–

Orange România SA, atstovaujamos avocaţi D.‑D. Dascălu, A.‑M. Iordache ir I. Buga,

–

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), atstovaujamos A. G. Opre ir I. Ilie,

–

Rumunijos vyriausybės, iš pradžių atstovaujamos E. Gane, O.‑C. Ichim, L. Liţu ir C.‑R. Canţăr, vėliau – E. Gane, O.‑C. Ichim ir L. Liţu,

–

Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato M. Russo,

–

Austrijos vyriausybės, iš pradžių atstovaujamos J. Schmoll ir G. Hesse, vėliau – J. Schmoll,

–

Portugalijos vyriausybės, atstovaujamos L. Inez Fernandes, P. Barros da Costa, L. Medeiros ir I. Oliveira,

–

Europos Komisijos, atstovaujamos H. Kranenborg, D. Nardi ir L. Nicolae,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl [fizinių] asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 2 straipsnio h punkto ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1) 4 straipsnio 11 punkto išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant Orange România SA ir Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Nacionalinė asmens duomenų tvarkymo priežiūros institucija, Rumunija) ginčą dėl skundo; juo prašoma panaikinti sprendimą, kuriuo pastaroji skyrė baudą Orange România už klientų asmens tapatybės dokumentų kopijų rinkimą ir saugojimą be tinkamo jų sutikimo ir įpareigojo ją sunaikinti šias kopijas.

3

Direktyvos 95/46 38 konstatuojamojoje dalyje nurodyta: „norint, kad duomenys būtų tvarkomi teisingai [sąžiningai], duomenų subjektui turi būti sudaryta galimybė sužinoti apie tvarkymo operacijos vyksmą, o jeigu duomenys yra renkami iš duomenų subjekto, jis turi gauti tikslią ir išsamią informaciją, atsižvelgus į rinkimo aplinkybes“.

4

Šios direktyvos 2 straipsnio h punkte, be kita ko, numatyta, kad šioje direktyvoje:

„duomenų subjekto sutikimas“ reiškia bet kurį savanoriškai ir žinomai duotą konkretų duomenų subjekto pareiškimą, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi su juo susiję duomenys.“

5

Minėtos direktyvos 6 straipsnyje nustatyta:

„1.   Valstybės narės numato, kad asmens duomenys turi būti:

<…>

2.   Duomenų valdytojo pareiga užtikrinti, kad būtų laikomasi šio straipsnio 1 dalies.“

6

Tos pačios direktyvos 7 straipsnio a punkte nurodyta:

„Valstybės narės numato, kad asmens duomenis galima tvarkyti tik tuo atveju, jeigu:

7

Šios direktyvos 10 straipsnis suformuluotas taip:

„Valstybės narės numato, kad duomenų valdytojas arba jo atstovas privalo duomenų subjektui, iš kurio renkami su juo susiję duomenys, suteikti bent tokią informaciją, jeigu jis jos dar neturi:

kiek tokios platesnės informacijos reikia, atsižvelgus į specifines duomenų rinkimo aplinkybes, kad būtų garantuotas teisingas [sąžiningas] subjekto duomenų tvarkymas.“

8

Reglamento 2016/679 32 ir 42 konstatuojamosios dalys suformuluotos taip:

<…>

9

Šio reglamento 4 straipsnio 11 punkte numatyta:

„duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.“

10

To paties reglamento 5 straipsnyje nustatyta:

„1.   Asmens duomenys turi būti:

<…>

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

11

Reglamento 2016/679 6 straipsnio 1 dalies a punkte nurodyta:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma [įvykdyta] bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma [įvykdyta]:

<…>“

12

Reglamento 2016/679 7 straipsnio 1, 2 ir 4 dalys suformuluotos taip:

„1.   Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

2.   Jeigu duomenų subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Jokia tokio pareiškimo dalis, kuria pažeidžiamas šis reglamentas, nėra privaloma.

