Šis dokuments ir izvilkums no tīmekļa vietnes EUR-Lex.
Dokuments 62016CC0210
Opinion of Advocate General Bot delivered on 24 October 2017.#Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH.#Request for a preliminary ruling from the Bundesverwaltungsgericht.#Reference for a preliminary ruling — Directive 95/46/EC — Personal data — Protection of natural persons with respect to the processing of that data — Order to deactivate a Facebook page (fan page) enabling the collection and processing of certain data of visitors to that page — Article 2(d) — Controller responsible for the processing of personal data — Article 4 — Applicable national law — Article 28 — National supervisory authorities — Powers of intervention of those authorities.#Case C-210/16.
Ģenerāladvokāta Ī. Bota [Y. Bot] secinājumi, 2017. gada 24. oktobris.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein pret Wirtschaftsakademie Schleswig-Holstein GmbH.
Bundesverwaltungsgericht lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Rīkojums deaktivizēt Facebook lapu (fanu lapu), ar kuras palīdzību iespējams ievākt un apstrādāt noteiktus ar šīs lapas apmeklētājiem saistītus datus – 2. panta d) punkts – Personas datu pārzinis – 4. pants – Piemērojamās valsts tiesības – 28. pants – Valsts uzraudzības iestādes – Šo iestāžu iejaukšanās pilnvaras.
Lieta C-210/16.
Ģenerāladvokāta Ī. Bota [Y. Bot] secinājumi, 2017. gada 24. oktobris.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein pret Wirtschaftsakademie Schleswig-Holstein GmbH.
Bundesverwaltungsgericht lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Rīkojums deaktivizēt Facebook lapu (fanu lapu), ar kuras palīdzību iespējams ievākt un apstrādāt noteiktus ar šīs lapas apmeklētājiem saistītus datus – 2. panta d) punkts – Personas datu pārzinis – 4. pants – Piemērojamās valsts tiesības – 28. pants – Valsts uzraudzības iestādes – Šo iestāžu iejaukšanās pilnvaras.
Lieta C-210/16.
Krājums – vispārīgi
Eiropas judikatūras identifikators (ECLI): ECLI:EU:C:2017:796
ĢENERĀLADVOKĀTA ĪVA BOTA [YVES BOT]
SECINĀJUMI,
sniegti 2017. gada 24. oktobrī ( 1 )
Lieta C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
pret
Wirtschaftsakademie Schleswig-Holstein GmbH,
piedaloties
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
(Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – 2., 4. un 28. pants – Fizisku personu aizsardzība attiecībā uz personas datu apstrādi un šādu datu brīvu apriti – Rīkojums par fanu lapas deaktivizēšanu sociālajā tīklā Facebook – Jēdziens “personas datu apstrādātājs [pārzinis]” – Fanu lapas uzturētāja atbildība – Kopīga atbildība – Piemērojamās valsts tiesības – Uzraudzības iestāžu iejaukšanās pilnvaru apjoms
1. |
Šis lūgums sniegt prejudiciālu nolēmumu ir par Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti ( 2 ), redakcijā ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes 2003. gada 29. septembra Regulu (EK) Nr. 1882/2003 ( 3 ), 2. panta d) punkta, 4. panta 1. punkta, 17. panta 2. punkta, kā arī 28. panta 3. un 6. punkta interpretāciju. |
2. |
Šis lūgums ir iesniegts tiesvedībā starp izglītības jomā specializējošos privāto tiesību sabiedrību Wirtschaftsakademie Schleswig-Holstein GmbH (turpmāk tekstā – “Wirtschaftsakademie”) un Šlēsvigas-Holšteinas Reģionālo datu aizsardzības iestādi Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (turpmāk tekstā – “ULD”) par šīs iestādes izdoto rīkojumu, kurā Wirtschaftsakademie ir uzdots deaktivizēt Facebook Ireland Ltd uzturēto “fanu lapu” (Fanpage). |
3. |
Šis rīkojums tika pamatots ar to, ka Direktīvu 95/46 transponējošās Vācijas tiesību normas esot pārkāptas konkrēti ar to, ka fanu lapas apmeklētāji netiek brīdināti par to, ka sociālais tīkls Facebook (turpmāk tekstā – “Facebook”) apkopo viņu personas datus, izmantojot sīkdatnes, kas tiek ievietotas viņu cietajā diskā, un šī apkopošana tiek veikta, lai veiktu šīs lapas uzturētājam paredzēto statistisko uzskaiti par apmeklētāju loku un ļautu Facebook izplatīt mērķreklāmas. |
4. |
Šīs lietas pamatā ir “webtracking” parādība, kas būtībā ir interneta lietotāju uzvedības novērošana un izvērtēšana komerciālos un mārketinga nolūkos. Ar “webtracking” var tostarp noteikt interneta lietotāju īpašās intereses, balstoties uz viņu interneta pārlūkošanas paradumu novērojumiem. Tātad runa ir par “biheiviorālo webtracking”. Tas tiek darīts ar sīkdatņu palīdzību. |
5. |
Šīs sīkdatnes ir liecinājuma datnes, kas tiek reģistrētas interneta lietotāja datorā, līdzko viņš apmeklē kādu tīmekļvietni. |
6. |
Webtracking izmanto tostarp ar mērķi uzlabot un nodrošināt pēc iespējas labāku tīmekļvietnes darbību. Tas arī ļauj reklamētājiem mērķtiecīgi vērsties pie dažādiem sabiedrības segmentiem. |
7. |
Saskaņā ar to, kā tas definēts 29. panta datu aizsardzības darba grupas ( 4 )2010. gada 22. jūnija Atzinumā Nr. 2/2010 par biheiviorālo reklāmu tiešsaistē ( 5 ), “biheiviorālā reklāma ir reklāma, kuras pamatā ir indivīdu uzvedības ilgstoša novērošana. Biheiviorālās reklāmas gadījumā indivīdu uzvedības īpatnības pēta, novērojot viņu darbības (atkārtoti vietņu apmeklējumi, mijiedarbība, atslēgvārdi, tiešsaistes satura radīšana utt.), lai izveidotu konkrētus profilus un piedāvātu datu subjektiem viņu iespējamajām interesēm īpaši pielāgotus sludinājumus” ( 6 ). Lai sasniegtu šo rezultātu, ir jāapkopo un pēc tam jāizmanto informācija, kas iegūta no lietotāja pārlūkprogrammas un gala iekārtas. Galvenā izsekošanas tehnoloģija, ko izmanto lietotāju uzraudzībai internetā, pamatojas uz “izsekošanas sīkdatnēm” ( 7 ). Tādējādi “mērķtiecīgā tiešsaistes reklāmā izmanto savākto informāciju par indivīda uzvedību tīmeklī, piemēram, par apmeklētajām vietnēm vai veiktajiem meklējumiem, kas palīdz izraudzīties tieši šai personai adresētus sludinājumus” ( 8 ). |
8. |
Interneta pārlūkošanas paradumu izsekošana ļauj arī sniegt tīmekļvietņu pārvaldītājiem apmeklētāju loka statistiku par personām, kas apmeklē šīs vietnes. |
9. |
Lai personas datu apkopošana un izmantošana nolūkā iegūt apmeklētāju loka statistiku un izvietot mērķreklāmas būtu saderīga ar no Direktīvas 95/46 izrietošajiem personas datu aizsardzības noteikumiem, tai ir jāatbilst vairākiem nosacījumiem. Šīs datu apstrādes nedrīkst notikt, piemēram, iepriekš neinformējot datu subjektus un nesaņemot šo subjektu piekrišanu. |
10. |
Tomēr, lai varētu izvērtēt šo saderīgumu, ir jāveic vairāki priekšdarbi, – ir jādefinē personas datu apstrādātājs [pārzinis] un jānosaka, kuras valsts tiesības ir piemērojamas un kura kompetentā iestāde var izmantot savas iejaukšanās pilnvaras. |
11. |
Personas datu apstrādātāju [pārzini] identificēt kļūst īpaši grūti situācijā, kad saimnieciskās darbības subjekts lemj nevis ievietot savā tīmekļvietnē apmeklētāju loka statistikas izveidei un mērķreklāmu izvietošanai nepieciešamos rīkus, bet gan vērsties pie tāda sociālā tīkla kā Facebook, atverot fanu lapu, lai varētu gūt labumu no līdzīgiem rīkiem. |
12. |
Arī noskaidrot, kuras valsts tiesības ir piemērojamas un kura kompetentā iestāde var izmanot savas iejaukšanās pilnvaras, kļūst sarežģīti apstākļos, kad attiecīgajā personas datu apstrādē tiek iesaistīti gan ārpus Eiropas Savienības, gan tajā esoši uzņēmumi. |
13. |
Brīdī, kad vairāku dalībvalstu uzraudzības iestādes šo pēdējo mēnešu laikā ir izlēmušas uzlikt naudas sodus Facebook ar tās lietotāju datu aizsardzību saistīto noteikumu pārkāpuma dēļ ( 9 ), izskatāmā lieta ļaus Tiesai precizēt iejaukšanās pilnvaru, kas ir tādas uzraudzības iestādes kā ULD rīcībā, apjomu attiecībā uz personas datu apstrādi, kurā ir paredzēta vairāku dalībnieku piedalīšanās. |
14. |
Lai pareizi izprastu šajā lietā iesaistītos juridiskos jautājumus, vispirms ir jāapraksta pamatlietas faktiskie apstākļi. |
I. Pamatlietas faktiskie apstākļi un prejudiciālie jautājumi
15. |
Wirtschaftsakademie piedāvā izglītības pakalpojumus, izmantojot fanu lapu, kas ir ievietota sociālā tīkla Facebook vietnē. |
16. |
Fanu lapas ir lietotāju konti, ko tostarp privātpersonas un uzņēmumi var uzturēt Facebook vietnē. Lai to izdarītu, fanu lapas uzturētājam ir jāreģistrējas Facebook, un tādējādi viņš var izmantot šī sociālā tīkla uzturēto platformu, lai iepazīstinātu tā lietotājus ar sevi un izplatītu visa veida paziņojumus, tostarp, lai izvērstu komercdarbību. |
17. |
Fanu lapu uzturētāji var saņemt apmeklētāju loka statistikas informāciju, izmantojot rīku “Facebook-Insights”, ko Facebook bez maksas nodrošina saskaņā ar tipveida lietošanas nosacījumiem. Šos statistikas datus sagatavo Facebook un personalizē fanu lapas uzturētājs, izmantojot dažādus kritērijus, kurus viņš var atlasīt, kā, piemēram, vecums vai dzimums. Tādējādi no minētajiem statistikas datiem tiek iegūta anonīma informācija par fanu lapas apmeklējušo personu iezīmēm un ieradumiem, ļaujot šo lapu uzturētājiem komunicēt mērķtiecīgāk. |
18. |
Lai sagatavotu šādu apmeklētāju loka statistiku, fanu lapu apmeklējušās personas datora cietajā diskā Facebook saglabā vismaz vienu sīkdatni, kurā ir ietverts unikāls, uz diviem gadiem aktivizēts identifikācijas numurs. Identifikācijas numurs, kas var tikt saistīts ar Facebook reģistrēto lietotāju pieslēgšanās datiem, tiek apkopots un apstrādāts Facebook lapu atvēršanas brīdī. |
19. |
Ar 2011. gada 3. novembra lēmumu ULD uzdeva Wirtschaftsakademie atbilstoši Bundesdatenschutzgesetz (Federālais datu aizsardzības likums, turpmāk tekstā – “BDSG”) ( 10 ) 38. panta 5. punkta pirmajam teikumam deaktivizēt fanu lapu, ko tā bija atvērusi Facebook šādā interneta adresē: https://www.facebook.com/wirtschaftsakademie, paredzot kavējuma naudu par neizpildi noteiktajā termiņā, pamatojoties uz to, ka ne Wirtschaftsakademie, ne Facebook nav informējuši fanu lapas apmeklētājus, ka Facebook apkopojis viņu personas datus, izmantojot sīkdatnes, un pēc tam tos apstrādājis. Wirtschaftsakademie iesniedza sūdzību par šo lēmumu, būtībā apgalvodama, ka saskaņā ar piemērojamajām datu aizsardzības tiesībām tā nav atbildīga ne par Facebook veikto datu apkopošanu, ne šā tīkla ievietotajām sīkdatnēm. |
20. |
Ar 2011. gada 16. decembra lēmumu ULD noraidīja šo sūdzību, uzskatot, ka Wirtschaftsakademie kā pakalpojumu sniedzēja atbildība ir noteikta, piemērojot Telemediengesetz (Elektronisko plašsaziņas līdzekļu likums) 3. panta 3. punkta 4. apakšpunktu un 12. panta 1. punktu ( 11 ). Izveidojot fanu lapu, arī Wirtschaftsakademie ir aktīvi un tīši piedalījusies Facebook veiktajā personas datu apkopošanā, no kuras tā guva labumu, izmantojot šī sociālā tīkla nodrošinātos statistikas datus par lietotājiem. |
21. |
