EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0252
Opinion of Advocate General Rantos delivered on 20 September 2022.#Meta Platforms Inc and Others v Bundeskartellamt.#Request for a preliminary ruling from the Oberlandesgericht Düsseldorf.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Social networks – Abuse of a dominant position by the operator of such a network – Abuse which entails the processing of the personal data of the users of that network as provided for in its general terms of use – Powers of a competition authority of a Member State to find that processing is not consistent with that regulation – Reconciliation with the powers of the national data protection supervisory authorities – Article 4(3) TEU – Principle of sincere cooperation – Points (a) to (f) of the first subparagraph of Article 6(1) of Regulation 2016/679 – Whether the processing is lawful – Article 9(1) and (2) – Processing of special categories of personal data – Article 4(11) – Concept of ‘consent’.#Case C-252/21.
Ģenerāladvokāta Rantos secinājumi, 2022. gada 20. septembris.
Meta Platforms Inc. u.c. pret Bundeskartellamt.
Oberlandesgericht Düsseldorf lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – Tiešsaistes sociālie tīkli – Šāda tīkla operatora dominējošā stāvokļa ļaunprātīga izmantošana – Ļaunprātīga izmantošana, kas izpaužas kā tīkla lietotāju personas datu apstrāde, kura paredzēta vispārīgajos tīkla lietošanas noteikumos – Dalībvalsts konkurences iestādes pilnvaras konstatēt šīs apstrādes neatbilstību šai regulai – Sasaiste ar valsts iestāžu, kas atbild par personas datu aizsardzības uzraudzību, pilnvarām – LES 4. panta 3. punkts – Godprātīgas sadarbības princips – Regulas 2016/679 6. panta 1. punkta pirmās daļas a) – f) apakšpunkts – Apstrādes likumīgums – 9. panta 1. un 2. punkts – Īpašu kategoriju personas datu apstrāde – 4. panta 11. punkts – Jēdziens “piekrišana”.
Lieta C-252/21.
Ģenerāladvokāta Rantos secinājumi, 2022. gada 20. septembris.
Meta Platforms Inc. u.c. pret Bundeskartellamt.
Oberlandesgericht Düsseldorf lūgums sniegt prejudiciālu nolēmumu.
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – Tiešsaistes sociālie tīkli – Šāda tīkla operatora dominējošā stāvokļa ļaunprātīga izmantošana – Ļaunprātīga izmantošana, kas izpaužas kā tīkla lietotāju personas datu apstrāde, kura paredzēta vispārīgajos tīkla lietošanas noteikumos – Dalībvalsts konkurences iestādes pilnvaras konstatēt šīs apstrādes neatbilstību šai regulai – Sasaiste ar valsts iestāžu, kas atbild par personas datu aizsardzības uzraudzību, pilnvarām – LES 4. panta 3. punkts – Godprātīgas sadarbības princips – Regulas 2016/679 6. panta 1. punkta pirmās daļas a) – f) apakšpunkts – Apstrādes likumīgums – 9. panta 1. un 2. punkts – Īpašu kategoriju personas datu apstrāde – 4. panta 11. punkts – Jēdziens “piekrišana”.
Lieta C-252/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2022:704
ĢENERĀLADVOKĀTA ATANASIJA RANTA [ATHANASIOS RANTOS]
SECINĀJUMI,
sniegti 2022. gada 20. septembrī ( 1 )
Lieta C‑252/21
Meta Platforms Inc., iepriekš – Facebook Inc.,
Meta Platforms Ireland Limited, iepriekš – Facebook Ireland Ltd.,
Facebook Deutschland GmbH
pret
Bundeskartellamt,
piedaloties
Verbraucherzentrale Bundesverband e.V.
(Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Regula (ES) 2016/679 – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Sociālie tīkli – 4. panta 11. punkts – Datu subjekta “piekrišanas” jēdziens – Piekrišana, kas dota pārzinim, kurš ir dominējošā stāvoklī esošs uzņēmums – 6. panta 1. punkta b)–f) apakšpunkts – Apstrādes likumīgums – Apstrāde, kas vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pārziņa vai trešās personas leģitīmo interešu ievērošanai – Apstrāde, kas vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras – 9. panta 1. punkts un 2. punkta e) apakšpunkts – Īpašas personas datu kategorijas – Personas dati, kurus datu subjekts apzināti ir publiskojis – 51.–66. pants – Valsts konkurences iestādes pilnvaras – Saistība ar personas datu aizsardzības uzraudzības iestāžu pilnvarām – Pasākumi saskaņā ar konkurences tiesībām, ko veic iestāde, kas atrodas citā dalībvalstī, nevis tajā, kurā atrodas vadošā iestāde datu aizsardzības uzraudzībai
Ievads
|
1. |
Šo lūgumu sniegt prejudiciālu nolēmumu ir iesniegusi Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) tiesvedībā starp Meta Platforms grupas sabiedrībām ( 2 ) un Bundeskartellamt (Federālais karteļu birojs, Vācija) par lēmumu, kurā šis birojs aizliedza prasītājam pamatlietā veikt datu apstrādi, kas paredzēta tā sociālā tīkla Facebook lietošanas noteikumos, kā arī šo lietošanas noteikumu īstenošanu, un noteica pasākumus šo darbību izbeigšanai ( 3 ). |
|
2. |
Prejudiciālie jautājumi būtībā attiecas, pirmkārt, uz tādas valsts konkurences iestādes kā Bundeskartellamt kompetenci pārbaudīt – galvenokārt vai pakārtoti – uzņēmuma rīcību atsevišķu Regulas (ES) 2016/679 ( 4 ) normu kontekstā un, otrkārt, uz to interpretāciju tostarp attiecībā uz sensitīvo personas datu apstrādi, nosacījumiem, kuriem ir nozīme saistībā ar personas datu apstrādes likumīgumu, un brīvi paustu piekrišanu dominējošā stāvoklī esošam uzņēmumam. |
Atbilstošās tiesību normas
Savienības tiesības
|
3. |
VDAR 4. pantā ir paredzēts: “Šajā regulā: [..]
[..].” |
|
4. |
Šīs regulas 6. panta 1. punkts “Apstrādes likumīgums” ir izteikts šādi: “Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:
Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.” |
|
5. |
Minētās regulas 9. panta “Īpašu kategoriju personas datu apstrāde” 1. un 2. punktā ir noteikts: “1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde. 2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:
[..]
[..].” |
|
6. |
Šīs pašas regulas 51. pantā “Uzraudzības iestāde”, kas ietilpst tās VI nodaļā “Neatkarīgas uzraudzības iestādes”, ir noteikts: “1. Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā [..]. 2. Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu. [..]” |
Vācijas tiesības
|
7. |
Gesetz gegen Wettbewerbsbeschränkungen (Likums par konkurences ierobežojumu novēršanu, turpmāk tekstā – “GWB”) 19. panta 1. punktā ir noteikts: “Ja viens vai vairāki uzņēmumi tirgū ir dominējošā stāvoklī, tiem šo stāvokli ir aizliegts izmantot ļaunprātīgi.” ( 5 ) |
|
8. |
GWB 50.f pantā ir paredzēts: “(1) Konkurences iestādes, regulatīvās iestādes, Federālais datu aizsardzības un informācijas brīvības pārstāvis, federālo zemju atbildīgie personas datu aizsardzības jomā, kā arī kompetentās iestādes EU-Verbraucherschutzdurchführungsgesetz [Likuma par Eiropas Savienības patērētāju tiesību aizsardzību īstenošanu] 2. panta izpratnē, neatkarīgi no izvēlētās procedūras, var savstarpēji apmainīties ar informāciju, tostarp ar personas datiem un komercnoslēpumiem, ja tas ir vajadzīgs to attiecīgo uzdevumu izpildei, kā arī izmantot šos datus savās procedūrās. [..]” |
Pamatlieta, prejudiciālie jautājumi un tiesvedība Tiesā
|
9. |
Meta Platforms pārvalda tiešsaistes sociālā tīkla Facebook piedāvājumu Eiropas Savienībā (šādā adresē www.facebook.com), kā arī citus tiešsaistes pakalpojumus, tostarp Instagram un WhatsApp. Meta Platforms pārvaldīto sociālo tīklu ekonomiskais modelis galvenokārt paredz, pirmkārt, piedāvāt bezmaksas sociālā tīkla pakalpojumus privātiem lietotājiem un, otrkārt, pārdot tiešsaistes reklāmas, kuras ir pielāgotas individuāliem sociālā tīkla lietotājiem un kuru mērķis ir rādīt attiecīgajiem lietotājiem tās reklāmas, kas, citastarp pamatojoties uz lietotāja individuāliem patēriņa ieradumiem, interesēm, pirktspēju un dzīves situāciju, viņus varētu interesēt. Šāda veida reklāmu pamatā tehnoloģiski ir tīkla lietotāju ļoti detalizētu profilu un grupas līmenī piedāvātu tiešsaistes pakalpojumu automātiska izveidošana ( 6 ). |
|
10. |
Lietotāju datu vākšanai un apstrādei Meta Platforms balstās uz lietošanas līgumu, kas ar tā lietotājiem noslēgts, nospiežot pogu “Reģistrēties”, ar kuru minētie lietotāji tādējādi pieņem Facebook lietošanas noteikumus. Šo lietošanas noteikumu pieņemšana ir būtisks nosacījums Facebook sociālā tīkla lietošanai ( 7 ). Izskatāmās lietas centrā ir prakse, kuras ietvaros, pirmkārt, tiek vākti dati no citiem pašas grupas pakalpojumiem, kā arī no trešām tīmekļvietnēm un lietotnēm, izmantojot tajās iekļautās saskarnes vai interneta lietotāja datorā vai mobilajā galiekārtā izvietotās sīkdatnes, otrkārt, šie dati tiek sasaistīti ar attiecīgā lietotāja Facebook kontu un, treškārt, minētie dati tiek izmantoti (turpmāk tekstā – “strīdīgā prakse”). |
|
11. |
Bundeskartellamt uzsāka procedūru pret Meta Platforms, kuras rezultātā tas ar apstrīdēto lēmumu aizliedza pēdējam minētajam lietošanos noteikumos paredzēto datu apstrādi, kā arī šo noteikumu īstenošanu un tam noteica pasākumus šo darbību izbeigšanai. Bundeskartellamt pamatoja savu lēmumu it īpaši ar to, ka konkrētā datu apstrāde ir bijusi šīs sabiedrības dominējošā stāvokļa ļaunprātīga izmantošana privātiem lietotājiem domāto sociālo tīklu tirgū Vācijā GWB 19. panta izpratnē ( 8 ). |
|
12. |
2019. gada 11. februārī Meta Platforms apstrīdēto lēmumu pārsūdzēja Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā) – iesniedzējtiesā ( 9 ), kam būtībā ir šaubas, pirmkārt, par iespēju valsts konkurences iestādēm uzraudzīt datu apstrādes atbilstību VDAR noteiktajām prasībām, kā arī konstatēt un sodīt par tās tiesību normu pārkāpumu un, otrkārt, par noteiktu šīs regulas normu interpretāciju un piemērošanu. |
|
13. |
Šādos apstākļos Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
Ja atbilde uz septīto jautājumu ir apstiprinoša, uz trešo līdz piekto jautājumu ir jāatbild attiecībā uz datiem, kas iegūti no tās pašas uzņēmumu grupas pakalpojuma Instagram.” |
|
14. |
Rakstveida apsvērumus iesniedza Meta Platforms, Vācijas, Čehijas, Itālijas un Austrijas valdības, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (Patērētāju asociācija, Vācija), kā arī Eiropas Komisija. Šie lietas dalībnieki sniedza arī mutvārdu apsvērumus 2022. gada 10. maija tiesas sēdē mutvārdu paskaidrojumu uzklausīšanai. |
Juridiskā analīze
|
15. |
Prejudiciālie jautājumi, kas ir uzdoti šajā lietā, par vairāku VDAR tiesību normu interpretāciju būtībā skar, pirmkārt, konkurences iestādes kompetenci konstatēt un sodīt par noteikumu personas datu apstrādes jomā pārkāpumu un tās pienākumu sadarboties ar vadošo iestādi VDAR izpratnē (pirmais un septītais prejudiciālais jautājums), otrkārt, aizliegumu apstrādāt sensitīvus personas datus un nosacījumus, kas piemērojami piekrišanai to apstrādei (otrais prejudiciālais jautājums), treškārt, personas datu apstrādes likumību konkrētu pamatojumu kontekstā (trešais līdz piektais prejudiciālais jautājums) un, ceturtkārt, dominējošā stāvoklī esošam uzņēmumam sniegtas piekrišanas personas datu apstrādei spēkā esamību (sestais prejudiciālais jautājums). |