<…>

4.   Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.“

13

Šio reglamento 13 straipsnio 1 ir 2 dalyse nurodyta:

„1.   Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

<…>

<…>

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

14

Reglamento 2016/679 94 straipsnio 1 dalyje numatyta:

„Direktyva 95/46/EB panaikinama nuo 2018 m. gegužės 25 d.“

15

Pagal Reglamento 2016/679 99 straipsnio 2 dalį šis reglamentas taikomas nuo 2018 m. gegužės 25 d.

16

Legea Nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Įstatymas Nr. 677/2001 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo) (2001 m. gruodžio 12 d.Monitorul Oficial al României, I dalis, Nr. 790) į nacionalinę teisę perkeltos Direktyvos 95/46 nuostatos.

17

Šio įstatymo 5 straipsnio 1 dalyje nustatyta:

„1.   Visi asmens duomenys, išskyrus duomenis, kurie priskiriami prie 7 straipsnio 1 dalyje ir 8 bei 10 straipsniuose numatytų kategorijų, gali būti tvarkomi, tik jeigu duomenų subjektas davė aiškų ir nedvisprasmišką sutikimą dėl tokio duomenų tvarkymo.

<…>“

18

Minėto įstatymo 8 straipsnyje nurodyta:

„1.   Asmens kodas ar kiti bendri asmens tapatybei nustatyti naudojami asmens duomenys gali būti tvarkomi tik tuo atveju, jei:

2.   Priežiūros institucija taip pat gali nustatyti kitus atvejus, kuriais galima tvarkyti 1 dalyje nurodytus duomenis, su sąlyga, kad bus numatytos garantijos, tinkamos duomenų subjektų teisių apsaugai užtikrinti.“

19

Įstatymo Nr. 677/2001 32 straipsnis suformuluotas taip:

„Duomenų valdytojo arba jo įgalioto asmens vykdomas asmens duomenų tvarkymas pažeidžiant 4–10 straipsnius arba neatsižvelgiant į 12–15 straipsniuose arba 17 straipsnyje numatytas teises yra administracinis nusižengimas, už kurį, jeigu jis nėra įvykdytas tokiomis sąlygomis, kad būtų pripažintas nusikalstama veika, yra baudžiama pinigine bauda nuo [1000] iki [25000] RON.“

20

Orange România Rumunijos rinkoje teikia judriojo ryšio paslaugas.

21

2018 m. kovo 28 d. sprendimu ANSPDCP skyrė bendrovei Orange România baudą už tai, kad ši saugojo savo klientų asmens tapatybės dokumentų kopijas, neįrodžiusi, kad šie klientai davė galiojantį sutikimą, ir įpareigojo ją sunaikinti šias kopijas.

22

Tame sprendime ANSPDCP pažymėjo, kad laikotarpiu nuo 2018 m. kovo 1 d. iki kovo 26 d. Orange România raštu sudarė judriojo ryšio paslaugų teikimo sutarčių su fiziniais asmenimis ir kad jų asmens tapatybės dokumentų kopijos buvo pridėtos prie šių sutarčių. Kaip nurodė ANSPDCP, ši įmonė nepateikė įrodymų, kad jos klientai, prie kurių sutarčių buvo pridėtos jų asmens tapatybės dokumentų kopijos, davė galiojantį sutikimą rinkti ir saugoti tas dokumentų kopijas.

23

Atitinkamos minėtų sutarčių sąlygos buvo suformuluotos taip:

24

2018 m. kovo 28 d. sprendimą Orange România apskundė Tribunalul Bucureşti (Bukarešto apygardos teismas, Rumunija).