Wirtschaftsakademie par šo lēmumu cēla prasību Verwaltungsgericht (Administratīvā tiesa, Vācija), apgalvojot, ka tā nevarot būt atbildīga par Facebook veiktajām datu apstrādes darbībām un ka tā arī neesot uzdevusi Facebook veikt datu apstrādi, ko tā varētu kontrolēt vai ietekmēt BDSG 11. panta izpratnē ( 12 ). Wirtschaftsakademie uzskata, ka ULD esot kļūdaini vērsusies pret to, nevis tieši pret Facebook. |
22. |
Ar 2013. gada 9. oktobra spriedumu Verwaltungsgericht (Administratīvā tiesa) atcēla apstrīdēto lēmumu, būtībā apgalvojot, ka Facebook fanu lapas uzturētājs neesot “atbildīgā struktūra”BDSG 3. panta 7. punkta izpratnē ( 13 ) un ka tātad attiecībā pret Wirtschaftsakademie nevar vērst BDSG 38. panta 5. punktā paredzēto pasākumu. |
23. |
Pēc tam Oberverwaltungsgericht (Augstākā administratīvā tiesa, Vācija) noraidīja ULD apelācijas sūdzību par šo spriedumu kā nepamatotu, uzskatot būtībā, ka apstrīdētajā lēmumā noteiktais datu apstrādes aizliegums esot prettiesisks, ciktāl BDSG 38. panta 5. punkta otrajā teikumā esot paredzēta pakāpeniska procedūra, kuras pirmajā posmā ir atļauts tikai veikt pasākumus datu apstrādē konstatēto pārkāpumu novēršanai. Tūlītējs datu apstrādes aizliegums esot paredzēts tikai tad, ja datu apstrādes process ir prettiesisks kopumā un ja to var novērst, vienīgi apturot šo procesu. Taču Oberverwaltungsgericht (Augstākā administratīvā tiesa) ieskatā šīs lietas gadījumā tas tā neesot, jo Facebook skaidri esot bijusi iespēja izbeigt ULD apgalvotos pārkāpumus. |
24. |
Rīkojums esot prettiesisks arī tāpēc, ka prasītāja nav atbildīgā struktūra BDSG 3. panta 7. punkta izpratnē attiecībā uz fanu lapas uzturēšanas gaitā Facebook apkopotajiem datiem un ka rīkojums saskaņā ar BDSG 38. panta 5. punktu varēja tikt pasludināts tikai attiecībā uz tādu struktūru. Šajā lietā vienīgi Facebook izlemjot par personas datu, kas izmantoti funkcijai “Facebook Insights”, apkopošanas un apstrādes mērķi un līdzekļiem. Savukārt prasītāja esot saņēmusi tikai anonimizētus statistikas datus. |
25. |
BDSG 38. panta 5. punktā neesot atļauts vērst rīkojumus attiecībā uz trešām personām. Tā dēvētā “traucētāja” jeb “netiešā” atbildība (Störerhaftung) internetā, kas ir izstrādāta civillietu tiesu judikatūrā, neesot pārnesama uz publiskās varas prerogatīvām. Lai arī BDSG 38. panta 5. punktā nav nepārprotami nosaukts aizlieguma rīkojuma adresāts, no šī tiesiskā regulējuma sistēmas, priekšmeta un gara, kā arī no tā ģenēzes izrietot, ka adresāts var būt tikai atbildīgā struktūra. |
26. |
Savā kasācijas sūdzībā, ko tā iesniedza Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija), ULD apgalvo tostarp, ka esot pārkāpts BDSG 38. panta 5. punkts, un norāda uz vairākām procesuālām kļūdām, ko esot pieļāvusi apelācijas tiesa. Tā uzskata, ka Wirtschaftsakademie esot izdarījusi pārkāpumu, uzticot savas tīmekļvietnes izveidošanu, mitināšanu un uzturēšanu nepiemērotam pakalpojumu sniedzējam – šajā lietā Facebook Ireland, kurš neievēro datu aizsardzības jomā piemērojamās tiesības. Tādējādi deaktivēšanas rīkojuma mērķis esot bijis novērst šo Wirtschaftsakademie izdarīto pārkāpumu, ciktāl rīkojumā tai esot aizliegts izmantot Facebook infrastruktūru kā tās tīmekļvietnes tehnisko bāzi. |
27. |
Iesniedzējtiesa uzskata, ka attiecībā uz fanu lapu apmeklējušo personu datu apkopošanu un apstrādi, ko veic persona, kas iestājusies lietā, proti, Facebook Ireland, Wirtschaftsakademie neesot “struktūra, kura personas datus apkopo, apstrādā un izmanto vai nu pati savā vārdā, vai arī to uzdodot darīt citiem”BDSG 3. panta 7. punkta izpratnē, vai “institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus” Direktīvas 95/46 2. panta d) punkta izpratnē. Nolemjot izveidot fanu lapu pamatlietā iestājušās personas vai tās mātesuzņēmuma (šajā gadījumā Facebook Inc., ASV) uzturētajā platformā, Wirtschaftsakademie patiešām objektīvi sniedza personai, kas iestājusies pamatlietā, iespēju ievietot sīkdatnes šīs fanu lapas atvēršanas brīdī un tādējādi apkopot datus. Tomēr šis lēmums neesot ļāvis Wirtschaftsakademie ietekmēt, vadīt, noteikt vai pārbaudīt savas fanu lapas lietotāju datu apstrādes, ko veica persona, kas iestājusies pamatlietā, raksturu un apjomu. Arīdzan fanu lapas izmantošanas nosacījumos Wirtschaftsakademie neesot sniegtas iejaukšanās vai pārbaudes tiesības. Lietošanas nosacījumi, kurus vienpusēji bija noteikusi persona, kas iestājusies pamatlietā, neesot pārrunu rezultāts, un tajos neesot arī paredzētas Wirtschaftsakademie tiesības aizliegt personai, kas iestājusies pamatlietā, apkopot un apstrādāt fanu lapas lietotāju datus. |
28. |
Iesniedzējtiesa atzīst, ka Direktīvas 95/46 2. panta d) punktā ietvertā “personas datu apstrādātāja [pārziņa]” juridiskā definīcija principā esot jāinterpretē plaši, lai efektīvi aizsargātu tiesības uz privātās dzīves neaizskaramību. Tomēr Wirtschaftsakademie neatbilstot šai definīcijai, jo tai nav nekādas nedz tiesiskas, nedz faktiskas ietekmes uz personas datu apstrādi, ko persona, kas iestājusies pamatlietā, veic pati uz savu atbildību un pilnīgi neatkarīgi. Šajā ziņā nepietiekot ar apstākli, ka Wirtschaftsakademie var objektīvi gūt labumu no personas, kas iestājusies pamatlietā, izmantotās “Facebook Insights” funkcijas tāpēc, ka tās rīcībā tiek nodoti anonimizēti dati, kas ir noderīgi tās fanu lapas izmantošanas mērķiem. |
29. |
Iesniedzējtiesas ieskatā Wirtschaftsakademie nevarot arī tikt uzskatīta par datu apakšapstrādātāju BDSG 11. panta, kā arī Direktīvas 95/46 2. panta e) punkta un 17. panta 2. un 3. punkta izpratnē. |
30. |
Šī tiesa uzskata, ka ir nepieciešams skaidrojums jautājumā, vai un ar kādiem nosacījumiem uzraudzības iestāžu datu aizsardzības nozarē pārbaudes un iejaukšanās pilnvaras var tikt izmantotas vienīgi attiecībā uz “personas datu apstrādātāju [pārzini]” Direktīvas 95/46 2. panta d) punkta izpratnē vai arī saskaņā ar definīciju, kas izriet no šīs pašas tiesību normas, ir iespējams prasīt atbildību no struktūras, kas nav atbildīga par datu apstrādi, tāpēc ka šī struktūra ir izvēlējusies izmantot Facebook sava informācijas piedāvājuma izplatīšanai. |
31. |
Šajā pēdējā minētajā gadījumā iesniedzējtiesa vēlas noskaidrot, vai šāda atbildība var tikt pamatota ar izvēles un pārbaudes pienākumu, kas izriet no Direktīvas 95/46 17. panta 2. punkta, piemērošanu pēc analoģijas, uzticot datu apstrādi veikt kādam citam. |
32. |
Lai varētu spriest par šajā lietā izdotā rīkojuma tiesiskumu, iesniedzējtiesa uzskata, ka ir jānoskaidro arī daži jautājumi saistībā ar uzraudzības iestāžu kompetenci un to iejaukšanās pilnvaru apjomu. |
33. |
Konkrēti iesniedzējtiesa jautā par pilnvaru sadalījumu starp uzraudzības iestādēm gadījumā, ja tādam mātesuzņēmumam kā Facebook Inc. ir vairāki dibinājumi Savienības teritorijā un ja šie dibinājumi grupas iekšienē pilda dažādus uzdevumus. |
34. |
Iesniedzējtiesa šajā ziņā atgādina, ka Tiesa savā 2014. gada 13. maija spriedumā Google Spain un Google ( 14 ) ir spriedusi, ka “Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts ir jāinterpretē tādējādi, ka personas datu apstrāde tiek veikta dalībvalsts teritorijā par šo apstrādi atbildīgā nodibinājuma darbības ietvaros šīs tiesību normas nozīmē, ja meklētājprogrammas pakalpojumu sniedzējs izveido dalībvalstī filiāli vai meitasuzņēmumu, kas ir paredzēts reklāmas laukumu meklētājprogrammā reklamēšanai un pārdošanai un kura darbība ir domāta šīs dalībvalsts iedzīvotājiem” ( 15 ). Iesniedzējtiesa jautā, vai šī piesaiste tādam dibinājumam kā Facebook Germany GmbH, kura pārziņā saskaņā ar lēmumā lūgt prejudiciālu nolēmumu ietvertajām ziņām ir sekmēt un pārdot reklāmas laukumus un veikt citas ar mārketingu saistītas darbības, kas vērstas uz Vācijas iedzīvotājiem, Direktīvas 95/46 piemērojamības un kompetentās uzraudzības iestādes noteikšanas nolūkā ir transponējama uz situāciju, kurā citā dalībvalstī (šajā lietā – Īrijā) reģistrēts meitasuzņēmums darbojas kā “personas datu apstrādātājs [pārzinis]” visā Savienībā. |
35. |
Attiecībā uz pasākuma, kas veikts saskaņā ar Direktīvas 95/46 28. panta 3. punktu, adresātu iesniedzējtiesa norāda, ka rīkojums, kas pieņemts attiecībā uz Wirtschaftsakademie, varot būt radies kļūdas vērtējumā dēļ un tādējādi būt prettiesisks, ja pārkāpumi attiecībā uz piemērojamajām datu aizsardzības tiesībām, uz kuriem norāda ULD, varētu tikt novērsti, veicot pasākumu, kas vērsts tieši pret Vācijā reģistrēto meitasuzņēmumu Facebook Germany. |
36. |
Iesniedzējtiesa norāda arī, ka ULD uzskata, ka tai neesot saistoši Data Protection Commissioner (Uzraudzības iestāde datu aizsardzības jomā, Īrija) konstatējumi un vērtējumi, kura – atbilstoši Wirtschaftsakademie un personas, kas iestājusies pamatlietā, teiktajam – neesot apstrīdējusi personas datu apstrādi pamatlietā. Tādējādi šī tiesa vēlas noskaidrot, pirmkārt, vai šāds autonoms ULD vērtējums ir pieļaujams un, otrkārt, vai Direktīvas 95/46 28. panta 6. punkta otrajā teikumā ULD ir uzlikts pienākums, ņemot vērā atšķirību starp abu šo uzraudzības iestāžu vērtējumiem attiecībā uz datu apstrādes pamatlietā saderīgumu ar noteikumiem, kas izriet no Direktīvas 95/46, lūgt uzraudzības iestādei datu aizsardzības jomā, lai tā izmantotu savas pilnvaras attiecībā uz Facebook Ireland. |
37. |
Šādos apstākļos Bundesverwaltungsgericht (Federālā administratīvā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
|
II. Mans vērtējums
38. |
Jāprecizē, ka iesniedzējtiesas uzdotie prejudiciālie jautājumi nav par to, vai personas datu apstrāde, uz kuru attiecas ULD izvirzītie iebildumi, proti, personu, kas apmeklējušas fanu lapas, datu apkopošana un izmantošana, šīm personām neesot par to iepriekš informētām, ir vai nav pretrunā noteikumiem, kas izriet no Direktīvas 95/46. |
39. |
Saskaņā ar iesniedzējtiesas sniegtajiem skaidrojumiem tās vērtējumam izvirzītā rīkojuma tiesiskums ir atkarīgs no turpinājumā izklāstītajiem elementiem. Tās ieskatā vispirms ir jānosaka, vai ULD varēja pamatoti izmantot savas iejaukšanās pilnvaras attiecībā uz personu, kas nebija kvalificēta kā datu apstrādātājs [pārzinis] Direktīvas 95/46 2. panta d) punkta izpratnē. Iesniedzējtiesa arīdzan uzskata, ka rīkojuma tiesiskums esot atkarīgs arī no tā, vai ULD ir kompetenta rīkoties personas datu apstrādes jomā pamatlietā, ja apstāklis, ka tā savu rīkojumu vērsa nevis pret Facebook Germany, bet gan pret Wirtschaftsakademie, nav kļūda vērtējumā, un, visbeidzot, vai ULD nav pieļāvusi citu kļūdu vērtējumā, liekot Wirtschaftsakademie slēgt tās fanu lapu, kaut gan tai iepriekš bija jālūdz uzraudzības iestādei datu aizsardzības jomā izmantot tās pilnvaras pret Facebook Ireland. |
A. Par pirmo un otro prejudiciālo jautājumu
40. |
