TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS

2018 m. birželio 5 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – Asmens duomenys – Fizinių asmenų apsauga tvarkant šiuos duomenis – Įpareigojimas deaktyvinti socialiniame tinkle Facebook esantį (gerbėjų) tinklalapį, leidžiantį rinkti ir tvarkyti kai kuriuos šio tinklalapio lankytojų duomenis – 2 straipsnio d punktas – Asmens duomenų valdytojas – 4 straipsnis – Taikytina nacionalinė teisė – 28 straipsnis – Nacionalinės priežiūros institucijos – Šių institucijų įgaliojimai imtis veiksmų“

Byloje C‑210/16

dėl Bundesverwaltungsgericht (Federalinis administracinis teismas, Vokietija) 2016 m. vasario 25 d. sprendimu, kurį Teisingumo Teismas gavo 2016 m. balandžio 14 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

prieš

Wirtschaftsakademie Schleswig-Holstein GmbH,

dalyvaujant

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

TEISINGUMO TEISMAS (didžioji kolegija)

kurį sudaro pirmininkas K. Lenaerts, pirmininko pavaduotojas A. Tizzano (pranešėjas), kolegijų pirmininkai M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský ir E. Levits, teisėjai E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras ir E. Regan,

generalinis advokatas Y. Bot,

posėdžio sekretorė C. Strömholm, administratorė,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2017 m. birželio 27 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, atstovaujamo Rechtsanwälte U. Karpenstein ir M. Kottmann,

Wirtschaftsakademie Schleswig-Holstein GmbH, atstovaujamos Rechtsanwalt C. Wolff,

Facebook Ireland Ltd, atstovaujamos Rechtsanwälte C. Eggers, H.-G. Kamann ir M. Braun ir avvocato I. Perego,

Vokietijos vyriausybės, atstovaujamos J. Möller,

Belgijos vyriausybės, atstovaujamos L. Van den Broeck ir C. Pochet ir P. Cottin ir J.-C. Halleux,

Čekijos vyriausybės, atstovaujamos M. Smolek, J. Vláčil ir L. Březinová,

Airijos, atstovaujamos M. Browne, L. Williams, E. Creedon ir G. Gilmore ir A. Joyce,

Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato P. Gentili,

Nyderlandų vyriausybės, atstovaujamos C. S. Schillemans ir M. K. Bulterman,

Suomijos vyriausybės, atstovaujamos J. Heliskoski,

Europos Komisijos, atstovaujamos H. Krämer ir D. Nardi,

susipažinęs su 2017 m. spalio 24 d. posėdyje pateikta generalinio advokato išvada,

priima šį

Sprendimą

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k. 13 sk., 15 t., p. 355) išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Šlėzvigo-Holšteino nepriklausoma regioninė duomenų apsaugos institucija, Vokietija) (toliau – ULD) ir pagal privatinę teisę įsteigtos mokymo bendrovės Wirtschaftsakademie Schleswig-Holstein GmbH (toliau – Wirtschaftsakademie) ginčą dėl pastarajai skirto ULD įpareigojimo deaktyvinti Facebook socialinio tinklo (toliau – Facebook) svetainėje esantį gerbėjų tinklalapį.

Teisinis pagrindas

Sąjungos teisė

3

Direktyvos 95/46 10, 18, 19 ir 26 konstatuojamosiose dalyse nustatyta:

(10)

kadangi asmens duomenų tvarkymą reglamentuojančių nacionalinių įstatymų tikslas – apsaugoti pagrindines teises ir laisves, ypač privatumo teisę, ir tai pripažįstama Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnyje, taip pat [Sąjungos] teisės aktų bendruosiuose principuose; kadangi dėl šios priežasties, suvienodinant tokius įstatymus, negali būti sumažinta juose numatyta apsauga, o priešingai – turi būti siekiama aukšto apsaugos lygio visoje [Sąjungoje];

<...>

(18)

kadangi, norint užtikrinti, kad asmenims suteikiama visa apsauga, kurią jiems numato ši direktyva, bet kokie asmens duomenys [Sąjungoje] turi būti tvarkomi laikantis vienos iš valstybių narių įstatymų; kadangi, jeigu atsakomybę už duomenų tvarkymą prisiima kurioje nors valstybėje narėje įsisteigęs duomenų valdytojas, [kadangi svarbu, kad kai duomenis tvarko bet kuris asmuo, veikiantis valstybėje narėje įsteigto duomenų valdytojo nurodymu,] tai turėtų reglamentuoti būtent tos valstybės įstatymai;

(19)

kadangi duomenų valdytojas, įsisteigęs kurioje nors valstybėje narėje, gali veiksmingai ir realiai užsiimti savo veikla pagal nusistovėjusią tvarką [per nuolatinį vienetą]; kadangi įmonės [įsisteigimo] teisinė forma nėra lemiamas veiksnys: tai gali būti paprastas skyrius ar dukterinė įmonė su juridinio asmens teisėmis; kadangi kai kelių valstybių narių teritorijoje steigiamas vienas duomenų valdytojas, ypač filialas [dukterinė įmonė], norėdamas išvengti bet kokio nacionalinių taisyklių apėjimo, jis privalo užtikrinti, kad kiekvienas įsteigtas padalinys vykdys nacionalinės teisės aktų nustatytas jo veiklai taikomas prievoles;

<...>

(26)

kadangi apsaugos principai turi būti taikomi visai informacijai apie asmenį, kurio tapatybė yra nustatyta arba gali būti nustatyta; kadangi norint nustatyti, ar asmens tapatybė gali būti nustatyta, reikėtų atsižvelgti į visas priemones, kuriomis galėtų pasinaudoti duomenų valdytojas ar bet kuris kitas asmuo minėto asmens tapatybei nustatyti; kadangi apsaugos principai netaikomi duomenims, kurie paversti anoniminiais tokiu būdu, kad duomenų subjekto tapatybė nebegali būti nustatyta <…>“

4

Direktyvos 95/46 1 straipsnyje „Direktyvos paskirtis“ numatyta:

„1.   Pagal šią direktyvą valstybės narės saugo fizinių asmenų pagrindines teises ir laisves, o ypač jų privatumo teisę tvarkant asmens duomenis.

2.   Valstybės narės nevaržo ir nedraudžia laisvo asmens duomenų judėjimo tarp valstybių narių dėl priežasčių, susijusių su apsauga, skiriama pagal šio straipsnio 1 dalį.“

5

Šios direktyvos 2 straipsnis „Sąvokos“ suformuluotas taip:

„Šioje direktyvoje:

<...>

b)

„asmens duomenų tvarkymas“ (tvarkymas) reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, kaip antai: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas [paėmimas], paieška [peržiūra], naudojimas, atskleidimas perduodant, platinant [skleidžiant] ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas;

<...>

„d)

„duomenų valdytojas“ reiškia tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus; jeigu tvarkymo tikslus ir būdus nusako nacionaliniai arba [Sąjungos] įstatymai bei norminiai aktai, tai duomenų valdytoją arba specifinius kriterijus, pagal kuriuos skiriamas duomenų valdytojas, gali apibrėžti nacionaliniai arba [Sąjungos] įstatymai;

e)

„duomenų tvarkytojas“ reiškia fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris tvarko asmens duomenis duomenų valdytojo vardu;

f)

„trečioji šalis“ reiškia bet kurį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, nesantį duomenų subjektu, duomenų valdytoju ar duomenų tvarkytoju, arba tokiu asmeniu, kuriam leidžiama tvarkyti duomenis, tiesiogiai įgaliotam duomenų valdytojo ar duomenų tvarkytojo;

<...>“

6

Šios direktyvos 4 straipsnio „Taikytina nacionalinė teisė“ 1 dalyje nurodyta:

„Kiekviena valstybė narė taiko nacionalines nuostatas, kurias ji priima pagal šią direktyvą, kai tvarkomi asmens duomenys, jeigu:

a)

tvarkoma, duomenų valdytojo padaliniui veikiant [duomenys tvarkomi duomenų valdytojo padaliniui vykdant veiklą] valstybės narės teritorijoje; jeigu tas pats duomenų valdytojas steigiamas kelių valstybių narių teritorijoje, jis privalo imtis reikalingų priemonių, kad kiekvienas jo padalinys vykdytų taikytinų nacionalinių įstatymų nustatytas prievoles;

b)

duomenų valdytojas įsikūręs ne valstybės narės teritorijoje, bet tokioje vietoje, kur jos nacionaliniai įstatymai galioja, remiantis tarptautine viešąja teise;

c)

duomenų valdytojas įsisteigęs ne [Sąjungos] teritorijoje ir tvarkydamas asmens duomenis naudojasi automatine ar kitokia įranga, esančia minėtos valstybės narės teritorijoje, nebent tokia įranga būtų naudojama tiktai duomenis tranzitu persiunčiant per [Sąjungos] teritoriją.“

7

Direktyvos 95/46 17 straipsnio „Tvarkymo saugumas“ 1 ir 2 dalyse nustatyta:

„1.   Valstybės narės numato, kad duomenų valdytojas privalo įgyvendinti tinkamas technines ir organizacines priemones, skirtas apsaugoti, kad asmens duomenys nebūtų netyčia ar neteisėtai sunaikinti ar netyčia prarasti, pakeisti, neleistinai atskleisti ar palikti prieinami, ypač kai tvarkomus duomenis tenka perduoti tinklu, taip pat apsaugoti nuo bet kokių kitų neteisėtų tvarkymo būdų.

Atsižvelgus į technologijų lygį ir jų įdiegimo išlaidas, minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų tvarkymo keliamą riziką ir saugotinų duomenų pobūdį.

2.   Valstybės narės numato, kad kai duomenys tvarkomi duomenų valdytojo vardu, jis privalo parinkti tokį kitą duomenų tvarkytoją, kuris garantuotų reikiamas techninio saugumo ir organizacines priemones, taikomas tvarkant numatytus duomenis, ir privalo užtikrinti, kad tokių priemonių būtų laikomasi.“

8

Šios direktyvos 24 straipsnyje „Sankcijos“ numatyta:

„Valstybės narės priima tinkamas priemones užtikrinti, kad šios direktyvos nuostatos būtų visiškai įgyvendintos, ir būtinai išdėsto sankcijas, kurios taikomos pažeidus pagal šią direktyvą priimtas nuostatas.“

9

Direktyvos 28 straipsnis „Priežiūros institucija“ suformuluotas taip:

„1.   Kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos.

Šios valdžios institucijos veikia visiškai nepriklausomai, vykdydamos joms patikėtas funkcijas.“

2.   Kiekviena valstybė narė numato, kad su priežiūros institucijomis turi būti tariamasi, kai rengiamos administracinės priemonės ar taisyklės dėl asmenų teisių ir laisvių apsaugos tvarkant asmens duomenis.

3.   Kiekvienai valdžios institucijai suteikiami visų pirma:

įgaliojimai tirti, kaip antai: įgaliojimai sužinoti tvarkymo operacijų turinį ar įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti,

įgaliojimai veiksmingai įsikišti, pavyzdžiui, įgaliojimai pareikšti nuomonę, iš anksto įvertinus tvarkymo operacijas pagal 20 straipsnį, ir užtikrinti, kad tokios nuomonės būtų tinkamu būdu skelbiamos viešai, taip pat įgaliojimai nurodyti blokuoti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti tvarkyti duomenis, įspėti arba papeikti duomenų valdytoją arba įgaliojimai perduoti klausimą nacionaliniams parlamentams ar kitoms politinėms institucijoms svarstyti,

įgaliojimai dalyvauti teismo procesuose, kai pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, arba atkreipti teismo institucijų dėmesį į tokius pažeidimus.

Priežiūros institucijų priimti sprendimai, sukėlę nusiskundimų, gali būti skundžiami teismuose.

<...>

6.   Kad ir kokie nacionaliniai įstatymai būtų taikomi tvarkant aptariamus duomenis, kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudotis pagal šio straipsnio 3 dalį jai suteiktais įgaliojimais. Kiekviena valdžios institucija gali būti kitos valstybės narės valdžios institucijos paprašyta pasinaudoti savo įgaliojimais.

Priežiūros institucijos tarpusavyje bendradarbiauja tiek, kiek tai reikalinga jų pareigoms vykdyti, ypač keisdamosi visa naudinga informacija.

<...>“

Vokietijos teisė

10

Pagrindinės bylos faktinėms aplinkybėms taikytinos redakcijos Bundesdatenschutzgesetz (Federalinis duomenų apsaugos įstatymas) (toliau – BDSG) 3 straipsnio 7 dalis suformuluota taip:

„Pagal šią nuostatą „atsakingu subjektu laikoma bet kuri organizacija, kuri renka, tvarko ar naudoja asmens duomenis pati arba per kitą asmenį kaip duomenų tvarkytoją.“

11

BDSG 11 straipsnis „Asmens duomenų rinkimas, tvarkymas ar naudojimas per tarpininkus domenų valdytojo vardu“ suformuluotas taip:

„(1)   Jeigu asmens duomenys renkami, tvarkomi ar naudojami per kitą įstaigą kaip duomenų tvarkytoją, duomenų valdytojas atsako už tai, kad būtų laikomasi šio įstatymo ir kitų asmens duomenų apsaugą reglamentuojančių nuostatų. <...>

(2)   Duomenų tvarkytojas parenkamas rūpestingai, ypač atsižvelgiant į techninių ir organizacinių priemonių, kurių jis ėmėsi, tinkamumą. Duomenų tvarkymas valdytojo vardu turi būti patvirtintas raštu; ypač turi būti išsamiai nurodyta: <...>

Prieš duomenų tvarkymo pradžią, o vėliau – reguliariai, duomenų valdytojas turi įsitikinti, kad laikomasi techninių ir organizacinių priemonių, kurias patvirtino duomenų tvarkytojas. Rezultatas turi būti registruojamas.

<...>“

12

BDSG 38 straipsnio 5 dalyje nurodyta:

„Siekdama užtikrinti, kad būtų laikomasi šio įstatymo ir kitų nuostatų, susijusių su duomenų apsauga, priežiūros institucija gali įpareigoti taikyti priemones, kuriomis siekiama ištaisyti konstatuotus pažeidimus renkant, tvarkant arba naudojant asmens duomenis arba techninius ar organizacinius pažeidimus. Jeigu padaroma rimtų pažeidimų ar yra rimtų trūkumų, be kita ko, jei yra konkretus pavojus, kad jais bus pažeista teisė į privatų gyvenimą, ji gali uždrausti rinkti, tvarkyti ar naudoti šiuos duomenis arba taikyti tam tikras procedūras, jeigu pažeidimai ar trūkumai neištaisomi laiku, pažeidžiant pirmajame sakinyje nurodytą įpareigojimą ir nepaisant to, kad paskirta bauda. Ji gali prašyti atleisti duomenų apsaugos pareigūną, jeigu jis neturi jo užduotims atlikti būtinų specialiųjų žinių ir patikimumo.“

13

2007 m. vasario 26 d.Telemediengesetz (Elektroninės žiniasklaidos įstatymas) (BGBl. 2007 I, p. 179, toliau – TMG) 12 straipsnis suformuluotas taip:

(1)   Teikdamas elektroninę paslaugą paslaugų teikėjas gali rinkti ir panaudoti asmens duomenis tik tuo atveju, kai tai leidžiama pagal šį įstatymą ar kitą teisės aktą, aiškiai reglamentuojantį elektroninės žiniasklaidos paslaugas, arba kai naudotojas su tuo sutiko.

<...>

(3)   Jei nenustatyta kitaip, taikomi galiojantys asmens duomenų apsaugos srities teisės aktai, net kai duomenys nėra tvarkomi automatiškai.“

Pagrindinė byla ir prejudiciniai klausimai

14

Wirtschaftsakademie teikia mokymo paslaugas per Facebook esantį gerbėjų tinklalapį.

