РЕШЕНИЕ НА СЪДА (голям състав)

1 октомври 2019 година(*)

„Преюдициално запитване — Директива 95/46/ЕО — Директива 2002/58/ЕО — Регламент (ЕС) 2016/679 — Обработка на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации — „Бисквитки“ — Понятие за съгласие на субекта на данни — Изявление за даване на съгласие посредством предварително отметнато поле“

По дело C‑673/17

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesgerichtshof (Федерален върховен съд, Германия) с акт от 5 октомври 2017 г., постъпил в Съда на 30 ноември 2017 г., в рамките на производство по дело

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV

срещу

Planet49 GmbH,

СЪДЪТ (голям състав),

състоящ се от: K. Lenaerts, председател, R. Silva de Lapuerta, заместник-председател, J.‑C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe и C. Lycourgos, председатели на състави, A. Rosas (докладчик), L. Bay Larsen, M. Safjan и S. Rodin, съдии,

генерален адвокат: M. Szpunar,

секретар: D. Dittert, началник отдел,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 13 ноември 2018 г.,

като има предвид становищата, представени:

–        за Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, от P. Wassermann, Rechtsanwalt,

–        за Planet49 GmbH, от M. Jaschinski, J. Viniol и T. Petersen, Rechtsanwälte,

–        за германското правителство, от J. Möller, в качеството на представител,

–        за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от F. De Luca, avvocato dello Stato,

–        за португалското правителство, от L. Inez Fernandes, M. Figueiredo, L. Medeiros и C. Guerra, в качеството на представители,

–        за Европейската комисия, от G. Braun, H. Kranenborg и P. Costa de Oliveira, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 21 март 2019 г.,

постанови настоящото

Решение

1        Преюдициалното запитване е за тълкуване на член 2, буква е) и член 5, параграф 3 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г. (ОВ L 337, 2009 г., стр. 11) (наричана по-нататък „Директива 2002/58“), във връзка с член 2, буква з) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10), както и с член 6, параграф 1, буква а) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46 (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1).

2        Запитването е отправено в рамките на спор на Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Федерация на организациите и сдруженията на потребители — федерация на организациите на потребители, Германия) (наричана по-нататък „федерацията“) с Planet49 GmbH, дружество, предлагащо онлайн игри, по повод на съгласието на участниците в промоционална игра, организирана от това дружество, за предаването на техни лични данни на спонсори и партньори на това дружество, както и за съхраняването на информация и достъпа до съхранената информация в крайното оборудване на тези потребители.

 Правна уредба

 Правото на Съюза

 Директива 95/46

3        Член 1 от Директива 95/46 предвижда:

„1.      В съответствие с настоящата директива държавите членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.

2.      Държавите членки не могат нито да ограничават, нито да забраняват свободното движение на лични данни между държавите членки по съображения, свързани със защитата, предоставяна съгласно параграф 1“.

4        Член 2 от тази директива гласи:

„По смисъла на настоящата директива:

а)      „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност;

б)      „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;

[…]

з)      „съгласие на съответното физическо лице“ означава всяко свободно изразено, конкретно и информирано указание за волята на съответното физическо лице, с което то дава израз на своето съгласие за обработка на личните данни, които се отнасят до него“.

5        Член 7 от посочената директива гласи:

„Държавите членки предвиждат, че обработването на лични данни може да се извършва, само ако:

а)      съответното физическо лице е дало недвусмислено своето съгласие за това;

[…]“.

6        Съгласно член 10 от същата директива:

„Държавите членки предвиждат, че администраторът или неговият представител трябва да предостави на съответното физическо лице, от което се събират данни, отнасящи се за самия него, най-малкото следната информация, освен в случаите, когато то вече я притежава:

а)      самоличността на администратора или на неговия представител, когато има такъв;

б)      целта на обработването, за което данните са предназначени;

в)      всякаква друга информация, например:

–        получателите или категориите получатели на данни,

–        дали отговорите на въпросите са задължителни или доброволни, както и евентуалните последици при липса на отговор,

–        наличието на право на достъп и на право на поправка на данните, които се отнасят до него,

доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице“.

 Директива 2002/58

7        Съображения 17 и 24 от Директива 2002/58 гласят:

„(17)      За целите на настоящата директива съгласието на потребителя или абоната, независимо дали последният е физическо или юридическо лице, трябва да има същото значение, както данните-обект на съгласие, както са определени и допълнително уточнени в Директива [95/46]. Съгласие може да бъде дадено по всеки подходящ начин, позволяващ свободно да се посочи специфичен и уведомителен знак за желанията на потребителя, включително чрез отбелязване в графа, при посещение на Интернет страница.

