ATHANASIOS RANTOS IŠVADA,
pateikta 2022 m. rugsėjo 20 d. ( 1 )
Byla C‑252/21
Meta platforms Inc., buvusi Facebook Inc.,
Meta platforms Ireland Limited, buvusi Facebook Ireland Ltd.,
Facebook Deutschland GmbH
prieš
Bundeskartellamt,
dalyvaujant
Verbraucherzentrale Bundesverband e.V.
(Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija) pateiktas prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Reglamentas (ES) 2016/679 – Fizinių asmenų apsauga tvarkant asmens duomenis – Socialiniai tinklai – 4 straipsnio 11 punktas – Sąvoka „duomenų subjekto sutikimas“ – Sutikimas, duotas dominuojančią padėtį užimančiai įmonei, kuri yra duomenų valdytoja – 6 straipsnio 1 dalies b–f punktai – Tvarkymo teisėtumas – Duomenų tvarkymas, būtinas siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant užtikrinti teisėtus duomenų valdytojo interesus ar trečiosios šalies interesus – Duomenų tvarkymas, būtinas siekiant įvykdyti duomenų valdytojui taikomą teisinę prievolę, apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus arba atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestus viešosios valdžios įgaliojimus – 9 straipsnio 1 dalis ir 9 straipsnio 2 dalies e punktas – Specialių kategorijų asmens duomenys – Asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai – 51–66 straipsniai – Nacionalinės konkurencijos institucijos įgaliojimai – Sąsaja su asmens duomenų apsaugos priežiūros institucijų įgaliojimais – Kitoje nei vadovaujančios duomenų apsaugos priežiūros institucijos buveinės valstybėje narėje esančios institucijos priimtos priemonės pagal konkurencijos teisę“
Įvadas
|
1. |
Šį prašymą priimti prejudicinį sprendimą pateikė Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija), nagrinėdamas ginčą, kilusį tarp Meta Platforms grupės bendrovių ( 2 ) ir Bundeskartellamt (Federalinė konkurencijos tarnyba, Vokietija), dėl pastarosios sprendimo, kuriuo ieškovei pagrindinėje byloje buvo uždraustas jos socialinio tinklo Facebook paslaugų teikimo sąlygose numatytas duomenų tvarkymas bei šių paslaugų teikimo sąlygų įgyvendinimas ir nurodyta taikyti taisomąsias priemones ( 3 ). |
|
2. |
Prejudiciniai klausimai iš esmės susiję, pirma, su nacionalinės konkurencijos institucijos, kaip antai Bundeskartellamt, kompetencija nagrinėti – kaip pagrindinį arba papildomą klausimą – įmonės veiksmus pagal tam tikras Reglamento (ES) 2016/679 ( 4 ) nuostatas ir, antra, su šių nuostatų aiškinimu, kiek tai susiję, be kita ko, su neskelbtinų asmens duomenų tvarkymu, su svarbiomis asmens duomenų tvarkymo teisėtumo užtikrinimo sąlygomis ir su sutikimo, duodamo laisva valia dominuojančią padėtį užimančiai įmonei, pareiškimu. |
Teisinis pagrindas
Sąjungos teisė
|
3. |
BDAR 4 straipsnyje numatyta: „Šiame reglamente: <…>
<…>“ |
|
4. |
Šio reglamento 6 straipsnio „Tvarkymo teisėtumas“ 1 dalis suformuluota taip: „Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.“ |
|
5. |
Minėto reglamento 9 straipsnio „Specialių kategorijų asmens duomenų tvarkymas“ 1 ir 2 dalyse nustatyta: „1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. 2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:
<…>
<…>“ |
|
6. |
To paties reglamento VI skyriuje „Nepriklausomos priežiūros institucijos“ esančiame 51 straipsnyje „Priežiūros institucija“ nustatyta: „1. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje <…>. 2. Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija vadovaudamosi VII skyriumi. <…>“ |
Vokietijos teisė
|
7. |
Gesetz gegen Wettbewerbsbeschränkungen (Konkurencijos ribojimų prevencijos įstatymas, toliau – GWB) 19 straipsnio 1 dalyje nustatyta: „Draudžiamas bet koks vienos ar kelių įmonių piktnaudžiavimas dominuojančia padėtimi rinkoje.“ ( 5 ) |
|
8. |
GWB 50f straipsnyje numatyta: „(1) Konkurencijos institucijos, reguliavimo institucijos, už duomenų apsaugą ir informacijos laisvę atsakingas pareigūnas, regioniniai duomenų apsaugos pareigūnai ir kompetentingos valdžios institucijos, kaip tai suprantama pagal EU-Verbraucherschutzdurchführungsgesetz (Įstatymas dėl Europos Sąjungos vartotojų teisių apsaugos įgyvendinimo) 2 straipsnį, gali, nepriklausomai nuo pasirinktos procedūros, keistis informacija, įskaitant asmens duomenis bei komercines ir verslo paslaptis, kai tai būtina jų atitinkamoms pareigoms vykdyti, ir naudoti šią informaciją vykdant procedūras. <…>“ |
Pagrindinė byla, prejudiciniai klausimai ir procesas Teisingumo Teisme
|
9. |
Meta Platforms valdo internetinio socialinio tinklo „Facebook“ paslaugų pasiūlą Europos Sąjungoje (adresas www.facebook.com) ir kitas interneto paslaugas, įskaitant Instagram ir WhatsAp. Meta Platforms valdomų socialinių tinklų ekonominį modelį iš esmės sudaro, pirma, privatiems naudotojams nemokamai teikiamos socialinio tinklo paslaugos ir, antra, parduodama internetinė reklama, kuri asmeniškai pritaikoma socialinio tinklo naudotojui ir kuria siekiama, kad naudotojui būtų rodoma tokia reklama, kuri jį galėtų sudominti atsižvelgiant būtent į asmeninius jo vartojimo įpročius, interesus ir perkamąją galią ir į asmenines aplinkybes. Techninis šios rūšies reklamos pagrindas – automatinis labai išsamių tinklo ir internetinių paslaugų, siūlomų grupės lygmeniu, naudotojų profilių sudarymas ( 6 ). |
|
10. |
Siekdama rinkti ir tvarkyti naudotojų duomenis Meta Platforms remiasi su naudotojais sudaryta naudojimo sutartimi, pagal kurią šie naudotojai, spustelėdami mygtuką „registracija“, sutinka su Facebook paslaugų teikimo sąlygomis. Sutikimas su šiomis paslaugų teikimo sąlygomis yra esminė naudojimosi socialiniu tinklu Facebook sąlyga ( 7 ). Esminis šioje byloje keliamas klausimas yra susijęs su praktika, kurią sudaro, pirma, duomenų, gautų iš kitų grupei priklausančių paslaugų bei trečiųjų šalių interneto svetainių ir taikomųjų programėlių, rinkimas per jose integruotas sąsajas arba per interneto naudotojo kompiuteryje ar mobiliajame galiniame įrenginyje naudojamus slapukus, antra, šių duomenų susiejimas su atitinkamo naudotojo Facebook paskyra ir, trečia, minėtų duomenų naudojimas (toliau – ginčijama praktika). |
|
11. |
Bundeskartellamt pradėjo procedūrą prieš Meta Platforms, po kurios ginčijamu sprendimu pastarajai uždraudė Facebook paslaugų teikimo sąlygose numatytą duomenų tvarkymą ir šių sąlygų įgyvendinimą, taip pat nurodė taikyti taisomąsias priemones. Bundeskartellamt savo sprendimą motyvavo, be kita ko, tuo, kad aptariamas duomenų tvarkymas laikytinas šios bendrovės piktnaudžiavimu dominuojančia padėtimi socialinių tinklų rinkoje privačių Vokietijos naudotojų atžvilgiu, kaip tai suprantama pagal GWB 19 straipsnį ( 8 ). |
|
12. |
2019 m. vasario 11 d.Meta Platforms apskundė ginčijamą sprendimą Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas) ( 9 ), t. y. prašymą priimti prejudicinį sprendimą pateikusiam teismui, kuris iš esmės abejoja, pirma, dėl nacionalinės konkurencijos priežiūros institucijų galimybės tikrinti duomenų tvarkymo atitiktį BDAR nustatytiems reikalavimams bei nustatyti jo nuostatų pažeidimus ir už tai bausti, ir, antra, dėl tam tikrų šio reglamento nuostatų aiškinimo ir taikymo. |
|
13. |
Šiomis aplinkybėmis Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
Jei atsakymas į 7 klausimą būtų teigiamas, ar reikia atsakyti į 3–5 klausimus, kalbant apie duomenis, gautus naudojantis grupės paslauga Instagram?“ |
|
14. |
Rašytines pastabas pateikė Meta Platforms, Vokietijos, Čekijos, Italijos ir Austrijos vyriausybės, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (Vartotojų asociacija, Vokietija) ir Europos Komisija. Per 2022 m. gegužės 10 d. įvykusį teismo posėdį šios šalys taip pat pateikė žodines pastabas. |
Analizė
|
15. |
Šioje byloje nagrinėjami prejudiciniai klausimai, pateikti dėl įvairių BDAR nuostatų aiškinimo, iš esmės susiję, pirma, su konkurencijos institucijos kompetencija nustatyti asmens duomenų tvarkymo taisyklių pažeidimą ir už jį bausti taip pat su jos pareiga bendradarbiauti su vadovaujančia priežiūros institucija, kaip tai suprantama pagal BDAR (pirmasis ir septintasis prejudiciniai klausimai), antra, su draudimu tvarkyti neskelbtinus asmens duomenis ir su sutikimo juos naudoti sąlygomis (antrasis prejudicinis klausimas), trečia, su asmens duomenų tvarkymo teisėtumu atsižvelgiant į tam tikrus pateisinimus (trečiasis–penktasis prejudiciniai klausimai) ir, ketvirta, su dominuojančią padėtį rinkoje užimančiai įmonei duotu sutikimu, kad asmens duomenys būtų tvarkomi (šeštasis prejudicinis klausimas). |
|
16. |
Paskesniuose punktuose pirmiausia nagrinėsiu pirmąjį ir septintąjį prejudicinius klausimus, o toliau – kitus klausimus tokia tvarka, kokia jie buvo pateikti, sujungdamas trečiąjį–penktąjį prejudicinius klausimus. |
Dėl pirmojo prejudicinio klausimo
|
17. |
Pirmuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar tirdama konkurencijos taisyklių pažeidimus konkurencijos institucija, viena vertus, gali pirmiausia nustatyti ( 10 ), ar įmonė, išimtinai atsakanti už asmens duomenų tvarkymą visoje Sąjungoje, kurios pagrindinė verslo vieta yra kitoje valstybėje narėje, pažeidė su BDAR duomenų tvarkymu susijusias taisykles, ir, kita vertus, nurodyti nutraukti šį pažeidimą (pirmojo klausimo a punktas), ir, jei taip, ar vadovaujanti priežiūros institucija, kuri turi kompetenciją pagal BDAR 56 straipsnio 1 dalį, taip pat gali atlikti tyrimą dėl šios įmonės taikomų duomenų tvarkymo sąlygų (pirmojo klausimo b punktas). |
|
18. |
Vis dėlto, nors tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, man atrodo, kad ginčijamame sprendime Bundeskartellamt nenubaudė Meta Platforms už BDAR pažeidimą, bet nagrinėjo, kiek tai būtina konkurencijos taisyklių taikymo tikslais, jos galimai padarytą draudimo piktnaudžiauti dominuojančia padėtimi pažeidimą, atsižvelgdama, be kita ko, į tai, kad šios įmonės elgesys neatitinka BDAR nuostatų. |
|
19. |
Taigi, mano nuomone, pirmojo klausimo a punktas, kiek jis susijęs su konkurencijos institucijos galimybe visų pirma nustatyti BDAR taisyklių pažeidimą ir nurodyti jį nutraukti, kaip tai suprantama pagal šį reglamentą, yra nereikšmingas ( 11 ). |
|
20. |
Vadinasi, pirmojo klausimo b punktas, kuris priklauso nuo teigiamo atsakymo į pirmojo klausimo a punktą, taip pat yra nereikšmingas ( 12 ). |
Dėl septintojo prejudicinio klausimo
|
21. |
Septintuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar konkurencijos institucija, tirdama konkurencijos taisyklių pažeidimus, gali papildomai nustatyti ( 13 ), ar duomenų tvarkymo sąlygos ir jų įgyvendinimas atitinka BDAR (septintojo klausimo a punktas), ir, jei taip, ar konkurencijos institucijos tyrimas yra galimas ir tada, kai kompetenciją turinti vadovaujanti priežiūros institucija tuo pačiu metu atlieka tyrimą dėl šių sąlygų (septintojo klausimo b punktas). |