25

Kaip nurodė prašymą priimti prejudicinį sprendimą pateikęs teismas, yra sutarčių, kuriose langelis, susijęs su sąlyga dėl dokumentų, kuriuose yra asmens duomenų, kopijų saugojimo identifikavimo tikslais, yra pažymėtas, ir yra sutarčių, kuriose langelis nepažymėtas. Tas teismas pabrėžė, kad, nepaisant bendrosiose pardavimo sąlygose pateiktų nuorodų, Orange România neatsisakė sudaryti abonentinių sutarčių su klientais, nepanorusiais duoti sutikimo dėl jų asmens tapatybės dokumento kopijos saugojimo. Minėtas teismas dar pažymėjo, kad Orange România„vidinėse [pardavimo] procedūrose“ buvo numatyta, jog šis atsisakymas turi būti užfiksuotas specialiame formuliare, kurį tokie klientai turi pasirašyti prieš sudarydami sutartį.

26

Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar tokiomis aplinkybėmis atitinkami klientai gali būti laikomi tinkamai sutikusiais su tuo, kad būtų renkami jų asmens tapatybės dokumentai, o šių dokumentų kopijos pridedamos prie sutarčių. Be to, jam kyla klausimas, ar sutarties, kurioje įtvirtinta sąlyga dėl dokumentų, kuriuose yra asmens duomenų, kopijų saugojimo identifikavimo tikslais, pasirašymas leidžia įrodyti tokio sutikimo buvimą.

27

Šiomis aplinkybėmis Tribunalul Bucureşti (Bukarešto apygardos teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

28

Pirmiausia reikia nustatyti, ar Direktyva 95/46 ir Reglamentas 2016/679 taikytini pagrindinės bylos aplinkybėms.

29

Nuo 2018 m. gegužės 25 d. Direktyva 95/46, remiantis Reglamento 2016/679 94 straipsnio 1 dalimi ir 99 straipsnio 2 dalimi, buvo panaikinta ir pakeista šiuo reglamentu.

30

Kadangi pagrindinėje byloje nagrinėjamas ANSPDCP sprendimas buvo priimtas 2018 m. kovo 28 d., taigi anksčiau nei 2018 m. gegužės 25 d., prašymą priimti prejudicinį sprendimą pateikęs teismas teisingai mano, kad pagrindinei bylai ratione temporis taikoma Direktyva 95/46.

31

Iš Teisingumo Teismui pateiktos bylos medžiagos taip pat matyti, kad savo sprendimu ANSPDCP ne tik skyrė baudą bendrovei Orange România, bet ir įpareigojo ją sunaikinti aptariamų asmens tapatybės dokumentų kopijas, ir kad pagrindinė byla susijusi ir su pastaruoju įpareigojimu. Tačiau, kadangi šios bylos medžiagoje nėra jokios informacijos apie tai, kad minėtas įpareigojimas buvo įvykdytas iki 2018 m. gegužės 25 d., nagrinėjamu atveju negalima atmesti galimybės, kad šiam įpareigojimui ratione temporis taikytinas Reglamentas 2016/679 (šiuo klausimu žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 41 punktą).

32

Tokiomis aplinkybėmis į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus reikia atsakyti remiantis tiek Direktyva 95/46, tiek Reglamentu 2016/679, kad Teisingumo Teismas galėtų pateikti naudingus atsakymus į šiuos klausimus (pagal analogiją žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 43 punktą).

33

Savo dviem prejudiciniais klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 95/46 2 straipsnio h punktas ir 7 straipsnio a punktas, taip pat Reglamento 2016/679 4 straipsnio 11 punktas ir 6 straipsnio 1 dalies a punktas turi būti aiškinami taip, kad sutartis dėl telekomunikacijų paslaugų teikimo, kurioje įtvirtinta sąlyga, pagal kurią duomenų subjektas buvo informuotas ir davė sutikimą rinkti ir saugoti savo asmens tapatybės dokumento kopiją, gali įrodyti, kad šis asmuo tinkamai davė sutikimą, kaip tai suprantama pagal šias nuostatas, dėl tokio rinkimo ir saugojimo.