[…]

(24)      Оборудването на терминалите на потребителите на електронни комуникационни мрежи и всяка информация, съхранявана в такова оборудване, се отнасят до частния живот на потребителите, изискващ защита съгласно Европейската конвенция за защита на човешките права и основните свободи[, подписана в Рим на 4 ноември 1950 г.]. Така наречените софтуер за наблюдение, снифери, скрити идентификатори и други подобни устройства могат да влязат в терминала на потребителите без тяхното знание, за да получат достъп до информация, да съхраняват скрита информация или да проследяват действията на потребителя и могат сериозно да засягат правото на неприкосновеност на личния живот на тези потребители. Използването на такива устройства трябва да бъде позволено само за законни цели със знанието на заинтересованите потребители“.

8        Член 1 от Директива 2002/58 предвижда:

„1.      Настоящата директива предвижда да се хармонизират националните разпоредби, необходими за осигуряване на еднаква степен на защита на основните права и свободи, и по-специално правото на неприкосновеност на личния живот и правото на поверителност по отношение на обработката на лични данни в електронно съобщителния сектор и да се осигури свободно движение на такива данни и оборудване за електронни съобщения и услуги в [Европейския съюз].

2.      Разпоредбите на настоящата директива конкретизират и допълват Директива [95/46] за целите, упоменати в параграф 1. […]“.

9        Член 2 от тази директива гласи:

„Освен ако не е предвидено друго, се прилагат дефинициите от Директива [95/46] и от Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 година относно обща[та регулаторна рамка за електронните съобщителни] мрежи и услуги (Рамкова директива) [ОВ L 108, 2002 г., стр. 33; Специално издание на български език, 2007 г., глава 13, том 35, стр. 195].

Прилагат се също следните дефиниции:

а)      „потребител“ означава всяко физическо лице, използващо публично достъпни електронни комуникационни услуги за частни или бизнес цели, без да е необходимо да се е абонирал за тази услуга;

[…]

е)      „съгласие“ на потребител или абонат отговаря на съгласието на заинтересованото лице по Директива [95/46];

[…]“.

10      Член 5, параграф 3 от посочената директива предвижда:

„Държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива [95/46], inter alia, относно целите на обработката. Това не пречи на всякакво техническо съхранение или достъп с единствена цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът да предостави услуга на информационното общество, изрично поискана от абоната или ползвателя“.

 Регламент 2016/679

11      Съображение 32 от Регламент 2016/679 гласи:

„Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда“.

12      Член 4 от този регламент гласи:

„За целите на настоящия регламент:

1)      „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2)      „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]

11)      „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

[…]“.

13      Член 6 от същия регламент предвижда:

„1.      Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

а)      субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

[…]“.

14      Член 7, параграф 4 от същия регламент гласи:

„Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор“.

15      Съгласно член 13, параграфи 1 и 2 от Регламент 2016/679:

„1.      Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…]

д)      получателите или категориите получатели на личните данни, ако има такива […]

[…]

2.      Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

а)      срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

[…]“.

16      Член 94 от този регламент гласи:

„1.      Директива [95/46] се отменя, считано от 25 май 2018 г.

2.      Позоваванията на отменената директива се тълкуват като позовавания на настоящия регламент. Позоваванията на Работната група за защита на лицата при обработването на лични данни, създадена по силата на член 29 от Директива [95/46], се тълкуват като позовавания на Европейския комитет по защита на личните данни, създаден с настоящия регламент“.

 Германското право

17      Съгласно член 307, параграф 1, първо изречение от Bürgerliches Gesetzbuch (Граждански кодекс, наричан по-нататък „BGB“), „клаузите от прилаганите от търговец общи условия са недействителни, ако неоправдано и в противоречие с изискването за добросъвестност увреждат интересите на съдоговорителя на страната, която прилага общи договорни условия“.

18      Член 307, параграф 2, точка 1 от BGB гласи, че в случай на съмнение „следва да се приеме, че е налице неоправдано увреждане на интересите, когато дадена клауза е несъвместима с основните идеи на нормативната уредба, която дерогира“.

19      Член 12 от Telemediengesetz (Закон за електронните медии) от 26 февруари 2007 г. (BGBl. 2007 I, стр. 179) в редакцията, приложима към спора по главното производство (наричан по-нататък „TMG“), гласи:

„(1)      Доставчикът на услуги може да събира и използва лични данни с цел предоставяне на достъп до електронни медии само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, разрешава това или ако потребителят е дал своето съгласие.

(2)      Доставчикът на услуги може да използва за други цели събраните за предоставяне на достъп до електронни медии лични данни само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, допуска това или ако потребителят е дал своето съгласие.

(3)      Съответните действащи разпоредби за защита на личните данни се прилагат и когато данните не се обработват автоматизирано, освен ако не е предвидено друго“.

20      Съгласно член 13, параграф 1 от TMG от започване на използването доставчикът на услуги следва да информира потребителя в общоразбираема форма относно начина, обхвата и целите на събирането и употребата на лични данни, ако потребителят вече не е бил информиран предварително за това. В случай на автоматизирана операция, която позволява последващото идентифициране на потребителя и подготвя събирането или използването на лични данни, потребителят трябва да бъде информиран в началото на тази операция.

