TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS

2023 m. liepos 4 d. ( *1 )

Turinys

	Teisinis pagrindas
	Sąjungos teisė
	Reglamentas (EB) Nr. 1/2003
	BDAR
	Vokietijos teisė
	Pagrindinė byla ir prejudiciniai klausimai
	Dėl prejudicinių klausimų
	Dėl pirmojo ir septintojo klausimų
	Dėl antrojo klausimo
	Dėl antrojo klausimo a punkto
	Dėl antrojo klausimo b punkto
	Dėl trečiojo–penktojo prejudicinių klausimų
	Pirminės pastabos
	Dėl trečiojo ir ketvirtojo klausimų
	Dėl penktojo klausimo
	Dėl šeštojo klausimo
	Dėl bylinėjimosi išlaidų

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – Internetiniai socialiniai tinklai – Tokio tinklo operatoriaus piktnaudžiavimas dominuojančia padėtimi – Piktnaudžiavimas, kurį sudaro tokio tinklo naudotojų asmens duomenų tvarkymas, numatytas bendrosiose naudojimo sąlygose – Valstybės narės konkurencijos institucijos įgaliojimai konstatuoti tokio duomenų tvarkymo neatitiktį šiam reglamentui – Sąsaja su nacionalinių institucijų, atsakingų už asmens duomenų apsaugos kontrolę, įgaliojimais – ESS 4 straipsnio 3 dalis – Lojalaus bendradarbiavimo principas – Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos a–f punktai – Tvarkymo teisėtumas – 9 straipsnio 1 ir 2 dalys – Specialių kategorijų asmens duomenų tvarkymas – 4 straipsnio 11 punktas – Sąvoka „duomenų subjekto sutikimas“

Byloje C‑252/21

dėl Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija) 2021 m. kovo 24 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. balandžio 22 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

Meta Platforms Inc., anksčiau – Facebook Inc.,

Meta Platforms Ireland Ltd, anksčiau – Facebook Ireland Ltd.,

Facebook Deutschland GmbH

prieš

Bundeskartellamt,

dalyvaujant

Verbraucherzentrale Bundesverband eV,

TEISINGUMO TEISMAS (didžioji kolegija),

kurį sudaro pirmininkas K. Lenaerts, pirmininko pavaduotojas L. Bay Larsen, kolegijų pirmininkai A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L. S. Rossi (pranešėja), D. Gratsias ir M. L. Arastey Sahún, teisėjai J.-C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi ir O. Spineanu-Matei,

generalinis advokatas A. Rantos,

posėdžio sekretorius D. Dittert, skyriaus vadovas,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2022 m. gegužės 10 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

–	Meta Platforms Inc., anksčiau – Facebook Inc., Meta Platforms Ireland Ltd, anksčiau – Facebook Ireland Ltd, ir Facebook Deutschland GmbH, atstovaujamų Rechtsanwälte M. Braun, M. Esser, L. Hesse, J. Höft ir H.-G. Kamann,

–	Bundeskartellamt, atstovaujamos J. Nothdurft, K. Ost, I. Sewczyk ir J. Topel,

–	Verbraucherzentrale Bundesverband eV, atstovaujamos Rechtsanwalt S. Louven,

–	Vokietijos vyriausybės, atstovaujamos J. Möller ir P.-L. Krüger,

–	Čekijos vyriausybės, atstovaujamos M. Smolek ir J. Vláčil,

–	Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocati dello Stato E. De Bonis ir P. Gentili,

–	Austrijos vyriausybės, atstovaujamos A. Posch, J. Schmoll ir G. Kunnert,

–	Europos Komisijos, atstovaujamos F. Erlbacher, H. Kranenborg ir G. Meessen,

susipažinęs su 2022 m. rugsėjo 20 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

Prašymas priimti prejudicinį sprendimą pateiktas dėl ESS 4 straipsnio 3 dalies ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymai OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35) (toliau – BDAR) 6 straipsnio 1 dalies, 9 straipsnio 1 ir 2 dalių, 51 straipsnio 1 dalies ir 56 straipsnio 1 dalies išaiškinimo.

Šis prašymas pateiktas nagrinėjant Meta Platforms Inc., anksčiau – Facebook Inc., Meta Platforms Ireland Ltd – anksčiau Facebook Ireland Ltd, ir Facebook Deutschland GmbH ginčą su Bundeskartellamt (Federalinė konkurencijos institucija, Vokietija) dėl pastarosios sprendimo uždrausti šioms bendrovėms tvarkyti tam tikrus asmens duomenis, kaip numatyta socialinio tinklo Facebook bendrosiose naudojimo sąlygose (toliau – bendrosios sąlygos).

Teisinis pagrindas

Sąjungos teisė

Reglamentas (EB) Nr. 1/2003

2002 m. gruodžio 16 d. Tarybos reglamento (EB) Nr. 1/2003 dėl konkurencijos taisyklių, nustatytų [SESV 101 ir 102] straipsniuose, įgyvendinimo (OL L 1, 2003, p. 1; 2004 m. specialusis leidimas lietuvių k., 8 sk., 2 t., p. 205) 5 straipsnyje „Valstybių narių konkurencijos institucijų įgaliojimai“ numatyta:

„Valstybių narių konkurencijos institucijos turi teisę atskirose bylose taikyti [SESV 101 ir 102] straipsnius. Tuo tikslu, veikdamos savo iniciatyva ar skundo pagrindu, jos gali priimti tokius sprendimus:

–	pareikalauti nutraukti pažeidimą,

–	taikyti laikinąsias apsaugos priemones,

–	priimti įsipareigojimus,

–	skirti vienkartines, periodines ar kitas nacionaliniuose įstatymuose numatytas nuobaudas.

Jeigu valstybių narių konkurencijos institucijos, remdamosi turima informacija, mano, kad uždraudimo kriterijai nėra tenkinami, jos gali nuspręsti, kad imtis veiksmų nėra pagrindo.“

BDAR

BDAR 1, 4, 38, 42, 43, 46, 47, 49 ir 51 konstatuojamosiose dalyse nurodyta:

„(1)	fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnio 1 dalyje ir [SESV] 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

<…>

(4)

asmens duomenys turėtų būti tvarkomi taip, kad tai pasitarnautų žmonijai. Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. Šiuo reglamentu paisoma visų Chartijoje pripažintų ir Sutartyse įtvirtintų pagrindinių teisių ir laisvių bei principų, visų pirma teisės į privatų ir šeimos gyvenimą, būsto neliečiamybę ir komunikacijos slaptumą, teisės į asmens duomenų apsaugą, minties, sąžinės ir religijos laisvės, saviraiškos ir informacijos laisvės, laisvės užsiimti verslu, teisės į veiksmingą teisinę gynybą ir teisingą bylos nagrinėjimą ir kultūrų, religijų ir kalbų įvairovės;

<…>

(38)

vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Tokia ypatinga apsauga visų pirma turėtų būti [taikoma] vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis vaikui tiesiogiai pasiūlytomis paslaugomis. Tėvų pareigų turėtojo sutikimo neturėtų būti reikalaujama tiesiogiai vaikui teikiant prevencijos ar konsultavimo paslaugas;

<…>

(42)

kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. <…> Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

(43)

siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas, ypač kai duomenų valdytojas yra valdžios institucija ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais, arba jeigu sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nepaisant to, kad toks sutikimas nėra būtinas tokiam vykdymui;

<…>

(46)

asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

(47)

teisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu. <…> Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. <…> Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu;

<…>

(49)

<…> asmens duomenų tvarkymas tik tiek, kiek tai yra būtina ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar persiunčiamų asmens duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia tie tinklai ir sistemos arba kurios per juos prieinamos, saugumą, laikomas teisėtu atitinkamo duomenų valdytojo interesu.

<…>

(51)

asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, kadangi atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Tie asmens duomenys turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė, tačiau termino „rasinė kilmė“ vartojimas šiame reglamente nereiškia, kad [Europos] Sąjunga pritaria teorijoms, kuriomis siekiama apibrėžti atskirų žmonių rasių egzistavimą. Nuotraukų tvarkymas neturėtų būti laikomas sisteminiu specialių kategorijų asmens duomenų tvarkymu, nes nuotraukoms biometrinių duomenų apibrėžtis taikoma tik tuo atveju, kai jos tvarkomos taikant specialias technines priemones, leidžiančias konkrečiai nustatyti fizinio asmens tapatybę ar tapatumą. Tokie asmens duomenys neturėtų būti tvarkomi, išskyrus atvejus, kai juos tvarkyti leidžiama šiame reglamente nurodytais konkrečiais atvejais, atsižvelgiant į tai, kad valstybių narių teisėje gali būti numatytos konkrečios nuostatos dėl duomenų apsaugos, siekiant pritaikyti šiame reglamente nustatytų taisyklių dėl teisinės prievolės įvykdymo arba užduoties, vykdomos dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, atlikimo taikymą. Kartu su konkrečiais tokio duomenų tvarkymo reikalavimais turėtų būti taikomi šiame reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis. Turėtų būti aiškiai nustatytos nuostatos, leidžiančios nukrypti nuo bendro draudimo tvarkyti tokių specialių kategorijų asmens duomenis, inter alia, kai duomenų subjektas su tuo aiškiai sutinka arba specialių poreikių atveju, visų pirma, kai vykdydamos teisėtą veiklą duomenis tvarko tam tikros asociacijos ar fondai, kurių tikslas – užtikrinti galimybę naudotis pagrindinėmis laisvėmis.“

Šio reglamento 4 straipsnyje numatyta:

„Šiame reglamente:

1)	asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta (duomenų subjektas); <…>

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

<…>

11)	duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

<…>

23)

tarpvalstybinis duomenų tvarkymas – vienas iš toliau nurodytų:

a)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

b)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

<…>“

Minėto reglamento 5 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 ir 2 dalyse nustatyta:

„1. Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

b)	renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; <…>

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

<…>

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

Šio reglamento 6 straipsnis „Tvarkymo teisėtumas“ suformuluotas taip:

„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

<…>

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a)	Sąjungos teisėje; arba

b)	duomenų valdytojui taikomoje valstybės narės teisėje.

<…>

<…> Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.“

BDAR 7 straipsnyje „Sutikimo sąlygos“ nustatyta:

„1. Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

<…>

4. Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.“

Šio reglamento 9 straipsnyje „Specialių kategorijų asmens duomenų tvarkymas“ numatyta:

„1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

a)	duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos arba valstybės narės teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

<…>

e)	tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

f)	tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai vykdo savo teisminius įgaliojimus;

<…>“

Minėto reglamento 13 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ 1 dalyje numatyta:

„Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

<…>

c)	duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis, taip pat duomenų tvarkymo teisinį pagrindą;

d)	kai duomenų tvarkymas atliekamas pagal 6 straipsnio 1 dalies f punktą, teisėtus duomenų valdytojo arba trečiosios šalies interesus;

<…>“

11	BDAR VI skyriuje, susijusiame su „[n]epriklausomomis priežiūros institucijomis“, yra 51–59 straipsniai.

Minėto reglamento 51 straipsnio „Priežiūros institucija“ 1 ir 2 dalyse nurodyta:

„1. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje <…>

2. Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su [Europos] Komisija vadovaudamosi VII skyriumi.“

To paties reglamento 55 straipsnyje „Kompetencija“ numatyta:

„1. Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

2. Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.“

BDAR 56 straipsnio „Vadovaujančios priežiūros institucijos kompetencija“ 1 dalyje nustatyta:

„Nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą, vadovaujantis 60 straipsnyje nustatyta procedūra.“

Šio reglamento 57 straipsnio „Užduotys“ 1 dalyje nurodyta:

„Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a)	stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

<…>

g)	bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

<…>“

Minėto reglamento 58 straipsnio 1 dalyje nustatytas tyrimo įgaliojimų, kuriuos turi kiekviena priežiūros institucija, sąrašas, o 5 dalyje patikslinta, kad „[k]iekviena valstybė narė teisės aktais nustato, kad jos priežiūros institucija turi įgaliojimus atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą arba kitaip dalyvauti teismo procese siekiant užtikrinti šio reglamento nuostatų vykdymą“.