|
16. |
Nākamajos punktos vispirms izskatīšu pirmo un septīto prejudiciālo jautājumu un pēc tam – pārējos prejudiciālos jautājumus to uzdošanas secībā, apvienojot trešo, ceturto un piekto prejudiciālo jautājumu. |
Par pirmo prejudiciālo jautājumu
|
17. |
Ar pirmo prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai konkurences iestāde, izmeklējot konkurences tiesību normu pārkāpumus, var, pirmkārt, lemt galvenokārt ( 10 ) par to, vai uzņēmums, kura galvenais atbildīgais nodibinājums, kas ir vienīgais personas datu apstrādātājs visā Savienībā, atrodas citā dalībvalstī, ir pārkāpis VDAR noteikumus par datu apstrādi, un, otrkārt, uzdot pārtraukt šo pārkāpumu (pirmā jautājuma a) daļa), un apstiprinošas atbildes gadījumā – vai saskaņā ar VDAR 56. panta 1. punktu kompetentā vadošā uzraudzības iestāde vēl var veikt šī uzņēmuma datu apstrādes noteikumu pārbaudi (pirmā jautājuma b) daļa). |
|
18. |
Tomēr – neskarot pārbaudi, kas jāveic iesniedzējtiesai – man šķiet, ka Bundeskartellamt apstrīdētajā lēmumā nav sodījusi par Meta Platforms izdarītu VDAR pārkāpumu, bet gan vienīgi konkurences noteikumu piemērošanas nolūkā veikusi pārbaudi par minētās īstenotu iespējamu dominējošā stāvokļa ļaunprātīgu izmantošanu, citastarp ņemot vērā šī uzņēmuma rīcības neatbilstību VDAR. |
|
19. |
Līdz ar to, manuprāt, pirmā jautājuma a) daļa, ciktāl tā attiecas uz iespēju konkurences iestādei lemt galvenokārt par VDAR noteikumu pārkāpumu un likt izbeigt šo pārkāpumu šīs regulas izpratnē, ir neefektīva ( 11 ). |
|
20. |
No tā izriet, ka pirmā jautājuma b) daļa, kas ir pakārtota apstiprinošai atbildei uz pirmā jautājuma a) daļu, arī ir neefektīva ( 12 ). |
Par septīto prejudiciālo jautājumu
|
21. |
Ar septīto prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai konkurences iestāde, izmeklējot konkurences tiesību normu pārkāpumus, pakārtoti var konstatēt ( 13 ), vai datu apstrādes noteikumi un to īstenošana atbilst VDAR (septītā jautājuma a) daļa), un, ja atbilde ir apstiprinoša, vai konkurences iestādes pārbaude ir iespējama arī tad, ja šie noteikumi vienlaikus tiek pārbaudīti procedūrā, ko veic kompetentā vadošā uzraudzības iestāde (septītā jautājuma b) daļa). |
|
22. |
Pirmām kārtām, saistībā ar septītā jautājuma a) daļu man šķiet, ka, lai gan konkurences iestādei nav kompetences konstatēt VDAR pārkāpumu ( 14 ), šai regulai principā nav pretrunā tas, ka citas iestādes, kas nav uzraudzības iestādes, īstenojot savu kompetenci un pilnvaras, pakārtoti varētu ņemt vērā rīcības atbilstību VDAR normām. Manuprāt, tas tā it īpaši ir gadījumā, kad konkurences iestāde īsteno pilnvaras, kas tai ir piešķirtas ar LESD 102. pantu un Regulas (EK) Nr. 1/2003 5. panta pirmo daļu ( 15 ) vai ar kādu citu atbilstošu valsts tiesību normu ( 16 ). |
|
23. |
Proti, konkurences iestādei, īstenojot savas pilnvaras, tostarp ir jāizvērtē, vai pārbaudāmās rīcības ietvaros izmantotie līdzekļi atšķiras no tiem, kādus izmanto uz sniegumu balstītā konkurencē, ņemto vērā šīs rīcības juridisko un ekonomisko kontekstu ( 17 ). Šajā ziņā minētās rīcības atbilstība vai neatbilstība VDAR tiesību normām, nevis kā tādām, bet gan ņemot vērā visus lietas apstākļus, var būt būtiska norāde, lai konstatētu, vai šī rīcība ietver līdzekļus, kādus izmanto uz sniegumu balstītā konkurencē, vienlaikus precizējot, ka tas, vai rīcība ir vai nav ļaunprātīga, ņemot vērā LESD 102. pantu, neizriet no tās atbilstības vai neatbilstības VDAR vai citām tiesību normām ( 18 ). |
|
24. |
Tādējādi uzskatu, ka pārbaude par dominējošā stāvokļa tirgū ļaunprātīgu izmantošanu var pamatot to, ka konkurences iestāde interpretē tiesību normas, kas neietilpst no konkurences tiesībās, piemēram, VDAR normas ( 19 ), vienlaikus precizējot, ka šādu pārbaudi veic pakārtoti ( 20 ) un tā neskar kompetento uzraudzības iestāžu veikto šīs regulas piemērošanu ( 21 ). |
|
25. |
Otrām kārtām, saistībā ar septītā jautājuma b) daļu iesniedzējtiesa izvirza jautājumu par to, kādi ir konkurences iestādes pienākumi, interpretējot VDAR normas, saistībā ar LES 4. panta 3. punktā paredzētā lojālas sadarbības principa piemērošanu attiecībā pret kompetento vadošo uzraudzības iestādi šīs regulas izpratnē un, konkrētāk, kad konkurences iestādes pārbaudītu rīcību pārbauda vadošā kompetentā iestāde. |
|
26. |
Šajā lietā konkurences iestādes veikta uzņēmuma rīcības pārbaude VDAR normu kontekstā, lai arī pakārtota, ietver risku, ka šī iestāde un uzraudzības iestādes šo regulu interpretē atšķirīgi, kas principā var apdraudēt VDAR vienveidīgu interpretāciju ( 22 ). |
|
27. |
Savienības tiesībās šādā situācijā nav paredzēti detalizēti noteikumi par sadarbību starp konkurences iestādi un uzraudzības iestādēm VDAR izpratnē. Konkrētāk, šajā lietā nav piemērojams ne sadarbības mehānisms starp kompetentajām iestādēm VDAR izpratnē, piemērojot šo regulu ( 23 ), ne arī citi precīzi noteikumi par administratīvo iestāžu sadarbību, piemēram, noteikumi par sadarbību starp konkurences iestādēm un starp tām un Komisiju, piemērojot konkurences tiesību normas ( 24 ). |
|
28. |
Tādējādi konkurences iestādei, interpretējot VDAR, tomēr ir saistošs LES 4. panta 3. punktā nostiprinātais lojālas sadarbības princips, saskaņā ar kuru Savienība un dalībvalstis, tostarp to administratīvās iestādes ( 25 ), ar savstarpēju cieņu palīdz cita citai veikt uzdevumus, ko nosaka Līgumos. It īpaši šīs normas trešajā daļā ir paredzēts, ka dalībvalstis sekmē Savienības uzdevumu izpildi un atturas no jebkādiem pasākumiem, kuri varētu apdraudēt Savienības mērķu sasniegšanu ( 26 ). Turklāt konkurences iestādei, tāpat kā katrai administratīvai iestādei, kam ir uzdota Savienības tiesību piemērošana, ir saistošs labas pārvaldības princips kā Savienības tiesību vispārējais princips, kas tostarp ietver dalībvalstu iestāžu plašu rūpības pienākumu ( 27 ). |
|
29. |
Līdz ar to, tā kā nepastāv konkrētas tiesību normas attiecībā uz sadarbības sistēmu, kuras Savienības likumdevējam galu galā ir jāpieņem, konkurences iestādei, interpretējot VDAR normas, attiecībā pret kompetentajām iestādēm ir saistošs vismaz pienākums informēt, iegūt informāciju un sadarboties šīs regulas izpratnē saskaņā ar valsts tiesībām, kas reglamentē tās pilnvaras (dalībvalstu procesuālās autonomijas princips), un ievērojot līdzvērtības un efektivitātes principu ( 28 ). |
|
30. |
No tā, manuprāt, izriet, ka tad, ja kompetentā vadošā uzraudzības iestāde ir lēmusi par noteiktu VDAR normu piemērošanu attiecībā uz tādu pašu vai līdzīgu praksi, konkurences iestāde principā nevarētu atkāpties no interpretācijas, kādu ir sniegusi šī iestāde, kurai vienīgajai ir kompetence šīs regulas piemērošanai ( 29 ), un iespēju robežās un it īpaši ievērojot datu subjektu tiesības uz aizstāvību būtu jāizpilda iespējamie tās pieņemtie lēmumi attiecībā uz to pašu rīcību ( 30 ), ja ir šaubas par kompetentās iestādes sniegto interpretāciju konkrētajā gadījumā, konsultējoties ar to vai, iespējams, ja tā atrodas citā dalībvalstī, – ar valsts uzraudzības iestādi ( 31 ). |
|
31. |
Turklāt, ja kompetentā uzraudzības iestāde nav pieņēmusi lēmumu, konkurences iestādei tā tomēr ir jāinformē ( 32 ) un ar to jāsadarbojas, ja šī iestāde ir uzsākusi tās pašas prakses pārbaudi vai ir izrādījusi nolūku to darīt, un, iespējams, jāsagaida šīs iestādes veiktās pārbaudes iznākums, pirms sākt savu izvērtējumu, ciktāl tas ir piemēroti un it īpaši neskar to, kā konkurences iestāde ievēro saprātīgu pārbaudes termiņu un datu subjektu tiesības uz aizstāvību ( 33 ). |
|
32. |
Šajā lietā man šķiet, ka ar to, ka ir tikusi uzsākta sadarbība ar valsts līmenī atbildīgajām uzraudzības iestādēm ( 34 ) un arī neformāla saziņa ar Īrijas vadošo uzraudzības iestādi – apstākļi, uz kuriem atsaucas Bundeskartellamt un kuri ir jāpārbauda iesniedzējtiesai –, var pietikt, lai secinātu, ka šī iestāde ir izpildījusi savu rūpības un lojālas sadarbības pienākumu ( 35 ). |
|
33. |
Noslēgumā ierosinu uz septīto prejudiciālo jautājumu atbildēt, ka VDAR 51.–66. pants ir jāinterpretē tādējādi, ka konkurences iestāde savu pilnvaru ietvaros konkurences jomas tiesību normu izpratnē var pārbaudīt – pakārtoti – pārbaudāmās prakses atbilstību VDAR noteikumiem, vienlaikus ņemot vērā visus VDAR izpratnē kompetentās uzraudzības iestādes lēmumus vai izmeklēšanu un informējot valsts uzraudzības iestādi un nepieciešamības gadījumā konsultējoties ar to. |
Par otro prejudiciālo jautājumu
|
34. |
Ar otro prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 9. panta 1. punkts ir jāinterpretē tādējādi, ka strīdīgā prakse, ciktāl tā attiecas uz trešo tīmekļvietņu un lietotņu apmeklēšanu ( 36 ), ir uzskaitīto ( 37 ) sensitīvo personas datu apstrāde, kas ir aizliegta ( 38 ) (otrā jautājuma a) daļa), un, ja atbilde ir apstiprinoša, vai šīs regulas 9. panta 2. punkta e) apakšpunkts ir jāinterpretē tādējādi, ka interneta lietotājs šīs tiesību normas izpratnē apzināti publisko datus, pirmkārt, kas atklāti, apmeklējot tīmekļvietnes un lietotnes, vai, otrkārt, ievadīti vai rodas, nospiežot izvēles pogas, kas iekļautas šajās tīmekļvietnēs vai lietotnēs ( 39 ) (otrā jautājuma b) daļa). |
|
35. |
Pirmām kārtām, saistībā ar otrā jautājuma a) daļu atgādināšu, ka saskaņā ar VDAR 9. panta 1. punktu sensitīvo personas datu apstrāde ir aizliegta. Šo datu īpašā aizsardzība, kā izriet no šīs regulas 51. apsvēruma, ir pamatota ar to, ka tie pēc savas būtības ir īpaši sensitīvi no pamatbrīvību un pamattiesību viedokļa un to apstrāde varētu radīt nopietnu risku šīm pamattiesībām un brīvībām. Turklāt, neraugoties uz šīs tiesību normas formulējuma nedaudz neskaidro raksturu ( 40 ), man nešķiet, kā to pieļauj iesniedzējtiesa, ka ar to tiek ieviesta būtiska atšķirība starp personas datiem, kas ir sensitīvi, jo tie “atklāj” konkrētu situāciju, un datiem, kas paši par sevi ir sensitīvi ( 41 ). |
|
36. |
Šajā lietā, manuprāt, ir acīmredzami, ka apstrīdētā prakse ietver personas datu apstrādi, kas principā varētu ietilpt šīs tiesību normas piemērošanas jomā un būt aizliegta, ja apstrādātie dati “atklāj” vienu no tajā uzskaitītajām sensitīvajām situācijām. Tātad jākonstatē, vai un kādā mērā tīmekļvietņu un lietotņu apmeklējums vai datu ievadīšana tajās var “atklāt” sensitīvu situāciju, kas ierakstīta konkrētajā normā. |
|
37. |
Šajā ziņā šaubos, vai ir nozīme (un vispār iespējams) nodalīt vienkāršu datu subjekta interesi par konkrētu informāciju, no vienas puses, un tā piederību kādai no konkrētajā normā minētajām kategorijām, no otras puses ( 42 ). Ja lietas dalībnieku pamatlietā nostājas šajā ziņā ir pretējas ( 43 ), uzskatu, ka atbildi uz šo jautājumu var rast tikai katrā konkrētā gadījumā, ņemot vērā visas strīdīgo praksi veidojošās darbības. |
