–

η Fashion ID GmbH & Co. KG, εκπροσωπούμενη από τους C.‑M. Althaus και J. Nebel, Rechtsanwälte,

–

η Verbraucherzentrale NRW eV, εκπροσωπούμενη από τους K. Kruse, C. Rempe και S. Meyer, Rechtsanwälte,

–

η Facebook Ireland Ltd, εκπροσωπούμενη από τους H.‑G. Kamann, C. Schwedler και M. Braun, Rechtsanwälte, καθώς και από την I. Perego, avvocatessa,

–

ο Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, εκπροσωπούμενος από την U. Merger,

–

η Γερμανική Κυβέρνηση, εκπροσωπούμενη αρχικώς από τους T. Henze και J. Möller, στη συνέχεια από τον J. Möller,

–

η Βελγική Κυβέρνηση, εκπροσωπούμενη από τον P. Cottin και την L. Van den Broeck,

–

η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από τον P. Gentili, avvocato dello Stato,

–

η Αυστριακή Κυβέρνηση, εκπροσωπούμενη αρχικώς από την C. Pesendorfer, στη συνέχεια από τον G. Kunnert,

–

η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna,

–

η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους H. Krämer και H. Kranenborg,

1

Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία των άρθρων 2, 7, 10 και 22 έως 24 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

2

Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Fashion ID GmbH & Co. KG και της Verbraucherzentrale NRW eV σχετικά με την ενσωμάτωση από την πρώτη στην ιστοσελίδα της πρόσθετου κοινωνικής δικτύωσης (social plugin) της Facebook Ireland Ltd.

3

Η οδηγία 95/46 καταργήθηκε και αντικαταστάθηκε, από τις 25 Μαΐου 2018, από τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 2016, L 119, σ. 1). Εντούτοις, δεδομένου του χρόνου των πραγματικών περιστατικών της διαφοράς της κύριας δίκης, εφαρμογή σε αυτήν έχει η ως άνω οδηγία.

4

Η αιτιολογική σκέψη 10 της οδηγίας 95/46 έχει ως εξής:

«[Εκτιμώντας] ότι στόχος των εθνικών νομοθεσιών όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι η διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων και ιδίως της ιδιωτικής ζωής, όπως επίσης αναγνωρίζεται στο άρθρο 8 της ευρωπαϊκής σύμβασης περί προστασίας των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών[, που υπογράφηκε στη Ρώμη στις 4 Νοεμβρίου 1950,] καθώς και στις γενικές αρχές του [ενωσιακού] δικαίου· ότι, για το λόγο αυτό, η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην [Ένωση]».

5

Το άρθρο 1 της οδηγίας 95/46 ορίζει τα εξής:

«1.   Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

2.   Τα κράτη μέλη δεν μπορούν να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.»

6

Το άρθρο 2 της οδηγίας αυτής ορίζει τα εξής:

«Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:

[…]

[…]

7

Το άρθρο 7 της εν λόγω οδηγίας έχει ως εξής:

«Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:

[…]

8

Το άρθρο 10 της ίδιας οδηγίας, με τίτλο «Ενημέρωση σε περίπτωση συλλογής δεδομένων από το πρόσωπο στο οποίο αναφέρονται», ορίζει τα εξής:

«Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που το αφορούν τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί σχετικά:

9

Το άρθρο 22 της οδηγίας 95/46 έχει ως εξής:

«Με την επιφύλαξη ενδεχόμενης άσκησης διοικητικής [προσφυγής], ιδίως ενώπιον της αρχής ελέγχου που αναφέρεται στο άρθρο 28, προτού επιληφθεί δικαστική αρχή, τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία.»

10

Το άρθρο 23 της οδηγίας αυτής ορίζει τα εξής:

«1.   Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο θιγόμενο από αθέμιτη επεξεργασία ή κάθε άλλη ενέργεια που δεν συμβιβάζεται με τις εθνικές διατάξεις εφαρμογής της παρούσας οδηγίας έχει δικαίωμα αποκατάστασης της επελθούσας ζημίας από τον υπεύθυνο της επεξεργασίας.

2.   Ο υπεύθυνος της επεξεργασίας μπορεί να απαλλαγεί της ευθύνης αυτής, εν μέρει ή εν όλω, εάν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός.»

11

Το άρθρο 24 της εν λόγω οδηγίας προβλέπει τα εξής:

«Τα κράτη μέλη λαμβάνουν τα κατάλληλα μέτρα για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της παρούσας οδηγίας και προβλέπουν ιδίως κυρώσεις για παράβαση των διατάξεων εφαρμογής της.»

12

Το άρθρο 28 της ίδιας οδηγίας προβλέπει τα εξής:

«1.   Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογήν της παρούσας οδηγίας.

Οι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία.

[…]

3.   Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:

[…]

[…]

4.   Κάθε πρόσωπο ή κάθε ένωση που το εκπροσωπεί μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δίδεται στην αίτησή του.

[…]»

13

Το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009 (ΕΕ 2009, L 337, σ. 11) (στο εξής: οδηγία 2002/58), προβλέπει τα εξής:

«Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη [να] επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία [95/46], μεταξύ άλλων για το σκοπό της επεξεργασίας. Τούτο δεν εμποδίζει οιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή που είναι απολύτως αναγκαία για να μπορεί ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης να παρέχει τη συγκεκριμένη υπηρεσία.»

14

Το άρθρο 1, παράγραφος 1, της οδηγίας 2009/22/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Απριλίου 2009, περί των αγωγών παραλείψεως στον τομέα της προστασίας των συμφερόντων των καταναλωτών (ΕΕ 2009, L 110, σ. 30), όπως τροποποιήθηκε με τον κανονισμό (ΕΕ) 524/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Μαΐου 2013 (ΕΕ 2013, L 165, σ. 1) (στο εξής: οδηγία 2009/22), ορίζει τα εξής:

«Στόχος της παρούσας οδηγίας είναι η προσέγγιση των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών σχετικά με τις αγωγές παραλείψεως κατά το άρθρο 2 και αποσκοπούν στην προστασία των συλλογικών συμφερόντων των καταναλωτών που περιλαμβάνονται στις πράξεις της Ένωσης που απαριθμούνται στο παράρτημα Ι, προκειμένου να εξασφαλισθεί η εύρυθμη λειτουργία της εσωτερικής αγοράς.»

15

Το άρθρο 2 της οδηγίας αυτής ορίζει τα εξής:

«1.   Τα κράτη μέλη ορίζουν τα δικαστήρια ή τις διοικητικές αρχές που είναι αρμόδιες επί διαδικασιών κινουμένων από νομιμοποιούμενους φορείς, κατά την έννοια του άρθρου 3, με τις οποίες επιδιώκεται:

[…]».

16

Το άρθρο 7 της εν λόγω οδηγίας ορίζει τα εξής:

«Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να εισάγουν ή να διατηρήσουν διατάξεις που αποσκοπούν να εξασφαλίσουν ευρύτερα δικαιώματα για την έγερση αγωγής σε εθνικό επίπεδο, στους νομιμοποιούμενους φορείς καθώς και σε πάντα ενδιαφερόμενο.»

17

Το άρθρο 80 του κανονισμού 2016/679 έχει ως εξής:

«1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 77, 78 και 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρθρο 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2.   Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρθρα 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας.»

18

Το άρθρο 3, παράγραφος 1, του Gesetz gegen den unlauteren Wettbewerb (νόμου περί αθέμιτου ανταγωνισμού), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της διαφοράς της κύριας δίκης (στο εξής: UWG), ορίζει τα εξής:

«Απαγορεύονται οι αθέμιτες εμπορικές πρακτικές.»

19

Το άρθρο 3a του UWG ορίζει τα εξής:

«Αθέμιτα ενεργεί όποιος παραβαίνει διάταξη του νόμου η οποία έχει ως σκοπό, μεταξύ άλλων, να ρυθμίσει τη συμπεριφορά στις συναλλαγές προς το συμφέρον των συναλλασσόμενων στη σχετική αγορά και η παράβαση είναι ικανή να βλάψει σημαντικά τα συμφέροντα των καταναλωτών, άλλων συναλλασσομένων ή των ανταγωνιστών.»

