nezbytnost zpracování osobních údajů pro uskutečnění sledovaných oprávněných zájmů a zatřetí podmínku, že nemají přednost základní práva a svobody osoby, na kterou se vztahuje ochrana údajů(83).
60. Pokud jde především o sledování oprávněného zájmu, připomínám, že GDPR a judikatura uznávají širokou škálu zájmů považovaných za oprávněné(84), přičemž upřesňují, že v souladu s čl. 13 odst. 1 písm. d) GDPR je na správci, aby označil oprávněné zájmy sledované v rámci čl. 6 odst. 1 písm. f) GDPR(85).
61. Co se týče podmínky nezbytnosti zpracování osobních údajů pro uskutečnění sledovaného oprávněného zájmu, výjimky ze zásady ochrany osobních údajů a její omezení musí být činěny v mezích toho, co je naprosto nezbytné(86). Proto je třeba, aby existovala úzká vazba mezi zpracováním a sledovaným zájmem, pokud neexistují alternativy, které by více respektovaly ochranu osobních údajů, protože nestačí, že zpracování závisí na prosté užitečnosti pro správce údajů.
62. Pokud jde konečně o vyvažování zájmů správce údajů na jedné straně a zájmů nebo základních svobod a základních práv subjektu údajů na straně druhé, podle judikatury Soudního dvora, je věcí předkládajícího soudu, aby zvážil dotčené zájmy(87). Kromě toho, jak je uvedeno v bodě 47 odůvodnění GDPR, je v rámci tohoto vyvažování nezbytné vzít v úvahu přiměřená očekávání subjektů údajů na základě jejich vztahu se správcem a určit, zda subjekt údajů může rozumně očekávat, v okamžiku a v rámci shromažďování osobních údajů, že budou zpracovávány pro daný účel.
63. V rámci tohoto odůvodnění předkládající soud zmiňuje personalizaci reklamy, zabezpečení sítě a zlepšování produktu.
64. Pokud jde především o personalizaci reklamy, z bodu 47 odůvodnění GDPR vyplývá, že zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu správce. S ohledem na nezbytnost zpracování je však třeba uvést, že předmětná data pocházejí ze zdrojů mimo Facebook, a vyvstává tedy otázka, jaká „míra personalizace“ reklamy je v tomto ohledu objektivně nezbytná. Pokud jde o vyvažování dotčených zájmů, je podle mého názoru nutné vzít v úvahu povahu příslušného oprávněného zájmu (v tomto případě čistě ekonomický zájem), jakož i dopad zpracování na uživatele, včetně jeho přiměřených očekávání, a případná ochranná opatření zavedená správcem(88).
65. Podobné úvahy lze dále učinit, pokud jde o bezpečnost sítě. Pokud takové odůvodnění může představovat oprávněný zájem správce(89), nelze tak zjevně vyvodit závěr, že zpracování je v tomto případě nezbytné, a to i s přihlédnutím k tomu, že dotčené údaje pocházejí ze zdrojů mimo Facebook(90). V každém případě připomínám, že je odpovědností správce údajů specifikovat bezpečnostní účely, na kterých je jakékoli zpracování založeno.
66. Pokud jde konečně o vylepšení produktu, jestliže jsou vyloučena vylepšení související s bezpečností, která spadají do výše zkoumaného konkrétního odůvodnění, zdá se mi, že takové odůvodnění by mělo být spíše v zájmu uživatele než v zájmu správce údajů. Z tohoto pohledu je obtížné pochopit, do jaké míry by to mohlo představovat oprávněný zájem odpovědné osoby a uniknout souhlasu uživatele. Pokud jde o podmínku nezbytnosti a vyvážení předmětných práv a zájmů, odkazuji na předchozí úvahy.