21      Съгласно член 15, параграф 3 от TMG за целите на рекламата, проучването на пазара или с цел структуриране на електронните медии съобразно конкретните потребности доставчикът на услуги може да създава потребителски профили, като използва псевдоними, доколкото потребителят, след като е бил уведомен за правото му да възрази, не е възразил.

22      Съгласно определението, дадено в член 3, параграф 1 от Bundesdatenschutzgesetz (Федерален закон за защита на личните данни) от 20 декември 1990 г. (BGBl. 1990 I, стр. 2954), в редакцията, приложима към спора по главното производство (наричан по-нататък „BDSG“), „лични данни са всяка самостоятелна информация, отнасяща се до лични или фактически обстоятелства на физическо лице, което е идентифицирано или може да бъде идентифицирано (засегнато лице)“.

23      Съгласно определението в член 3, параграф 3 от BDSG събирането на лични данни е набавянето на данни за засегнатото лице.

24      Член 4a, параграф 1, първо изречение от BDSG, който транспонира член 2, буква з) от Директива 95/46, гласи, че съгласието е действително само ако изразява свободното решение на съответното лице.

 Спорът в главното производство и преюдициалните въпроси

25      На 24 септември 2013 г. Planet49 организира промоционална игра на интернет сайта www.dein-macbook.de.

26      Интернет потребителите, които желаят да се включат в играта, трябва да попълнят пощенския си код, което ги отвежда към уебстраница, в която въвеждат името и адреса си. Под полетата, в които се попълва адресът, се намират две изявления, до които има полета за отмятане. Първото изявление, до което полето (наричано по-нататък „първото поле за отбелязване“) не съдържа предварително отмятане, е със следния текст:

„Съгласен съм някои спонсори и бизнес партньори да ме информират по пощата, по телефона или по имейл или със SMS за промоции в съответния търговски сектор. С настоящото мога сам да ги определя; в противен случай изборът ще бъде направен от организатора. Мога по всяко време да оттегля съгласието си. По-подробна информация във връзка с това е на разположение тук“.

27      Второто изявление, до което полето (наричано по-нататък „второто поле за отбелязване“) съдържа предварително отмятане, е със следния текст:

„Съгласен съм при мен да се използва услугата за уебанализ Remintrex. Така след регистрацията в промоционалната игра нейният организатор, [Planet49], ще инсталира бисквитки, което ще му позволи с помощта на Remintrex да анализира сърфирането ми в интернет и посещенията ми на уебсайтове на рекламни партньори и да изпраща реклами според моите интереси. Бисквитките мога да изтрия по всяко време. За повече подробности тук“.

28      Участието в промоционалната игра е възможно едва след отмятане поне на първото поле за отбелязване.

29      Електронната връзка, включена в изявлението към първото поле за отбелязване към думите „спонсори и бизнес партньори“ и „тук“, отвежда към списък с 57 предприятия, в който са посочени техните адреси, предметът на рекламираната дейност и средството за комуникация, използвано за рекламата (електронна поща, поща или телефон). След наименованието на всяко предприятие се намира думата „изключване“, която е подчертана. В началото на списъка е поместена следната забележка:

„С кликването върху линка „изключване“ решавам, че не съм съгласен да получавам реклами от посочения партньор/спонсор. Ако не съм изключил нито един или достатъчен брой партньори/спонсори, Planet49 ми избира по собствена преценка партньори/спонсори (максимален брой: 30 партньори/спонсори)“.

30      При задействане на електронната връзка към думата „тук“, съдържаща се в изявлението до второто поле за отбелязване, се появява следната информация:

„Инсталираните бисквитки с наименования ceng_cache, ceng_etag, ceng_png и gcr са малки файлове със специфични данни, които използваният от Вас браузър запазва на Вашия твърд диск и чрез които се подава определена информация, която дава възможност за по-адаптирана към ползвателя и по-ефективна реклама. Бисквитките съдържат определен генериран на случаен принцип номер (ID), който същевременно е свързан с данните от Вашата регистрация. Ако впоследствие посетите сайта на регистриран в Remintrex рекламен партньор (дали е налице регистрация можете да установите от декларацията на рекламния партньор за защита на данните), чрез свързан към сайта IFrame се отчита автоматично посещението ви (тоест от ползвател със съхранено ID), към кой продукт сте проявили интерес и дали се е стигнало до сключване на договор.

Впоследствие [Planet49], въз основа на даденото от Вас при регистрацията за промоционалната игра съгласие за получаване на реклами, може да Ви изпраща имейли с реклами, съобразени с интересите, които сте проявили на сайта на рекламния партньор. При оттегляне на съгласието за реклама, разбира се, повече няма да получавате реклами по имейл.