20

Το άρθρο 8 του UWG προβλέπει τα εξής:

«(1)   Όποιος προβαίνει σε αθέμιτη εμπορική πράξη κατά την έννοια των άρθρων 3 και 7 δύναται να εναχθεί προς άρση ή, σε περίπτωση κινδύνου επαναλήψεως της προσβολής στο μέλλον, προς παράλειψη προσβολής. Η αξίωση προς παράλειψη γεννάται και στην περίπτωση που υπάρχει απειλή προσβολής κατά την έννοια των άρθρων 3 ή 7.

[…]

(3)   Την αγωγή της παραγράφου 1 δύνανται να ασκούν:

[…]

3. νομιμοποιούμενοι φορείς οι οποίοι αποδεικνύουν ότι είναι καταχωρισμένοι στον κατάλογο νομιμοποιούμενων φορέων του άρθρου 4 του Unterlassungsklagegesetz [νόμου περί αγωγών παραλείψεως] ή στον κατάλογο που καταρτίζει η Ευρωπαϊκή Επιτροπή κατά το άρθρο 4, παράγραφος 3, της οδηγίας [2009/22]·

[…]».

21

Το άρθρο 2 του νόμου περί αγωγών παραλείψεως ορίζει τα εξής:

«(1)   Κατά των παραβαινόντων τις διατάξεις για την προστασία των καταναλωτών (νόμοι περί προστασίας των καταναλωτών), εξαιρουμένης της εφαρμογής ή της διατυπώσεως γενικών όρων συναλλαγών, είναι δυνατό να ασκηθεί αγωγή επί παραλείψει με σκοπό την προστασία των συμφερόντων των καταναλωτών. […]

(2)   Κατά την έννοια της παρούσας διατάξεως, ως νόμοι περί προστασίας των καταναλωτών νοούνται ειδικότερα:

[…]

11. οι διατάξεις που καθορίζουν τις νόμιμες προϋποθέσεις

a) για τη συλλογή δεδομένων προσωπικού χαρακτήρα των καταναλωτών από τους επιχειρηματίες ή

b) για την επεξεργασία ή τη χρήση συλλεγέντων δεδομένων προσωπικού χαρακτήρα καταναλωτών από επιχειρηματίες,

εφόσον τα δεδομένα υπήρξαν αντικείμενο συλλογής, επεξεργασίας ή χρήσεως για σκοπούς διαφημιστικούς, έρευνας αγοράς και δημοσκοπήσεων, λειτουργίας εταιρίας επιχειρηματικής πληροφορήσεως, συντάξεως εκθέσεων προσωπικών χαρακτηριστικών ή χαρακτηριστικών χρήστη, εμπορίας διευθύνσεων, λοιπών περιπτώσεων εμπορίας δεδομένων ή για παρόμοιους εμπορικούς σκοπούς.»

22

Το άρθρο 12, παράγραφος 1, του Telemediengesetz (νόμου περί τηλεμέσων, στο εξής: TMG) έχει ως εξής:

«Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που αφορά ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.»

23

Το άρθρο 13, παράγραφος 1, του TMG ορίζει τα εξής:

«Ο φορέας παροχής των υπηρεσιών οφείλει, κατά την έναρξη της χρήσεως, να ενημερώνει τον χρήστη, με κατανοητό για αυτόν τρόπο, για το είδος, την έκταση και τους σκοπούς της συλλογής και της χρήσεως δεδομένων προσωπικού χαρακτήρα, καθώς και για την επεξεργασία των δεδομένων του σε χώρες που δεν εμπίπτουν στο πεδίο εφαρμογής της [οδηγίας 95/46], εφόσον δεν έχει ήδη προηγηθεί τέτοια ενημέρωση. Στις περιπτώσεις αυτοματοποιημένων διαδικασιών, οι οποίες καθιστούν δυνατή τη μεταγενέστερη εξακρίβωση της ταυτότητας του χρήστη και οι οποίες αποτελούν προπαρασκευαστικό στάδιο για τη συλλογή ή τη χρήση δεδομένων προσωπικού χαρακτήρα, ο χρήστης πρέπει να ενημερώνεται κατά την έναρξη της διαδικασίας αυτής. Ο χρήστης πρέπει να έχει ανά πάσα στιγμή δυνατότητα προσβάσεως στο περιεχόμενο της ενημερώσεως.»

24

Το άρθρο 15, παράγραφος 1, του TMG ορίζει τα εξής:

«Οι φορείς παροχής υπηρεσιών δύνανται να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα των χρηστών μόνον εφόσον τούτο είναι αναγκαίο για να καταστεί δυνατή και να τιμολογηθεί η χρήση τηλεμέσων (δεδομένα χρήσεως). Δεδομένα χρήσεως είναι ιδίως τα εξής:

1.   τα στοιχεία για την εξακρίβωση της ταυτότητας του χρήστη,

2.   τα δεδομένα για την έναρξη, τη λήξη, καθώς και την έκταση της εκάστοτε χρήσεως και

3.   τα δεδομένα σχετικά με τα τηλεμέσα που χρησιμοποιήθηκαν από τον χρήστη.»

25

Η Fashion ID, επιχείρηση η οποία εμπορεύεται είδη ένδυσης μέσω του διαδικτύου, ενσωμάτωσε στην ιστοσελίδα της το πρόσθετο «Μου αρέσει!» του μέσου κοινωνικής δικτύωσης Facebook (στο εξής: επιλογή «Μου αρέσει!» του Facebook).

26

Από την απόφαση περί παραπομπής προκύπτει ότι χαρακτηριστικό του διαδικτύου είναι ότι επιτρέπει στον φυλλομετρητή του χρήστη που επισκέπτεται ορισμένη ιστοσελίδα να αντλεί περιεχόμενο από διάφορες πηγές. Για παράδειγμα, μπορούν να τοποθετηθούν σε ιστοσελίδα και να εμφανίζονται σε αυτήν φωτογραφίες, βίντεο, ροή ειδήσεων, καθώς και η επίμαχη εν προκειμένω επιλογή «Μου αρέσει!» του Facebook. Όταν ο διαχειριστής ιστοσελίδας επιθυμεί να ενσωματώσει τέτοιο περιεχόμενο εξωτερικής προέλευσης, τοποθετεί στην ιστοσελίδα του σύνδεσμο προς το περιεχόμενο αυτό. Όταν ο φυλλομετρητής του χρήστη που επισκέπτεται την εν λόγω ιστοσελίδα ανοίγει τον σύνδεσμο, αναζητεί το περιεχόμενο εξωτερικής προέλευσης και το προσθέτει στην καθορισμένη θέση εμφάνισής του στην ιστοσελίδα. Προς τον σκοπό αυτόν, ο φυλλομετρητής διαβιβάζει στον εξυπηρετητή του εξωτερικού παρόχου τη διεύθυνση IP του υπολογιστή του εν λόγω χρήστη, καθώς και τα τεχνικά στοιχεία του φυλλομετρητή, προκειμένου να καθοριστεί ο μορφότυπος αποστολής του περιεχομένου από τον εξυπηρετητή στη διεύθυνση αυτή. Περαιτέρω, ο φυλλομετρητής διαβιβάζει επίσης πληροφορίες σχετικά με το επιθυμητό περιεχόμενο. Ο διαχειριστής της ιστοσελίδας στην οποία εμφανίζεται περιεχόμενο εξωτερικής προέλευσης δεν μπορεί να ασκήσει επιρροή ούτε στα δεδομένα που διαβιβάζει ο φυλλομετρητής ούτε ως προς τι πράττει με αυτά ο εξωτερικός πάροχος, ιδίως δε αν αποφασίζει να τα αποθηκεύσει και να τα αξιοποιήσει.

