ROZSUDEK SOUDNÍHO DVORA (druhého senátu)

29. července 2019 ( *1 )

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Směrnice 95/46/ES – Článek 2 písm. d) – Pojem ‚správce‘ – Provozovatel internetových stránek, který do nich začlenil sociální modul, jež umožňuje sdělovat osobní údaje návštěvníka těchto stránek poskytovateli uvedeného modulu – Článek 7 písm. f) – Oprávněné zpracování údajů – Zohlednění zájmu provozovatele internetové sítě nebo zájmu poskytovatele sociálního modulu – Článek 2 písm. h) a článek 7 písm. a) – Souhlas subjektu údajů – Článek 10 – Informování subjektu údajů – Vnitrostátní právní úprava, která umožňuje aktivní legitimaci sdružení na ochranu zájmů spotřebitelů“

Ve věci C‑40/17,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU, podaná rozhodnutím Oberlandesgericht Düsseldorf (vrchní zemský soud v Düsseldorfu, Německo) ze dne 19. ledna 2017, došlým Soudnímu dvoru dne 26. ledna 2017, v řízení

Fashion ID GmbH & Co. KG

proti

Verbraucherzentrale NRW eV,

za účasti:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

SOUDNÍ DVŮR (druhý senát),

ve složení K. Lenaerts, předseda Soudního dvora vykonávající funkci předsedy druhého senátu, A. Prechal, C. Toader, A. Rosas (zpravodaj) a M. Ilešič, soudci,

generální advokát: M. Bobek,

vedoucí soudní kanceláře: D. Dittert, vedoucí oddělení,

s přihlédnutím k písemné části řízení a po jednání konaném dne 6. září 2018,

s ohledem na vyjádření předložená:

za Fashion ID GmbH & Co. KG C.-M. Althausem a J. Nebelem, Rechtsanwälte,

za Verbraucherzentrale NRW eV K. Krusem, C. Rempem a S. Meyerem, Rechtsanwälte,

za Facebook Ireland Ltd H.-G. Kamannem, C. Schwedlerem a M. Braunem, Rechtsanwälte, jakož i I. Perego, avvocatessa,

za Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen U. Merger, jako zmocněnkyní,

za německou vládu, původně T. Henzem a J. Möllerem, dále J. Möllerem, jako zmocněnci,

za belgickou vládu P. Cottinem a L. Van den Broeck, jako zmocněnci,

za italskou vládu G. Palmieri, jako zmocněnkyní, ve spolupráci s P. Gentilim, avvocato dello Stato,

za rakouskou vládu původně C. Pesendorfer a následně G. Kunnertem, jako zmocněnci,

za polskou vládu B. Majczynou, jako zmocněncem,

za Evropskou komisi H. Krämerem a H. Kranenborgem, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 19. prosince 2018,

vydává tento

Rozsudek

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu článků 2, 7, 10 a 22 až 24 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 08/03, s. 3).

2

Tato žádost byla předložena v rámci sporu mezi společností Fashion ID GmbH & Co. KG a Verbraucherzentrale NRW eV ohledně začlenění pluginu pro propojení se sociální sítí (sociální modul) Facebook Ireland Ltd společností Fashion ID do internetových stránek posledně uvedené společnosti.

Právní rámec

Unijní právo

3

Směrnice 95/46 byla zrušena a nahrazena s účinkem ode dne 25. května 2018 nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 2016, L 119, s. 1). Nicméně tato směrnice je vzhledem k době rozhodné z hlediska skutkového stavu ve sporu v původním řízení na tento spor použitelná.

4

V bodě 10 odůvodnění směrnice 95/46 se uvádí:

„[V]zhledem k tomu, že předmětem vnitrostátních právních předpisů o zpracování osobních údajů je chránit základní práva a svobody, zejména právo na soukromí uznaného [uznané] v článku 8 Evropské úmluvy o ochraně lidských práv a základních svobod [podepsané v Římě dne 4. listopadu 1950] i v obecných zásadách práva [Unie]; že z tohoto důvodu sblížení těchto právních předpisů nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany v [Unii];“.

5

Článek 1 směrnice 95/46 stanoví:

„1.   Členské státy zajišťují v souladu s touto směrnicí ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.

2.   Členské státy nemohou omezit ani zakázat volný pohyb osobních údajů mezi členskými státy z důvodů ochrany zajištěné podle odstavce 1.“

6

Článek 2 této směrnice stanoví:

„Pro účely této směrnice se rozumí:

a)

‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné [fyzické] osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity;

b)

‚zpracováním osobních údajů‘ (‚zpracování‘) jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace;

[…]

d)

‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; jsou-li účel a prostředky zpracování určeny právními a správními předpisy na úrovni jednotlivých států či [Unie], je možné určit správce nebo zvláštní kritéria pro jeho určení právem jednotlivých států nebo [Unie];

[…]

f)

‚třetí osobou‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt jiný než subjekt údajů, než správce, než zpracovatel a než osoby přímo podléhající správci nebo zpracovateli, které jsou oprávněny ke zpracování údajů;

g)

‚příjemcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány, ať se jedná či nikoli o třetí osobu; orgány, které mohou získávat údaje v rámci zvláštního šetření, však nejsou považovány za příjemce;

h)

‚souhlasem subjektu údajů‘ jakýkoli svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování.“

7

Článek 7 uvedené směrnice stanoví:

„Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud:

a)

subjekt údajů nezpochybnitelně udělil souhlas;

nebo

[…]

f)

je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1.“

8

Článek 10 téže směrnice, nadepsaný „Informování v případě shromažďování údajů od subjektu údajů“, zní:

„Členské státy stanoví, že správce nebo jeho zástupce musí poskytnout osobě, od které získává údaje, které se jí týkají, alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen:

a)

totožnost správce a popřípadě jeho zástupce;

b)

účely zpracování, pro které jsou údaje určeny;

c)

veškeré doplňující informace jako:

příjemci nebo kategorie příjemců údajů;

skutečnost, zda jsou odpovědi na otázky povinné nebo dobrovolné a případné důsledky neposkytnutí odpovědi,

existence práva na přístup k údajům, které se subjektu údajů týkají, a právo na jejich opravu,

v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů, s ohledem na zvláštní okolnosti, za jakých jsou údaje shromažďovány.“

9

Článek 22 směrnice 95/46 zní následovně:

„Aniž je tím dotčena možnost opravného prostředku ve správním řízení, který je možno podat, zejména orgánu dozoru uvedenému v článku 28, stanoví všechny členské státy, že každá osoba má právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené zpracování, předložit věc soudu.“

10

Článek 23 této směrnice uvádí:

„1.   Členské státy stanoví, že kdokoli, kdo byl poškozen neoprávněným zpracováním nebo jinou činností neslučitelnou s vnitrostátními předpisy přijatými k provedení této směrnice, má právo na náhradu utrpěné škody od správce.