BDAR VII skyriaus „Bendradarbiavimas ir nuoseklumas“ 1 skirsnyje „Bendradarbiavimas“ yra šio reglamento 60–62 straipsniai. 60 straipsnio dėl „[v]adovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavim[o]“ 1 dalyje numatyta:

„Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.“

BDAR 61 straipsnio „Savitarpio pagalba“ 1 dalyje nurodyta:

„Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir vykdyti konsultacijas, patikrinimus ir tyrimus.“

Šio reglamento 62 straipsnio „Priežiūros institucijų bendros operacijos“ 1 ir 2 dalyse nustatyta:

„1. Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2. Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. <…>“

BDAR VII skyriaus 2 skirsnyje „Nuoseklumas“ yra 63–67 šio reglamento straipsniai. 63 straipsnis „Nuoseklumo užtikrinimo mechanizmas“ suformuluotas taip:

„Siekdamos padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, priežiūros institucijos bendradarbiauja tarpusavyje ir tam tikrais atvejais su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.“

Šio reglamento 64 straipsnio 2 dalyje numatyta:

„Bet kuri priežiūros institucija, [Europos duomenų apsaugos] [v]aldybos pirmininkas arba Komisija gali prašyti, kad [Europos duomenų apsaugos] [v]aldyba išnagrinėtų bet kurį bendro pobūdžio klausimą arba klausimą, kuris daro poveikį daugiau nei vienoje valstybėje narėje, ir kad ji pateiktų nuomonę, visų pirma tais atvejais, kai kompetentinga priežiūros institucija nesilaiko su savitarpio pagalba susijusių prievolių pagal 61 straipsnį arba su bendromis operacijomis susijusių prievolių pagal 62 straipsnį.“

Minėto reglamento 65 straipsnio „Europos duomenų apsaugos valdybos sprendžiami ginčai“ 1 dalyje numatyta:

„Siekiant užtikrinti tinkamą ir nuoseklų šio reglamento taikymą atskirais atvejais, [Europos duomenų apsaugos] [v]aldyba priima privalomą sprendimą šiais atvejais:

jeigu, 60 straipsnio 4 dalyje nurodytu atveju, susijusi priežiūros institucija yra pareiškusi tinkamą ir pagrįstą prieštaravimą vadovaujančios institucijos sprendimo projektui arba vadovaujanti institucija yra atmetusi tokį prieštaravimą kaip netinkamą arba nepagrįstą. Privalomas sprendimas turi būti susijęs su visais klausimais, dėl kurių pateiktas tinkamas ir pagrįstas prieštaravimas, visų pirma dėl to, ar pažeidžiamas šis reglamentas;

b)	jeigu esama prieštaringų nuomonių dėl to, kuri iš susijusių priežiūros institucijų yra kompetentinga pagrindinės buveinės atžvilgiu;

<…>“

Vokietijos teisė

2013 m. birželio 26 d. paskelbtos redakcijos Gesetz gegen Wettbewerbsbeschränkungen (Konkurencijos ribojimų prevencijos įstatymas) (BGBl. 2013 I, p. 1750, 3245), su paskutiniais pakeitimais, padarytais 2021 m. liepos 16 d. įstatymo 2 straipsniu (BGBl. 2021 I, p. 2959; toliau – GWB), 19 straipsnio 1 dalyje nustatyta:

„Įmonės ar įmonių piktnaudžiavimas dominuojančia padėtimi rinkoje yra draudžiamas.“

24	GWB 32 straipsnio 1 dalyje nurodyta: „Konkurencijos institucija gali įpareigoti įmones ar įmonių grupes nutraukti šios dalies nuostatos arba Sutarties dėl Europos Sąjungos veikimo 101 arba 102 straipsnio pažeidimą.“

GWB 50f straipsnio 1 dalyje numatyta:

„Konkurencijos institucijos, reguliavimo institucijos, už duomenų apsaugą ir informacijos laisvę atsakingas federalinis pareigūnas, regioniniai duomenų apsaugos pareigūnai ir kompetentingos valdžios institucijos, kaip tai suprantama pagal EU-Verbraucherschutzdurchführungsgesetz [(Įstatymas dėl Europos Sąjungos vartotojų teisių apsaugos įgyvendinimo)] 2 straipsnį, gali, nepriklausomai nuo pasirinktos procedūros, keistis informacija, įskaitant asmens duomenis bei komercines ir verslo paslaptis, kai tai būtina jų atitinkamoms pareigoms vykdyti, ir naudoti šią informaciją vykdant procedūras. <…>“

Pagrindinė byla ir prejudiciniai klausimai

Meta Platforms Ireland Ltd valdo internetinio socialinio tinklo Facebook pasiūlą Sąjungoje ir, be kita ko, internetiniu adresu www.facebook.com siūlo paslaugas, kurios yra nemokamos privatiems naudotojams. Kitos Meta grupės įmonės Sąjungoje siūlo kitas internetines paslaugas, įskaitant Instagram, WhatsApp, Oculus ir iki 2020 m. kovo 13 d.Masquerade.

Internetinio socialinio tinklo Facebook ekonominis modelis grindžiamas finansavimu iš internetinės reklamos, kuri pritaikoma individualiems socialinio tinklo naudotojams, atsižvelgiant, be kita ko, į jų vartojimo įpročius, interesus, perkamąją galią ir asmenines aplinkybes. Tokia reklama techniškai įmanoma, nes automatizuotai parengiami išsamūs tinklo ir Meta grupės siūlomų internetinių paslaugų naudotojų profiliai. Šiuo tikslu, be duomenų, kuriuos šie naudotojai tiesiogiai pateikia registruodamiesi atitinkamoms internetinėms paslaugoms, taip pat renkami kiti su minėtais naudotojais ir jų prietaisais susiję duomenys (jie renkami tiek šiame socialiniame tinkle ir Meta grupei teikiant kitas internetines paslaugas, tiek už šio tinko ar paslaugų ribų) ir susiejami su skirtingų naudotojų paskyromis. Vertinami bendrai, šie duomenys leidžia daryti išsamias išvadas apie šių naudotojų pageidavimus ir interesus.

Šių duomenų tvarkymą Meta Platforms Ireland grindžia naudojimo sutartimi, kurią socialinio tinklo Facebook naudotojai sudaro aktyvavę mygtuką „užsiregistruoti“ ir pagal kurią jie sutinka su šios bendrovės nustatytomis bendrosiomis sąlygomis. Kad būtų galima naudotis socialiniu tinklu Facebook, būtina sutikti su šiomis sąlygomis. Dėl asmens duomenų tvarkymo bendrosiose sąlygose daroma nuoroda į minėtos bendrovės nustatytą duomenų ir slapukų politiką. Vadovaudamasi šia politika Meta Platforms Ireland renka naudotojų ir jų prietaisų duomenis, susijusius su šių naudotojų veikla socialiniame tinkle ir už jo ribų, ir juos susieja su jų Facebook paskyromis. Duomenys, susiję su veikla, vykdoma už socialinio tinklo ribų (toliau taip pat – Off Facebook duomenys), pirma, yra duomenys apie trečiųjų šalių interneto tinklalapių ir taikomųjų programėlių, kurios programavimo sąsajomis (Facebook Business Tools) yra susietos su Facebook, lankymą, ir, antra, duomenys apie naudojimąsi kitomis Meta grupei priklausančiomis internetinėmis paslaugomis, įskaitant Instagram, WhatsApp, Oculus ir iki 2020 m. kovo 13 d.Masquerade.

Federalinė konkurencijos institucija pradėjo procedūrą prieš Meta Platforms, Meta Platforms Ireland ir Facebook Deutschland; šios procedūros pabaigoje priimtu 2019 m. vasario 6 d. sprendimu, grindžiamu GWB 19 straipsnio 1 dalimi ir 32 straipsniu, ji iš esmės uždraudė Vokietijoje gyvenančių privačių naudotojų naudojimąsi socialiniu tinklu Facebook bendrosiose sąlygose susieti su jų Off Facebook duomenų tvarkymu ir be jų sutikimo tvarkyti šiuos duomenis pagal tuo metu galiojusias bendrąsias sąlygas. Be to, minėta institucija įpareigojo šias įmones pakeisti bendrąsias sąlygas taip, kad iš jų būtų aiškiai matyti, jog tokie duomenys nebus nei renkami, nei susieti su Facebook naudotojų paskyromis, nei naudojami be atitinkamo naudotojo sutikimo, ir paaiškino, kad toks sutikimas negalioja, kai tai yra naudojimosi socialiniu tinklu sąlyga.

Federalinė konkurencijos institucija savo sprendimą motyvavo tuo, kad bendrosiose sąlygose numatytas atitinkamų naudotojų duomenų tvarkymas, kurį vykdo Meta Platforms Ireland, yra šios bendrovės piktnaudžiavimas dominuojančia padėtimi internetinių socialinių tinklų privatiems naudotojams rinkoje Vokietijoje, kaip tai suprantama pagal GWB 19 straipsnio 1 dalį. Konkrečiai kalbant, federalinės konkurencijos institucijos teigimu, šios bendrosios sąlygos, kaip šią dominuojančią padėtį lemiančios sąlygos, yra nesąžiningos, nes jose numatytas Off Facebook duomenų tvarkymas neatitinka BDAR pagrindžiančių vertybių ir, be kita ko, negali būti pateisinamas pagal šio reglamento 6 straipsnio 1 dalį ir 9 straipsnio 2 dalį.

31	2019 m. vasario 11 d.Meta Platforms, Meta Platforms Ireland ir Facebook Deutschland apskundė federalinės konkurencijos institucijos sprendimą Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija).

32	2019 m. liepos 31 d.Meta Platforms nustatė naujas bendrąsias sąlygas, kuriose aiškiai nurodyta, kad naudotojas, užuot mokėjęs už Facebook produktų naudojimą, pareiškia sutinkantis gauti reklaminius skelbimus.

Be to, nuo 2020 m. sausio 28 d.Meta Platforms pasauliniu lygmeniu siūlo Off-Facebook-Activity, leidžiančią socialinio tinklo Facebook naudotojams gauti su jais susijusios informacijos, kurią Meta grupės bendrovės gauna dėl tokių naudotojų veiklos kituose interneto tinklalapiuose ir taikomosiose programėlėse, santrauką ir, jei naudotojai pageidauja, taip pat atskirti šiuos duomenis nuo jų paskyros Facebook.com tiek atgaline data, tiek ateityje.

Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas) abejoja, pirma, ar nacionalinės konkurencijos institucijos, įgyvendindamos savo įgaliojimus, gali tikrinti, ar asmens duomenų tvarkymas atitinka BDAR nustatytus reikalavimus, antra, dėl galimybės internetinio socialinio tinklo operatoriui tvarkyti duomenų subjekto neskelbtinus asmens duomenis, kaip tai suprantama pagal šio reglamento 9 straipsnio 1 ir 2 dalis, trečia, dėl tokio operatoriaus atliekamo atitinkamo naudotojo asmens duomenų tvarkymo teisėtumo pagal minėto reglamento 6 straipsnio 1 dalį ir, ketvirta, dėl sutikimo, duoto įmonei, užimančiai dominuojančią padėtį nacionalinėje internetinių socialinių tinklų rinkoje, tokio tvarkymo tikslais, teisėtumo, atsižvelgiant į to paties reglamento 6 straipsnio 1 dalies pirmos pastraipos a punktą ir 9 straipsnio 2 dalies a punktą.

Šiomis aplinkybėmis Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas), manydamas, kad sprendimas pagrindinėje byloje priklauso nuo atsakymo į šiuos klausimus, nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar [BDAR] 51 ir paskesniems straipsniams neprieštaraujama, jei valstybės narės nacionalinė konkurencijos institucija, kaip antai federalinė konkurencijos institucija, kuri nėra priežiūros institucija, kaip tai suprantama pagal BDAR 51 ir paskesnius straipsnius, esant tokiai situacijai, kai už Europos Sąjungos ribų įsteigta įmonė toje valstybėje narėje turi filialą, padedantį kitoje valstybėje narėje esančiai šios įmonės pagrindinei buveinei (ši buveinė prisiima išimtinę atsakomybę už asmens duomenų tvarkymą visoje Europos Sąjungoje) reklamos, komunikacijos ir viešųjų ryšių srityje, atlikdama antimonopolinių taisyklių pažeidimo priežiūrą nustato, kad pagrindinės buveinės nustatytos sutarties sąlygos dėl duomenų tvarkymo ir jų įgyvendinimas pažeidžia BDAR, ir nurodo nutraukti tokį pažeidimą?

Jei taip, ar neprieštaraujama ESS 4 straipsnio 3 daliai, jei valstybėje narėje, kurioje yra pagrindinė buveinė, esančioje vadovaujančioje priežiūros institucijoje, kaip tai suprantama pagal BDAR 56 straipsnio 1 dalį, tuo pačiu metu vyksta pagrindinės buveinės nustatytos sutarties sąlygų nagrinėjimo procedūra dėl duomenų tvarkymo?

Jei į pirmąjį klausimą būtų atsakyta teigiamai:

Ar tuo atveju, jei interneto naudotojas tik apsilanko interneto svetainėse arba taikomosiose programėlėse, kurioms taikomi BDAR 9 straipsnio 1 dalies kriterijai, kaip antai pažinčių taikomosiose programėlėse, homoseksualių partnerių paieškos sistemose, politinių partijų interneto svetainėse, su sveikatos priežiūra susijusiose interneto svetainėse, arba jose įveda informaciją, pavyzdžiui, registruodamasis arba teikdamas užsakymus, o kita įmonė, pavyzdžiui, [Meta Platforms Ireland], per interneto svetainėse ir programėlėse naudojamas sąsajas, kaip antai Facebook Business Tools, per interneto naudotojo kompiuteryje ar mobiliajame galiniame įrenginyje naudojamus slapukus arba naudodamasi panašiomis išsaugojimo technologijomis renka duomenis apie naudotojo apsilankymą interneto svetainėje ir programėlėse, taip pat naudotojo įvestą informaciją, susieja juos su Facebook.com naudotojo paskyromis ir juos naudoja, toks duomenų rinkimas, susiejimas ir (arba) naudojimas laikytinas neskelbtinų [asmens] duomenų tvarkymu pagal šią teisės normą?

Jei taip, ar apsilankydamas šiose paslaugų teikėjo, kaip antai [Meta Platforms Ireland], interneto svetainėse ir naudodamasis taikomosiomis programėlėmis, įvesdamas informaciją ir (arba) aktyvuodamas interneto svetainėse arba taikomosiose programėlėse esančius mygtukus („socialinio tinklo papildiniai“, kaip antai „Patinka“, „Bendrinti“, „Facebook Login“ ar „Account Kit“) naudotojas akivaizdžiai viešai paskelbia duomenis, susijusius su tokiu apsilankymu ir (arba) informacijos suvedimu, pagal BDAR 9 straipsnio 2 dalies e punktą?