27

Όσον αφορά, ειδικότερα, την επιλογή «Μου αρέσει!» του Facebook, από την απόφαση περί παραπομπής προκύπτει ότι, όταν ο χρήστης επισκέπτεται την ιστοσελίδα της Fashion ID, δεδομένα προσωπικού χαρακτήρα που τον αφορούν διαβιβάζονται, λόγω της ενσωμάτωσης στην ιστοσελίδα αυτή της εν λόγω επιλογής, στη Facebook Ireland. Κατά τα φαινόμενα, η διαβίβαση αυτή γίνεται χωρίς ο εν λόγω χρήστης να το γνωρίζει και ανεξαρτήτως του αν είναι μέλος του Facebook ή αν έχει κάνει κλικ στην επιλογή «Μου αρέσει!» του Facebook.

28

H Verbraucherzentrale NRW, μη κερδοσκοπική ένωση προστασίας των καταναλωτών, προσάπτει στη Fashion ID ότι διαβίβασε στη Facebook Ireland δεδομένα προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της, αφενός, χωρίς τη συγκατάθεσή τους και, αφετέρου, κατά παράβαση των υποχρεώσεων που προβλέπουν οι διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα.

29

Η Verbraucherzentrale NRW άσκησε αγωγή παραλείψεως κατά της Fashion ID ενώπιον του Landgericht Düsseldorf (περιφερειακού δικαστηρίου Ντίσελντορφ, Γερμανία), ζητώντας να υποχρεωθεί αυτή να παύσει την ως άνω πρακτική.

30

Με απόφαση της 9ης Μαρτίου 2016, το Landgericht Düsseldorf (περιφερειακό δικαστήριο Ντίσελντορφ) δέχθηκε εν μέρει τα αιτήματα της Verbraucherzentrale NRW, αφού πρώτα έκρινε ότι αυτή είχε ενεργητική νομιμοποίηση σύμφωνα με το άρθρο 8, παράγραφος 3, σημείο 3, του UWG.

31

Η Fashion ID άσκησε έφεση κατά της απόφασης αυτής ενώπιον του Oberlandesgericht Düsseldorf (ανώτερου περιφερειακού δικαστηρίου Ντίσελντορφ, Γερμανία), ήτοι του αιτούντος δικαστηρίου. Η Facebook Ireland παρενέβη υπέρ της Fashion ID στην κατ’ έφεση δίκη. Η Verbraucherzentrale NRW άσκησε αντέφεση, ζητώντας να γίνουν δεκτά τα αιτήματα κατά της Fashion ID που απορρίφθηκαν πρωτοδίκως.

32

Ενώπιον του αιτούντος δικαστηρίου, η Fashion ID υποστηρίζει ότι η απόφαση του Landgericht Düsseldorf (περιφερειακού δικαστηρίου Ντίσελντορφ) δεν συνάδει με την οδηγία 95/46.

33

Αφενός, η Fashion ID προβάλλει ότι τα άρθρα 22 έως 24 της εν λόγω οδηγίας προβλέπουν μέσα παροχής έννομης προστασίας μόνον υπέρ των προσώπων τα οποία αφορά η επεξεργασία των δεδομένων προσωπικού χαρακτήρα και υπέρ των αρμόδιων εποπτικών αρχών. Κατά συνέπεια, η αγωγή που άσκησε η Verbraucherzentrale NRW είναι απαράδεκτη επειδή η ένωση αυτή στερείται ενεργητικής νομιμοποίησης στο πλαίσιο της οδηγίας 95/46.

34

Αφετέρου, η Fashion ID ισχυρίζεται ότι το Landgericht Düsseldorf (περιφερειακό δικαστήριο Ντίσελντορφ) έκρινε εσφαλμένα ότι η ίδια ήταν υπεύθυνη της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, καθόσον δεν ασκεί καμία επιρροή ούτε στα δεδομένα που διαβιβάζει ο φυλλομετρητής του επισκέπτη της ιστοσελίδας ούτε στον τρόπο με τον οποίο η Facebook Ireland πρόκειται τυχόν να τα χρησιμοποιήσει.

35

Το αιτούν δικαστήριο τρέφει κατ’ αρχάς αμφιβολίες ως προς το ζήτημα αν οι μη κερδοσκοπικές ενώσεις νομιμοποιούνται ενεργητικώς, βάσει της οδηγίας 95/46, να προσφεύγουν στη δικαιοσύνη για την υπεράσπιση των συμφερόντων των θιγόμενων προσώπων. Κρίνει ότι το άρθρο 24 της οδηγίας δεν κωλύει την εκ μέρους των ενώσεων προσφυγή στη δικαιοσύνη, δεδομένου ότι, κατά το γράμμα του, τα κράτη μέλη λαμβάνουν τα «κατάλληλα μέτρα» για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεων της εν λόγω οδηγίας. Επομένως, το αιτούν δικαστήριο εκτιμά ότι εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις να προσφεύγουν στη δικαιοσύνη προς προστασία των συμφερόντων των καταναλωτών μπορεί να αποτελεί τέτοιο κατάλληλο μέτρο.

36

Το εν λόγω δικαστήριο επισημαίνει ως προς το ζήτημα αυτό ότι το άρθρο 80, παράγραφος 2, του κανονισμού 2016/679, ο οποίος κατάργησε και αντικατέστησε την οδηγία 95/46, προβλέπει ρητώς τη δυνατότητα των ενώσεων αυτών να προσφεύγουν στη δικαιοσύνη, όπερ συνηγορεί υπέρ της άποψης ότι η οδηγία αυτή δεν αντιτίθεται στην ως άνω δυνατότητα.

37

Το αιτούν δικαστήριο διερωτάται εξάλλου αν ο διαχειριστής ιστοσελίδας, όπως η Fashion ID, ο οποίος ενσωματώνει στην ιστοσελίδα αυτή πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει τη δυνατότητα συλλογής δεδομένων προσωπικού χαρακτήρα, μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, μολονότι αυτός δεν έχει καμία επιρροή όσον αφορά την επεξεργασία των δεδομένων που διαβιβάζονται στον πάροχο του εν λόγω προσθέτου. Το αιτούν δικαστήριο αναφέρεται ως προς το σημείο αυτό στην υπόθεση επί της οποίας εκδόθηκε η απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), η οποία αφορά παρόμοιο ζήτημα.

38

Επικουρικώς, για την περίπτωση που η Fashion ID δεν θα πρέπει να θεωρηθεί υπεύθυνη της επεξεργασίας, το αιτούν δικαστήριο διερωτάται αν η ως άνω οδηγία ρυθμίζει εξαντλητικά την έννοια αυτή και, επομένως, αντιτίθεται σε εθνική νομοθεσία η οποία προβλέπει αστική ευθύνη για πράξεις τρίτου σε περίπτωση προσβολής των δικαιωμάτων στην προστασία των δεδομένων. Ειδικότερα, το αιτούν δικαστήριο εκθέτει ότι νοείται ευθύνη της Fashion ID επ’ αυτής της βάσεως, σύμφωνα με το εθνικό δίκαιο, ως «διαταράκτη» («Störer»).

39

Εάν η Fashion ID θεωρηθεί υπεύθυνη της επεξεργασίας ή αν τουλάχιστον ευθύνεται ως «διαταράκτης» για τυχόν προσβολή, εκ μέρους της Facebook Ireland, της προστασίας των δεδομένων, το αιτούν δικαστήριο διερωτάται αν είναι σύννομη η επίμαχη στην κύρια δίκη επεξεργασία προσωπικών δεδομένων και αν η κατά το άρθρο 10 της οδηγίας 95/46 υποχρέωση ενημέρωσης του προσώπου από το οποίο συλλέγονται δεδομένα βαρύνει τη Fashion ID ή τη Facebook Ireland.

40

Ειδικότερα, αφενός, λαμβάνοντας υπόψη τις προϋποθέσεις νομιμότητας της επεξεργασίας των δεδομένων, όπως αυτές προβλέπονται στο άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, το αιτούν δικαστήριο διερωτάται αν, σε περίπτωση όπως η επίμαχη στην κύρια δίκη, πρέπει να ληφθεί υπόψη το έννομο συμφέρον του διαχειριστή της ιστοσελίδας ή το έννομο συμφέρον του παρόχου του προσθέτου.