|
22. |
Pirma, dėl septintojo klausimo a punkto man atrodo, kad, nors konkurencijos institucija neturi kompetencijos nustatyti BDAR pažeidimo ( 14 ), pagal šį reglamentą iš esmės nedraudžiama, kad kitos, o ne priežiūros, institucijos, įgyvendindamos savo kompetenciją ir įgaliojimus, galėtų papildomai įvertinti elgesio suderinamumą su BDAR nuostatomis. Mano nuomone, taip yra, be kita ko, tuo atveju, kai konkurencijos institucija naudojasi SESV 102 straipsniu ir Reglamento (EB) Nr. 1/2003 ( 15 ) 5 straipsnio pirma pastraipa arba bet kuria kita atitinkama nacionalinės teisės norma ( 16 ) jai suteiktais įgaliojimais. |
|
23. |
Įgyvendindama savo įgaliojimus konkurencijos institucija privalo, be kita ko, įvertinti, ar, atsižvelgiant į nagrinėjamo elgesio teisinį ir ekonominį kontekstą, toks elgesys yra susijęs su kitomis priemonėmis, o ne su konkurencija remiantis nuopelnais ( 17 ). Šiuo klausimu pažymėtina, kad tokio elgesio atitiktis arba neatitiktis BDAR nuostatoms ne pati savaime, o atsižvelgiant į visas bylos aplinkybes, gali būti svarbus požymis siekiant nustatyti, ar toks elgesys reiškia, kad buvo naudojamos priemonės, lemiančios įprastą konkurenciją, tačiau tai, ar tam tikras elgesys yra piktnaudžiavimas pagal SESV 102 straipsnį, nenustatoma pagal tai, ar jis atitinka BDAR, ar kitas teisės normas ( 18 ). |
|
24. |
Taigi manau, kad piktnaudžiavimo dominuojančia padėtimi rinkoje nagrinėjimas gali pateisinti tai, kad konkurencijos institucija aiškina teisės normas, kurios nepatenka į konkurencijos teisės taikymo sritį, pavyzdžiui, tas, kurios įtvirtintos BDAR ( 19 ), patikslindama, kad toks nagrinėjimas atliekamas papildomai ( 20 ) ir neturi įtakos kompetentingų priežiūros institucijų atliekamam šio reglamento taikymui ( 21 ). |
|
25. |
Antra, kalbant apie septintojo klausimo b punktą, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, kokias pareigas kompetentingos vadovaujančios priežiūros institucijos, kaip ši suprantama pagal BDAR, atžvilgiu turi konkurencijos institucija, atsižvelgiant į taikomą ESS 4 straipsnio 3 dalyje įtvirtintą lojalaus bendradarbiavimo principą, kai tą patį elgesį, kurį nagrinėja konkurencijos institucija, nagrinėja kompetentinga vadovaujanti priežiūros institucija. |
|
26. |
Nagrinėjamu atveju dėl to, kad konkurencijos institucija gali nagrinėti, bet tik papildomai, įmonės elgesį pagal BDAR normas, kyla pavojus, kad ši institucija ir priežiūros institucijos skirtingai aiškins šį reglamentą, o tai iš esmės gali pakenkti vienodam BDAR aiškinimui ( 22 ). |
|
27. |
Sąjungos teisėje nenumatyta išsamių taisyklių dėl konkurencijos institucijos ir priežiūros institucijų bendradarbiavimo tokiu atveju pagal BDAR. Konkrečiau kalbant, nagrinėjamu atveju netaikomas nei bendradarbiavimo tarp kompetentingų institucijų pagal BDAR mechanizmas, kai šis reglamentas taikomas ( 23 ), nei kitos konkrečios administracinių institucijų bendradarbiavimo taisyklės, pavyzdžiui, taisyklės dėl konkurencijos institucijų bendradarbiavimo ar konkurencijos institucijų ir Komisijos bendradarbiavimo, kai taikomos konkurencijos taisyklės ( 24 ). |
|
28. |
Vis dėlto aiškindama BDAR konkurencijos institucija privalo laikytis ESS 4 straipsnio 3 dalyje įtvirtinto lojalaus bendradarbiavimo principo, pagal kurį Sąjunga ir valstybės narės, įskaitant jų administracines institucijas ( 25 ), gerbia viena kitą ir viena kitai padeda vykdydamos iš Sutarčių kylančias užduotis. Būtent trečioje šios nuostatos pastraipoje numatyta, kad valstybės narės padeda Sąjungai įgyvendinti jos užduotis ir nesiima jokių priemonių, kurios gali trukdyti siekti Sąjungos tikslų ( 26 ). Be to, kaip ir bet kuri kita administracinė institucija, kuriai pavesta taikyti Sąjungos teisę, konkurencijos institucija privalo laikytis gero administravimo principo, kuris yra bendrasis Sąjungos teisės principas, apimantis, inter alia, išplėstą nacionalinėms institucijoms tenkančią tikrinimo ir rūpestingumo pareigą ( 27 ). |
|
29. |
Taigi, nesant aiškių taisyklių dėl bendradarbiavimo mechanizmų, kurias gali priimti Sąjungos teisės aktų leidėjas, konkurencijos institucija, aiškindama BDAR nuostatas, turi laikytis bent jau informavimo ir bendradarbiavimo su kompetentingomis institucijomis pareigų pagal šį reglamentą, taikydama jos kompetenciją reglamentuojančias nacionalinės teisės normas (valstybių narių procesinės autonomijos principas) ir paisydama lygiavertiškumo ir veiksmingumo principų ( 28 ). |
|
30. |
Mano nuomone, darytina išvada, kad jeigu vadovaujanti priežiūros institucija priima sprendimą dėl tam tikrų BDAR nuostatų taikymo tai pačiai ar panašiai praktikai, konkurencijos institucija iš principo negali nukrypti nuo šios institucijos, kuri vienintelė turi kompetenciją taikyti šį reglamentą, aiškinimo ( 29 ), ir ji privalo, kiek tai įmanoma ir visų pirma paisydama atitinkamų asmenų teisės į gynybą, laikytis tos priežiūros institucijos galimai priimtų sprendimų dėl to paties elgesio ( 30 ), o nagrinėjamu atveju kilus abejonių dėl kompetentingos institucijos pateikto aiškinimo, konsultuotis su ja arba prireikus, jei ta institucija yra kitoje valstybėje narėje, konsultuotis su nacionaline priežiūros institucija ( 31 ). |
|
31. |
Be to, nesant kompetentingos priežiūros institucijos sprendimo, konkurencijos institucija vis dėlto privalo ją informuoti ( 32 ) ir su ja bendradarbiauti, jei ši institucija pradėjo tyrimą dėl tų pačių veiksmų arba išreiškė ketinimą tai daryti, ir prireikus palaukti, kol bus baigtas tos institucijos tyrimas, prieš pradedant savo vertinimą, jei tai tinkama ir visų pirma netrukdo konkurencijos institucijai laikytis pagrįsto tyrimo laikotarpio ir atitinkamų asmenų teisės į gynybą ( 33 ). |
|
32. |
Nagrinėjamu atveju man atrodo, kad to, kaip nurodė Bundeskartellamt, tačiau tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, jog buvo pradėta bendradarbiauti su nacionaliniu lygmeniu atsakingomis priežiūros institucijomis ( 34 ), taip pat neoficialiai kreiptasi į vadovaujančią Airijos priežiūros instituciją, gali pakakti, kad būtų galima daryti išvadą, jog ši institucija įvykdė savo rūpestingumo ir lojalaus bendradarbiavimo pareigas ( 35 ). |
|
33. |
Apibendrindamas siūlau į septintąjį prejudicinį klausimą atsakyti: BDAR 51–66 straipsniai turi būti aiškinami taip, kad konkurencijos institucija, įgyvendindama savo įgaliojimus pagal konkurencijos taisykles, gali papildomai nagrinėti vertinamų veiksmų atitiktį BDAR taisyklėms, atsižvelgdama į visus pagal BDAR kompetentingos priežiūros institucijos priimtus sprendimus ar pradėtus tyrimus ir informuodama nacionalinę priežiūros instituciją bei prireikus su ja konsultuodamasi. |
Dėl antrojo prejudicinio klausimo
|
34. |
Antruoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 9 straipsnio 1 dalis turi būti aiškinama taip, kad ginčijama praktika, kiek ji susijusi su lankymusi trečiųjų šalių interneto svetainėse bei taikomosiose programėlėse ( 36 ), priskirtina prie išvardytų neskelbtinų asmens duomenų tvarkymo ( 37 ), kuris yra draudžiamas ( 38 ) (antrojo klausimo a punktas), ir, jei taip, ar šio reglamento 9 straipsnio 2 dalies e punktas turi būti aiškinamas taip, kad naudotojas akivaizdžiai viešai paskelbia, kaip tai suprantama pagal šią nuostatą, duomenis, kurie, viena vertus, atskleidžiami lankantis interneto svetainėse ir taikomosiose programėlėse arba, kita vertus, kurie įvedami arba atskleidžiami paspaudžiant interneto svetainėse arba taikomosiose programėlėse esančius mygtukus ( 39 ) (antrojo klausimo b punktas). |
|
35. |
Pirma, dėl antrojo klausimo a punkto primenu, kad pagal BDAR 9 straipsnio 1 dalį neskelbtinų asmens duomenų tvarkymas draudžiamas. Kaip matyti iš šio reglamento 51 konstatuojamosios dalies, ypatinga šių duomenų apsauga grindžiama tuo, kad dėl savo pobūdžio jie yra ypač jautrūs pagrindinių teisių ir laisvių požiūriu ir kad dėl jų tvarkymo galėtų kilti didelis pavojus šioms teisėms ir laisvėms. Be to, nepaisant šiek tiek neaiškios šios nuostatos formuluotės ( 40 ), man neatrodo, kad, kaip mano prašymą priimti prejudicinį sprendimą pateikęs teismas, ja nustatomas esminis skirtumas tarp asmens duomenų, kurie yra neskelbtini, nes jie „atskleidžia“ tam tikrą situaciją, ir duomenų, kurie yra neskelbtini dėl savo pobūdžio ( 41 ). |
|
36. |
Nagrinėjamu atveju, mano nuomone, akivaizdu, kad ginčijama praktika yra asmens duomenų tvarkymas, kuris iš esmės gali patekti į šios nuostatos taikymo sritį ir būti draudžiamas, jei tvarkomais duomenimis „atskleidžiama“ viena iš joje išvardytų neskelbtinų situacijų. Taigi reikia nustatyti, ar ir kokiu mastu lankymasis interneto svetainėse ir taikomosiose programėlėse arba duomenų jose įvedimas gali „atskleisti“ vieną iš aptariamoje nuostatoje nurodytų neskelbtinų situacijų. |
|
37. |
Šiuo klausimu abejoju, ar tikslinga (ir ar vis dar įmanoma) atskirti, viena vertus, paprastą atitinkamo asmens interesą gauti tam tikrą informaciją ir, kita vertus, jo priklausymą vienai iš aptariamoje nuostatoje nurodytų kategorijų ( 42 ). Nors pagrindinės bylos šalių pozicijos skiriasi šiuo klausimu ( 43 ), manau, kad atsakymo į šį klausimą turi būti ieškoma kiekvienu atveju atskirai, atsižvelgiant į kiekvieną veiklą, sudarančią ginčijamą praktiką. |
|
38. |
Nors, kaip pažymi Vokietijos vyriausybė, vien neskelbtinų asmens duomenų, susijusių su lankymusi interneto svetainėje ar taikomojoje programėlėje, rinkimas pats savaime nebūtinai reiškia neskelbtinų asmens duomenų tvarkymą, kaip tai suprantama pagal šią nuostatą ( 44 ), šių duomenų susiejimas su atitinkamo naudotojo Facebook paskyra arba jų naudojimas yra elgesys, kurį paprastai būtų galima laikyti tokiu tvarkymu. Manau, lemiamas veiksnys taikant BDAR 9 straipsnio 1 dalį yra galimybė, kad tvarkomi duomenys leistų atlikti naudotojo profiliavimą pagal kategorijas, matomas šioje nuostatoje pateiktame neskelbtinų asmens duomenų sąraše ( 45 ). |
|
39. |
Šiomis aplinkybėmis, siekiant nustatyti, ar duomenų tvarkymas patenka į šios nuostatos taikymo sritį, prireikus būtų naudinga atskirti duomenų, kurie prima facie gali būti priskirti prie neskelbtinų asmens duomenų kategorijos ir kurie patys savaime leidžia atitinkamo asmens profiliavimą, tvarkymą nuo tvarkymo tokių duomenų, kurie patys savaime nėra neskelbtini, tačiau kuriuos būtina vėliau sugrupuoti, siekiant padaryti įtikinamas išvadas dėl atitinkamo asmens profiliavimo. |
|
40. |
Atsižvelgiant į tai, reikia patikslinti, kad skirstymo į kategorijas pagal šią nuostatą egzistavimas nepriklauso nuo klausimo, ar šis skirstymas yra tikras ar teisingas ( 46 ). Svarbu yra galimybė, kad toks skirstymas į kategorijas sukels didelį pavojų pagrindinėms duomenų subjekto teisėms ir laisvėms, kaip priminta BDAR 51 konstatuojamojoje dalyje, ir ši galimybė nepriklauso nuo jos tikrumo. |