Pirmajā un otrajā prejudiciālajā jautājumā, kuri, manuprāt, ir jāskata kopā, iesniedzējtiesa būtībā lūdz Tiesai atbildēt, vai Direktīvas 95/46 17. panta 2. punkts, 24. pants un 28. panta 3. punkta otrais ievilkums ir jāinterpretē tādējādi, ka tajos uzraudzības iestādēm ir ļauts izmantot savas iejaukšanās pilnvaras attiecībā uz struktūru, kura nevar tikt uzskatīta par “personas datu apstrādātāju [pārzini]” šīs pašas direktīvas 2. panta d) punkta izpratnē, bet no kuras tik un tā var tikt prasīta atbildība gadījumā, ja tiek pārkāpti ar personas datu aizsardzību saistīti noteikumi, tāpēc ka šī struktūra ir izvēlējusies izmantot tādu sociālo tīklu kā Facebook sava informācijas piedāvājuma izplatīšanai. |
41. |
Šie jautājumi ir balstīti uz premisu, ka Wirtschaftsakademie nav “personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē. Tāpēc šī tiesa vēlas noskaidrot, vai tāds rīkojums kā pamatlietā var tikt vērsts pret personu, kura neatbilst šajā tiesību normā noteiktajiem kritērijiem. |
42. |
Tomēr es uzskatu, ka šī premisa ir kļūdaina. Proti, manuprāt, Wirtschaftsakademie ir jāuzskata par līdzapstrādātāju apstrādes posmā, kurā Facebook apkopo personas datus. |
43. |
“Personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē ir “fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus” ( 16 ). |
44. |
Personas datu apstrādātājs [pārzinis] pilda būtisku uzdevumu sistēmā, kas ir ieviesta ar Direktīvu 95/46, un līdz ar to ir būtiski to identificēt. Proti, šajā direktīvā ir paredzēts, ka personas datu apstrādātājam [pārzinim] ir uzlikta virkne pienākumu, kas paredzēti personas datu aizsardzības nodrošināšanai ( 17 ). Šo būtisko lomu Tiesa ir uzsvērusi savā 2014. gada 13. maija spriedumā Google Spain un Google ( 18 ). Tiesa tajā nosprieda, ka personas datu apstrādātājam [pārzinim] savas atbildības, kompetenču un iespēju ietvaros ir jānodrošina, lai attiecīgā datu apstrāde atbilstu Direktīvas 95/46 prasībām, lai tajā paredzētās garantijas varētu tikt pilnībā nodrošinātas un lai efektīvi un pilnībā varētu tikt realizēta attiecīgo personu, tostarp viņu tiesību uz privātās dzīves neaizskaramību, aizsardzība ( 19 ). |
45. |
No Tiesas judikatūras arī izriet, ka, lai nodrošinātu efektīvu un pilnīgu attiecīgo personu aizsardzību, šis jēdziens ir jādefinē plaši ( 20 ). |
46. |
Personas datu apstrādātājs [pārzinis] ir persona, kas izlemj, kādā nolūkā un kā šie dati tiks apstrādāti. Kā norāda 29. panta darba grupa, “personas datu apstrādātāja [pārziņa] jēdziens ir funkcionāls jēdziens, kas paredzēts, lai piešķirtu atbildību atbilstoši faktiskajai ietekmei, līdz ar to tā pamatā ir drīzāk faktiska, nevis formāla analīze” ( 21 ). |
47. |
Šīs apstrādes autori, manuprāt, nenoliedzami ir Facebook Inc. un attiecībā uz Savienību – Facebook Ireland, kas bija galvenās nolūku un noteikumu noteicējas. |
48. |
Precīzāk – Facebook Inc. izstrādāja vispārēju ekonomisku modeli, ar kuru tiek panākts, ka personas datu apkopošana fanu lapu apmeklējuma laikā un šo datu vēlāka izmantošana ļauj, pirmkārt, izplatīt personalizētas reklāmas un, otrkārt, izveidot lietotāju statistikas datus, kas paredzēti šo lapu uzturētājiem. |
49. |
Turklāt no lietas materiāliem izriet, ka Facebook Inc. ir iecēlusi Facebook Ireland kā atbildīgo par personas datu apstrādi Savienībā. Saskaņā ar Facebook Ireland sniegtajiem skaidrojumiem Savienībā šis sociālais tīkls darbojas ar zināmiem pielāgojumiem ( 22 ). |
50. |
Turklāt, lai gan nav strīda, ka visām personām, kas dzīvo Savienības teritorijā un vēlas lietot Facebook, reģistrējoties ir jānoslēdz līgums ar Facebook Ireland, ir jānorāda, ka tajā pašā laikā Savienības teritorijā dzīvojošo Facebook lietotāju personas dati vai daļa no tiem tiek pārsūtīti uz Facebook Inc. serveriem, kas atrodas Amerikas Savienoto Valstu teritorijā, kur tie tiek apstrādāti ( 23 ). |
51. |
Ņemot vērā Facebook Inc. un – it īpaši attiecībā uz Savienību – Facebook Ireland iesaistīšanu personas datu apstrādes nolūku un līdzekļu noteikšanā pamatlietā, ievērojot manā rīcībā esošo informāciju, ir jāuzskata, ka šie abi uzņēmumi ir kopīgi atbildīgi par šo apstrādi. Šajā ziņā ir jānorāda, ka Direktīvas 95/46 2. panta d) punktā ir skaidri paredzēta šādas kopīgas apstrādes iespēja. Kā ir norādījusi pati iesniedzējtiesa, visbeidzot ir jānoskaidro iekšējās lēmumu pieņemšanas un datu apstrādes struktūras Facebook grupā, lai noteiktu, kurš dibinājums vai dibinājumi ir personas datu apstrādātāji [pārziņi] Direktīvas 95/46 2. panta d) punkta izpratnē ( 24 ). |
52. |
Attiecībā uz apstrādes posmu, ko veido Facebook veiktā personas datu apkopošana ( 25 ), Facebook Inc. un Facebook Ireland kopīgajai atbildībai, manuprāt, ir jāpievieno tāda fanu lapas uzturētāja kā Wirtschaftsakademie atbildība. |
53. |
Fanu lapas uzturētājs patiešām vispirms jau ir Facebook lietotājs, kas vēlas izmantot šā tīkla rīkus un tādējādi gūt labumu no labākas pamanāmības. Tomēr šī konstatējuma dēļ nevar tikt izslēgts, ka viņš var arī būt uzskatāms par atbildīgu par to personas datu apstrādes posmu, kas ir pamatlietas priekšmets, proti, par šādu datu apkopošanu, ko veic Facebook. |
54. |
Attiecībā uz jautājumu, vai fanu lapas uzturētājs “nosaka” apstrādes nolūkus un līdzekļus, ir jāpārbauda, vai šim uzturētājam ir tiesiska un faktiska ietekme uz šiem nolūkiem un šiem līdzekļiem. Šis definīcijas elements ļauj uzskatīt, ka personas datu apstrādātājs [pārzinis] nav tas, kurš veic personas datu apstrādi, bet gan tas, kurš nosaka tās līdzekļus un nolūkus. |
55. |
Tā kā fanu lapas uzturētājs ir izmantojis Facebook sava informācijas piedāvājuma izplatīšanai, viņš ir piekritis principam, ka viņa fanu lapas apmeklētāju personas dati tiks apstrādāti, lai iegūtu apmeklētāju loka statistikas datus ( 26 ). Pat ja ir skaidrs, ka viņš nav rīka “Facebook Insights” autors, šis uzturētājs, izmantojot šo rīku, piedalās savas lapas apmeklētāju personas datu apstrādes nolūku un līdzekļu noteikšanā. |
56. |
Proti, pirmkārt, šī apstrāde nebūtu varējusi notikt bez fanu lapas uzturētāja iepriekšēja lēmuma par tās izveidi un ekspluatēšanu sociālajā tīklā Facebook. Padarot iespējamu fanu lapas apmeklētāju personas datu apstrādi, šīs lapas vadītājs iekļaujas Facebook izveidotajā sistēmā. Tādējādi viņš labāk pārredz savas fanu lapas lietotāju profilu un tajā pašā laikā ļauj Facebook labāk novirzīt šī sociālā tīkla ietvaros izplatīto reklāmu. Piekrītot tādiem personas datu apstrādes līdzekļiem un nolūkiem, kādus Facebook ir iepriekš noteicis, ir jāuzskata, ka fanu lapas vadītājs ir piedalījies to noteikšanā. Turklāt, tāpat kā fanu lapas uzturētājam tādējādi ir noteicoša ietekme uz personu, kas apmeklē šo lapu, datu apstrādes uzsākšanu, viņa rīcībā ir arī pilnvaras izbeigt šo apstrādi, slēdzot savu fanu lapu. |
57. |
Otrkārt, kaut gan rīka “Facebook Insights” paša par sevi nolūkus un mērķus vispārēji ir noteicis Facebook Inc. kopīgi ar Facebook Ireland, fanu lapas uzturētājam ir iespēja ietekmēt, kā konkrēti šis rīks tiks izmantots, nosakot kritērijus, saskaņā ar kuriem tiek konstatēti apmeklētāju loka statistikas dati. Kad Facebook ierosina fanu lapas uzturētājam izveidot vai mainīt viņa lapas apmeklētāju loku, tas viņam norāda, ka darīs visu savu iespēju robežās, lai parādītu šo lapu personām, par kurām viņam ir vislielākā interese. Fanu lapas uzturētājs, izmantojot filtrus, var noteikt personalizētu apmeklētāju loku, kas viņam ļauj ne tikai precizēt personu kopumu, kurām tiks izplatīta ar viņa komercpiedāvājumu saistīta informācija, bet galvenokārt noteikt, kādu kategoriju personu datus Facebook apkopos. Tādējādi, nosakot apmeklētāju loku, ko viņš vēlas uzrunāt, fanu lapas uzturētājs vienlaikus nosaka, kāda sabiedrības daļa var būt Facebook veiktas personas datu apkopošanas un vēlākas izmantošanas priekšmets. Tāpēc fanu lapas uzturētājs ne tikai ir šādas datu apstrādes ierosinātājs, kad tas atver šādu lapu, bet arī pilda svarīgu lomu šīs Facebook veiktās apstrādes īstenošanā. Šādi rīkojoties, viņš piedalās minētās apstrādes līdzekļu un nolūku noteikšanā, īstenojot uz to faktisku ietekmi. |
58. |
No iepriekš izklāstītā secinu, ka tādos apstākļos kā pamatlietā fanu lapas uzturētājs tādā sociālajā tīklā kā Facebook ir jāuzskata par apstrādātāju personas datu apstrādes posmā, ko veido šī sociālā tīkla veikta personu, kas apmeklē šo lapu, datu apkopošana. |
59. |
Secināto apstiprina konstatējums, ka gan tāda fanu lapas uzturētāja kā Wirtschaftsakademie, gan tādu pakalpojumu sniedzēju kā Facebook Inc. un Facebook Ireland mērķi ir cieši saistīti. Wirtschaftsakademie vēlas iegūt apmeklētāju loka statistikas datus tālab, lai iepazīstinātu ar savu darbību, un šie dati ir iegūstami ar personas datu apstrādes palīdzību. Šī pati apstrāde ļaus arī Facebook labāk novirzīt reklāmu, ko tā izplata savā tīklā. |
60. |
Līdz ar to ir jānoraida interpretācija, kas būtu balstīta vienīgi uz Wirtschaftsakademie un Facebook Ireland starpā noslēgtā līguma noteikumiem un nosacījumiem. Proti, līgumā izklāstītā pienākumu sadale var būt vienīgi norāde uz līguma pušu faktisko lomu personas datu apstrādes veikšanā. Pretējā gadījumā šīs puses varētu mākslīgi piedēvēt atbildību par apstrādi viena otrai. Vēl jo vairāk tā tas ir situācijā, kurā sociālais tīkls ir iepriekš sagatavojis vispārīgos noteikumus un tie nav apspriežami. Tātad nevar tikt uzskatīts, ka tas, kurš var vienīgi piekrist līgumam vai to noraidīt, nevar būt personas datu apstrādātājs [pārzinis]. No brīža, kad šis pats līdzējs ir brīvprātīgi noslēdzis līgumu, tas, ņemot vērā tā konkrēto ietekmi uz šīs apstrādes līdzekļiem un nolūkiem, vienmēr var būt personas datu apstrādātājs [pārzinis]. |
61. |
Tādējādi ar to, ka līgumu un tā vispārējos nosacījumus sagatavo pakalpojuma sniedzējs un ka uzņēmējam, kas izmanto šī pakalpojuma sniedzēja piedāvātos pakalpojumus, nav piekļuves datiem, netiek izslēgts, ka tas var būt uzskatāms par personas datu apstrādātāju [pārzini], jo tas ir brīvprātīgi piekritis līguma nosacījumiem, tādējādi uzņemoties pilnu atbildību par to izpildi ( 27 ). Turklāt arī jāatzīst – tāpat kā to dara 29. panta darba grupa –, ka iespējama spēku attiecību nelīdzsvarotība starp pakalpojumu sniedzēju un saņēmēju nav šķērslis tam, lai šis pēdējais minētais varētu tikt kvalificēts kā “personas datu apstrādātājs [pārzinis]” ( 28 ). |
62. |
Turklāt, lai persona varētu tikt uzskatīta par personas datu apstrādātāju [pārzini] Direktīvas 95/46 2. panta d) punkta izpratnē, nav nepieciešams, lai šīs personas rīcībā būtu pilnīgas pārbaudes pilnvaras attiecībā uz visiem apstrādes aspektiem. Kā Beļģijas valdība tiesas sēdē pamatoti norādīja, praksē tāda pārbaude ir sastopama arvien retāk. Apstrādes kļūst arvien sarežģītākas tādā ziņā, ka ietver vairākas nošķirtas apstrādes, kurās iesaistās vairākas puses, kuras pašas īsteno kontroli dažādos apmēros. Līdz ar to interpretācija, kurā priekšroka tiek dota tam, ka pastāv pilnīga kontrole pār visiem apstrādes aspektiem, varētu radīt nopietnus robus personas datu aizsardzības jomā. |
63. |