Предоставената чрез бисквитки информация се използва изключително за реклама, в която се представят продукти на рекламния партньор. Информацията се събира, съхранява и използва поотделно за всеки рекламен партньор. В никакъв случай не се създават потребителски профили, надхвърлящи целите на рекламния партньор. Отделните рекламни партньори не получават лични данни.

Доколкото повече не проявявате интерес към използването на бисквитки, по всяко време можете да ги изтриете от Вашия браузър. Инструкция за това ще намерите във функцията „помощ“ на вашия браузър.

Чрез бисквитките не могат да се изпълняват програми или да се пренасят вируси.

Разбира се, имате възможност по всяко време да оттеглите това съгласие. Съобщение за оттеглянето можете да изпратите в писмен вид на [Planet49] [адрес]. Достатъчно е обаче също да изпратите имейл до нашия отдел за обслужване на клиенти [имейл адрес]“.

31      От акта за преюдициално запитване следва, че бисквитките са файлове, които доставчикът на даден интернет сайт инсталира на компютъра на потребителя и до които може отново да получи достъп при повторно посещение на сайта от потребителя, за да улесни навигацията в интернет, извършването на транзакции или за да получи достъп до информация относно поведението на потребителя.

32      След безрезултатно отправена официална покана федерацията, вписана в списъка с процесуално легитимирани организации по член 4 от Gesеtz über Unterlassungklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Закон за исковете за преустановяване на нарушения във връзка с потребителски и други права) от 26 ноември 2001 г. (BGBl. 2001 I, стр. 3138), твърди, че изявленията за съгласие, поискани от Planet49 с помощта на първото и второто поле за отбелязване, не отговарят на изискванията съгласно член 307 от BGB във връзка с член 7, параграф 2, точка 2 от Gesetz gegen den unlauteren Wettbewerb (Закон срещу нелоялната конкуренция) от 3 юли 2004 г. (BGBl. 2004 I, стр. 1414), в редакцията, приложима към спора в главното производство, и с членове 12 и сл. от TMG.

33      По същество федерацията предявява пред Landgericht Frankfurt am Main (Областен съд Франкфурт на Майн, Германия) иск за осъждане на Planet49 да преустанови да изисква такива изявления за съгласие и да ѝ изплати сумата от 214 EUR ведно с лихвите след 15 март 2014 г.

34      Landgericht Frankfurt am Main (Областен съд Франкфурт на Майн) уважава иска частично.

35      След подадена от Planet49 въззивна жалба пред Oberlandesgericht Frankfurt am Main (Върховен областен съд Франкфурт на Майн, Германия) тази юрисдикция счита, че искането на федерацията Planet49 да престане да включва в договорите за промоционални игри, сключени с потребители, изявлението, възпроизведено в точка 27 от настоящото решение, към което второто поле за отбелязване е предварително отметнато, е неоснователно, тъй като, от една страна, потребителят е бил запознат с възможността да премахне попълването от полето, и от друга страна, текстът е достатъчно ясно типографски оформен и съдържа информация относно реда и условията за използване на бисквитките, без да се налага разкриване на самоличността на трети лица, които биха могли да имат достъп до събраната информация.

36      Сезиран с ревизионна жалба от федерацията, Bundesgerichtshof (Федерален върховен съд, Германия) приема, че изходът на спора в главното производство зависи от тълкуването на разпоредбите на член 5, параграф 3 във връзка с тези на член 2, буква е) от Директива 2002/58, на член 2, буква з) от Директива 95/46 и на член 6, параграф 1, буква а) от Регламент 2016/679.

37      Тъй като изпитва съмнения относно действителността с оглед на тези разпоредби на съгласието на потребителите на интернет сайта www.dein-macbook.de, получено с помощта на второто поле за отбелязване, както и относно обхвата на задължението за информиране, предвидено в член 5, параграф 3 от Директива 2002/58, Bundesgerichtshof (Федерален върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      а)      Налице ли е действително съгласие по смисъла на член 5, параграф 3 и на член 2, буква е) от Директива [2002/58] във връзка с член 2, буква з) от Директива [95/46], когато съхраняването на информация или достъпът до информация, която вече е съхранена на крайното оборудване на ползвател, се позволява чрез предварително маркирано с отметка квадратче, от което ползвателят трябва да премахне отметката, за да откаже съгласието си?

б)      Има ли разлика с оглед на прилагането на член 5, параграф 3 и на член 2, буква е) от Директива [2002/58] във връзка с член 2, буква з) от Директива [95/46] поради обстоятелството, че информацията, която се съхранява или до която се получава достъп, представлява лични данни или не?

в)      Налице ли е при посочените във въпрос 1 а) обстоятелства действително съгласие по смисъла на член 6, параграф 1, буква а) от Регламент [2016/679]?

2)      Каква информация следва да предостави доставчикът на услуги с оглед на изискването по член 5, параграф 3 от Директива [2002/58] за предоставяне на ясна и изчерпателна информация на потребителя? Към тази информация спадат ли също и периодът, в който функционират „бисквитките“ (cookies), и въпросът дали трети лица получават достъп до тези бисквитки?“.

 По преюдициалните въпроси

 Предварителни бележки

38      Най-напред следва да се разгледа приложимостта на Директива 95/46 и на Регламент 2016/679 по отношение на разглежданите в главното производство обстоятелства.

39      Считано от 25 май 2018 г., Директива 95/46 се отменя и заменя с Регламент 2016/679 в съответствие с член 94, параграф 1 от него.

40      Посочената дата действително е след датата на последното заседание, проведено пред запитващата юрисдикция на 14 юли 2017 г., както и след датата на сезиране на Съда с преюдициалното запитване, изпратено от тази юрисдикция.

41      Запитващата юрисдикция посочва обаче, че предвид влизането в сила на Регламент 2016/679 на 25 май 2018 г., за който впрочем се отнася част от първия въпрос, има вероятност да се наложи същият да се вземе под внимание в момента на произнасяне по спора в главното производство. Освен това, както посочва германското правителство в заседанието пред Съда, не е изключено, доколкото производството, започнато по инициатива на федерацията, има за цел преустановяване на действията на Planet49 за в бъдеще, Регламент 2016/679 да се окаже приложим ratione temporis в спора в главното производство поради националната съдебна практика във връзка с релевантните правни положения по исковете за преустановяване на нарушение, което следва да се провери от запитващата юрисдикция (вж. относно установителните искове решение от 16 януари 2019 г., Deutsche Post, C‑496/17, EU:C:2019:26, т. 38).

42      При това положение и предвид обстоятелството, че съгласно член 94, параграф 2 от Регламент 2016/679 позоваванията в Директива 2002/58 на Директива 95/46 се тълкуват като позовавания на този регламент, в случая не е изключено Директива 2002/58 да се приложи съвместно или с Директива 95/46, или с Регламент 2016/679 в зависимост от естеството на исканията на федерацията и съответния период.

43      Ето защо на поставените въпроси следва да се отговори както с оглед на Директива 95/46, така и на Регламент 2016/679.

 По първия въпрос, букви а) и в)

44      С първия въпрос, букви а) и в), запитващата юрисдикция иска по същество да установи дали член 2, буква е) и член 5, параграф 3 от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46, както и с член 6, параграф 1, буква а) от Регламент 2016/679, трябва да се тълкуват в смисъл, че даването на споменатото в тези разпоредби съгласие е действително, когато съхраняването на информация или достъпът до информация, която вече е съхранена в крайното оборудване на потребител на интернет сайт, с помощта на бисквитки, се позволява чрез предварително маркирано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си.

45      Най-напред следва да се уточни, че съгласно информацията, съдържаща се в акта за преюдициално запитване, бисквитките, които могат да бъдат инсталирани на крайното оборудване на потребител, който участва в организираната от Planet49 промоционална игра, съдържат номер, обозначаващ регистрационните данни за потребителя, който трябва да въведе името и адреса си във формуляра за участие в играта. Запитващата юрисдикция добавя, че асоциирането на този номер с посочените данни персонализира съхранените от бисквитките данни, когато потребителят използва интернет, поради което събирането на данните с помощта на бисквитки представлява обработване на лични данни. Тази информация се потвърждава от Planet49, което подчертава в писменото си становище, че съгласието, което се дава с второто поле за отбелязване, е за събиране и обработване на лични данни, а не на анонимна информация.

46      След това уточнение следва да се отбележи, че в съответствие с член 5, параграф 3 от Директива 2002/58 държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на ползвателя, е позволено само при условие че съответният ползвател е дал своето съгласие след получаване на ясна и изчерпателна информация в съответствие с Директива 95/46, inter alia, относно целите на обработката.

47      Във връзка с това следва да се припомни, че както от изискването за еднакво прилагане на правото на Съюза, така и от принципа за равенство следва, че разпоредба от правото на Съюза, чийто текст не съдържа изрично препращане към правото на държава членка с оглед на определяне на нейния смисъл и обхват, трябва по принцип да получи самостоятелно и еднакво тълкуване навсякъде в Съюза (решения от 26 март 2019 г., SM (дете, поставено под алжирския режим кафала), C‑129/18, EU:C:2019:248, т. 50 и от 11 април 2019 г., Tarola, C‑483/17, EU:C:2019:309, т. 36).

48      Освен това съгласно постоянната практика на Съда при тълкуването на разпоредба от правото на Съюза следва да се вземат предвид не само нейният текст и целите ѝ, но също и нейният контекст, както и всички разпоредби на правото на Съюза. Генезисът на разпоредбата от правото на Съюза също може да разкрие обстоятелства, които са релевантни за тълкуването ѝ (решение от 10 декември 2018 г., Wightman и др., C‑621/18, EU:C:2018:999, т. 47 и цитираната съдебна практика).