|
38. |
Lai gan, kā norāda Vācijas valdība, vienkārša sensitīvu personas datu vākšana saistībā ar tīmekļvietnes vai lietotnes apmeklējumu pati par sevi ne vienmēr ir sensitīvo personas datu apstrāde šīs tiesību normas izpratnē ( 44 ), šo datu sasaistīšana ar attiecīgā interneta lietotāja Facebook kontu vai to izmantošana ir rīcība, kas savukārt vienkāršāk varētu būt šāda apstrāde. Izšķirošais elements VDAR 9. panta 1. punkta piemērošanai, manuprāt, ir iespēja, ka apstrādātie dati ļauj interneta lietotāju profilēt pēc kategorijām, kas izriet no šajā tiesību normā ietvertā sensitīvu personas datu uzskaitījuma ( 45 ). |
|
39. |
Šajā kontekstā, lai varētu noteikt, vai datu apstrāde ietilpst šīs tiesību normas piemērošanas jomā, attiecīgā gadījumā varētu būt lietderīgi nošķirt tādu datu apstrādi, kurus prima facie var klasificēt sensitīvo personas datu kategorijā un kas paši par sevi pieļauj datu subjekta profilēšanu, no vienas puses, un tādu datu apstrādi, kas paši nav sensitīvi, bet prasa vēlāku grupēšanu, lai izdarītu ticamus secinājumus attiecīgās personas profilēšanai, no otras puses. |
|
40. |
Tādējādi ir jāprecizē, ka kategorizēšana šīs tiesību normas izpratnē ir neatkarīga no jautājuma par to, vai šī kategorizēšana ir patiesa vai pareiza ( 46 ). Nozīme ir iespējai, ka šāda kategorizēšana rada būtisku risku datu subjekta pamattiesībām un pamatbrīvībām, kā tas ir atgādināts VDAR 51. apsvērumā, iespējai – kas ir neatkarīga no tā, cik tā patiesa. |
|
41. |
Visbeidzot saistībā ar iesniedzējtiesas lūgumu noskaidrot, vai konkrētā izvērtējuma nolūkā ir nozīme izmantošanas mērķim ( 47 ), pretēji tam, ko apgalvo prasītājs pamatlietā, uzskatu, ka principā netiek prasīts, lai pārzinis apstrādātu šos datus, “apzinoties un ar nodomu no tiem tieši iegūt īpašas informācijas kategorijas”. Proti, konkrētās tiesību normas mērķis būtībā ir objektīvi novērst nopietnus riskus datu subjektu pamatbrīvībām un pamattiesībām, kuras apdraud sensitīvu personas datu apstrāde, neatkarīgi no jebkāda subjektīva elementa, piemēram, pārziņa, nodoma. |
|
42. |
Otrām kārtām, saistībā ar otrā jautājuma b) daļu atgādināšu, ka saskaņā ar VDAR 9. panta 2. punkta e) apakšpunktu aizliegums apstrādāt sensitīvus personas datus nav piemērojams, ja apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis. Turklāt šīs tiesību normas formulējumā ietvertā atsauce uz apstākļa vārdu “apzināti” un tas, ka minētā tiesību norma ir izņēmums no aizlieguma veikt sensitīvo personas datu apstrādi ( 48 ), prasa īpaši šauri piemērot šo izņēmumu būtisku risku, kas gulstas uz attiecīgo personu pamattiesībām un pamatbrīvībām, dēļ ( 49 ). Lai šo izņēmumu varētu piemērot, lietotājam, manuprāt, ir pilnībā jāapzinās, ka ar tiešu rīcību ( 50 ) viņš publiskos personas datus ( 51 ). |
|
43. |
Šajā lietā man šķiet, ka rīcība, kas izpaužas tīmekļvietņu un lietotņu apmeklējumā, datu ievadīšanā šajās vietnēs un lietotnēs un tajās iekļauto izvēles pogu nospiešanā, principā nevar tikt pielīdzināta rīcībai, ar ko apzināti publisko lietotāja sensitīvus personas datus VDAR 9. panta 2. punkta e) apakšpunkta izpratnē. |
|
44. |
Konkrētāk norādīšu, ka principā tīmekļvietņu un lietotņu apmeklējuma rezultātā apmeklējuma dati kļūst pieejami tikai tīmekļvietnes vai lietotnes pārvaldītājam un trešām personām, kurām tas šo informāciju nodod, piemēram, prasītājai pamatlietā ( 52 ). Tāpat arī, ja, ievadot datus tīmekļvietnēs un lietotnēs, datu subjekts varētu tieši un labprātīgi sniegt informāciju par konkrētiem sensitīviem personas datiem, norādīšu arī, ka šī informācija ir pieejama tikai konkrētās vietnes vai lietotnes pārvaldītājam un trešām personām, kurām tas šo informāciju nodod. Tātad izslēdzu, ka šāda rīcība varētu liecināt par vēlmi padarīt šos datus pieejamus sabiedrībai ( 53 ). Turklāt, lai gan ir acīmredzams, ka, nospiežot tīmekļvietnēs vai lietotnēs iekļautas izvēles pogas ( 54 ), datu subjekts skaidri pauž vēlmi dalīties ar konkrētu informāciju ar sabiedrību ārpus konkrētās tīmekļvietnes vai lietotnes, uzskatu, kā to arī uzsver Bundeskartellamt, ka ar šo rīcību konkrētā personas apzinās, ka ar informāciju dalās ar noteiktu personu loku, kuru bieži ir definējis pats lietotājs ( 55 ), nevis ar sabiedrību ( 56 ). |
|
45. |
Visbeidzot saistībā ar to, kāda nozīme ir iespējamai lietotāja dotai piekrišanai Direktīvas 2002/58 5. panta 3. punkta izpratnē, lai personas datus varētu vākt, izmantojot sīkdatnes (cookies) vai līdzīgas tehnoloģijas, uz ko norāda iesniedzējtiesa, uzskatu, ka šī piekrišana, ņemot vērā tās konkrēto mērķi, pati par sevi nevar attaisnot ar šiem līdzekļiem iegūtu sensitīvu datu apstrādi ( 57 ). Proti, minētā piekrišana, kas ir nepieciešama konkrētu lietotāja darbību reģistrēšanas tehniska līdzekļa uzstādīšanai ( 58 ), neattiecas uz sensitīvu personas datu apstrādi, un to nevar pielīdzināt vēlmei apzināti publiskot šos datus VDAR 9. panta 2. punkta e) apakšpunkta izpratnē ( 59 ). |
|
46. |
Noslēgumā ierosinu uz otro prejudiciālo jautājumu atbildēt, ka, pirmkārt, VDAR 9. panta 1. punkts ir jāinterpretē tādējādi, ka aizliegums apstrādāt sensitīvus personas datus var ietvert tādu tiešsaistes sociālā tīkla operatora veiktu datu apstrādi, kas paredz lietotāja datu vākšanu, kad viņš apmeklē citas tīmekļvietnes vai lietotnes vai tajās ievada šos datus, minēto datu sasaistīšanu ar sociālā tīkla lietotāja kontu un to izmantošanu, ja apstrādātā informācija, to skatot atsevišķi vai grupējot, pieļauj lietotāja profilēšanu atbilstoši kategorijām, kas izriet no sensitīvu datu uzskaitījuma šajā tiesību normā, un, otrkārt, VDAR 9. panta 2. punkta e) apakšpunkts ir jāinterpretē tādejādi, ka lietotājs apzināti nepublisko datus, kas atklāti, apmeklējot tīmekļvietnes un lietotnes vai ievadīti šajās tīmekļvietnēs vai lietotnēs, vai izriet no tajās iekļauto izvēles pogu nospiešanas. |
Par trešo, ceturto un piekto prejudiciālo jautājumu
|
47. |
Ar trešo, ceturto un piekto prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 6. panta 1. punkta b), c), d), e) un f) apakšpunkts ir jāinterpretē tādējādi, ka strīdīgā prakse ( 60 ) ietilpst kāda no šajās tiesību normās paredzētā attaisnojuma piemērošanas jomā, un konkrēti:
|
|
48. |
Iesākumā, neraugoties uz dažiem jautājumiem par ceturtā un piektā prejudiciālā jautājuma pieņemamību ( 68 ), ierosinu uz trešo, ceturto un piekto prejudiciālo jautājumu atbildēt kopā, jo manis turpmāk sniegtās norādes, galvenokārt attiecībā uz trešo prejudiciālo jautājumu, kas ir vislabāk pamatotais, var iesniedzējtiesai arī noderēt, piemērojot tiesību normas, uz kurām attiecas ceturtais un piektais prejudiciālais jautājums. |
|
49. |
Galvenokārt norādīšu, ka saskaņā ar Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 8. pantu personas dati ir jāapstrādā godprātīgi, noteiktiem mērķiem un ar likumīgu pamatojumu, kas paredzēts tiesību aktos. Šajā ziņā VDAR 6. panta 1. punktā ir precizēts, ka šo datu apstrāde ir likumīga tikai tad, ja ir piemērojams vismaz viens no sešiem šajā normā minētajiem pamatojumiem ( 69 ). |
|
50. |
Šajā lietā vispirms uzskatu, ka trešajam, ceturtajam un piektajam prejudiciālajam jautājumam ir jāveic detalizēts dažādu Facebook lietošanas noteikumu punktu vērtējums katrā konkrētā gadījumā apstrīdētās prakses kontekstā, jo nav iespējams noteikt, vai attiecībā uz šo praksi “tāds uzņēmums kā [Meta Platforms]” kopumā var atsaukties uz visiem (vai atsevišķiem) pamatojumiem, kas ir ietverti VDAR 6. panta 1. punktā, kaut arī nevar izslēgt, ka šī prakse vai dažas tās darbības var ietilpt šī panta darbības jomā ( 70 ). |
|
51. |
Turpinot – minētajās tiesību normās paredzētā apstrāde šajā lietā ir veikta, pamatojoties uz vispārīgajiem līguma noteikumiem, kurus ir noteicis pārzinis, bez datu subjekta piekrišanas ( 71 ) vai pat pretēji viņa gribai, un tas, manuprāt, konkrēto pamatojumu liek interpretēt šauri, it īpaši, lai izvairītos no piekrišanas nosacījuma apiešanas ( 72 ). |
|
52. |
Visbeidzot atgādināšu, ka saskaņā ar VDAR 5. panta 2. punktu pārzinim ir uzlikts pienākums pierādīt, ka dati tiek apstrādāti atbilstoši šīs regulas standartam, un saskaņā ar minētās regulas 13. panta 1. punkta c) apakšpunktu personas datu pārzinim ir jāprecizē apstrādes mērķi, kādiem dati ir paredzēti, kā arī tās tiesiskais pamats. |
Par trešo prejudiciālo jautājumu
|
53. |
Pirmām kārtām, saskaņā ar VDAR 6. panta 1. punkta b) apakšpunktu personas datu apstrāde ir likumīga, ja tā ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei ( 73 ). |
|
54. |
Šajā ziņā atgādināšu, ka jēdziens “vajadzība” Savienības tiesību aktos netiek definēts, bet tomēr atbilstoši judikatūrai ir autonoms Savienības tiesību jēdziens ( 74 ). Lai apstrāde būtu vajadzīga līguma izpildei, nepietiek, ka to veic saistībā ar līguma izpildi, ne arī ar tās pieminēšanu līgumā ( 75 ) vai pat ar to, ka tā vienkārši ir lietderīga līguma izpildei ( 76 ). Atbilstoši Tiesas judikatūrai apstrādei ir jābūt objektīvi vajadzīgai līguma izpildei tādā nozīmē, ka nevar būt citu reālu risinājumu, kas rada mazāk būtiskus aizskārumus ( 77 ), ņemot vērā arī datu subjekta saprātīgās gaidas ( 78 ). Tas paredz arī faktu, ka tad, ja līgumā ir ietverti vairāki pakalpojumi vai viena pakalpojuma atsevišķi elementi, kurus var izpildīt neatkarīgi vienu no otra, VDAR 6. panta 1. punkta b) apakšpunkta piemērojamība būtu jānovērtē atsevišķi katra šī pakalpojuma kontekstā ( 79 ). |
|
55. |
Šī pamatojuma ietvaros iesniedzējtiesa min satura personalizēšanu un visu uzņēmumu grupas produktu (vai drīzāk pakalpojumu) nepārtrauktu un netraucētu lietošanu. |
|
56. |
Attiecībā uz satura personalizēšanu man šķiet, ka, lai gan šāda darbība zināmā mērā var būt lietotāja interesēs, jo tā ļauj it īpaši “laika joslā” attēlot saturu, kas pēc automatizēta novērtējuma atbilst lietotāja interesēm, nav redzams, kā tā būtu vajadzīga arī attiecīgā sociālā tīkla pakalpojuma sniegšanai tādējādi, lai personas datu apstrādei šiem nolūkiem nebūtu vajadzīga šī lietotāja piekrišana ( 80 ). Veicot šo pārbaudi, būtu arī jāņem vērā tas, ka strīdīgā prakse attiecas nevis uz datu par lietotāja rīcību Facebook vietnē vai lietotnē apstrādi, bet gan uz datiem no ārējiem – un līdz ar to potenciāli neierobežotiem – avotiem. Tāpēc man rodas jautājums, kādā mērā šī apstrāde varētu atbilst vidējā lietotāja gaidām un vispārīgāk – kāda ir “personalizēšanas pakāpe”, ko tas var sagaidīt no pakalpojuma, kurā tas reģistrējas ( 81 ). |
|
57. |