15

Gerbėjų tinklalapiai – tai vartotojų paskyros, kurias per Facebook gali konfigūruoti fiziniai asmenys arba įmonės. Šiuo tikslu gerbėjų tinklalapio autorius, užsiregistravęs Facebook, gali naudoti šio tinklo sukurtą platformą, siekdamas prisistatyti šio socialinio tinklo vartotojams ir gerbėjų tinklalapyje apsilankiusiems asmenims, taip pat skelbti įvairaus pobūdžio pranešimus žiniasklaidos ir nuomonės formavimo rinkoje. Gerbėjų tinklalapių administratoriai gali gauti anoniminius statistinius duomenis apie šių tinklalapių lankytojus, naudodami įrankį Facebook Insight, kurį Facebook jiems suteikia nemokamai naudotis nekeičiamomis sąlygomis. Šie duomenys renkami naudojant slapukus, kurių kiekvienas turi unikalų naudotojo kodą; jie veikia dvejus metus ir Facebook juos išsaugo gerbėjų tinklalapyje apsilankiusio asmens kompiuterio standžiajame diske arba bet kurioje kitoje laikmenoje. Naudotojo numeris, kurį galima susieti su Facebook prisiregistravusių vartotojų prisijungimo duomenimis, gaunamas ir tvarkomas atidarant gerbėjų tinklalapius. Šiuo klausimu iš prašymo priimti prejudicinį sprendimą matyti, kad nei Wirtschaftsakademie, nei Facebook Ireland Ltd nepranešė apie slapukų išsaugojimo operaciją ir veikimą arba apie tolesnį duomenų tvarkymą, bent jau pagrindinėje byloje reikšmingu laikotarpiu.

16

2011 m. lapkričio 3 d. sprendimu (toliau – ginčijamas sprendimas) ULD, kaip Direktyvos 95/46 28 straipsnyje numatyta priežiūros institucija, kuriai pavesta prižiūrėti šiai direktyvai įgyvendinti Vokietijos Federacinės Respublikos priimtų nuostatų taikymą Šlėzvigo-Holšteino žemėje, pagal BDSG 38 straipsnio 5 dalies pirmą sakinį nurodė Wirtschaftsakademie deaktyvinti gerbėjų tinklalapį, kurį ji sukūrė Facebook interneto adresu www.facebook.com /wirtschaftsakademie; neįvykdžius šio nurodymo per nustatytą terminą, numatyta skirti baudą, motyvuojant tuo, kad nei Wirtschaftsakademie, nei Facebook nepraneša gerbėjų tinklalapio lankytojams, kad naudodamos slapukus renka jų asmens duomenis, paskui juos tvarko. Wirtschaftsakademie apskundė šį sprendimą, iš esmės teigdama, kad pagal taikytiną duomenų apsaugos teisę ji nėra atsakinga nei už Facebook atliekamą duomenų tvarkymą, nei už jos diegiamus slapukus.

17

2011 m. gruodžio 16 d. sprendimu ULD atmetė šį skundą, nusprendusi, kad Wirtschaftsakademie, kaip paslaugų teikėjos, atsakomybė nustatyta pagal TMG 3 straipsnio 3 dalies 4 punktą ir 12 straipsnio 1 dalį, siejamus su BDSG 3 straipsnio 7 dalimi. ULD nurodė, kad sukurdama gerbėjų tinklalapį Wirtschaftsakademie aktyviai ir savanoriškai prisidėjo prie to, kad Facebook rinko asmens duomenis apie šio gerbėjų tinklalapio lankytojus, kuriuos ji gaudavo iš šio socialinio tinklo pateikiamų statistinių duomenų.

18

Wirtschaftsakademie apskundė tokį sprendimą Verwaltungsgericht (Administracinis teismas, Vokietija), teigdama, kad Facebook vykdoma asmens duomenų tvarkymo veikla jai nepriskirtina ir kad ji nepavedė Facebook, kaip tai suprantama pagal BDSG 11 straipsnį, tvarkyti duomenų, kuriuos kontroliuoja arba galėtų paveikti. Tuo remdamasi Wirtschaftsakademie daro išvadą, kad ULD turėjo imtis veiksmų tiesiogiai prieš Facebook ir ginčijamo sprendimo nepriimti jos atžvilgiu.

19

2013 m. spalio 9 d. sprendimu Verwaltungsgericht (Administracinis teismas) panaikino ginčijamą sprendimą, iš esmės kaip motyvą nurodydamas, kad Facebook esančio gerbėjų tinklalapio administratorius nėra „atsakingas subjektas“, kaip tai suprantama pagal BDSG 3 straipsnio 7 dalį, todėl Wirtschaftsakademie negalėjo būti skirta priemonė, kurios imtasi pagal BDSG 38 straipsnio 5 dalį.

20

Oberverwaltungsgericht (Vyresnysis administracinis teismas, Vokietija) atmetė dėl minėto teismo sprendimo ULD pateiktą apeliacinį skundą kaip nepagrįstą. Jis iš esmės nusprendė, kad ginčijamame sprendime įtvirtintas draudimas tvarkyti duomenis yra neteisėtas, nes BDSG 38 straipsnio 5 dalies antrame sakinyje numatytas laipsniškas procesas, ir jo pirmajame etape leidžiama imtis tik tokių priemonių, kuriomis siekiama ištaisyti tvarkant duomenis padarytus pažeidimus. Iš karto taikomą draudimą tvarkyti duomenis galima nustatyti tik jeigu visa duomenų tvarkymo procedūra yra neteisėta ir padėtį galima ištaisyti tik šią procedūrą sustabdžius. Oberverwaltungsgericht (vyresnysis administracinis teismas) nuomone, nagrinėjamu atveju taip nėra, nes Facebook turėjo galimybę nutraukti ULD nurodomus pažeidimus.

21

Oberverwaltungsgericht (Vyresnysis administracinis teismas) pridūrė, kad ginčijamas sprendimas yra neteisėtas dar ir dėl to, kad BDSG 38 straipsnio 5 dalyje numatytas įpareigojimas gali būti taikomas tik atsakingam subjektui, kaip tai suprantama pagal BDSG 3 straipsnio 7 dalį, o Wirtschaftsakademie nėra toks subjektas, kiek tai susiję su Facebook renkamais duomenimis. Iš tiesų tik Facebook sprendžia, kokiu tikslu ir kokiomis priemonėmis bus renkami ir tvarkomi asmens duomenys, naudojami Facebook Insight funkcijai, o Wirtschaftsakademie savo ruožtu tegauna anoniminę statistinę informaciją.

22

ULD pateikė kasacinį skundą Bundesverwaltungsgericht (Federalinis administracinis teismas, Vokietija), jame, be kitų argumentų, nurodė BDSG 38 straipsnio 5 dalies pažeidimą ir kelias apeliacinio teismo padarytas procesines klaidas. Jos nuomone, Wirtschaftsakademie padarytas pažeidimas susijęs su tuo, kad sukurti, suteikti prieglobą ir prižiūrėti interneto svetainę ji pavedė netinkamam paslaugų teikėjui, šiuo atveju Facebook Ireland, nes jis nesilaikė duomenų apsaugai taikytinų teisės aktų. Ginčijamu sprendimu Wirtschaftsakademie nustatytu įpareigojimu deaktyvinti jos gerbėjų tinklalapį siekiama ištaisyti šį pažeidimą, nes juo draudžiama jai toliau naudotis Facebook infrastruktūra kaip techniniu jos interneto puslapio pagrindu.

23

Kaip ir Oberverwaltungsgericht (Vyresnysis administracinis teismas), Bundesverwaltungsgericht (Federalinis administracinis teismas) mano, kad pati Wirtschaftsakademie negali būti laikoma atsakinga už duomenų tvarkymą, kaip tai suprantama pagal BDSG 3 straipsnio 7 dalį arba Direktyvos 95/46 2 straipsnio d punktą. Vis dėlto tas teismas mano, kad ši sąvoka iš principo turi būti aiškinama plačiai, kad būtų veiksmingai apsaugota teisė į privatų gyvenimą, kaip naujausioje jurisprudencijoje yra pripažinęs Teisingumo Teismas. Jis taip pat abejoja dėl nagrinėjamu atveju ULD turimų įgaliojimų Facebook Germany atžvilgiu, turint omeny tai, kad asmuo, atsakingas už asmens duomenų rinkimą ir tvarkymą Facebook grupėje, Sąjungos lygmeniu yra Facebook Ireland. Galiausiai jam kyla klausimas, kokią įtaką ULD įgaliojimams imtis veiksmų turi priežiūros institucijos, prie kurios priskiriama Facebook Ireland, vertinimai dėl nagrinėjamo asmens duomenų tvarkymo teisėtumo.

24

Šiomis aplinkybėmis Bundesverwaltungsgericht (Federalinis administracinis teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui tokius prejudicinius klausimus:

„1.

Ar Direktyvos 95/46 2 straipsnio d punktas aiškintinas taip, kad juo išsamiai ir galutinai reglamentuojama atsakomybė už duomenų saugumo pažeidimus, ar vis dėlto taikant „tinkamas priemones“ pagal [šios direktyvos] 24 straipsnį ir „įgaliojimus veiksmingai įsikišti“ pagal [jos] 28 straipsnio 3 dalies antrą įtrauką daugiapakopėje informacijos teikėjų struktūroje galima įžvelgti institucijos, kuri nėra atsakinga už duomenų tvarkymą pagal [minėtos direktyvos] 2 straipsnio d dalį, atsakomybę už savo siūlomos informacijos valdytojo pasirinkimą?

2.

Ar vis dėlto valstybių narių pareiga pagal Direktyvos 95/46 17 straipsnio 2 dalį tais atvejais, kai duomenys tvarkomi duomenų valdytojo vardu, numatyti, kad duomenų valdytojas turi „parinkti <…> duomenų tvarkytoją, kuris garantuotų reikiamas techninio saugumo ir organizacines priemones, taikomas tvarkant numatytus duomenis“, aiškintina taip, kad kitais naudojimo atvejais, kurie nėra susiję su duomenų tvarkymu duomenų valdytojo vardu, kaip tai suprantama pagal [šios direktyvos] 2 straipsnio e punktą, nėra pareigos rūpestingai pasirinkti tokį tvarkytoją ir jos negalima pagrįsti pagal nacionalinę teisę?

3.

Ar tais atvejais, kai už Europos Sąjungos ribų įsisteigusi patronuojančioji bendrovė įvairiose valstybėse narėse turi teisiškai nepriklausomus padalinius (patronuojamąsias bendroves), pagal Direktyvos 95/46 4 straipsnį ir 28 straipsnio 6 dalį valstybės narės (šiuo atveju Vokietijos) priežiūros institucija turi teisę įgyvendinti jai pagal [šios direktyvos] 28 straipsnio 3 dalį suteiktus įgaliojimus dėl jos teritorijoje esančio padalinio net tuomet, kai tas padalinys yra atsakingas tik už reklamos pardavimo skatinimą ir kitas rinkodaros priemones, skirtas tos valstybės narės gyventojams, o kitas kitoje valstybėje narėje (šiuo atveju Airijoje) esantis nepriklausomas padalinys (patronuojamoji bendrovė) remiantis vidiniu koncerno užduočių paskirstymu yra atsakingas tik už asmens duomenų rinkimą ir tvarkymą visoje Europos Sąjungoje, t. y. ir kitoje valstybėje narėje (šiuo atveju Vokietijoje), jei iš tiesų sprendimą dėl duomenų tvarkymo priima patronuojančioji bendrovė?

4.

Ar Direktyvos 95/46 4 straipsnio 1 dalies a punktas, 28 straipsnio 3 dalis yra aiškintini taip, kad tais atvejais, kai duomenų valdytojas turi padalinį vienos valstybės narės teritorijoje (šiuo atveju Airijoje), o kitos valstybės narės teritorijoje (šiuo atveju Vokietijoje) turi dar vieną teisiškai nepriklausomą padalinį, kuris, be kita ko, yra atsakingas už reklaminio ploto pardavimą ir jo veikla skirta tos valstybės gyventojams, toje kitoje valstybėje narėje (šiuo atveju Vokietijoje) kompetentinga priežiūros institucija gali taikyti priemones ir nurodyti įgyvendinti duomenų apsaugą reglamentuojančius teisės aktus dėl kito padalinio (esančio Vokietijoje), kuris, remiantis vidiniu koncerno užduočių ir atsakomybės paskirstymu, nėra atsakingas už duomenų tvarkymą, ar vis dėlto tokiu atveju taikyti priemones ir teikti nurodymus gali tik valstybės narės (šiuo atveju Airijos), kurios teritorijoje yra pagal vidinę koncerno tvarką atsakingas padalinys, priežiūros institucija?

5.

Ar Direktyvos 95/46 4 straipsnio 1 dalies a punktas ir 28 straipsnio 3 ir 6 dalys aiškintini taip, kad tais atvejais, kai vienos valstybės narės (šiuo atveju Vokietijos) priežiūros institucija pagal Direktyvos 95/46/EB 28 straipsnio 3 dalį reiškia pretenzijas jos teritorijoje dirbančiam asmeniui ar veikiančiai institucijai dėl nerūpestingai pasirinkto į duomenų tvarkymo procesą įtraukto trečiojo asmens (šiuo atveju Facebook), nes tas trečiasis asmuo pažeidžia duomenų apsaugos teisės nuostatas, tai priežiūros institucijai, kuri imasi veiksmų (šiuo atveju Vokietijoje), yra privalomas kitos valstybės narės, kurioje už duomenų tvarkymą atsakingas trečiasis asmuo turi savo padalinį (šiuo atveju Airijoje), priežiūros institucijos atliktas su duomenų apsauga susijęs vertinimas ta prasme, kad pirmoji priežiūros institucija negali atlikti tokio teisinio vertinimo, kuris nukryptų nuo antrosios priežiūros institucijos vertinimo, ar vis dėlto priežiūros institucija, kuri imasi veiksmų (šiuo atveju Vokietijoje), gali savarankiškai prieš imdamasi veiksmų preliminariai tikrinti, ar kitoje valstybėje narėje (šiuo atveju Airijoje) įsisteigęs trečiasis asmuo teisėtai tvarko duomenis?

6.

Jei priežiūros institucijai, kuri imasi veiksmų (šiuo atveju Vokietijoje), leidžiama atlikti savarankišką tyrimą, ar Direktyvos [95/46] 28 straipsnio 6 dalies antras sakinys aiškintinas taip, kad ši priežiūros institucija gali įgyvendinti jai pagal [šios direktyvos] 28 straipsnio 3 dalį suteiktus įgaliojimus veiksmingai įsikišti dėl jos teritorijoje įsisteigusio asmens ar institucijos, nagrinėdama bendrą atsakomybę už duomenų saugumo pažeidimus, kuriuos daro kitoje valstybėje narėje įsisteigęs trečiasis asmuo, tik tokiu atveju, jei prieš tai ji kreipėsi į tos kitos valstybės narės (šiuo atveju Airijos) priežiūros instituciją su prašymu leisti įgyvendinti šiuos įgaliojimus?“

Dėl prejudicinių klausimų

Dėl pirmojo ir antrojo klausimų

25

Pirmuoju ir antruoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 95/46 2 straipsnio d punktas, 17 straipsnio 2 dalis, 24 straipsnis ir 28 straipsnio 3 dalies trečia įtrauka turi būti aiškinami taip, kad pagal juos leidžiama pripažinti subjekto, kaip socialiniame tinkle esančio gerbėjų tinklalapio administratoriaus, atsakomybę, kai pažeidžiamos asmens duomenų apsaugą reglamentuojančios taisyklės, dėl to, kad šis subjektas savo siūlomai informacijai platinti nusprendė pasinaudoti šiuo socialiniu tinklu.