Ar įmonė, kaip antai [Meta Platforms Ireland], valdanti socialinį tinklą, finansuojamą iš reklamos, ir paslaugų teikimo sąlygose siūlanti asmeniškai pritaikytą turinį bei reklamą, tinklo saugumo užtikrinimą, produkto pagerinimą ir nuoseklų bei sklandų visų grupės produktų naudojimą, gali remtis būtinybe įvykdyti sutartį pagal BDAR 6 straipsnio 1 dalies b punktą, arba teisėtų interesų siekiu pagal BDAR 6 straipsnio 1 dalies f punktą, jei šiais tikslais renka, su naudotojo [Facebook] paskyra susieja ir naudoja duomenis, gautus iš kitų grupės paslaugų bei iš trečiųjų šalių interneto svetainių ir taikomųjų programėlių, pasitelkdama jose esančias sąsajas, kaip antai Facebook Business Tools, arba interneto naudotojo kompiuteryje ar mobiliajame galiniame įrenginyje naudojamus slapukus, arba naudodamasi panašiomis išsaugojimo technologijomis?

Ar tokiu atveju:

–	siekis asmeniškai pritaikyti turinį ir reklamą, pagerinti produktus, užtikrinti tinklo saugumą ir teikti naudotojams ne rinkodaros pobūdžio pranešimus, kai naudotojai yra nepilnamečiai,

–	matavimai, analizė ir kitos verslo paslaugos reklamos užsakovams, kūrėjams ir kitiems partneriams, kad jie galėtų įvertinti ir pagerinti savo paslaugas,

–	bendravimas su naudotoju teikiant rinkodaros pobūdžio pranešimus, kad įmonė galėtų pagerinti savo produktus ir taikyti tiesioginę rinkodarą,

–	tyrimai ir naujovės socialinei gerovei, siekiant prisidėti prie pažangaus ar akademinio svarbių socialinių aspektų suvokimo, kad visuomenei ir pasauliui būtų galima daryti teigiamą poveikį,

–	informacija iš teisėsaugos institucijų ir atsakymas į teisinius prašymus, kad būtų galima užkirsti kelią sukčiavimui, neteisėtam naudojimui, sąlygų ir politikos pažeidimams ar kitai žalingai ar neteisėtai veiklai,

gali būti laikomi teisėtais interesais pagal BDAR 6 straipsnio 1 dalies f punktą, jei įmonė šiais tikslais renka, su naudotojo Facebook.com paskyra susieja ir naudoja duomenis, gautus iš kitų grupės paslaugų ir trečiųjų šalių interneto svetainių bei taikomųjų programėlių per jose esančias sąsajas, kaip antai Facebook Business Tools, arba per interneto naudotojo kompiuteryje ar mobiliajame galiniame įrenginyje naudojamus slapukus, arba naudodamasi panašiomis išsaugojimo technologijomis?

Ar tokiu atveju duomenų, gautų iš kitų grupės paslaugų ir trečiųjų šalių interneto svetainių bei taikomųjų programėlių per jose esančias sąsajas, kaip antai Facebook Business Tools, arba per interneto naudotojo kompiuteryje, arba mobiliajame galiniame įrenginyje naudojamus slapukus, arba panašias išsaugojimo technologijas, rinkimas, susiejimas su naudotojo Facebook.com paskyra ir naudojimas arba kitais būdais jau teisėtai surinktų ir susietų duomenų naudojimas konkrečiu atveju taip pat gali būti pateisinamas pagal BDAR 6 straipsnio 1 dalies c, d ir e punktus, pavyzdžiui, siekiant atsakyti į teisėtą prašymą teikti tam tikrus duomenis (c punktas), kai kovojama su žalinga veikla ir didinamas saugumas (d punktas), atliekami tyrimai visuomenės gerovei ir skatinama sauga, vientisumas ir saugumas (e punktas)?

6.	Ar dominuojančią padėtį rinkoje užimančiai įmonei, kaip antai [Meta Platforms Ireland], galima duoti galiojantį ir laisva valia išreikštą (ypač atsižvelgiant į BDAR 4 straipsnio 11 punktą) duomenų subjekto sutikimą pagal BDAR 6 straipsnio 1 dalies a punktą ir 9 straipsnio 2 dalies a punktą?

Jei į pirmąjį klausimą būtų atsakyta neigiamai:

Ar valstybės narės nacionalinė konkurencijos institucija, kaip antai federalinė konkurencijos institucija, kuri nėra priežiūros institucija pagal BDAR 51 ir paskesnius straipsnius ir kuri tiria dominuojančią padėtį rinkoje užimančios įmonės padarytą antimonopolinių taisyklių pažeidimą, nesusijusį su BDAR prieštaraujančiomis šios įmonės taikomomis duomenų tvarkymo sąlygomis ir jų įgyvendinimu, pavyzdžiui, lygindama interesus, gali padaryti išvadą dėl šios įmonės taikomų duomenų tvarkymo sąlygų ir jų įgyvendinimo atitikties BDAR?

b)	Jeigu taip: ar ši nuostata taikoma, atsižvelgiant į ESS 4 straipsnio 3 dalį, net tuomet, kai tuo pačiu metu pagal BDAR 56 straipsnio 1 dalį kompetentinga vadovaujanti priežiūros institucija atlieka šios įmonės duomenų tvarkymo sąlygų tyrimą?

Jei atsakymas į septintą klausimą būtų teigiamas, ar reikia atsakyti į trečiąjį – penktąjį klausimus, kalbant apie duomenis, gautus naudojantis grupės paslauga Instagram?“

Dėl prejudicinių klausimų

Dėl pirmojo ir septintojo klausimų

Pirmuoju ir septintuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 51 ir paskesni straipsniai turi būti aiškinami taip, kad valstybės narės konkurencijos institucija, nagrinėdama įmonės piktnaudžiavimą dominuojančia padėtimi, kaip tai suprantama pagal SESV 102 straipsnį, gali konstatuoti, kad šios įmonės bendrosios naudojimo sąlygos, susijusios su asmens duomenų tvarkymu, ir jų įgyvendinimas neatitinka BDAR, ir, jeigu į šį klausimą būtų atsakyta teigiamai, ar ESS 4 straipsnio 3 dalį reikia aiškinti taip, kad tokia papildoma konkurencijos institucijos išvada galima ir tada, kai pagal BDAR 56 straipsnio 1 dalį kompetentingoje vadovaujančioje priežiūros institucijoje tuo pačiu metu vyksta šių sąlygų nagrinėjimo procedūra.

Siekiant atsakyti į šį klausimą, pirmiausia reikia priminti, kad BDAR 55 straipsnio 1 dalyje įtvirtinta principinė kiekvienos priežiūros institucijos kompetencija vykdyti pagal šį reglamentą pavestas užduotis ir naudotis suteiktais įgaliojimais savo valstybės narės teritorijoje (2021 m. birželio 15 d. Sprendimo Facebook Ireland ir kt., C‑645/19, EU:C:2021:483, 47 punktas ir jame nurodyta jurisprudencija).

Šioms priežiūros institucijoms patikėtos užduotys, be kita ko, apima šio reglamento 51 straipsnio 1 dalyje ir 57 straipsnio 1 dalies a punkte numatytas užduotis kontroliuoti, kaip taikomas BDAR, ir užtikrinti jo laikymąsi, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant jų asmens duomenis, ir sudarytos palankesnės sąlygos laisvam tokių duomenų judėjimui Sąjungoje. Be to, pagal minėto reglamento 51 straipsnio 2 dalį ir 57 straipsnio 1 dalies g punktą minėtos priežiūros institucijos bendradarbiauja tarpusavyje, be kita ko, dalydamosi informacija ir teikdamos savitarpio pagalbą, kad būtų užtikrintas nuoseklus šio reglamento ir priemonių, kurių imtasi jo laikymuisi užtikrinti, taikymas.

Kad būtų atliktos šios užduotys, BDAR 58 straipsnio 1 dalyje minėtoms priežiūros institucijoms suteikiami tyrimo įgaliojimai, jo 2 dalyje – įgaliojimai imtis taisomųjų priemonių, o 5 dalyje – įgaliojimai atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir tam tikrais atvejais pradėti teismo procesą, siekiant užtikrinti šio reglamento nuostatų vykdymą.

Nedarant poveikio BDAR 55 straipsnio 1 dalyje įtvirtintai kompetencijos taisyklei, šio reglamento 56 straipsnio 1 dalyje, kiek tai susiję su tarpvalstybiniu duomenų tvarkymu, kaip tai suprantama pagal jo 4 straipsnio 23 punktą, numatytas „vieno langelio“ mechanizmas, grindžiamas kompetencijos pasidalijimu tarp „vadovaujančios priežiūros institucijos“ ir kitų susijusių priežiūros institucijų, taip pat visų šių institucijų bendradarbiavimu pagal šio reglamento 60 straipsnyje numatytą bendradarbiavimo procedūrą.

Be to, BDAR 61 straipsnio 1 dalyje priežiūros institucijos įpareigojamos, be kita ko, teikti viena kitai aktualią informaciją ir padėti viena kitai nuosekliai įgyvendinti ir taikyti šį reglamentą visoje Sąjungoje. Minėto reglamento 63 straipsnyje patikslinta, kad būtent šiuo tikslu numatytas jo 64 ir 65 straipsniuose įtvirtintas nuoseklumo užtikrinimo mechanizmas (2021 m. birželio 15 d. Sprendimo Facebook Ireland ir kt., C‑645/19, EU:C:2021:483, 52 punktas ir jame nurodyta jurisprudencija).

Vis dėlto reikia pažymėti, kad BDAR numatytos bendradarbiavimo taisyklės nėra skirtos nacionalinėms konkurencijos institucijoms, jos reglamentuoja atitinkamų nacionalinių priežiūros institucijų ir vadovaujančios priežiūros institucijos bendradarbiavimą ir prireikus šių institucijų bendradarbiavimą su Europos duomenų apsaugos valdyba ir Komisija.

Iš tiesų nei BDAR, nei jokiame kitame Sąjungos teisės akte nėra konkrečių taisyklių dėl nacionalinės konkurencijos institucijos ir atitinkamų nacionalinių priežiūros institucijų arba vadovaujančios priežiūros institucijos bendradarbiavimo. Be to, jokia šio reglamento nuostata nacionalinėms konkurencijos institucijoms nedraudžia vykdant savo funkcijas konstatuoti, kad dominuojančią padėtį užimančios įmonės atliekamas duomenų tvarkymas neatitinka minėto reglamento ir gali būti laikomas piktnaudžiavimu šia padėtimi.

44	Šiuo klausimu reikia pažymėti, pirma, kad priežiūros institucijos ir nacionalinės konkurencijos institucijos vykdo skirtingas funkcijas ir siekia skirtingų tikslų ir uždavinių.

Iš tiesų, kaip nurodyta šio sprendimo 38 punkte, pagal BDAR 51 straipsnio 1 ir 2 dalis ir 57 straipsnio 1 dalies a ir g punktus pagrindinė priežiūros institucijos užduotis yra kontroliuoti šio reglamento taikymą ir užtikrinti jo laikymąsi, kartu prisidedant prie nuoseklaus jo taikymo Sąjungoje, kad tvarkant asmens duomenis būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės ir sudarytos palankesnės sąlygos laisvam tokių duomenų judėjimui Sąjungoje. Šiuo tikslu, kaip priminta šio sprendimo 39 punkte, priežiūros institucija turi įvairių įgaliojimų, kurie jai suteikti pagal BDAR 58 straipsnį.

Be to, pagal Reglamento Nr. 1/2003 5 straipsnį nacionalinės konkurencijos institucijos yra kompetentingos priimti, be kita ko, sprendimus, kuriais konstatuojamas įmonės piktnaudžiavimas dominuojančia padėtimi, kaip tai suprantama pagal SESV 102 straipsnį, siekiant sukurti sistemą, užtikrinančią, kad konkurencija vidaus rinkoje nebūtų iškraipoma, atsižvelgiant į tokio piktnaudžiavimo pasekmes vartotojams šioje rinkoje.

Kaip savo išvados 23 punkte iš esmės pažymėjo generalinis advokatas, priimdama tokį sprendimą konkurencijos institucija, remdamasi visomis konkrečiomis bylos aplinkybėmis, turi įvertinti, ar dėl dominuojančią padėtį užimančios įmonės elgesio, naudojant kitokias priemones nei lemiančias įprastą prekių ar paslaugų konkurenciją, sudaromos kliūtys išlaikyti rinkoje dar esančią konkurenciją arba šios konkurencijos plėtrai (šiuo klausimu žr. 2021 m. kovo 25 d. Sprendimo Deutsche Telekom / Komisija, C‑152/19 P, EU:C:2021:238, 41 ir 42 punktus). Pažymėtina, kad tokio elgesio atitiktis arba neatitiktis BDAR nuostatoms prireikus gali būti svarbus požymis tarp reikšmingų bylos aplinkybių, siekiant nustatyti, ar toks elgesys yra įprastos konkurencijos priemonių naudojimas, ir įvertinti tam tikrų veiksmų pasekmes rinkai ar vartotojams.

Darytina išvada, kad, nagrinėjant įmonės piktnaudžiavimą dominuojančia padėtimi konkrečioje rinkoje, atitinkamos valstybės narės konkurencijos institucijai taip pat gali prireikti išnagrinėti šios įmonės elgesio atitiktį kitiems teisės aktams nei tie, kurie patenka į konkurencijos teisės taikymo sritį, kaip antai BDAR numatytoms asmens duomenų apsaugos taisyklėms.

Atsižvelgiant į skirtingus tikslus, kurių siekiama konkurencijos srityje nustatytomis taisyklėmis, visų pirma SESV 102 straipsniu, ir BDAR numatytomis nuostatomis asmens duomenų apsaugos srityje, reikia konstatuoti, kad, kai nacionalinė konkurencijos institucija, konstatuodama piktnaudžiavimą dominuojančia padėtimi, nurodo šio relamento pažeidimą, ji nepakeičia priežiūros institucijų. Konkrečiai kalbant, tokia nacionalinė konkurencijos institucija neprižiūri šio reglamento taikymo ir neužtikrina jo laikymosi, siekdama BDAR 51 straipsnio 1 dalyje nurodyto tikslo, t. y. apsaugoti fizinių asmenų pagrindines teises ir laisves tvarkant duomenis ir sudaryti palankesnes sąlygas laisvam asmens duomenų judėjimui Sąjungoje. Be to, tik atkreipdama dėmesį į tai, kad duomenų tvarkymas neatitinka šio reglamento vien tam, kad būtų konstatuotas piktnaudžiavimas dominuojančia padėtimi, ir nustatydama priemones, kuriomis siekiama nutraukti šį piktnaudžiavimą remiantis iš konkurencijos teisės kylančiu teisiniu pagrindu, tokia institucija nevykdo jokių minėto reglamento 57 straipsnyje nurodytų užduočių ir nesinaudoja įgaliojimais, kurie priežiūros institucijai suteikti pagal BDAR 58 straipsnį.

Be to, svarbu konstatuoti, kad prieiga prie asmens duomenų ir jų naudojimas yra labai svarbūs skaitmeninei ekonomikai. Šią svarbą pagrindinėje byloje iliustruoja ekonominis modelis, kuriuo grindžiamas socialinio tinklo Facebook; juo remiantis, kaip priminta šio sprendimo 27 punkte, numatytas finansavimas platinant asmeniškai pritaikytas reklamas pagal naudotojų profilius, parengtus remiantis Meta Platforms Ireland surinktais asmens duomenimis.

Kaip, be kita ko, pabrėžė Komisija, prieiga prie asmens duomenų ir galimybė juos tvarkyti tapo svarbiu veiksniu įmonių konkurencijos skaitmeninėje ekonomikoje. Taigi, jeigu asmens duomenų apsaugos taisyklės nebūtų teisinio pagrindo, į kurį vertindamos piktnaudžiavimą dominuojančia padėtimi turi atsižvelgti konkurencijos institucijos, dalimi, būtų nepaisoma esamų ekonominių pokyčių ir galėtų būti pakenkta konkurencijos teisės veiksmingumui Sąjungoje.

Vis dėlto, antra, reikia pažymėti, kad jeigu priimdama sprendimą dėl piktnaudžiavimo dominuojančia padėtimi nacionalinė konkurencijos institucija mano, kad būtina nuspręsti dėl atitinkamos įmonės atliekamo asmens duomenų tvarkymo atitikties ar neatitikties BDAR, ši institucija ir atitinkama priežiūros institucija arba prireikus kompetentinga vadovaujanti priežiūros institucija, kaip tai suprantama pagal šį reglamentą, turi bendradarbiauti tarpusavyje, kad būtų užtikrintas nuoseklus šio reglamento taikymas.

Iš tiesų, nors, kaip pažymėta šio sprendimo 42 ir 43 punktuose, nei BDAR, nei kituose Sąjungos teisės aktuose nenumatyta konkrečių taisyklių šiuo klausimu, vis dėlto, kaip savo išvados 28 punkte iš esmės pažymėjo generalinis advokatas, visos atitinkamos nacionalinės institucijos, taikydamos BDAR, privalo laikytis ESS 4 straipsnio 3 dalyje įtvirtinto lojalaus bendradarbiavimo principo. Pagal suformuotą jurisprudenciją šis principas reiškia, kad Sąjungos teisės srityse valstybės narės, įskaitant jų administracines institucijas, privalo gerbti viena kitą ir padėti viena kitai vykdant Sutartyse numatytas užduotis, imtis visų priemonių užtikrinti, kad būtų įvykdytos pareigos, išplaukiančios, be kita ko, iš Sąjungos institucijų aktų, taip pat nesiimti jokių priemonių, kurios galėtų kelti pavojų Sąjungos tikslų įgyvendinimui (šiuo klausimu žr. 2013 m. lapkričio 7 d. Sprendimo UPC Nederland, C‑518/11, EU:C:2013:709, 59 punktą; taip pat 2022 m. rugpjūčio 1 d. Sprendimo Sea Watch, C‑14/21 ir C‑15/21, EU:C:2022:604, 156 punktą).

Taigi, atsižvelgiant į šį principą, kai nacionalinės konkurencijos institucijos, vykdydamos savo įgaliojimus, turi išnagrinėti, ar įmonės elgesys atitinka BDAR nuostatas, jos turi tartis ir lojaliai bendradarbiauti su atitinkamomis nacionalinėmis priežiūros institucijomis arba vadovaujančia priežiūros institucija; tokiomis aplinkybėmis visos šios institucijos privalo paisyti savo kompetencijos ir atitinkamų įgaliojimų, kad būtų laikomasi iš BDAR kylančių pareigų ir būtų išsaugotas jų veiksmingumas.

55	Konkurencijos institucijai nagrinėjant įmonės elgesį atsižvelgiant į BDAR normas, gali kilti rizika, kad ji ir priežiūros institucijos nesutars dėl šio reglamento aiškinimo.

Darytina išvada, kad, kai nagrinėdama galimą įmonės piktnaudžiavimą dominuojančia padėtimi, kaip tai suprantama pagal SESV 102 straipsnį, nacionalinė konkurencijos institucija mano, kad reikia išnagrinėti šios įmonės elgesio atitiktį BDAR nuostatoms, ji turi patikrinti, ar kompetentinga nacionalinė priežiūros institucija, vadovaujanti priežiūros institucija arba Teisingumo Teismas jau yra priėmę sprendimą dėl panašaus elgesio. Tokiu atveju nacionalinė konkurencijos institucija negali nuo jo nukrypti, tačiau gali padaryti savo išvadas dėl konkurencijos teisės taikymo.

Tais atvejais, kai kyla abejonių dėl kompetentingos nacionalinės priežiūros institucijos arba vadovaujančios priežiūros institucijos atlikto vertinimo apimties, kai šios institucijos tuo pačiu metu nagrinėja tokį ar panašų elgesį arba kai, nevykstant tyrimui minėtose institucijose, nacionalinė konkurencijos institucija mano, kad įmonės elgesys neatitinka BDAR nuostatų, ji turi konsultuotis su šiomis institucijomis ir prašyti jų bendradarbiauti, kad išsklaidytų savo abejones arba nustatytų, ar prieš pradėdama vertinti turi laukti, kol atitinkama priežiūros institucija priims sprendimą.

Kai nacionalinė konkurencijos institucija kreipiasi į priežiūros instituciją, ši privalo per pagrįstą laikotarpį atsakyti į šį prašymą suteikti informacijos ar bendradarbiauti ir pateikti prašančiai institucijai visą turimą informaciją, kuri padėtų išsklaidyti tos institucijos abejones dėl priežiūros institucijos atlikto vertinimo apimties, arba prireikus informuoti nacionalinę konkurencijos instituciją, ar ketina pradėti bendradarbiavimo su kitomis atitinkamomis priežiūros institucijomis arba su vadovaujančia priežiūros institucija procedūrą pagal BDAR 60 ir paskesnius straipsnius, kad būtų priimtas sprendimas dėl atitinkamo elgesio atitikties arba neatitikties šiam reglamentui.

Jei priežiūros institucija, į kurią kreipiamasi, per pagrįstą laikotarpį neatsako, nacionalinė konkurencijos institucija gali tęsti savo tyrimą. Tas pats pasakytina ir tuo atveju, kai kompetentinga nacionalinė priežiūros institucija ir vadovaujanti priežiūros institucija neprieštarauja, kad toks tyrimas būtų tęsiamas, nelaukiant, kol jos priims sprendimą.

Nagrinėjamu atveju iš Teisingumo Teismo turimos bylos medžiagos matyti, kad 2018 m. spalio ir lapkričio mėn., t. y. prieš priimant 2019 m. vasario 6 d. sprendimą, federalinė konkurencijos institucija susisiekė su Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Federalinis duomenų apsaugos ir informacijos laisvės pareigūnas, Vokietija), Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Hamburgo duomenų apsaugos ir informacijos laisvės pareigūnas, Vokietija), kompetentingu Facebook Deutschland atžvilgiu, ir su Data Protection Commission (DPC) (Duomenų apsaugos institucija, Airija), norėdama informuoti šias institucijas apie savo veiksmus. Be to, matyti, kad federalinė konkurencijos institucija gavo patvirtinimą, jog tuo metu minėtose institucijose nebuvo atliekama jokio tyrimo dėl faktinių aplinkybių, panašių į nagrinėjamas pagrindinėje byloje, ir jos nepateikė prieštaravimų dėl minėtos institucijos veiksmų. Galiausiai 2019 m. vasario 6 d. sprendimo 555 ir 556 punktuose federalinė konkurencijos institucija aiškiai paminėjo šį bendradarbiavimą.

61	Šiomis aplinkybėmis ir su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, atrodo, kad federalinė konkurencijos institucija įvykdė lojalaus bendradarbiavimo su atitinkamomis nacionalinėmis priežiūros institucijomis ir vadovaujančia priežiūros institucija pareigas.

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį ir septintąjį klausimus reikia atsakyti, kad BDAR 51 ir paskesni straipsniai, taip pat ESS 4 straipsnio 3 dalis turi būti aiškinami taip: valstybės narės konkurencijos institucija, nagrinėdama įmonės piktnaudžiavimą dominuojančia padėtimi, kaip tai suprantama pagal SESV 102 straipsnį, gali konstatuoti, kad šios įmonės bendrosios naudojimo sąlygos, susijusios su asmens duomenų tvarkymu, ir jų įgyvendinimas neatitinka šio reglamento, jeigu tokia išvada būtina siekiant įrodyti tokį piktnaudžiavimą ir jeigu laikomasi pareigos lojaliai bendradarbiauti su priežiūros institucijomis.

Atsižvelgiant į šią lojalaus bendradarbiavimo pareigą, nacionalinė konkurencijos institucija negali nukrypti nuo kompetentingos nacionalinės priežiūros institucijos ar kompetentingos vadovaujančios priežiūros institucijos sprendimo, priimto dėl tokių ar panašių bendrųjų sąlygų. Kai konkurencijos institucijai kyla abejonių dėl tokio sprendimo apimties, kai šios institucijos tuo pačiu metu nagrinėja tokias ar panašias bendrąsias sąlygas, arba kai, nevykstant tyrimui ar nesant sprendimo, konkurencijos institucija mano, kad nagrinėjamos sąlygos neatitinka BDAR, ji turi konsultuotis su tomis pačiomis priežiūros institucijomis ir prašyti jų bendradarbiauti, kad būtų išsklaidytos jos abejonės arba būtų nustatyta, ar prieš pradėdama savo vertinimą turi laukti, kol tos priežiūros institucijos priims sprendimą. Jeigu priežiūros institucijos neprieštarauja arba neatsako per pagrįstą laikotarpį, nacionalinė konkurencijos institucija gali tęsti savo tyrimą.

Dėl antrojo klausimo

Antrojo klausimo a punktu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 9 straipsnio 1 dalis turi būti aiškinama taip, kad tuo atveju, kai internetinio socialinio tinklo naudotojas lanko interneto svetaines ar naudoja taikomąsias programėles, susijusias su viena ar keliomis šioje nuostatoje nurodytomis duomenų kategorijomis, ir prireikus užsiregistruodamas arba teikdamas užsakymus internete į jas įkelia savo duomenis, šio internetinio socialinio tinklo operatoriaus atliekamas duomenų tvarkymas, kai duomenys, gauti iš šių svetainių ir taikomųjų programėlių, taip pat naudotojo įterpti duomenys, renkami naudojant integruotas sąsajas, slapukus ar panašias įrašymo technologijas, susiejami su naudotojo socialinio tinklo paskyra ir kai toks operatorius juos naudoja, turi būti laikomas iš principo draudžiamu, išskyrus šio 9 straipsnio 2 dalyje numatytas išimtis, „specialių kategorijų asmens duomenų tvarkymu“, kaip tai suprantama pagal minėtą nuostatą.

Jeigu į šį klausimą būtų atsakyta teigiamai, prašymą priimti prejudicinį sprendimą pateikęs teismas antrojo klausimo b punktu iš esmės siekia išsiaiškinti, ar BDAR 9 straipsnio 2 dalies e punktas turi būti aiškinamas taip, kad, kai internetinio socialinio tinklo naudotojas lanko interneto svetaines ar naudoja taikomąsias programėles, susijusias su BDAR 9 straipsnio 1 dalyje nurodytomis duomenų kategorijomis, į šias interneto svetaines arba taikomąsias programėles įkelia duomenis arba aktyvuoja jose integruotus atrankos mygtukus, pavyzdžiui, mygtukus „Patinka“ ar „Bendrinti“ arba mygtukus, leidžiančius naudotojui šiose interneto svetainėse ar taikomosiose programėlėse identifikuoti save naudojant jo internetinio socialinio tinklo naudotojo paskyros prisijungimo identifikatorius, telefono numerį ar elektroninio pašto adresą, laikoma, kad toks naudotojas akivaizdžiai viešai paskelbia (kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies e punktą) duomenis, kuriuos tuo tikslu surinko šio internetinio socialinio tinklo operatorius, naudodamas panašius slapukus ar įrašymo technologijas.

Dėl antrojo klausimo a punkto

BDAR 51 konstatuojamojoje dalyje nurodyta, kad asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini pagrindinių teisių ir laisvių atžvilgiu, turi būti užtikrinta ypatinga apsauga, nes atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Šioje konstatuojamojoje dalyje patikslinama, kad tokie asmens duomenys neturėtų būti tvarkomi, išskyrus atvejus, kai tai leidžiama konkrečiais šiame reglamente numatytais atvejais.

Šiomis aplinkybėmis BDAR 9 straipsnio 1 dalyje įtvirtintas joje nurodytų specialių kategorijų asmens duomenų tvarkymo draudimo principas. Tai, be kita ko, apima duomenis, kurie atskleidžia rasinę ar etninę kilmę, politines pažiūras, religinius įsitikinimus, taip pat duomenis apie fizinio asmens sveikatą, lytinį gyvenimą ar lytinę orientaciją.

Siekiant taikyti BDAR 9 straipsnio 1 dalį, svarbu patikrinti, ar, asmens duomenis tvarkant internetinio socialinio tinklo operatoriui, gali būti atskleista informacija, priskiriama vienai iš šioje nuostatoje nurodytų kategorijų, nepriklausomai, ar ši informacija susijusi su šio tinklo naudotoju ar bet kuriuo kitu fiziniu asmeniu. Jeigu taip, toks asmens duomenų tvarkymas draudžiamas, išskyrus BDAR 9 straipsnio 2 dalyje numatytas išimtis.

Kaip savo išvados 40 ir 41 punktuose iš esmės pažymėjo generalinis advokatas, šis BDAR 9 straipsnio 1 dalyje numatytas principinis draudimas nepriklauso nuo to, ar atliekant nagrinėjamą duomenų tvarkymą nustatyta informacija yra tiksli ir ar duomenų valdytojas veikia siekdamas gauti informaciją, patenkančią į vieną iš šioje nuostatoje nurodytų specialių kategorijų.

70	Iš tiesų atsižvelgiant į didelę riziką duomenų subjektų pagrindinėms laisvėms ir teisėms, kylančią dėl bet kokio BDAR 9 straipsnio 1 dalyje nurodytų kategorijų asmens duomenų tvarkymo, juo siekiama uždrausti tokį duomenų tvarkymą, neatsižvelgiant į tikslą, dėl kurio jie tvarkomi.

Šiuo atveju pagrindinėje byloje nagrinėjamą duomenų tvarkymą, kurį atlieka Meta Platforms Ireland, sudaro visų pirma socialinio tinklo Facebook naudotojų asmens duomenų rinkimas, kai tokie naudotojai apsilanko interneto svetainėse ar taikomosiose programėlėse, įskaitant tas, kuriose gali būti atskleista informacija, priskiriama prie vienos ar kelių BDAR 9 straipsnio 1 dalyje nurodytų kategorijų, ir prireikus užsiregistruodami ar pateikdami užsakymus internetu į jas įkelia informaciją, šių duomenų susiejimas su naudotojų socialinio tinklo paskyra ir galiausiai minėtų duomenų naudojimas.

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas turės nustatyti, ar taip surinkti duomenys patys savaime arba susieti su atitinkamų naudotojų Facebook paskyromis iš tikrųjų leidžia atskleisti tokią informaciją, nesvarbu, ar ši informacija susijusi su šio tinklo naudotoju, ar su bet kuriuo kitu fiziniu asmeniu. Vis dėlto atsižvelgiant į to teismo klausimus reikia pažymėti, kad (su sąlyga, kad jis atliks patikrinimus) duomenų apie prieigą prie nagrinėjamų interneto svetainių ar taikomųjų programėlių tvarkymas tam tikrais atvejais gali atskleisti tokią informaciją ir nebūtina, kad minėti naudotojai jose pateiktų informaciją užsiregistruodami ar teikdami užsakymus internetu.

Atsižvelgiant į tai, kas išdėstyta, į antrojo klausimo a punktą reikia atsakyti, kad BDAR 9 straipsnio 1 dalis turi būti aiškinama taip: tuo atveju, kai internetinio socialinio tinklo naudotojas lankosi interneto svetainėse ar naudojasi taikomosiomis programėlėmis, galinčiomis atskleisti informaciją, priskiriamą prie vienos ar kelių šioje nuostatoje nurodytų kategorijų, ir prireikus užsiregistruodamas arba teikdamas užsakymus internete į jas įkelia duomenis, tokio internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kai duomenys, gauti iš šių svetainių ir taikomųjų programėlių, taip pat naudotojo įterpti duomenys, renkami naudojant integruotas sąsajas, slapukus ar panašias įrašymo technologijas, susiejami su naudotojo socialinio tinklo paskyra ir kai toks operatorius juos naudoja, turi būti laikomas iš principo draudžiamu (išskyrus šio 9 straipsnio 2 dalyje numatytas išimtis) „specialių kategorijų asmens duomenų tvarkymu“, kaip tai suprantama pagal minėtą nuostatą, jei toks duomenų tvarkymas gali atskleisti prie vienos iš šių kategorijų priskiriamą informaciją, nesvarbu, ar ši informacija būtų susijusi su šio tinklo naudotoju, ar su bet kuriuo kitu fiziniu asmeniu.

Dėl antrojo klausimo b punkto

Dėl antrojo klausimo b punkto, kaip jis buvo performuluotas šio sprendimo 65 punkte, susijusio su BDAR 9 straipsnio 2 dalies e punkte numatyta išimtimi, reikia priminti, kad pagal minėtą nuostatą šio 9 straipsnio 1 dalyje įtvirtintas principinis bet kurio specialių kategorijų asmens duomenų tvarkymo draudimas netaikomas, kai tvarkomi asmens duomenys, kuriuos „duomenų subjektas yra akivaizdžiai paskelbęs viešai“.

75	Pirma, reikia pažymėti, kad ši išimtis taikoma tik duomenims, kuriuos „duomenų subjektas“ akivaizdžiai paskelbia viešai. Taigi ji netaikoma duomenims, susijusiems su kitais asmenimis nei tas, kuris šiuos duomenis paskelbė viešai.

Be to, kadangi BDAR 9 straipsnio 2 dalyje numatyta draudimo tvarkyti specialių kategorijų asmens duomenis principo išimtis, ji turi būti aiškinama siaurai (šiuo klausimu žr. 2014 m. rugsėjo 17 d. Sprendimo Baltic Agro, C‑3/13, EU:C:2014:2227, 24 punktą ir jame nurodytą jurisprudenciją, taip pat 2019 m. birželio 6 d. Sprendimo Weil, C‑361/18, EU:C:2019:473, 43 punktą ir jame nurodytą jurisprudenciją).

77	Darytina išvada, kad, siekiant taikyti BDAR 9 straipsnio 2 dalies e punkte numatytą išimtį, reikia patikrinti, ar duomenų subjektas, atlikdamas tam tikrą veiksmą, aiškiai siekė, kad nagrinėjami asmens duomenys būtų prieinami plačiajai visuomenei.

Šiuo klausimu, pirma, reikia konstatuoti, kad atitinkamas naudotojas, lankydamas interneto svetaines ar naudodamasis taikomosiomis programėlėmis, susijusiomis su prie vienos ar kelių BDAR 9 straipsnio 1 dalyje numatytomis kategorijomis, nesiekia viešai paskelbti fakto, kad apsilankė tokiose interneto svetainėse ar naudojo tokias taikomąsias programėles, ir su tokiu lankymusi ar naudojimusi susijusių duomenų, kurie gali būti susieti su jo asmeniu. Iš tiesų jis nebent gali tikėtis, kad interneto svetainės ar taikomosios programėlės valdytojas turės prieigą prie šių duomenų ir kad prireikus, gavęs aiškų šio naudotojo sutikimą, jais pasidalys su tam tikrais trečiaisiais asmenimis, o ne su plačiąja visuomene.

79	Taigi vien dėl to, kad naudotojas apsilankė tokiose interneto svetainėse ar naudojosi tokiomis taikomosiomis programėlėmis, negalima daryti išvados, kad tas naudotojas akivaizdžiai viešai paskelbė minėtus asmens duomenis, kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies e punktą.

Antra, reikia pažymėti, kad tokia veikla, kaip duomenų įkėlimas į minėtas interneto svetaines ar taikomąsias programėles ir į jas integruotų pasirinktų mygtukų, kaip antai mygtukų „Patinka“ ar „Bendrinti“ arba mygtukų, leidžiančių vartotojui interneto svetainėje arba taikomojoje programėlėje save identifikuoti, naudojant su Facebook naudotojo paskyra susijusius prisijungimo identifikatorius, telefono numerį ar elektroninio pašto adresą, aktyvavimas apima šio naudotojo ir nagrinėjamos interneto svetainės ar taikomosios programėlės ir tam tikrais atvejais internetinio socialinio tinklo interneto svetainės sąveiką, t. y. sąveiką, kurios viešumo formos gali skirtis, nes naudotojas gali jas individualiai konfigūruoti.

Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar atitinkami naudotojai, remdamiesi sąmoningai padarytais nustatymais, turi galimybę nuspręsti, kad į interneto svetaines ar nagrinėjamas taikomąsias programėles įkelti duomenys, taip pat duomenys, gauti jam aktyvuojant integruotus atrankos mygtukus, būtų prieinami plačiajai visuomenei arba, priešingai, daugiau ar mažiau ribotam atrinktų asmenų skaičiui.

Jeigu atitinkami naudotojai iš tikrųjų turi tokį pasirinkimą, gali būti laikoma, kad jie akivaizdžiai viešai paskelbia (kai savanoriškai įkelia duomenis į interneto svetainę ar į taikomąją programėlę arba kai aktyvuoja jose integruotus pasirinkimo mygtukus) su jais susijusius duomenis, kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies e punktą, tik tuo atveju, kai individualiai pasirinkdami nustatymus ir žinodami apie tokių veiksmų pasekmes aiškiai išreiškė pasirinkimą, kad šie duomenys būtų prieinami neribotam asmenų skaičiui, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

Vis dėlto, jeigu tokios galimybės individualiai pasirinkti nustatymus nesiūloma, atsižvelgiant į tai, kas išdėstyta šio sprendimo 77 punkte, reikia manyti, kad, kai naudotojai savanoriškai įveda duomenis į interneto svetainę arba taikomąją programėlę ar aktyvuoja į juos integruotus atrankos mygtukus, tam, kad būtų laikomi akivaizdžiai viešai paskelbusiais šiuos duomenis, jie turi būti aiškiai davę sutikimą (remdamiesi tokioje svetainėje ar taikomojoje programėlėje prieš jiems pateikiant duomenis ar aktyvuojant mygtukus pateikta aiškia informacija), kad šiuos duomenis galėtų matyti bet kuris asmuo, turintis prieigą prie minėtos svetainės ar taikomosios programėlės.

Atsižvelgiant į tai, kas išdėstyta, į antrojo klausimo b punktą reikia atsakyti, kad BDAR 9 straipsnio 2 dalies e punktas turi būti aiškinamas taip: internetinio socialinio tinklo naudotojas, lankydamasis interneto svetainėse ar naudodamasis taikomosiomis programėlėmis, susijusiomis su viena ar keliomis BDAR 9 straipsnio 1 dalyje nurodytomis kategorijomis, akivaizdžiai viešai neskelbia, kaip tai suprantama pagal ši reglamento 9 straipsnio 2 dalies e punktą, su tokiu lankymusi ar naudojimusi susijusių duomenų, kuriuos šio interneto socialinio tinklo operatorius surinko naudodamas slapukus ar panašias įrašymo technologijas.

Naudotojas, įkeldamas duomenis į tokias interneto svetaines arba į taikomąsias programėles ar aktyvuodamas į šias interneto svetaines ir taikomąsias programėles integruotus atrankos mygtukus, kaip antai mygtukus „Patinka“ ar „Bendrinti“ arba mygtukus, leidžiančius naudotojui save identifikuoti šiose svetainėse ar taikomosiose programėlėse, naudojant prisijungimo identifikatorius, susijusius su jo, kaip socialinio tinklo naudotojo, paskyra, telefono numerį ar elektroninio pašto adresą, akivaizdžiai viešai paskelbia, kaip tai suprantama pagal šio 9 straipsnio 2 dalies e punktą, tokius įkeltus arba aktyvavus minėtus mygtukus gautus duomenis tik tuo atveju, jei aiškiai išreiškė savo išankstinį pasirinkimą, prireikus remdamasis individualiai pasirinktais nustatymais ir žinodamas tokių veiksmų pasekmes, padaryti viešai prieinamus su juo susijusius duomenis neribotam asmenų skaičiui.

Dėl trečiojo–penktojo prejudicinių klausimų

Trečiuoju ir ketvirtuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar ir kokiomis sąlygomis BDAR 6 straipsnio 1 dalies pirmos pastraipos b ir f punktai turi būti aiškinami taip, kad internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų iš kitų grupės, kuriai priklauso šis operatorius, paslaugų arba šiems naudotojams apsilankius interneto svetainėse ar kitose trečiosios šalies taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir tokių duomenų naudojimas, gali būti laikomas būtinu vykdant sutartį, kurios šalys yra duomenų subjektai, kaip apibrėžta b punkte, arba teisėtiems duomenų valdytojo ar trečiosios šalies interesams, kaip apibrėžta f punkte. Tam teismui, be kita ko, kyla klausimas, ar šiuo tikslu tam tikri jo aiškiai nurodyti interesai yra „teisėtas interesas“, kaip tai suprantama pagal minėto 6 straipsnio 1 dalies pirmos pastraipos f punktą.

Penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 6 straipsnio 1 dalies pirmos pastraipos c–e punktai turi būti aiškinami taip, kad tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė, kaip tai suprantama pagal c punktą, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kaip tai suprantama pagal d punktą, arba kad tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas, kaip tai suprantama pagal e punktą, kai duomenys tvarkomi atitinkamai siekiant atsakyti į teisėtą prašymą teikti tam tikrus duomenis, kai kovojama su žalinga veikla ir didinamas saugumas, atliekami tyrimai visuomenės gerovei ir skatinama sauga, vientisumas ir saugumas

Pirminės pastabos

Visų pirma reikia pažymėti, kad trečiasis–penktasis klausimai pateikti dėl to, kad, remiantis 2019 m. vasario 6 d. federalinės konkurencijos institucijos sprendime padarytomis išvadomis, negalima manyti, jog socialinio tinklo Facebook naudotojai davė sutikimą tvarkyti jų pagrindinėje byloje nagrinėjamus duomenis, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktą ir 9 straipsnio 2 dalies a punktą. Taigi šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas, užduodamas Teisingumo Teismui šeštąjį klausimą dėl šios prielaidos, mano turįs patikrinti, ar toks duomenų tvarkymas atitinka kurią nors iš kitų šio reglamento 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytų teisėtumo sąlygų.

Šiomis aplinkybėmis reikia pažymėti, kad trečiajame–penktajame klausimuose nurodytos duomenų rinkimo, susiejimo ir naudojimo operacijos gali apimti neskelbtinus duomenis, kaip tai suprantama pagal BDAR 9 straipsnio 1 dalį, ir duomenis, nepriskiriamus prie šios kategorijos. Reikia patikslinti, kad tuo atveju, kai tokių operacijų objektas yra duomenys, tarp kurių yra tiek neskelbtinų, tiek šiai kategorijai nepriklausančių duomenų, ir jie yra surenkami vienu kartu, o juos renkant jie negali būti atskirti, visų šių duomenų tvarkymas turi būti laikomas draudžiamu, kaip tai suprantama pagal BDAR 9 straipsnio 1 dalį, jeigu tarp jų yra bent vienas neskelbtinas duomuo ir netaikoma nė viena iš šio reglamento 9 straipsnio 2 dalyje nurodytų išimčių.

Be to, siekiant atsakyti į trečiąjį–penktąjį klausimus, reikia priminti, kad BDAR 6 straipsnio 1 dalies pirmoje pastraipoje numatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas. Tam, kad tvarkymas galėtų būti laikomas teisėtu, jis turi patekti į kurį nors iš šiose nuostatose numatytų atvejų (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 99 punktas ir jame nurodyta jurisprudencija).

91	Pagal šio reglamento 6 straipsnio 1 dalies pirmos pastraipos a punktą asmens duomenų tvarkymas yra teisėtas, jeigu ir tiek, kiek duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu arba keliais konkrečiais tikslais.

Nesant tokio sutikimo arba kai šis sutikimas nebuvo duotas laisva valia, konkrečiai, informuotai ir nedviprasmiškai, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, toks duomenų tvarkymas vis dėlto yra pateisinamas, jeigu atitinka vieną iš šio reglamento 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytų būtinumo reikalavimų.

Tokiomis aplinkybėmis BDAR 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose numatyti pagrindai, kiek jie leidžia teisėtai tvarkyti asmens duomenis, nesant duomenų subjekto sutikimo, turi būti aiškinami siaurai (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 73 punktą ir jame nurodytą jurisprudenciją).

Be to, kaip yra nusprendęs Teisingumo Teismas, kai galima konstatuoti, kad asmens duomenų tvarkymas yra būtinas dėl vieno iš BDAR 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose numatytų pagrindų, nereikia nustatyti, ar toks tvarkymas taip pat susijęs su kitu iš šių pagrindų (šiuo klausimu žr. 2022 m. rugpjūčio 1 d. Sprendimo Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 71 punktą).

Taip pat reikėtų patikslinti, kad pagal BDAR 5 straipsnį duomenų valdytojui tenka pareiga įrodyti, kad šie duomenys, be kita ko, renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir kad duomenų subjekto atžvilgiu jie tvarkomi teisėtai, sąžiningai ir skaidriai. Be to, pagal šio reglamento 13 straipsnio 1 dalies c punktą, kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas turi informuoti duomenų subjektą apie duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti šiuos duomenis, ir tokio tvarkymo teisinį pagrindą.

Nors prašymą priimti prejudicinį sprendimą pateikęs teismas turės nustatyti, ar įvairūs pagrindinėje byloje nagrinėjami duomenų tvarkymo elementai yra pateisinami vienu arba kitu BDAR 6 straipsnio 1 dalies pirmos pastraipos b–f punktuose nurodytu pagrindu, Teisingumo Teismas vis dėlto gali pateikti naudingas gaires, kurios leistų tam teismui išspręsti nagrinėjamą ginčą.

Dėl trečiojo ir ketvirtojo klausimų

97	Pirma, BDAR 6 straipsnio 1 dalies pirmos pastraipos b punkte numatyta, kad asmens duomenų tvarkymas yra teisėtas, jeigu jis būtinas „siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį“.

Tam, kad asmens duomenų tvarkymas būtų laikomas būtinu sutarčiai įvykdyti, kaip tai suprantama pagal šią nuostatą, jis turi būti objektyviai būtinas siekiant tikslo, kuris yra duomenų subjektui skirtos sutartinės paslaugos sudedamoji dalis. Taigi duomenų valdytojas turi galėti įrodyti, kodėl pagrindinis sutarties tikslas negalėtų būti pasiektas be atitinkamo duomenų tvarkymo.

Aplinkybė, kad toks tvarkymas yra paminėtas sutartyje arba kad jis tik naudingas jai vykdyti, šiuo klausimu pati savaime neturi reikšmės. Iš tiesų lemiamas veiksnys taikant BDAR 6 straipsnio 1 dalies pirmos pastraipos b punkte nurodytą pagrindą yra tai, kad duomenų valdytojo atliekamas asmens duomenų tvarkymas yra esminis, kad būtų galima tinkamai įvykdyti jo ir duomenų subjekto sudarytą sutartį, taigi nėra kitų įmanomų ir mažiau ribojančių sprendimų.

100

Šiuo klausimu, kaip savo išvados 54 punkte pažymėjo generalinis advokatas, kai sutartį sudaro kelios paslaugos arba atskiri tos pačios paslaugos elementai, kurie gali būti teikiami nepriklausomai vienas nuo kito, galimybė taikyti BDAR 6 straipsnio 1 dalies pirmos pastraipos b punktą turėtų būti vertinama atsižvelgiant į kiekvieną tą paslaugą atskirai.

101

Nagrinėjamu atveju dėl duomenų tvarkymo pagrindų, kurie gali patekti į šios nuostatos taikymo sritį, prašymą priimti prejudicinį sprendimą pateikęs teismas kaip aplinkybes, kuriomis siekiama užtikrinti tinkamą Meta Platforms Ireland ir jos naudotojų sudarytos sutarties vykdymą, nurodo turinio asmenišką pritaikymą ir vienodą bei sklandų Meta grupės siūlomų paslaugų naudojimą.

102

Svarbu pažymėti, kad pagrindas, grindžiamas turinio asmenišku pritaikymu, yra naudingas naudotojui, nes, be kita ko, leidžia jam matyti turinį, kuris iš esmės atitinka jo interesus; vis dėlto (su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas) turinio asmeniškas pritaikymas nėra būtinas tam, kad šiam naudotojui būtų siūlomos internetinio socialinio tinklo paslaugos. Prireikus šios paslaugos jam gali būti teikiamos kaip lygiavertė alternatyva, neapimanti tokio asmeniško pritaikymo, taigi jis nėra objektyviai būtinas tikslui, kuris yra tų pačių paslaugų sudedamoji dalis, pasiekti.

103

Dėl pagrindo, grindžiamo vienodu ir sklandžiu Meta grupės paslaugų naudojimu, pažymėtina, kad iš Teisingumo Teismo turimos bylos medžiagos matyti, kad asmuo neprivalo naudotis įvairiomis Facebook grupės siūlomomis paslaugomis, kad galėtų socialiniame tinkle Meta sukurti naudotojo paskyrą. Iš tiesų įvairios grupės siūlomos prekės ir paslaugos gali būti naudojamos atskirai viena nuo kitos, o kiekvienos prekės ar paslaugos naudojimas grindžiamas atskira naudojimo sutartimi.

104	Vadinasi, su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, asmens duomenų, gautų teikiant kitas nei Meta grupės siūlomas internetinio socialinio tinklo paslaugas, tvarkymas neatrodo būtinas, kad būtų galima teikti šias internetinio socialinio tinklo paslaugas.

105

Antra, BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkte nustatyta, kad duomenų tvarkymas yra teisėtas tuo atveju, jeigu „tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas“.

106

Teisingumo Teismas jau yra nusprendęs, kad šioje nuostatoje numatytos trys kumuliacinės asmens duomenų tvarkymo teisėtumo sąlygos: pirma, tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečiasis asmuo, antra, asmens duomenis tvarkyti būtina siekiant įgyvendinti nustatytą teisėtą interesą, ir, trečia, asmens, kurio duomenys turi būti apsaugoti, interesai ar laisvės bei pagrindinės teisės nėra viršesni už duomenų valdytojo ar trečiojo asmens teisėtą interesą (2021 m. birželio 17 d. Sprendimo M.I.C.M., C‑597/19, EU:C:2021:492, 106 punktas ir jame nurodyta jurisprudencija).

107

Pirma, dėl sąlygos, susijusios su teisėto intereso siekimu, reikia pažymėti, kad pagal BDAR 13 straipsnio 1 dalies d punktą duomenų valdytojas, rinkdamas duomenų subjekto asmens duomenis iš šio asmens, turi nurodyti jam teisėtus interesus, kurių siekiama, kai toks tvarkymas grindžiamas šio reglamento 6 straipsnio 1 dalies pirmos pastraipos f punktu.

108

Antra, sąlyga, susijusi su būtinybe tvarkyti asmens duomenis siekiant įgyvendinti teisėtą interesą, reiškia, kad prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar siekiamas teisėtas duomenų tvarkymo tikslas negali būti tinkamai ir taip pat veiksmingai pasiektas kitomis priemonėmis, kurios mažiau ribotų duomenų subjektų pagrindines laisves ir teises, ypač teises į privatų gyvenimą ir į asmens duomenų apsaugą, garantuojamas Chartijos 7 ir 8 straipsniuose (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 110 punktą ir jame nurodytą jurisprudenciją).

109

Šiomis aplinkybėmis taip pat reikia priminti, kad su duomenų tvarkymo būtinumu susijusi sąlyga turi būti nagrinėjama atsižvelgiant į vadinamąjį „duomenų kiekio mažinimo“ principą, įtvirtintą BDAR 5 straipsnio 1 dalies c punkte, pagal kurį asmens duomenys turi būti „adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi“ (šiuo klausimu žr. 2019 m. gruodžio 11 d. Sprendimo Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, 48 punktą).

110

Trečia, Teisingumo Teismas jau yra nusprendęs: sąlyga, kad duomenų subjekto, kuriam taikoma duomenų apsauga, interesai arba laisvės ir pagrindinės teisės neturi būti viršesni už teisėtą duomenų valdytojo ar trečiosios šalies interesą, reiškia, kad reikia palyginti atitinkamas priešingas teises ir interesus, kurie iš esmės priklauso nuo konkrečių konkretaus atvejo aplinkybių, taigi prašymą priimti prejudicinį sprendimą pateikęs teismas turi palyginti atitinkamas teises ir interesus, atsižvelgdamas į tokias specifines aplinkybes (2021 m. birželio 17 d. Sprendimo M.I.C.M., C‑597/19, EU:C:2021:492, 111 punktas ir jame nurodyta jurisprudencija).

111

Šiuo klausimu iš paties BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto teksto matyti, kad atliekant tokį palyginimą reikia skirti ypatingą dėmesį situacijai, kai duomenų subjektas yra vaikas. Iš tiesų pagal šio reglamento 38 konstatuojamąją dalį vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. Taigi tokia ypatinga apsauga, be kita ko, turi būti taikoma su vaikais susijusių asmens duomenų tvarkymui rinkodaros, asmenybės ar naudotojo profilių kūrimo tikslais arba tiesiogiai siūlant vaikams skirtas paslaugas.

112	Be to, kaip matyti iš BDAR 47 konstatuojamosios dalies, duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tokio tvarkymo.

113

Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo tokius duomenų tvarkymo pagrindus, galinčius patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto taikymo sritį: reklamos asmeniškas pritaikymas, tinklo saugumas, produktų tobulinimas, institucijų, kompetentingų vykdyti baudžiamąjį persekiojimą ir bausmių vykdymą, informavimas apie tai, kad naudotojas yra nepilnametis, tyrimai ir inovacijos socialiniais tikslais, taip pat reklamos užsakovams ir kitiems profesionaliems partneriams skirtų bendravimo su naudotoju teikiant rinkodaros pobūdžio pranešimus paslaugų ir analizės įrankių, leidžiančių įvertinti veiklos rezultatus, siūlymas.

114

Šiuo klausimu pirmiausia reikia pažymėti, kad prašyme priimti prejudicinį sprendimą nėra paaiškinimų, kaip tyrimai ir inovacijos socialiniais tikslais arba tai, kad naudotojas yra nepilnametis, galėtų būti laikomi teisėtais interesais, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą, pateisinančiais atitinkamų duomenų rinkimą ir naudojimą. Taigi Teisingumo Teismas negali priimti sprendimo šiuo klausimu.

115	Pirma, dėl reklamos asmeniško pritaikymo reikia pažymėti, kad pagal šio reglamento 47 konstatuojamąją dalį asmens duomenų tvarkymas rinkodaros tikslais gali būti laikomas atliktu siekiant patenkinti teisėtą duomenų valdytojo interesą.

116

Vis dėlto dar reikia, kad toks tvarkymas būtų būtinas siekiant įgyvendinti šį interesą ir kad duomenų subjekto interesai ar laisvės ir pagrindinės teisės nebūtų už jį viršesni. Kaip pažymėta šio sprendimo 112 punkte, lyginant nagrinėjamas priešingas teises ir interesus, t. y. duomenų valdytojo ir duomenų subjekto interesus, reikia atsižvelgti, be kita ko, į pagrįstus duomenų subjekto lūkesčius, nagrinėjamo duomenų tvarkymo apimtį ir jo poveikį šiam duomenų subjektui.

117

Šiuo klausimu svarbu pažymėti, kad, nepaisant to, jog internetinio socialinio tinklo, kaip antai Facebook, paslaugos yra nemokamos, jo naudotojas neturi pagrįstai tikėtis, kad be jo sutikimo šio socialinio tinklo operatorius tvarkys šio naudotojo asmens duomenis reklamos asmeniško pritaikymo tikslais. Šiomis aplinkybėmis tokio naudotojo interesai ir pagrindinės teisės turi būti laikomi viršesniais už šio operatoriaus interesą, kad reklama, kuria jis finansuoja savo veiklą, būtų asmeniškai pritaikyta, todėl tokiais tikslais atliekamas duomenų tvarkymas negali patekti į BDAR 6 straipsnio 1 dalies pirmos pastraipos f punkto taikymo sritį.

118

Be to, pagrindinėje byloje nagrinėjamas duomenų tvarkymas yra ypač platus, nes susijęs su potencialiai neribotais duomenimis ir daro didelį poveikį naudotojui, kurio didžiąją dalį veiklos ar beveik visą veiklą internete stebi Meta Platforms Ireland, o tai gali jam sukelti pojūtį apie nuolatinį jo privataus gyvenimo stebėjimą.

119	Antra, pažymėtina, kad tikslas užtikrinti tinklo saugumą, kaip nurodyta BDAR 49 konstatuojamojoje dalyje, yra teisėtas Meta Platforms Ireland interesas, kuriuo galima pateisinti pagrindinėje byloje nagrinėjamą duomenų tvarkymą.

120

Vis dėlto, kiek tai susiję su šio duomenų tvarkymo būtinybe, siekiant įgyvendinti šį teisėtą interesą, prašymą priimti prejudicinį sprendimą pateikęs teismas turės patikrinti, ar ir kiek asmens duomenų, surinktų iš socialiniam tinklui Facebook nepriklausančių šaltinių, tvarkymas iš tikrųjų yra būtinas siekiant užtikrinti, kad nebūtų pakenkta šio tinklo vidaus saugumui.

121

Šiomis aplinkybėmis, kaip pažymėta šio sprendimo 108 ir 109 punktuose, tas teismas taip pat turės patikrinti, pirma, ar siekiamas teisėtas duomenų tvarkymo tikslas negali būti pagrįstai taip pat veiksmingai pasiektas kitomis priemonėmis, kurios mažiau ribotų duomenų subjektų pagrindines teises ir laisves, visų pirma Chartijos 7 ir 8 straipsniuose garantuojamas teises į privatų gyvenimą ir asmens duomenų apsaugą, ir, antra, ar laikomasi BDAR 5 straipsnio 1 dalies c punkte įtvirtinto vadinamojo „duomenų kiekio mažinimo“ principo.

122

Trečia, kalbant apie tikslą pagerinti produktą, negalima a priori atmesti galimybės, kad duomenų valdytojo interesas pagerinti savo produktą ar paslaugą, kad jis būtų veiksmingesnis, taigi ir patrauklesnis, gali būti teisėtas interesas, kuriuo galima pateisinti asmens duomenų tvarkymą, ir kad toks tvarkymas gali būti būtinas siekiant šio intereso.

123

Vis dėlto (su sąlyga, kad galutinį vertinimą atliks prašymą priimti prejudicinį sprendimą priėmęs teismas) abejotina, ar, kiek tai susiję su pagrindinėje byloje nagrinėjamu duomenų tvarkymu, produkto pagerinimo tikslas, atsižvelgiant į šio tvarkymo apimtį ir jo didelį poveikį naudotojui, taip pat į tai, kad šis neturi pagrįstai tikėtis, kad šiuos duomenis tvarkys Meta Platforms Ireland, gali būti viršesnis už tokio naudotojo interesus ir pagrindines teises, juo labiau jeigu toks naudotojas yra vaikas.

124

Ketvirta, reikia konstatuoti, kad prašymą priimti prejudicinį sprendimą pateikusio teismo nurodytas tikslas, susijęs su institucijų, kompetentingų vykdyti baudžiamąjį persekiojimą ir bausmių vykdymą, siekiant užkirsti kelią nusikalstamoms veikoms, jas nustatyti ir patraukti už jas baudžiamojon atsakomybėn, informavimu, iš principo negali būti laikomas duomenų valdytojo siekiamu teisėtu tikslu, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktą. Iš tiesų privatus ūkio subjektas, kaip antai Meta Platforms Ireland, negali remtis tokiu teisėtu interesu, nesusijusiu su jo ekonomine ir komercine veikla. Vis dėlto minėtas tikslas gali pateisinti tokio subjekto atliekamą duomenų tvarkymą, kai jis objektyviai būtinas tam, kad būtų įvykdyta šiam subjektui nustatyta teisinė prievolė.

125

Atsižvelgiant į visa tai, kas išdėstyta, į trečiąjį ir ketvirtąjį klausimus reikia atsakyti, kad BDAR 6 straipsnio 1 dalies pirmos pastraipos b punktas turi būti aiškinamas taip: internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų naudojantis kitomis grupės, kuriai priklauso šis operatorius, paslaugomis arba šiems naudotojams apsilankius trečiųjų šalių interneto svetainėse ar taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir minėtų duomenų naudojimas, gali būti laikomas būtinu vykdant sutartį, kurios šalys yra duomenų subjektai, kaip tai suprantama pagal šią nuostatą, tik su sąlyga, kad toks tvarkymas yra objektyviai būtinas siekiant tikslo, kuris yra tiems patiems naudotojams skirtos sutartinės paslaugos sudedamoji dalis, todėl pagrindinis sutarties dalykas negalėtų būti pasiektas neatliekant tokio duomenų tvarkymo.

126

BDAR 6 straipsnio 1 dalies pirmos pastraipos f punktas turi būti aiškinamas taip: duomenų tvarkymas gali būti laikomas būtinu siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų, kaip tai suprantama pagal šią nuostatą, tik su sąlyga, kad minėtas operatorius naudotojams, iš kurių duomenys buvo surinkti, nurodė jų tvarkymu siekiamą teisėtą interesą, duomenų tvarkymas neviršija to, kas griežtai būtina šiam teisėtam interesui pasiekti, ir jeigu, palyginus priešingus interesus, matyti, kad, atsižvelgiant į visas svarbias aplinkybes, šių naudotojų interesai ar laisvės ir pagrindinės teisės nėra viršesni už minėtą teisėtą duomenų valdytojo ar trečiosios šalies interesą.

Dėl penktojo klausimo

127

Pirma, kiek šis klausimas susijęs su BDAR 6 straipsnio 1 dalies pirmos pastraipos c ir e punktais, reikia priminti, kad pagal šį c punktą asmens duomenų tvarkymas yra teisėtas, jeigu tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė. Be to, pagal šį e punktą duomenų tvarkymas yra taip pat teisėtas, jeigu tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas.

128	BDAR 6 straipsnio 3 dalyje dėl šių dviejų teisėtumo atvejų nurodyta, kad duomenų tvarkymas turi būti grindžiamas Sąjungos teise arba duomenų valdytojui taikoma valstybės narės teise ir kad šis teisinis pagrindas turi atitikti viešojo intereso tikslą ir būti proporcingas siekiamam teisėtam tikslui.

129

Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar asmens duomenų tvarkymas, kaip antai nagrinėjamas pagrindinėje byloje, gali būti laikomas pateisinamu pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą, kai juo siekiama „atsakyti į teisėtą prašymą teikti tam tikrus duomenis“, ir pagal šio reglamento 6 straipsnio 1 dalies pirmos pastraipos e punktą, kai juo siekiama „atlikti tyrimus visuomenės gerovei“ ir „skatinti saugą, vientisumą ir saugumą“.

130	Vis dėlto reikia konstatuoti, kad tas teismas nepateikė Teisingumo Teismui informacijos, kuri jam leistų priimti konkretų sprendimą šiuo klausimu.

131	Taigi minėtas teismas, atsižvelgdamas į šio sprendimo 128 punkte nurodytas sąlygas, turi patikrinti, ar toks duomenų tvarkymas gali būti laikomas pateisinamu nurodytais tikslais.

132

Konkrečiai, atsižvelgiant į tai, kas nurodyta šio sprendimo 124 punkte, prašymą priimti prejudicinį sprendimą pateikęs teismas, be kita ko, turės patikrinti, ar, taikant BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktą, Meta Platforms Ireland turi teisinę pareigą prevenciškai rinkti ir saugoti asmens duomenis, kad galėtų atsakyti į bet kurį nacionalinės institucijos prašymą gauti tam tikrus su jos naudotojais susijusius duomenis.

133

Be to, minėtas teismas, atsižvelgdamas į BDAR 6 straipsnio 1 dalies pirmos pastraipos e punktą, turės patikrinti, ar Meta Platforms Ireland pavesta viešojo intereso labui vykdoma užduotis arba viešosios valdžios funkcijų vykdymas, be kita ko, siekiant užtikrinti tyrimus visuomenės labui ir skatinti saugą, vientisumą ir saugumą, turint omenyje, kad, atsižvelgiant į iš esmės ekonominį bei komercinį jos veiklos pobūdį, mažai tikėtina, kad šiam privačiam veiklos vykdytojui yra pavesta tokia užduotis.

134	Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas prireikus turės patikrinti, ar, atsižvelgiant į Meta Platforms Ireland atliekamo duomenų tvarkymo apimtį ir jo didelį poveikį socialinio tinklo Facebook naudotojams, šis tvarkymas neviršija to, kas griežtai būtina.

135	Antra, BDAR 6 straipsnio 1 dalies pirmos pastraipos d punkte numatyta, kad asmens duomenų tvarkymas yra teisėtas, kai tai būtina duomenų subjekto ar kito fizinio asmens gyvybiniams interesams apsaugoti.

136

Kaip matyti iš šio reglamento 46 konstatuojamosios dalies, ši nuostata susijusi su konkrečia situacija, kai asmens duomenis būtina tvarkyti, siekiant apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Šiuo klausimu šioje konstatuojamojoje dalyje kaip pavyzdžiai, be kita ko, nurodomi humanitariniai tikslai, pavyzdžiui, epidemijos ir jų plitimo stebėsena, taip pat ekstremaliosios humanitarinės situacijos, visų pirma gaivalinių ir žmogaus sukeltų nelaimių atvejai.

137

Iš šių pavyzdžių ir siauro BDAR 6 straipsnio 1 dalies pirmos pastraipos d punkto aiškinimo matyti, kad, atsižvelgiant į internetinio socialinio tinklo operatoriaus teikiamų paslaugų pobūdį, toks operatorius, kurio veikla iš esmės yra ekonominio ir komercinio pobūdžio, negali remtis gyvybinių jo naudotojų ar kitų asmenų interesų apsauga, siekdamas visiškai abstrakčiai ir prevenciškai pateisinti tokio duomenų tvarkymo, koks nagrinėjamas pagrindinėje byloje, teisėtumą.

138

Atsižvelgiant į tai, kas išdėstyta, į penktąjį klausimą reikia atsakyti, kad BDAR 6 straipsnio 1 dalies pirmos pastraipos c punktas turi būti aiškinamas taip: internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų naudojantis kitomis grupės, kuriai priklauso šis operatorius, paslaugomis arba šiems naudotojams apsilankius trečiosios šalies interneto svetainėse ar taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir minėtų duomenų naudojimas, yra pateisinamas pagal šią nuostatą, kai iš tiesų būtina įvykdyti duomenų valdytojui pagal Sąjungos teisę ar atitinkamos valstybės narės teisę nustatytą teisinę pareigą, jeigu šis teisinis pagrindas atitinka viešojo intereso tikslą, yra proporcingas siekiamam teisėtam tikslui ir jei toks tvarkymas atliekamas neviršijant to, kas griežtai būtina.

139

BDAR 6 straipsnio 1 dalies pirmos pastraipos d ir e punktai turi būti aiškinami taip: toks asmens duomenų tvarkymas iš esmės negali būti laikomas būtinu siekiant apsaugoti gyvybinius duomenų subjekto arba kito fizinio asmens interesus, kaip tai suprantama pagal d punktą, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas.

Dėl šeštojo klausimo

140

Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktas ir 9 straipsnio 2 dalies a punktas turi būti aiškinami taip, kad internetinio socialinio tinklo naudotojo sutikimas, duotas tokio tinklo operatoriui, gali būti laikomas atitinkančiu galiojančio sutikimo sąlygas, numatytas šio reglamento 4 straipsnio 11 punkte, visų pirma sąlygą, pagal kurią šis sutikimas turi būti duotas laisva valia, kai šis operatorius užima dominuojančią padėtį internetinių socialinių tinklų rinkoje.

141

Pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktą reikalaujama, kad duomenų subjektas duotų sutikimą tvarkyti jo asmens duomenis vienu ar keliais konkrečiais tikslais, o pagal šio reglamento 9 straipsnio 2 dalies a punktą atitinkamai – tvarkyti šio 9 straipsnio 1 dalyje nurodytus specialių kategorijų duomenis.

142

BDAR 4 straipsnio 11 punkte sąvoka „duomenų subjekto sutikimas“ apibrėžiama kaip „bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys“.

143

Atsižvelgiant į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus, reikia priminti, pirma, kad pagal BDAR 42 konstatuojamąją dalį sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba atšaukti sutikimo, nepatirdamas žalos.

144

Antra, šio reglamento 43 konstatuojamojoje dalyje nurodyta, jog siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, jis neturėtų būti laikomas teisėtu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas. Šioje konstatuojamojoje dalyje taip pat patikslinta: laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais

145

Trečia, BDAR 7 straipsnio 4 dalyje nurodyta, kad vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

146	Būtent remiantis šiais teiginiais, reikia atsakyti į šeštąjį klausimą.

147

Šiuo klausimu reikia konstatuoti, kad aplinkybė, jog internetinio socialinio tinklo operatorius, kaip duomenų valdytojas, užima dominuojančią padėtį socialinių tinklų rinkoje, savaime netrukdo šio socialinio tinklo naudotojams duoti galiojantį sutikimą, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą, kad šis operatorius tvarkytų jų asmens duomenis.

148

Vis dėlto, kaip savo išvados 75 punkte iš esmės pažymėjo generalinis advokatas, į tokią aplinkybę reikia atsižvelgti vertinant, ar minėto tinklo naudotojo sutikimas galioja ir, be kita ko, duotas laisva valia, nes ji gali paveikti šio naudotojo, kuris negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos, pasirinkimo laisvę, kaip nurodyta BDAR 42 konstatuojamojoje dalyje.

149

Be to, dėl tokios dominuojančios padėties gali atsirasti akivaizdus duomenų subjekto ir duomenų valdytojo padėties disbalansas, kaip tai suprantama pagal BDAR 43 konstatuojamąją dalį; toks disbalansas skatina, be kita ko, sąlygų, kurios nėra griežtai būtinos sutarčiai vykdyti, nustatymą, o į tai reikia atsižvelgti pagal šio reglamento 7 straipsnio 4 dalį. Šiomis aplinkybėmis reikia priminti, kad, kaip pažymėta šio sprendimo 102–104 punktuose, neatrodo (su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas), kad pagrindinėje byloje nagrinėjamas duomenų tvarkymas yra griežtai būtinas, siekiant vykdyti Meta Plateforms Ireland ir socialinio tinklo Facebook naudotojų sutartį.

150

Taigi šie naudotojai turi turėti laisvę atskirai, vykstant sutarties sudarymo procedūrai, atsisakyti duoti sutikimą dėl konkrečių duomenų tvarkymo operacijų, kurios nėra būtinos sutarčiai vykdyti, tačiau jie neprivalo visiškai atsisakyti naudotis internetinio socialinio tinklo operatoriaus siūloma paslauga, o tai reiškia, kad minėtam naudotojui, jeigu reikia – už tinkamą atlygį, turėtų būti pasiūlyta lygiavertė alternatyva, kai netaikomos tokios duomenų tvarkymo operacijos.

151

Be to, atsižvelgiant į nagrinėjamų duomenų tvarkymo apimtį ir jo didelį poveikį šio tinklo naudotojams, taip pat į tai, kad šie naudotojai negali pagrįstai tikėtis, jog šio tinklo operatorius tvarkys kitus duomenis nei tie, kurie susiję su jų elgesiu socialiniame tinkle, reikia manyti, kad tikslinga, kaip tai suprantama pagal šią 43 konstatuojamąją dalį, duoti atskirus sutikimus šiems duomenims ir Off Facebook duomenims tvarkyti. Prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar tokia galimybė egzistuoja, o nesant tokios galimybės, turi būti daroma prielaida, kad minėtų naudotojų sutikimas dėl Off Facebook duomenų tvarkymo nebuvo duotas laisva valia.

152	Galiausiai reikia priminti, kad pagal BDAR 7 straipsnio 1 dalį tais atvejais, kai duomenys tvarkomis remiantis sutikimu, pareiga įrodyti, kad duomenų subjektas davė sutikimą dėl jo asmens duomenų tvarkymo, tenka duomenų valdytojui.

153

Būtent atsižvelgdamas į šiuos kriterijus ir į išsamią visų bylos aplinkybių analizę prašymą priimti prejudicinį sprendimą pateikęs teismas turės nustatyti, ar socialinio tinklo Facebook naudotojai davė galiojantį ir, be kita ko, laisva valia išreikštą sutikimą dėl pagrindinėje byloje nagrinėjamo duomenų tvarkymo.

154

Atsižvelgiant į tai, kas išdėstyta, į šeštąjį klausimą reikia atsakyti, kad BDAR 6 straipsnio 1 dalies pirmos pastraipos a punktas ir 9 straipsnio 2 dalies a punktas turi būti aiškinami taip: aplinkybė, jog internetinio socialinio tinklo operatorius, kaip duomenų valdytojas, užima dominuojančią padėtį socialinių tinklų rinkoje, savaime netrukdo šio socialinio tinklo naudotojams duoti galiojantį duomenų subjekto sutikimą, kaip tai suprantama pagal šio reglamento 4 straipsnio 11 punktą, kad šis operatorius tvarkytų jų asmens duomenis. Vis dėlto ši aplinkybė yra svarbus veiksnys nustatant, ar sutikimas iš tikrųjų buvo galiojantis ir, be kita ko, duotas laisva valia, o tai turi įrodyti minėtas operatorius.

Dėl bylinėjimosi išlaidų

155

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais Teisingumo Teismas (didžioji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 51 ir paskesni straipsniai, taip pat ESS 4 straipsnio 3 dalis

turi būti aiškinami taip:

valstybės narės konkurencijos institucija, nagrinėdama įmonės piktnaudžiavimą dominuojančia padėtimi, kaip tai suprantama pagal SESV 102 straipsnį, gali konstatuoti, kad šios įmonės bendrosios naudojimo sąlygos, susijusios su asmens duomenų tvarkymu, ir jų įgyvendinimas neatitinka šio reglamento, jeigu tokia išvada būtina siekiant įrodyti tokį piktnaudžiavimą ir laikomasi pareigos lojaliai bendradarbiauti su priežiūros institucijomis.

Atsižvelgiant į šią lojalaus bendradarbiavimo pareigą, nacionalinė konkurencijos institucija negali nukrypti nuo kompetentingos nacionalinės priežiūros institucijos ar kompetentingos vadovaujančios priežiūros institucijos sprendimo, priimto dėl tokių ar panašių bendrųjų sąlygų. Kai konkurencijos institucijai kyla abejonių dėl tokio sprendimo apimties, kai šios institucijos tuo pačiu metu nagrinėja tokias ar panašias bendrąsias sąlygas, arba kai, nevykstant tyrimui ar nesant sprendimo, konkurencijos institucija mano, kad nagrinėjamos sąlygos neatitinka Reglamento 2016/679, ji turi konsultuotis su tomis pačiomis priežiūros institucijomis ir prašyti jų bendradarbiauti, kad būtų išsklaidytos jos abejonės arba būtų nustatyta, ar prieš pradėdama savo vertinimą turi laukti, kol tos priežiūros institucijos priims sprendimą. Jeigu priežiūros institucijos neprieštarauja arba neatsako per pagrįstą laikotarpį, nacionalinė konkurencijos institucija gali tęsti savo tyrimą.

Reglamento 2016/679 9 straipsnio 1 dalis

turi būti aiškinama taip:

tuo atveju, kai internetinio socialinio tinklo naudotojas lankosi interneto svetainėse ar naudojasi taikomosiomis programėlėmis, susijusiomis su viena ar keliomis šioje nuostatoje nurodytomis kategorijomis, ir prireikus užsiregistruodamas arba teikdamas užsakymus internete į jas įkelia duomenis, tokio internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kai duomenys, gauti iš šių svetainių ir taikomųjų programėlių, taip pat naudotojo įterpti duomenys, renkami naudojant integruotas sąsajas, slapukus ar panašias įrašymo technologijas, susiejami su naudotojo socialinio tinklo paskyra ir kai toks operatorius juos naudoja, turi būti laikomas iš principo draudžiamu (išskyrus šio 9 straipsnio 2 dalyje numatytas išimtis) „specialių kategorijų asmens duomenų tvarkymu“, kaip tai suprantama pagal minėtą nuostatą, jei toks duomenų tvarkymas gali atskleisti prie vienos iš šių kategorijų priskiriamą informaciją, nesvarbu, ar ši informacija būtų susijusi su šio tinklo naudotoju, ar su bet kuriuo kitu fiziniu asmeniu.

Reglamento 2016/679 9 straipsnio 2 dalies e punktas

turi būti aiškinamas taip:

internetinio socialinio tinklo naudotojas, lankydamasis interneto svetainėse ar naudodamasis taikomosiomis programėlėmis, susijusiomis su viena ar keliomis šio reglamento 9 straipsnio 1 dalyje nurodytomis kategorijomis, akivaizdžiai viešai neskelbia, kaip tai suprantama pagal šio reglamento 9 straipsnio 2 dalie e punktą, su tokiu lankymusi ar naudojimusi susijusių duomenų, kuriuos šio interneto socialinio tinklo operatorius surinko naudodamas slapukus ar panašias įrašymo technologijas.

Naudotojas, įkeldamas duomenis į tokias interneto svetaines arba į taikomąsias programėles ar aktyvuodamas į šias interneto svetaines ir taikomąsias programėles integruotus atrankos mygtukus, kaip antai mygtukus „Patinka“, „Bendrinti“ arba mygtukus, leidžiančius naudotojui save identifikuoti šiose svetainėse ar taikomosiose programėlėse, naudojant prisijungimo identifikatorius, susijusius su jo, kaip socialinio tinklo naudotojo, paskyra, telefono numerį ar elektroninio pašto adresą, akivaizdžiai viešai paskelbia, kaip tai suprantama pagal šio 9 straipsnio 2 dalies e punktą, tokius įkeltus arba aktyvavus minėtus mygtukus gautus duomenis tik tuo atveju, jei aiškiai išreiškė savo išankstinį pasirinkimą, prireikus remdamasis individualiai pasirinktais nustatymais ir žinodamas tokių veiksmų pasekmes, padaryti viešai prieinamus su juo susijusius duomenis neribotam asmenų skaičiui.

Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos b punktas

turi būti aiškinamas taip:

internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų naudojantis kitomis grupės, kuriai priklauso šis operatorius, paslaugomis arba šiems naudotojams apsilankius trečiųjų šalių interneto svetainėse ar taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir minėtų duomenų naudojimas, gali būti laikomas būtinu vykdant sutartį, kurios šalys yra duomenų subjektai, kaip tai suprantama pagal šią nuostatą, tik su sąlyga, kad toks tvarkymas yra objektyviai būtinas siekiant tikslo, kuris yra tiems patiems naudotojams skirtos sutartinės paslaugos sudedamoji dalis, todėl pagrindinis sutarties dalykas negalėtų būti pasiektas neatliekant tokio duomenų tvarkymo.

Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos f punktas

turi būti aiškinamas taip:

internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų naudojantis kitomis grupės, kuriai priklauso šis operatorius, paslaugomis arba šiems naudotojams apsilankius trečiųjų šalių interneto svetainėse ar taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir minėtų duomenų naudojimas, gali būti laikomas būtinu siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų, kaip tai suprantama pagal šią nuostatą, tik su sąlyga, kad minėtas operatorius naudotojams, iš kurių duomenys buvo surinkti, nurodė jų tvarkymu siekiamą teisėtą interesą, duomenų tvarkymas neviršija to, kas griežtai būtina šiam teisėtam interesui pasiekti, ir jeigu, palyginus priešingus interesus, matyti, kad, atsižvelgiant į visas svarbias aplinkybes, šių naudotojų interesai ar laisvės ir pagrindinės teisės nėra viršesni už minėtą teisėtą duomenų valdytojo ar trečiosios šalies interesą.

Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos c punktas

turi būti aiškinamas taip:

internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų naudojantis kitomis grupės, kuriai priklauso šis operatorius, paslaugomis arba šiems naudotojams apsilankius trečiosios šalies interneto svetainėse ar taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir minėtų duomenų naudojimas, yra pateisinamas pagal šią nuostatą, kai iš tiesų būtina įvykdyti duomenų valdytojui pagal Sąjungos teisę ar atitinkamos valstybės narės teisę nustatytą teisinę pareigą, jeigu šis teisinis pagrindas atitinka viešojo intereso tikslą, yra proporcingas siekiamam teisėtam tikslui ir jei toks tvarkymas atliekamas neviršijant to, kas griežtai būtina.

Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos d ir e punktai

turi būti aiškinami taip:

internetinio socialinio tinklo operatoriaus atliekamas asmens duomenų tvarkymas, kurį sudaro tokio tinklo naudotojų duomenų, gautų naudojantis kitomis grupės, kuriai priklauso šis operatorius, paslaugomis arba šiems naudotojams apsilankius trečiosios šalies interneto svetainėse ar taikomosiose programėlėse, rinkimas, šių duomenų susiejimas su minėtų naudotojų socialinio tinklo paskyra ir minėtų duomenų naudojimas, iš esmės negali būti laikomas būtinu siekiant apsaugoti gyvybinius duomenų subjekto arba kito fizinio asmens interesus, kaip tai suprantama pagal d punktą, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba atliekant duomenų valdytojui pavestas viešosios valdžios funkcijas, su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas.

Reglamento 2016/679 6 straipsnio 1 dalies pirmos pastraipos a punktas ir 9 straipsnio 2 dalies a punktas

turi būti aiškinami taip:

aplinkybė, jog internetinio socialinio tinklo operatorius, kaip duomenų valdytojas, užima dominuojančią padėtį socialinių tinklų rinkoje, savaime netrukdo šio socialinio tinklo naudotojams duoti galiojantį duomenų subjekto sutikimą, kaip tai suprantama pagal šio reglamento 4 straipsnio 11 punktą, kad šis operatorius tvarkytų jų asmens duomenis. Vis dėlto ši aplinkybė yra svarbus veiksnys nustatant, ar sutikimas iš tikrųjų buvo galiojantis ir, be kita ko, duotas laisva valia, o tai turi įrodyti minėtas operatorius.

Parašai.

( *1 ) Proceso kalba: vokiečių.