34

Šiuo klausimu reikia priminti, kad Direktyvos 95/46 7 straipsnyje ir Reglamento 2016/679 6 straipsnyje numatytas išsamus atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas (dėl Direktyvos 95/46 7 straipsnio žr. 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 57 punktą ir jame nurodytą jurisprudenciją; taip pat 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 53 punktą). Konkrečiau kalbant, šios direktyvos 7 straipsnio a punkte ir minėto reglamento 6 straipsnio 1 dalies a punkte numatyta, kad duomenų subjekto sutikimas gali padaryti tokį tvarkymą teisėtą.

35

Dėl tokiam sutikimui taikomų reikalavimų minėtos direktyvos 7 straipsnio a punkte nustatyta, kad duomenų subjektas turi būti „nedviprasmiškai davęs sutikimą“, o Direktyvos 95/46 2 straipsnio h punkte sąvoka „sutikimas“ apibrėžta kaip reiškianti „bet kurį savanoriškai ir žinomai duotą konkretų duomenų subjekto pareiškimą, kuriuo duomenų subjektas nurodo savo sutikimą, kad būtų tvarkomi su juo susiję duomenys“. Kadangi šiose nuostatose numatyta, kad duomenų subjektas pareiškia valią tam, kad „nedviprasmiškai“ duotų savo sutikimą, gali būti atsižvelgiama tik į aktyvų šio subjekto elgesį siekiant pareikšti savo sutikimą (šiuo klausimu žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 52 ir 54 punktus).

36

Tas pats reikalavimas taikomas pagal Reglamentą 2016/679. Šio reglamento 4 straipsnio 11 punkto formuluotė, kuri apibrėžia „duomenų subjekto sutikimą“, be kita ko, šio reglamento 6 straipsnio 1 dalies a punkto taikymo tikslais, atrodo dar griežtesnė nei Direktyvos 95/46 2 straipsnio h punkto formuluotė, nes pagal ją reikalaujama, kad „laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto“ duomenų subjekto sutikimas būtų duotas pareiškimu arba „vienareikšmiais veiksmais“, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Taigi nuo šiol Reglamente 2016/679 aiškiai numatytas aktyvus sutikimas (šiuo klausimu žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 61–63 punktus).

37

Nors šio reglamento 32 konstatuojamojoje dalyje nurodyta, kad sutikimas galėtų būti išreikštas, be kita ko, pažymint langelį interneto svetainėje, vis dėlto joje aiškiai atmetama galimybė sutikimą duoti „tyla, iš anksto pažymėt[ais] langeliai[s] arba neveikim[u]“. Kaip jau yra nusprendęs Teisingumo Teismas, tokiu atveju praktiškai neįmanoma objektyviai nustatyti, ar interneto svetainės naudotojas iš tikrųjų davė sutikimą tvarkyti savo asmens duomenis, jeigu nepašalino žymėjimo nuo iš anksto pažymėto langelio, ir bet kuriuo atveju, ar toks sutikimas buvo duotas esant tinkamai informuotam. Negalima atmesti to, kad prieš tęsdamas savo veiksmus interneto svetainėje, kurioje lankėsi, tas naudotojas neperskaitė informacijos, pateiktos prie iš anksto pažymėto langelio, o galbūt jo net nepastebėjo (šiuo klausimu žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 55 ir 57 punktus).

38

Be to, pagal Direktyvos 95/46 2 straipsnio h punktą ir Reglamento 2016/679 4 straipsnio 11 punktą reikalaujama, kad būtų išreikšta „konkre[ti]“ valia, t. y. ji turi būti susijusi būtent su atitinkamu duomenų tvarkymu ir negali būti kildinama iš valios pareiškimo, kurio dalykas skiriasi (šiuo klausimu žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 58 punktą).