Saistībā ar grupas pakalpojumu nepārtrauktu un netraucētu lietošanu norādīšu, ka saikne starp dažādiem prasītāja pamatlietā piedāvātajiem pakalpojumiem, piemēram, starp Facebook un Instagram, protams, var būt noderīga lietotājam vai pat dažreiz tas to var vēlēties. Tomēr šaubos, ka personas datu apstrāde, kas izriet no citiem grupas pakalpojumiem (tostarp Instagram), ir nepieciešama Facebook pakalpojumu sniegšanai ( 82 ). |
|
58. |
Otrām kārtām, saskaņā ar šīs regulas 6. panta 1. punkta f) apakšpunktu personas datu apstrāde ir likumīga, ja tā ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja prevalē datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, it īpaši, ja datu subjekts ir bērns. |
|
59. |
Saskaņā ar Tiesas judikatūru konkrētajā tiesību normā ir paredzēti trīs kumulatīvi nosacījumi, kam ir jābūt izpildītiem, lai personas datu apstrāde būtu likumīga, proti, pirmkārt, datu pārziņa vai trešo personu, kurām dati tiek atklāti, likumīgu interešu esamība, otrkārt, vajadzība apstrādāt personas datus likumīgo interešu ievērošanai un, treškārt, nosacījums, ka neprevalē tās personas pamattiesības un pamatbrīvības, uz kuru attiecas datu aizsardzība ( 83 ). |
|
60. |
Vispirms saistībā ar leģitīmo interešu īstenošanu atgādināšu, ka VDAR un judikatūrā par leģitīmām ( 84 ) atzīst plašu interešu spektru, vienlaikus precizējot, ka saskaņā ar VDAR 13. panta 1. punkta d) apakšpunktu pārzinim ir jānorāda likumīgās intereses, kas ir sasniedzamas atbilstoši VDAR 6. panta 1. punkta f) apakšpunktam ( 85 ). |
|
61. |
Pēc tam, runājot par nosacījumu, kas attiecas uz vajadzību apstrādāt datus leģitīmu interešu sasniegšanai, saskaņā ar Tiesas judikatūru atkāpes no personas datu aizsardzības principa un tā ierobežojumi ir piemērojami tikai tiktāl, ciktāl tas ir noteikti vajadzīgs ( 86 ). Tātad ir jābūt ciešai saiknei starp apstrādi un sasniedzamo interesi, bez alternatīvām, kas vairāk ievērotu personas datu aizsardzību, jo nepietiek, ka apstrāde pārzinim ir vienkārši noderīga. |
|
62. |
Visbeidzot, runājot par to, kā samērot pārziņa intereses, no vienas puses, ar datu subjekta interesēm vai pamattiesībām un pamatbrīvībām, no otras puses, saskaņā ar Tiesas judikatūru iesniedzējtiesai ir jāveic iesaistīto interešu izsvēršana ( 87 ). Turklāt, kā tas ir norādīts VDAR 47. apsvērumā, šīs izsvēršanas ietvaros ir jāņem vērā datu subjektu saprātīgas gaidas, pamatojoties uz viņu attiecībām ar pārzini, un jānosaka, vai datu subjekts personas datu vākšanas brīdī un saistībā ar to savākšanu var saprātīgi sagaidīt, ka tie tiks apstrādāti noteiktā nolūkā. |
|
63. |
Šī pamatojuma ietvaros iesniedzējtiesa min reklāmas personalizēšanu, tīkla drošību un produkta uzlabošanu. |
|
64. |
Vispirms saistībā ar reklāmas personalizēšanu no VDAR 47. apsvēruma izriet, ka var uzskatīt, ka personas datu apstrāde tiešās tirgvedības (direct marketing) vajadzībām ir veikta pārziņa leģitīmās interesēs. Tomēr attiecībā uz apstrādes vajadzību ir jānorāda, ka konkrēto datu izcelsme ir no avotiem ārpus Facebook, un tātad rodas jautājums, kāda ir šajā ziņā objektīvi vajadzīgā reklāmas “personalizācijas pakāpe”. Saistībā ar iesaistīto interešu izsvēršanu, manuprāt, ir jāņem vērā konkrēto leģitīmo interešu raksturs (šajā gadījumā – tīri ekonomiskas intereses), kā arī apstrādes ietekme uz lietotāju, tostarp tā saprātīgajām gaidām, un iespējamie pārziņa īstenotie aizsardzības pasākumi ( 88 ). |
|
65. |
Līdzīgus apsvērumus var izdarīt arī attiecībā uz tīkla drošību. Proti, lai gan šāds pamatojums var būt datu pārziņa leģitīmās interesēs ( 89 ), tomēr ne tik skaidri var secināt, ka apstrāde šajā lietā ir nepieciešama, ņemot vērā arī to, ka attiecīgie dati ir iegūti no avotiem ārpus Facebook ( 90 ). Katrā ziņā atgādināšu, ka personas datu apstrādātājam ir jāprecizē drošības mērķi, kas galu galā ir katras apstrādes pamatā. |
|
66. |
Visbeidzot saistībā ar produkta uzlabošanu, ja izslēdz uzlabojumus saistībā ar drošību, uz ko attiecas iepriekš izvērtētais īpašais pamatojums, man šķiet, ka drīzāk šādam pamatojumam būtu jābūt datu subjekta, nevis apstrādes pārziņa interesēs. Šādā skatījumā ir grūti saprast, kādā mērā tas varētu atbilst pārziņa leģitīmām interesēm un izvairīties no lietotāja piekrišanas. Saistībā ar iesaistīto tiesību un interešu izsvēršanas nepieciešamības nosacījumu atsaukšos uz iepriekš minētajiem apsvērumiem. |
Par ceturto un piekto prejudiciālo jautājumu
|
67. |
Ar ceturto prejudiciālo jautājumu, kas būtībā ir trešā prejudiciālā jautājuma otrās daļas paplašinājums par to, vai noteiktu uzskaitīto situāciju atkārtošanās ietver leģitīmas intereses VDAR 6. panta 1. punkta f) apakšpunkta izpratnē, kā arī ar piekto prejudiciālo jautājumu iesniedzējtiesa vēlas noskaidrot, vai vajadzība atbildēt uz likumīgu pieprasījumu par konkrētiem datiem, vajadzība novērst neatbilstīgas darbības un veicināt drošību vai vajadzība veikt pētījumus sabiedrības interesēs un veicināt aizsardzību, integritāti un drošību ir strīdīgajai praksei piemērojams attaisnojums ( 91 ). |
|
68. |
Neatkarīgi no šo jautājumu pieņemamības ( 92 ), vispārīgi uzskatu, ka attiecībā uz ceturto prejudiciālo jautājumu nevar izslēgt, ka atsevišķus strīdīgo praksi raksturojošos noteikumus var attaisnot ar leģitīmām interesēm iesniedzējtiesas norādītajos apstākļos ( 93 ), un attiecībā uz piekto prejudiciālo jautājumu vispārīgi uzskatu, ka atsevišķās situācijās strīdīgo praksi var attaisnot, pamatojoties uz minētajām tiesību normām. |
|
69. |
Tomēr no lūguma sniegt prejudiciālu nolēmumu neizriet, vai un kādā mērā Meta Platforms Ireland katram apstrādes mērķim un apstrādāto datu veidam ir norādījis konkrēti sasniedzamās leģitīmās intereses vai citu attaisnojumu, kam, iespējams, ir nozīme šajā lietā ( 94 ). Tādējādi iesniedzējtiesai, ņemot vērā iepriekš minētās norādes, ir jāpārbauda, kādā mērā strīdīgā prakse šīs tiesas norādītajos apstākļos ir attaisnota ar Meta Platform Ireland leģitīmām interesēm apstrādāt datus VDAR 6. panta 1. punkta f) apakšpunkta izpratnē vai ar kādu citu no šīs regulas 6. panta 1. punkta c), d) un e) apakšpunktā minētajiem nosacījumiem. |
Par atbildi uz trešo, ceturto un piekto prejudiciālo jautājumu
|
70. |
Noslēgumā ierosinu uz trešo, ceturto un piekto prejudiciālo jautājumu atbildēt, ka VDAR 6. panta 1. punkta b), c), d), e) un f) apakšpunkts ir jāinterpretē tādējādi, ka uz strīdīgo praksi vai atsevišķām to veidojošajām darbībām var attiekties šajās tiesību normās paredzētie izņēmumi, ja katrs pārbaudītais datu apstrādes veids atbilst pārziņa konkrēti norādītajā pamatojumā izvirzītajam pamatojumam, un ka tādējādi:
|
Par sesto prejudiciālo jautājumu
|
71. |
Ar sesto prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 6. panta 1. punkta a) apakšpunkts un 9. panta 2. punkta a) apakšpunkts ir jāinterpretē tādējādi, ka uzņēmumam, kuram ir dominējošs stāvoklis privātiem lietotājiem paredzēto valsts sociālo tīklu tirgū, var tikt dota spēkā esoša un brīvi sniegta piekrišana šīs regulas 4. panta 11. punkta izpratnē. |
|
72. |
Vispirms atgādināšu, ka VDAR 6. panta 1. punkta a) apakšpunktā un 9. panta 2. punkta a) apakšpunktā ir paredzēts pienākums saņemt datu subjekta piekrišanu attiecīgi saistībā ar personas datu apstrādi kopumā un sensitīvu personas datu apstrādi. Turklāt atbilstoši VDAR 4. panta 11. punktam šajā regulā datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei ( 95 ). |
|
73. |
Konkrētāk saistībā ar nosacījumu par to, lai piekrišana būtu “brīvi sniegta”, kas vienīgais tiek apšaubīts šajā lietā, norādīšu, ka saskaņā ar VDAR 42. apsvērumu piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles ( 96 ) vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām ( 97 ). Turklāt, kā ir paredzēts VDAR 7. panta 1. punktā (un atgādināts tās 42. apsvērumā), ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei. |
|
74. |
Attiecībā uz to, kam ir nozīme šajā lietā, atgādināšu, ka vispirms, kā tiek uzsvērts VDAR 43. apsvēruma pirmajā teikumā, piekrišana nav derīgs juridiskais pamats personas datu apstrādei, kad datu subjekta un pārziņa attiecībās pastāv “skaidra nevienlīdzība” ( 98 ), turpinājumā – ka saskaņā ar VDAR 7. panta 4. punktu, novērtējot, vai piekrišana ir sniegta brīvi, maksimāli ņem vērā to, vai citastarp līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei ( 99 ), un visbeidzot – ka saskaņā ar VDAR 43. apsvēruma otro teikumu uzskata arī, ka piekrišana nav sniegta brīvi, ja tā neparedz atsevišķu piekrišanu dažādām personas datu apstrādes darbībām, lai gan tas ir atbilstīgi konkrētajā gadījumā ( 100 ). |
|
75. |
Šajā lietā uzskatu, ka datu pārziņa, kas izmanto sociālo tīklu, iespējamam dominējošam stāvoklim tirgū ir nozīme, izvērtējot, vai šī tīkla lietotājs ir brīvi sniedzis savu piekrišanu. Proti, pārziņa varas pozīcija tirgū varētu radīt acīmredzamu līdzsvara trūkumu spēka attiecībās, tādā nozīmē, kā ir norādīts šo secinājumu 74. punktā ( 101 ). Tomēr jāprecizē, ka, pirmkārt, lai šādai varas pozīcijai tirgū būtu nozīme VDAR piemērošanas kontekstā, tai nav noteikti jāsasniedz dominējoša stāvokļa slieksnis LESD 102. panta izpratnē ( 102 ) un, otrkārt, tikai šis stāvoklis principā nevarētu būt pamats, lai piekrišanai liegtu jebkādu spēkā esamību ( 103 ). |
|
76. |
Līdz ar to piekrišanas spēkā esamība ir jāpārbauda katrā konkrētā gadījumā, ņemot vērā citus faktorus, kas minēti šo secinājumu 73. un 74. punktā, un ņemot vērā visus lietas apstākļus un to, ka pārzinim ir pienākums pierādīt, ka datu subjekts ir devis savu piekrišanu savu personas datu apstrādei. |
|
77. |
Noslēgumā ierosinu uz sesto prejudiciālo jautājumu atbildēt, ka VDAR 6. panta 1. punkta a) apakšpunkts un 9. panta 2. punkta a) apakšpunkts ir jāinterpretē tādējādi, ka tikai apstāklis, ka uzņēmumam, kas izmanto sociālo tīklu, ir dominējošs stāvoklis privātiem lietotājiem paredzētu valsts tiešsaistes sociālo tīklu tirgū, pats par sevi nevar būt pamats, lai liegtu atzīt šī tīkla lietotāja piekrišanas savu personas datu apstrādei spēkā esamību VDAR 4. panta 11. punkta izpratnē. Šādam apstāklim tomēr ir nozīme, izvērtējot piekrišanas brīvību šīs tiesību normas izpratnē, kas pārzinim ir jāpierāda, vajadzības gadījumā ņemot vērā acīmredzamu līdzsvara neesamību varas attiecībās starp datu subjektu un pārzini, iespējamo pienākumu piekrist personas datu apstrādei, kas nav obligāti nepieciešami attiecīgo pakalpojumu sniegšanai, vajadzību, lai piekrišana īpaši attiektos uz katru datu apstrādes nolūku, un vajadzību izvairīties no tā, ka piekrišanas atsaukšana rada risku lietotājam, kurš savu piekrišanu atsauc. |
Secinājumi
|
78. |
Ņemot vērā iepriekš minētos apsvērumus, ierosinu Tiesai uz Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:
|
( 1 ) Oriģinālvaloda – franču.
( 2 ) Proti, Meta Platforms Inc., iepriekš – Facebook Inc., Meta Platforms Ireland Limited, iepriekš – Facebook Ireland Ltd., un Facebook Deutschland GmbH (turpmāk tekstā – “Meta Platforms” vai “prasītājs pamatlietā”).
( 3 ) 2019. gada 6. februāra Lēmums B6-22/16 (turpmāk tekstā – “apstrīdētais lēmums”).
( 4 ) Eiropas Parlamenta un Padomes Regula (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; labojums – OV 2018, L 127, 2. lpp.; turpmāk tekstā – “VDAR”).
( 5 ) Redakcijā, kas bija spēkā līdz 2021. gada 18. janvārim.
( 6 ) Šim mērķim Meta Platforms papildus datiem, ko lietotāji tieši sniedz, reģistrējoties attiecīgajiem tiešsaistes pakalpojumiem, vāc arī citus datus par sociālā tīkla lietotājiem un ierīcēm grupas piedāvātajā sociālajā tīklā un tiešsaistes pakalpojumos un ārpus tiem, kā arī sasaista šos datus ar dažādiem attiecīgo lietotāju kontiem. Šie dati to kopumā ļauj izdarīt detalizētus secinājumus par lietotāju izvēlēm un interesēm.
( 7 ) Konkrētāk saistībā ar personas datu apstrādi lietošanas noteikumos ir atsauce uz Meta Platforms noteikto datu un sīkdatņu identifikatoru izmantošanas politiku. Tā paredz, ka Meta Platforms vāc ar lietotājiem un to ierīcēm saistītus datus par viņu darbībām sociālajā tīklā un ārpus tā, kā arī sasaista tos ar viņu Facebook kontiem. Darbības, kas notiek ārpus sociālā tīkla, ietver, pirmkārt, trešo tīmekļvietņu un lietotņu, kas ir savienotas ar Facebook, izmantojot programmēšanas saskarnes (proti, Outils Facebook Business), apmeklēšanu un, otrkārt, citu Meta Platforms grupai piederošu tiešsaistes pakalpojumu, tostarp Instagram un WhatsApp, izmantošanu.
( 8 ) Bundeskartellamt uzskata, ka ar minēto apstrādi kā ietekmes izpausmi tirgū ir pārkāptas VDAR normas un tā nebija attaisnota, ņemot vērā šīs regulas 6. panta 1. punktu un 9. panta 2. punktu.
( 9 ) Turklāt 2019. gada 31. jūlijāMeta Platforms – pēc Eiropas Komisijas un dalībvalstu patērētāju tiesību aizsardzības organizāciju ierosmes – ieviesa jaunus Lietošanas noteikumus, kuros ir skaidri norādīts, ka lietotājs tā vietā, lai maksātu par Facebook produktu lietošanu, piekrīt reklāmu rādīšanai. Turklāt kopš 2020. gada 28. janvāraMeta Platforms visā pasaulē piedāvā darbību ārpus Facebook – Off-Facebook-activity [Darbības ārpus Facebook], kas ļauj Facebook lietotājiem saņemt kopsavilkumu ar informāciju, kas iegūta par viņu aktivitātēm citās tīmekļvietnēs un lietotnēs, un pēc vēlēšanās nošķirt šos datus no sava Facebook konta gan par pagājušo, gan par nākamo laika periodu.
( 10 ) Man šķiet, ka pirmajā prejudiciālajā jautājumā ietvertie vārdi “konstatē, ka [..] ir pretrunā VDAR [..] un izdod rīkojumu novērst šo pārkāpumu” ir jāinterpretē šādi.
( 11 ) Katrā ziņā, ņemot vērā, ka VDAR tiek paredzēta pilnīga datu aizsardzības tiesību saskaņošana, [kur] to centrālais elements ir saskaņots īstenošanas mehānisms, kura pamatā ir šīs regulas 51.–67. pantā paredzētais “vienas pieturas aģentūras” princips, man šķiet acīmredzami, ka citai iestādei, kas nav uzraudzības iestādes minētās regulas izpratnē (piemēram, konkurences iestāde), nav kompetences ne konstatēt – galvenokārt – šīs regulas pārkāpumu, ne piemērot paredzētās sankcijas.
( 12 ) Katrā ziņā, ņemot vērā, ka konkurences iestādei nav kompetences ne konstatēt – galvenokārt – šīs regulas pārkāpumu, ne piemērot paredzētos sodus, uzskatu, ka iespējamais konkurences iestādes lēmums šajā ziņā nevar ietekmēt uzraudzības iestāžu pilnvaras VDAR izpratnē.
( 13 ) Tādējādi man šķiet, ka šādā nozīmē ir jāinterpretē frāze, “piemēram, interešu izsvēršanas procesā var konstatēt, vai attiecīgā uzņēmuma datu apstrādes noteikumi un to īstenošana atbilst VDAR noteikumiem”, kas ir ietverta septītajā prejudiciālajā jautājumā.
( 14 ) Skat. šo secinājumu 11. zemsvītras piezīmi.
( 15 ) Padomes Regula (2002. gada 16. decembris) par to konkurences noteikumu īstenošanu, kas noteikti [LESD 101. un 102.] pantā (OV 2003, L 1, 1. lpp.).
( 16 ) Kāds ir GWB 19. pants, ar kuru ir pamatots apstrīdētais lēmums.
( 17 ) Skat., piemēram, spriedumu, 2017. gada 6. septembris, Intel/Komisija (C‑413/14 P, EU:C:2017:632, 136. punkts un tajā minētā judikatūra). Turklāt Tiesa ir precizējusi, ka LESD 102. pants ir vispārpiemērojams un tā piemērošanas jomu nevar ierobežot tiesiskais regulējums, ko Savienības likumdevējs pieņēmis, lai tajā lietā ex ante regulētu telesakaru tirgu (šajā nozīmē skat. spriedumu, 2014. gada 10. jūlijs, Telefónica un Telefónica de España/Komisija, C‑295/12 P, EU:C:2014:2062, 128. punkts).
( 18 ) Proti, abu kategoriju tiesību normu atšķirīgo mērķu kontekstā ir acīmredzams, ka rīcība saistībā ar datu apstrādi var būt konkurences tiesību normu pārkāpums pat tad, ja tā atbilst VDAR, un tieši pretēji – prettiesiska rīcība tās izpratnē ne vienmēr liek secināt, ka tā ietver konkurences tiesību normu pārkāpumu. Šajā ziņā Tiesa ir precizējusi, ka rīcības atbilstība konkrētiem tiesību aktiem neizslēdz LESD 101. un 102. panta piemērojamību šai pašai rīcībai (skat. it īpaši spriedumu, 2012. gada 6. decembris, AstraZeneca/Komisija (C‑457/10 P, EU:C:2012:770, 132. punkts), kurā Tiesa arī ir atgādinājusi, ka dominējošā stāvokļa ļaunprātīgu izmantošanu vairumā gadījumu veido pilnīgi tiesiska rīcība citu tiesību nozaru, nevis konkurences tiesību ietvaros). Proti, ja par ļaunprātīgu LESD 102. panta izpratnē tiktu uzskatīta tikai tāda prakse, kas vienlaikus objektīvi ir gan konkurenci ierobežojoša, gan juridiski prettiesiska, tas nozīmētu, ka par rīcību tikai tās tiesiskuma dēļ, lai gan tā, iespējams, kaitē konkurencei, nevarētu piemērot sodu saskaņā ar LESD 102. pantu, kas apdraudētu šīs tiesību normas mērķi paredzēt sistēmu, kas nodrošina, ka iekšējā tirgū nav izkropļotas konkurences (šajā ziņā skat. manus secinājumus lietā Servizio Elettrico Nazionale u.c., C‑377/20, EU:C:2021:998) 37. punkts). Saskaņā ar Tiesas judikatūru, ja pret konkurenci vērstu rīcību uzņēmumam uzspiež valsts tiesību akti vai ja to rada tiesību normas, kas izslēdz jebkādu iespēju rīkoties atbilstoši konkurencei, LESD 101. un 102. pants nav piemērojams, savukārt šie panti var tikt piemēroti, ja tiek konstatēts, ka valsts tiesību akti paredz konkurences iespēju, kas var tikt novērsta, ierobežota vai kropļota ar uzņēmumu autonomo rīcību (šajā nozīmē skat. spriedumu, 2010. gada 14. oktobris, Deutsche Telekom/Komisija, C‑280/08 P, EU:C:2010:603, 80. punkts un tajā minētā judikatūra).
( 19 ) Proti, interpretācija, atbilstoši kurai konkurences iestādēm, īstenojot savu kompetenci, ir aizliegts interpretēt VDAR normas, varētu likt apšaubīt Savienības konkurences tiesību efektīvu piemērošanu.
( 20 ) Turklāt tas, ka konkurences iestāde VDAR normas ir interpretējusi pakārtoti, netraucē tam, lai šī interpretācija tiktu kontrolēta valsts tiesās ar kompetenci konkurences jomā, kurām interpretācijas grūtību gadījumā varētu nākties vērsties Tiesā ar lūgumu sniegt prejudiciālu nolēmumu, kā tas ir šajā gadījumā saistībā ar otro līdz sesto prejudiciālo jautājumu.
( 21 ) Proti, VDAR interpretācija, ko konkurences iestāde ir veikusi tikai, lai piemērotu konkurences tiesībās paredzētās normas (un, iespējams, uzliktu sodu), nevar liegt uzraudzības iestādēm to kompetenci un pilnvaras šīs regulas ietvaros. Turklāt iespēja konkurences iestādei pakārtoti interpretēt minēto regulu nerada vairāk grūtību attiecībā uz tās piemērošanu, kas ir rezervēta uzraudzības iestādēm, ne arī attiecībā uz koriģējošu pasākumu vai sodu noteikšanu, jo konkurences iestādes iespējami noteikto pasākumu vai sodu pamatā ir noteikumi, mērķi un leģitīmas intereses, kas nav tās, kuras tiek aizsargātas ar šo pašu regulu (šī iemesla dēļ turklāt šādā situācijā uz to, ka konkurences iestāde un uzraudzības iestāde VDAR izpratnē ir piemērojusi sodus, manuprāt, neattiecas ne bis in idem princips (pēc analoģijas skat. spriedumu, 2022. gada 22. marts, bpost, C‑117/20, EU:C:2022:202, 42.–50. punkts).
( 22 ) Turklāt atšķirīgas interpretācijas risks ir raksturīgs jebkurai nozarei, ko reglamentē tiesiskais regulējums, kuru konkurences iestādei ir jāņem vērā, vai tā var to darīt, novērtējot konkrētas rīcības tiesiskumu no konkurences tiesību viedokļa.
( 23 ) Ar VDAR VI un VII nodaļu tieši ir ieviesti “vienotas pieturas aģentūras” mehānismi informācijas apmaiņai un savstarpējai palīdzībai starp uzraudzības iestādēm.
( 24 ) Skat. Regulu Nr. 1/2003 un Eiropas Parlamenta un Padomes Direktīvu (ES) 2019/1 (2018. gada 11. decembris) par apstākļu nodrošināšanu nolūkā dot dalībvalstu konkurences iestādēm iespēju efektīvāk izpildīt konkurences noteikumus un par iekšējā tirgus pienācīgas darbības nodrošināšanu (OV 2019, L 11, 3. lpp.).
( 25 ) Šajā nozīmē skat. it īpaši spriedumus, 1989. gada 14. novembris, Itālija/Komisija (14/88, EU:C:1989:421, 20. punkts), un 1991. gada 11. jūnijs, Athanasopoulos u.c. (C‑251/89, EU:C:1991:242, 57. punkts).
( 26 ) Turklāt VDAR izveidoto sadarbības mehānismu starp uzraudzības iestādēm var uzskatīt par lex specialis, kas papildina un precizē LES 4. panta 3. punktā paredzēto vispārējo lojālas sadarbības principu (skat. it īpaši doktrīnā Hijmans, H., “Article 51 Supervisory authority”, The EU General Data Protection Regulation (GDPR): A Commentary, Oksforda, 2020, 869. lpp.). Tas pats attiecas uz citiem sadarbības instrumentiem, kas ir pastāvējuši pirms VDAR paredzētā sadarbības instrumenta, piemēram, konkurences iestāžu sadarbības sistēma (skat. it īpaši Regulas Nr. 1/2003 IV nodaļu).
( 27 ) Šajā nozīmē skat. ģenerāladvokātes V. Trstenjakas [V. Trstenjak] secinājumus lietā Gorostiaga Atxalandabaso/Parlaments (C‑308/07 P, EU:C:2008:498, 89. punkts).
( 28 ) Skat. it īpaši spriedumu, 2022. gada 2. jūnijs, Skeyes (C‑353/20, EU:C:2022:423, 52. punkts un tajā minētā judikatūra). Manuprāt, norādes par veicamajiem pasākumiem attiecīgā gadījumā varētu izrietēt no ar VDAR izveidotās sadarbības sistēmas, kā arī no konkurences jomā izveidotās sadarbības sistēmas, vienlaikus precizējot, ka, ja nav ad hoc noteikumu, konkurences iestādei uzliktais rūpības pienākums nesniedzas tik tālu, lai tai būtu noteikti detalizēti pienākumi, piemēram, tie, kas paredzēti VDAR VII nodaļā reglamentētajā sadarbības un uzraudzības procedūrā (piemēram, nevar gaidīt, lai konkurences iestāde kompetentajai uzraudzības iestādei šī reglamenta izpratnē nosūtītu lēmuma projektu tās atzinuma saņemšanai).
( 29 ) Šajā ziņā it īpaši saistībā ar jomu, uz kuru attiecas Savienības tiesiskais regulējums farmācijas jomā, skat. spriedumu, 2018. gada 23. janvāris, F. Hoffmann-La Roche u.c. (C‑179/16, EU:C:2018:25, 58.–64. punkts).
( 30 ) Citiem vārdiem sakot, šis lēmums pats ir daļa no atbilstošajām tiesību normām un faktiskajiem apstākļiem, kas konkurences iestādei ir jāpārbauda, tomēr no konkurences tiesību piemērošanas viedokļa tā var brīvi izdarīt secinājumus (skat. šo secinājumu 18. zemsvītras piezīmi).
( 31 ) Ņemot vērā valsts uzraudzības iestāžu lomu un funkcijas ar VDAR izveidotajā sadarbības sistēmā, uzskatu, ka sadarbība ar valsts uzraudzības iestādi pati par sevi var būt pietiekama, lai izpildītu konkurences iestādes rūpības un lojālas sadarbības pienākumus, it īpaši, ja tai nav iespēju (ņemot vērā piemērojamās valsts tiesību procedūras) vai līdzekļu (it īpaši valodas ziņā), lai apmierinoši mijiedarbotos ar vadošo uzraudzības iestādi citā dalībvalstī.
( 32 ) Vai attiecīgā gadījumā, ja šī iestāde ir citā dalībvalstī, – valsts uzraudzības iestāde (skat. šo secinājumu 31. zemsvītras piezīmi).
( 33 ) Vienlaikus atgādinot, ka atsevišķu VDAR normu interpretācija, ko konkurences iestāde sniegusi, īstenojot savas pilnvaras, neietekmē to interpretāciju un piemērošanu, ko veic kompetentās uzraudzības iestādes šīs regulas izpratnē (skat. šo secinājumu 21. zemsvītras piezīmi).
( 34 ) Bundeskartellamt šajā ziņā norāda, ka tā ir balstījusies uz Vācijas konkurences tiesībām, kas tai ļauj sazināties ar valsts uzraudzības iestādēm VDAR izpratnē.
( 35 ) Tas tā vēl jo vairāk ir tad, ja, kā to norāda Bundeskartellamt, Vācijas Federālā uzraudzības iestāde un Īrijas vadošā uzraudzības iestāde tai ir apstiprinājušas, ka pēdējā minētā nav uzsākusi nekādu procedūru attiecībā uz tās pārbaudītajām darbībām.
( 36 ) Iesniedzējtiesa it īpaši atsaucas uz interneta lietotāja veiktu tīmekļvietņu vai lietotņu apmeklējumu un datu ievadīšanu šajās vietnēs vai lietotnēs (piemēram, flirtēšanas lietotnes, homoseksuālu personu iepazīšanās portāli, politisku partiju tīmekļvietnes vai tīmekļvietnes veselības jomā), kas sniedz ar attiecīgo tiesību normu aizsargātus datus.
( 37 ) Turpmāk tekstā – “sensitīvi personas dati”. Runa ir par personas datu apstrādi, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrādi.
( 38 ) Pakārtoti norādīšu, ka Bundeskartellamt ir šaubas par šī jautājuma nozīmi strīda atrisināšanai, jo savā lēmumā tā esot ņēmusi vērā piekrišanu VDAR 6. panta 1. punkta a) apakšpunkta izpratnē, nevis piekrišanu atbilstoši tās 9. panta 2. punkta a) apakšpunktam.
( 39 ) Iesniedzējtiesa šajā ziņā norāda uz tādiem sociālo tīklu “spraudņiem” kā pogu “Patīk” vai “Dalīties”, vai “Facebook Login” (t.i., iespēju identificēties, izmantojot ar Facebook kontu saistītos savienojuma identifikatorus) un uz “Account Kit” (t.i., iespēju identificēties lietotnē vai vietnē, kas nav obligāti ar tālruņa numuru vai adresi saistīta ar Facebook, bez vajadzības pēc paroles).
( 40 ) Tāpat arī norādīšu uz būtisku neatbilstību starp VDAR franču valodas versiju, kurā šīs tiesību normas pirmajā teikumā ir atsauce uz personas datu apstrādi, kas “atklāj” konkrētas sensitīvas situācijas, un vācu valodas versiju (kā arī, tostarp, grieķu un itāļu valodas versijām), kurā ir atsauce uz personas datu, kas “atklāj” šīs situācijas, apstrādi. Ja vien nekļūdos, šīs tiesību normas franču valodas redakcija ir pretrunā ar vairumu citu valodu redakciju. Turklāt minētās tiesību normas kontekstā man šķiet loģiskāk saistīt darbības vārdu “atklāt” ar datiem, jo tās turpinājumā tie ir dati, kas tiek analizēti, nevis apstrāde. Tas izriet arī no VDAR 51. apsvēruma teksta franču valodā, kurā ir precizēts, ka personas datiem “devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique” [būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību] (mans izcēlums).
( 41 ) Manuprāt, VDAR 9. panta 1. punkta (un šīs regulas) garam, proti, aizsargāt konkrētus sensitīvus personas datus, nebūtu atbilstoši nošķirt, piemēram, pirmkārt, rases vai etnisko izcelsmi, kas ietvertu aizliegumu apstrādāt ne tikai datus, kuri uz to tieši norāda, bet arī tos, kuri atklāj šādu situāciju, un, otrkārt, ģenētiskos datus, kuru apstrādes aizliegums neattiektos uz datiem, kas atklāj šādu situāciju, piebilstot, ka ne vienmēr var skaidri nodalīt datus, kas atspoguļo konkrētas situācijas (piemēram, rases vai etnisko izcelsmi), no vienas puses, no datiem par citām situācijām (piemēram, veselību), no otras puses. Šajā ziņā piebildīšu, ka, lai gan VDAR 9. panta 1. punktā tostarp ir atsauce uz datiem par veselību [données concernant la santé], tā 4. panta 15. punktā “veselības dati” [données concernant la santé] ir definēti kā “personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli” (mans izcēlums). Kā to liek saprast Vācijas valdība, var būt, ka šī pretruna konkrētās tiesību normas formulējumā ir tikai ne pārāk izdevies mēģinājums nodalīt tīrus datus ar tieši informatīvu saturu no “metadatiem”, kuriem attiecīgais informatīvais saturs parādās tikai konkrētā kontekstā, veicot izvērtējumu vai sasaisti.
( 42 ) Principā, kā norāda prasītājs pamatlietā, abi šie aspekti atšķiras. Proti, fakts vien, ka interneta lietotājs ir piekļuvis tīmekļvietnei vai ar to ir mijiedarbojies, pats par sevi neatspoguļo informāciju par tā ticību, veselību, politisko viedokli u.c., jo interese par tīmekļvietni automātiski neatklāj pievienošanos izplatītajām idejām vai šajā vietnē pārstāvētajām kategorijām. Tā tas it īpaši ir gadījumā, kad tiek apmeklēta kādas politiskās partijas vietne vai vietne, kurā tiek piedāvāta īpaša politiska ideoloģija, kas ne vienmēr nozīmē piekrišanu šai ideoloģijai, bet to var veikt nejaušības dēļ vai pat ar kritiku nostāju attiecībā pret šo ideoloģiju.
( 43 ) Meta Platforms uzskata, ka fakts, ka interneta lietotājs ir piekļuvis tīmekļvietnei vai ar to ir mijiedarbojies, pats par sevi neatklāj sensitīvu informāciju, jo, pat ja tiek novērota vai izmantota interese par tīmekļvietni, tā nebūtu sensitīvu personas datu apstrāde. Tas tā būtu tikai tad, ja lietotāji tiktu iedalīti kategorijās, izmantojot šos datus. Līdz ar to uz datiem, kurus skar strīdīgā prakse, VDAR 9. panta 1. punktā paredzētā aizsardzība attiecas tikai tad, ja tie būtu saistīti ar kādu no tajā minētajām kategorijām un tiktu apstrādāti subjektīvi, pārzinot lietas apstākļus un nolūkā no tiem izsecināt šīs informācijas kategorijas. Turpretī saskaņā ar Bundeskartellamt, manuprāt, pārāk stingro interpretāciju, jau tas vien, ka datu subjekts apmeklē kādu tīmekļvietni vai izmanto kādu lietotni, kuras galvenais mērķis skar kādu no VDAR 9. panta 1. punktā uzskaitītajām jomām, paver ar šo normu piešķirto aizsardzību. Sensitīvu personas datu aizsardzība neesot atkarīga no pārziņa nodoma izmantot šos datus, jo datu subjekta tiesības jau skarot fakts, ka šie dati atrodas ārpus viņa ietekmes jomas.
( 44 ) Proti, kā to ir atzinusi Eiropas Datu aizsardzības kolēģija (EDAK), tas vien, ka plašsaziņas līdzekļu nodrošinātājs apstrādā lielu daudzumu datu, ko potenciāli varētu izmantot, lai izdarītu secinājumus par īpašām datu kategorijām, automātiski nenozīmē, ka uz apstrādi attiecas VDAR 9. pants (skat. EDAK, 2021. gada 13. aprīļa Pamatnostādnes 8/2020 par vēršanos pie sociālo mediju lietotājiem (turpmāk tekstā – “EDAK Pamatnostādnes 8/2020”), 124. punkts).
( 45 ) Šāda interpretācija, manuprāt, ļautu izvairīties no situācijas, par kuru sūdzējās prasītājs pamatlietā, kad pārzinis būtībā automātiski pārkāptu VDAR, jo tas nevarētu liegt iespējamu (it īpaši ar automatizētiem līdzekļiem) tādas informācijas saņemšanu, kurai ir netieša saikne ar sensitīvu datu kategorijām, neskarot pārzinim uzlikto pienākumu īstenot atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni saskaņā ar VDAR 32. pantu.
( 46 ) Šajā nozīmē skat. EDAK Pamatnostādnes 8/2020, 125. punkts.
( 47 ) Iesniedzējtiesa šajā ziņā min sociālā tīkla un reklāmas personalizēšanu, tīkla drošību, pakalpojumu uzlabošanu, mērījumu un analīzes pakalpojumu sniegšanu reklāmdevējiem, izpēti kopējam labumam, atbildi uz juridiskās informācijas pieprasījumiem un juridisku pienākumu izpildi, lietotāju un trešo personu vitālu interešu aizsardzību, uzdevumu izpildi sabiedrības interesēs.
( 48 ) Pēc analoģijas skat. spriedumu, 2016. gada 21. decembris, Tele2 Sverige un Watson u.c. (C‑203/15 un C‑698/15, EU:C:2016:970, 89. punkts, kā arī tajos minētā judikatūra), saistībā ar Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV 2002, L 201, 37. lpp.), kas grozīta ar Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīvu 2009/136/EK (OV 2009, L 337, 11. lpp.), 15. panta 1. punkta interpretāciju.
( 49 ) Skat. arī Darba grupas Article 29, kas ir ar Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.) 29. pantu izveidots orgāns, kas kopš VDAR pieņemšanas ir aizstāts ar EDAK, Atzinumu 6/2014, 10. un 11. lpp.
( 50 ) Šis nosacījums, manuprāt, ir ļoti līdzīgs nosacījumam par datu subjekta piekrišanu.
( 51 ) Atgādināšu, ka saskaņā ar VDAR 5. panta 2. punktu pārzinim ir pienākums pierādīt, ka personas dati tiek apstrādāti atbilstoši VDAR standartam.
( 52 ) Turklāt, lai gan uzmanīgs lietotājs, iespējams, apzinās, ka konkrētās tīmekļvietnes vai lietotnes pārvaldītājam ir pieejama savienojuma informācija, manuprāt, nav tik acīmredzams, ka viņš arī apzinās, ka šī informācija tāpat ir pieejama arī tā Facebook konta pārvaldītājam.
( 53 ) Labākajā gadījumā lietotājs apzinās savas “attiecības” ar vietnes vai lietotnes pārvaldītāju un trešām personām, kurām tas nodod šo informāciju, bet ir iespējams, ka viņš pat neapzinās šīs attiecības, jo, atkarībā no apstākļiem, viņam varētu būt iespaids, ka informācija, iespējams, anonimizēti, tiek atklāta vienkāršai ierīcei.
( 54 ) Runa ir par tādām pogām kā “Patīk”, “Dalīties” u.c. (skat. šo secinājumu 39. zemsvītras piezīmi).
( 55 ) Piemēram, Facebook savās izvēlnēs piedāvā lietotājam vairākas iespējas, kā dalīties ar tā Facebook kontā pieejamo informāciju.
( 56 ) Protams, nevar izslēgt, ka īpašos gadījumos lietotājs ar šīm darbībām tiešām vēlas nodot ar viņu saistīto informāciju nenoteiktam personu skaitam. Piemēram, iespējams, ka lietotājs ir pielāgojis dalīšanās iespējas savā Facebook kontā tā, lai viņa profilā esošais saturs būtu pieejams visiem šī sociālā tīkla lietotājiem, un viņš to apzinās. Tomēr pat šādos apstākļos nav pats par sevi saprotams, ka lietotājs ar šādu rīcību neapšaubāmi būtu vēlējies paust nodomu apzināti publiskot konkrētos personas datus, ņemot vērā, cik šaurs ir attiecīgais izņēmums (skat. šo secinājumu 42. punktu).
( 57 ) Šajā nozīmē skat. spriedumu, 2019. gada 29. jūlijs, Fashion ID (C‑40/17, EU:C:2019:629, 87.–89. punkts).
( 58 ) It īpaši “sīkdatnes (cookies)” (skat. Direktīvas 2002/58 25. apsvērumu).
( 59 ) Turklāt šo piekrišanu nevar arī pielīdzināt nepārprotamai piekrišanai šo datu apstrādei VDAR 9. panta 2. punkta a) apakšpunkta izpratnē. Piekrišanai profilēšanai VDAR 22. panta 1. punkta c) apakšpunkta izpratnē, kuras priekšmets acīmredzami attiecas tikai uz profilēšanas apstrādi, arī nevarētu būt nozīme.
( 60 ) Saistībā ar piekto jautājumu iesniedzējtiesa strīdīgajā praksē – papildus datu, kas iegūti no citiem pašas grupas pakalpojumiem, kā arī no trešo personu tīmekļvietnēm un lietotnēm, vākšanai, sasaistīšanai ar lietotāja Facebook kontu un izmantošanai (skat. šo secinājumu 10. punktu) – iekļauj arī “datu izmantošanu, kas jau citādi un likumīgi ir savākti un sasaistīti ar lietotāja Facebook kontu”.
( 61 ) VDAR 6. panta 1. punkta b) apakšpunkts.
( 62 ) VDAR 6. panta 1. punkta f) apakšpunkts.
( 63 ) VDAR 6. panta 1. punkta f) apakšpunkts.
( 64 ) Proti, lietotāju nepilngadības fakts, mērījumu, analīzes un citu komerciālo pakalpojumu sniegšana, mārketinga saziņa ar lietotājiem, pētījumi un inovācijas sabiedriskām vajadzībām, kā arī informācijas apmaiņa ar tiesībsargājošām iestādēm un atbildēšana uz juridiskās informācijas pieprasījumiem.
( 65 ) VDAR 6. panta 1. punkta c) apakšpunkts.
( 66 ) VDAR 6. panta 1. punkta d) apakšpunkts.
( 67 ) VDAR 6. panta 1. punkta e) apakšpunkts.
( 68 ) Proti, ceturtais prejudiciālais jautājums, šķiet, aicina Tiesu lemt drīzāk par VDAR 6. panta 1. punkta f) apakšpunkta piemērošanu, nevis interpretāciju, un piektajā prejudiciālajā jautājumā nav precizēti iemesli, kuru dēļ iesniedzējtiesai ir šaubas par šīs regulas 6. panta 1. punkta c), d) un e) apakšpunkta interpretāciju.
( 69 ) Skat. EDAK, 2019. gada 8. oktobra Pamatnostādnes 2/2019 par personas datu apstrādi atbilstoši VDAR 6. panta 1. punkta b) apakšpunktam saistībā ar tiešsaistes pakalpojumu sniegšanu datu subjektiem (turpmāk tekstā – “EDAK Pamatnostādnes 2/2019”), 1. punkts.
( 70 ) Šajā ziņā, lai gan pamatlietas dalībnieki būtībā piekrīt premisai, saskaņā ar kuru, lai piemērotu attiecīgo pamatojumu, tiek prasīta analīze katrā konkrētā gadījumā, tomēr to nostājas atšķiras attiecībā uz šīs premisas praktiskajām sekām. Bundeskartellamt uzsver, ka pārzinim detalizēti ir jāpierāda, kādi dati tiks apstrādāti konkrēti kādā izmantošanas scenārijā, un it īpaši norāda, ka prasītājs pamatlietā ir tikai norādījis, ka no ārpus Facebook avotiem nākušo datu kopuma apstrāde ir nepieciešama katram no datu apstrādes mērķiem, kas ir izklāstīti Lietošanas noteikumos. Turpretī Meta Platforms Ireland uzskata, ka bez katras apstrādes īpatnību pārbaudes Bundeskartellamt nevarēja izslēgt, ka apstrīdētā prakse varētu būt attaisnota ar attiecīgajiem pamatojumiem, un tātad tā nevarēja secināt, ka šī prakse neatbilst VDAR.
( 71 ) Lietotāja piekrišana ir paredzēta VDAR 6. panta 1. punkta a) apakšpunktā.
( 72 ) Šajā ziņā EDAK Pamatnostādņu 2/2019 16. punktā tostarp ir precizēts, ka nolūka ierobežošanas (VDAR 5. panta 1. punkta b) apakšpunkts) un datu minimizēšanas (VDAR 5. panta 1. punkta c) apakšpunkts) princips ir īpaši nozīmīgs tiešsaistes pakalpojumu līgumos, kurus parasti atsevišķi neapspriež, ņemot vērā paaugstinātu risku, ka pārziņi cenšas iekļaut nosacījumus, lai maksimāli palielinātu iespējamo datu vākšanu un izmantošanu, ne pienācīgi precizējot tās mērķus, ne paredzot datu minimizēšanas saistības.
( 73 ) Saskaņā ar EDAK Pamatnostādņu 2/2019 2. punktu šī tiesību norma nostiprina Hartas 16. pantā garantēto darījumdarbības brīvību un atspoguļo to, ka dažreiz līgumiskās saistības pret datu subjektu nevar izpildīt bez viņa sniegtiem personas datiem. Precizēšu, ka šajā tiesību normā paredzētajam otrajam gadījumam, kas attiecas uz apstrādes nepieciešamību pirms līguma noslēgšanas pasākumu, kuri veikti pēc datu subjekta pieprasījuma, izpildes, šajā lietā nav nozīmes. Tas pats attiecas uz jautājumu par spēkā esoša līguma esamību, ņemot vērā gan piemērojamās līgumtiesības, gan citas likumiskās prasības, tostarp prasības attiecībā uz līgumiem, kas noslēgti ar patērētājiem (skat. it īpaši Padomes Direktīvu 93/13/EEK (1993. gada 5. aprīlis) par negodīgiem noteikumiem patērētāju līgumos (OV 1993, L 95, 29. lpp.)), uz kuru neattiecas lūgums sniegt prejudiciālu nolēmumu.
( 74 ) Saistībā ar tiesību normu, kura atbilst VDAR 6. panta 1. punkta b) apakšpunktam, kas noteikta Direktīvas 95/46 (2008. gada 16. decembris) 7. panta e) punktā, skat. spriedumu, 2008. gada 16. decembris, Huber (C‑524/06, EU:C:2008:724, 52. punkts).
( 75 ) Turklāt, lai gan ar to vien, ka līgumā ir minēta vai veikta atsauce uz personas datu apstrādi, nepietiek, lai attiecīgo apstrādi iekļautu VDAR 6. panta 1. punkta b) apakšpunkta piemērošanas jomā, tomēr apstrāde var būt objektīvi nepieciešama pat tad, ja tā nav skaidri minēta līgumā, neskarot pārziņa pienākumus pārskatāmības jomā (skat. EDAK Pamatnostādnes 2/2019, 27. punkts).
( 76 ) Skat. EDAK Pamatnostādnes 2/2019, 25. punkts.
( 77 ) Šajā nozīmē skat. spriedumu, 2010. gada 9. novembris, Volker und Markus Schecke un Eifert (C‑92/09 un C‑93/09, EU:C:2010:662, 86. punkts), kā arī EDAK Pamatnostādnes 2/2019, 25. punkts. Šajā ziņā šo pamatnostādņu 27.–32. punktā tostarp ir norādīts, ka apstrāde ir objektīvi vajadzīga mērķim, kas ir šī līgumiskā pakalpojuma sniegšanas attiecīgajai personai neatņemama sastāvdaļa, un pārzinim ir jāspēj pierādīt, kādā veidā konkrētā līguma, kas noslēgts ar datu subjektu, galveno priekšmetu nevar faktiski izpildīt, ja attiecīgie personas dati netiek konkrēti apstrādāti. Minēto pamatnostādņu 33. punktā šajā ziņā tiek sniegti jautājumi–norādes.
( 78 ) Skat. EDAK Pamatnostādnes 2/2019, 32. punkts.
( 79 ) Skat. EDAK Pamatnostādnes 2/2019, 37. punkts.
( 80 ) Šajā ziņā Austrijas valdība atbilstoši norāda, ka pirms tam prasītājs pamatlietā lāva Facebook lietotājiem izvēlēties starp satura hronoloģisku vai personalizētu pasniegšanu, kas pierāda, ka ir apsverama alternatīva iespēja.
( 81 ) Neskarot iesniedzējtiesas vērtējumu, nedomāju, ka personas datu vākšana un izmantošana ārpus Facebook varētu būt nepieciešama Facebook profilā piedāvāto pakalpojumu sniegšanai tādējādi, lai sākotnēji sniegtā piekrišana piekļuvei sociālajam tīklam (proti, Facebook profila atvēršanai) varētu pamatoti attiekties uz lietotāja personas datu apstrādi ārpus Facebook. Proti, šādos apstākļos attiecīgo pakalpojumu izmantošana būtu atkarīga no piekrišanas, kas nav vajadzīga līguma izpildei, un saskaņā ar VDAR 7. panta 4. punktu iesniedzējtiesai šis apstāklis (kas saskaņā ar VDAR 43. apsvērumu ir piekrišanas spēkā neesamības prezumpcija, kas pārzinim ir jāatspēko VDAR 7. panta 1. punkta izpratnē) būtu jāņem vērā visplašākā mērā. Turklāt ar šādu piekrišanu, manuprāt, netiktu ievērots noteikums, kas paredz atsevišķu piekrišanu dažādām personas datu apstrādes darbībām (skat. šo secinājumu 74. punkta trešo daļu), jo nekas nesaista lietotāja sākotnējo piekrišanu Facebook konta atvēršanai un iespējamo viņa piekrišanu personas datu apstrādei ārpus Facebook. Turklāt pat gadījumā, ja ir iespējama vēlāka piekrišana, kas sniegta konkrēti datu izmantošanai ārpus Facebook, ir svarīgi pārbaudīt, vai pārzinis piedāvā izvēlēties līdzvērtīgu pakalpojumu, kas neparedz piekrišanu personas datu apstrādei papildinošiem mērķiem (skat. EDAK 2020. gada 4. maija Pamatnostādņu 5/2020 par piekrišanu saskaņā ar Regulu (ES) 2016/679 (turpmāk tekstā – “EDAK Pamatnostādnes 5/2020”) 37. punktu, savukārt 38. punktā arī ir precizēts, ka pārzinis nevar atsaukties uz līdzvērtīgu pakalpojumu, ko sniedz cits operators).
( 82 ) Kā norāda Austrijas valdība, manuprāt, ir svarīgi šajā ziņā konstatēt, ka dažādos grupas produktus var lietot neatkarīgi vienu no otra un katra pakalpojuma izmantošana ir balstīta uz atsevišķu lietošanas līgumu. Turklāt, kā norāda Bundeskartellamt, grupas pakalpojumu nepārtraukta un netraucēta lietošana būtu jāuzskata nevis par nepieciešamu šo pakalpojumu funkcionēšanai, bet gan par lietotāja interesēm tādējādi, ka principā būtu atbilstošāk, ja tā būtu viņa izvēle.
( 83 ) Pēc analoģijas skat. spriedumu, 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 28. punkts), saistībā ar tiesību normu, kura atbilst VDAR 6. panta 1. punkta f) apakšpunktam, kas noteikta Direktīvas 95/46 7. panta f) punktā.
( 84 ) Kā ģenerāladvokāts M. Bobeks [M. Bobek] ir norādījis secinājumos lietā Fashion ID (C‑40/17, EU:C:2018:1039, 122. punkts), jēdziens “leģitīmas intereses” Direktīvā 95/46 šķiet esam visnotaļ elastīgs un nenoteikts. Proti, kā norāda prasītājs pamatlietā, Tiesa ir atzinusi vairākas intereses par leģitīmām (skat. it īpaši spriedumus, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 81. punkts), 2016. gada 19. oktobris, Breyer (C‑582/14, EU:C:2016:779, 55. punkts), 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 29. punkts), 2019. gada 24. septembris, GC u.c. (Atsauču uz sensitīviem datiem atsaistīšana) (C‑136/17, EU:C:2019:773, 53. punkts), 2019. gada 11. decembris, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, 59. punkts), un 2021. gada 17. jūnijs, M.I.C.M. (C‑597/19, EU:C:2021:492, 108. un 109. punkts). Tāds pats secinājums, manuprāt, ir jāizdara no VDAR, kuras 47. apsvērumā ilustratīvi ir minēta situācija, kad datu subjekts ir pārziņa klients vai ir tās dienestā, un personas datu apstrāde, lai novērstu krāpšanu vai veiktu meklēšanu, un kuras 49. apsvērumā ir minēta tīkla un informācijas, kā arī piedāvāto pakalpojumu drošība.
( 85 ) Manuprāt, tas ietver prasību precizēt, kāda apstrādes darbība ir balstīta uz kādām likumīgajām interesēm.
( 86 ) Skat. spriedumus, 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 30. punkts), un 2021. gada 17. jūnijs, M.I.C.M. (C‑597/19, EU:C:2021:492, 110. punkts).
( 87 ) Šajā nozīmē skat. spriedumu, 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 31. punkts), un 2021. gada 17. jūnijs, M.I.C.M. (C‑597/19, EU:C:2021:492, 111. punkts). Šajā ziņā Tiesa ir atgādinājusi, ka Direktīvas 95/46 7. panta f) punktā (kas atbilst VDAR 6. panta 1. punkta f) apakšpunktam) netiek pieļauts, ka dalībvalsts kategoriski un vispārīgi izslēdz iespēju apstrādāt atsevišķas personu datu kategorijas, neļaujot veikt konkrētajā gadījumā iesaistītu pretstatītu tiesību un interešu izsvēršanu, precizējot, ka dalībvalsts tātad nedrīkst attiecībā uz šīm kategorijām galīgi paredzēt pretstatītu tiesību un interešu izsvēršanas rezultātu, nepieļaujot citu iznākumu atsevišķa gadījuma īpašu apstākļu dēļ (spriedums, 2016. gada 19. oktobris, Breyer, C‑582/14, EU:C:2016:779, 62. punkts un tajā minētā judikatūra).
( 88 ) Darba grupas Article 29 Atzinumā 6/2014 ir sniegti interesanti apsvērumi šajā ziņā saistībā ar tā III.3.4. punktu.
( 89 ) Proti, saskaņā ar VDAR 49. apsvērumu personas datu apstrāde, tādā apjomā, kāda tā ir noteikti vajadzīga un samērīga, lai nodrošinātu tīkla un informācijas drošību, atbilst attiecīgā pārziņa leģitīmām interesēm. Piemēram, runa varētu būt par to, lai tiktu traucēta neatļauta piekļuve elektronisko komunikāciju tīkliem un nelabvēlīga kodu izplatīšana. Norādīšu arī, ka saskaņā ar VDAR 32. pantu citastarp pārzinis veic atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni, un ka saskaņā ar šīs regulas 5. panta 1. punkta f) apakšpunktu personas dati ir jāapstrādā tā, lai nodrošinātu pienācīgu personas datu drošību.
( 90 ) Tātad ir jāpārbauda, kādā mērā personas datu, ārpus Facebook vietnes un lietotnes, apstrāde ir nepieciešama šīs personas drošībai. Lai gan iesniedzējtiesa šajā ziņā norāda uz iespēju WhatsApp datus izmantot pret mēstulēm (izmantojot informāciju no WhatsApp kontiem, kuri sūta mēstules, lai veiktu pasākumus pret attiecīgiem Facebook kontiem), un Instagram datus, lai atklātu apšaubāmas vai nelikumīgas darbības, tomēr šaubos, vai prasītājs pamatlietā varētu sev piešķirt tiesības apstrādāt personas datus “politikas” plašā nozīmē mērķiem, ņemot vērā, ka saskaņā ar Tiesas judikatūru elektronisko sakaru datu jomā (atšķirīgā, bet saistītā) pat likumdošanas pasākumi, kuros preventīvos nolūkos ir paredzēta informācijas par datu plūsmu un atrašanos vietu visaptveroša un nediferencēta saglabāšana, neatbilst Direktīvai 2002/58 (skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 168. punkts). Turklāt gadījumā, ja vajadzība nodrošināt tīkla drošību ir juridiska prasība, pārzinis var atsaukties uz VDAR 6. panta 1. punkta c) apakšpunktā paredzēto īpašo pamatojumu.
( 91 ) Saskaņā ar VDAR 6. panta 1. punkta c), d) un e) apakšpunktu.
( 92 ) Skat. šo secinājumu 48. punktu.
( 93 ) Ņemot vērā judikatūrā atzīto plašo leģitīmo interešu spektru (skat. šo secinājumu 60. punktu). Piemēram, man šķiet acīmredzami, ka principā nepilngadīgo aizsardzība var attaisnot atbilstošu aizsardzības pasākumu veikšanu ar mērķi aizliegt viņiem piekļuvi nepiemērotam vai bīstamam saturam.
( 94 ) Proti, saskaņā ar VDAR 13. panta 1. punkta c) un d) apakšpunktu tieši pārzinim ir jānorāda katram apstrādes mērķim leģitīmās intereses, ko tas vai trešā persona vēlas sasniegt.
( 95 ) 2020. gada 11. novembra spriedumā Orange Romania (C‑61/19, EU:C:2020:901, 35. un 36. punkts, kā arī tajā minētā judikatūra) Tiesa precizēja, ka formulējums, kas izmantots VDAR 4. panta 11. punktā, kurā definēta “datu subjekta piekrišana”, izrādās esam vēl striktāks nekā Direktīvas 95/46 2. panta h) punktā izmantotais formulējums, ciktāl tas paredz, lai datu subjekta gribas norāde būtu “brīvi sniegta, konkrēta, apzināta un viennozīmīga” un izpaustos paziņojuma vai “skaidri apstiprinošas darbības” veidā, ar kuru tiek apstiprināta viņa piekrišana savu personas datu apstrādei.
( 96 ) Kā uzsver EDAK, apzīmētājs “brīvi sniegta” nozīmē patiesu izvēli un kontroli datu subjektiem (skat. EDAK Pamatnostādnes 5/2020, 13. punkts). Šajā pašā punktā ir īpaši precizēts, ka piekrišana nav dota brīvi, ja, pirmkārt, attiecīgā persona ir spiesta piekrist vai ciest būtiskas negatīvas sekas, ja tā nepiekrīt, un, otrkārt, piekrišana tiek pasniegta kā lietošanas noteikumu neapspriežama daļa. Līdz ar to piekrišana netiks uzskatīta par brīvi sniegtu, ja šī persona nevar atteikt vai atsaukt to bez nelabvēlīgām sekām. Šajā gadījumā, kā to uzsver prasītājs pamatlietā, vienīgā neērtība, kas attiecīgajai personai ir jāpieņem, ir tāda, ka pakalpojumam attiecīgā gadījumā var nebūt tāda pati funkcionalitāte vai kvalitāte, jo datu apstrāde, kurai nav dota piekrišana, šim nolūkam ir tehniski nepieciešama.
( 97 ) Šajā ziņā EDAK Pamatnostādnēs 5/2020 ir minēta maldināšana, iebiedēšana, piespiešana vai jebkādas būtiskas negatīvas sekas, ja datu subjekts atsakās dot savu piekrišanu, un tiek atgādināts par pārziņa pienākumu pierādīt, ka šai personai ir patiesa izvēles brīvība attiecībā uz piekrišanas piešķiršanu un atsaukšanu (47. punkts).
( 98 ) Papildus situācijām saistībā ar attiecībām ar valsts iestādēm un darba attiecībām, kas minētas 43. apsvērumā un kurām šajā lietā nav nozīmes, EDAK Pamatnostādņu 5/2020 24. punktā tostarp ir minētas situācijas, kad datu subjekts patiešām nevar izdarīt izvēli vai kad pastāv maldināšanas, iebiedēšanas, piespiešanas vai būtisku negatīvu seku risks (piemēram, būtiskas papildu izmaksas), ja viņš nesniedz savu piekrišanu.
( 99 ) Šis jautājums daļēji sakrīt ar jautājumu, kas ir uzdots trešā prejudiciālā jautājuma pirmajā daļā (skat. šo secinājumu 53. –57. punktu). VDAR 43. apsvēruma otrajā teikumā ir precizēts, ka šādā situācijā prezumē, ka piekrišana nav sniegta brīvi (saskaņā ar EDAK Pamatnostādņu 5/2020 26. punktu, šādi rīkojoties, VDAR nodrošina, lai personas datu apstrāde, kurai tiek lūgta piekrišana, tieši vai netieši nevarētu kļūt par līguma pretizpildījumu), un termina “prezumēts” lietojums skaidri norāda, ka piekrišana ir derīga tikai īpašos izņēmuma gadījumos (skat. šo pamatnostādņu 35. punktu). Turklāt VDAR 7. panta 4. punkts, izmantojot vārdus “citu starpā”, nav formulēts izsmeļoši, kas nozīmē, ka šī tiesību norma var attiekties uz virkni citu situāciju, tostarp jebkādu spiedienu vai neatbilstošu ietekmi uz datu subjektu un traucējumu tam īstenot savu gribu (EDAK Pamatnostādņu 5/2020 14. punkts).
( 100 ) VDAR 32. apsvērumā tostarp ir precizēts, ka piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos, un, ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Šajā ziņā EDAK Pamatnostādnēs 5/2020 ir atsauce uz piekrišanas “detalizācijas pakāpi” kā šķērsli tās brīvībai (44. punkts).
( 101 ) Šāda situācija it īpaši sekmē tādu nosacījumu noteikšanu, kas nav nepieciešami līguma izpildei (skat. šo secinājumu 53.–57. punktu).
( 102 ) Citiem vārdiem sakot, kā norāda Komisija, uzņēmuma relatīvās varas tirgū pakāpe, kas ir izšķiroša attiecībā uz piekrišanas spēkā esamību saskaņā ar VDAR, nevar katrā ziņā tikt pielīdzināta dominējošā stāvokļa tirgū robežvērtībai LESD 102. panta izpratnē.
( 103 ) Protams, lai gan dominējošā stāvokļa esamība pati par sevi neliedz iespēju brīvi sniegt piekrišanu personas datu apstrādei, šāda stāvokļa neesamība pati par sevi nav pietiekama, lai jebkuros apstākļos garantētu, ka šādi dota piekrišana ir spēkā esoša.