2.   Správce může být částečně nebo zcela zbaven této odpovědnosti, pokud prokáže, že za vznik škody neodpovídá.“

11

Článek 24 uvedené směrnice stanoví:

„Členské státy přijmou vhodná opatření, kterými zajistí uplatňování ustanovení této směrnice, a zejména určí sankce, které se uplatní v případě porušení předpisů přijatých na základě této směrnice.“

12

Článek 28 stejné směrnice stanoví:

„1.   Každý členský stát pověří jeden nebo několik orgánů veřejné moci na svém území dohledem nad dodržováním předpisů přijatých členskými státy na základě této směrnice.

Tyto orgány plní úkoly, kterými jsou pověřeny, zcela nezávisle.

[…]

3.   Každý orgán dozoru má zejména:

[…]

pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení této směrnice nebo pravomoc oznámit tato porušení soudním orgánům.

[…]

4.   Na orgán dozoru se může obrátit jakákoli osoba nebo sdružení zastupující tuto osobu se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním osobních údajů. Dotčená osoba je informována o způsobu vyřízení své žádosti.

[…]“

13

Článek 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009 (Úř. věst. 2009, L 337, s. 11) (dále jen „směrnice 2002/58“) stanoví:

„Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí [95/46], mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“

14

Článek 1 odst. 1 směrnice Evropského parlamentu a Rady 2009/22/ES ze dne 23. dubna 2009 o žalobách na zdržení se jednání v oblasti ochrany zájmů spotřebitelů (Úř. věst. 2009, L 110, s. 30), ve znění nařízení Evropského parlamentu a Rady (EU) č. 524/2013 ze dne 21. května 2013 (Úř. věst. 2013, L 165, s. 1) (dále jen „směrnice 2009/22“), stanoví:

„Cílem této směrnice je sbližování právních a správních předpisů členských států týkajících se žalob na zdržení se jednání ve smyslu článku 2, kterými jsou chráněny kolektivní zájmy spotřebitelů v působnosti akty Unie uvedenými v příloze I, aby se tak zajistilo řádné fungování vnitřního trhu.“

15

Článek 2 této směrnice stanoví:

„1.   Členské státy určí soudy nebo správní orgány příslušné k tomu, aby rozhodly o žalobách podaných oprávněnými subjekty ve smyslu článku 3, které jsou zaměřeny na:

a)

co možná nejpohotovější zastavení nebo zákaz porušování předpisů, případně vydaný v rámci zkráceného řízení;

[…]“

16

Článek 7 uvedené směrnice stanoví:

„Tato směrnice nebrání členským státům přijímat nebo ponechat v platnosti ustanovení, která poskytují oprávněným subjektům, jakož i jiným dotčeným osobám na vnitrostátní úrovni rozsáhlejší oprávnění podávat návrhy na zahájení řízení.“

17

Článek 80 nařízení 2016/679 zní takto:

„1.   Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.

2.   Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.“

Německé právo

18

Ustanovení § 3 odst. 1 Gesetz gegen den unlauteren Wettbewerb (zákon na ochranu proti nekalé hospodářské soutěži), ve znění použitelném na spor v původním řízení (dále jen „UWG“) uvádí:

„Protiprávní obchodní praktiky jsou zakázány.“

19

Ustanovení § 3a UWG zní takto:

„Nekalého jednání se dopustí ten, kdo jedná v rozporu s právním předpisem, který je určen zejména ke stanovení pravidel chování na trhu v zájmu jeho účastníků, jestliže porušení právního předpisu může citelně narušit zájmy spotřebitelů, jiných účastníků trhu nebo soutěžitelů.“

20

Ustanovení § 8 UWG stanoví:

„(1)   Tomu, kdo uplatňuje obchodní praktiku, která je podle § 3 nebo § 7 protiprávní, lze uložit povinnost ukončení porušování práv a existuje-li nebezpečí opakování, zdržení se dalšího protiprávního jednání. Nárok domáhat se zdržení se jednání vzniká již tehdy, když existuje hrozba takovéto protiprávní obchodní praktiky ve smyslu § 3 nebo § 7.

[…]

(3)   Nároky přiznané v odstavci 1 mohou být uplatněny:

[…]

3. oprávněnými subjekty, které prokáží, že jsou uvedeny v seznamu oprávněných subjektů podle § 4 Unterlassungsklagegesetz (zákona o žalobách na zdržení se jednání) nebo v seznamu Evropské komise podle čl. 4 odst. 3 směrnice [2009/22];

[…]“

21

Ustanovení § 2 zákona o žalobách na zdržení se jednání stanoví:

„(1)   Proti každému, kdo poruší právní předpisy na ochranu spotřebitele (zákony o ochraně spotřebitele) jinak než za uplatnění nebo doporučení všeobecných prodejních podmínek, může být podána žaloba na zdržení se jednání v zájmu ochrany spotřebitele. […]

(2)   Ve smyslu tohoto ustanovení se zákony o ochraně spotřebitele rozumí zejména:

[…]

11. předpisy upravující zákonnost

a)

shromažďování osobních údajů o uživateli ze strany hospodářského subjektu nebo

b)

zpracovávání nebo používání osobních údajů, které hospodářský subjekt shromáždil o určitém uživateli,

pokud jsou tyto údaje shromažďovány, zpracovávány nebo používány za účelem reklamy, průzkumu trhu nebo veřejného mínění, provozování informační agentury, vytváření osobnostních nebo uživatelských profilů, obchodování s adresami, cíleného obchodování s daty nebo k podobným komerčním účelům.“

22

Ustanovení § 12 odst. 1 Telemediengesetz (zákon o službách elektronických informací a komunikací, dále jen „TMG“) zní takto:

„Poskytovatel služeb může shromažďovat a využívat osobní údaje za účelem poskytování služeb elektronických informací a komunikací pouze tehdy, pokud to dovoluje tento zákon nebo jiný právní předpis, který se výslovně týká služeb elektronických informací a komunikací, nebo pokud s tím uživatel souhlasil.“

23

Ustanovení § 13 odst. 1 TMG stanoví:

„Poskytovatel služeb uživatele na začátku využívání těchto služeb uživatele všeobecně srozumitelnou formou poučí o způsobu, rozsahu a účelech shromažďování a používání osobních údajů, jakož i o zpracovávání jeho údajů ve státech, které nespadají do oblasti působnosti směrnice [95/46], pokud tak neučinil již dříve. V případě automatizovaného postupu, který umožňuje pozdější identifikaci uživatele a připravuje shromažďování nebo využívání osobních údajů, musí být uživatel poučen na začátku tohoto postupu. Uživatel musí mít možnost stálého přístupu k obsahu tohoto poučení.“

24

Ustanovení § 15 odst. 1 TMG stanoví:

„Poskytovatel služeb může shromažďovat a využívat osobní údaje uživatele, pouze pokud je to nezbytné k tomu, aby bylo umožněno a vyúčtováno použití služeb elektronických informací a komunikací (údaje o použití). Údaji o použití jsou zejména

1.   údaje potřebné pro identifikaci uživatele,

2.   údaje týkající se začátku a konce, jakož i rozsahu konkrétního použití a

3.   údaje týkající se služeb elektronických informací a komunikací využitých uživatelem.“

Spor v původním řízení a předběžné otázky

25

Fashion ID, podnik, který prodává na internetu módní oblečení, začlenil do svých internetových stránek sociální modul „to se mi líbí“ sociální sítě Facebook (dále jen „tlačítko Facebooku ‚to se mi líbí‘ “).