39

Šiuo klausimu šio reglamento 7 straipsnio 2 dalies pirmame sakinyje nurodyta: jeigu duomenų subjekto sutikimas grindžiamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų. Konkrečiai kalbant, iš pastarosios nuostatos, siejamos su minėto reglamento 42 konstatuojamąja dalimi, matyti, kad toks pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, visų pirma tada, kai tai yra asmens duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas.

40

Dėl iš Direktyvos 95/46 2 straipsnio h punkto ir Reglamento 2016/679 4 straipsnio 11 punkto išplaukiančio reikalavimo, kad sutikimas turi būti atitinkamai „žinomai duotas“ arba apie jį turi būti „tinkamai informuota“, pažymėtina, kad pagal šios direktyvos 10 straipsnį, aiškinamą atsižvelgiant į jos 38 konstatuojamąją dalį, ir pagal šio reglamento 13 straipsnį, siejamą su jo 42 konstatuojamąja dalimi, šis reikalavimas reiškia, kad duomenų valdytojas turi pateikti duomenų subjektui informaciją apie visas su duomenų tvarkymu susijusias aplinkybes suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, nes šis subjektas visų pirma turi žinoti, kokie duomenys bus tvarkomi, duomenų valdytojo tapatybę, tvarkymo trukmę ir sąlygas, taip pat tvarkymo tikslus. Tokia informacija turi leisti šiam asmeniui lengvai nustatyti sutikimo, kurį jis galėtų duoti, pasekmes ir užtikrinti, kad sutikimas būtų duotas žinant visas aplinkybes (pagal analogiją žr. 2019 m. spalio 1 d. Sprendimo Planet49, C‑673/17, EU:C:2019:801, 74 punktą).

41

Be to, kaip Teisingumo Teismui pateiktose pastabose pažymėjo Komisija, iš Direktyvos 95/46 10 straipsnio c punkto antros įtraukos ir Reglamento 2016/679 13 straipsnio 2 dalies b ir c punktų, siejamų su šio reglamento 42 konstatuojamąja dalimi, matyti, kad, siekiant duomenų subjektui užtikrinti tikrą pasirinkimo laisvę, sutarties sąlygos neturi klaidinti duomenų subjekto dėl galimybės sudaryti sutartį, net jeigu jis atsisako duoti sutikimą dėl jo duomenų tvarkymo. Nesant tokios informacijos, šio subjekto sutikimas dėl jo asmens duomenų tvarkymo negali būti laikomas nei duotu laisva valia, nei, be to, duotu žinomai ar esant tinkamai informuotam.

42

Reikia pridurti, kad pagal Direktyvos 95/46 6 straipsnio 1 dalies a punktą ir 2 dalį, taip pat Reglamento 2016/679 5 straipsnio 1 dalies a punktą asmens duomenų valdytojas privalo, be kita ko, užtikrinti šių duomenų tvarkymo teisėtumą ir, kaip nurodyta šio 5 straipsnio 2 dalyje, turi galėti jį įrodyti. Konkrečiau dėl galimo duomenų subjekto sutikimo pažymėtina, jog šios direktyvos 7 straipsnio a punkte numatyta, kad duomenų subjektas turi būti „nedviprasmiškai“ davęs sutikimą, o tai reiškia, kad, kaip savo išvados 56 punkte nurodė generalinis advokatas, pareiga įrodyti, jog yra galiojantis sutikimas, tenka duomenų valdytojui. Minėto reglamento 7 straipsnio 1 dalyje šiuo metu nustatyta: kai duomenys tvarkomi remiantis sutikimu, šis valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą tvarkyti jo asmens duomenis.

43

Nagrinėjamu atveju Orange România Teisingumo Teismui pateiktose pastabose nurodė, kad per pagrindinėje byloje aptariamą sutarčių sudarymo procedūrą jos prekybos agentai, prieš sudarydami sutartis ir gaudami žodinį šių klientų sutikimą dėl asmens tapatybės dokumentų kopijų rinkimo ir saugojimo, informuoja atitinkamus klientus, be kita ko, apie tokių kopijų rinkimo ir saugojimo tikslus, taip pat apie klientų turimą pasirinkimą dėl šio rinkimo ir saugojimo. Orange România teigimu, langelis, susijęs su asmens tapatybės dokumentų kopijų saugojimu, būdavo pažymimas tik remiantis suinteresuotųjų asmenų šiuo klausimu laisvai pareikštu sutikimu sudarant sutartį.