Ke čtvrté a páté předběžné otázce
67. Čtvrtá předběžná otázka, která v podstatě představuje rozšíření druhé části třetí předběžné otázky, má za cíl zjistit, zda opakování určitých vyjmenovaných situací znamená existenci oprávněného zájmu ve smyslu čl. 6 odst. 1 písm. f) GDPR, zatímco ve své páté předběžné otázce se předkládající soud táže, zda potřeba odpovědět na právně závaznou žádost o poskytnutí určitých údajů, potírat škodlivé chování a zvyšovat bezpečnost nebo výzkum prováděný pro blaho společnosti a za účelem podpory bezpečnosti, integrity a zabezpečení představují odůvodnění použitelná pro spornou praxi(91).
68. Bez ohledu na přípustnost těchto otázek(92) se obecně domnívám, že pokud jde o čtvrtou předběžnou otázku, nelze vyloučit, že některá ustanovení charakterizující spornou praxi mohou být odůvodněna oprávněnými zájmy za okolností, na které odkazuje předkládající soud(93), a pokud jde o pátou předběžnou otázku, že v určitých situacích může být sporná praxe odůvodněna na základě uvedených ustanovení.
69. Z předkládacího rozhodnutí však nevyplývá, zda a v jakém rozsahu společnost Meta Platforms Ireland označila pro každý účel zpracování a typ zpracovávaných údajů konkrétně sledované oprávněné zájmy nebo jiná odůvodnění, která mohou být v tomto případě relevantní(94). Je tedy na předkládajícím soudu, aby s ohledem na výše uvedené skutečnosti přezkoumal, do jaké míry je za okolností uvedených tímto soudem sporná praxe odůvodněna existencí oprávněných zájmů společnosti Meta Platforms Ireland na zpracování údajů ve smyslu čl. 6 odst. 1 písm. f) GDPR nebo jinou z podmínek uvedených v čl. 6 odst. 1 písm. c), d) a e) tohoto nařízení.
K odpovědi na třetí až pátou předběžnou otázku
70. Závěrem navrhuji odpovědět na třetí až pátou předběžnou otázku, že čl. 6 odst. 1 písm. b), c), d), e) a f) GDPR musí být vykládán v tom smyslu, že sporná praxe, resp. některé z činností, z nichž se skládá, mohou spadat pod výjimky stanovené těmito ustanoveními za předpokladu, že každý zkoumaný způsob zpracování údajů splňuje podmínky stanovené v odůvodnění výslovně předloženém správcem, a že tedy:
– zpracování je objektivně nezbytné pro poskytování služeb souvisejících s účtem na Facebooku;
– zpracování je nezbytné pro splnění oprávněného zájmu uvedeného správcem nebo třetí stranou či třetími stranami, kterým jsou údaje sdělovány, a neovlivňuje neúměrně základní práva a základní svobody subjektu údajů;
– zpracování je nezbytné pro odpověď na právně závaznou žádost o poskytnutí určitých údajů, potírání škodlivého chování a zvyšování bezpečnosti nebo výzkumu prováděného pro blaho společnosti a za účelem podpory bezpečnosti, integrity a zabezpečení.
K šesté předběžné otázce
71. Podstatou šesté předběžné otázky předkládajícího soudu je, zda čl. 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) GDPR musí být vykládány v tom smyslu, že společnosti s dominantním postavením na vnitrostátním trhu online sociálních sítí pro soukromé uživatele může být poskytnut platný a svobodný souhlas ve smyslu čl. 4 bodu 11 tohoto nařízení.
72. Úvodem připomínám, že čl. 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) GDPR stanoví povinnost souhlasu subjektu údajů, respektive pokud jde o zpracování osobních údajů obecně a zpracování citlivých osobních údajů. Kromě toho se podle čl. 4 bodu 11 GDPR pro účely tohoto nařízení „souhlasem“ subjektu údajů rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů(95).
73. Pokud jde konkrétněji o podmínku „svobody“ souhlasu, jež je jediná, o kterou se v projednávané věci jedná, podotýkám, že v souladu s bodem 42 odůvodnění GDPR by souhlas neměl být považován za poskytnutý svobodně, pokud subjekt údajů nemá skutečnou svobodu volby(96) nebo nemůže souhlas odmítnout nebo odvolat, aniž by tím utrpěl újmu(97). Kromě toho, jak je stanoveno v čl. 7 odst. 1 GDPR (a připomenuto v bodě 42 odůvodnění tohoto nařízení), pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
74. Pokud jde o projednávanou věc, nejprve připomínám, že, jak zdůrazňuje první věta bodu 43 odůvodnění GDPR, souhlas nepředstavuje platný právní důvod pro zpracování osobních údajů, pokud existuje „jasná nerovnováha“ mezi subjektem údajů a správcem(98), dále, že podle podmínek čl. 7 odst. 4 GDPR je při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné(99), a konečně, že v souladu s druhou větou bodu 43 odůvodnění GDPR se rovněž předpokládá, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v dané věci vhodné(100).
75. V projednávané věci se domnívám, že při posuzování existence svobodného souhlasu ze strany uživatele této sítě hraje úlohu případné dominantní postavení hlavní osoby odpovědné za zpracování osobních údajů provozující sociální síť na trhu. Existence situace tržní síly osoby odpovědné za zpracování osobních údajů totiž pravděpodobně vytvoří jasnou nerovnováhu silových vztahů ve smyslu uvedeném v bodě 74 tohoto stanoviska(101). Na jedné straně by však mělo být upřesněno, že aby taková situace tržní síly byla relevantní z hlediska uplatnění GDPR, nemusí se nutně ztotožňovat s dominantním postavením ve smyslu článku 102 SFEU(102), a na druhé straně, že tato okolnost sama o sobě v zásadě nemůže zbavit souhlas veškeré platnosti(103).
76. Platnost souhlasu tedy bude muset být přezkoumána případ od případu s ohledem na další faktory uvedené v bodech 73 a 74 tohoto stanoviska a s přihlédnutím ke všem okolnostem případu a skutečnosti, že povinnost prokázat, že subjekt údajů udělil souhlas se zpracováním osobních údajů, které se ho týkají, spočívá na správci.
77. Závěrem navrhuji odpovědět na šestou otázku, že čl. 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) GDPR musí být vykládány v tom smyslu, že pouhá okolnost, že podnik provozující sociální síť má dominantní postavení na vnitrostátním trhu s online sociálními sítěmi pro soukromé uživatele, nemůže sama o sobě zbavit souhlas uživatele této sítě se zpracováním jeho osobních údajů platnosti ve smyslu čl. 4 bodu 11 GDPR. Taková okolnost nicméně hraje úlohu při posuzování svobody souhlasu ve smyslu tohoto ustanovení, kterou musí prokázat správce, přičemž je nutno zohlednit existenci jasné nerovnováhy silových vztahů mezi subjektem údajů a správcem údajů, případnou povinnost udělit souhlas se zpracováním jiných osobních údajů, než těch, které jsou nezbytně nutné pro poskytování předmětných služeb, potřebu konkrétního souhlasu pro každý účel zpracování a potřebu zabránit tomu, aby odvolání souhlasu způsobilo újmu uživateli, který svůj souhlas odvolá.
Závěr
78. S ohledem na výše uvedené úvahy navrhuji, aby Soudní dvůr na otázky položené Oberlandesgericht Düsseldorf (Vrchní zemský soud v Düsseldorfu, Německo) odpověděl takto:
„1) Články 51 až 66 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/EC (obecné nařízení o ochraně osobních údajů),
musí být vykládány v tom smyslu, že:
orgán pro hospodářskou soutěž může v rámci svých pravomocí ve smyslu pravidel hospodářské soutěže incidenčně přezkoumat soulad prověřovaných praktik s pravidly tohoto nařízení, přičemž zohlední veškerá rozhodnutí nebo šetření příslušného dozorového úřadu podle uvedeného nařízení a informuje o tom vnitrostátní dozorový úřad a v případě potřeby s ním věc konzultuje.