26

Atsakant į šiuos klausimus reikia priminti, kad Direktyva 95/46, kaip matyti iš jos 1 straipsnio 1 dalies ir 10 konstatuojamosios dalies, siekiama užtikrinti aukšto lygio fizinių asmenų pagrindinių laisvių ir teisių, ypač jų teisės į privatų gyvenimą, tvarkant asmens duomenis, apsaugą (2014 m. gruodžio 11 d. Sprendimo Ryneš, C‑212/13, EU:C:2014:2428, 27 punktas ir jame nurodyta jurisprudencija).

27

Šios direktyvos 2 straipsnio d dalyje, vadovaujantis šiuo tikslu, sąvoka „duomenų valdytojas“ apibrėžiama plačiai, kaip reiškianti tokį fizinį ar juridinį asmenį, valstybės valdžios instituciją, agentūrą ar bet kurį kitą organą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus.

28

Iš tikrųjų, kaip Teisingumo Teismas jau yra nusprendęs, šios nuostatos tikslas – plačiai apibrėžti sąvoką „valdytojas“, kad būtų užtikrinta veiksminga ir visapusiška duomenų subjektų apsauga (2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 34 punktas).

29

Be to, kadangi, kaip aiškiai nurodyta Direktyvos 95/46 2 straipsnio d punkte, sąvoka „duomenų valdytojas“ apima subjektą, kuris „vienas ar drauge su kitais“ nustato asmens duomenų tvarkymo tikslus ir būdus, ši sąvoka nebūtinai reiškia vieną subjektą ir gali apimti kelis dalyvius tvarkant šiuos duomenis, kurių kiekvienam atitinkamai galioja duomenų apsaugai taikomos teisės normos.

30

Nagrinėjamu atveju Facebook Inc., o ES atžvilgiu – Facebook Ireland, turi būti vertinami kaip pagrindiniai subjektai, nustatantys Facebook naudotojų ir Facebook esančiuose gerbėjų tinklalapiuose apsilankiusių asmenų asmens duomenų tvarkymo tikslus ir priemones, todėl juos apima sąvoka „duomenų valdytojas“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą; tai nėra ginčijama šioje byloje.

31

Vis dėlto, norint atsakyti į pateiktus klausimus, reikia išnagrinėti, ar ir kokiu mastu Facebook esančio gerbėjų tinklalapio, kaip antai Wirtschaftsakademie, administratorius prisideda, kiek tai susiję su šiuo tinklalapiu, prie šiame gerbėjų tinklalapyje apsilankiusių asmenų asmens duomenų tvarkymo tikslų ir priemonių nustatymo drauge su Facebook Ireland ir Facebook Inc., dėl to taip pat gali būti laikomas „duomenų valdytoju“, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą.

32

Šiuo klausimu konstatuotina, kad bet kuris asmuo, norintis sukurti Facebook gerbėjų tinklalapį, su Facebook Ireland sudaro specialią sutartį dėl tokio tinklalapio atidarymo ir pasirašydamas sutinka su tokio tinklalapio naudojimo sąlygomis, įskaitant susijusią slapukų politiką, o tai turi patikrinti nacionalinis teismas.

33

Kaip matyti iš Teisingumo Teismui pateiktos bylos medžiagos, pagrindinėje byloje nagrinėjami duomenys tvarkomi taip: gerbėjų tinklalapiuose apsilankiusių asmenų kompiuteriuose ar kituose įrenginiuose Facebook įdiegia slapukus, skirtus kaupti informacijai interneto naršyklėse, kurie, jei neištrinami, veikia dvejus metus. Iš šios medžiagos taip pat matyti, kad praktiškai Facebook gauna, įrašo ir apdoroja slapukuose laikomą informaciją, visų pirma kai asmuo naudojasi „Facebook paslaugomis, kitų Facebook kompanijų siūlomomis paslaugomis ir kitų įmonių, kurios naudojasi Facebook paslaugomis, siūlomomis paslaugomis“. Be to, kiti subjektai, kaip antai Facebook partneriai ar net trečiosios šalys, „gali naudoti slapukus Facebook paslaugoms [tiesiogiai siūlydami paslaugas šiam socialiniam tinklui] ir bendrovėms, kurios reklamuoja socialiniame tinkle Facebook“.

34

Tokiu asmens duomenų tvarkymu visų pirma siekiama sudaryti galimybę, viena vertus, Facebook pagerinti jo tinkle skleidžiamos reklamos sistemą ir, kita vertus, gerbėjų tinklalapio administratoriui gauti Facebook remiantis apsilankymais šiuose tinklalapiuose parengtus statistinius duomenis, siekiant valdyti savo veiklos skatinimą; šie duomenys jam leidžia nustatyti, pavyzdžiui, lankytojų, kuriems patinka jo gerbėjų tinklalapis, profilį, kad galėtų jiems pasiūlyti aktualesnį turinį ir sukurti funkcijų, kurios galėtų juos dar labiau sudominti.

35

Nors vien dėl to, kad naudojasi socialiniu tinklu, koks yra Facebook, jo naudotojas netampa kartu atsakingas už šio tinklo atliekamą asmens duomenų tvarkymą, vis dėlto reikia pažymėti, kad Facebook esančio gerbėjų tinklalapio administratorius, sukurdamas tokį tinklalapį, suteikia Facebook galimybę įdiegti slapukus jo gerbėjų tinklalapyje apsilankiusio asmens kompiuteryje arba bet kuriame kitame įrenginyje, neatsižvelgiant į tai, ar šis asmuo turi Facebook paskyrą, ar ne.

36

Šiuo klausimu iš Teisingumo Teismui pateiktos informacijos matyti, kad gerbėjų tinklalapio sukūrimas Facebook apima veiksmus, kuriais administratorius parenka nustatymus, atsižvelgdamas, be kita ko, į jo tikslinę auditoriją ir į veiklos valdymo ir skatinimo tikslus, o šie nustatymai turi įtakos asmens duomenų tvarkymui, siekiant parengti statistinę informaciją remiantis apsilankymais gerbėjų tinklalapyje. Administratorius gali, pasitelkdamas jam Facebook suteiktais naudotis filtrais, nustatyti kriterijus, pagal kuriuos ši statistika turi būti rengiama, ir net nurodyti asmenų, kurių asmens duomenis panaudos Facebook, kategorijas. Todėl Facebook esančio gerbėjų tinklalapio administratorius prisideda prie šio tinklalapio lankytojų asmens duomenų tvarkymo.

37

Konkrečiai gerbėjų tinklalapio administratorius gali prašyti pateikti – taigi, ir prašyti, kad jie būtų tvarkomi, – demografinius duomenis apie jo tikslinę auditoriją, be kita ko, tendencijas, susijusias su jo tikslinės auditorijos amžiumi, lytimi, artimais santykiais ir profesine situacija, informaciją apie gyvenimo būdą ir interesų centrus, taip pat informaciją, susijusią su jo tinklalapio lankytojų pirkiniais ir elgesiu apsiperkant internete, juos labiausiai dominančių prekių ar paslaugų kategorijas, taip pat geografinius duomenis, leidžiančius gerbėjų tinklalapio administratoriui sužinoti, kur taikyti specialias nuolaidas ar organizuoti renginius, ir apskritai savo siūlomą informaciją panaudoti kuo tikslingiau.

38

Nors Facebook parengta auditorijos statistinė informacija perduodama gerbėjų tinklalapio administratoriui tik anonimine forma, vis dėlto naudojant slapukus, kuriuos Facebook įdiegia šiame tinklalapyje apsilankiusio asmens kompiuteryje arba bet kuriame kitame įrenginyje, šiai statistikai parengti prieš tai yra renkami ir apdorojami šių lankytojų asmens duomenys. Bet kuriuo atveju Direktyvoje 95/46 nereikalaujama, kad solidarios kelių ūkio subjektų atsakomybės už tą patį duomenų tvarkymą atveju kiekvienas jų turėtų prieigą prie atitinkamų asmens duomenų.