To ilustrē faktiskie apstākļi, kas ir 2014. gada 13. maija sprieduma Google Spain un Google ( 29 ) pamatā. Proti, šajā lietā jautājums bija par situāciju, kurā bija iesaistīti informācijas sniedzēji pēc kaskādes principa, kurā katrai no dažādām pusēm bija nošķirta ietekme uz apstrādi. Šajā lietā Tiesa atteicās jēdzienu “personas datu apstrādātājs [pārzinis]” interpretēt šauri. Tā uzskatīja, ka meklētājprogrammas pakalpojumu sniedzējam “kā personai, kas nosaka [savas] darbības mērķus un līdzekļus, savas atbildības, kompetenču un iespēju ietvaros [..] ir jānodrošina, lai tā atbilstu Direktīvas 95/46 prasībām” ( 30 ). Turklāt Tiesa norādīja uz iespējamu meklētājprogrammas pakalpojumu sniedzēja un tīmekļvietņu veidotāju kopīgu atbildību ( 31 ). |
64. |
Tāpat kā Beļģijas valdība, es uzskatu, ka ar jēdziena “personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē plašu interpretāciju, kādai, manuprāt, ir jādod priekšroka šajā lietā, var izvairīties no ļaunprātīgas izmantošanas. Proti, pretējā gadījumā būtu pietiekami, ka uzņēmums izmanto trešās personas pakalpojumus, lai izvairītos no pienākumiem personas datu aizsardzības jomā. Citiem vārdiem sakot, uzņēmums, kas nodrošina savu tīmekļvietni ar rīkiem, kas analogi Facebook piedāvātajiem, manuprāt, nav jānošķir no uzņēmuma, kurš pievienojas Facebook sociālajam tīklam, lai gūtu labumu no šī pēdējā minētā piedāvātajiem rīkiem. Tādējādi ir jānodrošina, lai saimnieciskās darbības subjekti, kas ir izmantojuši savas tīmekļvietnes mitināšanas pakalpojumu, nevarētu izvairīties no savas atbildības, atsaucoties uz pakalpojumu sniedzēja vispārīgajiem nosacījumiem. Turklāt, kā šī pati valdība norādīja tiesas sēdē, nav nepamatoti sagaidīt no uzņēmumiem rūpību pakalpojumu sniedzēju izvēlē. |
65. |
Tātad es uzskatu, ka tas, ka fanu lapas uzturētājs izmanto Facebook piedāvāto platformu un gūst labumu no pakalpojumiem, kas ar to saistīti, viņu neatbrīvo no pienākumiem personas datu aizsardzības jomā. Šajā ziņā norādīšu, ka, ja Wirtschaftsakademie būtu atvērusi tīmekļvietni ārpus Facebook, ieviešot “Facebook Insights” analogu rīku apmeklētāju loka statistikas datu iegūšanai, tā tiktu uzskatīta par personas datu, kuru apstrāde ir nepieciešama, lai iegūtu šādus statistikas datus, apstrādātāju [pārzini]. Manuprāt, šāds saimnieciskās darbības subjekts nav atbrīvojams no personas datu aizsardzības noteikumu, kas izriet no Direktīvas 95/46, ievērošanas, pamatojoties tikai uz to, ka viņš savu darbību reklamēšanai izmanto sociālā tīkla Facebook platformu. Kā pamatoti norāda pati iesniedzējtiesa, informācijas sniedzējs, izvēloties noteiktu infrastruktūras pakalpojumu sniedzēju, nevar sevi atbrīvot no pienākumiem, kādi viņam ir uzlikti ar datu aizsardzībai piemērojamajām tiesībām attiecībā uz viņa informācijas piedāvājuma lietotājiem un kas viņam būtu jāpilda, ja viņš būtu vienkāršs satura nodrošinātājs ( 32 ). Pretēja interpretācija radītu ar personas datu aizsardzību saistītu noteikumu apiešanas risku. |
66. |
Vēl, manuprāt, šajā lietā aplūkotā situācija nav mākslīgi jānošķir no lietā C‑40/17 Fashion ID ( 33 ) aplūkotās situācijas. |
67. |
Šī pēdējā minētā lieta attiecās uz situāciju, kurā tīmekļvietnes vadītājs ievietoja savā tīmekļvietnē to, ko sauc par ārēja pakalpojumu sniedzēja (proti, Facebook) “sociālo spraudni” (šajā gadījumā Facebook poga “patīk”), ar ko tiek izraisīta personas datu pārsūtīšana no tīmekļa lapas lietotāja datora ārējam pakalpojumu sniedzējam. |
68. |
Strīdā, kas bija minētās lietas pamatā, patērētāju tiesību aizsardzības apvienība pārmeta sabiedrībai Fashion ID, ka tā, ievietojot savā tīmekļvietnē spraudni “patīk”, ko nodrošina sociālais tīkls Facebook, esot ļāvusi šim pēdējam minētajam iegūt piekļuvi šīs tīmekļvietnes lietotāju personas datiem – bez viņu piekrišanas un pārkāpjot informācijas sniegšanas pienākumus, kas ir paredzēti ar personas datu aizsardzību saistītajās tiesību normās. Tātad rodas jautājums, vai, tā kā Fashion ID ļauj Facebook piekļūt tās tīmekļvietnes lietotāju personas datiem, šī sabiedrība var vai nevar tikt kvalificēta kā “personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē. |
69. |
Šajā ziņā es nerodu būtisku atšķirību starp situācijām, kurās ir fanu lapas uzturētājs un tīmekļvietnes ekspluatētājs, kurš iekļauj webtracking pakalpojumu sniedzēja kodu savā tīmekļvietnē un tādējādi, vietnes apmeklētājam nezinot, rosina datu pārsūtīšanu, sīkdatņu ievietošanu un datu apkopošanu webtracking pakalpojumu sniedzēja labā. |
70. |
Sociālie spraudņi ļauj tīmekļvietņu ekspluatētājiem izmantot viņu pašu tīmekļvietnēs dažus sociālo tīklu pakalpojumus, lai palielinātu šo vietņu pamanāmību, piemēram, iekļaujot savā vietnē Facebook pogu “patīk”. Tāpat kā fanu lapu uzturētāji, arī personas, kas ekspluatē tīmekļvietnes ar iekļautiem sociāliem spraudņiem, var gūt labumu no “Facebook Insights” pakalpojuma, lai iegūtu precīzus statistikas datus par savas vietnes lietotājiem. |
71. |
Tāpat kā tas, kas notiek fanu lapas apmeklējuma gadījumā, arī tīmekļvietnes ar iekļautu sociālo spraudni apmeklēšana izraisīs personas datu pārsūtīšanu attiecīgajam pakalpojuma sniedzējam. |
72. |
Manuprāt, šajos apstākļos, tāpat kā fanu lapas uzturētājs, arī tīmekļvietnes ar iekļautu sociālo spraudni pārzinis, ciktāl tam ir faktiska ietekme uz apstrādi, kas saistīta ar personas datu pārsūtīšanu Facebook, ir jākvalificē kā “personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē ( 34 ). |
73. |
Piebildīšu, kā pamatoti norāda Beļģijas valdība, ka konstatējums, saskaņā ar kuru Wirtschaftsakademie darbojas kā līdzatbildīga datu apstrādātāja, jo tā nolemj izmantot Facebook pakalpojumus savam informācijas piedāvājumam, nekādi nemazina Facebook Inc. un Facebook Ireland kā personas datu apstrādātājiem [pārziņiem] uzliktos pienākumus. Proti, ir skaidrs, ka abi šie uzņēmumi īsteno noteicošu ietekmi attiecībā uz personas datu apstrādes, kas sākas fanu lapas apmeklējuma laikā, nolūkiem un līdzekļiem un ka tie tos izmanto arī saviem pašu nolūkiem un savās interesēs. |
74. |
Tomēr, atzīstot fanu lapu uzturētāju kopīgu atbildību par apstrādes posmu, ko veido Facebook vāktu personas datu apkopošana, tiek nodrošināta pilnīgāka šī veida lapas apmeklējošo personu tiesību aizsardzība. Turklāt, tas, ka fanu lapu uzturētāji tiek aktīvi iesaistīti personas datu aizsardzības ievērošanā, padarot tos par personas datu apstrādātājiem [pārziņiem], ar rosinošas iedarbības palīdzību var mudināt pašu sociālā tīkla platformu īstenot saderīgumu ar šādiem noteikumiem. |
75. |
Tāpat arī ir jāprecizē, ka kopīgas atbildības esamība nenozīmē vienlīdzīgu atbildību. Tieši otrādi, daudzos gadījumos dažādie personas datu apstrādātāji [pārziņi] var atbildēt – un attiecīgi būt saucami pie atbildības – par personas datu apstrādi dažādos tās posmos un dažādā mērā ( 35 ). |
76. |
29. panta darba grupas ieskatā, “nodrošinot plurālistiskas kontroles iespēju, ir ņemtas vērā arvien biežāk sastopamās situācijas, kad personas datu apstrādātāju [pārziņu] funkcijas pilda vairākas puses. Kopīgās kontroles novērtējumā tāpat kā “atsevišķās” kontroles novērtējumā ir jāizmanto substantīva un funkcionāla pieeja, lai noskaidrotu, vai datu apstrādes nolūkus un līdzekļu pamatelementus nosaka vairākas puses. Kopīgas kontroles gadījumā pušu līdzdalībai, kopīgi nosakot nolūkus un līdzekļus, var būt dažādas izpausmes un tā var nebūt līdzvērtīga” ( 36 ). Proti, “ja kopīgi darbojas vairākas iesaistītās puses, to attiecības var būt ļoti ciešas (piemēram, tām var būt kopīgi visi datu apstrādes mērķi un līdzekļi) vai ne tik ciešas (piemēram, tām var būt kopīgi tikai mērķi vai tikai līdzekļi, turklāt daļēji). Tāpēc jāaplūko plaša kopīgās kontroles tipoloģiju amplitūda un jānovērtē to juridiskās sekas, ievērojot pietiekami elastīgu pieeju, jo jāņem vērā, ka datu apstrādes vide pašlaik kļūst arvien sarežģītāka” ( 37 ). |
77. |
No iepriekš izklāstītā izriet, ka, manuprāt, ir jāuzskata, ka fanu lapas sociālajā tīklā Facebook uzturētājs līdzās Facebook Inc. un Facebook Ireland ir atbildīgs par personas datu apstrādi, kas tiek veikta, lai iegūtu statistikas datus par šīs lapas apmeklētāju loku. |
B. Par trešo un ceturto prejudiciālo jautājumu
78. |
Savā trešajā un ceturtajā prejudiciālajā jautājumā, kas, manuprāt, ir jāskata kopā, iesniedzējtiesa vēlas saņemt Tiesas precizējumus attiecībā uz Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta un 28. panta 1., 3. un 6. punkta interpretāciju situācijā, kad tāds ārpus Savienības esošs mātesuzņēmums kā Facebook Inc., izmantojot vairākus dibinājumus, sniedz ar sociālo tīklu saistītus pakalpojumus Savienības teritorijā. Vienu no šiem dibinājumiem mātesuzņēmums ir iecēlis par personas datu apstrādātāju [pārzini] Savienībā (Facebook Ireland), savukārt reklāmu un reklāmas laukumu pārdošanu, kā arī mārketinga pasākumus, kas vērsti uz Vācijas iedzīvotājiem, nodrošina kāds cits dibinājums (Facebook Germany). Šajā kontekstā iesniedzējtiesa vēlas zināt, pirmkārt, vai Vācijas uzraudzības iestādei ir tiesības izmantot savas iejaukšanās pilnvaras ar mērķi, lai strīdīgā personas datu apstrāde tiktu pārtraukta, un, otrkārt, pret kuru dibinājumu šādas pilnvaras var tikt izmantotas. |
79. |
Atbildot uz ULD un Itālijas valdības paustajām šaubām par trešā un ceturtā prejudiciālā jautājuma pieņemamību, norādīšu, ka Bundesverwaltungsgericht (Federālā administratīvā tiesa) savā lēmumā lūgt prejudiciālu nolēmumu paskaidro, ka tai paskaidrojumi šajos jautājumos ir nepieciešami, lai varētu spriest par to, vai pamatlietā aplūkotais rīkojums ir tiesisks. It īpaši šī tiesa apgalvo, ka rīkojums, kas pieņemts attiecībā uz Wirtschaftsakademie, varot būt radies kļūdas vērtējumā dēļ un tādējādi būt prettiesisks, ja pārkāpumi attiecībā uz piemērojamajām datu aizsardzības tiesībām, uz kuriem norāda ULD, varētu tikt novērsti, nosakot pasākumu, kas vērsts tieši pret Vācijā reģistrēto meitasuzņēmumu Facebook Germany ( 38 ). Manuprāt, šīs iesniedzējtiesas pārdomas ļauj labi saprast iemeslus, kuru dēļ tā uzdod Tiesai trešo un ceturto prejudiciālo jautājumu. Tādējādi, ņemot vērā atbilstības pieņēmumu saistībā ar lūgumiem sniegt prejudiciālu nolēmumu ( 39 ), ierosinu Tiesai atbildēt uz šiem jautājumiem. |
80. |
Direktīvas 95/46 4. pantā “Piemērojamās valsts tiesības” ir noteikts: “1. Katra dalībvalsts piemēro savas valsts noteikumus personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja:
[..].” |
81. |