|
41. |
Galiausiai dėl prašymą priimti prejudicinį sprendimą pateikusio teismo prašymo nustatyti, ar naudojimo tikslas yra reikšmingas aptariamam vertinimui ( 47 ), manau, kad, priešingai, nei teigia ieškovė pagrindinėje byloje, iš principo nereikalaujama, kad duomenų valdytojas tvarkytų šiuos duomenis „žinodamas ir turėdamas ketinimą tiesiogiai iš jų gauti specialių kategorijų informaciją“. Iš tiesų aptariama nuostata iš esmės siekiama objektyviai užkirsti kelią dideliam pavojui duomenų subjektų pagrindinėms teisėms ir laisvėms, kuris gali kilti dėl neskelbtinų asmens duomenų tvarkymo, neatsižvelgiant į jokį subjektyvų elementą, pavyzdžiui, į duomenų valdytojo ketinimą. |
|
42. |
Antra, dėl antrojo klausimo b punkto primenu, kad pagal BDAR 9 straipsnio 2 dalies e punktą draudimas tvarkyti neskelbtinus asmens duomenis netaikomas, jeigu tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai. Be to, prieveiksmio „akivaizdžiai“ vartojimas šioje nuostatoje ir tai, kad minėta nuostata yra draudimo tvarkyti neskelbtinus asmens duomenis išimtis ( 48 ), reiškia, kad reikalaujama itin griežtai taikyti šią išimtį dėl didelio pavojaus pagrindinėms duomenų subjektų teisėms ir laisvėms ( 49 ). Tam, kad ši išimtis galėtų būti taikoma, mano nuomone, reikia, kad naudotojas visiškai suvoktų tai, kad dėl aiškaus sprendimo ( 50 ), jo asmens duomenys tampa vieši ( 51 ). |
|
43. |
Nagrinėjamu atveju man atrodo, kad elgesys, kurį sudaro lankymasis interneto svetainėse ir taikomosiose programėlėse, šiose svetainėse ir programėlėse įvedant duomenis ir paspaudžiant jose esančius mygtukus, iš esmės negali būti prilyginamas elgesiui, dėl kurio neskelbtini naudotojo asmens duomenys tampa akivaizdžiai vieši, kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies e punktą. |
|
44. |
Konkrečiau kalbant, atkreipiu dėmesį, kad iš esmės dėl lankymosi interneto svetainėse ir taikomosiose programėlėse duomenys tampa prieinami tik atitinkamo interneto puslapio ar programėlės valdytojui ir trečiosioms šalims, kurioms jis perduoda šią informaciją, pavyzdžiui, ieškovei pagrindinėje byloje ( 52 ). Be to, nors dėl duomenų įvedimo interneto svetainėse ir taikomosiose programėlėse duomenų subjektas galėtų tiesiogiai ir savanoriškai duoti informaciją apie tam tikrus neskelbtinus asmens duomenis, taip pat pažymiu, kad ši informacija yra prieinama tik atitinkamo puslapio ar programėlės valdytojui ir trečiosioms šalims, kurioms jis perduoda šią informaciją. Taigi atmetu galimybę, kad tokie veiksmai gali rodyti norą, kad šie duomenys būtų prieinami visuomenei ( 53 ). Be to, nors akivaizdu, kad paspausdamas interneto svetainėse ar taikomosiose programėlėse esančius pasirenkamus mygtukus ( 54 ) duomenų subjektas aiškiai išreiškia norą dalytis tam tikra informacija su auditorija už atitinkamos interneto svetainės ar programėlės ribų, manau, kad, kaip pabrėžia Bundeskartellamt, taip elgdamasis šis duomenų subjektas supranta, jog dalijasi informacija su konkrečiu asmenų ratu, kurį dažnai apibrėžia pats naudotojas ( 55 ), o ne su bendruomene ( 56 ). |
|
45. |
Galiausiai dėl galimo naudotojo sutikimo, kaip tai suprantama pagal Direktyvos 2002/58 5 straipsnio 3 dalį, su tuo, kad asmens duomenys galėtų būti renkami naudojant identifikatorius t. y. „slapukus“, arba panašias technologijas, kaip nurodo prašymą priimti prejudicinį sprendimą pateikęs teismas, manau, kad šis sutikimas, atsižvelgiant į jo konkretų tikslą, pats savaime negali pateisinti šiomis priemonėmis surinktų neskelbtinų asmens duomenų tvarkymo ( 57 ). Iš tiesų minėtas sutikimas, būtinas siekiant įdiegti tam tikros naudotojo veiklos fiksavimo techninę priemonę ( 58 ), nėra susijęs su neskelbtinų asmens duomenų tvarkymu ir negali būti prilyginamas norui šiuos duomenis akivaizdžiai viešai paskelbti, kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies e punktą ( 59 ). |
|
46. |
Apibendrindamas siūlau į antrąjį prejudicinį klausimą atsakyti: pirma, BDAR 9 straipsnio 1 dalis turi būti aiškinama taip, kad draudimas tvarkyti neskelbtinus asmens duomenis gali apimti internetinio socialinio tinklo operatoriaus atliekamą duomenų tvarkymą, kai renkami naudotojo duomenys šiam lankantis kitose interneto svetainėse ar taikomosiose programėlėse arba ten įvedant šiuos duomenis, ir tokių duomenų susiejimą su socialinio tinklo naudotojo paskyra bei jų naudojimą, jeigu tvarkoma informacija, vertinama atskirai ar sugrupuota, leidžia naudotojo profiliavimą pagal kategorijas, matomas iš šioje nuostatoje pateikto neskelbtinų asmens duomenų sąrašo, ir kad, antra, BDAR 9 straipsnio 2 dalies e punktą reikia aiškinti taip, kad naudotojas akivaizdžiai viešai nepaskelbia duomenų dėl to, kad šie buvo atskleisti lankantis interneto svetainėse ir taikomosiose programėlėse arba buvo įvesti šiose interneto svetainėse ar programėlėse arba jie atsiranda paspaudus juose integruotus pasirinkimo mygtukus. |
Dėl trečiojo–penktojo prejudicinių klausimų
|
47. |
Trečiuoju–penktuoju prejudiciniais klausimais prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 6 straipsnio 1 dalies b, c, d, e ir f punktai turi būti aiškinami taip, kad ginčijama praktika ( 60 ) patenka į vieno iš šiose nuostatose numatytų pateisinimų taikymo sritį, konkrečiau kalbant apie:
|
|
48. |
Pirmiausia, nepaisant kelių abejonių dėl ketvirtojo ir penktojo prejudicinių klausimų priimtinumo ( 68 ), siūlau kartu atsakyti į trečiąjį–penktąjį prejudicinius klausimus, nes tai, ką išdėstysiu toliau, bus daugiausia susiję su trečiuoju prejudiciniu klausimu, tačiau taip pat galės būti naudinga prašymą priimti prejudicinį sprendimą pateikusiam teismui taikant nuostatas, dėl kurių pateikti ketvirtasis ir penktasis prejudiciniai klausimai. |
|
49. |
Pirmiausia pažymiu, kad pagal Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 8 straipsnį asmens duomenys turi būti tinkamai tvarkomi ir naudojami tik konkretiems tikslams ir tik teisės aktuose nustatytais teisėtais pagrindais. Šiuo klausimu BDAR 6 straipsnio 1 dalyje patikslinta, kad šių duomenų tvarkymas yra teisėtas, tik jeigu įvykdyta viena iš šešių šioje nuostatoje įtvirtintų sąlygų ( 69 ). |
|
50. |
Nagrinėjamu atveju visų pirma manau, kad dėl trečiojo–penktojo prejudicinių klausimų reikia kiekvienu konkrečiu atveju išsamiai išanalizuoti įvairias Facebook paslaugos teikimo sąlygose esančias sąlygas, atsižvelgiant į ginčijamą praktiką, nes neįmanoma nustatyti, ar, šios praktikos atžvilgiu „tokia įmonė, kaip [Meta Platforms]“, gali remtis apskritai visais (arba tam tikrais) BDAR 6 straipsnio 1 dalyje numatytais pateisinimais, net jeigu negalima atmesti galimybės, kad minėta praktika ar tam tikros jos dalys gali tam tikrais atvejais patekti į šio straipsnio taikymo sritį ( 70 ). |
|
51. |
Pažymėtina, kad nagrinėjamu atveju minėtose nuostatose numatytas tvarkymas yra atliekamas remiantis bendrosiomis sutarties sąlygomis, kurias nustato duomenų valdytojas, nesant duomenų subjekto sutikimo ( 71 ) ar net prieš jo valią, todėl, mano nuomone, nagrinėjami pateisinimai turi būti aiškinami siaurai, visų pirma siekiant išvengti sutikimo sąlygos apėjimo ( 72 ). |
|
52. |
Galiausiai primenu, kad pagal BDAR 5 straipsnio 2 dalį būtent duomenų valdytojui tenka pareiga įrodyti, kad asmens duomenys tvarkomi pagal šio reglamento normas ir kad pagal minėto reglamento 13 straipsnio 1 dalies c punktą asmens duomenų valdytojas turi nurodyti duomenų tvarkymo tikslus ir teisinį tvarkymo pagrindą. |
Dėl trečiojo prejudicinio klausimo
|
53. |
Pirma, pagal BDAR 6 straipsnio 1 dalies b punktą asmens duomenų tvarkymas yra teisėtas, jeigu jis yra būtinas siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas ( 73 ). |
|
54. |
Šiuo klausimu primenu, kad sąvoka „būtinybė“ nėra apibrėžta Sąjungos teisės aktuose, tačiau pagal jurisprudenciją laikytina autonomiška Sąjungos teisės sąvoka ( 74 ). Kad duomenų tvarkymas būtų būtinas sutarčiai vykdyti, nepakanka, kad jis būtų atliekamas vykdant sutartį, kad būtų paminėtas sutartyje ( 75 ) ar net kad būtų tiesiog naudingas sutarčiai vykdyti ( 76 ). Pagal Teisingumo Teismo jurisprudenciją duomenų tvarkymas turi būti objektyviai būtinas siekiant įvykdyti sutartį, vadinasi, neturi egzistuoti tikroviškų ir mažiau privatumą pažeidžiančių galimybių ( 77 ), atsižvelgiant ir į pagrįstus duomenų subjekto lūkesčius ( 78 ). Tai apima ir tai, kad jeigu sutartį sudaro kelios paslaugos arba atskiri tos pačios paslaugos elementai, kurie gali būti teikiami nepriklausomai vienas nuo kito, galimybė taikyti BDAR 6 straipsnio 1 dalies b punktą turėtų būti vertinama atsižvelgiant į kiekvieną tą paslaugą atskirai ( 79 ). |
|
55. |
Pateikdamas šį pateisinimą, prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo turinio pritaikymą asmeniškai ir nuoseklų bei sklandų visų grupės produktų (arba veikiau paslaugų) naudojimą. |
|
56. |
Kalbant apie turinio pritaikymą asmeniškai, man atrodo, kad jei tokia veikla tam tikru mastu gali atitikti naudotojo interesus, nes ji leidžia pateikti, ypač „naujienų sklaidos kanale“, tokį turinį, kuris remiantis automatiniu informacijos vertinimu atitinka naudotojo interesus, vis dėlto neaišku, ar toks pritaikymas taip pat būtų būtinas teikiant nagrinėjamo socialinio tinklo paslaugą, o asmens duomenų tvarkymui šiais tikslais nereikėtų šio vartotojo sutikimo ( 80 ). Atliekant šį nagrinėjimą taip pat reikia atsižvelgti į tai, kad ginčijama praktika siekiama tvarkyti ne tuos duomenis, kurie susiję su naudotojo veikla Facebook puslapyje arba programėlėje, bet iš išorinių šaltinių gaunamus duomenis, kurie yra galimai riboti. Taigi man kyla klausimas, kiek šis tvarkymas galėtų atitikti vidutinio naudotojo lūkesčius ir apskritai, koks yra paslaugos, kurioje jis registruotas, „asmeninio pritaikymo laipsnis“, kurio jis gali tikėtis registruodamasis ( 81 ). |
|
57. |
Dėl nuoseklaus ir sklandaus grupės paslaugų naudojimo pažymiu, kad sąsaja tarp įvairių ieškovės pagrindinėje byloje siūlomų paslaugų, pavyzdžiui, tarp Facebook ir Instagram, žinoma, gali būti naudinga vartotojui, o kartais ir jo pageidaujama. Vis dėlto abejoju, ar asmens duomenų, gautų naudojant kitas grupės paslaugas (be kita ko, Instagram), tvarkymas yra būtinas teikiant Facebook paslaugas ( 82 ). |
|
58. |
Antra, BDAR 6 straipsnio 1 dalies f punkte nustatyta, kad duomenų tvarkymas yra teisėtas tuo atveju, jeigu tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. |
|
59. |