41

Αφετέρου, το εν λόγω δικαστήριο διερωτάται ποιος υπέχει τις υποχρεώσεις λήψης της συγκατάθεσης και ενημέρωσης των προσώπων τα οποία αφορά η επεξεργασία των προσωπικών δεδομένων σε περίπτωση όπως η επίμαχη στην κύρια δίκη. Το αιτούν δικαστήριο κρίνει ότι το ποιος βαρύνεται με την υποχρέωση ενημέρωσης των προσώπων από τα οποία συλλέγονται τα δεδομένα, την οποία προβλέπει το άρθρο 10 της οδηγίας 95/46, έχει ιδιαίτερη σημασία, δεδομένου ότι κάθε ενσωμάτωση περιεχομένου εξωτερικής προέλευσης σε ιστοσελίδα συνεπάγεται κατ’ αρχήν επεξεργασία δεδομένων προσωπικού χαρακτήρα της οποίας η έκταση και ο σκοπός είναι άγνωστοι σε εκείνον που ενσωματώνει το περιεχόμενο αυτό, ήτοι τον διαχειριστή της συγκεκριμένης ιστοσελίδας. Ως εκ τούτου, αυτός ενδέχεται αν μην είναι σε θέση να παράσχει την οφειλόμενη ενημέρωση, παρά τη σχετική υποχρέωση του, και επομένως η αναγνώριση εις βάρος του της υποχρέωσης ενημέρωσης του προσώπου το οποίο αφορά η συλλογή δεδομένων θα ισοδυναμούσε στην πράξη με απαγόρευση της ενσωμάτωσης περιεχομένου εξωτερικής προέλευσης.

42

Υπ’ αυτές τις συνθήκες, το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ) αποφάσισε να αναστείλει τη διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

Σε περίπτωση αρνητικής απαντήσεως στο πρώτο ερώτημα:

43

Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν τα άρθρα 22 έως 24 της οδηγίας 95/46 έχουν την έννοια ότι αντιτίθενται σε εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας των καταναλωτών να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα.

44

Προκαταρκτικώς, υπενθυμίζεται ότι, σύμφωνα με το άρθρο 22 της οδηγίας 95/46, τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση παραβιάσεως δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία.

45

Το άρθρο 28, παράγραφος 3, τρίτο εδάφιο, της οδηγίας 95/46 προβλέπει ότι η αρχή ελέγχου, η οποία είναι επιφορτισμένη σύμφωνα με το άρθρο 28, παράγραφος 1, με τον έλεγχο της εφαρμογής στο έδαφος του οικείου κράτους μέλους των διατάξεων που αυτό έχει θεσπίσει κατ’ εφαρμογήν της οδηγίας, διαθέτει, μεταξύ άλλων, την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογήν της ίδιας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.

46

Το δε άρθρο 28, παράγραφος 4, της οδηγίας 95/46 προβλέπει ότι κάθε ένωση που εκπροσωπεί πρόσωπο στο οποίο αναφέρονται τα δεδομένα, κατά την έννοια του άρθρου 2, στοιχείο αʹ, της οδηγίας μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

47

Εντούτοις, καμία διάταξη της εν λόγω οδηγίας δεν επιβάλλει στα κράτη μέλη την υποχρέωση να προβλέπουν –ούτε τα εξουσιοδοτεί ρητώς να προβλέψουν–, στο εθνικό δίκαιο, ότι οι ενώσεις δύνανται να εκπροσωπούν πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενώπιον των δικαστηρίων ή να στρέφονται δικαστικώς με δική τους πρωτοβουλία κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα.

48

Εξ αυτού όμως δεν συνάγεται ότι η οδηγία 95/46 αντιτίθεται σε εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας των καταναλωτών να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβεί την προστασία των δεδομένων προσωπικού χαρακτήρα.

49

Πράγματι, σύμφωνα με το άρθρο 288, τρίτο εδάφιο, ΣΛΕΕ τα κράτη μέλη οφείλουν, κατά τη μεταφορά μιας οδηγίας, να διασφαλίζουν την πλήρη αποτελεσματικότητά της, έχοντας όμως ευρεία διακριτική ευχέρεια όσον αφορά την επιλογή της μεθόδου και των μέσων για την εφαρμογή της. Η ελευθερία αυτή ουδόλως απαλλάσσει τα κράτη μέλη αποδέκτες της οδηγίας από την υποχρέωση να λάβουν όλα τα αναγκαία μέτρα για να διασφαλίσουν την πλήρη αποτελεσματικότητά της, σύμφωνα με τον επιδιωκόμενο από αυτήν σκοπό (αποφάσεις της 6ης Οκτωβρίου 2010, Base κ.λπ., C-389/08, EU:C:2010:584, σκέψεις 24 και 25, και της 22ας Φεβρουαρίου 2018, Porras Guisado, C-103/16, EU:C:2018:99, σκέψη 57).

50

Ως προς το ζήτημα αυτό, υπενθυμίζεται ότι ένας από τους σκοπούς που διαπνέουν την οδηγία 95/46 είναι η διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και, ιδίως, του δικαιώματος στην ιδιωτική ζωή, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (πρβλ. αποφάσεις της 13ης Μαΐου 2014, Google Spain και Google, C‑131/12, EU:C:2014:317, σκέψη 53, και της 27ης Σεπτεμβρίου 2017, Puškár, C‑73/16, EU:C:2017:725, σκέψη 38). Η αιτιολογική σκέψη 10 της οδηγίας διευκρινίζει ότι η προσέγγιση των εν λόγω νομοθεσιών δεν πρέπει να οδηγήσει στην εξασθένηση της προστασίας που εξασφαλίζουν αλλά, αντιθέτως, πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Ένωση (αποφάσεις της 6ης Νοεμβρίου 2003, Lindqvist, C-101/01, EU:C:2003:596, σκέψη 95, της 16ης Δεκεμβρίου 2008, Huber, C-524/06, EU:C:2008:724, σκέψη 50, και της 24ης Νοεμβρίου 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 και C-469/10, EU:C:2011:777, σκέψη 28).

51

Το γεγονός όμως ότι ένα κράτος μέλος παρέχει με την εθνική του νομοθεσία στις ενώσεις προστασίας των καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα ουδόλως υπονομεύει την επίτευξη των σκοπών της οδηγίας αλλά, αντιθέτως, συμβάλλει σε αυτήν.

52

Η Fashion ID και η Facebook Ireland υποστηρίζουν εντούτοις ότι, κατά το μέτρο που η οδηγία 95/46 εναρμόνισε πλήρως τις εθνικές διατάξεις για την προστασία των δεδομένων, αποκλείεται η άσκηση οποιουδήποτε ενδίκου βοηθήματος το οποίο δεν προβλέπεται ρητώς από αυτήν. Πλην όμως, κατά τα άρθρα 22, 23 και 28 της οδηγίας 95/46 νομιμοποιούνται ενεργητικώς μόνον τα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρχές ελέγχου της προστασίας των δεδομένων.

53

Η επιχειρηματολογία αυτή δεν μπορεί, ωστόσο, να γίνει δεκτή.

54

Αληθεύει ότι η οδηγία 95/46 καταλήγει σε μια κατ’ αρχήν πλήρη εναρμόνιση των εθνικών νομοθεσιών για την προστασία των δεδομένων προσωπικού χαρακτήρα (πρβλ. αποφάσεις της 24ης Νοεμβρίου 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 και C-469/10, EU:C:2011:777, σκέψη 29, και της 7ης Νοεμβρίου 2013, IPI, C-473/12, EU:C:2013:715, σκέψη 31).

55

Ειδικότερα, το Δικαστήριο έκρινε ότι το άρθρο 7 της εν λόγω οδηγίας προβλέπει πλήρη και περιοριστικό κατάλογο των περιπτώσεων κατά τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί σύννομη και ότι τα κράτη μέλη δεν μπορούν ούτε να προσθέτουν νέες αρχές σχετικά με τη νόμιμη επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο εν λόγω άρθρο ούτε να προβλέπουν πρόσθετες απαιτήσεις που τροποποιούν το περιεχόμενο μιας εκ των έξι αρχών που προβλέπει το άρθρο αυτό (αποφάσεις της 24ης Νοεμβρίου 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 και C-469/10, EU:C:2011:777, σκέψεις 30 και 32, και της 19ης Οκτωβρίου 2016, Breyer, C-582/14, EU:C:2016:779, σκέψη 57).