Savā 2010. gada 16. decembra Atzinumā 8/2010 par piemērojamiem tiesību aktiem ( 40 ) 29. panta darba grupa atsaucas uz Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta piemērošanu šādā situācijā: “Sociālā tīkla platformas galvenā mītne atrodas trešā valstī, bet šim tīklam ir iestāde [dibinājums] dalībvalstī. Iestāde [dibinājums] nosaka un īsteno ar [Savienības] iedzīvotāju personas datu apstrādi saistīto politiku. Sociālais tīkls aktīvi virza savas darbības uz visu [Savienības] dalībvalstu iedzīvotājiem, kas veido ievērojamu tā klientu un ieņēmumu daļu. Tas arī ievieto sīkdatnes [Savienības] lietotāju datoros. Šajā gadījumā saskaņā ar [Direktīvas 95/46] 4. panta 1. punkta a) apakšpunktu piemērojamie tiesību akti būs tās [Savienības] dalībvalsts datu aizsardzības tiesību akti, kurā uzņēmums reģistrēts. Nav svarīgi, vai sociālais tīkls izmanto citu dalībvalstu teritorijā izvietotu aprīkojumu, jo visa datu apstrāde notiek saistībā ar vienīgās iestādes [vienīgā dibinājuma] pasākumiem un [šī direktīva] neparedz kumulatīvu 4. panta 1. punkta a) un c) apakšpunkta piemērošanu” ( 41 ). 29. panta darba grupa arī precizē, ka “sociālā tīkla reģistrācijas dalībvalsts uzraudzības iestādei saskaņā ar [minētās direktīvas] 28. panta 6. punktu ir pienākums sadarboties ar citām uzraudzības iestādēm, piemēram, izskatot citu [Savienības] valstu iedzīvotāju pieprasījumus un sūdzības” ( 42 ). |
82. |
Iepriekšējā punktā izklāstītajā situācijā nav nekādu grūtību noteikt piemērojamās valsts tiesības. Proti, šajā gadījumā, tā kā mātesuzņēmumam ir tikai viens dibinājums Savienībā, attiecīgajai personas datu apstrādei ir jāpiemēro šā dibinājuma atrašanās vietas dalībvalsts tiesības. |
83. |
Situācija kļūst sarežģītāka, ja – tāpat kā gadījumā, kāds ir šajā lietā, – tāda trešā valstī dibināta sabiedrība kā Facebook Inc. izvērš savu darbību Savienībā, pirmkārt, ar dibinājuma palīdzību, kuram šī sabiedrība ir uzticējusi ekskluzīvu atbildību par personas datu apkopošanu un apstrādi Facebook grupas ietvaros visā Savienības teritorijā (Facebook Ireland), un, otrkārt, ar citu dibinājumu palīdzību, no kuriem viens atrodas Vācijā (Facebook Germany) un kura pārziņā – saskaņā ar lēmumā lūgt prejudiciālu nolēmumu ietvertajām norādēm – ir reklāma un reklāmas laukumu pārdošana, un citas mārketinga darbības, kas vērstas uz šīs dalībvalsts iedzīvotājiem ( 43 ). |
84. |
Vai šādā situācijā Vācijas uzraudzības iestādes kompetencē ir izmantot iejaukšanās pilnvaras, lai tiktu izbeigta personas datu apstrāde, par kuru Facebook Inc. un Facebook Ireland ir kopīgi atbildīgas? |
85. |
Lai atbildētu uz šo jautājumu, ir jānoskaidro, vai Vācijas uzraudzības iestādei ir pamats piemērot šādai apstrādei savas valsts tiesības. |
86. |
Šajā ziņā no Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izriet, ka dibinājuma darbības ietvaros veiktai datu apstrādei ir piemērojamas šā dibinājuma atrašanās vietas dalībvalsts tiesības. |
87. |
Tiesa jau ir spriedusi, ka, ņemot vērā šīs direktīvas mērķi nodrošināt fizisko personu pamattiesību un brīvību pilnīgu un efektīvu aizsardzību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi, minētās direktīvas 4. panta 1. punkta a) apakšpunktā ietvertā vārdkopa “pārziņa nodibinājuma darbības ietvaros” nevar tikt interpretēta šauri ( 44 ). |
88. |
Dalībvalsts tiesību akta, ar ko transponēta [šī direktīva], piemērojamība personas datu apstrādei paredz divu nosacījumu vienlaicīgu izpildi. Pirmkārt, šīs apstrādes veicēja rīcībā ir jābūt “dibinājumam” šajā dalībvalstī. Otrkārt, minētā apstrāde ir jāveic “saistībā ar [..] pasākumiem”, ko īsteno šis dibinājums [proti, tā darbības ietvaros]. |
89. |
Pirmkārt, attiecībā uz “dibinājuma” jēdzienu Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē Tiesa, interpretējot šo jēdzienu plaši un elastīgi, jau ir precizējusi, ka tajā ir ietverta jebkāda reāla un efektīva darbība, izmantojot stabilu veidojumu, pat ja tā ir minimāla ( 45 ), tādējādi izslēdzot jebkādu formālistisku pieeju ( 46 ). |
90. |
Šādā perspektīvā ir jāizvērtē gan veidojuma pastāvīguma pakāpe, gan darbības veikšanas realitāte attiecīgajā dalībvalstī ( 47 ), ņemot vērā attiecīgās saimnieciskās darbības un attiecīgo sniegto pakalpojumu īpatnības ( 48 ). Šajā ziņā nav strīda, ka Facebook Germany, kura adrese ir Hamburgā (Vācija), nodarbojas ar reālas un efektīvas darbības īstenošanu ar stabila veidojuma Vācijā palīdzību. Tātad tas ir “dibinājums” Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē. |
91. |
Otrkārt, attiecībā uz to, vai attiecīgā personas datu apstrāde ir veikta šī dibinājuma “darbības ietvaros” Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē, Tiesa jau ir atgādinājusi, ka šajā tiesību normā nav prasīts, lai attiecīgo personas datu apstrādi būtu veicis “pats” attiecīgais dibinājums, bet gan vienīgi, lai šī apstrāde būtu veikta tā “darbības ietvaros” ( 49 ). |
92. |
Kā izriet no Atzinuma 8/2010, “nosakot piemērojamos tiesību aktus, izšķirošs faktors nav datu atrašanās vieta, bet jēdziens “saistībā ar.. pasākumiem”. Jēdziens “saistībā ar.. pasākumiem” nozīmē, ka piemērojamie tiesību akti ir nevis tās dalībvalsts tiesību akti, kurā personas datu apstrādātājs ir reģistrēts, bet gan tās, kurā personas datu apstrādātāja iestāde ir iesaistīta [ar personas datu apstrādi saistītos vai to ietverošos] pasākumos. Šajā kontekstā izšķiroša nozīme ir iestādes vai iestāžu iesaistīšanās pakāpei pasākumos, kuru kontekstā notiek personas datu apstrāde. Turklāt būtu jāņem vērā to pasākumu veids, kuros iestādes ir iesaistījušās, un nepieciešamība garantēt personu tiesību efektīvu aizsardzību. Šo kritēriju analīzē būtu jāievēro funkcionāla pieeja – noteicošajam faktoram būtu jābūt ne tik daudz iesaistīto personu veiktajam teorētiskajam novērtējumam attiecībā uz piemērojamajiem tiesību aktiem, bet drīzāk to praktiskajai rīcībai un mijiedarbībai” ( 50 ). |
93. |
2014. gada 13. maija spriedumā Google Spain un Google ( 51 ) Tiesai bija jāpārbauda šī nosacījuma ievērošana. Tā to interpretēja plaši, uzskatot, ka personas datu apstrāde, kas ir veikta tādas meklētājprogrammas kā Google Search pakalpojumu vajadzībām, kuru ekspluatē uzņēmums, kura juridiskā adrese ir trešajā valstī, bet kuram ir dibinājums dalībvalstī, ir veikta šī dibinājuma “darbības ietvaros”, ja tā ir paredzēta, lai šajā valstī nodrošinātu tādu reklāmas laukumu reklamēšanu un pārdošanu, kuri tiek piedāvāti šajā meklētājprogrammā, kura ir paredzēta, lai šīs meklētājprogrammas sniegtais pakalpojums kļūtu ienesīgs ( 52 ). Proti, Tiesa norādīja, ka “šādos apstākļos meklētājprogrammas pakalpojumu sniedzēja darbības un tā nodibinājuma, kas atrodas attiecīgajā dalībvalstī, darbības ir nesaraujami saistītas, jo darbības saistībā ar reklāmas laukumiem ir līdzeklis, lai padarītu attiecīgo meklētājprogrammu ekonomiski rentablu, un šī programma tajā pašā laikā ir līdzeklis, kas ļauj paveikt šīs darbības” ( 53 ). Šī risinājuma atbalstam Tiesa piebilda, ka, tā kā personas datu atspoguļošana meklēšanas rezultātu lapā, kurā ievietota reklāma, ir “saistīta ar meklēšanas terminiem, ir jākonstatē, ka attiecīgo personas datu apstrādāšana ir veikta nodibinājuma, kas atbildīgs par apstrādi dalībvalsts teritorijā – šajā gadījumā Spānijas teritorijā –, reklāmas un komerciālās darbības ietvaros” ( 54 ). |
94. |
Taču saskaņā ar lēmumā lūgt prejudiciālu nolēmumu ietvertajām norādēm Facebook Germany pārziņā ir reklāma un reklāmas laukumu pārdošana, un citas mārketinga darbības, kas vērstas uz Vācijas iedzīvotājiem. Ciktāl personas datu apstrādes pamatlietā, ko veido šādu datu apkopošana, izmantojot fanu lapu apmeklētāju datoros ievietotās sīkdatnes, mērķis ir ļaut konkrēti Facebook labāk atlasīt reklāmas, ko tā izvieto, tāda apstrāde ir jāuzskata par tādu, kas iekļaujas darbībā, ar kuru Facebook Germany nodarbojas Vācijā. Šajā ziņā, ņemot vērā, ka tāds sociālais tīkls kā Facebook lielāko daļu savu ienākumu gūst no reklāmām, kas redzamas tīmekļa lapās, kuras iestata un kurām piekļūst lietotāji ( 55 ), ir jāuzskata, ka Facebook Inc. un Facebook Ireland, kas ir kopīgi atbildīgi par apstrādi, darbība ir nedalāmi saistīta ar tāda dibinājuma kā Facebook Germany darbību. Turklāt pēc personas datu apstrādes, kas padarīta iespējama ar sīkdatnes ievietošanu personas, kas apmeklē domēna vārdam Facebook.com piederošu lapu, datorā, kādas no Facebook lapām apmeklējums ir cieši saistīts ar reklāmu, kuras attiecas uz šī apmeklētāja galvenajām interesēm, izvietošanu. No tā ir jāsecina, ka attiecīgā personas datu apstrāde tiek īstenota personas datu apstrādātāja konkrētā dalībvalstī izveidotā dibinājuma reklāmas darbības un komercdarbības ietvaros – šajā gadījumā Vācijā. |
95. |
Apstāklis, ka Facebook grupai – atšķirībā no tā, kā tas bija lietā, kurā tika pasludināts 2014. gada 13. maija spriedums Google Spain un Google ( 56 ), – ir juridiskā adrese Eiropā – šajā gadījumā Īrijā, neliedz minētajā spriedumā Tiesas pieņemto Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta interpretāciju pārņemt arī šīs lietas apstākļos. Minētajā spriedumā Tiesa ir paudusi gribu nepieļaut, ka personas datu apstrāde tiktu izslēgta no šajā direktīvā paredzētajiem pienākumiem un garantijām. Šajā tiesvedībā ir ticis apgalvots, ka ar šādu apiešanu saistīta problēma šajā gadījumā nerodoties, jo personas datu apstrādātājs [pārzinis] ir reģistrēts vienā no dalībvalstīm – šajā gadījumā Īrijā. Tātad saskaņā ar šo loģiku minētās direktīvas 4. panta 1. punkta a) apakšpunkts būtu jāinterpretē kā tāds, kurā šim personas datu apstrādātājam [pārzinim] ir uzlikts pienākums ņemt vērā tikai vienas valsts tiesību aktus un būt tikai vienas valsts uzraudzības iestādes pārziņā, proti, tie būtu Īrijas tiesību akti un uzraudzības iestāde. |
96. |
Tomēr šāda interpretācija ir pretrunā Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta formulējumam, kā arī šīs tiesību normas izcelsmes vēsturei. Proti, kā tiesas sēdē pamatoti norādīja Beļģijas valdība, ar šo direktīvu nav iedibināts nedz vienas pieturas aģentūras mehānisms, nedz izcelsmes valsts princips ( 57 ). Šajā ziņā tas, kas ietilpst politiskajā mērķī, ko Eiropas Komisija izvirzīja direktīvas priekšlikumā, nebūtu jājauc ar risinājumu, ko galu galā pieņēma Eiropas Savienības Padome. Likumdevējs šajā direktīvā izvēlējās nesniegt priekšroku tās dalībvalsts, kurā ir reģistrēts personas datu apstrādātāja [pārziņa] galvenais dibinājums, tiesību aktu piemērošanai. Direktīvas 95/46 rezultātā atspoguļojas dalībvalstu griba saglabāt savai valstij īstenošanas pilnvaras. Nepieņemot izcelsmes valsts principu, Savienības likumdevējs ļāva katrai dalībvalstij piemērot savas valsts tiesību aktus un tādējādi ir padarījis iespējamu piemērojamo valsts tiesību pārklāšanos ( 58 ). |
97. |
Minētās direktīvas 4. panta 1. punkta a) apakšpunktā Savienības likumdevējs ir apzināti izvēlējies, ja vienam personas datu apstrādātājam [pārzinim] Savienībā ir vairāki dibinājumi, atļaut, lai attiecīgo dalībvalstu rezidentu personas datu apstrādei varētu tikt piemēroti vairāku valstu tiesību akti attiecībā uz personas datu aizsardzību, lai nodrošinātu šo rezidentu tiesību efektīvu aizsardzību šajās dalībvalstīs. |
98. |
Tas ir apstiprināts Direktīvas 95/46 preambulas 19. apsvērumā, kurā ir precizēts, ka “gadījumos, kad vairāku dalībvalstu teritorijās ir noteikta viena datu apstrādes iestāde, jo īpaši kā filiāles, tai, lai izvairītos no jebkādas valsts noteikumu apiešanas, jānodrošina, ka katra iestāde pilda tās darbībai piemērojamās attiecīgās valsts tiesību uzliktās saistības”. |
99. |
Tātad no Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta, kura otrajā teikumā saskanīgi ar šīs direktīvas preambulas 19. apsvērumā teikto ir precizēts, ka, ja vienam un tam pašam personas datu apstrādātājam [pārzinim] ir dibinājumi vairākās dalībvalstīs, tam ir jāveic nepieciešamie pasākumi, lai nodrošinātu, ka visi šie dibinājumi ievēro piemērojamajās valsts tiesībās paredzētos pienākumus, es secinu, ka grupas struktūras, ko raksturo viena personas datu apstrādātāja [pārziņa] dibinājumi vairākās dalībvalstīs, rezultātā personas datu apstrādātājam [pārzinim] nedrīkst rasties iespēja apiet dalībvalsts, kuras teritoriālajā piekritībā atrodas katrs no tā dibinājumiem, tiesības. |
100. |
Piebildīšu, ka, manuprāt, kopš 2016. gada 28. jūlija sprieduma Verein für Konsumenteninformation ( 59 ) vairs nevar tikt aizstāvēta arī interpretācija, kurā ir rosināts ekskluzīvi piemērot dalībvalsts, kurā atrodas starptautiskas grupas juridiskā adrese Eiropā, tiesības. Šajā spriedumā Tiesa nosprieda, ka personas datu apstrādei, ko veic tiešsaistes tirdzniecības uzņēmums, ir piemērojami tās dalībvalsts tiesību akti, uz kuru ir vērstas šī uzņēmuma darbības, ja izrādās, ka šis uzņēmums attiecīgo datu apstrādi veic šajā dalībvalstī esoša dibinājuma darbību ietvaros. Tiesa šādu risinājumu pieņēma, neraugoties uz to, ka Amazon, tāpat kā Facebook, ir uzņēmums, kuram ir ne tikai Eiropas juridiskā adrese vienā no dalībvalstīm, bet arī fiziskas pārstāvniecības vairākās dalībvalstīs. Tāpat arī tādā gadījumā ir jāpārbauda, vai personas datu apstrāde iekļaujas dibinājuma darbībās dalībvalstī, kas nav tā dalībvalsts, kurā atrodas personas datu apstrādātāja [pārziņa] juridiskā adrese. |
101. |
Tātad, kā norāda Beļģijas valdība, ir pilnīgi iespējams, ka cits dibinājums, nevis uzņēmuma Eiropas juridiskās adreses dibinājums ir atbilstīgs Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta piemērošanai. |
102. |
Tāpēc šīs direktīvas ieviešanas sistēmas ietvaros vieta, kurā notiek apstrāde, tāpat kā vieta, kur personas datu apstrādātājs [pārzinis] ir reģistrējis savu juridisko adresi Savienībā, gadījumā, ja šim personas datu apstrādātājam [pārzinim] Savienībā ir vairāki dibinājumi, nav noteicoša, lai identificētu datu apstrādei piemērojamās valsts tiesības un piešķirtu uzraudzības iestādei kompetenci tās iejaukšanās pilnvaru izmantošanai. |
103. |
Šajā ziņā Tiesai, manuprāt, nav priekšlaicīgi jāizmanto sistēma, kas iedibināta ar Vispārīgo datu aizsardzības regulu ( 60 ) un kas būs jāpiemēro, sākot no 2018. gada 25. maija. Šīs sistēmas ietvaros ir iedibināts vienas pieturas aģentūras mehānisms. Tas nozīmē, ka tādam personas datu apstrādātājam [pārzinim], kas veic pārrobežu apstrādes, kā Facebook būs tikai viena, proti, tās vietas, kurā ir personas datu apstrādātāja [pārziņa] galvenais dibinājums, vadošā uzraudzības iestāde. Tomēr šī sistēma, kā arī jaunākais sadarbības mehānisms, kas ar to tiek iedibināts, vēl nav piemērojami. |
104. |
Protams, tā kā Facebook ir izvēlējies savu juridisko adresi Savienībā izveidot Īrijā, šīs valsts uzraudzības iestādei ir jāpilda būtiska loma, lai pārbaudītu, vai Facebook ievēro noteikumus, kas izriet no Direktīvas 95/46. Tomēr, kā šī iestāde pati atzīst, tas vēl nenozīmē, ka pašreizējās, uz šo direktīvu balstītās sistēmas ietvaros, tai būtu ekskluzīva kompetence attiecībā uz Facebook darbībām Savienībā ( 61 ). |
105. |
Visu šo apsvērumu dēļ es, tāpat kā Beļģijas valdība, Nīderlandes valdība un ULD, uzskatu, ka interpretācija, kādu Tiesa attiecībā uz Direktīvas 95/46 4. panta 1. punkta a) apakšpunktu pieņēmusi savā 2014. gada 13. maija spriedumā Google Spain un Google ( 62 ), ir piemērojama arī tādā situācijā kā pamatlietā aplūkotā, kad personas datu apstrādātājs [pārzinis] ir reģistrēts vienā no Savienības dalībvalstīm un tam ir vairāki dibinājumi Savienībā. |
106. |
Tādējādi, pamatojoties uz iesniedzējtiesas sniegtajām norādēm par Facebook Germany veiktajām darbībām, ir jāuzskata, ka strīdīgā personas datu apstrāde ir īstenota šī dibinājuma darbības ietvaros un ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā ir atļauts tādā situācijā kā pamatlietā aplūkotā piemērot Vācijas tiesības attiecībā uz personas datu aizsardzību ( 63 ). |
107. |
Tātad Vācijas uzraudzības iestādes kompetencē ir piemērot savas valsts tiesības personas datu apstrādei pamatlietā. |
108. |
No šīs direktīvas 28. panta 1. punkta izriet, ka katra kādas dalībvalsts izveidotā uzraudzības iestāde uzrauga, kā šīs dalībvalsts teritorijā tiek ievēroti noteikumi, kurus dalībvalstis pieņēmušas atbilstoši minētajai direktīvai. |
109. |
Saskaņā ar Direktīvas 95/46 28. panta 3. punktu šīm uzraudzības iestādēm tostarp ir piešķirtas izmeklēšanas pilnvaras, piemēram, pilnvaras ievākt visu informāciju, kas ir vajadzīga to uzraudzības pienākumu izpildei, un efektīvas iejaukšanās pilnvaras, piemēram, pilnvaras liegt piekļuvi datiem, dzēst vai iznīcināt datus vai noteikt pagaidu vai galīgu aizliegumu datu apstrādei, vai brīdināt personas datu apstrādātāju [pārzini] vai izteikt tam aizrādījumu. Šīs iejaukšanās pilnvaras var ietvert pilnvaras piemērot sankcijas personas datu apstrādātājam [pārzinim], tam attiecīgā gadījumā uzliekot naudas sodu ( 64 ). |
110. |
Savukārt Direktīvas 95/46 28. panta 6. punkts ir formulēts šādi: “Katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras. Katru uzraudzības iestādi var lūgt citas dalībvalsts iestāde realizēt tās pilnvaras. Uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei, jo īpaši apmainoties ar visu lietderīgo informāciju.” |
111. |
Ņemot vērā, ka personas datu apstrādei pamatlietā ir piemērojami uzraudzības iestādes piederības dalībvalsts tiesību akti, Vācijas uzraudzības iestāde var pilnībā izmantot savas iejaukšanās pilnvaras, lai nodrošinātu, ka Facebook Vācijā piemēro un ievēro Vācijas tiesības. Tāds secinājums izriet no 2015. gada 1. oktobra sprieduma Weltimmo ( 65 ), kurā bija iespēja precizēt Direktīvas 95/46 28. panta 1., 3. un 6. punkta piemērošanas jomu. |
112. |
Galvenais uzdevums minētajā lietā bija noteikt Ungārijas uzraudzības iestādes kompetenci uzlikt naudas sodu pakalpojumu sniedzējam, kas reģistrēts citā dalībvalstī, proti, Slovākijā. Lai noteiktu šo kompetenci, vispirms bija jāizvērtē jautājums, vai, piemērojot Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā izvirzīto kritēriju, ir vai nav jāpiemēro Ungārijas tiesību akti. |
113. |
Pirmajā savas atbildes daļā Tiesa sniedza iesniedzējtiesai vairākas norādes, kas ļautu tai konstatēt dibinājuma, kas ir atbildīgs par [datu] apstrādi Ungārijā, esamību. Turklāt tā uzskatīja, ka šī apstrāde ir veikta šī dibinājuma darbības ietvaros un ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts tādā situācijā, kāda ir minētajā lietā, ļauj piemērot personas datu aizsardzību reglamentējošās Ungārijas tiesības. |
114. |
Tātad ar šīs Tiesas atbildes pirmo daļu varēja tikt apstiprināta Ungārijas uzraudzības iestādes kompetence saskaņā ar Ungārijas tiesībām uzlikt naudas sodu pakalpojumu sniedzējam – šajā gadījumā Weltimmo –, kas reģistrēts citā dalībvalstī. |
115. |
Citiem vārdiem sakot, tā kā, piemērojot Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā iekļauto kritēriju, Ungārijas tiesību akti varēja tikt atzīti par piemērojamajiem valsts tiesību aktiem, Ungārijas uzraudzības iestādei bija kompetence nodrošināt šo tiesību ievērošanu gadījumā, ja personas datu apstrādātājs [pārzinis] tās ir pārkāpis, lai arī tas ir reģistrēts Slovākijā. Atbilstoši šai Direktīvas 95/46 tiesību normai varēja tikt uzskatīts, ka Weltimmo, lai gan tas bija reģistrēts Slovākijā, bija nodibināts arī Ungārijā. Tādējādi tas, ka Ungārijā atrodas personas datu apstrādātāja [pārziņa] dibinājums, kurš īsteno darbības, kuru ietvaros šī apstrāde ir veikta, veidoja piesaistes punktu, kas nepieciešams, lai atzītu Ungārijas tiesību piemērojamību un saistībā ar to – Ungārijas uzraudzības iestādes kompetenci, lai nodrošinātu šo tiesību ievērošanu Ungārijas teritorijā. |
116. |
Tiesas atbildes otrā daļa, kurā tai bija jāuzsver katras uzraudzības iestādes pilnvaru teritoriālās piemērošanas princips, bija pausta tikai pakārtoti, proti, “gadījumam, ja Ungārijas uzraudzības iestāde uzskatītu, ka Weltimmo Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē ir nodibinājums, kas darbību, kuras ietvaros notiek attiecīgo personas datu apstrāde, veic nevis Ungārijā, bet gan citā dalībvalstī” ( 66 ). Runa tātad ir par atbildi uz jautājumu, vai “gadījumā, ja Ungārijas uzraudzības iestāde izdarītu secinājumu, ka personas datu apstrādei piemērojamās tiesības ir nevis Ungārijas tiesības, bet gan citas dalībvalsts tiesības, Direktīvas 95/46 28. panta 1., 3. un 6. punkts būtu jāinterpretē tādējādi, ka šī iestāde varētu īstenot tikai šīs direktīvas 28. panta 3. punktā paredzētās pilnvaras atbilstoši šīs citas dalībvalsts tiesībām un nevarētu piemērot sankcijas” ( 67 ). |
117. |
Tādējādi šajā savas atbildes otrajā daļā Tiesa precizēja pilnvaru, ko uzraudzības iestāde var izmantot īpašā situācijā – proti, tad, kad šīs dalībvalsts, kurai ir piederīga šī uzraudzības iestāde, tiesības nav piemērojamas –, gan materiāltiesisko, gan teritoriālo piemērošanas jomu. |
118. |
Tiesa uzskatīja, ka tādā gadījumā “[minētās] iestādes pilnvaras obligāti neietver visas pilnvaras, kuras tai ir piešķirtas saskaņā ar tās dalībvalsts tiesībām, kurai šī iestāde ir piederīga” ( 68 ). Tādējādi “šī iestāde var īstenot savas izmeklēšanas pilnvaras neatkarīgi no piemērojamajām tiesībām un pat, pirms tā zina, kuras valsts tiesības ir piemērojamas attiecīgajai apstrādei. Tomēr, ja šī iestāde secina, ka ir piemērojamas citas dalībvalsts tiesības, tā nevar piemērot sankcijas ārpus tās dalībvalsts teritorijas, kurai tā ir piederīga. Šādā situācijā tai, izpildot [Direktīvas 95/46] 28. panta 6. punktā paredzēto sadarbības pienākumu, ir jāpieprasa otras dalībvalsts uzraudzības iestādei konstatēt iespējamu šo tiesību pārkāpumu un piemērot sankcijas, ja šajās tiesībās tas ir atļauts, attiecīgā gadījumā balstoties uz informāciju, kuru šī iestāde tai būtu sniegusi” ( 69 ). |
119. |
No 2015. gada 1. oktobra sprieduma Weltimmo ( 70 ) attiecībā uz šo lietu esmu guvis šādas atziņas. |
120. |
Atšķirībā no gadījuma, uz kura pamata Tiesa šajā otrajā 2015. gada 1. oktobra sprieduma Weltimmo ( 71 ) daļā izstrādāja savu argumentāciju uzraudzības iestāžu pilnvarām, šoreiz izskatāmajā lietā esošā situācija ir analoģiska tai, kas atbilst minētā sprieduma pirmajai daļai, kurā, kā es iepriekš norādīju, piemērojamas ir tās dalībvalsts tiesības, kurai ir piederīga uzraudzības iestāde, kas izmanto savas iejaukšanās pilnvaras, un tā tas ir tāpēc, ka šīs dalībvalsts teritorijā atrodas personas datu apstrādātāja [pārziņa] dibinājums, kura darbība ir nedalāmi saistīta ar šo apstrādi. Šī dibinājuma esamība Vācijā veido nepieciešamo piesaistes punktu, lai aplūkotajai personas datu apstrādei piemērotu Vācijas tiesības. |
121. |
Ja šis priekšnosacījums ir izpildīts, Vācijas uzraudzības iestāde ir jāatzīst par kompetentu, lai nodrošinātu Vācijas tiesību normu personas datu aizsardzības jomā ievērošanu, pilnībā izmantojot pilnvaras, kādas tai ir saskaņā ar Vācijas tiesību normām, ar kurām ir transponēts Direktīvas 95/46 28. panta 3. punkts. Šādās pilnvarās var ietilpt rīkojums uz laiku vai galīgi aizliegt datu apstrādi. |
122. |
Attiecībā uz jautājumu, kuram subjektam ir jābūt šāda pasākuma adresātam, apspriežami ir divi risinājumi. |
123. |
Pirmais risinājums ir, pamatojoties uz uzraudzības iestāžu rīcībā esošo iejaukšanās pilnvaru teritoriālās piemērojamības stingru izpratni, uzskatīt, ka tās var izmantot šīs pilnvaras tikai attiecībā uz personas datu apstrādātāja [pārziņa] dibinājumu, kas atrodas tās dalībvalsts teritorijā, kurai ir piederīgas šīs uzraudzības iestādes. Ja, kā tas ir šīs lietas gadījumā, šis dibinājums – šajā gadījumā Facebook Germany – nav personas datu apstrādātājs un pats nevar izpildīt uzraudzības iestādes prasību izbeigt personas datu apstrādi, tai šis lūgums ir jāpārsūta personas datu apstrādātājam [pārzinim], lai tas to varētu izpildīt. |
124. |
Savukārt otrs risinājums ir uzskatīt, ka, tā kā personas datu apstrādātājs [pārzinis] ir vienīgais, kuram ir noteicoša ietekme uz attiecīgo datu apstrādi, tad tas ir šis apstrādātājs, kuram ir tieši jāadresē pasākums, kurā ietverts rīkojums izbeigt šādu apstrādi. |
125. |
Manuprāt, priekšroka jādod otrajam risinājumam, jo tas ir saderīgs ar būtisko lomu, kāda personas datu apstrādātājam [pārzinim] ir ar Direktīvu 95/46 ieviestajā sistēmā ( 72 ). Ar šādu risinājumu, izvairoties no pienākuma obligāti izmantot starpnieku, kāds ir dibinājums, kurš veic darbības, kuru ietvaros ir īstenota personas datu apstrāde, var tikt nodrošināta tūlītēja un efektīva valsts noteikumu personas datu aizsardzības jomā piemērošana. Turklāt uzraudzības iestāde, kas pasākumu, kurā ietverts rīkojums izbeigt personas datu apstrādi, adresē tieši tādam personas datu apstrādātājam [pārzinim], kas nav reģistrēts tās dalībvalsts teritorijā, kurai ir piederīga uzraudzības iestāde, kā Facebook Inc. vai Facebook Ireland, nepārkāpj savas kompetences, proti, nodrošināt, lai šī apstrāde būtu saderīga ar šīs valsts tiesībām tās teritorijā, robežas. Šajā ziņā nav būtiski, ka viens vai vairāki personas datu apstrādātāji [pārziņi] ir reģistrēti citā dalībvalstī vai trešā valstī. |
126. |
Tāpat arī saistībā ar atbildi, kādu es ierosinu sniegt uz pirmo un otro prejudiciālo jautājumu, precizēšu, ka, ņemot vērā mērķi, kas ir vērsts uz fanu lapas apmeklējošo personu tiesību pēc iespējas pilnīgāku aizsardzību, ULD iespēja izmantot savas iejaukšanās pilnvaras attiecībā uz Facebook Inc. un Facebook Ireland, manuprāt, nekādi neliedz veikt pasākumus attiecībā uz Wirtschaftsakademie un pati par sevi nevarētu skart šo pasākumu tiesiskumu ( 73 ). |
127. |
No iepriekš izklāstītajiem apsvērumiem izriet, ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts ir jāinterpretē tādējādi, ka tāda personas datu apstrāde kā pamatlietā aplūkotā tiek veikta dibinājuma, kas ir atbildīgs par šo apstrādi dalībvalsts teritorijā, darbības ietvaros šīs tiesību normas izpratnē, ja sociālo tīklu izmantojošais uzņēmums izveido šajā dalībvalstī meitasuzņēmumu, kas ir paredzēts šī uzņēmuma piedāvātās reklāmas un reklāmas laukumu pārdošanas nodrošināšanai un kura darbība ir vērsta uz šīs dalībvalsts iedzīvotājiem. |
128. |
Turklāt tādā situācijā kā pamatlietā aplūkotā, kurā attiecīgajai personas datu apstrādei ir piemērojamas tās dalībvalsts tiesības, kurai ir piederīga uzraudzības iestāde, Direktīvas 95/46 28. panta 1., 3. un 6. punkts ir jāinterpretē tādējādi, ka šī iestāde var izmantot visas savas efektīvas iejaukšanās pilnvaras, kas tai attiecībā uz personas datu apstrādātāju [pārzini] ir piešķirtas atbilstoši šīs direktīvas 28. panta 3. punktam, tostarp, ja šis personas datu apstrādātājs [pārzinis] ir reģistrēts citā dalībvalstī vai trešā valstī. |
C. Par piekto un sesto prejudiciālo jautājumu
129. |
Savā piektajā un sestajā prejudiciālajā jautājumā, kas, manuprāt, ir jāskata kopā, iesniedzējtiesa būtībā lūdz Tiesu atbildēt, vai Direktīvas 95/46 28. panta 1., 3. un 6. punkts ir jāinterpretē tādējādi, ka tādos apstākļos kā pamatlietā aplūkotie uzraudzības iestāde, kas ir piederīga dalībvalstij, kurā ir reģistrēts personas datu apstrādātāja [pārziņa] dibinājums (Facebook Germany), ir tiesīga izmantot savas iejaukšanās pilnvaras autonomi un bez pienākuma iepriekš lūgt, lai savas pilnvaras izmantotu personas datu apstrādātāja [pārziņa] (Facebook Ireland) atrašanās vietas dalībvalsts uzraudzības iestāde. |
130. |
Savā lēmumā lūgt prejudiciālu nolēmumu Bundesverwaltungsgericht (Federālā administratīvā tiesa) izskaidro saikni starp abiem šiem prejudiciālajiem jautājumiem un rīkojuma, kas tai ir jāizpilda pamatlietā, tiesiskuma pārbaudi. Tādējādi šī tiesa būtībā norāda, ka rīkojuma izdošana attiecībā uz Wirtschaftsakademie varētu tikt uzskatīta par ULD pieļautas kļūdas vērtējumā rezultātu, ja Direktīvas 95/46 28. panta 6. punkts būtu jāinterpretē tādējādi, ka tajā tādos apstākļos kā pamatlietā aplūkotie ir paredzēts tādas uzraudzības iestādes kā ULD pienākums lūgt citas dalībvalsts uzraudzības iestādi – šajā gadījumā uzraudzības iestādi datu aizsardzības jomā – īstenot savas pilnvaras gadījumā, ja abu šo uzraudzības iestāžu vērtējumi attiecībā uz Facebook Ireland veiktās datu apstrādes saderīgumu ar noteikumiem, kas izriet no Direktīvas 95/46, būtu atšķirīgi. |
131. |
Kā Tiesa sprieda savā 2015. gada 1. oktobra spriedumā Weltimmo ( 74 ), gadījumā, ja attiecīgajai personas datu apstrādei piemērojamās tiesības ir nevis tās dalībvalsts tiesības, kurai ir piederīga uzraudzības iestāde, kas vēlas izmantot savas iejaukšanās pilnvaras, bet gan citas dalībvalsts tiesības, Direktīvas 95/46 28. panta 1., 3. un 6. punkts ir jāinterpretē tādējādi, ka šī iestāde nevar uzlikt sankcijas, pamatojoties uz dalībvalsts, kurai tā ir piederīga, tiesībām, personas datu apstrādātājam [pārzinim], kas nav reģistrēts šajā dalībvalstī, bet, piemērojot tās pašas direktīvas 28. panta 6. punktu, tai ir jālūdz iejaukties uzraudzības iestādei, kas ir piederīga dalībvalstij, kuras tiesības ir piemērojamas ( 75 ). |
132. |
Šādā situācijā pirmās dalībvalsts uzraudzības iestādes kompetencē vairs nav izmantot pilnvaras uzlikt sankcijas personas datu apstrādātājam [pārzinim], kurš ir reģistrēts citā dalībvalstī. Tātad tai, izpildot minētās direktīvas 28. panta 6. punktā paredzēto sadarbības pienākumu, ir jāpieprasa otras dalībvalsts uzraudzības iestādei konstatēt iespējamu minētās valsts tiesību pārkāpumu un piemērot sankcijas, ja šajās tiesībās tas ir atļauts, attiecīgā gadījumā balstoties uz informāciju, kuru šī iestāde tai būtu sniegusi ( 76 ). |
133. |
Kā norādīju jau iepriekš, attiecīgā situācija šajā lietā ir gluži atšķirīga, jo piemērojamas ir tās dalībvalsts tiesības, kurai ir piederīga uzraudzības iestāde, kas vēlas izmantot savas iejaukšanās pilnvaras. Šādā situācijā Direktīvas 95/46 28. panta 6. punkts ir jāinterpretē tādējādi, ka tajā šai uzraudzības iestādei nav uzlikts pienākums lūgt uzraudzības iestādei, kas ir piederīga dalībvalstij, kurā ir reģistrēts personas datu apstrādātājs [pārzinis], lai tā attiecībā uz šo personas datu apstrādātāju [pārzini] izmantotu savas iejaukšanās pilnvaras. |
134. |
Piebildīšu, ka atbilstoši tam, kas ir paredzēts Direktīvas 95/46 28. panta 1. punkta otrajā teikumā, uzraudzības iestāde, kuras kompetencē ir izmantot savas iejaukšanās pilnvaras attiecībā uz personas datu apstrādātāju [pārzini], kas ir reģistrēts citā dalībvalstī, nevis tajā, kurai tā ir piederīga, sev uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi. |
135. |
Kā izriet no iepriekš izklāstītajiem apsvērumiem, Direktīvā 95/46 nav paredzēti nedz izcelsmes valsts princips, nedz vienas pieturas aģentūras mehānisms, kādi ir rodami Regulā 2016/679. Līdz ar to personas datu apstrādātājs [pārzinis], kuram ir dibinājumi vairākās dalībvalstīs, ir pilnībā pakļauts vairāku uzraudzības iestāžu kontrolei, ja ir piemērojamas to dalībvalstu, kurām ir piederīgas šīs iestādes, tiesības. Lai gan apspriešanās un sadarbība starp šīm uzraudzības iestādēm, protams, ir vēlamas, tomēr uzraudzības iestādei, kuras kompetence ir atzīta, nekur nav noteikts pienākums saskaņot savu nostāju ar nostāju, kādu ir ieņēmusi cita uzraudzības iestāde. |
136. |
No iepriekš izklāstītā es secinu, ka Direktīvas 95/46 28. panta 1., 3. un 6. punkts ir jāinterpretē tādējādi, ka tādos apstākļos kā pamatlietā aplūkotie uzraudzības iestāde, kas ir piederīga dalībvalstij, kurā atrodas personas datu apstrādātāja [pārziņa] dibinājums, ir tiesīga izmantot savas iejaukšanās pilnvaras attiecībā uz šo apstrādātāju autonomi un bez pienākuma iepriekš lūgt, lai savas pilnvaras izmantotu minētā apstrādātāja atrašanās vietas dalībvalsts uzraudzības iestāde. |
III. Secinājumi
137. |
Ņemot vērā iepriekš izklāstītos apsvērumus, ierosinu Tiesai uz Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:
|
( 1 ) Oriģinālvaloda – franču.
( 2 ) OV 1995, L 281, 31. lpp.
( 3 ) OV 2003, L 284, 1. lpp.; turpmāk tekstā – “Direktīva 95/46”.
( 4 ) Turpmāk tekstā – “29. panta darba grupa”.
( 5 ) Turpmāk tekstā – “Atzinums 2/2010”.
( 6 ) Atzinums 2/2010, 4. lpp.
( 7 ) Atzinums 2/2010, 6. lpp. Saskaņā ar skaidrojumiem, ko šajā atzinumā ir sniegusi 29. panta darba grupa, “parasti tas notiek šādi: sludinājumu tīkla nodrošinātājs ievieto izsekošanas sīkdatni datu subjekta gala iekārtā [..], kad tas pirmo reizi apmeklē tīmekļa vietni, kurā publicēts attiecīgā tīkla sludinājums. Sīkdatne ir īss burtciparu teksts, ko tīkla nodrošinātājs glabā datu subjekta gala iekārtā (un vēlāk atgūst) [..]. Biheiviorālās reklāmas gadījumā sīkdatnes ļauj tīklu nodrošinātājiem pazīt iepriekšējos apmeklētājus, kas atgriežas attiecīgajā tīmekļa vietnē vai apmeklē tā paša reklāmas tīkla partneru citas tīmekļa vietnes. Šādi atkārtoti apmeklējumi ļauj sludinājumu tīkla nodrošinātājam izveidot apmeklētāja profilu, ko tas izmanto, lai piedāvātu personalizētu reklāmu”.