44

Šiomis aplinkybėmis prašymu priimti prejudicinį sprendimą iš esmės siekiama išsiaiškinti, ar toks sutikimas dėl tokio asmens duomenų tvarkymo gali būti nustatytas remiantis šiose sutartyse įtvirtintomis sutarčių sąlygomis.

45

Iš šiame prašyme pateiktos informacijos matyti, kad nors minėtose sutartyse yra sąlyga, pagal kurią atitinkami klientai buvo informuoti ir davė sutikimą dėl asmens tapatybės dokumento kopijos saugojimo identifikavimo tikslais, Orange România pardavimo agentai su šia sąlyga susijusį langelį jau būdavo pažymėję prieš klientams pasirašant dėl sutikimo su visomis sutarties sąlygomis, t. y. sutikimo tiek su minėta sąlyga, tiek su kitomis su duomenų apsauga nesusijusiomis sąlygomis. Minėtame prašyme taip pat nurodyta, kad, nors pagrindinėje byloje aptariamose sutartyse tai nepažymėta, Orange România sutikdavo sudaryti šias sutartis su klientais, kurie atsisakydavo duoti sutikimą dėl jų asmens tapatybės dokumento kopijos saugojimo, ir reikalaudavo, kad tokiu atveju tokie klientai pasirašytų specialų formuliarą, kuriame patvirtinamas jų atsisakymas.

46

Kadangi, kaip matyti iš šios informacijos, atitinkami klientai, atrodo, patys nežymėdavo su minėta sąlyga susijusio langelio, vien tai, kad šis langelis būdavo pažymėtas, neįrodo pareikšto tokių klientų sutikimo dėl jų asmens tapatybės kortelių kopijų rinkimo ir saugojimo. Kaip savo išvados 45 punkte pažymėjo generalinis advokatas, vien aplinkybė, kad minėti klientai pasirašė sutartis, kuriose langelis buvo pažymėtas, nesant informacijos, patvirtinančios, kad ši sąlyga iš tikrųjų buvo perskaityta ir suprasta, neleidžia nustatyti tokio sutikimo. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi atlikti tuo tikslu reikalingus patikrinimus.

47

Be to, kadangi neatrodo, kad pažymėta sąlyga dėl šių duomenų tvarkymo buvo pateikta tokia forma, kuri ją aiškiai išskiria iš kitų sutarties sąlygų, jis taip pat turi įvertinti, ar, atsižvelgiant į šio sprendimo 34 punkte išdėstytus argumentus, šių sutarčių, kuriose yra daug sutartinių sąlygų, pasirašymas gali būti laikomas parodančiu konkretų sutikimą dėl asmens duomenų rinkimo ir saugojimo, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio h punktą ir Reglamento 2016/679 4 straipsnio 11 punktą.

48

Taip pat, kadangi pagrindinėje byloje nagrinėjamoje sutarties sąlygoje tik nurodytas asmens tapatybės kortelių kopijų saugojimo tikslas (identifikavimas) ir nepaminėta nieko kito, prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar duomenų subjektų informavimas atitinka Direktyvos 95/46 10 straipsnio ir Reglamento 2016/679 13 straipsnio, nurodančių informaciją, duomenų valdytojo turimą pateikti asmeniui, iš kurio renkami duomenys, reikalavimus, kad būtų užtikrintas sąžiningas jo duomenų tvarkymas.