2) Článek 9 odst. 1 nařízení 2016/679
musí být vykládán v tom smyslu, že:
zákaz zpracování citlivých osobních údajů může zahrnovat zpracování údajů prováděné provozovatelem online sociální sítě spočívající ve shromažďování údajů uživatele, když si zobrazuje jiné internetové stránky nebo aplikace nebo do nich tyto údaje vkládá, v propojení těchto údajů s účtem uživatele sociální sítě a v jejich použití, pokud zpracovávané informace, individuálně posuzované či agregované, umožňují profilování uživatele podle kategorií, které vyplynou z výčtu citlivých osobních údajů uvedeného v tomto ustanovení.
Článek 9 odst. 2 písm. e) tohoto nařízení
musí být vykládán v tom smyslu, že:
uživatel zjevně nezveřejňuje údaje pouze proto, že byly odhaleny při zobrazení internetových stránek a aplikací nebo byly vloženy do těchto internetových stránek či do aplikací nebo vyplývají z aktivace v nich integrovaných tlačítek.
3) Článek 6 odst. 1 písm. b), c), d), e) a f) nařízení 2016/679
musí být vykládán v tom smyslu, že:
praxe spočívající zaprvé ve shromažďování údajů z jiných služeb patřících koncernu, jakož i z internetových stránek a aplikací třetích stran prostřednictvím do nich integrovaných rozhraní nebo prostřednictvím souborů cookies uložených v počítači nebo mobilním koncovém zařízení uživatele, zadruhé propojením těchto údajů s facebookovým účtem dotyčného uživatele, a zatřetí používáním uvedených údajů, nebo některé z činností tvořících tuto praxi, mohou spadat pod výjimky stanovené v těchto ustanoveních, za předpokladu, že každý zkoumaný způsob zpracování údajů splňuje podmínky stanovené v konkrétním odůvodnění předloženém správcem, a pokud tedy platí, že:
– zpracování je objektivně nezbytné pro poskytování služeb souvisejících s účtem na Facebooku;
– zpracování je nezbytné pro splnění oprávněného zájmu uvedeného správcem nebo třetí stranou či třetími stranami, kterým jsou údaje sdělovány, a neovlivňuje neúměrně základní práva a základní svobody subjektu údajů;
– zpracování je nezbytné za účelem odpovědi na právně závaznou žádost o poskytnutí určitých údajů, potírání škodlivého chování a zvyšování bezpečnosti nebo výzkumu prováděného pro blaho společnosti a za účelem podpory bezpečnosti, integrity a zabezpečení.
4) Článek 6 odst. 1 písm. a) a čl. 9 odst. 2 písm. a) nařízení 2016/679
musí být vykládány v tom smyslu, že:
pouhá okolnost, že podnik provozující sociální síť má dominantní postavení na vnitrostátním trhu s online sociálními sítěmi pro soukromé uživatele, nemůže sama o sobě zbavit souhlas, který uživatel této sítě dal se zpracováním jeho osobních údajů, platnosti ve smyslu čl. 4 bodu 11 tohoto nařízení. Taková okolnost nicméně hraje úlohu při posuzování svobody souhlasu ve smyslu tohoto ustanovení, kterou musí prokázat správce, přičemž je nutno zohlednit existenci jasné nerovnováhy silových vztahů mezi subjektem údajů a správcem údajů, případnou povinnost udělit souhlas se zpracováním jiných osobních údajů, než těch, které jsou nezbytně nutné pro poskytování předmětných služeb, potřebu konkrétního souhlasu pro každý účel zpracování a potřebu zabránit tomu, aby odvolání souhlasu způsobilo újmu uživateli, který svůj souhlas odvolá“.