Pagal Teisingumo Teismo jurisprudenciją aptariamoje nuostatoje numatytos trys kumuliacinės sąlygos, kad asmens duomenų tvarkymas būtų teisėtas, t. y. pirma, jei tvarkyti asmens duomenis reikia dėl teisėtų interesų, kurių siekia duomenų valdytojas arba trečioji šalis (trečiosios šalys), kuriai (kurioms) atskleidžiami duomenys, antra, kai asmens duomenis tvarkyti būtina siekiant įgyvendinti teisėtą interesą, trečia, kai duomenų subjekto pagrindinės teisės ir laisvės nėra viršesnės nei šie interesai ( 83 ). |
|
60. |
Pirmiausia, kiek tai susiję su teisėto intereso siekimu, primenu, kad BDAR ir jurisprudencijoje pripažįstama, kad daug įvairių interesų laikomi teisėtais interesais ( 84 ), ir patikslinama, kad pagal BDAR 13 straipsnio 1 dalies d punktą duomenų valdytojas turi nurodyti teisėtus interesus, kurių siekiama pagal BDAR 6 straipsnio 1 dalies f punktą ( 85 ). |
|
61. |
Dėl sąlygos, susijusios su būtinybe tvarkyti asmens duomenis siekiant įgyvendinti turimą teisėtą interesą, reikia priminti, kad pagal Teisingumo Teismo jurisprudenciją nukrypimai nuo asmens duomenų apsaugos principo ir jo ribojimai neturi viršyti to, kas yra griežtai būtina ( 86 ). Taigi reikia, kad egzistuotų glaudus ryšys tarp duomenų tvarkymo ir siekiamo intereso, jei nėra asmens duomenų apsaugai palankesnių alternatyvų, nes paprasčiausio duomenų tvarkymo naudingumo duomenų valdytojui nepakanka. |
|
62. |
Galiausiai, kalbant apie pusiausvyros tarp, viena vertus, duomenų valdytojo interesų ir, kita vertus, pagrindinių duomenų subjekto teisių, užtikrinimą, Teisingumo Teismo jusrisprudencijoje buvo nuspręsta, kad būtent prašymą priimti prejudicinį sprendimą pateikęs teismas turi įvertinti konkrečius susijusius interesus ( 87 ). Be to, kaip nurodyta BDAR 47 konstatuojamojoje dalyje, atliekant šį vertinimą būtina atsižvelgti į duomenų subjektų lūkesčius, grindžiamus jų santykiu su duomenų valdytoju, ir nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys arba jų rinkimo kontekste, pagrįstai tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. |
|
63. |
Pateikdamas šį pateisinimą prašymą priimti prejudicinį sprendimą pateikęs teismas mini reklamos pritaikymą asmeniškai, tinklo saugumo užtikrinimą ir produkto pagerinimą. |
|
64. |
Visų pirma, kiek tai susiję su reklamos pritaikymu asmeniškai, iš BDAR 47 konstatuojamosios dalies matyti, kad asmens duomenų tvarkymas rinkodaros tikslais (direct marketing) gali būti laikomas atliekamu siekiant patenkinti teisėtą duomenų valdytojo interesą. Vis dėlto, kiek tai susiję su duomenų tvarkymo būtinybe, reikia pažymėti, kad nagrinėjami duomenys gaunami iš kitų šaltinių nei Facebook, todėl kyla klausimas, koks šiuo atveju yra objektyviai būtinas reklamos „pritaikymo asmeniškai laipsnis“. Kalbant apie susijusių interesų palyginimą, mano nuomone, reikia atsižvelgti į aptariamo teisėto intereso (nagrinėjamu atveju visiškai ekonominio intereso) pobūdį ir duomenų tvarkymo poveikį naudotojui bei jo pagrįstiems lūkesčiams ir į duomenų valdytojo galimai nustatytas apsaugos priemones ( 88 ). |
|
65. |
Be to, panašūs argumentai gali būti toliau pateikiami, kalbant apie tinklo saugumo užtikrinimą. Iš tiesų, nors toks pateisinimas gali būti laikomas teisėtu duomenų valdytojo interesu ( 89 ), nėra taip akivaizdu, ar duomenų tvarkymas yra būtinas nagrinėjamu atveju, atsižvelgiant ir į tai, kad aptariami duomenys gaunami iš kitų šaltinių nei Facebook ( 90 ). Bet kuriuo atveju primenu, kad duomenų valdytojas turi patikslinti saugumo užtikrinimo tikslus, kuriais galimai grindžiamas kiekvienas duomenų tvarkymas. |
|
66. |
Galiausiai dėl produkto pagerinimu pažymėtina, kad nors su saugumo užtikrinimu susiję pagerinimai, kuriems taikomas jau nagrinėtas konkretus pateisinimas, nėra įtraukti, mano nuomone, toks pateisinimas yra naudingesnis naudotojui, o ne duomenų valdytojui. Šiuo požiūriu sunku suprasti, kokiu mastu jis galėtų būti laikomas teisėtu duomenų valdytojo interesu ir nereikalauti naudotojo sutikimo. Kiek tai susiję su sąlyga dėl būtinybės ir su teisių ir susijusių interesų palyginimu, darau nuorodą į tai, kas išdėstyta pirma. |
Dėl ketvirtojo ir penktojo prejudicinių klausimų
|
67. |
Ketvirtuoju prejudiciniu klausimu, kuriuo iš esmės išplečiama trečiojo prejudicinio klausimo antra dalis, siekiama sužinoti, ar tam tikrų išvardytų situacijų pasikartojimas reiškia, kad egzistuoja teisėtas interesas, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies f punktą, o penktuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar būtinybė atsakyti į teisėtą prašymą pateikti tam tikrus duomenis, būtinybė kovoti su žalinga veikla ir skatinti saugumą arba būtinybė atlikti tyrimus visuomenės gerovei ir skatinti saugą, vientisumą ir saugumą sudaro ginčijamai praktikai taikytinus pateisinimus ( 91 ). |
|
68. |
Nepriklausomai nuo šių klausimų priimtinumo ( 92 ), apskritai manau, kad, kiek tai susiję su ketvirtuoju prejudiciniu klausimu, negalima atmesti galimybės, jog tam tikros ginčijamai praktikai būdingos sąlygos gali būti pateisinamos teisėtais interesais prašymą priimti prejudicinį sprendimą pateikusio teismo nurodytomis aplinkybėmis ( 93 ), o dėl penktojo prejudicinio klausimo – kad tam tikrais atvejais ginčijama praktika gali būti pateisinama remiantis nurodytomis nuostatomis. |
|
69. |
Vis dėlto iš prašymo priimti prejudicinį sprendimą nematyti, ar ir kokiu mastu Meta Platform Ireland dėl kiekvieno duomenų tvarkymo tikslo ir tvarkomų duomenų tipo nurodė teisėtus interesus, kurių konkrečiai siekiama, arba kitus pateisinimus, kurie gali būti svarbūs nagrinėjamu atveju ( 94 ). Taigi prašymą priimti prejudicinį sprendimą pateikęs teismas, atsižvelgdamas į tai, kas nurodyta pirma, turi nagrinėti kokiu mastu, šio teismo nurodytomis aplinkybėmis, ginčijama praktika yra pateisinama teisėtų Meta Platform Ireland duomenų tvarkymo interesų egzistavimu remiantis BDAR 6 straipsnio 1 dalies f punktu arba viena iš sąlygų, numatytų šio reglamento 6 straipsnio 1 dalies c, d ir e punktuose. |
Dėl atsakymo į trečiąjį–penktąjį prejudicinius klausimus
|
70. |
Taigi siūlau į trečiąjį–penktąjį prejudicinius klausimus atsakyti: BDAR 6 straipsnio 1 dalies b, c, d, e ir f punktai turi būti aiškinami taip, kad ginčijamai praktikai arba tam tikriems ją sudarantiems veiksmams gali būti taikomos šiose nuostatose numatytos išimtys, jeigu kiekvienas nagrinėjamas duomenų tvarkymo būdas atitinka konkrečiame duomenų valdytojo pateiktame pateisinime numatytas sąlygas, t. y.:
|
Dėl šeštojo prejudicinio klausimo
|
71. |
Šeštuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 6 straipsnio 1 dalies a punktas ir 9 straipsnio 2 dalies a punktas turi būti aiškinami taip, kad nacionalinėje internetinių socialinių tinklų rinkoje dominuojančią padėtį užimančiai įmonei galima pateikti galiojantį ir savanorišką privačių naudotojų sutikimą, kaip jis suprantamas pagal šio reglamento 4 straipsnio 11 punktą. |
|
72. |
Pirmiausia primenu, kad BDAR 6 straipsnio 1 dalies a punkte ir 9 straipsnio 2 dalies a punkte numatyta duomenų subjekto pareiga duoti sutikimą, kiek tai atitinkamai susiję su asmens duomenų tvarkymu apskritai ir su neskelbtinų asmens duomenų tvarkymu. Be to, BDAR 4 straipsnio 11 punkte numatyta, kad šiame reglamente „duomenų subjekto sutikimas“ apibrėžiamas kaip bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios pareiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys ( 95 ). |
|
73. |
Konkrečiau kalbant apie „laisvo“ sutikimo sąlygą, dėl kurios vienintelės keliamas klausimas šioje byloje, pažymiu, kad pagal BDAR 42 konstatuojamąją dalį sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ( 96 ) ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos ( 97 ). Be to, kaip numatyta BDAR 7 straipsnio 1 dalyje (ir priminta jo 42 konstatuojamojoje dalyje), kai duomenų tvarkymas grindžiamas duomenų subjekto sutikimu, duomenų valdytojas turėtų gebėti įrodyti, kad šis duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys. |
|
74. |
Kiek tai svarbu šioje byloje, pirma, primenu, kad, kaip nurodyta BDAR 43 konstatuojamosios dalies pirmame sakinyje, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu, kai yra aiškus duomenų subjekto ir duomenų valdytojo „padėties disbalansas“ ( 98 ), antra, kad pagal BDAR 7 straipsnio 4 dalį vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti ( 99 ), ir galiausiai, kad pagal BDAR 43 konstatuojamosios dalies antrąjį sakinį laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais ( 100 ). |
|
75. |
Nagrinėjamu atveju manau, kad tai, jog socialinį tinklą eksploatuojantis asmens duomenų valdytojas galimai užima dominuojančią padėtį rinkoje, yra svarbu vertinant to tinklo naudotojo laisvo sutikimo buvimą. Tikėtina, kad dėl asmens duomenų valdytojo turimos galios rinkoje gali atsirasti aiškus galios disbalansas, kaip nurodyta šios išvados 74 punkte ( 101 ). Vis dėlto reikia patikslinti, pirma, jog tam, kad tokia galios rinkoje padėtis būtų svarbi BDAR taikymui, ji nebūtinai turi būti sutapatinta su dominuojančios padėties riba, kaip tai suprantama pagal SESV 102 straipsnį ( 102 ), ir, antra, kad vien dėl šios aplinkybės sutikimas iš esmės negali netekti galios ( 103 ). |
|
76. |
Taigi sutikimo galiojimas turės būti nagrinėjamas kiekvienu konkrečiu atveju, atsižvelgiant į kitus šios išvados 73 ir 74 punktuose nurodytus veiksnius, visas bylos aplinkybes ir į tai, kad pareiga įrodyti, jog duomenų subjektas sutiko, kad jo asmens duomenys būtų tvarkomi, tenka duomenų valdytojui. |
|
77. |
Apibendrindamas siūlau į šeštąjį prejudicinį klausimą atsakyti: BDAR 6 straipsnio 1 dalies a punktas ir 9 straipsnio 2 dalies a punktas turi būti aiškinami taip, kad vien aplinkybės, kad socialinį tinklą eksploatuojanti įmonė nacionalinėje internetinių socialinių tinklų, skirtų privatiems naudotojams, rinkoje užima dominuojančią padėtį, nepakanka, kad būtų laikoma, jog šio tinklo naudotojo sutikimas, kad būtų tvarkomi jo asmens duomenys, yra galiojantis, kaip tai suprantama pagal BDAR 4 straipsnio 11 punktą. Vis dėlto tokia aplinkybė yra svarbi vertinant, ar sutikimas duotas laisva valia, kaip tai suprantama pagal šią nuostatą, o tai turi įrodyti duomenų valdytojas, prireikus atsižvelgdamas į tai, kad egzistuoja akivaizdus duomenų subjekto ir duomenų valdytojo galios disbalansas, į galimą įpareigojimą sutikti, kad asmens duomenys (išskyrus aptariamoms paslaugoms teikti tikrai reikalingus duomenis) būtų tvarkomi, į būtinybę, kad sutikimas atitiktų kiekvieną konkretų duomenų tvarkymo tikslą, ir būtinybę vengti, kad sutikimą atšaukusiam naudotojui dėl to būtų padaryta žala. |
Išvada
|
78. |
Atsižvelgdamas į tai, kas išdėstyta, Teisingumo Teismui siūlau taip atsakyti į Oberlandesgericht Düsseldorf (Diuseldorfo aukštesnysis apygardos teismas, Vokietija) pateiktus prejudicinius klausimus:
|
( 1 ) Originalo kalba: prancūzų.
( 2 ) T. y. Meta Platforms Inc., buvusi Facebook Inc., Meta Platforms Ireland Limited, buvusi Facebook Ireland Ltd, ir Facebook Deutschland GmbH (toliau – Meta Platforms arba ieškovė pagrindinėje byloje).
( 3 ) 2019 m. vasario 6 d. Sprendimas B6-22/16 (toliau – ginčijamas sprendimas).
( 4 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 127, 2018, p. 2) (toliau – BDAR).
( 5 ) Iki 2021 m. sausio 18 d. galiojusi redakcija.
( 6 ) Šiuo tikslu Meta platforms renka ne tik duomenis, kuriuos naudotojai tiesiogiai pateikia užsiregistruodami naudojimuisi atitinkamomis interneto paslaugomis, bet ir kitus su naudotojais ir prietaisais susijusius duomenis tiek socialinio tinklo bei grupės teikiamų interneto paslaugų viduje, tiek išorėje, ir šiuos duomenis susieja su įvairių atitinkamų vartotojų paskyromis. Minėti duomenys, vertinami bendrai, leidžia daryti išsamias išvadas apie naudotojų pageidavimus ir interesus.
( 7 ) Konkrečiau kalbant apie asmens duomenų tvarkymą, pažymėtina, kad paslaugų teikimo sąlygose daroma nuoroda į Meta Platforms nustatytą duomenų ir „slapukų“ naudojimo politiką. Vadovaudamasi šia politika Meta Platforms renka naudotojų ir jų prietaisų duomenis apie jų veiklą socialiniame tinkle ir už jo ribų ir juos susieja su jų Facebook paskyromis. Už socialinio tinklo ribų vykdomą veiklą sudaro, viena vertus, lankymasis trečiųjų šalių interneto svetainėse ir taikomosiose programėlėse, kurios programavimo sąsajomis, t. y. „Facebook Business Tools“, yra susietos su Facebook, o kita vertus – kitų Meta Platforms priklausančių, kaip antai Instagram ir WhatsApp, paslaugų naudojimas.
( 8 ) Bundeskartellamt teigimu, šiuo duomenų tvarkymu, kuriuo išreiškiama įtaka rinkoje, buvo pažeistos BDAR nuostatas, o tai nėra pateisinama pagal šio reglamento 6 straipsnio 1 dalį ir 9 straipsnio 2 dalį.
( 9 ) 2019 m. liepos 31 d.Meta Platforms nustatė (paskatinus Europos Komisijai ir valstybių narių nacionalinėms vartotojų teisių apsaugos organizacijoms) naujas paslaugų teikimo sąlygas, kuriose atkreipiamas dėmesys į tai, kad naudotojas, užuot mokėjęs už Facebook produktų naudojimą, pareiškia, jog jis sutinka su tuo, kad jam bus rodoma reklama. Be to, nuo 2020 m. sausio 28 d.Meta Platforms visame pasaulyje siūlo veiklą už Facebook ribų, vadinamą „Off-Facebook-Activity“, kuri leidžia Facebook naudotojams gauti su jais susijusios informacijos apie jų veiklą kitose interneto svetainėse ir taikomosiose programėlėse santrauką ir šiuos duomenis, jei pageidauja, atskirti nuo savo Facebook paskyros tiek atgaline data, tiek ateičiai.
( 10 ) Man atrodo, kad formuluotė „nustatė, <…> kad pažeidžia BDAR <…> bei nurodė nutraukti šį pažeidimą“, vartojama pirmajame prejudiciniame klausime, turi būti aiškinama taip.
( 11 ) Bet kuriuo atveju, kadangi BDAR numatytas visiškas duomenų apsaugos teisės suderinimas, kurio pagrindinis elementas yra suderintas įgyvendinimo mechanizmas, grindžiamas šio reglamento 51–67 straipsniuose numatytu „vieno langelio“ principu, man atrodo akivaizdu, kad kita institucija, o ne priežiūros institucijos, kaip jos suprantamos pagal šį reglamentą (pavyzdžiui, konkurencijos institucija), neturi kompetencijos nei iš esmės nustatyti šio reglamento pažeidimo, nei taikyti numatytas bausmes.
( 12 ) Bet kuriuo atveju, atsižvelgiant į tai, kad konkurencijos institucija neturi kompetencijos nei pirmiausia nustatyti šio reglamento pažeidimo, nei taikyti numatytų bausmių, manau, kad galimas konkurencijos institucijos sprendimas šiuo klausimu neturėtų pažeisti priežiūros institucijų kompetencijos pagal BDAR.
( 13 ) Man atrodo, kad septintajame prejudiciniame klausime esanti formuluotė „pavyzdžiui, lygindama interesus, gali padaryti išvadą dėl šios įmonės taikomų duomenų tvarkymo sąlygų ir jų įgyvendinimo atitikties BDAR“ turi būti aiškinama šia prasme.
( 14 ) Žr. šios išvados 11 išnašą.
( 15 ) 2002 m. gruodžio 16 d. Tarybos reglamentas (EB) Nr. 1/2003 dėl konkurencijos taisyklių, nustatytų [SESV 101 ir 102] straipsniuose (OL L 1, 2003, p. 1; 2004 m. specialusis leidimas lietuvių k., 8 sk., 2 t., p. 205).
( 16 ) Pvz., GWB 19 straipsnis, kuriuo grindžiamas ginčijamas sprendimas.
( 17 ) Žr., pavyzdžiui, 2017 m. rugsėjo 6 d. Sprendimo Intel / Komisija (C-413/14 P, EU:C:2017:632) 136 punktą ir jame nurodytą jurisprudenciją. Be to, Teisingumo Teismas patikslino, kad SESV 102 straipsnio taikymo sritis yra bendro pobūdžio ir negali būti ribojama Sąjungos teisės aktų leidėjo priimtais teisės aktais, šiuo atveju – teisės aktais elektroninių ryšių srityje (šiuo klausimu žr. 2014 m. liepos 10 d. Sprendimo Telefónica ir Telefónica de España / Komisija, C-295/12 P, EU:C:2014:2062, 128 punktą).
( 18 ) Iš tiesų, atsižvelgiant į skirtingus abiejų kategorijų normų tikslus, akivaizdu, kad elgesys, susijęs su duomenų tvarkymu, gali pažeisti konkurencijos taisykles ir tada, kai jis atitinka BDAR; ir, atvirkščiai, neteisėtas elgesys, kaip jis suprantamas pagal šį reglamentą, nebūtinai leidžia daryti išvadą, kad juo pažeidžiamos konkurencijos taisyklės. Šiuo klausimu Teisingumo Teismas patikslino, kad elgesio atitiktis konkretiems teisės aktams neužkerta kelio, kad tam pačiam elgesiui būtų taikomi SESV 101 ir 102 straipsniai (be kita ko, žr. 2012 m. gruodžio 6 d. Sprendimą AstraZeneca / Komisija (C-457/10 P, EU:C:2012:770, 132 punktas), kuriame Teisingumo Teismas taip pat priminė, kad daugeliu atvejų piktnaudžiavimas dominuojančia padėtimi yra elgesys, kuris pagal kitas teisės šakas, išskyrus konkurencijos teisę, laikomas teisėtu). Iš tikrųjų, jei piktnaudžiavimu, kaip tai suprantama pagal SESV 102 straipsnį, būtų laikomi tik objektyviai konkurenciją ribojantys ir neteisėti veiksmai, tai reikštų, kad nors tam tikras elgesys potencialiai gali būti žalingas konkurencijai, vien dėl teisėtumo už jį negalėtų būti baudžiama pagal SESV 102 straipsnį, o tai pakenktų šios nuostatos tikslui – nustatyti tvarką, kuria būtų galima užtikrinti, kad konkurencija vidaus rinkoje nebus iškreipta (šiuo klausimu žr. mano išvados byloje Servizio Elettrico Nazionale ir kt., C-377/20, EU:C:2021:998, 37 punktą). Pagal Teisingumo Teismo jurisprudenciją SESV 101 ir 102 straipsniai netaikomi tik tuomet, kai įmonių antikonkurencinę veiklą lemia nacionalinės teisės aktai arba jeigu jais sukuriama teisinė sistema, kuri užkerta kelią bet kokiai jų konkurencinei veiklai, tačiau šie straipsniai gali būti taikomi, jei paaiškėja, kad nacionalinės teisės aktuose palikta konkurencijos, kurią įmonės savo savarankiška veikla gali trukdyti, riboti arba iškraipyti, galimybė (šiuo klausimu žr. 2010 m. spalio 14 d. Sprendimo Deutsche Telekom / Komisija, C-280/08 P, EU:C:2010:603, 80 punktą ir jame nurodytą jurisprudenciją).
( 19 ) Iš tiesų aiškinimas, pagal kurį konkurencijos institucijos, naudodamosi kompetencija, neturi teisės aiškinti BDAR nuostatų, galėtų sukelti abejonių dėl veiksmingo Sąjungos konkurencijos teisės taikymo.
( 20 ) Be to, papildomas konkurencijos institucijos atliekamo BDAR aiškinimo pobūdis nekliudo atlikti teisminę šio aiškinimo kontrolę jurisdikciją konkurencijos srityje turinčiuose nacionaliniuose teismuose, kuriems, atsiradus aiškinimo sunkumų, gali tekti kreiptis į Teisingumo Teismą su prašymu priimti prejudicinį sprendimą, kaip ir šioje byloje, kiek tai susiję su antruoju–šeštuoju prejudiciniais klausimais.
( 21 ) Dėl to, kad konkurencijos institucija aiškina BDAR tik tam, kad būtų galima taikyti konkurencijos teisėje nustatytas normas (ir galbūt skirti baudas), priežiūros institucijos neturėtų netekti savo kompetencijos ir įgaliojimų pagal šį reglamentą. Be to, konkurencijos institucijos galimybė papildomai aiškinti minėtą reglamentą taip pat nesukelia sunkumų nei dėl jo taikymo, nes tai gali atlikti tik priežiūros institucijos, nei dėl taisomųjų priemonių ar baudų skyrimo, nes priemonės ar baudos, kurias gali skirti konkurencijos institucija, yra pagrįstos taisyklėmis, tikslais ir teisėtais interesais, kurie skiriasi saugomų pagal tą patį reglamentą (be kita ko, tokioje situacijoje konkurencijos institucijos ir priežiūros institucijos baudų skyrimas pagal BDAR, mano nuomone, neatitinka ne bis in idem principo (pagal analogiją žr. 2022 m. kovo 22 d. Sprendimo bpost, C-117/20, EU:C:2022:202, 42–50 punktus)).
( 22 ) Be to, skirtingo aiškinimo rizika būdinga bet kuriai reglamentavimo sričiai, į kurią konkurencijos institucija turi arba gali atsižvelgti, kai vertina tam tikro elgesio teisėtumą pagal konkurencijos teisę.
( 23 ) BDAR VI ir VII skyriuose įsteigiami, be kita ko, „vienintelio langelio“ mechanizmai, skirti priežiūros institucijų keitimuisi informacija ir tarpusavio pagalbai.
( 24 ) Žr. Reglamentą Nr. 1/2003 ir 2018 m. gruodžio 11 d. Europos Parlamento ir Tarybos direktyvą (ES) 2019/1, kuria valstybių narių konkurencijos institucijoms suteikta galių veiksmingiau užtikrinti konkurencijos teisės aktų laikymąsi ir tinkamą vidaus rinkos veikimą (OL L 11, 2019, p. 3).
( 25 ) Šiuo klausimu žr., be kita ko, 1989 m. lapkričio 14 d. Sprendimą Italija / Komisija (14/88, EU:C:1989:421, 20 punktas) ir 1991 m. birželio 11 d. Sprendimą Athanasopoulos ir kt. (C-251/89, EU:C:1991:242, 57 punktas).
( 26 ) Be to, pats priežiūros institucijų bendradarbiavimo mechanizmas, įsteigtas BDAR, gali būti laikomas lex specialis, kuriuo papildomas ir patikslinamas ESS 4 straipsnio 3 dalyje įtvirtintas lojalaus bendradarbiavimo principas (doktrinoje, be kita ko, žr. H. Hijmans „Article 51 Supervisory authority“, The ES General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, p. 869). Tas pats pasakytina ir apie kitas bendradarbiavimo priemones, egzistavusias iki BDAR, pavyzdžiui, konkurencijos institucijų bendradarbiavimo sistemą (žr., be kita ko, Reglamento Nr. 1/2003 IV skyrių).
( 27 ) Šiuo klausimu žr. generalinės advokatės V. Trstenjak išvadą byloje Gorostiaga Atxalandabaso / Parlamentas (C-308/07 P, EU:C:2008:498, 89 punktas).
( 28 ) Žr., be kita ko, 2022 m. birželio 2 d. Sprendimą Skeyes (C-353/20, EU:C:2022:423, 52 punktas ir jame nurodyta jurisprudencija). Mano nuomone, gairės dėl veiksmų, kurių reikia imtis, prireikus galėtų būti grindžiamos bendradarbiavimo sistema, įtvirtinta tiek BDAR, tiek konkurencijos srityje, turint omenyje tai, kad, nesant ad hoc nuostatų, konkurencijos institucijai tenkanti rūpestingumo pareiga nereiškia, kad jai nustatomi tokie išsamūs įpareigojimai, pavyzdžiui, tie, kurie numatyti bendradarbiavimo ir nuoseklumo užtikrinimo procedūroje, kaip numatyta BDAR VII skyriuje (pavyzdžiui, negalima tikėtis, kad konkurencijos institucija nusiųs sprendimo projektą kompetentingai priežiūros institucijai pagal šį reglamentą tam, kad gautų šios nuomonę).
( 29 ) Pagal analogiją žr., be kita ko, dėl farmacijos srities, kuriai taikomos Sąjungos taisyklės, 2018 m. sausio 23 d. Sprendimą F. Hoffmann-La Roche ir kt. (C-179/16, EU:C:2018:25, 58–64 punktai).
( 30 ) Kitaip tariant, pats šis sprendimas yra dalis teisinio ir faktinio pagrindo, kurį konkurencijos institucija privalo išnagrinėti, tačiau ji gali laisvai daryti išvadas konkurencijos teisės taikymo požiūriu (žr. šios išvados 18 išnašą).
( 31 ) Atsižvelgdamas į nacionalinių priežiūros institucijų vaidmenį ir funkcijas BDAR įsteigtoje bendradarbiavimo sistemoje manau, kad vien sąveikos su nacionaline priežiūros institucija gali pakakti, kad būtų įvykdytos konkurencijos institucijos rūpestingumo ir lojalaus bendradarbiavimo pareigos, ypač tais atvejais, kai ji neturi galimybės (atsižvelgiant į taikytinas nacionalinės teisės procedūras) arba priemonių (visų pirma kalbinių), kad galėtų tinkamai bendrauti su kitoje valstybėje narėje esančia vadovaujančia priežiūros institucija.
( 32 ) Arba prireikus, kai ši institucija yra kitoje valstybėje narėje, nacionalinę priežiūros instituciją (žr. šios išvados 31 išnašą).
( 33 ) Primintina, kad konkurencijos institucijos pateiktas tam tikrų BDAR nuostatų aiškinimas įgyvendinant savo įgaliojimus neturi įtakos kompetentingų priežiūros institucijų, kaip jos suprantamos pagal šį reglamentą, šių nuostatų aiškinimui ir taikymui (žr. šios išvados 21 išnašą).
( 34 ) Šiuo klausimu Bundeskartellamt teigia, kad rėmėsi Vokietijos konkurencijos teise, pagal kurią jai leidžiama keistis informacija su nacionalinėmis priežiūros institucijomis, kaip tai suprantama pagal BDAR.
( 35 ) Juo labiau kad, kaip teigia Bundeskartellamt, Vokietijos federalinė priežiūros institucija ir vadovaujanti Airijos priežiūros institucija jai patvirtino, kad pastaroji nepradėjo jokios procedūros dėl tų pačių jos nagrinėtų veiksmų.
( 36 ) Prašymą priimti prejudicinį sprendimą pateikęs teismas remiasi, be kita ko, naudojo lankymusi interneto svetainėse ar taikomosiose programėlėse ir duomenų įvedimu šiose svetainėse ar programėlėse (kaip antai pažinčių programėlėse, homoseksualių partnerių paieškos sistemose, politinių partijų interneto svetainėse, su sveikatos priežiūra susijusiose interneto svetainėse), kuriose renkami pagal aptariamą nuostatą saugomi duomenys.
( 37 ) Toliau – neskelbtini asmens duomenys. Kalbama apie asmens duomenų, atskleidžiančių rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose tvarkymą, taip pat apie genetinių duomenų, biometrinių duomenų, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenų arba duomenų apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją tvarkymą.
( 38 ) Beje, norėčiau pažymėti, kad Bundeskartellamt kyla abejonių dėl šio klausimo svarbos ginčui išspręsti, nes savo sprendime ji atsižvelgė į sutikimą pagal BDAR 6 straipsnio 1 dalies a punktą, o ne į sutikimą pagal šio reglamento 9 straipsnio 2 dalies a punktą.
( 39 ) Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas daro nuorodą į „socialinio tinklo papildinius“, kaip antai mygtukus „Patinka“, „Bendrinti“ arba „Facebook Login“ (t. y. į galimybę būti atpažintam naudojant prisijungimo prie Facebook paskyros duomenis), arba į „Account Kit“ (t. y. į galimybę būti atpažintam taikomojoje programėlėje arba interneto svetainėje, nebūtinai susijusioje su Facebook, įvedant telefono numerį arba elektroninio pašto adresą, kai slaptažodis nėra reikalingas).
( 40 ) Taip pat norėčiau atkreipti dėmesį į didelį neatitikimą tarp BDAR versijos prancūzų kalba, kurioje šios nuostatos pirmajame sakinyje kalbama apie asmens duomenų tvarkymą, kuris „atskleidžia“ tam tikras neskelbtinas situacijas, ir versijos vokiečių kalba (ir, be kita ko, versijų graikų ir italų kalbomis), kurioje nurodomas asmens duomenų, „atskleidžiančių“ šias situacijas, tvarkymas. Jeigu neklystu, šios nuostatos versija prancūzų kalba prieštarauja daugeliui kitų kalbinių versijų. Be to, kiek tai susiję su minėta nuostata, man atrodo logiškiau susieti veiksmažodį „atskleisti“ su duomenimis, nes toliau analizuojami duomenys, o ne tvarkymas. Tai taip pat matyti iš BDAR 51 konstatuojamosios dalies teksto prancūzų kalba, kuriame patikslinta, kad neskelbtini asmens duomenys „turėtų apimti asmens duomenis, kuriais atskleidžiama rasinė ar etninė kilmė“ (išskirta mano).
( 41 ) Mano nuomone, BDAR 9 straipsnio 1 dalies (ir šio reglamento) esmės, kuri yra apsaugoti tam tikrus neskelbtinus asmens duomenis, neatitiktų tai, jei būtų daromas skirtumas tarp, viena vertus, rasinės ar etninės kilmės, kuri lemtų draudimą tvarkyti ne tik ją tiesiogiai nurodančius duomenis, bet ir ją atskleidžiančius duomenis, ir, kita vertus, genetinių duomenų, kurių tvarkymo draudimas nebūtų taikomas šią situaciją atskleidžiantiems duomenims, be to, ne visada būtų aišku, kaip atskirti duomenis, kurie atskleidžia tam tikras situacijas (pavyzdžiui, rasinę ar etninę kilmę), nuo duomenų, susijusių su kitomis situacijomis (pavyzdžiui, su sveikata). Šiuo klausimu pažymiu, kad nors BDAR 9 straipsnio 1 dalyje, be kita ko, daroma nuoroda į sveikatos duomenis, jo 4 straipsnio 15 punkte „sveikatos duomenys“ apibrėžiami kaip „asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę“ (išskirta mano). Kaip leidžia suprasti Vokietijos vyriausybė, gali būti, kad šis aptariamos nuostatos formuluotėje esantis neatitikimas yra ne itin sėkmingas bandymas atskirti grynus duomenis, turinčius tiesioginį informacinį turinį, nuo „metaduomenų“, kurių atitinkamas informacinis turinys atsiranda tik konkrečiame kontekste, atliekant vertinimą ar darant sąsają.
( 42 ) Iš esmės, kaip teigia ieškovė pagrindinėje byloje, šie du aspektai skiriasi. Iš tiesų vien tai, kad naudotojas lankėsi interneto svetainėje ar ten bendravo, nebūtinai atskleidžia informaciją apie jo įsitikinimus, sveikatą, politines pažiūras ir t. t., nes susidomėjimas interneto svetaine savaime neparodo, kad jis pritaria toje svetainėje propaguojamoms idėjoms ar atstovaujamoms kategorijoms. Tai ypač pasakytina apie lankymąsi politinės partijos interneto svetainėje arba svetainėje, grindžiamoje tam tikra ideologija, nes tai nebūtinai reiškia, kad laikomasi to paties požiūrio, bet tai gali būti daroma dėl smalsumo ar net dėl kritinio mąstymo minėtos ideologijos atžvilgiu paskatų.
( 43 ) Meta Platforms teigimu, tai, kad naudotojas lankėsi interneto svetainėje arba joje bendravo, savaime neatskleidžia neskelbtinos informacijos, nes net jei būtų pastebėtas susidomėjimas interneto svetaine ir tai būtų panaudota, tai nėra neskelbtinų asmens duomenų tvarkymas. Taip būtų tik tuo atveju, jei naudotojai būtų skirstomi į kategorijas remiantis šiais duomenimis. Taigi duomenims, kurie sudaro ginčijamos praktikos dalyką, taikoma BDAR 9 straipsnio 1 dalyje numatyta apsauga tik tuo atveju, jeigu jie susiję su viena iš joje nurodytų kategorijų ir yra tvarkomi subjektyviai, susipažinus su informacija ir siekiant iš to gauti šių kategorijų informacijos. Vis dėlto pagal Bundeskartellamt aiškinimą, kuris, mano nuomone, yra pernelyg griežtas, vien jau tai, kad duomenų subjektas lankosi konkrečioje interneto svetainėje arba naudoja konkrečią taikomąją programėlę, kurios pagrindinis dalykas patenka į BDAR 9 straipsnio 1 dalyje išvardytas sritis, sudaro galimybę taikyti šia nuostata suteikiamą apsaugą. Neskelbtinų asmens duomenų apsauga nepriklauso nuo duomenų valdytojo ketinimo šiuos duomenis naudoti, nes atitinkamo asmens teisėms poveikį daro jau tai, kad minėti duomenys nuo jo nebepriklauso.
( 44 ) Iš tiesų, kaip pripažino Europos duomenų apsaugos valdyba (EDAV), vien tai, kad turinio socialiniuose tinkluose teikėjas apdoroja didelius duomenų kiekius, kurie galėtų būti panaudoti, siekiant išskirti specialias duomenų kategorijas, savaime nereiškia, kad duomenų tvarkymas patenka į BDAR 9 straipsnio taikymo sritį (žr. 2021 m. balandžio 13 d. EDAV gairių 8/2020 dėl tikslinės informacijos adresavimo socialinių medijų naudotojams (toliau – EDAV gairės 8/2020) 124 punktą).
( 45 ) Mano nuomone, toks aiškinimas leistų išvengti situacijos, kurią pagrindinėje byloje kritikuoja ieškovė, kai duomenų valdytojas iš esmės automatiškai pažeistų BDAR, nes negalėtų užkirsti kelio galimam informacijos, netiesiogiai susijusios su neskelbtinų duomenų kategorijomis, gavimui (visų pirma per automatizuotas priemones), nepažeidžiant duomenų valdytojui tenkančios pareigos įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas riziką atitinkantis saugumo lygis, pagal BDAR 32 straipsnį.
( 46 ) Šiuo klausimu žr. EDAV gairių 8/2020 125 punktą.
( 47 ) Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo asmeniškai pritaikytą socialinį tinklą ir reklamą, tinklo saugumo užtikrinimą, paslaugų gerinimą, pritaikytų paslaugų ir analizės paslaugų teikimą reklamuotojams, visiems tinkančią paiešką, teisinių įsipareigojimų vykdymą, atitiktį teisės aktuose numatytoms pareigoms, gyvybinių naudotojų ir trečiųjų asmenų interesų apsaugą, viešojo intereso labui vykdomas užduotis.
( 48 ) Pagal analogiją žr. 2016 m. gruodžio 21 d. Sprendimą Tele2 Sverige ir Watson ir kt. (C-203/15 ir C-698/15, EU:C:2016:970, 89 punktą ir jame nurodytą jurisprudenciją) dėl 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 514), iš dalies pakeistos 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/136/EB (OL L 337, 2009, p. 11), 15 straipsnio 1 dalies aiškinimo.
( 49 ) Taip pat žr. Nuomonę 6/2014 (p. 10 ir 11), kurią parengė „29 straipsnio“ duomenų apsaugos darbo grupė, įsteigta pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 29 straipsnį kaip nepriklausomas patariamasis organas, kurį, priėmus BDAR, pakeitė EDAV.
( 50 ) Mano nuomone, ši sąlyga labai panaši į duomenų subjekto sutikimo sąlygą.
( 51 ) Primenu, kad pagal BDAR 5 straipsnio 2 dalį pareiga įrodyti, kad asmens duomenys tvarkomi pagal BDAR normas, tenka būtent duomenų valdytojui.
( 52 ) Be to, nors rūpestingas naudotojas tikriausiai supranta tai, kad naudotojo prieigos informacija yra prieinama interneto svetainės ar programėlės valdytojui, mano nuomone, nėra aišku, ar jis taip pat žino, jog ši informacija yra taip pat prieinama jo Facebook paskyros valdytojui.
( 53 ) Geriausiu atveju naudotojas žino apie savo „ryšį“ su svetainės ar programėlės administratoriumi ir trečiosiomis šalimis, kurioms jis perduoda šią informaciją, tačiau gali būti, kad jis apie šį ryšį nežino, nes, atsižvelgiant į aplinkybes, gali atrodyti, kad jis atskleidžia informaciją, galbūt anonimiškai, paprastam prietaisui.
( 54 ) Kalbama apie tokius mygtukus, kaip „Patinka“, „Dalintis“ ir t. t. (žr. šios išvados 39 išnašą).
( 55 ) Pavyzdžiui, Facebook siūlo naudotojui, atsižvelgiant į jo pageidavimus, įvairias galimybes pasidalyti jo Facebook paskyroje esančia informacija.
( 56 ) Žinoma, negalima atmesti galimybės, kad tam tikrais atvejais naudotojas šiais veiksmais iš tikrųjų nori perduoti su juo susijusią informaciją neapibrėžtam skaičiui asmenų. Pavyzdžiui, gali būti, kad naudotojas savo Facebook paskyros dalijimosi parinktis sukonfigūravo taip, kad jo profilyje esantis turinys būtų pasiekiamas visiems šio socialinio tinklo naudotojams ir jis tą supranta. Vis dėlto net ir tokiomis aplinkybėmis savaime nėra aišku, kad tokiu elgesiu naudotojas neabejotinai būtų norėjęs išreikšti ketinimą akivaizdžiai viešai paskelbti aptariamus asmens duomenis, atsižvelgiant į griežtą aptariamos išimties pobūdį (žr. šios išvados 42 punktą).
( 57 ) Šiuo klausimu žr. 2019 m. liepos 29 d. Sprendimą Fashion ID (C-40/17, EU:C:2019:629, 87–89 punktai).
( 58 ) Visų pirma identifikatorius „slapukus“ (žr. Direktyvos 2002/58 25 konstatuojamąją dalį).
( 59 ) Be to, šio sutikimo negalima prilyginti aiškiam sutikimui, kad tokie duomenys būtų tvarkomi, kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies a punktą. Sutikimas dėl profiliavimo, kaip tai suprantama pagal BDAR 22 straipsnio 1 dalies c punktą, kurio dalykas akivaizdžiai apsiriboja profilio tvarkymu, taip pat negali būti reikšmingas.
( 60 ) Kiek tai susiję su penktuoju prejudiciniu klausimu, prašymą priimti prejudicinį sprendimą pateikęs teismas į ginčijamą praktiką įtraukė ne tik duomenų rinkimą, susiejimą su naudotojo Facebook paskyra ir duomenų, gautų naudojantis kitomis grupės paslaugomis, t. y. interneto svetainėmis ir trečiųjų asmenų taikomosiomis programėlėmis, naudojimą (žr. šios išvados 10 punktą), bet ir „kitais būdais jau teisėtai surinktų ir su naudotojo Facebook paskyra susietų duomenų naudojimą“.
( 61 ) BDAR 6 straipsnio 1 dalies b punktas.
( 62 ) BDAR 6 straipsnio 1 dalies f punktas.
( 63 ) BDAR 6 straipsnio 1 dalies f punktas.
( 64 ) T. y. kai naudotojai yra nepilnamečiai, kai teikiamos matavimų, analizės ir kitos verslo paslaugos, teikiami rinkodaros pranešimai naudotojams, atliekami tyrimai ir inovacijos siekiant socialinių tikslų bei keičiamasi informacija su teisėsaugos institucijomis ir atsakoma į teisinius prašymus.
( 65 ) BDAR 6 straipsnio 1 dalies c punktas.
( 66 ) BDAR 6 straipsnio 1 dalies d punktas.
( 67 ) BDAR 6 straipsnio 1 dalies e punktas.
( 68 ) Iš tiesų atrodo, kad ketvirtuoju prejudiciniu klausimu Teisingumo Teismo prašoma priimti sprendimą veikiau dėl BDAR 6 straipsnio 1 dalies f punkto taikymo, o ne jį išaiškinti, o penktajame prejudiciniame klausime nenurodytos priežastys, dėl kurių prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl šio reglamento 6 straipsnio 1 dalies c, d ir e punktų aiškinimo.
( 69 ) Žr. 2019 m. spalio 8 d. EDAV gairių 2/2019 dėl asmens duomenų tvarkymo pagal BDAR 6 straipsnio 1 dalies b punktą, kai duomenų subjektams teikiamos internetinės paslaugos (toliau – EDAV gairės 2/2019), 1 punktą.
( 70 ) Šiuo klausimu pažymėtina, kad nors šalys pagrindinėje byloje iš esmės sutinka su prielaida, kad, siekiant taikyti aptariamus pateisinimus, reikia kiekvienu konkrečiu atveju atlikti analizę, tačiau jų nuomonės dėl praktinių šios prielaidos pasekmių skiriasi. Bundeskartellamt pabrėžia, kad duomenų valdytojui tenka pareiga išsamiai nustatyti, kokie duomenys bus tvarkomi konkrečiai pagal kokį naudojimo scenarijų, ir visų pirma nurodo, kad ieškovė pagrindinėje byloje tik teigė, jog visas duomenų, gautų iš kitų nei Facebook šaltinių, tvarkymas yra būtinas siekiant kiekvieno iš paslaugų teikimo sąlygose nurodytų duomenų tvarkymo tikslų. Vis dėlto Meta Platforms Ireland mano, kad, neišnagrinėjusi kiekvieno duomenų tvarkymo ypatumų, Bundeskartellamt negalėjo atmesti galimybės, kad ginčijama praktika gali būti grindžiama aptariamais pateisinimais, todėl negalėjo padaryti išvados, kad ši praktika yra nesuderinama su BDAR.
( 71 ) Naudotojo sutikimas yra numatytas BDAR 6 straipsnio 1 dalies a punkte.
( 72 ) Šiuo klausimu EDAV gairių 2/2019 16 punkte, be kita ko, patikslinta, kad tikslo ribojimo (BDAR 5 straipsnio 1 dalies b punktas) ir duomenų kiekio mažinimo principai (BDAR 5 straipsnio 1 dalies c punktas) yra ypač svarbūs interneto paslaugų teikimo sutartyse, dėl kurių paprastai atskirai nesiderama, nes yra padidėjusi rizika, jog duomenų valdytojai sieks įtraukti sąlygas, skirtas duomenų surinkimui ir galimiems jų panaudojimo būdams kuo labiau padidinti, tinkamai nenurodant šių tikslų ir nenumatant duomenų kiekio mažinimo įpareigojimų.
( 73 ) Pagal EDAV gairių 2/2019 2 punktą šia nuostata palaikoma laisvė užsiimti verslu, užtikrinama pagal Chartijos 16 straipsnį, ir atspindima tai, kad kartais sutartiniai įsipareigojimai, prisiimti duomenų subjektui, negali būti įvykdyti, jeigu duomenų subjektas nepateikia tam tikrų asmens duomenų. Patikslinu, kad antrasis šioje nuostatoje numatytas atvejis, susijęs su duomenų tvarkymo būtinybe siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį, šiuo atveju nėra svarbus. Tas pats pasakytina ir apie galiojančios sutarties egzistavimą tiek pagal taikytiną sutarčių teisę, tiek pagal kitus teisinius reikalavimus, įskaitant reikalavimus, susijusius su vartojimo sutartimis (be kita ko, žr. 1993 m. balandžio 5 d. Tarybos direktyvą 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993, p. 29; 2004 m. specialusis leidimas lietuvių k., 15 sk., 2 t., p. 288), dėl kurios nepateiktas prašymas priimti prejudicinį sprendimą.
( 74 ) Dėl normos, atitinkančios BDAR 6 straipsnio 1 dalies b punktą ir įtvirtintos Direktyvos 95/46 7 straipsnio e punkte, žr. 2008 m. gruodžio 16 d. Sprendimą Huber (C-524/06, EU:C:2008:724, 52 punktas).
( 75 ) Be to, nors vien asmens duomenų tvarkymo paminėjimo sutartyje ar nuorodos į tai nepakanka, kad aptariamas duomenų tvarkymas patektų į BDAR 6 straipsnio 1 dalies b punkto taikymo sritį, duomenų tvarkymas gali būti objektyviai būtinas, net jeigu jis nėra aiškiai nurodytas sutartyje, nepažeidžiant duomenų valdytojo įsipareigojimų skaidrumo srityje (žr. EDAV gairių 2/2019 27 punktą).
( 76 ) Žr. EDAV gairių 2/2019 25 punktą.
( 77 ) Šiuo klausimu žr. 2010 m. lapkričio 9 d. Sprendimą Volker und Markus Schecke ir Eifert (C-92/09 ir C-93/09, EU:C:2010:662, 86 punktas) ir EDAV gairių 2/2019 25 punktą. Šiuo klausimu šių gairių 27–32 punktuose visų pirma nurodoma tai, kad duomenų tvarkymas turi būti objektyviai būtinas siekiant tikslo, kuris yra neatskiriama tos sutartimi nustatytos paslaugos teikimo duomenų subjektui dalis, o duomenų valdytojas turėtų gebėti įrodyti, kad konkrečios sutarties su duomenų subjektu pagrindinis dalykas iš tikrųjų negali būti įvykdytas, jeigu nevykdomas konkretus aptariamų asmens duomenų tvarkymas. Minėtų gairių 33 punkte šiuo aspektu pateikiami pagrindiniai klausimai.
( 78 ) Žr. EDAV gairių 2/2019 32 punktą.
( 79 ) Žr. EDAV gairių 2/2019 37 punktą.
( 80 ) Šiuo klausimu Austrijos vyriausybė tinkamai pažymi, kad anksčiau ieškovė pagrindinėje byloje leido Facebook naudotojams pasirinkti tarp chronologinio ir asmeniškai pritaikyto turinio naujienų sklaidos kanale pateikimo, o tai įrodo, kad galima taikyti alternatyvią tvarką.
( 81 ) Atsižvelgdamas į prašymą priimti prejudicinį sprendimą pateikusio teismo vertinimą, nemanau, kad asmens duomenų rinkimas ir naudojimas už Facebook ribų galėtų būti būtinas teikiant paslaugas, siūlomas naudotojo Facebook profilyje ir kad iš pradžių duotas sutikimas dėl prieigos prie socialinio tinklo (t. y. Facebook naudotojo profilio sukūrimas) galėtų teisėtai apimti naudotojo asmens duomenų tvarkymą už Facebook ribų. Iš tiesų, esant tokiai aplinkybei, naudojimuisi aptariamomis paslaugomis būtų reikalingas sutikimas, kuris nėra būtinas sutarčiai vykdyti, o pagal BDAR 7 straipsnio 4 dalį prašymą priimti prejudicinį sprendimą pateikęs teismas turi kuo labiau atsižvelgti į šią aplinkybę (kuri pagal BDAR 43 konstatuojamąją dalį laikytina sutikimo negaliojimo prielaida, kurią nuginčyti turi duomenų valdytojas, kaip tai suprantama pagal BDAR 7 straipsnio 1 dalį). Be to, mano nuomone, toks sutikimas taip pat neatitinka taisyklės, pagal kurią reikalaujama duoti atskirą sutikimą atskiroms asmens duomenų tvarkymo operacijoms (žr. šios išvados 74 punkto trečiąją dalį), nes pradinis naudotojo sutikimas susikurti Facebook paskyrą yra visiškai nesusijęs su jo sutikimu dėl asmens duomenų tvarkymo už Facebook ribų. Be to, net esant vėlesniam sutikimui, duotam būtent dėl duomenų naudojimo už Facebook ribų, svarbu išnagrinėti, ar duomenų valdytojas siūlo pasirinkti tokią pat paslaugą, nereiškiančią, kad ja naudojantis reikia duoti sutikimą su asmens duomenų tvarkymu papildomais tikslais (žr. 2020 m. gegužės 4 d. EDAV gairių 5/2020 dėl sutikimo pagal Reglamentą (ES) 2016/679 (toliau – EDAV gairės 5/2020) 37 punktą, o šių gairių 38 punkte taip pat patikslinta, kad duomenų valdytojas negali remtis lygiaverte kito ekonominės veiklos vykdytojo teikiama paslauga).
( 82 ) Kaip pažymi Austrijos vyriausybė, man atrodo, lemiamą reikšmę šiuo klausimu turi tai, kad įvairūs grupės produktai gali būti naudojami atskirai vieni nuo kitų ir kad kiekvienos paslaugos naudojimas grindžiamas atskira naudojimo sutartimi. Be to, kaip pažymi Bundeskartellamt, užuot laikius, kad nuoseklus ir sklandus naudojimasis grupės paslaugomis yra būtinas grupės paslaugoms teikti, reikėtų laikyti, kad toks naudojimasis atitinka naudotojo interesus, todėl iš esmės būtų tikslingiau, jei tai būtų palikta pastarojo pasirinkimui.
( 83 ) Pagal analogiją žr. 2017 m. gegužės 4 d. Sprendimą Rīgas satiksme (C-13/16, EU:C:2017:336, 28 punktas) dėl BDAR 6 straipsnio 1 dalies f punktą atitinkančios normos, įtvirtintos Direktyvos 95/46 7 straipsnio f punkte.
( 84 ) Kaip pažymėta generalinio advokato M. Bobek išvadoje byloje Fashion ID (C-40/17, EU:C:2018:1039, 122 punktas), atrodo, kad sąvoka „teisėtas interesas“ pagal Direktyvą 95/46 yra gana lanksti ir atvira. Iš tiesų, kaip teigia ieškovė pagrindinėje byloje, Teisingumo Teismas pripažino, kad daug interesų yra teisėti (žr., be kita ko, 2014 m. gegužės 13 d. Sprendimą Google Spain ir Google (C-131/12, EU:C:2014:317, 81 punktas), 2016 m. spalio 19 d. Sprendimą Breyer (C-582/14, EU:C:2016:779, 55 punktas), 2017 m. gegužės 4 d. Sprendimą Rīgas satiksme (C-13/16, EU:C:2017:336, 29 punktas), 2019 m. rugsėjo 24 d. Sprendimą GC ir kt. (Nuorodų į neskelbtinus duomenis pašalinimas) (C-136/17, EU:C:2019:773, 53 punktas), 2019 m. gruodžio 11 d. Sprendimą Asociaţia de Proprietari bloc M5A-ScaraA (C-708/18, EU:C:2019:1064, 59 punktas) ir 2021 m. birželio 17 d. Sprendimą M.I.C.M. (C-597/19, EU:C:2021:492, 108 ir 109 punktai). Tokia pati išvada, mano nuomone, darytina remiantis BDAR, kurio 47 konstatuojamojoje dalyje kaip pavyzdys nurodoma, be kita ko, situacija, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje ir kai asmens duomenys tvarkomi sukčiavimo prevencijos arba tiesioginės rinkodaros tikslais, o jo 49 konstatuojamojoje dalyje minimas tinklo ir informacijos bei siūlomų paslaugų saugumas.
( 85 ) Mano nuomone, tai apima reikalavimą patikslinti, kuriuo teisėtu interesu grindžiama atitinkama duomenų tvarkymo operacija.
( 86 ) Žr. 2017 m. gegužės 4 d. Sprendimą Rīgas satiksme (C-13/16, EU:C:2017:336, 30 punktas) ir 2021 m. birželio 17 d. Sprendimą M.I.C.M. (C-597/19, EU:C:2021:492, 110 punktas).
( 87 ) Šiuo klausimu žr. 2017 m. gegužės 4 d. Sprendimą Rīgas satiksme (C-13/16, EU:C:2017:336, 31 punktas) ir 2021 m. birželio 17 d. Sprendimą M.I.C.M. (C-597/19, EU:C:2021:492, 111 punktas). Šiuo klausimu Teisingumo Teismas priminė, kad pagal Direktyvos 95/46 7 straipsnio f punktą (kuris atitinka BDAR 6 straipsnio 1 dalies f punktą) valstybei narei draudžiama kategoriškai ir visais atvejais panaikinti galimybę tvarkyti tam tikrų rūšių asmens duomenis, neleidžiant palyginti konkrečioje situacijoje priešingų teisių ir interesų, ir patikslino, kiek tai susiję su šių rūšių duomenimis, kad valstybė narė negali numatyti galutinio priešingų teisių ir interesų palyginimo rezultato ir neleisti konkrečiu atveju, kuriam būdingos specifinės aplinkybės, pasiekti kitokio rezultato (2016 m. spalio 19 d. Sprendimo Breyer, C-582/14, EU:C:2016:779, 62 punktas ir jame nurodyta jurisprudencija).
( 88 ) 29 straipsnio darbo grupės Nuomonės 6/2014 III.3.4 dalyje šiuo klausimu pateikiami įdomūs argumentai.
( 89 ) Iš tiesų pagal BDAR 49 konstatuojamąją dalį asmens duomenų tvarkymas tiek, kiek jis yra būtinas ir proporcingas siekiant užtikrinti tinklo ir informacijos saugumą, laikomas teisėtu atitinkamo duomenų valdytojo interesu. Tai galėtų, pavyzdžiui, apimti atvejus, kai siekiama užkirsti kelią neteisėtai prieigai prie elektroninių ryšių tinklų ir kenkimo programų kodų platinimui. Taip pat pažymiu, kad pagal BDAR 32 straipsnį duomenų valdytojas, inter alia, įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, o pagal šio reglamento 5 straipsnio 1 dalies f punktą asmens duomenys turi būti tvarkomi tokiu būdu, kad būtų užtikrintas tinkamas asmens duomenų saugumas.
( 90 ) Taigi reikia patikrinti, kokiu mastu asmens duomenų, nesusijusių su Facebook svetaine ar taikomąja programėle, tvarkymas yra būtinas Facebook saugumui užtikrinti. Nors šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad yra galimybė naudoti WhatsApp duomenis siekiant apsisaugoti nuo brukalų (naudojant informaciją, gautą iš WhatsApp paskyrų, kurios siunčia brukalus, siekiant imtis veiksmų prieš atitinkamas Facebook paskyras) ir Instagram duomenis siekiant nustatyti įtartiną ir neteisėtą elgesį, abejoju, ar ieškovė pagrindinėje byloje galėtų suteikti sau teisę tvarkyti asmens duomenis „teisėtvarkos“ tikslais lato sensu, atsižvelgiant į tai, kad pagal Teisingumo Teismo jurisprudenciją elektroninių ryšių duomenų srityje (kuri skiriasi, bet yra susijusi) pagal Direktyvą 2002/58 draudžiamos net teisėkūros priemonės, kuriomis prevenciškai numatomas bendras ir nediferencijuotas srauto ir vietos nustatymo duomenų saugojimas (žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C-511/18, C-512/18 ir C-520/18, EU:C:2020:791, 168 punktą). Be to, jeigu būtinybė užtikrinti tinklo saugumą susijusi su teisės aktuose numatytu reikalavimu, duomenų valdytojas gali remtis BDAR 6 straipsnio 1 dalies c punkte numatytu konkrečiu pateisinimu.
( 91 ) Pagal BDAR 6 straipsnio 1 dalies c, d ir e punktus.
( 92 ) Žr. šios išvados 48 punktą.
( 93 ) Atsižvelgiant į platų jurisprudencijoje pripažįstamų teisėtų interesų spektrą (žr. šios išvados 60 punktą). Pavyzdžiui, man iš esmės atrodo akivaizdu, kad nepilnamečių apsauga gali pateisinti tinkamų apsaugos priemonių, skirtų jiems prieigai prie netinkamo ar pavojingo turinio uždrausti, priėmimą.
( 94 ) Iš tiesų pagal BDAR 13 straipsnio 1 dalies c ir d punktus duomenų valdytojas, be kita ko, turi nurodyti dėl kiekvieno duomenų tvarkymo tikslo savo paties arba trečiosios šalies siekiamus teisėtus interesus.
( 95 ) 2020 m. lapkričio 11 d. Sprendime Orange Romania (C-61/19, EU:C:2020:901, 35 ir 36 punktai ir juose nurodyta jurisprudencija) Teisingumo Teismas patikslino, kad BDAR 4 straipsnio 11 punkto formuluotė, kuri apibrėžia „duomenų subjekto sutikimą“, atrodo dar griežtesnė nei Direktyvos 95/46 2 straipsnio h punkto formuluotė, nes pagal ją reikalaujama, kad „laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto“ duomenų subjekto sutikimas būtų duotas pareiškimu arba „vienareikšmiais veiksmais“, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
( 96 ) Kaip nurodo EDAV, prieveiksmis „laisvai“ reiškia kad duomenų subjektai turi realų pasirinkimą ir kontrolę (žr. EDAV gairių 5/2020 13 punktą). Tame pačiame punkte, be kita ko, patikslinama, kad nelaikoma, jog sutikimas duotas laisva valia, jeigu, pirma, duomenų subjektas yra priverstas sutikti arba, jeigu neduotų sutikimo, patirtų didelių neigiamų pasekmių ir, antra, sutikimas pateikiamas kaip bendrų sutarties sąlygų, dėl kurių atskirai nesiderama, dalis. Taigi sutikimas nebus laikomas duotu laisva valia, jei šis duomenų subjektas negali atsisakyti sutikti arba duoto sutikimo atšaukti, nepatirdamas žalos. Tokiu atveju, kaip pabrėžia ieškovė pagrindinėje byloje, vienintelis trūkumas, su kuriuo duomenų subjektas turi sutikti, yra tas, kad paslauga gali tam tikrais atvejais neturėti tokios pačios funkcijos ar kokybės, todėl duomenų tvarkymas, dėl kurio nebuvo duotas sutikimas, techniniu požiūriu būtų būtinas.
( 97 ) Šiuo klausimu EDAV gairių 5/2020 47 punkte minima apgaulė, bauginimas, prievarta arba reikšmingos neigiamos pasekmės tuo atveju, jei duomenų subjektas sutikimo neduotų, ir primenama, kad duomenų valdytojas turėtų gebėti įrodyti, kad duomenų subjektas turėjo laisvą ar realų pasirinkimą sutikti arba nesutikti.
( 98 ) Be 43 konstatuojamojoje dalyje nurodytų situacijų, susijusių su santykiais su viešosios valdžios institucijomis ir darbo santykiais, kurios nagrinėjamu atveju neturi reikšmės, EDAV gairių 5/2020 24 punkte, be kita ko, nurodytos situacijos, kai duomenų subjektas iš tikrųjų negali laisvai pasirinkti arba kai nedavus sutikimo jam kyla apgaulės, bauginimo, prievartos arba rimtų neigiamų pasekmių (pavyzdžiui, nemažų papildomų išlaidų) atsiradimo rizika.
( 99 ) Šis klausimas iš dalies sutampa su klausimu, kuris yra trečiojo prejudicinio klausimo pirmos dalies dalykas (žr. šios išvados 53–57 punktus). BDAR 43 konstatuojamosios dalies antrame sakinyje patikslinta, kad tokiu atveju laikoma, jog sutikimas nebuvo duotas laisva valia (pagal EDAV gairių 5/2020 26 punktą taip BDAR užtikrinama, kad asmens duomenų tvarkymas, su kuriuo prašoma sutikti, negalėtų tiesiogiai ar netiesiogiai tapti atlygiu už sutarties vykdymą), o žodžio „laikoma“ vartojimas aiškiai parodo, kad atvejai, kai sutikimas galioja, bus visiškai išimtiniai (žr. šių gairių 35 punktą). Be to, BDAR 7 straipsnio 4 dalis buvo suformuluota neišsamiai vartojant žodžius „inter alia“, nes tai reiškia, kad gali būti įvairių kitų situacijų, kurias apimtų ši nuostata, įskaitant kai duomenų subjektui daromas bet koks netinkamas spaudimas ar įtaka ir dėl to jis negali naudotis savo laisva valia (EDAV gairių 5/2020 14 punktas).
( 100 ) BDAR 32 konstatuojamojoje dalyje, be kita ko, nurodyta, kad sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais, ir kad kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Šiuo klausimu EDAV gairių 5/2020 44 punkte sutikimo „detalizavimas“ nurodomas kaip kliūtis jo laisvei.
( 101 ) Tokiu atveju visų pirma skatinama nustatyti sąlygas, kurios nėra būtinos sutarčiai vykdyti (žr. šios išvados 53–57 punktus).
( 102 ) Kitaip tariant, kaip pažymi Komisija, įmonės santykinės galios rinkoje laipsnis, kuris yra lemiamas sutikimo galiojimui pagal BDAR, nebūtinai turi būti tapatinamas su dominuojančios padėties rinkoje riba pagal SESV 102 straipsnį.
( 103 ) Žinoma, nors vien dominuojančios padėties buvimas savaime neprieštarauja galimybei duoti laisva valia sutikimą dėl asmens duomenų tvarkymo, vien tokios padėties nebuvimo nepakanka siekiant bet kokiomis aplinkybėmis užtikrinti, kad toks sutikimas būtų tinkamai duotas.