56

Εντούτοις, το Δικαστήριο διευκρίνισε επίσης ότι η οδηγία 95/46 περιλαμβάνει κανόνες που είναι σχετικά γενικοί, δεδομένου ότι πρέπει να εφαρμοστεί σε μεγάλο αριθμό πολύ διαφορετικών περιπτώσεων. Οι κανόνες αυτοί χαρακτηρίζονται από ένα βαθμό ευελιξίας και, σε πολλές περιπτώσεις, αφήνουν στα κράτη μέλη τη δυνατότητα να αποφασίζουν σχετικά με τις λεπτομέρειες ή να επιλέγουν μεταξύ των εναλλακτικών δυνατοτήτων και, επομένως, τα κράτη μέλη διαθέτουν από πολλές απόψεις περιθώριο ελιγμών για τη μεταφορά της εν λόγω οδηγίας (πρβλ. αποφάσεις της 6ης Νοεμβρίου 2003, Lindqvist, C-101/01, EU:C:2003:596, σκέψεις 83, 84 και 97, και της 24ης Νοεμβρίου 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 και C-469/10, EU:C:2011:777, σκέψη 35).

57

Αυτό ισχύει και για τα άρθρα 22 έως 24 της οδηγίας 95/46 τα οποία, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 42 των προτάσεών του, είναι διατυπωμένα με πολύ γενικούς όρους και δεν εναρμονίζουν εξαντλητικά τις εθνικές διατάξεις σχετικά με τα ένδικα βοηθήματα που μπορούν να ασκηθούν κατά του προσώπου που φέρεται ότι παρέβη την προστασία των δεδομένων προσωπικού χαρακτήρα (βλ., κατ’ αναλογίαν, απόφαση της 26ης Οκτωβρίου 2017, I, C-195/16, EU:C:2017:815, σκέψεις 57 και 58).

58

Ειδικότερα, μολονότι το άρθρο 22 της οδηγίας αυτής επιβάλλει ρητώς στα κράτη μέλη την υποχρέωση να προβλέπουν ότι κάθε πρόσωπο έχει δικαίωμα να προσφύγει ενώπιον δικαστηρίου σε περίπτωση προσβολής δικαιωμάτων κατοχυρωμένων από την εθνική νομοθεσία που εφαρμόζεται στη σχετική επεξεργασία δεδομένων προσωπικού χαρακτήρα, η εν λόγω οδηγία δεν περιέχει καμία διάταξη η οποία να διέπει ειδικά τις προϋποθέσεις άσκησης της εν λόγω προσφυγής (πρβλ. απόφαση της 27ης Σεπτεμβρίου 2017, Puškár, C-73/16, EU:C:2017:725, σκέψεις 54 και 55).

59

Περαιτέρω, το άρθρο 24 της οδηγίας 95/46 προβλέπει ότι τα κράτη μέλη λαμβάνουν τα «κατάλληλα μέτρα» για να εξασφαλίσουν την πλήρη εφαρμογή των διατάξεών της, χωρίς να ορίζει τα μέτρα αυτά. Πλην όμως, η δυνατότητα των ενώσεων προστασίας των καταναλωτών να ασκήσουν αγωγή κατά προσώπου που φέρεται ότι παρέβη την προστασία των δεδομένων προσωπικού χαρακτήρα παρίσταται ως κατάλληλο μέτρο, κατά την έννοια της διάταξης αυτής, το οποίο συμβάλλει, όπως εκτέθηκε στη σκέψη 51 της παρούσας απόφασης, στην επίτευξη των σκοπών της εν λόγω οδηγίας σύμφωνα με τη νομολογία του Δικαστηρίου (πρβλ. απόφαση της 6ης Νοεμβρίου 2003, Lindqvist, C-101/01, EU:C:2003:596, σκέψη 97).

60

Εξάλλου, αντιθέτως προς όσα υποστηρίζει η Fashion ID, δεν προκύπτει ότι το γεγονός ότι ένα κράτος μέλος προβλέπει τη δυνατότητα αυτή στην εθνική νομοθεσία του μπορεί να θίξει την ανεξαρτησία με την οποία οι αρχές ελέγχου οφείλουν να ασκούν τα καθήκοντα που τους ανατίθενται σύμφωνα με τα προβλεπόμενα στο άρθρο 28 της οδηγίας 95/46, κατά το μέτρο που η δυνατότητα αυτή δεν επηρεάζει ούτε την ελευθερία λήψης αποφάσεων ούτε την ελευθερία δράσης των αρχών αυτών.

61

Επιπλέον, μολονότι αληθεύει ότι η οδηγία 95/46 δεν περιλαμβάνεται μεταξύ των πράξεων που απαριθμούνται στο παράρτημα I της οδηγίας 2009/22, εντούτοις, κατά το άρθρο 7 της οδηγίας αυτής. δεν προβλέπει εξαντλητική εναρμόνιση ως προς το ζήτημα αυτό.

62

Τέλος, από το γεγονός ότι ο κανονισμός 2016/679, ο οποίος κατάργησε και αντικατέστησε την οδηγία 95/46 και εφαρμόζεται από την 25η Μαΐου 2018, επιτρέπει ρητώς, στο άρθρο 80, παράγραφος 2, στα κράτη μέλη να παρέχουν με την εθνική τους νομοθεσία στις ενώσεις προστασίας των καταναλωτών τη δυνατότητα να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα ουδόλως μπορεί να συναχθεί ότι τα κράτη μέλη δεν μπορούσαν να προβλέψουν τέτοιο δικαίωμα των ενώσεων αυτών υπό την ισχύ της οδηγίας 95/46, αλλά, αντιθέτως, επιβεβαιώνει ότι η ερμηνεία που δίνεται στην οδηγία αυτή με την παρούσα απόφαση αντικατοπτρίζει τη βούληση του νομοθέτη της Ένωσης.

63

Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι τα άρθρα 22 έως 24 της οδηγίας 95/46 έχουν την έννοια ότι δεν αντιτίθενται σε εθνική νομοθεσία η οποία επιτρέπει στις ενώσεις προστασίας των καταναλωτών να στρέφονται δικαστικώς κατά προσώπων τα οποία φέρονται ότι έχουν παραβιάσει την προστασία των δεδομένων προσωπικού χαρακτήρα.

64

Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν διαχειριστής ιστοσελίδας, όπως η Fashion ID, ο οποίος ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του εν λόγω πρόσθετου και προς τον σκοπό αυτό επιτρέπει να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, παρά το ότι ο διαχειριστής της ιστοσελίδας δεν ασκεί καμία επιρροή στην επεξεργασία των δεδομένων που διαβιβάζονται στον πάροχο.

65

Ως προς το ζήτημα αυτό, υπενθυμίζεται ότι, σύμφωνα με τον σκοπό της οδηγίας 95/46, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, ιδίως δε της ιδιωτικής τους ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το άρθρο 2, στοιχείο δʹ, της οδηγίας δίδει στην έννοια «υπεύθυνος της επεξεργασίας» ευρύ ορισμό που καλύπτει κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή οποιονδήποτε άλλο φορέα που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (πρβλ. απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, σκέψεις 26 και 27).

66

Πράγματι, όπως έχει κρίνει το Δικαστήριο, σκοπός της διάταξης αυτής είναι να διασφαλιστεί, μέσω του ευρέος ορισμού της έννοιας «υπεύθυνος», αποτελεσματική και πλήρης προστασία των υποκειμένων των δεδομένων (αποφάσεις της 13ης Μαΐου 2014, Google Spain και Google, C-131/12, EU:C:2014:317, σκέψη 34, καθώς και της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, σκέψη 28).