49

Tas teismas taip pat turi įvertinti, be kita ko, tai, ar pagrindinėje byloje aptariamos sutarties sąlygos, nesant paaiškinimų šiuo klausimu, galėjo suklaidinti duomenų subjektą dėl galimybės sudaryti sutartį, nepaisant atsisakymo sutikti dėl savo duomenų tvarkymo, ir taip paneigti tai, kad minėtu pasirašymu pareikštas sutikimas buvo duotas žinomai ir esant tinkamai informuotam.

50

Be to, kaip savo išvados 60 punkte pažymėjo generalinis advokatas, atrodo, kad laisvą šio sutikimo pobūdį paneigia aplinkybė, kad atsisakymo jį duoti atveju Orange România, nukrypdama nuo įprastos procedūros, kurią užbaigiant sudaroma sutartis, reikalaudavo, kad atitinkamas klientas raštu pareikštų, jog neduoda sutikimo nei rinkti, nei saugoti savo asmens tapatybės dokumento kopijos. Kaip per teismo posėdį pažymėjo Komisija, toks papildomas reikalavimas gali nepagrįstai paveikti laisvą pasirinkimą prieštarauti dėl tokio rinkimo ir saugojimo, o tai irgi turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

51

Bet kuriuo atveju, kaip matyti iš šio sprendimo 35, 36 ir 42 punktuose pateiktų argumentų, Orange România, kaip duomenų valdytoja, turi įrodyti, kad jos klientai aktyviais veiksmais pareiškė sutikimą dėl savo asmens duomenų tvarkymo, todėl ši bendrovė negali reikalauti, kad jie aktyviai pareikštų savo nesutikimą.

52

Atsižvelgiant į tai, kas išdėstyta, į pateiktus klausimus reikia atsakyti: Direktyvos 95/46 2 straipsnio h punktas ir 7 straipsnio a punktas, taip pat Reglamento 2016/679 4 straipsnio 11 punktas ir 6 straipsnio 1 dalies a punktas turi būti aiškinami taip, kad duomenų valdytojas turi įrodyti, kad duomenų subjektas aktyviais veiksmais pareiškė sutikimą dėl savo asmens duomenų tvarkymo ir iš anksto gavo informaciją dėl visų su šiuo tvarkymu susijusių aplinkybių suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, leidžiančia jam lengvai nustatyti šio sutikimo pasekmes, kad būtų užtikrinta, jog sutikimas duotas žinant visas aplinkybes. Telekomunikacijų paslaugų teikimo sutartis su įtvirtinta sąlyga, pagal kurią duomenų subjektas buvo informuotas ir sutiko dėl savo asmens tapatybės dokumento kopijos rinkimo ir saugojimo identifikavimo tikslais, negali įrodyti, jog šis asmuo tinkamai davė sutikimą dėl tokio rinkimo ir saugojimo, kaip tai suprantama pagal šias nuostatas, jeigu:

53

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (antroji kolegija) nusprendžia:

1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl [fizinių] asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 2 straipsnio h punktas ir 7 straipsnio a punktas, taip pat 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 11 punktas ir 6 straipsnio 1 dalies a punktas turi būti aiškinami taip, kad duomenų valdytojas turi įrodyti, kad duomenų subjektas aktyviais veiksmais pareiškė sutikimą dėl savo asmens duomenų tvarkymo ir iš anksto gavo informaciją dėl visų su šiuo tvarkymu susijusių aplinkybių suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, leidžiančia jam lengvai nustatyti šio sutikimo pasekmes, kad būtų užtikrinta, jog sutikimas duotas žinant visas aplinkybes. Telekomunikacijų paslaugų teikimo sutartis su įtvirtinta sąlyga, pagal kurią duomenų subjektas buvo informuotas ir sutiko dėl savo asmens tapatybės dokumento kopijos rinkimo ir saugojimo identifikavimo tikslais, negali įrodyti, kad šis asmuo tinkamai davė sutikimą dėl šio rinkimo ir saugojimo, kaip tai suprantama pagal šias nuostatas, jeigu: