Šis dokuments ir izvilkums no tīmekļa vietnes EUR-Lex.
Dokuments 62016CJ0210
Judgment of the Court (Grand Chamber) of 5 June 2018.#Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH.#Request for a preliminary ruling from the Bundesverwaltungsgericht.#Reference for a preliminary ruling — Directive 95/46/EC — Personal data — Protection of natural persons with respect to the processing of that data — Order to deactivate a Facebook page (fan page) enabling the collection and processing of certain data of visitors to that page — Article 2(d) — Controller responsible for the processing of personal data — Article 4 — Applicable national law — Article 28 — National supervisory authorities — Powers of intervention of those authorities.#Case C-210/16.
Tiesas spriedums (virspalāta), 2018. gada 5. jūnijs.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein pret Wirtschaftsakademie Schleswig-Holstein GmbH.
Bundesverwaltungsgericht lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Rīkojums deaktivizēt Facebook lapu (fanu lapu), ar kuras palīdzību iespējams ievākt un apstrādāt noteiktus ar šīs lapas apmeklētājiem saistītus datus – 2. panta d) punkts – Personas datu pārzinis – 4. pants – Piemērojamās valsts tiesības – 28. pants – Valsts uzraudzības iestādes – Šo iestāžu iejaukšanās pilnvaras.
Lieta C-210/16.
Tiesas spriedums (virspalāta), 2018. gada 5. jūnijs.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein pret Wirtschaftsakademie Schleswig-Holstein GmbH.
Bundesverwaltungsgericht lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Rīkojums deaktivizēt Facebook lapu (fanu lapu), ar kuras palīdzību iespējams ievākt un apstrādāt noteiktus ar šīs lapas apmeklētājiem saistītus datus – 2. panta d) punkts – Personas datu pārzinis – 4. pants – Piemērojamās valsts tiesības – 28. pants – Valsts uzraudzības iestādes – Šo iestāžu iejaukšanās pilnvaras.
Lieta C-210/16.
Krājums – vispārīgi
Eiropas judikatūras identifikators (ECLI): ECLI:EU:C:2018:388
2018. gada 5. jūnijā ( *1 )
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas dati – Fizisko personu aizsardzība attiecībā uz šo datu apstrādi – Rīkojums deaktivizēt Facebook lapu (fanu lapu), ar kuras palīdzību iespējams ievākt un apstrādāt noteiktus ar šīs lapas apmeklētājiem saistītus datus – 2. panta d) punkts – Personas datu pārzinis – 4. pants – Piemērojamās valsts tiesības – 28. pants – Valsts uzraudzības iestādes – Šo iestāžu iejaukšanās pilnvaras
Lieta C‑210/16
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija) iesniedza ar lēmumu, kas pieņemts 2016. gada 25. februārī un kas Tiesā reģistrēts 2016. gada 14. aprīlī, tiesvedībā
Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein
pret
Wirtschaftsakademie Schleswig‑Holstein GmbH,
piedaloties
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht.
TIESA (virspalāta)
šādā sastāvā: priekšsēdētājs K. Lēnartss [K. Lenaerts], priekšsēdētāja vietnieks A. Ticano [A. Tizzano] (referents), palātu priekšsēdētāji M. Ilešičs [M. Ilešič], L. Bejs Larsens [L. Bay Larsen], T. fon Danvics [T. von Danwitz], A. Ross [A. Rosas], J. Malenovskis [J. Malenovský] un E. Levits, tiesneši E. Juhāss [E. Juhász], E. Borgs Bartets [A. Borg Barthet], F. Biltšens [F. Biltgen], K. Jirimēe [K. Jürimäe], K. Likurgs [C. Lycourgos], M. Vilars [M. Vilaras] un J. Regans [E. Regan],
ģenerāladvokāts: Ī. Bots [Y. Bot],
sekretāre: S. Stremholma [C. Strömholm], administratore,
ņemot vērā rakstveida procesu un 2017. gada 27. jūnija tiesas sēdi,
ņemot vērā apsvērumus, ko sniedza:
– |
Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein vārdā – U. Karpenstein un M. Kottmann, Rechtsanwälte, |
– |
Wirtschaftsakademie Schleswig‑Holstein GmbH vārdā – C. Wolff, Rechtsanwalt, |
– |
Facebook Ireland Ltd vārdā – C. Eggers, H.‑G. Kamann un M. Braun, Rechtsanwälte, kā arī I. Perego, avvocato, |
– |
Vācijas valdības vārdā – J. Möller, pārstāvis, |
– |
Beļģijas valdības vārdā – L. Van den Broeck un C. Pochet, kā arī P. Cottin un J.‑C. Halleux, pārstāvji, |
– |
Čehijas valdības vārdā – M. Smolek un J. Vláčil, kā arī L. Březinová, pārstāvji, |
– |
Īrijas vārdā – M. Browne, L. Williams, E. Creedon un G. Gilmore, kā arī A. Joyce, pārstāvji, |
– |
Itālijas valdības vārdā – G. Palmieri, pārstāve, kurai palīdz P. Gentili, avvocato dello Stato, |
– |
Nīderlandes valdības vārdā – C. S. Schillemans un M. K. Bulterman, pārstāves, |
– |
Somijas valdības vārdā – J. Heliskoski, pārstāvis, |
– |
Eiropas Komisijas vārdā – H. Krämer un D. Nardi, pārstāvji, |
noklausījusies ģenerāladvokāta secinājumus 2017. gada 24. oktobra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 |
Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.). |
2 |
Šis lūgums ir iesniegts strīdā starp Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (Šlēsvigas‑Holšteinas federālās zemes Neatkarīgā datu aizsardzības iestāde, Vācija) (turpmāk tekstā – “ULD”) un izglītības jomā specializējušos privāto tiesību sabiedrību Wirtschaftsakademie Schleswig‑Holstein GmbH (turpmāk tekstā – “Wirtschaftsakademie”) par to, vai ir likumīgs rīkojums, ar kuru ULD šai pēdējai minētajai sabiedrībai ir uzdevusi deaktivizēt tās fanu lapu, kas tiek mitināta sociālā tīkla Facebook (turpmāk tekstā – “Facebook”) vietnē. |
Atbilstošās tiesību normas
Savienības tiesības
3 |
Direktīvas 95/46 preambulas 10., 18., 19. un 26. apsvērumā ir noteikts:
[..]
[..]
|
4 |
Direktīvas 95/46 1. pantā “Direktīvas mērķis” ir paredzēts: “1. Saskaņā ar šo direktīvu dalībvalstis aizsargā fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi. 2. Dalībvalstis neierobežo un neaizliedz personas datu brīvu plūsmu starp dalībvalstīm, pamatojoties uz 1. punktā paredzēto aizsardzību.” |
5 |
Šīs direktīvas 2. pants “Definīcijas” ir formulēts šādi: “Šajā direktīvā: [..]
[..]
[..].” |
6 |
Minētās direktīvas 4. panta “Piemērojamās valsts tiesības” 1. punktā ir noteikts: “Katra dalībvalsts piemēro savas valsts noteikumus personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja:
|
7 |
Direktīvas 95/46 17. panta “Apstrādes drošība” 1. un 2. punktā ir noteikts: “1. Dalībvalstis paredz to, ka personas datu apstrādātājam [pārzinim] jāīsteno atbilstoši tehniski un organizatoriski pasākumi, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu pazaudēšanu, pārveidošanu, nesankcionētu atklāšanu vai piekļuvi, īpaši, ja apstrāde ietver datu pārraidi pa elektronisko sakaru tīklu, un pret visām citām nelikumīgām apstrādes formām. Ņemot vērā tehnisko un organizatorisko pasākumu pašreizējo līmeni un to īstenošanas izmaksas, šādi pasākumi nodrošina apstrādes un aizsargājamo datu raksturīgajiem riskiem atbilstošu drošības pakāpi. 2. Dalībvalstis paredz to, ka personas datu apstrādātājam [pārzinim], ja apstrādi veic viņa interesēs, jāizvēlas datu apstrādātājs, sniedzot pietiekamas garantijas attiecībā par tehniskās drošības pasākumiem un veicamo apstrādi reglamentējošiem organizatoriskajiem pasākumiem, un jānodrošina šo pasākumu izpilde.” |
8 |
Šīs direktīvas 24. pantā “Sankcijas” ir paredzēts: “Dalībvalstis paredz atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, un īpaši nosaka sankcijas, kas jāuzliek gadījumā, ja tiek pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi.” |
9 |
Šīs direktīvas 28. pants “Uzraudzības iestāde” ir formulēts šādi: “1. Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā. Šīs iestādes tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi. 2. Katra dalībvalsts paredz to, ka, izstrādājot administratīva rakstura pasākumus vai regulējumus attiecībā uz personas tiesību un brīvību aizsardzību, kas saistīta ar personas datu apstrādi, apspriežas ar uzraudzības iestādēm. 3. Katrai iestādei ir piešķirtas:
Uzraudzības iestādes lēmumus, kuri dod tiesības uz sūdzību procedūru, var pārsūdzēt tiesā. [..] 6. Katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras. Katru uzraudzības iestādi var lūgt citas dalībvalsts iestāde realizēt tās pilnvaras. Uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei, jo īpaši apmainoties ar visu lietderīgo informāciju. [..]” |
Vācijas tiesības
10 |
Bundesdatenschutzgesetz (Federālais datu aizsardzības likums) redakcijā, kas piemērojama pamatlietas faktiskajiem apstākļiem (turpmāk tekstā – “BDSG”), 3. panta 7. punkts ir formulēts šādi: “Par pārzini uzskata jebkuru personu vai struktūru, kura personas datus vāc, apstrādā vai izmanto vai nu pati, vai arī uzticot to darīt citiem.” |
11 |
BDSG 11. pants “Personas datu vākšana, apstrāde vai izmantošana ar kāda cita apstrādāja starpniecību” ir formulēts šādi: “(1) Ja personas dati tiek vākti, apstrādāti vai izmantoti ar kādu citu struktūru starpniecību, par šā likuma un citu normatīvo aktu noteikumu par datu aizsardzību ievērošanu ir atbildīgs apstrādes pasūtītājs. [..] (2) Apstrādes izpildītājs ir rūpīgi jāizraugās, jo īpaši ņemot vērā tā veikto tehnisko un organizatorisko pasākumu piemērotību. Pasūtījums ir jānoformē rakstiski, sīki izklāstot jo īpaši šādus nosacījumus: [..] Pasūtītājam ir pirms datu apstrādes uzsākšanas un pēc tam regulāri jāpārliecinās, ka tiek ievēroti izpildītāja veiktie tehniskie un organizatoriskie pasākumi. Rezultāts ir jādokumentē. [..]” |
12 |
BDSG 38. panta 5. punktā ir noteikts: “Lai nodrošinātu, ka tiek ievērots šis likums un citas tiesību normas par datu aizsardzību, uzraudzības iestāde drīkst uzdot veikt pasākumus personas datu vākšanā, apstrādē vai izmantošanā konstatēto pārkāpumu vai tehnisko vai organizatorisko trūkumu novēršanai. Smagu pārkāpumu vai trūkumu – jo īpaši tādu, kas sevišķi apdraud tiesības uz privātās dzīves neaizskaramību, – gadījumā tā drīkst aizliegt vākšanu, apstrādi vai izmantošanu, vai kādu procedūru izmantošanu, ja, nepildot pirmajā teikumā minēto rīkojumu un neskatoties uz piespiedu naudas piemērošanu, attiecīgie pārkāpumi vai trūkumi netiek savlaicīgi novērsti. Tā drīkst pieprasīt atbrīvot no amata datu aizsardzības speciālistu, ja viņam trūkst savu pienākumu izpildei vajadzīgās lietpratības un uzticamības.” |
13 |
2007. gada 26. februāraTelemediengesetz (Elektronisko plašsaziņas līdzekļu likums) (BGBl. 2007 I, 179. lpp.; turpmāk tekstā – “TMG”) 12. panta formulējums ir šāds: “(1) Elektronisko plašsaziņas līdzekļu pieejamības nodrošināšanas nolūkā pakalpojumu sniedzējs drīkst vākt un izmantot personas datus tikai tiktāl, ciktāl to atļauj šis likums vai cita tiesību norma, kas tieši attiecas uz elektroniskajiem plašsaziņas līdzekļiem, vai ja lietotājs ir devis savu piekrišanu. [..] (3) Ciktāl nav noteikts citādi, spēkā esošās tiesību normas attiecībā uz personas datu aizsardzību ir piemērojamas arī tad, ja dati netiek apstrādāti automatizēti.” |
Pamatlieta un prejudiciālie jautājumi
14 |
Wirtschaftsakademie sniedz mācību pakalpojumus ar Facebook mitinātas fanu lapas palīdzību. |
15 |
Fanu lapas ir lietotāju konti, ko privātpersonas un uzņēmumi var izveidot Facebook vietnē. Lai to izdarītu, fanu lapas veidotājam ir jāreģistrējas Facebook, un tādējādi viņš var izmantot šā sociālā tīkla uzturēto platformu, lai iepazīstinātu tā lietotājus ar sevi un izplatītu visāda veida paziņojumus plašsaziņas līdzekļu un viedokļu tirgū. Fanu lapu uzturētāji var saņemt anonīmus statistikas datus par šo lapu apmeklētājiem, izmantojot funkciju “Facebook‑Insight”, ko Facebook bez maksas nodrošina saskaņā ar tipveida lietošanas nosacījumiem. Šie dati tiek vākti, izmantojot sīkdatnes, kuras katra ietver unikālu lietotājkodu un ir aktīvas divus gadus, un kuras Facebook saglabā fanu lapas apmeklētāju datora vai cita datu nesēja cietajā diskā. Lietotājkods, kas var tikt saistīts ar Facebook reģistrēto lietotāju pieslēgšanās datiem, tiek apkopots un apstrādāts fanu lapu atvēršanas brīdī. Šajā ziņā no iesniedzējtiesas lēmuma izriet, ka vismaz pamatlietā aplūkotajā laikposmā nedz Wirtschaftsakademie, nedz Facebook Ireland Ltd nav norādījušas uz šo sīkdatņu saglabāšanu un darbību vai datu vēlāku apstrādi. |
16 |
Ar 2011. gada 3. novembra lēmumu (turpmāk tekstā – “apstrīdētais lēmums”) ULD – kā Direktīvas 95/46 28. pantā paredzētā uzraudzības iestāde, kuras pienākumos ietilpst uzraudzīt, kā Šlēsvigas‑Holšteinas federālajā zemē (Vācija) tiek piemērotas tiesību normas, ko Vācijas Federatīvā Republika ir pieņēmusi šīs direktīvas transponēšanai, – uzdeva Wirtschaftsakademie atbilstoši BDSG 38. panta 5. panta pirmajam teikumam deaktivizēt fanu lapu, ko tā bija atvērusi Facebook šādā adresē: https://www.Facebook.com/Wirtschaftsakademie, paredzot piespiedu naudu par rīkojuma neizpildi noteiktajā termiņā, pamatojoties uz to, ka ne Wirtschaftsakademie, ne Facebook nav informējuši fanu lapas apmeklētājus par to, ka Facebook ar sīkdatņu palīdzību apkopoja ar viņiem saistīto personiska rakstura informāciju un pēc tam šo informāciju apstrādāja. Wirtschaftsakademie iesniedza sūdzību par šo lēmumu, būtībā apgalvodama, ka saskaņā ar piemērojamajām datu aizsardzības tiesībām tā nav atbildīga ne par Facebook veikto datu apstrādi, ne par šā tīkla ievietotajām sīkdatnēm. |
17 |
Ar 2011. gada 16. decembra lēmumu ULD noraidīja šo sūdzību, uzskatot, ka Wirtschaftsakademie kā pakalpojumu sniedzēja atbildība ir pamatota ar TMG 3. panta 3. punkta 4. apakšpunktu un 12. panta 1. punktu, lasot tos kopsakarā ar BDSG 3. panta 7. punktu. ULD izklāstīja, ka, izveidojot savu fanu lapu, Wirtschaftsakademie ir aktīvi un apzināti līdzdarbojusies Facebook veiktajā šīs fanu lapas apmeklētāju personas datu vākšanā, gūdama labumu no šiem datiem ar Facebook tās rīcībā nodotās statistikas palīdzību. |
18 |
Wirtschaftsakademie par šo lēmumu cēla prasību Verwaltungsgericht (Administratīvā tiesa, Vācija), apgalvojot, ka tā nevarot būt atbildīga par Facebook veikto datu apstrādi un ka tā arī neesot uzdevusi – kā paredzēts BDSG 11. pantā – Facebook veikt tādu datu apstrādi, kas būtu tās kontrolē vai ko tā varētu ietekmēt. No tā Wirtschaftsakademie secināja, ka ULD esot bijis jāvēršas tieši pret Facebook, nevis jāpieņem apstrīdētais lēmums attiecībā uz Wirtschaftsakademie. |
19 |
Ar 2013. gada 9. oktobra spriedumu Verwaltungsgericht (Administratīvā tiesa) atcēla apstrīdēto lēmumu, būtībā apgalvojot, ka, tā kā Facebook fanu lapas uzturētājs neesot pārzinis BDSG 3. panta 7. punkta izpratnē, Wirtschaftsakademie nevarot būt BDSG 38. panta 5. punktā paredzētā rīkojuma adresāte. |
20 |
Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa, Vācija) kā nepamatotu noraidīja ULD apelācijas sūdzību par šo spriedumu. Minētā tiesa būtībā uzskatīja, ka apstrīdētajā lēmumā noteiktais datu apstrādes aizliegums esot prettiesisks, jo BDSG 38. panta 5. punkta otrajā teikumā ir paredzēta pakāpeniska procedūra, kuras pirmajā posmā ir atļauts tikai veikt pasākumus datu apstrādē konstatēto pārkāpumu novēršanai. Tūlītējs datu apstrādes aizliegums esot paredzēts tikai tad, ja datu apstrādes process ir kopumā nepieļaujams un ja to var novērst, vienīgi apturot šo procesu. Taču Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa) ieskatā, šīs lietas gadījumā tas tā neesot bijis, jo ULD apgalvotos pārkāpumus Facebook esot bijusi iespēja novērst. |
21 |
Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa) piebilda, ka apstrīdētais lēmums esot prettiesisks arī tāpēc, ka BDSG 38. panta 5. punktā paredzēto rīkojumu var izdot tikai attiecībā uz pārzini BDSG 3. panta 7. punkta izpratnē, par kādu saistībā ar Facebook vāktajiem datiem gan nav uzskatāma Wirtschaftsakademie. Proti, par Facebook Insight funkcijas ietvaros izmantoto personas datu vākšanas un apstrādes mērķi un līdzekļiem lemj tikai Facebook, savukārt Wirtschaftsakademie saņem tikai anonimizētu statistikas informāciju. |
22 |
ULD iesniedza pārskatīšanas (Revision) prasību Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija), citu argumentu starpā apgalvojot, ka ar apelācijas tiesas nolēmumu esot pārkāpts BDSG 38. panta 5. punkts, kā arī esot pieļautas vairākas procesuālās kļūdas. Tā uzskata, ka Wirtschaftsakademie ir izdarījusi pārkāpumu, uzticēdama savas tīmekļvietnes izveidošanu, mitināšanu un uzturēšanu pakalpojumu sniedzējam – šajā lietā Facebook Ireland –, kurš nav piemērots, jo neievēro datu aizsardzības jomā piemērojamās tiesības. Tādējādi ar apstrīdēto lēmumu Wirtschaftsakademie adresētā fanu lapas deaktivizēšanas rīkojuma mērķis esot bijis novērst šo pārkāpumu, jo rīkojumā tai esot ticis aizliegts turpināt izmantot Facebook infrastruktūru kā savas tīmekļvietnes tehnisko bāzi. |
23 |
Pēc Bundesverwaltungsgericht (Federālā administratīvā tiesa) – gluži tāpat kā Oberverwaltungsgericht (Federālās zemes Augstākā administratīvā tiesa) – domām, Wirtschaftsakademie pati par sevi nav uzskatāma par datu pārzini BDSG 3. panta 7. punkta vai Direktīvas 95/46 2. panta d) punkta izpratnē. Tomēr minētā tiesa uzskata, ka, lai efektīvi aizsargātu tiesības uz privātās dzīves neaizskaramību, šis jēdziens – kā Tiesa to esot atzinusi savā jaunākajā judikatūrā par šo jautājumu – principā ir jāinterpretē plaši. Turklāt tai ir šaubas par to, kādas pilnvaras šajā gadījumā ir ULD attiecībā uz Facebook Germany, ievērojot, ka Facebook koncernā par personas datu vākšanu un apstrādi Savienības mērogā ir atbildīga Facebook Ireland. Visbeidzot, tā prāto par to, kā ULD iejaukšanās pilnvaru izmantošanu ietekmē vērtējums, ko jautājumā par attiecīgo personas datu apstrādes tiesiskumu ir veikusi par Facebook Ireland atbildīgā uzraudzības iestāde. |
24 |
Šādos apstākļos Bundesverwaltungsgericht (Federālā administratīvā tiesa) ir nolēmusi apturēt tiesvedību un uzdot Tiesai šādus prejudiciālos jautājumus:
|
Par prejudiciālajiem jautājumiem
Par pirmo un otro jautājumu
25 |
Ar pirmo un otro jautājumu, kuri ir jāiztirzā kopā, iesniedzējtiesa vēlas noskaidrot, vai Direktīvas 95/46 2. panta d) punkts, 17. panta 2. punkts, 24. pants un 28. panta 3. punkta otrais ievilkums ir jāinterpretē tādējādi, ka tie ļauj konstatēt kādas struktūras kā sociālajā tīklā mitinātas fanu lapas uzturētāja atbildību personas datu aizsardzību reglamentējošo noteikumu pārkāpuma gadījumā tāpēc, ka tā izvēlējusies izmantot šo sociālo tīklu sava informācijas piedāvājuma izplatīšanai. |
26 |
Lai atbildētu uz šiem jautājumiem, ir jāatgādina, ka Direktīvas 95/46 mērķis – kā izriet no tās 1. panta 1. punkta un preambulas 10. apsvēruma – ir nodrošināt fizisko personu pamattiesību un brīvību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi, augstu aizsardzības līmeni (spriedums, 2014. gada 11. decembris, Ryneš, C‑212/13, EU:C:2014:2428, 27. punkts un tajā minētā judikatūra). |
27 |
Saskaņā ar šo mērķi šīs direktīvas 2. panta d) punktā jēdziens “personas datu apstrādātājs [pārzinis]” ir definēts plaši kā fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita institūcija, kura viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus. |
28 |
Proti, kā Tiesa jau nospriedusi, šīs tiesību normas mērķis ir, plaši definējot jēdzienu “pārzinis”, nodrošināt attiecīgo personu efektīvu un pilnīgu aizsardzību (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 34. punkts). |
29 |
Turklāt tā kā – atbilstoši Direktīvas 95/46 2. panta d) punktā skaidri paredzētajam – ar jēdzienu “personas datu apstrādātājs [pārzinis]” ir domāta institūcija, “kura viena pati vai kopīgi ar citām” nosaka personas datu apstrādes nolūkus un līdzekļus, šis jēdziens var arī nenozīmēt kādu vienu institūciju, bet gan attiekties uz vairākiem subjektiem, kas piedalās šajā apstrādē, un tādā gadījumā personas datu apstrādi reglamentējošās tiesību normas ir piemērojamas katram no tiem. |
30 |
Šajā gadījumā ir jāuzskata, ka par Facebook lietotāju, kā arī Facebook mitināto fanu lapu apmeklētāju personas datu apstrādes nolūkiem un līdzekļiem lemj galvenokārt Facebook Inc. un – Savienības kontekstā – Facebook Ireland, kuras tādējādi ietilpst jēdzienā “personas datu apstrādātājs [pārzinis]” Direktīvas 95/46 2. panta d) punkta izpratnē, un tas šajā lietā netiek apstrīdēts. |
31 |
Tomēr, lai atbildētu uz uzdotajiem jautājumiem, ir jānosaka, vai un cik lielā mērā tāds Facebook mitinātas fanu lapas uzturētājs kā Wirtschaftsakademie šīs fanu lapas kontekstā kopīgi ar Facebook Ireland un Facebook Inc. piedalās minētās fanu lapas apmeklētāju personas datu apstrādes nolūku un līdzekļu noteikšanā un tātad arī var tikt uzskatīts par “personas datu apstrādātāju [pārzini]” Direktīvas 95/46 2. panta d) punkta izpratnē. |
32 |
Šajā ziņā ikviens, kas vēlas Facebook tīklā izveidot fanu lapu, ar Facebook Ireland acīmredzot – un to noskaidrot ir valsts tiesas ziņā – slēdz īpašu līgumu par šādas lapas atvēršanu un līdz ar to piekrīt šīs lapas lietošanas nosacījumiem, ieskaitot ar to saistīto politiku sīkdatņu jautājumā. |
33 |
No Tiesai iesniegtajiem lietas materiāliem izriet, ka pamatlietā aplūkotā datu apstrāde tiek veikta tādējādi, ka fanu lapu apmeklējušo personu datorā vai citā ierīcē tīkls Facebook ievieto sīkdatnes, ar kurām paredzēts saglabāt informāciju par tīmekļa pārlūkprogrammām un kuras ir aktīvas divus gadus, ja netiek izdzēstas. No tiem arī izriet, ka praksē šo sīkdatnēs saglabāto informāciju Facebook saņem, reģistrē un apstrādā konkrēti tad, kad persona apmeklē lapu “Facebook pakalpojumi, citu Facebook uzņēmumu piedāvātie pakalpojumi un citu Facebook pakalpojumus izmantojošo uzņēmumu pakalpojumi”. Arī citi subjekti, piemēram, Facebook partneri vai pat trešās personas, “var iespējami izmantot sīkdatnes Facebook pakalpojumos, lai [varētu piedāvāt pakalpojumus tieši šim sociālajam tīklam], kā arī uzņēmumiem, kas Facebook vietnē izvieto reklāmu”. |
34 |
Šī personas datu apstrāde ir paredzēta tostarp tam, lai ļautu, no vienas puses, Facebook pilnveidot savu sistēmu reklāmas izplatīšanai savā tīklā, un, no otras puses, fanu lapas uzturētājam savas darbības reklamēšanas nolūkiem iegūt statistikas datus, ko Facebook gūst no šis lapas apmeklējumiem un ar kuru palīdzību tas var uzzināt, piemēram, kāds ir tā fanu lapu atzinīgi vērtējošo apmeklētāju profils, lai tas spētu tiem piedāvāt atbilstošāku saturu un izstrādāt funkcionalitātes, kas tos varētu interesēt vairāk. |
35 |
Lai arī tāda sociālā tīkla kā Facebook izmantošana pati par sevi vēl nepadara Facebook lietotāju par līdzatbildīgu par personas datu apstrādi, ko veic šis tīkls, tomēr jānorāda, ka Facebook mitinātas fanu lapas uzturētājs, izveidojot šādu lapu, sniedz Facebook iespēju ievietot sīkdatnes tā fanu lapu apmeklējušo personu datoros vai citās ierīcēs neatkarīgi no tā, vai attiecīgajai personai ir Facebook konts. |
36 |
Šajā ziņā no Tiesai sniegtās informācijas izriet, ka, lai varētu Facebook tīklā izveidot fanu lapu, ir vajadzīgs, lai tās uzturētājs iestatītu tostarp gan savai mērķauditorijai, gan savas darbības vadības vai reklamēšanas mērķiem atbilstošus parametrus, un šī iestatīšana ietekmē personas datu apstrādi nolūkā gūt no fanu lapas apmeklējumiem izrietošo statistiku. Šis uzturētājs var, izmantojot filtrus, ko tā rīcībā nodod Facebook, noteikt kritērijus, pēc kuriem nosakāma šī statistika, un pat noteikt to personu kategorijas, kuru personas datus izmantos Facebook. Līdz ar to Facebook vietnē mitinātas fanu lapas uzturētājs līdzdarbojas savas lapas apmeklētāju personas datu apstrādē. |
37 |
Proti, fanu lapas uzturētājs var pieprasīt, lai viņam tiktu iesniegti – un tātad lūgt, lai tiktu apstrādāti – demogrāfiski dati par viņa mērķauditoriju, tostarp par vecuma, dzimuma, attiecību un profesionālā statusa tendencēm; informācija par viņa mērķauditorijas dzīvesveidu un interesēm, kā arī informācija par viņa lapas apmeklētāju pirkumiem un tiešsaistē veiktās iepirkšanās ieradumiem, par preču un pakalpojumu kategorijām, kas šo mērķauditoriju interesē visvairāk, kā arī ģeogrāfiski dati, kas fanu lapas uzturētājam ļauj uzzināt, kur īstenot īpašus reklāmas piedāvājumus un rīkot pasākumus un vispārīgāk padarīt savu informācijas piedāvājumu pēc iespējas mērķtiecīgāku. |
38 |
Lai arī Facebook sarūpētā apmeklētāju loka statistika fanu lapas uzturētājam patiešām tiek nosūtīta tikai anonimizētā formā, šī statistika tiek sagatavota, iepriekš ar sīkdatnēm, kuras Facebook ievieto šo lapu apmeklējušo personu datorā vai citā ierīcē, savācot un šādiem statistikas mērķiem apstrādājot šo apmeklētāju personas datus. Direktīvā 95/46 katrā ziņā netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem. |
39 |
Šādos apstākļos ir jākonstatē, ka tāds Facebook vietnē mitinātas fanu lapas uzturētājs kā Wirtschaftsakademie, iestatot parametrus atbilstoši tostarp savai mērķauditorijai, kā arī savas darbības vadības vai reklāmas mērķiem, piedalās savas fanu lapas personas datu apstrādes nolūku un līdzekļu noteikšanā. Tāpēc šis uzturētājs šajā gadījumā ir jākvalificē kā Savienībā kopīgi ar Facebook Ireland par šādu apstrādi atbildīgais pārzinis Direktīvas 95/46 2. panta d) punkta izpratnē. |
40 |
Proti, tas, ka fanu lapas uzturētājs izmanto Facebook izveidotu platformu, lai gūtu labumu no pakalpojumiem, kas ar to saistīti, viņu nevar atbrīvot no pienākumiem personas datu aizsardzības jomā. |
41 |
Turklāt ir jāuzsver, ka Facebook mitinātās fanu lapas var apmeklēt arī personas, kuras nav Facebook lietotāji un kurām tātad nav lietotāja konta šajā sociālajā tīklā. Šajā gadījumā fanu lapas uzturētāja atbildība par šo personu personas datu apstrādi šķiet esam vēl lielāka, jo jau ar to vien, ka apmeklētāji apmeklē šo fanu lapu, tiek automātiski uzsākta viņu personas datu apstrāde. |
42 |
Šajos apstākļos sociālā tīkla pārvaldnieka un šajā tīklā mitinātās fanu lapas uzturētāja kopīgās atbildības atzīšana saistībā ar šīs lapas apmeklētāju personas datu apstrādi palīdz nodrošināt, ka atbilstoši Direktīvas 95/46 prasībām tiek pilnīgāk aizsargātas fanu lapu apmeklējošo personu tiesības. |
43 |
Tomēr ir jāprecizē – kā ģenerāladvokāts norādījis secinājumu 75. un 76. punktā – kopīgas atbildības esamība ne vienmēr nozīmē, ka dažādie ar personas datu apstrādi saistītie subjekti būtu vienādi atbildīgi. Gluži pretēji, šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā mērā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus. |
44 |
Ņemot vērā iepriekš izklāstīto, uz pirmo un otro jautājumu ir jāatbild, ka Direktīvas 95/46 2. panta d) punkts ir jāinterpretē tādējādi, ka jēdziens “personas datu apstrādātājs [pārzinis]” šīs tiesību normas izpratnē ietver sociālajā tīklā mitinātas fanu lapas uzturētāju. |
Par trešo un ceturto jautājumu
45 |
Ar savu trešo un ceturto jautājumu, kas ir jāizskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīvas 95/46 4. un 28. punkts ir jāinterpretē tādējādi, ka gadījumā, ja ārpus Savienības iedibinātam uzņēmumam ir vairāki dažādās dalībvalstīs esoši dibinājumi, pilnvaras, kas kādas dalībvalsts uzraudzības iestādei ir piešķirtas šīs direktīvas 28. panta 3. punktā, šī iestāde ir tiesīga izmantot attiecībā uz šīs dalībvalsts teritorijā esošu dibinājumu pat tad, ja atbilstoši koncerna ietvaros esošajam uzdevumu sadalījumam, pirmkārt, šā dibinājuma pārziņā ir tikai reklāmas laukumu pārdošana un citas mārketinga darbības minētās dalībvalsts teritorijā un, otrkārt, ekskluzīvā atbildība par personas datu vākšanu un apstrādi visā Savienības teritorijā ir dibinājumam, kas atrodas kādā citā dalībvalstī, vai arī attiecībā uz šo otro dibinājumu pilnvaras izmantot ir tiesīga šīs citas dalībvalsts uzraudzības iestāde. |
46 |
ULD un Itālijas valdība apšauba šo jautājumu pieņemamību, jo tiem neesot nozīmes pamatlietā esošā strīda izšķiršanā. Proti, apstrīdētā lēmuma adresāts esot Wirtschaftsakademie, un tāpēc šis lēmums neattiecoties nedz uz pašu Facebook Inc., nedz kādu no tās Savienības teritorijā esošajiem meitasuzņēmumiem. |
47 |
Šajā ziņā ir jāatgādina, ka LESD 267. pantā noteiktās sadarbības starp Tiesu un valstu tiesām procedūras ietvaros tikai valsts tiesa, kura izskata strīdu un kurai ir jāuzņemas atbildība par pieņemamo tiesas nolēmumu, ir tā, kas, ņemot vērā lietas īpatnības, izvērtē gan to, cik lielā mērā prejudiciālais nolēmums ir vajadzīgs, lai šī tiesa varētu taisīt spriedumu, gan to, cik atbilstīgi ir Tiesai uzdotie jautājumi. Līdz ar to Tiesai principā ir jāsniedz nolēmums, ja uzdotie jautājumi attiecas uz Savienības tiesību interpretāciju (spriedums, 2016. gada 6. septembris, Petruhhin, C‑182/15, EU:C:2016:630, 19. punkts un tajā minētā judikatūra). |
48 |
Šajā gadījumā jānorāda, ka – pēc iesniedzējtiesas teiktā – Tiesas atbilde uz trešo un ceturto prejudiciālo jautājumu tai ir vajadzīga, lai izspriestu pamatlietu. Proti, tā paskaidro, ka gadījumā, ja, ņemot vērā šo atbildi, tiktu konstatēts, ka ULD varētu novērst apgalvotos tiesību uz personas datu aizsardzību aizskārumus, veicot pasākumu pret Facebook Germany, šā apstākļa dēļ būtu konstatējams, ka ar apstrīdēto lēmumu ir pieļauta kļūda vērtējumā tādā ziņā, ka šis lēmums attiecībā uz Wirtschaftsakademie būtu bijis pieņemts netaisnīgi. |
49 |
Šādos apstākļos trešais un ceturtais jautājums ir jāatzīst par pieņemamiem. |
50 |
Lai varētu atbildēt uz šiem jautājumiem, ievadam jāatgādina, ka saskaņā ar Direktīvas 95/46 28. panta 1. un 3. punktu katra uzraudzības iestāde īsteno tai valsts tiesībās piešķirtās pilnvaras tās dalībvalsts teritorijā, kurai tā ir piederīga, lai nodrošinātu, ka šajā teritorijā tiek ievēroti noteikumi personas datu aizsardzības jomā (šajā nozīmē skat. spriedumu, 2015. gada 1. oktobris, Weltimmo, C‑230/14, EU:C:2015:639, 51. punkts). |
51 |
Jautājums par to, kuras valsts tiesības ir piemērojamas personas datu apstrādei, ir reglamentēts Direktīvas 95/46 4. pantā. Šā panta 1. punkta a) apakšpunktā ir noteikts, ka katra dalībvalsts personas datu apstrādei piemēro savas valsts noteikumus, kurus tā pieņem saskaņā ar šo direktīvu, ja apstrāde tiek veikta pārziņa dalībvalsts teritorijā esoša dibinājuma darbības ietvaros. Šajā tiesību normā ir precizēts, ka gadījumā, ja viens un tas pats personas datu pārzinis ir reģistrēts vairāku dalībvalstu teritorijā, tam ir jāveic nepieciešamie pasākumi, lai nodrošinātu, ka šīs valsts piemērojamajos tiesību aktos paredzētās saistības ievēro katrs tā dibinājums. |
52 |
No šīs tiesību normas, lasot to kopsakarā ar Direktīvas 95/46 28. panta 1. un 3. punktu, izriet, ka tad, ja tās dalībvalsts tiesību akti, kurai ir piederīga uzraudzības iestāde, saskaņā ar 4. panta 1. punkta a) apakšpunktu ir piemērojami tāpēc, ka attiecīgā apstrāde tiek veikta pārziņa šīs dalībvalsts teritorijā esoša dibinājuma darbības ietvaros, šī uzraudzības iestāde var īstenot visas tai šajos tiesību aktos piešķirtās pilnvaras attiecībā uz šo dibinājumu neatkarīgi no tā, vai personas datu pārzinim ir dibinājumi arī kādās citās dalībvalstīs. |
53 |
Tādējādi, lai noskaidrotu, vai tādos apstākļos kā pamatlietā uzraudzības iestādei ir pamats savas pilnvaras, kas tai piešķirtas valsts tiesību aktos, izmantot attiecībā uz savas piederības dalībvalsts teritorijā esošu dibinājumu, ir jāpārbauda, vai ir izpildīti abi Direktīvas 96/46 4. panta 1. punkta a) apakšpunktā paredzētie nosacījumi, proti, pirmkārt, vai tas ir “personas datu apstrādātāja [pārziņa dibinājums]” šīs tiesību normas izpratnē, un, otrkārt, vai minētā apstrāde tiek veikta šā dibinājuma “[darbības ietvaros]” šīs pašas tiesību normas izpratnē. |
54 |
Runājot, pirmām kārtām, par nosacījumu, ka personas datu pārzinim ir jābūt dibinājumam attiecīgās uzraudzības iestādes dalībvalstī, ir jāatgādina, ka saskaņā ar Direktīvas 95/46 preambulas 19. apsvērumā teikto iedibināšanās dalībvalsts teritorijā ir tad, ja ar pastāvīga veidojuma palīdzību tiek faktiski un reāli veikta darbība, un šajā ziņā nav izšķirošas nozīmes tam, kādā juridiskā formā attiecīgais dibinājums ir noformēts, proti, kā tikai filiāle vai arī kā meitasuzņēmums ar juridiskās personas statusu (spriedums, 2015. gada 1. oktobris, Weltimmo, C‑230/14, EU:C:2015:639, 28. punkts un tajā minētā judikatūra). |
55 |
Šajā lietā nav strīda par to, ka Facebook Inc. kā personas datu pārzinim kopā ar Facebook Ireland ir pastāvīgs dibinājums Vācijā, proti, Facebook Germany, kas atrodas Hamburgā, un ka šī nupat minētā sabiedrība minētajā dalībvalstī reāli un faktiski darbojas. Tāpēc tā ir dibinājums Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē. |
56 |
Runājot, otrām kārtām, par nosacījumu, ka personas datu apstrādei ir jānotiek attiecīgā dibinājuma “[darbības ietvaros]”, vispirms ir jāatgādina, ka, ņemot vērā Direktīvas 95/46 mērķi, kas ir nodrošināt fizisko personu pamattiesību un brīvību pilnīgu un efektīvu aizsardzību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi aizsardzību, frāze “[dibinājuma darbības ietvaros]” nevar tikt interpretēta šauri (spriedums, 2015. gada 1. oktobris, Weltimmo, C‑230/14, EU:C:2015:639, 25. punkts un tajā minētā judikatūra). |
57 |
Turklāt jāuzsver, ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā ir prasīts nevis, lai attiecīgo personas datu apstrādi būtu veicis pats attiecīgais dibinājums, bet gan vienīgi tas, lai šī apstrāde būtu veikta tā “darbības ietvaros” (spriedums, 2014. gada 13. maijs, Google Spain un Google, C‑131/12, EU:C:2014:317, 52. punkts). |
58 |
Šajā gadījumā no lūguma sniegt prejudiciālu nolēmumu un Facebook Ireland iesniegtajiem rakstveida apsvērumiem izriet, ka Facebook Germany pārziņā ir reklamēt un pārdot reklāmas laukumus un tās darbība ir vērsta uz Vācijā dzīvojošām personām. |
59 |
Kā atgādināts šā sprieduma 33. un 34. punktā, pamatlietā aplūkotā personas datu apstrāde, ko veic Facebook Inc. kopā ar Facebook Ireland un kas ietver šādu datu vākšanu, izmantojot Facebook vietnē mitināto fanu lapu apmeklētāju datoros vai citās ierīcēs ievietotas sīkdatnes, tiek veikta ar konkrētu mērķi pavērt šim sociālajam tīklam iespēju uzlabot savu reklāmas sistēmu, lai padarītu mērķtiecīgākus tās izplatītos paziņojumus. |
60 |
Taču kā savu secinājumu 94. punktā norāda ģenerāladvokāts, ņemot vērā, pirmkārt, ka tāds sociālais tīkls kā Facebook ievērojamu daļu savu ieņēmumu gūst tieši no reklāmas, kas tiek izplatīta tīmekļvietnēs, kuras lietotāji izveido un kuras tie apmeklē, un, otrkārt, ka Facebook Vācijā esošā dibinājuma pārziņā ir šajā dalībvalstī nodrošināt reklāmas laukumu reklamēšanu un pārdošanu, kas kalpo tam, lai padarītu Facebook piedāvātos pakalpojumus ienesīgus, šā dibinājuma darbība ir jāuzskata par nedalāmi saistītu ar personas datu apstrādi pamatlietā, par kuru Facebook Inc. ir kopīgi atbildīga ar Facebook Ireland. Tādēļ ir uzskatāms, ka šāda apstrāde tiek veikta pārziņa dibinājuma darbības ietvaros Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē (šajā nozīmē skat. spriedumu, 2014. gada 13. maijs, GoogleSpain un Google, C‑131/12, EU:C:2014:317, 55. un 56. punkts). |
61 |
No tā izriet, ka, tā kā saskaņā ar Direktīvas 95/46 4. panta 1. punkta a) apakšpunktu pamatlietā aplūkotajai personas datu apstrādei ir piemērojami Vācijas tiesību akti, Vācijas uzraudzības iestādes kompetencē saskaņā ar minētās direktīvas 28. panta 1. punktu bija piemērot šos tiesību aktus minētajai apstrādei. |
62 |
Līdz ar to šīs uzraudzības iestādes kompetencē bija – lai nodrošinātu personas datu aizsardzības jomu reglamentējošo tiesību normu ievērošanu Vācijas teritorijā – īstenot attiecībā uz Facebook Germany visas pilnvaras, kas tai ir noteiktas valsts tiesību normās, ar kurām ir transponēts Direktīvas 95/46 28. panta 3. punkts. |
63 |
Vēl jāpaskaidro, ka iesniedzējtiesas trešajā jautājumā uzsvērtais apstāklis – ka stratēģiskos lēmumus saistībā ar personas datu vākšanu un apstrādi attiecībā uz personām, kuru pastāvīgā dzīvesvieta atrodas Eiropas Savienības teritorijā, pieņem tāds kādā trešajā valstī iedibināts mātesuzņēmums kā šajā gadījumā Facebook Inc. – neliek apšaubīt kompetenci, kas saskaņā ar kādas dalībvalsts tiesību aktiem izveidotajai uzraudzības iestādei ir attiecībā uz minēto datu pārziņa dibinājumu, kurš atrodas šīs dalībvalsts teritorijā. |
64 |
Ņemot vērā iepriekš izklāstīto, uz trešo un ceturto jautājumu ir jāatbild, ka Direktīvas 95/46 4. un 28. pants ir jāinterpretē tādējādi, ka gadījumā, ja ārpus Savienības iedibinātam uzņēmumam ir vairāki dažādās dalībvalstīs esoši dibinājumi, pilnvaras, kas kādas dalībvalsts uzraudzības iestādei ir piešķirtas šīs direktīvas 28. panta 3. punktā, šī iestāde ir tiesīga izmantot attiecībā uz šīs dalībvalsts teritorijā esošu šā uzņēmuma dibinājumu pat tad, ja atbilstoši koncerna ietvaros esošajam uzdevumu sadalījumam, pirmkārt, šā dibinājuma pārziņā ir tikai reklāmas laukumu pārdošana un citas mārketinga darbības minētās dalībvalsts teritorijā un, otrkārt, ekskluzīvā atbildība par personas datu vākšanu un apstrādi visā Savienības teritorijā ir dibinājumam, kas atrodas kādā citā dalībvalstī. |
Par piekto un sesto jautājumu
65 |
Ar savu piekto un sesto jautājumu, kuri ir jāizskata kopā, iesniedzējtiesa būtībā jautā, vai Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde grasās attiecībā uz šīs dalībvalsts teritorijā iedibinātu struktūru izmantot iejaukšanās pilnvaras, kas paredzētas šīs direktīvas 28. panta 3. punktā, tāpēc, ka personas datu aizsardzības noteikumu pārkāpumu izdara kāda trešā persona, kura atbildīga par šo datu apstrādi un kuras sēdeklis ir kādā citā dalībvalstī, šīs uzraudzības iestādes kompetencē ir neatkarīgi no šīs otras dalībvalsts uzraudzības iestādes izvērtēt šādas apstrādes likumību un tā var īstenot savas iejaukšanās pilnvaras attiecībā uz tās teritorijā iedibināto struktūru, iepriekš neaicinot otrās dalībvalsts uzraudzības iestādes iejaukties. |
66 |
Lai atbildētu uz šiem jautājumiem, ir jāatgādina – kā izriet no atbildes uz pirmo un otro prejudiciālo jautājumu –, ka Direktīvas 95/46 2. panta d) punkts ir jāinterpretē tādējādi, ka tādos apstākļos kā pamatlietā personas datu aizsardzības noteikumu pārkāpuma gadījumā par atbildīgu ir atzīstama tāda struktūra, kas – kā Wirtschaftsakademie – uztur Facebook vietnē mitinātu fanu lapu. |
67 |
No tā izriet, ka saskaņā ar Direktīvas 95/46 4. panta 1. punkta a) apakšpunktu, kā arī 28. panta 1. un 3. punktu tās dalībvalsts uzraudzības iestādes, kuras teritorijā šī struktūra ir iedibināta, kompetencē ir piemērot savus valsts tiesību aktus un tādējādi attiecībā uz šo struktūru īstenot visas tai šajos valsts tiesību aktos piešķirtās pilnvaras atbilstoši minētās direktīvas 28. panta 3. punktam. |
68 |
Minētās direktīvas 28. panta 1. punkta otrajā daļā ir paredzēts, ka uzraudzības iestādes, kurām ir uzticēts veikt kontroli par to, kā šo iestāžu piederības dalībvalstu teritorijā tiek piemēroti noteikumi, ko šīs dalībvalstis pieņēmušas saskaņā ar minēto direktīvu, tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi. Šāda prasība izriet arī no Savienības primārajām tiesībām, proti, Eiropas Savienības Pamattiesību hartas 8. panta 3. punkta un LESD 16. panta 2. punkta (šajā nozīmē skat. spriedumu, 2015. gada 6. oktobris, Schrems, C‑362/14, EU:C:2015:650, 40. punkts). |
69 |
Turklāt, lai arī saskaņā ar Direktīvas 95/46 28. panta 6. punkta otro daļu uzraudzības iestādes savstarpēji sadarbojas tik lielā mērā, cik tas ir nepieciešams savu uzdevumu izpildei, tostarp apmainoties ar visu lietderīgo informāciju, šajā direktīvā nav nedz paredzēts kāds kritērijs, pēc kura būtu nosakāms, kādā savstarpējas prioritātes kārtībā uzraudzības iestādes var iejaukties, nedz noteikts kāds pienākums vienas dalībvalsts uzraudzības iestādei sekot nostājai, ko iespējami paudusi kādas citas dalībvalsts uzraudzības iestāde. |
70 |
Tādējādi uzraudzības iestādei, kuras kompetence ir atzīta saskaņā ar tās valsts tiesību aktiem, nekas neliek pārņemt risinājumu, ko analoģiskā situācijā ir radusi kāda cita uzraudzības iestāde. |
71 |
Šajā ziņā ir jāatgādina, ka, tā kā valsts uzraudzības iestāžu ziņā saskaņā ar Pamattiesību hartas 8. panta 3. punktu un Direktīvas 95/46 28. pantu ir kontrolēt, vai tiek ievērotas Savienības tiesību normas par fizisku personu aizsardzību saistībā ar personas datu apstrādi, ikviena no tām tātad ir apveltīta ar pilnvarām pārbaudīt, vai personas datu apstrādē, kas veikta tās piederības dalībvalstī, tiek ievērotas Direktīvā 95/46 izvirzītās prasības (šajā nozīmē skat. spriedumu, 2015. gada 6. oktobris, Schrems, C‑362/14, EU:C:2015:650, 47. punkts). |
72 |
Tā kā Direktīvas 95/46 28. pants jau pēc savas iedabas ir piemērojams visa veida personas datu apstrādei, pat tad, ja lēmumu ir pieņēmusi arī kādas citas dalībvalsts uzraudzības iestāde, uzraudzības iestādei – kurā kāda persona ir vērsusies ar lūgumu aizsargāt viņas tiesības un brīvības saistībā ar viņas personas datu apstrādi – ir gluži neatkarīgi jāizvērtē, vai šo datu apstrāde atbilst šajā direktīvā izvirzītajām prasībām (šajā nozīmē skat. spriedumu, 2015. gada 6. oktobris, Schrems, C‑362/14, EU:C:2015:650, 57. punkts). |
73 |
No tā izriet, ka šajā gadījumā atbilstoši ar Direktīvu 95/46 izveidotajai sistēmai ULD bija tiesīga – neatkarīgi no Īrijas uzraudzības iestādes veiktajiem vērtējumiem – vērtēt pamatlietā aplūkotās datu apstrādes likumību. |
74 |
Līdz ar to uz piekto un sesto jautājumu ir jāatbild, ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts ir jāinterpretē tādējādi, ka, ja dalībvalsts uzraudzības iestāde grasās attiecībā uz šīs dalībvalsts teritorijā iedibinātu struktūru izmantot iejaukšanās pilnvaras, kas paredzētas šīs direktīvas 28. panta 3. punktā, tāpēc, ka personas datu aizsardzības noteikumu pārkāpumu izdara kāda trešā persona, kura atbildīga par šo datu apstrādi un kuras sēdeklis ir kādā citā dalībvalstī, šīs uzraudzības iestādes kompetencē ir neatkarīgi no šīs otras dalībvalsts uzraudzības iestādes izvērtēt šādas apstrādes likumību un tā var īstenot savas iejaukšanās pilnvaras attiecībā uz tās teritorijā iedibināto struktūru, iepriekš neaicinot otrās dalībvalsts uzraudzības iestādes iejaukties. |
Par tiesāšanās izdevumiem
75 |
Attiecībā uz pamatlietas pusēm šī tiesvedība ir stadija procesā, kuru izskata iesniedzējtiesa, un tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi. |
Ar šādu pamatojumu Tiesa (virspalāta) nospriež: |
|
|
|
[Paraksti] |
( *1 ) Tiesvedības valoda – vācu.