67

Περαιτέρω, δεδομένου ότι, όπως ρητώς προβλέπει το άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46, ως «υπεύθυνος της επεξεργασίας» νοείται ο «φορέας που, μόνος ή από κοινού με άλλους», καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, η έννοια αυτή δεν αφορά κατ’ ανάγκην έναν και μόνο φορέα, αλλά μπορεί να αφορά πολλούς φορείς που μετέχουν στην επεξεργασία αυτή, με αποτέλεσμα καθένας από τους φορείς αυτούς να υπόκειται στις διατάξεις που ισχύουν για την προστασία των δεδομένων (πρβλ. αποφάσεις της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, σκέψη 29, και της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψη 65).

68

Το Δικαστήριο έχει επίσης κρίνει ότι φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει, για τους δικούς του σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας μπορεί να θεωρηθεί ότι είναι υπεύθυνος της επεξεργασίας υπό την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46 (απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, σκέψη 68).

69

Επίσης, για να έχουν από κοινού ευθύνη περισσότεροι φορείς για μία και την αυτή επεξεργασία, βάσει της διάταξης αυτής, δεν απαιτείται να έχουν όλοι οι εν λόγω φορείς πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα (πρβλ. αποφάσεις της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, σκέψη 38, και της 10ης Ιουλίου 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, σκέψη 69).

70

Τούτου δοθέντος, δεδομένου ότι σκοπός του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46 είναι να διασφαλίσει, με έναν ευρύ ορισμό της έννοιας του «υπευθύνου», αποτελεσματική και πλήρη προστασία των υποκειμένων των δεδομένων, η ύπαρξη από κοινού ευθύνης δεν συνεπάγεται κατ’ ανάγκην ότι η ευθύνη την οποία υπέχουν οι διάφοροι φορείς που εμπλέκονται στην ίδια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι ισοδύναμη. Αντιθέτως, οι εν λόγω φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας των δεδομένων και σε διαφορετικό βαθμό, με αποτέλεσμα το επίπεδο ευθύνης καθενός εξ αυτών να πρέπει να εκτιμάται αφού ληφθούν υπόψη όλες οι κρίσιμες περιστάσεις της συγκεκριμένης περίπτωσης (πρβλ. απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, σκέψη 66).

71

Ως προς το ζήτημα αυτό, επισημαίνεται, αφενός, ότι κατά το άρθρο 2, στοιχείο βʹ, της οδηγίας 95/46 ως «επεξεργασία δεδομένων προσωπικού χαρακτήρα» νοείται «κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή».

72

Από τον ορισμό αυτό προκύπτει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να περιλαμβάνει μία ή περισσότερες πράξεις κάθε μία από τις οποίες μπορεί να αφορά διαφορετικά στάδια της συγκεκριμένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

73

Αφετέρου, από τον ορισμό της έννοιας του «υπεύθυνου της επεξεργασίας» στο άρθρο 2, στοιχείο δʹ, της οδηγίας 95/46, ο οποίος μνημονεύεται στη σκέψη 65 της παρούσας απόφασης, προκύπτει ότι, στην περίπτωση που πλείονα πρόσωπα καθορίζουν από κοινού τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αυτά μετέχουν ως υπεύθυνοι στην επεξεργασία αυτή.

74

Κατά συνέπεια, όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 101 των προτάσεών του, ένα φυσικό ή νομικό πρόσωπο μπορεί να είναι υπεύθυνο, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, από κοινού με άλλα πρόσωπα, για εργασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες καθορίζει από κοινού τους σκοπούς και τον τρόπο της επεξεργασίας. Αντιθέτως, και με την επιφύλαξη της τυχόν σχετικής αστικής ευθύνης που προβλέπει το εθνικό δίκαιο, το ως άνω φυσικό ή νομικό πρόσωπο δεν μπορεί να θεωρηθεί ως υπεύθυνο, κατά την έννοια της διάταξης αυτής, για προγενέστερες ή μεταγενέστερες πράξεις στην αλληλουχία της επεξεργασίας για τις οποίες δεν καθορίζει ούτε τους σκοπούς ούτε τον τρόπο της επεξεργασίας.

75

Εν προκειμένω, υπό την επιφύλαξη του ελέγχου στον οποίο πρέπει να προβεί το αιτούν δικαστήριο, από την ενώπιον του Δικαστηρίου δικογραφία προκύπτει ότι η Fashion ID, ενσωματώνοντας στην ιστοσελίδα της την επιλογή «Μου αρέσει!» του Facebook, παρέσχε, κατά τα φαινόμενα, στη Facebook Ireland τη δυνατότητα να αποκτά δεδομένα προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας αυτής, δυνατότητα η οποία ενεργοποιούνταν με την επίσκεψη στην ιστοσελίδα και ανεξαρτήτως του αν οι επισκέπτες ήταν μέλη του Facebook ή του αν είχαν κάνει κλικ στην επιλογή «Μου αρέσει!» του Facebook ή, ακόμη, του αν είχαν γνώση της.

76

Λαμβανομένων υπόψη των ως άνω πληροφοριών, διαπιστώνεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα της οποίας τους σκοπούς και τον τρόπο μπορεί να καθορίσει η Fashion ID, από κοινού με τη Facebook Ireland, συνίσταται, υπό το πρίσμα του ορισμού της έννοιας «επεξεργασία δεδομένων προσωπικού χαρακτήρα» στο άρθρο 2, στοιχείο βʹ, της οδηγίας 95/46, στη συλλογή και ανακοίνωση με διαβίβαση δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της. Αντιθέτως, υπό το πρίσμα των εν λόγω πληροφοριών, εκ πρώτης όψεως φαίνεται να αποκλείεται το ενδεχόμενο να καθορίζει η Fashion ID τους σκοπούς και τον τρόπο της μεταγενέστερης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται από τη Facebook Ireland μετά τη διαβίβασή τους σε αυτήν και, επομένως, η Fashion ID δεν μπορεί να θεωρηθεί υπεύθυνη της μεταγενέστερης αυτής επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ.

77

Όσον αφορά τον τρόπο με τον οποίο γίνεται η συλλογή και η ανακοίνωση με διαβίβαση δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας, από τη σκέψη 75 της παρούσας απόφασης προκύπτει ότι η Fashion ID φαίνεται να προσέθεσε στην ιστοσελίδα της την επιλογή «Μου αρέσει!» του Facebook την οποία θέτει στη διάθεση των διαχειριστών ιστοσελίδων η Facebook Ireland, έχοντας επίγνωση ότι αυτή αποτελεί εργαλείο συλλογής και διαβίβασης δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας είτε αυτοί είναι μέλη του Facebook είτε όχι.

78

Ενσωματώνοντας ένα τέτοιο πρόσθετο μέσου κοινωνικής δικτύωσης στην ιστοσελίδα της, η Fashion ID ασκεί καθοριστική επιρροή στη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας αυτής προς τον πάροχο του εν λόγω προσθέτου, εν προκειμένω τη Facebook Ireland, οι οποίες δεν θα πραγματοποιούνταν αν δεν είχε γίνει η ενσωμάτωση αυτή.

79

Υπό τις περιστάσεις αυτές και υπό την επιφύλαξη του ελέγχου στον οποίο πρέπει να προβεί το αιτούν δικαστήριο ως προς το ζήτημα αυτό, πρέπει να γίνει δεκτό ότι η Facebook Ireland και η Fashion ID καθορίζουν από κοινού τον τρόπο με τον οποίο γίνεται η συλλογή και η ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της Fashion ID.

80

Όσον αφορά τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η προσθήκη της επιλογής «Μου αρέσει!» του Facebook στην ιστοσελίδα της Fashion ID βελτιστοποιεί, κατά τα φαινόμενα, την προβολή των προϊόντων της στο μέσο κοινωνικής δικτύωσης Facebook, αυξάνοντάς την όταν επισκέπτης της ως άνω ιστοσελίδας κάνει κλικ στην επιλογή αυτή. Η Fashion ID φαίνεται ότι συγκατατέθηκε, τουλάχιστον σιωπηρώς, στη συλλογή και ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της, προκειμένου να έχει αυτό το εμπορικό πλεονέκτημα που συνίσταται στην αυξημένη προβολή των προϊόντων της μέσω της προσθήκης της επιλογής αυτής, η δε επεξεργασία των ως άνω δεδομένων γίνεται προς το οικονομικό συμφέρον τόσο της Fashion ID όσο και της Facebook Ireland, για την οποία η δυνατότητα χρήσης των δεδομένων για τους δικούς της επιχειρηματικούς σκοπούς αποτελεί την αντιπαροχή για το πλεονέκτημα που παρέχεται στη Fashion ID.