39

Tokiomis aplinkybėmis manytina, kad Facebook esančio gerbėjų tinklalapio administratorius, kaip antai Wirtschaftsakademie, parinkdamas nustatymus visų pirma pagal tikslinę auditoriją ir veiklos valdymo ir skatinimo tikslus, dalyvauja gerbėjų tinklalapio lankytojų asmens duomenų tvarkymo ir priemonių nustatymo veikloje. Todėl nagrinėjamu atveju jis kartu su Facebook Ireland turi būti laikomas tokių duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą.

40

Iš tiesų gerbėjų tinklalapio administratorius dėl to, kad naudojasi Facebook įdiegta platforma tam, kad galėtų gauti atitinkamas paslaugas, negali būti atleistas nuo pareigų asmens duomenų apsaugos srityje vykdymo.

41

Be to, reikia pažymėti, kad Facebook esančiuose gerbėjų tinklalapiuose gali apsilankyti ir asmenys, kurie nėra Facebook naudotojai, taigi ir neturi Facebook paskyros šiame socialiniame tinkle. Tokiu atveju gerbėjų tinklalapio administratoriaus atsakomybė už šių asmenų duomenų tvarkymą yra dar svarbesnė, nes vien dėl apsilankymo tinklalapyje automatiškai pradedami tvarkyti jų asmens duomenys.

42

Šiomis sąlygomis bendros socialinį tinklą eksploatuojančio subjekto ir šiame tinkle esančio gerbėjų tinklalapio administratoriaus atsakomybės dėl šio gerbėjų tinklalapio lankytojų asmens duomenų tvarkymo pripažinimas padeda užtikrinti išsamesnę gerbėjų tinklalapio lankytojų teisių apsaugą, kaip reikalaujama pagal Direktyvą 95/46.

43

Vis dėlto reikia pažymėti, kaip savo išvados 75 ir 76 punktuose nurodė generalinis advokatas, kad bendros atsakomybės buvimas nebūtinai reiškia, kad įvairių su asmens duomenų tvarkymu susijusių ūkio subjektų atsakomybė yra lygiavertė. Priešingai, šie subjektai gali dalyvauti tvarkant duomenis skirtinguose etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas reikšmingas konkretaus atvejo aplinkybes.

44

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį ir antrąjį klausimus reikia atsakyti, kad Direktyvos 95/46 2 straipsnio d punktas turi būti aiškinamas taip, kad sąvoka „duomenų valdytojas“, kaip ji suprantama pagal šią nuostatą, apima socialiniame tinkle esančio gerbėjų tinklalapio administratorių.

Dėl trečiojo ir ketvirtojo klausimų

45

Trečiuoju ir ketvirtuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 95/46 4 ir 28 punktai turi būti aiškinami taip, kad tuo atveju, kai įmonė, įsteigta už Sąjungos ribų, turi kelis padalinius skirtingose valstybėse narėse, vienos valstybės narės priežiūros institucija gali naudotis jai pagal šios direktyvos 28 straipsnio 3 dalį suteiktais įgaliojimais dėl tos valstybės narės teritorijoje įsteigto padalinio, net jei, remiantis užduočių paskirstymu grupės viduje, pirma, šis padalinys yra atsakingas tik už reklamai skirtos vietos pardavimą ir kitą rinkodaros veiklą tos valstybės narės teritorijoje ir, antra, išimtinė atsakomybė už asmens duomenų rinkimą ir tvarkymą visoje Sąjungos teritorijoje tenka kitoje valstybėje narėje įsteigtam padaliniui, ar vis dėlto tos kitos valstybės narės priežiūros institucija turi įgyvendinti savo įgaliojimus dėl antrojo padalinio.

46

ULD ir Italijos vyriausybė išreiškė abejonių dėl šių klausimų priimtinumo, nes jie neturi reikšmės priimant sprendimą pagrindinėje byloje. Iš tikrųjų ginčijamas sprendimas skirtas Wirtschaftsakademie, taigi nei Facebook Inc., nei kuri nors Sąjungos teritorijoje įsteigta jos patronuojamoji bendrovė nėra šio sprendimo adresatės.

47

Šiuo klausimu primintina, kad vykstant SESV 267 straipsnyje numatytam Teisingumo Teismo ir nacionalinių teismų bendradarbiavimui tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečios bylos aplinkybes turi įvertinti, ar reikia pateikti prašymą priimti prejudicinį sprendimą, kad galėtų priimti savo sprendimą, ir kokia Teisingumo Teismui pateikiamų klausimų svarba. Todėl, kadangi pateikti klausimai susiję su Sąjungos teisės išaiškinimu, Teisingumo Teismas iš principo turi priimti sprendimą (2016 m. rugsėjo 6 d. Sprendimo Petruhhin, C‑182/15, EU:C:2016:630, 19 punktas ir jame nurodyta jurisprudencija).

48

Šioje byloje reikia pažymėti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, jog Teisingumo Teismo atsakymas į trečiąjį ir ketvirtąjį prejudicinius klausimus jam būtinas tam, kad galėtų priimti sprendimą pagrindinėje byloje. Jis paaiškino, kad jeigu, atsižvelgiant į šį atsakymą, būtų konstatuota, kad ULD gali ištaisyti tariamus teisės į asmens duomenų apsaugą pažeidimus, imdamasi priemonių prieš Facebook Germany, ši aplinkybė rodytų, kad ginčijamam sprendime padaryta vertinimo klaida, nes jis klaidingai priimtas dėl Wirtschaftsakademie.

49

Tokiomis aplinkybėmis trečiasis ir ketvirtasis klausimai yra priimtini.

50

Siekiant atsakyti į šiuos klausimus, pirmiausia reikia priminti, kad, remiantis Direktyvos 95/46 28 straipsnio 1 ir 3 punktais, kiekviena priežiūros institucija įgyvendina visus jai nacionalinėje teisėje suteiktus įgaliojimus savo valstybės narės teritorijoje, kad užtikrintų asmens duomenų apsaugos taisyklių laikymąsi (šiuo klausimu žr. 2015 m. spalio 1 d. Sprendimo Weltimmo, C‑230/14, EU:C:2015:639, 51 punktą).

51

Klausimas, kurios valstybės narės teisė taikoma tvarkant asmens duomenis, reglamentuojamas Direktyvos 95/46 4 straipsnyje. Šio straipsnio 1 dalies a punkte nustatyta, kad kiekviena valstybė narė taiko nacionalines nuostatas, kurias priima pagal šią direktyvą, kai tvarkomi asmens duomenys, jeigu jie tvarkomi duomenų valdytojo padaliniui vykdant veiklą valstybės narės teritorijoje. Šioje nuostatoje patikslinama, kad jeigu tas pats duomenų valdytojas steigiamas kelių valstybių narių teritorijoje, jis privalo imtis reikalingų priemonių, kad kiekvienas jo padalinys vykdytų taikytinų nacionalinių įstatymų nustatytas pareigas.

52

Taigi iš kartu aiškinamų šios nuostatos ir Direktyvos 95/46 28 straipsnio 1 ir 3 dalių matyti, kad tuo atveju, kai pagal jos 4 straipsnio 1 dalies a punktą taikytina priežiūros institucijos valstybės narės nacionalinė teisė, dėl aplinkybės, kad nagrinėjamas tvarkymas atliekamas duomenų valdytojo padaliniui vykdant veiklą valstybės narės teritorijoje, ši priežiūros institucija gali įgyvendinti visus jai šioje teisėje suteiktus įgaliojimus dėl šio padalinio, neatsižvelgdama į tai, ar duomenų valdytojas turi padalinių ir kitose valstybėse narėse.