( 8 ) 29. panta darba grupas 2010. gada 16. februāra Atzinums 1/2010 par “personas datu apstrādātāja” un “apstrādātāja” jēdzienu (turpmāk tekstā – “Atzinums 1/2010”), 22. lpp.
( 9 ) Tā Agencia española de protección de datos (Spānijas Datu aizsardzības aģentūra) 2017. gada 11. septembrī paziņoja, ka ir uzlikusi Facebook Inc. naudas sodu EUR 1,2 miljonu apmērā. Pirms tam Commission nationale de l’informatique et des libertés (Valsts informātikas un brīvību komisija, Francija; turpmāk tekstā – “CNIL”) ar 2017. gada 27. aprīļa lēmumu nolēma sabiedrības Facebook Inc. un Facebook Ireland solidāri sodīt ar naudas sodu EUR 150000 apmērā.
( 10 ) BDSG 38. panta 5. punktā ir noteikts:
“Lai nodrošinātu šī likuma un citu ar datu aizsardzību saistītu tiesību normu ievērošanu, uzraudzības iestāde var izdot rīkojumu par pasākumiem, kuru mērķis ir novērst personas datu apkopošanā, apstrādē un izmantošanā konstatētos pārkāpumus vai tehniskus un organizatoriskus trūkumus. Smagu pārkāpumu vai trūkumu gadījumā, jo sevišķi, ja tie īpaši draud aizskart tiesības uz privātās dzīves neaizskaramību, tā var aizliegt apkopošanu, apstrādi vai izmantošanu, pat atsevišķu procedūru piemērošanu, ja, neievērojot pirmajā teikumā paredzēto rīkojumu un neraugoties uz kavējuma naudas uzlikšanu, pārkāpumi un trūkumi nav savlaicīgi novērsti. Tā var pieprasīt datu aizsardzības aģenta atcelšanu, ja viņam nav šo uzdevumu veikšanai nepieciešamo zināšanu un uzticamības.”
( 11 ) Elektronisko plašsaziņas līdzekļu likuma 12. pants ir formulēts šādi:
“1) Telekomunikāciju līdzekļu pieejamības nodrošināšanas nolūkā pakalpojumu sniedzējs drīkst iegūt un izmantot personas datus tikai tiktāl, ciktāl to atļauj šis likums vai cita tiesību norma, kas tieši attiecas uz telekomunikāciju līdzekļiem, vai ja lietotājs ir devis savu piekrišanu.
[..]
(3) Ciktāl nav noteikts citādi, spēkā esošās tiesību normas attiecībā uz personas datu aizsardzību ir piemērojamas arī tad, ja dati netiek apstrādāti automatizēti.”
( 12 ) Šī tiesību norma attiecas uz personas datu apstrādi kāda cita uzdevumā.
( 13 ) Saskaņā ar šo tiesību normu “par atbildīgo struktūru uzskata jebkuru personu vai jebkuru struktūru, kura personas datus apkopo, apstrādā un izmanto vai nu pati savā vārdā, vai arī to uzdodot darīt citiem”.
( 14 ) C‑131/12, EU:C:2014:317.
( 15 ) Minētā sprieduma 60. punkts.
( 16 ) Atzinumā 1/2010 rodamajās definīcijās ir teikts, ka “nolūku” parasti definē kā “sagaidāmu iznākumu, kas ir plānots vai kas virza plānotās darbības”, bet “līdzekļus” kā “veidu, kā panāk rezultātu vai sasniedz mērķi” (12. lpp.).
( 17 ) Tā, piemēram, atbilstoši šīs direktīvas 6. panta 2. punktam personas datu apstrādātājam ir pienākums nodrošināt, ka tiek ievēroti minētās direktīvas 6. panta 1. punktā uzskaitītie ar datu kvalitāti saistītie principi. Saskaņā ar Direktīvas 95/46 10. un 11. pantu personas datu apstrādātājam ir pienākums informēt attiecīgos datu apstrādes subjektus. Šīs direktīvas 12. pantā ir noteikts, ka savas tiesības piekļūt datiem datu subjekti izmanto pie personas datu apstrādātāja. Tas pats attiecas uz minētas direktīvas 14. pantā paredzētajām datu subjekta tiesībām iebilst. Saskaņā ar Direktīvas 95/46 23. panta 1. punktu dalībvalstis paredz to, ka “jebkurai personai, kam nodarīts kaitējums sakarā ar nelikumīgu datu apstrādi vai jebkuras attiecīgās valsts noteikumiem, kas pieņemti saskaņā ar šo direktīvu, nesavienojamas rīcības rezultātā, ir tiesības saņemt no personas datu apstrādātāja kompensāciju par šo kaitējumu”. Visbeidzot, uzraudzības iestāžu efektīvas iejaukšanās pilnvaras, kādas ir paredzētas šīs direktīvas 28. panta 3. punktā, tiek izmantotas attiecībā uz personas datu apstrādātajiem [pārziņiem].
( 18 ) C‑131/12, EU:C:2014:317.
( 19 ) Šajā ziņā skat. spriedumu, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 38. un 83. punkts).
( 20 ) It īpaši skat. spriedumu, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 34. punkts).
( 21 ) Atzinums 1/2010, 9. lpp.
( 22 ) Facebook Ireland paskaidro, ka tā regulāri ievieš funkcijas, kas ir datu subjektiem pieejamas vienīgi Savienībā un kas ir pielāgotas šiem subjektiem. Citos gadījumos Facebook Ireland izvēlas nepiedāvāt Savienībā izstrādājumus, ko Facebook Inc. ir piedāvājusi Amerikas Savienotajās Valstīs.
( 23 ) Skat. spriedumu, 2015. gada 6. oktobris, Schrems (C‑362/14, EU:C:2015:650, 27. punkts).
( 24 ) Skat. lēmumu lūgt prejudiciālu nolēmumu, 39. punkts.
( 25 ) Šajā lietā nav svarīgi noteikt personu, kas apmeklējušas fanu lapas, datu apstrādes nolūkus un līdzekļus, kas seko šo datu nosūtīšanai Facebook. Jāfokusējas uz šajā lietā aplūkojamo apstrādes posmu, proti, personu, kas ir apmeklējušas fanu lapu, datu apkopošanu, kaut gan šīs personas nav par to informētas un viņu piekrišana nav pienācīgi saņemta.
( 26 ) No Facebook lietošanas nosacījumiem izriet, ka šie apmeklētāju loka statistikas dati ļauj fanu lapas uzturētājam uzzināt informāciju par savu mērķauditoriju, lai varētu izstrādāt tai atbilstīgāku saturu. Ar apmeklētāju loka statistikas datiem fanu lapas uzturētājam tiek sniegti demogrāfiski dati par viņa mērķauditoriju, tostarp par vecuma, dzimuma, attiecību un profesionālā statusa tendencēm, informācija par viņa mērķauditorijas dzīvesveidu un interesēm un informācija par viņa mērķauditorijas pirkumiem, it īpaši tās iepirkšanās tiešsaistē ieradumiem, par preču un pakalpojumu kategorijām, kas to interesē visvairāk, kā arī ģeogrāfiski dati, kas fanu lapas uzturētājam ļauj uzzināt, kur īstenot īpašus reklāmas piedāvājumus un rīkot pasākumus.
( 27 ) Šajā ziņā skat. Atzinumu 1/2010, 25. lpp.
( 28 ) Turpat, 25. lpp.: “lai gan līgumattiecībās ar maziem personas datu apstrādātājiem lieliem pakalpojumu sniedzējiem ir lielākas iespējas diktēt savus noteikumus, tas nenozīmē, ka personas datu apstrādātājs var piekrist līguma noteikumiem un nosacījumiem, kas neatbilst datu aizsardzības tiesību aktu prasībām”.
( 29 ) C‑131/12, EU:C:2014:317.
( 30 ) Spriedums, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 38. punkts, kā arī šajā nozīmē 83. punkts).
( 31 ) Spriedums, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 40. punkts).
( 32 ) Skat. lēmumu lūgt prejudiciālu nolēmumu, 35. punkts.
( 33 ) Lieta joprojām ir izskatīšanā Tiesā.
( 34 ) Šveices datu aizsardzības iestāde norāda, ka, “lai gan datu saglabāšanu un izvērtēšanu šā vārda tiešā nozīmē vairumā gadījumu pilnā slepenībā veic webtracking pakalpojuma sniedzējs, arī tīmekļa vietnes ekspluatētājs ir atbildīgs. Viņš iekļauj webtracking pakalpojumu sniedzēja kodu savā tīmekļa vietnē un tādējādi, vietnes apmeklētājam nezinot, rosina datu pārsūtīšanu, sīkdatņu ievietošanu un datu apkopošanu webtracking pakalpojumu sniedzēja labā”. Skat. Préposé fédéral à la protection des données et à la transparence (Federālās datu aizsardzības un pārredzamības amatpersonas (PFPDT) “Skaidrojumi par webtracking”, kas ir pieejami šādā interneta adresē: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr
( 35 ) Šajā ziņā skat. Atzinumu 1/2010, 21. lpp.
( 36 ) Atzinums 1/2010, 31. lpp.
( 37 ) Atzinums 1/2010, 18. lpp.
( 38 ) Skat. lēmumu lūgt prejudiciālu nolēmumu, 40. punkts.
( 39 ) It īpaši skat. spriedumu, 2017. gada 31. janvāris, Lounani (C‑573/14, EU:C:2017:71, 56. punkts un tajā minētā judikatūra).
( 40 ) Turpmāk tekstā – “Atzinums 8/2010”.
( 41 ) Minētā atzinuma 27. lpp.
( 42 ) Minētā atzinuma 27. lpp.
( 43 ) Struktūra, kādu tādi koncerni kā Google un Facebook izmanto, lai izvērstu savu darbību visā pasaulē, apgrūtina piemērojamo valsts tiesību noteikšanu, kā arī dibinājuma, pret kuru cietušās personas un uzraudzības iestādes var vērsties tiesā, identificēšanu. Par šiem jautājumiem skat. Svantesson D., “Enforcing Privacy Across Different Jurisdictions”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlīne, 2016, 195.–222. lpp., it īpaši 216.–218. lpp.
( 44 ) It īpaši skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 25. punkts un tajā minētā judikatūra).
( 45 ) It īpaši skat. spriedumu, 2016. gada 28. jūlijs, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, 75. punkts un tajā minētā judikatūra).
( 46 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 29. punkts).
( 47 ) It īpaši skat. spriedumu, 2016. gada 28. jūlijs, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, 77. punkts un tajā minētā judikatūra).
( 48 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 29. punkts).
( 49 ) It īpaši skat. spriedumu, 2016. gada 28. jūlijs, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, 78. punkts un tajā minētā judikatūra).
( 50 ) Atzinuma 8/2010 29. lpp. Šajā ziņā skat. arī šī atzinuma 13. lpp.
( 51 ) C‑131/12, EU:C:2014:317.
( 52 ) Minētā sprieduma 55. punkts.
( 53 ) Minētā sprieduma 56. punkts.
( 54 ) Tā paša sprieduma 57. punkts.
( 55 ) Šajā ziņā skat. 29. panta darba grupas 2009. gada 12. jūnija Atzinumu 5/2009 par tiešsaistes sociālo tīklu veidošanu, 5. lpp.
( 56 ) C‑131/12, EU:C:2014:317.
( 57 ) It īpaši skat. 29. panta darba grupas 2015. gada 16. decembra“Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain”, 6. un 7. lpp.
( 58 ) Par vairāku valstu tiesību sistēmu iespējamu piemērošanu skat. Atzinumu 8/2010: “norāde uz “iestādi” [..] nozīmē, ka dalībvalsts tiesību aktu piemērojamību nosaka personas datu apstrādātāja iestādes atrašanās attiecīgajā dalībvalstī, bet citu dalībvalstu tiesību aktu piemērojamību var noteikt citu šā paša personas datu apstrādātāja iestāžu atrašanās šajās dalībvalstīs” (29. lpp.).
( 59 ) C‑191/15, EU:C:2016:612.
( 60 ) Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 (OV 2016, L 119, 1. lpp.).
( 61 ) Šajā ziņā skat. Hawkes B., “The Irish DPA and Its Approach to Data Protection”, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlīne, 2016, 441.–454. lpp., it īpaši 450. lpp., 11. zemsvītras piezīme. Autors norāda, ka, tā kā “[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: “it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU””.
( 62 ) C‑131/12, EU:C:2014:317.
( 63 ) Līdzīgai domu gaitai skat. Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 2017. gada 16. maijs, kurā šīs iestādes ziņo: “[..] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non‑users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice [..], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non‑users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are “inextricably linked” to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC”.
( 64 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 49. punkts).
( 65 ) C‑230/14, EU:C:2015:639.
( 66 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 42. punkts).
( 67 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 43. punkts).
( 68 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 55. punkts).
( 69 ) Skat. spriedumu, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 57. punkts).
( 70 ) C‑230/14, EU:C:2015:639.
( 71 ) C‑230/14, EU:C:2015:639.
( 72 ) Šajā nozīmē skat. šo secinājumu 44. punktu.
( 73 ) Skat. arī šo secinājumu 73.–77. punktu.
( 74 ) C‑230/14, EU:C:2015:639.
( 75 ) Spriedums, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 60. punkts).
( 76 ) Spriedums, 2015. gada 1. oktobris, Weltimmo (C‑230/14, EU:C:2015:639, 57. punkts).