26

Z předkládacího rozhodnutí vyplývá, že vlastností internetu je umožnit prohlížeči návštěvníka internetových stránek prezentovat obsahy z různých zdrojů. Například fotografické snímky, videozáznamy, aktuality, jakož i tlačítko „to se mi líbí“ Facebooku dotčené v projednávané věci mohou být součástí internetových stránek a objevovat se na nich. Chce-li provozovatel do svých internetových stránek začlenit tyto obsahy náležející třetí straně (externí obsahy), umístí na stánky odkaz na externí obsah. Ve chvíli, kdy prohlížeč návštěvníka těchto stránek otevře takový odkaz, vyžádá si prohlížeč externí obsah a umístí ho na určené místo v rámci zobrazení internetových stránek. Prohlížeč za tímto účelem zašle serveru externího poskytovatele IP adresu počítače tohoto návštěvníka, jakož i technické informace o prohlížeči, tak aby server mohl určit, v jakém formátu má příslušný obsah na tuto adresu odeslat. Prohlížeč dále předá informace týkající se požadovaného obsahu. Provozovatel internetových stránek, který nabízí obsah tím, že ho začlení do těchto stránek, nemůže ovlivnit údaje, jaké prohlížeč předává ani jak s nimi externí poskytovatel naloží, především zda se rozhodne je uložit a využít.

27

Pokud jde konkrétně o tlačítko Facebooku „to se mi líbí“, z předkládacího rozhodnutí podle všeho vyplývá, že když si návštěvník prohlíží internetové stránky společnosti Fashion ID, jsou osobní údaje tohoto návštěvníka z důvodu skutečnosti, že do těchto stránek začlenila uvedené tlačítko, předány společnosti Facebook Ireland. Je zřejmé, že k tomuto předání dochází, aniž si je uvedený návštěvník vědom této skutečnosti a nezávisle na tom, zda je členem sociální sítě Facebook či zda klikl na tlačítko Facebooku „to se mi líbí“.

28

Verbraucherzentrale NRW, veřejně prospěšné sdružení na ochranu zájmů spotřebitelů, vytýká společnosti Fashion ID, že předala společnosti Facebook Ireland osobní údaje návštěvníků jejích internetových stránek zaprvé bez jejich souhlasu a zadruhé za porušení informačních povinností stanovených ustanoveními týkajícími se ochrany osobních údajů.

29

Verbraucherzentrale NRW podalo žalobu na zdržení se jednání k Landgericht Düsseldorf (zemský soud v Düsseldorfu, Německo) proti Fashion ID, aby ukončila tuto praxi.

30

Rozhodnutím ze dne 9. března 2016 Landgericht Düsseldorf (zemský soud v Düsseldorfu) částečně vyhověl návrhovým žádáním Verbraucherzentrale NRW, poté, co uznal jeho aktivní legitimaci na základě čl. 8 odst. 3 bodu 3 UWG.

31

Společnost Fashion ID se proti tomuto rozhodnutí odvolala k Oberlandesgericht Düsseldorf (vrchní zemský soud v Düsseldorfu, Německo), předkládajícímu soudu. Společnost Facebook Ireland vstoupila do řízení o tomto odvolání jako vedlejší účastník na podporu Fashion ID. Verbraucherzentrale NRW zase podalo vzájemné odvolání, jehož cílem je rozšířit povinnosti Fashion ID uložené prvoinstančním rozsudkem.

32

Před předkládajícím soudem Fashion ID tvrdí, že rozhodnutí Landgericht Düsseldorf (zemský soud v Düsseldorfu) není slučitelné se směrnicí 95/46.

33

Zaprvé Fashion ID tvrdí, že články 22 až 24 uvedené směrnice stanoví právní prostředky jen ve prospěch osob dotčených zpracováním osobních údajů a příslušných kontrolních orgánů. V důsledku tohoto žaloba, kterou podal Verbraucherzentrale NRW, není podle Fashion ID přípustná z důvodu, že toto sdružení nemá v rámci směrnice 95/46 aktivní legitimaci.

34

Zadruhé má Fashion ID za to, že Landgericht Düsseldorf (zemský soud v Düsseldorfu) nesprávně rozhodl, že byla správcem ve smyslu čl. 2 písm. d) směrnice 95/46, jelikož nemá žádný vliv na údaje předávané prohlížečem návštěvníka jejích internetových stránek ani na to, zda a případně jakým způsobem je Facebook Ireland použije.

35

Předkládající soud má v prvé řadě pochybnosti, pokud jde o otázku, zda směrnice 95/46 přiznává veřejně prospěšným sdružením aktivní legitimaci na ochranu zájmů poškozených osob. Je toho názoru, že článek 24 této směrnice nebrání sdružením, aby měla aktivní legitimaci, jelikož podle tohoto článku přijmou členské státy všechna „vhodná opatření“ k zajištění plného uplatňování uvedené směrnice. Předkládající soud tak má za to, že vnitrostátní právní úprava, která umožňuje sdružením podávat žaloby v zájmu spotřebitelů, může představovat takové vhodné opatření.

36

Uvedený soud v tomto ohledu uvádí, že čl. 80 odst. 2 nařízení č. 2016/679, které zrušilo a nahradilo směrnici 95/46, výslovně takovému sdružení povoluje podat žalobu, což potvrzuje, že posledně uvedená směrnice nebrání podání takové žaloby.

37

Dále se táže, zda provozovatel internetových stránek, jako je Fashion ID, která na tyto stránky umístila sociální modul, který umožňuje sběr osobních údajů, může být považován za správce ve smyslu čl. 2 písm. d) směrnice 95/46, přestože tento provozovatel nemá žádný vliv na zpracování údajů předaných poskytovateli tohoto modulu. Předkládající soud odkazuje v tomto ohledu na věc, ve které byl vydán rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16EU:C:2018:388), který se týká podobné otázky.

38

Podpůrně v případě, že se Fashion ID nemá považovat za správce, se předkládající soud táže, zda tato směrnice vyčerpávajícím způsobem upravuje tento pojem tak, že brání vnitrostátní právní úpravě, která stanoví občanskoprávní odpovědnost za škodu způsobenou třetí osobou v případě porušení práv na ochranu údajů. Předkládající soud totiž tvrdí, že je možné uvažovat o odpovědnosti Fashion ID na tomto právním základě vnitrostátního práva jakožto „rušitele“ („Störer“).

39

Pokud musí být Fashion ID považována za správce nebo přinejmenším za odpovědnou jakožto „rušitel“ za případné porušení ochrany údajů společností Facebook Ireland, předkládající soud se dotazuje, zda zpracování osobních údajů dotčených v původním řízení je zákonné a zda povinnost informovat subjekt údajů na základě článku 10 směrnice 95/46 spočívá na společnosti Fashion ID, nebo Facebook Ireland.

40

Předkládající soud se tedy s ohledem na podmínky zákonnosti zpracovávání osobních údajů, jak je stanoví čl. 7 písm. f) směrnice 95/46, táže, zda v takové situaci, jakou je situace dotčená v původním řízení, je třeba zohlednit oprávněné zájmy provozovatele internetových stránek nebo poskytovatele sociálního modulu.

41

Dále si uvedený soud klade otázku, komu připadá povinnost získání souhlasu a povinnost informování osob dotčených zpracováním osobních údajů v takové situaci, jako je situace dotčená v původním řízení. Předkládající soud se domnívá, že otázka, kdo nese povinnost informovat subjekt údajů, která je stanovená v článku 10 směrnice 95/46, má zvláštní význam, protože každé začlenění externích obsahů do internetových stránek vede v zásadě ke zpracování osobních údajů, jehož rozsah a účel jsou však neznámé osobě, která začleňuje tyto obsahy, a sice provozovateli dotyčných internetových stránek. Z tohoto důvodu nemůže provozovatel poskytovat potřebné informace v rozsahu, v němž je to povinen učinit, takže uložit mu povinnost informovat subjekt údajů by v praxi vedlo k zakázání vkládání externích obsahů.

42

Za těchto podmínek se Oberlandesgericht Düsseldorf (vrchní zemský soud v Düsseldorfu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)

Brání ustanovení článků 22, 23 a 24 směrnice [95/46] vnitrostátní právní úpravě, která vedle intervenčních pravomocí orgánů pro ochranu údajů a možností subjektu údajů podávat žaloby přiznává veřejně prospěšným sdružením na ochranu zájmů spotřebitelů pravomoc zahájit v případě porušování těchto zájmů postup proti jejich porušovateli?

V případě, že bude na první otázku odpovězeno záporně:

2)

Je v takovém případě, o jaký se jedná v projednávané věci, kdy určitá osoba začlení do svých internetových stránek programový kód, v jehož důsledku je prohlížeč uživatele instruován, aby žádal obsahy od třetí osoby a za tímto účelem předával této třetí osobě osobní údaje, osoba, která tento programový kód začlenila do svých internetových stránek, ‚správcem‘ ve smyslu čl. 2 písm. d) směrnice [95/46], i když tato osoba sama nemůže toto zpracování údajů ovlivnit?

3)

V případě záporné odpovědi na druhou otázku: Musí být čl. 2 písm. d) směrnice [95/46] vykládán v tom smyslu, že odpovědnost je v něm upravena s konečnou platností tak, že brání občanskoprávnímu řízení s třetí osobou, která sice není ‚správcem‘, ale založila důvod ke zpracování údajů, které nemůže ovlivnit?

4)

Co lze v takové situaci, jaká nastala v projednávané věci, považovat za ‚oprávněné zájmy‘ při vážení zájmů v souvislosti s čl. 7 písm. f) směrnice [95/46]? Je to zájem na vkládání obsahů poskytnutých třetí osobou, nebo zájem této třetí osoby?

5)

Komu musí být v takové situaci, jaká nastala v projednávané věci, poskytnut souhlas podle čl. 7 písm. a) a čl. 2 písm. h) směrnice [95/46]?

6)

Týká se povinnost poskytnutí informací, kterou stanoví článek 10 směrnice [95/46], v takové situaci, jaká nastala v projednávané věci, i provozovatele internetových stránek, který do nich začlenil předmětný obsah poskytnutý třetí osobou, a založil tak důvod ke zpracování osobních údajů touto třetí osobou?“

K předběžným otázkám

K první otázce

43

Podstatou první otázky předkládajícího soudu je, zda články 22 až 24 směrnice 95/46 musí být vykládány v tom smyslu, že brání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému rušiteli ochrany osobních údajů.

44

Úvodem je třeba připomenout, že podle článku 22 směrnice 95/46 členské státy stanoví, že každá osoba může v případě porušení práv, jež jsou jí zaručena vnitrostátními právními předpisy, které se uplatní na dotčené zpracování, předložit věc soudu.

45

Článek 28 odst. 3 třetí pododstavec směrnice 95/46 uvádí, že každý orgán dozoru, pověřený v souladu s čl. 28 odst. 1 této směrnice na území dotyčného členského státu dohledem nad dodržováním předpisů přijatých tímto státem na základě uvedené směrnice, má zejména pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení téže směrnice nebo pravomoc oznámit tato porušení soudním orgánům.

46

Pokud jde o čl. 28 odst. 4 směrnice 95/46, tento stanoví, že na orgán dozoru se může obrátit sdružení zastupující subjekt údajů ve smyslu čl. 2 písm. a) této směrnice se žádostí týkající se ochrany jeho práv a svobod v souvislosti se zpracováním osobních údajů.

47

Nicméně žádné ustanovení uvedené směrnice neukládá členským státům povinnost stanovit – ani je výslovně neopravňuje ke stanovení – ve svém vnitrostátním právu možnost sdružení zastupovat takovou osobu nebo z vlastní iniciativy podat žalobu proti údajnému rušiteli ochrany osobních údajů.

48

Z toho však nevyplývá, že směrnice 95/46 brání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému pachateli takového porušení.

49

Podle článku 288 třetího pododstavce SFEU mají totiž členské státy při provádění směrnice povinnost zajistit úplnou účinnost směrnice, přičemž mají široký prostor pro uvážení, co se týče volby způsobů a prostředků určených k jejímu provedení. Tato volnost nemá žádný dopad na povinnost uloženou všem členským státům přijmout veškerá opatření nezbytná k zajištění plné účinnosti dotyčné směrnice v souladu s cílem, který sleduje (rozsudky ze dne 6. října 2010, Base a další, C‑389/08EU:C:2010:584, body 2425, jakož i ze dne 22. února 2018, Porras Guisado, C‑103/16EU:C:2018:99, bod 57).

50

V tomto ohledu je třeba připomenout, že jedním s cílů, kterými je vedena směrnice 95/46, je zajistit účinnou a úplnou ochranu základních práv a svobod fyzických osob, zejména práva na soukromí ve vztahu ke zpracování osobních údajů (v tomto smyslu viz rozsudky ze dne 13. května 2014, Google Spain a Google, C‑131/12EU:C:2014:317, bod 53, jakož i ze dne 27. září 2017, Puškár, C‑73/16EU:C:2017:725, bod 38). Její desátý bod odůvodnění upřesňuje, že sblížení vnitrostátních právních předpisů použitelných v dané oblasti nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany v Unii (rozsudky ze dne 6. listopadu 2003, Lindqvist, C‑101/01EU:C:2003:596, bod 95; ze dne 16. prosince 2008, Huber, C‑524/06EU:C:2008:724, bod 50, a ze dne 24. listopadu 2011, Asociacion Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10EU:C:2011:777, bod 28).

51

Přitom skutečnost, že členský stát stanoví ve své vnitrostátní právní úpravě možnost sdružení na ochranu zájmů spotřebitelů podat žalobu proti údajnému rušiteli ochrany osobních údajů, nemůže nijak poškodit její cíle, ale naopak přispívá k dosažení těchto cílů.

52

Společnosti Fashion ID a Facebook Ireland nicméně tvrdí, že vzhledem k tomu, že směrnice 95/46 provedla úplnou harmonizaci vnitrostátních ustanovení týkajících se ochrany údajů, jakákoliv žaloba, která není touto směrnicí výslovně stanovena, je vyloučena. Články 22, 23 a 28 směrnice 95/46 se přitom omezují na úpravu žalob subjektů údajů a orgánů dozoru nad ochranou údajů.

53

S touto argumentací však nelze souhlasit.

54

Směrnice 95/46 zajisté vede k harmonizaci vnitrostátních právních předpisů, které se týkají ochrany osobních údajů, která je v zásadě úplná (v tomto smyslu viz rozsudky ze dne 24. listopadu 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10EU:C:2011:777, bod 29, a ze dne 7. listopadu 2013, IPI, C‑473/12EU:C:2013:715, bod 31).

55

Soudní dvůr měl tak za to, že článek 7 uvedené směrnice stanoví taxativní a omezující výčet případů, kdy lze zpracování osobních údajů považovat za zákonné, a že členské státy nemohou doplnit nové zásady pro oprávněné zpracování osobních údajů, obsažené v uvedeném článku, ani upravovat další požadavky, které by pozměnily dosah některé ze šesti zásad zakotvených v tomto článku (rozsudky ze dne 24. listopadu 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10EU:C:2011:777, body 3032, jakož i ze dne 19. října 2016, Breyer, C‑582/14EU:C:2016:779, bod 57).

56

Soudní dvůr nicméně rovněž upřesnil, že směrnice 95/46 obsahuje pravidla, která jsou poměrně obecná, vzhledem k tomu, že mají být uplatňována v řadě velmi rozličných situací. Tato pravidla se vyznačují jistou pružností a v mnoha případech ponechávají na členských státech, aby upravily podrobnosti nebo si vybraly z daných možností, takže členské státy disponují v mnoha ohledech prostorem pro uvážení při provádění uvedené směrnice do vnitrostátního práva (v tomto smyslu viz rozsudky ze dne 6. listopadu 2003, Lindqvist, C‑101/01EU:C:2003:596, body 83, 8497, jakož i ze dne 24. listopadu 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 a C‑469/10EU:C:2011:777, bod 35).

57

Tak je to v případě článků 22 až 24 směrnice 95/46, které jsou, jak uvedl generální advokát v bodě 42 svého stanoviska, formulována velmi obecně a neprovádí úplnou harmonizaci vnitrostátní ustanovení týkajících se soudních opravných prostředků, které by mohly být použity proti údajnému rušiteli ochrany osobních údajů (obdobně viz rozsudek ze dne 26. října 2017, I, C‑195/16EU:C:2017:815, body 5758).

58

Obzvláště, i když článek 22 této směrnice ukládá povinnost pro všechny členské státy, aby stanovily, že každá osoba má právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené zpracování osobních údajů, předložit věc soudu, uvedená směrnice neobsahuje žádné ustanovení konkrétně upravující podmínky, za kterých lze tento opravný prostředek uplatnit (v tomto smyslu viz rozsudek ze dne 27. září 2017, Puškár, C‑73/16EU:C:2017:725, body 5455).

59

Dále článek 24 směrnice 95/46 stanoví, že členské státy přijmou „vhodná opatření“, kterými zajistí úplné uplatňování ustanovení této směrnice, aniž taková opatření definuje. Přitom stanovení možnosti sdružení na ochranu zájmů spotřebitelů podat žalobu proti údajnému rušiteli ochrany osobních údajů se jeví jako vhodné opatření ve smyslu tohoto ustanovení, které jak bylo uvedeno v bodě 51 tohoto rozsudku, přispívá k dosažení cílů uvedené směrnice v souladu s judikaturou Soudního dvora (v tomto ohledu viz rozsudek ze dne 6. listopadu 2003, Lindqvist, C‑101/01EU:C:2003:596, bod 97).

60

Kromě toho na rozdíl od tvrzení Fashion ID, skutečnost, že členský stát takovou možnost ve své vnitrostátní právní úpravě stanoví, se nejeví takové povahy, aby ohrozila nezávislost, se kterou orgány dozoru musí plnit úkoly, které jsou jim svěřeny, v souladu s požadavky článku 28 směrnice 95/46, jelikož tato možnost nemůže ovlivnit ani svobodu rozhodování těchto orgánů, ani jejich svobodu jednání.

61

Dále, i když je pravda, že směrnice 95/46 se nenachází mezi akty uvedenými v příloze I směrnice 2009/22, nic to nemění na tom, že podle článku 7 této směrnice, tato neprovedla úplnou harmonizaci v tomto ohledu.

62

Konečně skutečnost, že nařízení 2016/679, které zrušilo a nahradilo směrnici 95/46 a které se uplatňuje od 25. května 2018, výslovně v čl. 80 odst. 2 povoluje členským státům, aby umožnily sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému rušiteli ochrany osobních údajů, v ničem neznamená, že členské státy jim nemohly přiznat toto právo v době účinnosti směrnice 95/46, ale naopak potvrzuje, že výklad dané směrnice uvedený v tomto rozsudku odpovídá vůli unijního zákonodárce.

63

S ohledem na všechny výše uvedené úvahy je třeba na první otázku odpovědět, že články 22 až 24 směrnice 95/46 musí být vykládány v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému rušiteli ochrany osobních údajů.

K druhé otázce

64

Podstatou druhé otázky předkládajícího soudu je, zda takového provozovatele internetových stránek, jako je Fashion ID, který začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je možné považovat za správce ve smyslu čl. 2 písm. d) směrnice 95/46, přestože tento provozovatel nemá žádný vliv na zpracování údajů takto předaných uvedenému poskytovateli.

65

V tomto ohledu je třeba připomenout, že v souladu s cílem sledovaným směrnicí 95/46, kterým je zajistit vysokou úroveň ochrany základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů, čl. 2 písm. d) této směrnice definuje pojem „správce“ velmi široce jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů (v tomto smyslu viz rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16EU:C:2018:388, body 2627).

66

Jak již totiž Soudní dvůr rozhodl, cílem tohoto ustanovení je prostřednictvím široké definice pojmu „správce“ zajistit účinnou a úplnou ochranu subjektů údajů (rozsudky ze dne 13. května 2014, Google Spain a Google, C‑131/12EU:C:2014:317, bod 34, jakož i ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16EU:C:2018:388, bod 28).

67

Dále vzhledem k tomu, že se pojmem „správce“ rozumí subjekt, který „sám nebo společně s jinými“ určuje účel a prostředky zpracování osobních údajů, jak je výslovně stanoveno v čl. 2 písm. d) směrnice 95/46, neodkazuje tento pojem nutně na jediný subjekt a může mířit na více subjektů, které se na tomto zpracování podílejí, a tudíž se na každého z nich vztahují použitelná ustanovení pro ochranu údajů (v tomto smyslu viz rozsudky ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16EU:C:2018:388, bod 29, a ze dne 10. července 2018, Jehovan todistajat, C‑25/17EU:C:2018:551, bod 65).

68

Soudní dvůr měl rovněž za to, že fyzickou nebo právnickou osobu, která vykonává pro své vlastní účely vliv na zpracování osobních údajů, a v důsledku toho se podílí na určování účelu a prostředků tohoto zpracování, lze považovat za správce ve smyslu čl. 2 písm. d) směrnice 95/46 (rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17EU:C:2018:551, bod 68).

69

Kromě toho předpokladem společné odpovědnosti několika subjektů za totéž zpracování na základě tohoto ustanovení není, že každý z nich má přístup k dotčeným osobním údajům (v tomto smyslu viz rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16EU:C:2018:388, bod 38, a ze dne 10. července 2018, Jehovan todistajat, C‑25/17EU:C:2018:551, bod 69).

70

Vzhledem k tomu, že cílem čl. 2 písm. d) směrnice 95/46 je prostřednictvím široké definice pojmu „správce“ zajistit účinnou a úplnou ochranu subjektů údajů, z existence společné odpovědnosti nelze nezbytně dovozovat, že by jednotlivé subjekty měly ve vztahu k témuž zpracovávání osobních údajů nést nezbytně stejný díl odpovědnosti. Naopak tyto subjekty mohou být zapojeny v různých fázích tohoto zpracování a v různé míře, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem projednávané věci (v tomto smyslu viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17EU:C:2018:551, bod 66).

71

V tomto ohledu je třeba zaprvé uvést, že čl. 2 písm. b) směrnice 95/46 definuje „zpracování osobních údajů“ jako „jakýkoli úkon nebo soubor úkonů, které jsou prováděny s osobními údaji pomocí automatizovaných postupů či bez nich, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, sdělování prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnávání či kombinování, jakož i blokování, výmaz nebo znehodnocení údajů“.

72

Z této definice vyplývá, že zpracování osobních údajů může sestávat z jedné nebo více operací, přičemž každá z nich se týká jednoho z různých stadií, kterými může procházet zpracování osobních údajů.

73

Zadruhé z definice pojmu „správce“ uvedené v čl. 2 písm. d) směrnice 95/46, jak byla připomenuta v bodě 65 tohoto rozsudku, vyplývá, že pokud více subjektů definuje společně účely a prostředky zpracování osobních údajů, podílí se na tomto zpracování jako správce.

74

Z toho vyplývá, jak v zásadě uvedl generální advokát v bodě 101 svého stanoviska, že fyzická nebo právnická osoba může být ve smyslu čl. 2 písm. d) směrnice 95/46 správcem ve spojení s jinými osobami jen pro ty operace zpracování osobních údajů, při kterých společně určuje účely a prostředky. Naproti tomu, a aniž by byla v této souvislosti dotčena případná občanskoprávní odpovědnost stanovená vnitrostátním právem, nelze uvedenou fyzickou nebo právnickou osobu považovat za správce ve smyslu uvedeného ustanovení v souvislosti s předchozími nebo pozdějšími operace v postupu zpracování, při kterých neurčuje účely ani prostředky.

75

V projednávané věci, s výhradou ověření, které přísluší provést předkládajícímu soudu, ze spisu, kterým disponuje Soudní dvůr, vyplývá, že Fashion ID tím, že začlenila na své internetové stránky tlačítko Facebooku „to se mi líbí“, uvedená společnost pravděpodobně dala společnosti Facebook Ireland možnost získat osobní údaje návštěvníků jejích internetových stránek, protože taková možnost se aktivuje v okamžiku zobrazení uvedených stránek, a to nezávisle na skutečnosti, zda jsou tito návštěvníci členy sociální sítě Facebook, klikli na tlačítko „to se mi líbí“ Facebooku, nebo zda vůbec věděli o takové operaci.

76

S ohledem na tyto informace je třeba konstatovat, že operace zpracování osobních údajů, při kterých dokáže Fashion ID společně se společností Facebook Ireland určovat účely a prostředky jsou, pokud jde o definici pojmu „zpracování osobních údajů“ uvedenou v čl. 2 písm. b) směrnice 95/46, sběr a přenos osobních údajů návštěvníků jejích internetových stránek. Naopak s ohledem na uvedené informace, se na první pohled jeví vyloučeno, že Fashion ID určuje účely a prostředky následných operací zpracování osobních údajů, které provádí Facebook Ireland poté, co jsou jí předány, takže Fashion ID nemůže být považována za správce ve vztahu k těmto operacím ve smyslu tohoto čl. 2 písm. d).

77

Pokud jde o prostředky použité pro účely sběru a přenosu určitých osobních údajů návštěvníků internetových stránek Fashion ID, z bodu 75 tohoto rozsudku vyplývá, že tato společnost umístila na své internetové stránky tlačítko Facebooku „to se mi líbí“, které Facebook Ireland dala k dispozici provozovatelům internetových stránek, přičemž si byla vědoma, že toto tlačítko slouží jako nástroj pro sběr a přenos osobních údajů návštěvníků těchto stránek bez ohledu na to, zda jsou či nejsou členy sociální sítě Facebook.

78

Kromě toho Fashion ID umístěním takového sociálního modulu na své internetové stránky ovlivňuje rozhodujícím způsobem sběr a přenos osobních údajů návštěvníků uvedených stránek ve prospěch poskytovatele uvedeného modulu, v projednávané věci Facebook Ireland, ke kterému by v případě neumístění uvedeného modulu nedošlo.

79

Za těchto podmínek a s výhradou ověření, která v tomto ohledu přísluší provést předkládajícímu soudu, je třeba mít za to, že Facebook Ireland a Fashion ID společně určují prostředky, které jsou základem operací sběru a přenosu osobních údajů návštěvníků internetových stránek Fashion ID.

80

Pokud jde o účel uvedených operací zpracování osobních údajů, zdá se, že umístění tlačítka „to se mi líbí“ Facebooku společností Fashion ID na své internetové stránky jí umožňuje optimalizovat reklamu svých výrobků tím, že je učiní viditelnější na sociální síti Facebook, když návštěvník jejích internetových stránek klikne na uvedené tlačítko. Zdá se, že aby Fashion ID mohla využít tuto obchodní výhodu sestávající z takové zdokonalené reklamy svých výrobků, tato společnost umístěním takového tlačítka na svých internetových stránkách souhlasila, přinejmenším implicitně, se sběrem a přenosem osobních údajů návštěvníků stránek, přičemž tyto operace zpracování se uskutečňovaly v hospodářském zájmu jak Fashion ID, tak Facebook Ireland, pro kterou skutečnost, že může disponovat těmito údaji pro své vlastní obchodní účely, představuje protiplnění za výhodu, kterou nabízí společnosti Fashion ID.

81

Za těchto okolností je možné mít za to, s výhradou ověření, která přísluší provést předkládajícímu soudu, že Fashion ID a Facebook Ireland určují společně účely operací sběru a přenosu osobních údajů dotčených v původním řízení.

82

Navíc, jak vyplývá z judikatury připomenuté v bodě 69 tohoto rozsudku, okolnost, že takový provozovatel internetových stránek, jako je Fashion ID, nemá sám přístup k osobním údajům shromážděným a předaným poskytovateli sociálního modulu, se kterým společně určuje prostředky a účely zpracování osobních údajů, není překážkou tomu, aby mohl mít postavení správce ve smyslu čl. 2 písm. d) směrnice 95/46.

83

Navíc je třeba zdůraznit, že takové internetové stránky, jako jsou stránky Fashion ID, jsou navštěvovány jak osobami, kteří jsou členy sociální sítě Facebook a mají na této sociální síti účet, tak osobami, které takový účet nemají. V tomto posledně uvedeném případě se odpovědnost provozovatele internetových stránek, jako je Fashion ID, pokud jde o zpracování osobních údajů těchto osob, jeví ještě důležitější, protože pouhé zobrazení těchto stránek, které obsahují tlačítko Facebooku „to se mi líbí“, zřejmě spouští zpracování jejich osobních údajů společností Facebook Ireland (v tomto smyslu viz rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16EU:C:2018:388, bod 41).

84

V důsledku toho se zdá, že Fashion ID může být považována za správce ve smyslu čl. 2 písm. d) směrnice 95/46 společně s Facebook Ireland ve vztahu k operacím sběru a přenosu osobních údajů návštěvníků její internetových stránek.

85

S ohledem na všechny výše uvedené úvahy je třeba odpovědět na druhou otázku, že takového provozovatele internetových stránek, jako je Fashion ID, který začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je možné považovat za správce ve smyslu čl. 2 písm. d) směrnice 95/46. Jeho odpovědnost je nicméně omezená na operace nebo soubor operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky, a sice sběr a přenos dotčených údajů.

K třetí otázce

86

S ohledem na odpověď podanou na druhou otázku není namístě odpovídat na třetí otázku.

Ke čtvrté otázce

87

Podstatou čtvrté otázky předkládajícího soudu je, zda v takové situaci, jako je situace dotčená ve věci v původním řízení, ve které provozovatel internetových stránek začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je třeba pro účely použití čl. 7 písm. f) směrnice 95/46 zohlednit oprávněný zájem sledovaný tímto provozovatelem nebo oprávněný zájem sledovaný uvedeným poskytovatelem.

88

Úvodem je třeba uvést, že podle Komise není tato otázka relevantní pro vyřešení sporu v původním řízení, jelikož souhlas subjektu údajů vyžadovaný čl. 5 odst. 3 směrnice 2002/58 nebyl získán.

89

V tomto ohledu je třeba konstatovat, že čl. 5 odst. 3 posledně uvedené směrnice stanoví, že členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46, mimo jiné o účelu zpracování.

90

Je věcí předkládajícího soudu, aby v takové situaci, jako je situace dotčená v původním řízení, ověřil, zda poskytovatel sociálního modulu, jako je Facebook Ireland, přistupuje, jak tvrdí Komise, k informacím, uchovávaným v koncovém zařízení ve smyslu čl. 5 odst. 3 směrnice 2002/58, návštěvníka internetových stránek provozovatele těchto stránek.

91

Za takových okolností, a jelikož se předkládající soud zřejmě domnívá, že v projednávané věci údaje předané společnosti Facebook Ireland představují osobní údaje ve smyslu směrnice 95/46, které se kromě toho nezbytně neomezují na informace uchovávané v koncovém zařízení, což musí potvrdit daný soud, neumožňují úvahy Komise zpochybnit relevanci čtvrté předběžné otázky pro vyřešení sporu v původním řízení, která se týká případné zákonnosti zpracování údajů dotčených v původním řízení, jak rovněž uvedl generální advokát v bodě 115 svého stanoviska.

92

V důsledku toho je třeba zabývat set otázkou, jaký oprávněný zájem na zpracování údajů se musí zohlednit pro účely použití čl. 7 písm. f) této směrnice.

93

V tomto ohledu je třeba úvodem připomenout, že podle ustanovení kapitoly II směrnice 95/46, nadepsané „Obecné podmínky pro zákonnost zpracování osobních údajů“, s výhradou výjimek, které připouští článek 13 této směrnice, musí jakékoli zpracování osobních údajů zejména odpovídat některé ze zásad pro oprávněné zpracování údajů uvedených v článku 7 uvedené směrnice (v tomto smyslu viz rozsudky ze dne 13. května 2014, Google Spain a Google, C‑131/12EU:C:2014:317, bod 71, a ze dne 1. října 2015, Bara a další, C‑201/14EU:C:2015:638, bod 30).

94

V souladu s čl. 7 písm. f) směrnice 95/46, jejíž výklad si žádá předkládající soud, je zpracování osobních údajů zákonné, pokud je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1 směrnice 95/46.

95

Uvedený čl. 7 písm. f) směrnice tedy stanoví tři kumulativní podmínky pro to, aby bylo zpracování osobních údajů zákonné, a to zaprvé sledování oprávněného zájmu správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, zadruhé nezbytnost zpracování osobních údajů pro uskutečnění sledovaných oprávněných zájmů a zatřetí podmínku, že nemají přednost základní práva a svobody osoby, na kterou se vztahuje ochrana údajů (rozsudek ze dne 4. května 2017, Rīgas satiksme, C‑13/16EU:C:2017:336, bod 28).

96

Vzhledem k tomu se s ohledem na odpověď poskytnutou na druhou otázku jeví, že v takové situaci, jako je situace dotčená ve věci v původním řízení, může být provozovatel internetových stránek, který do nich začlení sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, považován za správce, který společně s tímto poskytovatelem odpovídá za operace zpracování osobních údajů návštěvníka svých internetových stránek, kterými jsou sběr a přenos údajů, je nezbytné, aby každý z těchto správců sledoval těmito operacemi zpracování údajů oprávněný zájem ve smyslu čl. 7 písm. f) směrnice 95/46, aby byly tyto operace z jeho strany odůvodněné.

97

S ohledem na výše uvedené úvahy je třeba na čtvrtou otázku odpovědět, že v takové situaci, jako je situace dotčená ve věci v původním řízení, kdy provozovatel internetových stránek začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je nezbytné k tomu, aby byly tyto operace provozovatele i poskytovatele odůvodněné, aby každý z nich sledoval těmito operacemi zpracování oprávněný zájem ve smyslu čl. 7 písm. f) směrnice 95/46.

K páté a šesté otázce

98

Podstatou páté a šesté otázky předkládajícího soudu, kterými je třeba se zabývat společně, je, zaprvé zda čl. 2 písm. h) a čl. 7 písm. a) směrnice 95/46 musí být vykládány v tom smyslu, že v takové situaci, jako je situace dotčená ve věci v původním řízení, kdy provozovatel internetových stránek začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje uvedeného návštěvníka, musí uvedený provozovatel nebo tento poskytovatel získat souhlas uvedený v těchto ustanoveních, a zadruhé zda článek 10 této směrnice musí být vykládán v tom smyslu, že v takové situaci leží informační povinnost stanovená tímto ustanovením na tomto provozovateli.

99

Jak vyplývá z odpovědi na druhou otázku, provozovatele internetových stránek, který začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje tohoto návštěvníka, je možné považovat za správce ve smyslu čl. 2 písm. d) směrnice 95/46, přičemž jeho odpovědnost je nicméně omezena na operace nebo soubor operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky.

100

Povinnosti, které může mít podle směrnice 95/46 tento správce, jako je povinnost získat souhlas subjektu údajů uvedená v čl. 2 písm. h) a čl. 7 písm. a) této směrnice, jakož i informační povinnost stanovená v článku 10 této směrnice, se tedy musí týkat operace nebo souboru operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky.

101

V projednávané věci, i když může být provozovatel internetových stránek, který začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje tohoto návštěvníka, považován za správce, který společně s tímto poskytovatelem odpovídá za operace sběru a přenosu osobních údajů tohoto návštěvníka, jeho povinnost získat souhlas subjektu údajů uvedená v čl. 2 písm. h) a čl. 7 písm. a) směrnice 95/46, jakož i jeho informační povinnost stanovená v článku 10 této směrnice, se týkají jen těchto operací. Naopak se tyto povinnosti nevztahují na zpracování osobních údajů týkající se jiných fází, které nastaly před nebo po uvedených operacích, které sebou případně nese zpracování dotčených osobních údajů.

102

Pokud jde o souhlas uvedený v čl. 2 písm. h) a čl. 7 písm. a) směrnice 95/46, je zřejmé, že tento musí být poskytnut před sběrem a přenosem údajů subjektu údajů. Za těchto podmínek přísluší provozovateli internetových stránek, a nikoliv poskytovateli sociálního modulu, aby získal tento souhlas, jelikož k procesu zpracování osobních údajů dochází v důsledku prohlédnutí těchto internetových stránek návštěvníkem. Jak totiž uvedl generální advokát v bodě 132 svého stanoviska, bylo by v rozporu s účinnou a včasnou ochranou práv subjektů údajů, pokud by souhlas byl udělen pouze společně odpovědnému správci, který je zapojen v pozdější fázi, a sice poskytovateli uvedeného modulu. Souhlas, který se musí poskytnout provozovateli, se nicméně týká pouze operace nebo souboru operací zpracování osobních údajů, u nichž tento provozovatel skutečně určuje účely a prostředky.

103

Totéž platí, pokud jde o informační povinnost stanovenou v článku 10 směrnice 95/46.

104

V tomto ohledu ze znění tohoto ustanovení vyplývá, že správce nebo jeho zástupce musí poskytnout osobě, od které získává údaje, alespoň informace uvedené v tomto ustanovení. Tato informace podle všeho tedy musí být správcem poskytnuta okamžitě, a sice v okamžiku sběru údajů (v tomto smyslu viz rozsudky ze dne 7. května 2009, Rijkeboer, C‑553/07EU:C:2009:293, bod 68, a ze dne 7. listopadu 2013, IPI, C‑473/12EU:C:2013:715, bod 23).

105

Z toho vyplývá, že v takové situaci, jako je situace dotčená v původním řízení, informační povinnost stanovená v článku 10 směrnice 95/46 leží rovněž na provozovateli internetových stránek, přičemž informace, kterou musí poskytnout subjektu údajů, se nicméně musí týkat jen operace nebo souboru operací zpracování osobních údajů, u nichž tento provozovatel skutečně určuje účely a prostředky.

106

S ohledem na všechny výše uvedené úvahy je třeba na pátou a šestou otázku odpovědět, že čl. 2 písm. h) a čl. 7 písm. a) směrnice 95/46 musí být vykládány v tom smyslu, že v takové situaci, jako je situace dotčená ve věci v původním řízení, kdy provozovatel internetových stránek začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje uvedeného návštěvníka, musí tento provozovatel získat souhlas ve smyslu těchto ustanovení, pouze pokud jde o operace nebo soubor operací zpracování osobních údajů, u nichž uvedený provozovatel skutečně určuje účely a prostředky. A dále článek 10 této směrnice musí být vykládán v tom smyslu, že v takové situaci informační povinnost stanovená tímto ustanovením leží rovněž na uvedeném provozovateli, přičemž informace, kterou musí tento provozovatel poskytnout subjektu údajů, se nicméně musí týkat jen operace nebo souboru operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky.

K nákladům řízení

107

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

 

Z těchto důvodů Soudní dvůr (druhý senát) rozhodl takto:

 

1)

Články 22 až 24 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů musí být vykládány v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje sdružením na ochranu zájmů spotřebitelů podat žalobu k soudu proti údajnému narušovateli ochrany osobních údajů.

 

2)

Provozovatele internetových stránek, jako je společnost Fashion ID GmbH & Co. KG, který začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je možné považovat za správce ve smyslu čl. 2 písm. d) směrnice 95/46. Jeho odpovědnost je nicméně omezená na operace nebo soubor operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky, a sice sběr a přenos dotčených údajů.

 

3)

V takové situaci, jako je situace dotčená ve věci v původním řízení, kdy provozovatel internetových stránek začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je nezbytné k tomu, aby byly tyto operace provozovatele i poskytovatele odůvodněné, aby každý z nich sledoval těmito operacemi zpracování oprávněný zájem ve smyslu čl. 7 písm. f) směrnice 95/46.

 

4)

Článek 2 písm. h) a čl. 7 písm. a) směrnice 95/46 musí být vykládány v tom smyslu, že v takové situaci, jako je situace dotčená ve věci v původním řízení, kdy provozovatel internetových stránek začlení do uvedených stránek sociální modul umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od poskytovatele uvedeného modulu, a za tímto účelem předává tomuto poskytovateli osobní údaje uvedeného návštěvníka, musí tento provozovatel získat souhlas ve smyslu těchto ustanovení, pouze pokud jde o operace nebo soubor operací zpracování osobních údajů, u nichž uvedený provozovatel skutečně určuje účely a prostředky. A dále článek 10 této směrnice musí být vykládán v tom smyslu, že v takové situaci informační povinnost stanovená tímto ustanovením leží rovněž na uvedeném provozovateli, přičemž informace, kterou musí tento provozovatel poskytnout subjektu údajů, se nicméně musí týkat jen operace nebo souboru operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky.

 

Podpisy.


( *1 ) – Jednací jazyk: němčina.