53

Taigi, siekiant nustatyti, ar tokiomis aplinkybėmis, kaip nagrinėjamos pagrindinėje byloje, priežiūros institucija gali pagrįstai įgyvendinti įgaliojimus dėl jos valstybės narės teritorijoje esančio padalinio, kurie jai suteikti nacionalinėje teisėje, reikia patikrinti, ar tenkinamos dvi Direktyvos 95/46 4 straipsnio 1 dalies a punkte nustatytos sąlygos: pirma, ar tai yra „duomenų valdytojo padalinys“, kaip tai suprantama pagal šią nuostatą, ir, antra, ar šis tvarkymas atliekamas šiam padaliniui „vykdant veiklą“, kaip tai suprantama pagal tą pačią nuostatą.

54

Pirma, dėl sąlygos, jog asmens duomenų valdytojas turi turėti valstybės narės, kuriai priklauso priežiūros institucija, teritorijoje padalinį, primintina, kad Direktyvos 95/46 19 konstatuojamojoje dalyje nurodyta, kad padalinys kurioje nors valstybėje narėje reiškia, kad jis veiksmingai ir realiai joje užsiima savo veikla per nuolatinį vienetą ir kad tokio padalinio teisinė forma nėra lemiamas veiksnys: tai gali būti paprastas filialas ar dukterinė įmonė, turinti teisinį subjektiškumą (2015 m. spalio 1 d. Sprendimo Weltimmo, C‑230/14, EU:C:2015:639, 28 punktas ir jame nurodyta jurisprudencija).

55

Šioje byloje neginčijama, kad Facebook Inc., kaip asmens duomenų valdytojas, kartu su Facebook Ireland turi nuolatinį padalinį Vokietijoje, t. y. Facebook Germany Hamburge, ir kad ši bendrovė vykdo realią ir efektyvią veiklą toje valstybėje narėje. Taigi tai yra „padalinys“, kaip tai suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą.

56

Antra, kiek tai susiję su sąlyga, kad asmens duomenų tvarkymas turi būti atliekamas šiam padaliniui „vykdant veiklą“, pirmiausia reikia priminti, kad, atsižvelgiant į Direktyvos 95/46 tikslą užtikrinti veiksmingą ir visapusišką fizinių asmenų pagrindinių laisvių ir teisių, ypač teisės į privatų gyvenimą, apsaugą tvarkant asmens duomenis, formuluotės „padaliniui vykdant veiklą“ negalima aiškinti siaurai (2015 m. spalio 1 d. Sprendimo Weltimmo, C‑230/14, EU:C:2015:639, 25 punktas ir jame nurodyta jurisprudencija).

57

Be to, reikia pažymėti, kad pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą reikalaujama ne to, kad duomenis atitinkamai tvarkytų „pats“ padalinys, o tik to, kad tai būtų atliekama šiam padaliniui „vykdant veiklą“ (2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 52 punktas).

58

Šiuo atveju, kaip matyti iš sprendimo dėl prašymo priimti prejudicinį sprendimą ir Facebook Ireland rašytinių pastabų, Facebook Germany yra atsakinga už reklamos vietų pardavimo skatinimą ir pardavimą ir vykdo veiklą, skirtą Vokietijoje gyvenantiems asmenims.

59

Kaip buvo nurodyta šio sprendimo 33 ir 34 punktuose, pagrindinėje byloje nagrinėjamu asmens duomenų tvarkymu, kurį vykdo Facebook Inc. drauge su Facebook Ireland ir kurį sudaro tokių duomenų rinkimas, pasitelkiant slapukus, įdiegiamus Facebook esančių gerbėjų tinklalapių lankytojų kompiuteriuose arba bet kuriame kitame įrenginyje, visų pirma siekiama sudaryti sąlygas šiam socialiniam tinklui gerinti savo reklamos sistemą, kad būtų galima tikslingiau panaudoti savo platinamą reklamą.

60

Kaip savo išvados 94 punkte pažymėjo generalinis advokatas, atsižvelgiant į tai, kad, viena vertus, toks socialinis tinklas, koks yra Facebook, daugiausia pajamų gauna iš reklamos, platinamos interneto tinklalapiuose, kuriuos sukuria vartotojai ir kuriuose jie lankosi, ir, kita vertus, Vokietijoje esantis Facebook padalinys skirtas šioje valstybėje narėje užtikrinti reklamai skirtų vietų pardavimo skatinimui ir pardavimui, kad Facebook teikiamos paslaugos būtų pelningos, reikia manyti, kad šio padalinio veikla yra neatsiejama nuo pagrindinėje byloje nagrinėjamo asmens duomenų tvarkymo, už kurį bendrai atsakingos Facebook Inc. kartu su Facebook Ireland. Vadinasi, toks duomenų tvarkymas turi būti vertinamas kaip atliekamas duomenų valdytojo padaliniui vykdant veiklą valstybės narės teritorijoje, kaip tai suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą (šiuo klausimu žr. 2014 m. gegužės 13 d. Sprendimo Google Spain ir Google, C‑131/12, EU:C:2014:317, 55 ir 56 punktus).

61

Taigi, kadangi pagrindinėje byloje nagrinėjamam duomenų tvarkymui pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą taikoma Vokietijos teisė, Vokietijos priežiūros institucija turėjo kompetenciją taikyti šią teisę minėtam duomenų tvarkymui, kaip reikalaujama pagal šios direktyvos 28 straipsnio 1 dalį.

62

Darytina išvada, kad siekdama užtikrinti, kad Vokietijos teritorijoje būtų laikomasi taisyklių, susijusių su asmens duomenų apsauga, ši priežiūros institucija buvo kompetentinga įgyvendinti visus įgaliojimus, turimus pagal nacionalines nuostatas, kuriomis Direktyvos 95/46 28 straipsnio 3 dalis perkeliama į nacionalinę teisę.

63

Taip pat reikėtų pažymėti, jog aplinkybė, kurią prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo trečiajame prejudiciniame klausime, kad sprendimų priėmimo strategijas renkant ir tvarkant Sąjungos teritorijoje gyvenančių asmenų duomenis tvirtina trečiojoje valstybėje įsteigta patronuojančioji bendrovė, kokia šioje byloje yra Facebook Inc., negali paneigti valstybės narės teisės reglamentuojamos priežiūros institucijos kompetencijos dėl šių duomenų valdytojo padalinio, esančio tos pačios valstybės teritorijoje.

64

Atsižvelgiant į tai, kas išdėstyta, į trečiąjį ir ketvirtąjį klausimą reikia atsakyti, kad Direktyvos 95/46 4 ir 28 straipsniai turi būti aiškinami taip, kad tuo atveju, kai įmonė, įsteigta už Sąjungos ribų, turi kelis padalinius skirtingose valstybėse narėse, valstybės narės priežiūros institucija gali naudotis jai pagal šios direktyvos 28 straipsnio 3 dalį suteiktais įgaliojimais dėl tos valstybės narės teritorijoje įsteigto šios įmonės padalinio, net jei, remiantis užduočių paskirstymu grupės viduje, pirma, šis padalinys yra atsakingas tik už reklamai skirtos vietos pardavimą ir kitą rinkodaros veiklą tos valstybės narės teritorijoje, ir, antra, išimtinė atsakomybė už asmens duomenų rinkimą ir tvarkymą visoje Sąjungos teritorijoje tenka kitoje valstybėje narėje įsteigtam padaliniui.

Dėl penktojo ir šeštojo klausimų

65

Penktuoju ir šeštuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Direktyvos 95/46 4 straipsnio 1 dalies a punktą ir 28 straipsnio 3 ir 6 dalis reikia aiškinti taip, kad, kai vienos valstybės narės priežiūros institucija ketina dėl šios valstybės narės teritorijoje įsteigto subjekto įgyvendinti įgaliojimus imtis priemonių, kurie nurodyti šios direktyvos 28 straipsnio 3 dalyje, dėl asmens duomenų apsaugos taisyklių pažeidimų, kuriuos padarė už šių duomenų tvarkymą atsakingas trečiasis asmuo, turintis registruotą buveinę kitoje valstybėje narėje, ši priežiūros institucija turi kompetenciją, nepriklausomai nuo kitos valstybės narės priežiūros institucijos, vertinti tokio duomenų tvarkymo teisėtumą ir gali įgyvendinti savo įgaliojimus imtis veiksmų dėl jos teritorijoje įsteigto subjekto, prieš tai nepaprašiusi tos kitos valstybės narės priežiūros institucijos imtis veiksmų.

66

Atsakant į šiuos klausimus reikia priminti, kaip matyti iš atsakymo į pirmąjį ir antrąjį prejudicinius klausimus, kad Direktyvos 95/46 2 straipsnio d punktas turi būti aiškinamas taip, kad tokiomis aplinkybėmis, kokios susiklostė pagrindinėje byloje, pagal jį leidžiama pripažinti tokio subjekto, koks yra Wirtschaftsakademie, kaip Facebook esančio gerbėjų tinklalapio administratoriaus atsakomybę, kai pažeidžiamos asmens duomenų apsaugą reglamentuojančios taisyklės.

67

Iš to matyti, kad pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą ir 28 straipsnio 1 ir 3 dalis valstybės narės, kurios teritorijoje yra įsteigtas minėtas subjektas, priežiūros institucija yra kompetentinga taikyti savo nacionalinę teisę, taigi ir įgyvendinti dėl šio subjekto visus įgaliojimus, kurie jai suteikti pagal šią nacionalinę teisę, kaip numatyta tos direktyvos 28 straipsnio 3 dalyje.

68

Pagal tos direktyvos 28 straipsnio 1 dalies antrą pastraipą priežiūros institucijos, kurioms pavesta kontroliuoti, kaip jų valstybės narės teritorijoje yra taikomos pagal šią direktyvą priimtos nuostatos, veikia visiškai nepriklausomai, kai vykdo joms patikėtas funkcijas. Šis reikalavimas taip pat kyla iš pirminės Sąjungos teisės, visų pirma Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalies ir SESV 16 straipsnio 2 dalies (šiuo klausimu žr. 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 40 punktą).

69

Be to, nors pagal Direktyvos 95/46 28 straipsnio 6 dalies antrą pastraipą priežiūros institucijos tarpusavyje bendradarbiauja tiek, kiek tai reikalinga jų pareigoms vykdyti, ypač keisdamosi visa naudinga informacija, toje direktyvoje nenumatyta jokio kriterijaus, pagal kurį būtų nustatytas vienos ar kitos priežiūros institucijos intervencijos prioritetas, ir nėra vienos valstybės narės priežiūros institucijos pareigos vadovautis pozicija, kurią prireikus išreiškė kitos valstybės narės institucija.

70

Taigi, niekas neįpareigoja priežiūros institucijos, kurios kompetencija pripažįstama pagal nacionalinę teisę, laikytis tokios pačios pozicijos, kokios laikosi kita panašioje padėtyje esanti priežiūros institucija.

71

Šiuo klausimu reikia priminti, jog atsižvelgiant į tai, kad pagal Pagrindinių teisių chartijos 8 straipsnio 3 dalį ir Direktyvos 95/46 28 straipsnį nacionalinės priežiūros institucijos įgaliotos kontroliuoti, kaip laikomasi Sąjungos taisyklių dėl fizinių asmenų apsaugos tvarkant asmens duomenis, kiekviena iš jų turi kompetenciją patikrinti, ar asmens duomenų tvarkymas valstybės narės, kuriai ji priklauso, teritorijoje atitinka Direktyvoje 95/46 nustatytus reikalavimus (šiuo klausimu žr. 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 47 punktą).

72

Kadangi Direktyvos 95/46 28 straipsnis iš esmės taikomas bet kokiam asmens duomenų tvarkymui, net esant kitos valstybės narės priežiūros institucijos sprendimui, priežiūros institucija, į kurią kreipėsi asmuo su prašymu dėl jo teisių ir laisvių apsaugos tvarkant su juo susijusius asmens duomenis, turi visiškai nepriklausomai išnagrinėti, ar šių duomenų tvarkymas atitinka minėtos direktyvos reikalavimus (šiuo klausimu žr. 2015 m. spalio 6 d. Sprendimo Schrems, C‑362/14, EU:C:2015:650, 57 punktą).

73

Darytina išvada, kad nagrinėjamu atveju pagal Direktyva 95/46 sukurtą sistemą ULD turėjo teisę vertinti pagrindinėje byloje nagrinėjamų duomenų tvarkymo teisėtumą, nepriklausomai nuo Airijos priežiūros institucijos vertinimo.

74

Taigi į penktąjį ir šeštąjį klausimus reikia atsakyti, kad Direktyvos 95/46 4 straipsnio 1 dalies a punktas ir 28 straipsnio 3 ir 6 dalys aiškintini taip, kad, kai vienos valstybės narės priežiūros institucija ketina dėl šios valstybės narės teritorijoje įsteigto subjekto įgyvendinti įgaliojimus imtis priemonių, kurie nurodyti šios direktyvos 28 straipsnio 3 dalyje, dėl asmens duomenų apsaugos taisyklių pažeidimų, kuriuos padarė už šių duomenų tvarkymą atsakingas trečiasis asmuo, turintis registruotą buveinę kitoje valstybėje narėje, ši priežiūros institucija turi kompetenciją, nepriklausomai nuo kitos valstybės narės priežiūros institucijos, vertinti tokio duomenų tvarkymo teisėtumą ir gali įgyvendinti savo įgaliojimus imtis veiksmų dėl jos teritorijoje įsteigto subjekto, prieš tai nepaprašiusi tos kitos valstybės narės priežiūros institucijos imtis veiksmų.

Dėl bylinėjimosi išlaidų

75

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

 

Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:

 

1.

1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 2 straipsnio d punktas turi būti aiškinamas taip, kad sąvoka „duomenų valdytojas“, kaip ji suprantama pagal šią nuostatą, apima socialiniame tinkle esančio gerbėjų tinklalapio administratorių.

 

2.

Direktyvos 95/46 4 ir 28 straipsniai turi būti aiškinami taip, kad tuo atveju, kai įmonė, įsteigta už Sąjungos ribų, turi kelis padalinius skirtingose valstybėse narėse, valstybės narės priežiūros institucija gali naudotis jai pagal šios direktyvos 28 straipsnio 3 dalį suteiktais įgaliojimais dėl tos valstybės narės teritorijoje įsteigto šios įmonės padalinio, net jei, remiantis užduočių paskirstymu grupės viduje, pirma, šis padalinys yra atsakingas tik už reklamai skirtos vietos pardavimą ir kitą rinkodaros veiklą tos valstybės narės teritorijoje ir, antra, išimtinė atsakomybė už asmens duomenų rinkimą ir tvarkymą visoje Sąjungos teritorijoje tenka kitoje valstybėje narėje įsteigtam padaliniui.

 

3.

Direktyvos 95/46 4 straipsnio 1 dalies a punktą ir 28 straipsnio 3 ir 6 dalis reikia aiškinti taip, kad, kai vienos valstybės narės priežiūros institucija ketina dėl šios valstybės narės teritorijoje įsteigto subjekto įgyvendinti įgaliojimus imtis priemonių, kurie nurodyti šios direktyvos 28 straipsnio 3 dalyje, dėl asmens duomenų apsaugos taisyklių pažeidimų, kuriuos padarė už šių duomenų tvarkymą atsakingas trečiasis asmuo, turintis registruotą buveinę kitoje valstybėje narėje, ši priežiūros institucija turi kompetenciją, nepriklausomai nuo kitos valstybės narės priežiūros institucijos, vertinti tokio duomenų tvarkymo teisėtumą ir gali įgyvendinti savo įgaliojimus imtis veiksmų dėl jos teritorijoje įsteigto subjekto, prieš tai nepaprašiusi tos kitos valstybės narės priežiūros institucijos imtis veiksmų.

 

Parašai.


( *1 ) Proceso kalba: vokiečių.