49      Относно текста на член 5, параграф 3 от Директива 2002/58 следва да се отбележи, че макар тази разпоредба да предвижда изрично, че потребителят трябва да „е дал своето съгласие“ за инсталирането и консултирането на бисквитки на своето крайно оборудване, тази разпоредба не указва начина, по който трябва да се даде такова съгласие. Изразът „е дал своето съгласие“ допуска обаче буквално тълкуване, съгласно което е необходимо потребителят да извърши определено действие, за да изрази съгласието си. В тази връзка от съображение 17 от Директива 2002/58 следва, че по смисъла на тази директива потребителят може да даде съгласие по всеки подходящ начин, позволяващ свободно да се посочи специфичен и уведомителен знак за желанията на потребителя, включително „чрез отбелязване в графа, при посещение на интернет страница“.

50      Що се отнася до контекста, в който се разполага член 5, параграф 3 от Директива 2002/58, следва да се подчертае, че член 2, буква е) от нея, който дефинира „съгласието“ по смисъла на същата, в това отношение препраща към „съгласието на съответното физическо лице“ — израз, съдържащ се в Директива 95/46. Съображение 17 от Директива 2002/58 уточнява, че за целите на тази директива съгласието на потребителя трябва да има същото значение като съгласието на съответното физическо лице, както е определено и допълнително уточнено в Директива 95/46.

51      Член 2, буква з) от последната директива дефинира „съгласие[то] на съответното физическо лице“ като „всяко свободно изразено, конкретно и информирано указание за волята на съответното физическо лице, с което то дава израз на своето съгласие за обработка на личните данни, които се отнасят до него“.

52      В този смисъл, както подчертава генералният адвокат в точка 60 от заключението си, изискването за „манифестиране“ на воля от страна на съответното лице очевидно изисква положително, а не отрицателно действие. Съгласието, дадено посредством предварително отметнато поле, обаче не е свързано с положително действие от страна на потребителя на интернет сайт.

53      Това тълкуване се потвърждава от член 7 от Директива 95/46, който предвижда изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законосъобразно (вж. в този смисъл решения от 24 ноември 2011 г., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 и C‑469/10, EU:C:2011:777, т. 30, и от 19 октомври 2016 г., Breyer, C‑582/14, EU:C:2016:779, т. 57).

54      По-конкретно член 7, буква а) от Директива 95/46 предвижда, че съгласието на съответното физическо лице може да направи такова обработване законосъобразно, ако това лице е дало „недвусмислено“ своето съгласие. Следователно само положително действие от страна на лице, с което то манифестира съгласие, може да изпълни това изискване.

55      В това отношение се оказва практически невъзможно да се определи обективно дали потребителят на интернет сайт действително е дал съгласие за обработването на своите лични данни, като не е премахнал отбелязването в предварително отметнато поле, както и при всички положения дали даденото съгласие е било информирано. Всъщност не може да се изключи, че въпросният потребител не е прочел информацията към предварително отметнатото поле или не го е забелязал, преди да продължи дейността си на интернет сайта, който посещава.

56      Накрая, що се отнася до генезиса на член 5, параграф 3 от Директива 2002/58, следва да се констатира, че първоначалният вариант на тази разпоредба предвижда само изискването потребителят „да има право да откаже“ инсталирането на бисквитки след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива 95/46/ЕО, inter alia, относно целите на обработката. Директива 2009/136 внася съществено изменение в текста на тази разпоредба, като заменя посочения израз с думите „е дал своето съгласие“. В този смисъл генезисът на член 5, параграф 3 от Директива 2002/58 показва, че съгласието на потребителя вече не може да се презумира и трябва да произтича от негово положително действие.

57      С оглед на изложените съображения даването на съгласието по смисъла на член 2, буква е) и член 5, параграф 3 от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46 не е действително, когато съхраняването на информация или достъпът до информация, която вече е съхранена на крайното оборудване на потребител на интернет сайт, се позволява чрез предварително маркирано от доставчика на услуга с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си.

58      Следва да се добави, че волеизявлението съгласно член 2, буква з) от Директива 95/46 трябва по-специално да бъде „конкретно“ в смисъл, че трябва да се отнася именно за съответното обработване на данни и не би могло да се извежда от волеизявление със самостоятелен предмет.

59      В случая, противно на твърденията на Planet49, обстоятелството, че потребителят натиска бутона за участие в промоционалната игра, организирана от това дружество, при това положение не би могло да бъде достатъчно, за да се счита, че е налице действително даване на съгласие от потребителя за инсталиране на бисквитки.

60      Изложеното тълкуване произтича по аргумент за по-силното основание и с оглед на Регламент 2016/679.