81

Υπό τις περιστάσεις αυτές, μπορεί να γίνει δεκτό, υπό την επιφύλαξη του ελέγχου που πρέπει να διενεργήσει το αιτούν δικαστήριο, ότι η Fashion ID και η Facebook Ireland καθορίζουν από κοινού τους σκοπούς της επίμαχης στην κύρια δίκη συλλογής και ανακοίνωσης με διαβίβαση δεδομένων προσωπικού χαρακτήρα.

82

Επιπροσθέτως, όπως προκύπτει από τη νομολογία που μνημονεύεται στη σκέψη 69 της παρούσας απόφασης, το γεγονός ότι ο διαχειριστής ιστοσελίδας, όπως η Fashion ID, δεν έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που συλλέγονται και διαβιβάζονται στον πάροχο προσθέτου κοινωνικής δικτύωσης με τον οποίο καθορίζει από κοινού τον τρόπο και τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δεν αποκλείει το ενδεχόμενο να είναι υπεύθυνος της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46.

83

Κατά τα λοιπά, υπογραμμίζεται ότι μια ιστοσελίδα, όπως αυτή της Fashion ID, μπορεί να την επισκέπτονται τόσο άτομα που είναι μέλη του Facebook και, άρα, έχουν λογαριασμό σε αυτό όσο και άτομα που δεν έχουν τέτοιο λογαριασμό. Στη δεύτερη αυτή περίπτωση, η ευθύνη του διαχειριστή ιστοσελίδας, όπως η Fashion ID, αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των ατόμων αυτών καθίσταται ακόμη πιο σημαντική, δεδομένου ότι η απλή επίσκεψη στην ιστοσελίδα αυτή, η οποία περιλαμβάνει την επιλογή «Μου αρέσει!» του Facebook, φαίνεται να συνεπάγεται αυτομάτως την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα από τη Facebook Ireland (πρβλ. απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, σκέψη 41).

84

Κατά συνέπεια, η Fashion ID μπορεί να θεωρηθεί υπεύθυνη της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, από κοινού με τη Facebook Ireland, για τη συλλογή και ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της.

85

Λαμβανομένων υπόψη των ανωτέρω εκτιμήσεων, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι διαχειριστής ιστοσελίδας, όπως η Fashion ID, ο οποίος ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του εν λόγω πρόσθετου και προς τον σκοπό αυτό επιτρέπει να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Η ευθύνη αυτή περιορίζεται μόνο στην πράξη ή στη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας, ήτοι στη συλλογή και την ανακοίνωση με διαβίβαση των επίμαχων δεδομένων.

86

Λαμβανομένης υπόψη της απάντησης που δόθηκε στο δεύτερο προδικαστικό ερώτημα, παρέλκει η απάντηση στο τρίτο προδικαστικό ερώτημα.

87

Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν, σε περίπτωση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όπου ο διαχειριστής ιστοσελίδας ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη, πρέπει να ληφθεί υπόψη, για την εφαρμογή του άρθρου 7, στοιχείο στʹ, της οδηγίας 95/46, το έννομο συμφέρον που επιδιώκει ο διαχειριστής ή εκείνο το οποίο επιδιώκει ο πάροχος.

88

Επισημαίνεται κατ’ αρχάς ότι, κατά την Επιτροπή, το ερώτημα αυτό δεν είναι κρίσιμο για την επίλυση της διαφοράς της κύριας δίκης, κατά το μέτρο που δεν ελήφθη η συγκατάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως επιβάλλεται από το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58.

89

Ως προς το ζήτημα αυτό, διαπιστώνεται ότι το άρθρο 5, παράγραφος 3, της ως άνω οδηγίας ορίζει ότι τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη να επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία 95/46, μεταξύ άλλων για τον σκοπό της επεξεργασίας.

90

Στο αιτούν δικαστήριο εναπόκειται να εξακριβώσει αν, σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας δίκης, ο πάροχος πρόσθετου κοινωνικής δικτύωσης, όπως η Facebook Ireland, αποκτά πρόσβαση, όπως υποστηρίζει η Επιτροπή, σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό, κατά την έννοια του άρθρου 5, παράγραφος 3, της οδηγίας 2002/58, του επισκέπτη της ιστοσελίδας του εν λόγω διαχειριστή.

91

Υπό τις περιστάσεις αυτές και δεδομένου ότι το αιτούν δικαστήριο εκτιμά, κατά τα φαινόμενα, ότι εν προκειμένω τα δεδομένα που διαβιβάστηκαν στη Facebook Ireland είναι δεδομένα προσωπικού χαρακτήρα, κατά την έννοια της οδηγίας 95/46, τα οποία εξάλλου δεν περιορίζονται κατ’ ανάγκην σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό, όπερ εναπόκειται σε εκείνο να επιβεβαιώσει, από τα επιχειρήματα της Επιτροπής δεν μπορεί να αμφισβητηθεί η κρισιμότητα που έχει για την επίλυση της διαφοράς της κύριας δίκης το τέταρτο προδικαστικό ερώτημα το οποίο αφορά το ζήτημα της νομιμότητας της επίμαχης στην κύρια δίκη επεξεργασίας δεδομένων, όπως επισήμανε επίσης και ο γενικός εισαγγελέας στο σημείο 115 των προτάσεών του.

92

Κατά συνέπεια, πρέπει να εξεταστεί ποιο έννομο συμφέρον πρέπει να ληφθεί υπόψη όσον αφορά την εφαρμογή του άρθρου 7, στοιχείο στʹ, της οδηγίας αυτής στην επεξεργασία των ως άνω δεδομένων.

93

Ως προς το ζήτημα αυτό, υπενθυμίζεται εξαρχής ότι, σύμφωνα με τις διατάξεις του κεφαλαίου II της οδηγίας 95/46, το οποίο επιγράφεται «Γενικές προϋποθέσεις σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα», και με την επιφύλαξη των παρεκκλίσεων που προβλέπονται από το άρθρο 13 της οδηγίας, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύμφωνη προς μία από τις αρχές της νόμιμης επεξεργασίας δεδομένων που απαριθμεί το άρθρο 7 της οδηγίας (πρβλ. αποφάσεις της 13ης Μαΐου 2014, Google Spain και Google, C-131/12, EU:C:2014:317, σκέψη 71, και της 1ης Οκτωβρίου 2015, Bara κ.λπ., C-201/14, EU:C:2015:638, σκέψη 30).

94

Κατά το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, του οποίου την ερμηνεία ζητεί το αιτούν δικαστήριο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη εφόσον είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1, της οδηγίας 95/46.

95

Συνεπώς, το εν λόγω άρθρο 7, στοιχείο στʹ, προβλέπει τρεις σωρευτικές προϋποθέσεις για τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα και δη, πρώτον, την επιδίωξη εννόμου συμφέροντος εκ μέρους του υπευθύνου της επεξεργασίας ή του τρίτου ή των τρίτων στους οποίους ανακοινώνονται τα δεδομένα, δεύτερον, την αναγκαιότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την επίτευξη του επιδιωκόμενου εννόμου συμφέροντος και, τρίτον, την προϋπόθεση ότι δεν προέχουν τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου το οποίο αφορά η προστασία των δεδομένων (απόφαση της 4ης Μαΐου 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, σκέψη 28).