61      Действително, както по същество констатира генералният адвокат в точка 70 от своето заключение, текстът на член 4, точка 11 от Регламент 2016/679, който определя „съгласието на субекта на данните“ за целите на този регламент, и по-конкретно на член 6, параграф 1, буква а) от него, визиран в първия въпрос, буква в), е още по-стриктен от този на член 2, буква з) от Директива 95/46, тъй като изисква указание за волята на субекта на данните, което е „свободно изразено, конкретно, информирано и недвусмислено“, под формата на изявление или „ясно потвърждаващо действие“, с което той заявява съгласие свързаните с него лични данни да бъдат обработени.

62      В този смисъл Регламент 2016/679 вече предвижда изрично активно даване на съгласие. В тази връзка трябва да се отбележи, че в съответствие със съображение 32 от този регламент изразяването на съгласие може да включва отбелязване с отметка в поле при посещението на интернет сайт. Съображението обаче изрично изключва наличието на съгласие в случай на „мълчание[…], предварително отметнати[…] полета или липса[…] на действие“.

63      От това следва, че даването на съгласието по член 2, буква е) и член 5, параграф 3 от Директива 2002/58 във връзка с член 4, точка 11 и член 6, параграф 1, буква а) от Регламент 2016/679 не е действително, когато съхраняването на информация или достъпът до информация, която вече е съхранена на крайното оборудване на потребител на интернет сайт, се позволява чрез предварително маркирано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си.

64      Накрая следва да се подчертае, че запитващата юрисдикция не сезира Съда по въпроса дали обстоятелството, че съгласието на потребителя за обработването на неговите лични данни с рекламна цел обуславя възможността той да участва в промоционална игра, както изглежда е в случая според изложеното в акта за преюдициално запитване, поне що се отнася до първото поле за отбелязване, е съвместимо с изискването за „свободно“ съгласие по смисъла на член 2, буква з) от Директива 95/46, както и на член 4, точка 11 и член 7, параграф 4 от Регламент 2016/679. При това положение няма основание Съдът да разглежда този въпрос.

65      С оглед на изложените съображения в тяхната цялост следва на първия въпрос, букви а) и в), да се отговори, че член 2, буква е) и член 5, параграф 3 от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46, както и с член 4, точка 11 и член 6, параграф 1, буква а) от Регламент 2016/679 трябва да се тълкуват в смисъл, че даването на споменатото в тези разпоредби съгласие не е действително, когато съхраняването на информация или достъпът до информация, която вече е съхранена в крайното оборудване на потребител на интернет сайт, с помощта на бисквитки, се позволява чрез предварително маркирано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си.

 По първия въпрос, буква б)

66      С първия въпрос, буква б) запитващата юрисдикция иска по същество да установи дали член 2, буква е) и член 5, параграф 3 от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46, както и с член 4, точка 11 и член 6, параграф 1, буква а) от Регламент 2016/679 трябва да се тълкуват по различен начин в зависимост от това дали информацията, която се съхранява или консултира на крайното оборудване на потребител на интернет сайт, представлява или не лични данни по смисъла на Директива 95/46 и на Регламент 2016/679.

67      Както бе отбелязано в точка 45 от настоящото решение, от акта за преюдициално запитване е видно, че инсталирането на разглежданите в главното производство бисквитки е част от обработването на лични данни.

68      След това уточнение във всички случаи следва да се констатира, че член 5, параграф 3 от Директива 2002/58 говори за „съхраняване на информация“ и за „получаване на достъп до [вече съхранявана] информация“, без да квалифицира тази информация, нито да уточнява, че тя трябва да представлява лични данни.

69      Както констатира генералният адвокат в точка 107 от своето заключение, поради това посочената разпоредба има за цел да защити потребителя от всяка намеса в личния му живот, независимо от въпроса дали намесата е свързана или не с лични данни.

70      Това тълкуване се потвърждава от съображение 24 от Директива 2002/58, съгласно което всяка информация, съхранявана в крайното оборудване на потребителите на електронни комуникационни мрежи, се отнася до частния живот на потребителите, изискващ защита съгласно Европейската конвенция за защита на правата на човека и основните свободи. Тази защита се прилага за всяка информация, съхранявана в такова крайно оборудване, независимо дали става дума за лични данни, и както следва от същото съображение, има по-специално за цел да защити потребителите срещу риска скрити идентификатори и други подобни устройства да проникнат в крайното им оборудване без тяхно знание.

71      С оглед на изложените съображения на първия въпрос, буква б), следва да се отговори, член 2, буква е) и член 5, параграф 3 от Директива 2002/58 във връзка с член 2, буква з) от Директива 95/46, както и с член 4, точка 11 и член 6, параграф 1, буква а) от Регламент 2016/679 не трябва да се тълкуват по различен начин в зависимост от това дали информацията, която се съхранява или консултира на крайното оборудване на потребител на интернет сайт, представлява или не лични данни по смисъла на Директива 95/46 и на Регламент 2016/679.

 По втория въпрос

72      С втория си въпрос запитващата юрисдикция иска по същество да установи дали член 5, параграф 3 от Директива 2002/58 трябва да се тълкува в смисъл, че информацията, която доставчикът на услуги трябва да предостави на потребител на интернет сайт, включва продължителността на функциониране на бисквитките, както и дали трети лица имат или не възможност за достъп до тях.

73      Видно от точка 46 от настоящото решение, член 5, параграф 3 от Директива 2002/58 изисква потребителят да е дал съгласие, след получаване на ясна и изчерпателна информация „в съответствие с Директива [95/46]“, по-специално относно целите на обработването.

74      Както подчертава генералният адвокат в точка 115 от своето заключение, ясната и изчерпателна информация трябва да позволи на потребителя лесно да определи последиците от евентуално даденото съгласие и да гарантира, че съгласието се дава напълно съзнателно. Тя трябва да бъде ясна за разбиране и достатъчно подробна, за да може потребителят да разбере функционирането на използваните бисквитки.

75      В положение като разглежданото в главното производство, при което съгласно материалите по делото, представени на Съда, целта е с помощта на бисквитки да се събира информация с цел рекламиране на стоките на партньорите на организатора на промоционална игра, продължителността на функционирането на бисквитките, както и възможността трети лица да имат или не достъп до тези бисквитки, са част от ясната и изчерпателна информация, която трябва да се предостави на потребителя в съответствие с член 5, параграф 3 от Директива 2002/58.

76      В тази връзка следва да се отбележи, че член 10 от Директива 95/46, на която се позовава член 5, параграф 3 от Директива 2002/58, както и член 13 от Регламент 2016/679 посочват информацията, която администраторът трябва да предостави на лицето, от което събира свързани с него данни.

77      Съгласно член 10 от Директива 95/46 тази информация по-специално включва, освен самоличността на администратора и целта на обработването, за което данните са предназначени, и всякаква друга информация, например получателите или категориите получатели на данни, доколкото подобна допълнителна информация е необходима, като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице.

78      Макар продължителността на обработването на данните да не фигурира като част от тази информация, от израза „най-малкото“, съдържащ се в член 10 от Директива 95/46, личи, че видовете информация не са изброени изчерпателно. Информацията относно продължителността на функционирането на бисквитките трябва да се счита за отговаряща на изискването за справедлива обработка на данните, предвидено в този член, тъй като в положение като разглежданото в главното производство голямата, ако не и неограничена продължителност е свързана със събирането на множество различни видове информация относно навиците на сърфиране и честотата на евентуалните посещения на потребителя на сайтовете на рекламните партньори на организатора на промоционалната игра.

79      Това тълкуване се потвърждава от член 13, параграф 2, буква а) от Регламент 2016/679, който предвижда, че за осигуряване на добросъвестно и прозрачно обработване администраторът предоставя на субекта на данните информация относно по-специално срока, за който ще се съхраняват личните данни, а ако това е невъзможно, относно критериите, използвани за определяне на този срок.

80      Що се отнася до възможността трети лица да имат достъп до бисквитките, тази информация е сред посочената в член 10, буква в) от Директива 95/46, както и в член 13, параграф 1, буква д) от Регламент 2016/679, тъй като тези разпоредби изрично упоменават получателите или категориите получатели на данните.

81      С оглед на изложените съображения на втория въпрос следва да се отговори, че член 5, параграф 3 от Директива 2002/58 трябва да се тълкува в смисъл, че информацията, която доставчикът на услуги трябва да предостави на потребител на интернет сайт, включва продължителността на функциониране на бисквитките, както и дали трети лица имат или не възможност за достъп до тях.

 По съдебните разноски

82      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (голям състав) реши:

1)      Член 2, буква е) и член 5, параграф 3 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 година, във връзка с член 2, буква з) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, както и с член 4, точка 11 и член 6, параграф 1, буква а) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46 (Общ регламент относно защитата на данните), трябва да се тълкуват в смисъл, че даването на споменатото в тези разпоредби съгласие не е действително, когато съхраняването на информация или достъпът до информация, която вече е съхранена в крайното оборудване на потребител на интернет сайт, с помощта на бисквитки, се позволява чрез предварително маркирано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си.

2)      Член 2, буква е) и член 5, параграф 3 от Директива 2002/58, изменена с Директива 2009/136, във връзка с член 2, буква з) от Директива 95/46, както и с член 4, точка 11 и член 6, параграф 1, буква а) от Регламент 2016/679 не трябва да се тълкуват по различен начин в зависимост от това дали информацията, която се съхранява или консултира на крайното оборудване на потребител на интернет сайт, представлява или не лични данни по смисъла на Директива 95/46 и на Регламент 2016/679.

3)      Член 5, параграф 3 от Директива 2002/58, изменена с Директива 2009/136, трябва да се тълкува в смисъл, че информацията, която доставчикът на услуги трябва да предостави на потребител на интернет сайт, включва продължителността на функциониране на бисквитките, както и дали трети лица имат или не възможност за достъп до тях.

Подписи


*      Език на производството: немски.