96

Κατά το μέτρο που, λαμβανομένης υπόψη της απάντησης που δόθηκε στο δεύτερο προδικαστικό ερώτημα, σε περίπτωση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όπου ο διαχειριστής ιστοσελίδας που ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό επιτρέπει να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη μπορεί να θεωρηθεί υπεύθυνος, από κοινού με τον πάροχο, για τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα των ως άνω επισκεπτών, ήτοι τη συλλογή και ανακοίνωση με διαβίβαση, καθένας από τους ως άνω υπεύθυνους της επεξεργασίας είναι αναγκαίο να επιδιώκει με τις εν λόγω πράξεις έννομο συμφέρον κατά την έννοια του άρθρου 7, στοιχείο στʹ, της οδηγίας 95/46, προκειμένου αυτές να είναι δικαιολογημένες ως προς τον ίδιο.

97

Λαμβανομένων υπόψη των ανωτέρω εκτιμήσεων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι, σε περίπτωση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όπου ο διαχειριστής ιστοσελίδας ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό επιτρέπει να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη, είναι αναγκαίο τόσο ο διαχειριστής όσο και ο πάροχος να επιδιώκουν με τις εν λόγω πράξεις έννομο συμφέρον, κατά την έννοια του άρθρου 7, στοιχείο στʹ, της οδηγίας 95/46, προκειμένου οι πράξεις αυτές να είναι δικαιολογημένες ως προς καθέναν από αυτούς.

98

Με το πέμπτο και έκτο προδικαστικό ερώτημα, τα οποία πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί, αφενός, αν το άρθρο 2, στοιχείο ηʹ, και το άρθρο 7, στοιχείο αʹ, της οδηγίας 95/46 έχουν την έννοια ότι, σε περίπτωση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όπου ο διαχειριστής ιστοσελίδας ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό επιτρέπει να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη, τη συγκατάθεση κατά την έννοια των διατάξεων αυτών πρέπει να τη λάβει ο εν λόγω διαχειριστής ή ο ως άνω πάροχος και, αφετέρου, αν το άρθρο 10 της οδηγίας αυτής έχει την έννοια ότι, σε μια τέτοια περίπτωση, η υποχρέωση ενημέρωσης σύμφωνα με τη διάταξη αυτή βαρύνει τον διαχειριστή της ιστοσελίδας.

99

Όπως προκύπτει από την απάντηση που δόθηκε στο δεύτερο προδικαστικό ερώτημα, ο διαχειριστής ιστοσελίδας ο οποίος ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46, η ευθύνη του όμως περιορίζεται μόνο στην πράξη ή στη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας.

100

Κατά συνέπεια, οι υποχρεώσεις τις οποίες μπορεί να υπέχει, σύμφωνα με την οδηγία 95/46, ο ως άνω υπεύθυνος της επεξεργασίας, όπως η υποχρέωση να λάβει τη συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα, όπως προβλέπει το άρθρο 2, στοιχείο ηʹ, και το άρθρο 7, στοιχείο αʹ, της οδηγίας αυτής, καθώς και η υποχρέωση ενημέρωσης κατά το άρθρο 10, πρέπει να αφορούν την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας.

101

Εν προκειμένω, εφόσον ο διαχειριστής ιστοσελίδας ο οποίος ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας, από κοινού με τον ως άνω πάροχο, για τη συλλογή και ανακοίνωση με διαβίβαση των δεδομένων προσωπικού χαρακτήρα του ως άνω επισκέπτη, η υποχρέωση λήψης της συγκατάθεσης του προσώπου στο οποίο αναφέρονται τα δεδομένα κατά το άρθρο 2, στοιχείο ηʹ, και το άρθρο 7, στοιχείο αʹ, της οδηγίας 95/46, καθώς και η υποχρέωση ενημέρωσης την οποία προβλέπει το άρθρο 10 της ίδιας οδηγίας αφορούν μόνον τις ως άνω πράξεις επεξεργασίας. Αντιθέτως, οι υποχρεώσεις αυτές δεν καταλαμβάνουν τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν άλλα στάδια, προηγούμενα ή επόμενα, τα οποία κατά περίπτωση μπορεί να περιλαμβάνει η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα.

102

Όσον αφορά τη συγκατάθεση κατά την έννοια του άρθρου 2, στοιχείο ηʹ, και του άρθρου 7, στοιχείο αʹ, της οδηγίας 95/46, αυτή πρέπει να παρέχεται πριν από τη συλλογή και την ανακοίνωση με διαβίβαση των δεδομένων του συγκεκριμένου προσώπου. Υπό τις συνθήκες αυτές, ο διαχειριστής της ιστοσελίδας, και όχι ο πάροχος του πρόσθετου κοινωνικής δικτύωσης, οφείλει να λάβει την ως άνω συγκατάθεση, κατά το μέτρο που η επίσκεψη ακριβώς του χρήστη του διαδικτύου στην ιστοσελίδα θέτει σε κίνηση την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Πράγματι, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 132 των προτάσεών του, δεν συνάδει με την αποτελεσματική και έγκαιρη προστασία των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα να δίνεται η συγκατάθεση μόνο στον από κοινού υπεύθυνο της επεξεργασίας ο οποίος εμπλέκεται στην επεξεργασία εκ των υστέρων, ήτοι στον πάροχο του εν λόγω προσθέτου. Η συγκατάθεση που πρέπει να δοθεί στον διαχειριστή αφορά μόνον την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες ο ως άνω διαχειριστής καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας.

103

Το αυτό ισχύει και για την υποχρέωση ενημέρωσης που προβλέπεται στο άρθρο 10 της οδηγίας 95/46.

104

Ως προς το ζήτημα αυτό, από το γράμμα της ως άνω διατάξεως προκύπτει ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχουν στο πρόσωπο από το οποίο συλλέγονται δεδομένα τουλάχιστον τις πληροφορίες που απαριθμούνται στη διάταξη αυτή. Συνεπώς, η εκ μέρους του υπεύθυνου της επεξεργασίας ενημέρωση πρέπει να είναι άμεση, ήτοι να παρέχεται κατά τη συλλογή των δεδομένων (πρβλ. αποφάσεις της 7ης Μαΐου 2009, Rijkeboer, C‑553/07, EU:C:2009:293, σκέψη 68, και της 7ης Νοεμβρίου 2013, IPI, C‑473/12, EU:C:2013:715, σκέψη 23).

105

Κατά συνέπεια, σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας δίκης, η υποχρέωση ενημέρωσης την οποία προβλέπει το άρθρο 10 της οδηγίας 95/46 βαρύνει επίσης τον διαχειριστή της ιστοσελίδας, η δε ενημέρωση την οποία αυτός οφείλει να παράσχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αφορά μόνον την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες ο εν λόγω διαχειριστής καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας.

106

Λαμβανομένων υπόψη των ανωτέρω εκτιμήσεων, στο πέμπτο και στο έκτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 2, στοιχείο ηʹ, και το άρθρο 7, στοιχείο αʹ, της οδηγίας 95/46 έχουν την έννοια ότι, σε περίπτωση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όπου ο διαχειριστής ιστοσελίδας ενσωματώνει στην εν λόγω ιστοσελίδα πρόσθετο μέσου κοινωνικής δικτύωσης το οποίο δίνει στον φυλλομετρητή του επισκέπτη της ιστοσελίδας τη δυνατότητα να αντλήσει περιεχόμενο από τον πάροχο του πρόσθετου και προς τον σκοπό αυτό να διαβιβάζονται στον πάροχο δεδομένα προσωπικού χαρακτήρα του επισκέπτη, τη συγκατάθεση κατά την έννοια των διατάξεων αυτών πρέπει να τη λάβει ο εν λόγω διαχειριστής μόνον όσον αφορά την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας. Περαιτέρω, το άρθρο 10 της ως άνω οδηγίας έχει την έννοια ότι, σε μια τέτοια περίπτωση, η υποχρέωση ενημέρωσης την οποία προβλέπει η διάταξη αυτή βαρύνει επίσης και τον εν λόγω διαχειριστή, η ενημέρωση όμως την οποία αυτός οφείλει να παράσχει στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα αφορά μόνον την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες ο ίδιος καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας.

107

Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (δεύτερο τμήμα) αποφαίνεται: