ĢENERĀLADVOKĀTA MIHALA BOBEKA [MICHAL BOBEK]
SECINĀJUMI,
sniegti 2018. gada 19. decembrī ( 1 )
Lieta C‑40/17
Fashion ID GmbH & Co. KG
pret
Verbraucherzentrale NRW e.V.,
piedaloties
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
(Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Tīmekļvietnes lietotāju personas datu aizsardzība – Patērētāju tiesību aizsardzības apvienības tiesības celt prasību – Tīmekļvietnes pārvaldītāja atbildība – Personas datu pārsūtīšana trešai personai – Integrēts spraudnis – Facebook poga “Patīk” – Leģitīmas intereses – Datu subjekta piekrišana – Pienākums informēt
I. Ievads
|
1. |
Fashion ID GmbH & Co. KG ir tiešsaistē strādājoša modes preču vairumtirgotāja. Savā tīmekļvietnē tā ir iestrādājusi spraudni – Facebook pogu “Patīk”. Tā rezultātā, līdzko lietotājs nonāk Fashion ID tīmekļvietnē, informācija par šā lietotāja IP adresi un pārlūkprogrammas virkni (browser string) tiek pārsūtīta Facebook. Šī nosūtīšana notiek automātiski līdz ar Fashion ID tīmekļvietnes ielādi, neatkarīgi no tā, vai lietotājs ir nospiedis pogu “Patīk” un vai viņam ir Facebook konts vai nav. |
|
2. |
Vācijas patērētāju tiesību aizsardzības apvienība Verbraucherzentrale NRW e.V. cēla prasību tiesā, lūdzot pret Fashion ID izdot rīkojumu tāpēc, ka šā spraudņa izmantošanas rezultātā tiekot pārkāpts datu aizsardzības tiesiskais regulējums. |
|
3. |
Izskatot lietu, Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) lūdz interpretēt vairākas Direktīvas 95/46/EK (turpmāk tekstā – “Direktīva 95/46”) ( 2 ) normas. Vispirms iesniedzējtiesa vēlas noskaidrot, vai šī direktīva ļauj ar valsts tiesisko regulējumu piešķirt tiesības patērētāju tiesību aizsardzības apvienībai celt tādu prasību, par kādu ir runa šajā lietā. Pievēršoties lietas būtībai, galvenais uzdotais jautājums ir, vai Fashion ID ir jākvalificē kā “personas datu [pārzinis]” attiecībā uz notiekošo datu apstrādi un, ja tas tā ir, kā tieši šādā gadījumā ir jānodrošina Direktīvā 95/46 noteikto individuālo pienākumu izpilde. Kura leģitīmās intereses ir jāņem vērā, veicot interešu izsvēršanu saskaņā ar Direktīvas 95/46 7. panta f) punktu? Vai Fashion ID ir pienākums informēt datu subjektus par apstrādi? Un vai Fashion ID arī ir tā, kam šajā sakarā ir jāsaņem apzināta datu subjektu piekrišana? |
II. Tiesiskais regulējums
A. Savienības tiesības
Direktīva 95/46
|
4. |
Direktīvas 95/46 mērķis ir izklāstīts tās pirmajā pantā. Minētā panta pirmais punkts ir formulēts šādi: “Dalībvalstis aizsargā fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi”. Saskaņā ar šīs pašas normas 2. punktu: “Dalībvalstis neierobežo un neaizliedz personas datu brīvu plūsmu starp dalībvalstīm, pamatojoties uz 1. punktā paredzēto aizsardzību”. |
|
5. |
Minētās direktīvas 2. pantā ir ietvertas šādas definīcijas:
[..]
[..]
|
|
6. |
Minētās direktīvas 7. pantā ir noteikti kritēriji, kas jāievēro, lai datu apstrāde būtu likumīga: “dalībvalstis paredz to, ka personas datus var apstrādāt tikai, ja:
[..]
|
|
7. |
Minētās direktīvas 10. pantā ir noteikts datu subjektam sniedzamās informācijas minimums: “Dalībvalstis paredz to, ka personas datu [pārzinis] vai viņa pārstāvis sniedz datu subjektam, no kura ievāc datus, kas uz viņu attiecas, vismaz šādu informāciju, ja vien datu subjektam tā nav zināma:
|
|
8. |
Direktīvas 95/46 III nodaļa attiecas uz tiesiskās aizsardzības līdzekļiem, atbildību un sankcijām. Tajā ietvertajos 22.–24. pantā ir noteikts: “22. pants Aizsardzības līdzekļi Neierobežojot nevienu administratīva rakstura līdzekli, kuru var paredzēt, inter alia, 28. pantā minētajai uzraudzības iestādei pirms vēršanās tiesas iestādē, dalībvalstis nodrošina katras personas tiesības uz tiesiskas aizsardzības līdzekli par jebkuru tiesību, ko šai personai garantē minētajai datu apstrādei piemērojamais attiecīgās valsts likums, pārkāpumu. 23. pants Atbildība 1. Dalībvalstis paredz to, ka jebkurai personai, kam nodarīts kaitējums sakarā ar nelikumīgu datu apstrādi vai jebkuras attiecīgās valsts noteikumiem, kas pieņemti saskaņā ar šo direktīvu, nesavienojamas rīcības rezultātā, ir tiesības saņemt no personas datu [pārziņa] kompensāciju par šo kaitējumu. Personas datu [pārzini] var pilnībā vai daļēji atbrīvot no šīs atbildības, ja tas pierāda, ka nav atbildīgs par notikumu, kurš izraisa šo kaitējumu. 24. pants Sankcijas Dalībvalstis paredz atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā, un īpaši nosaka sankcijas, kas jāuzliek gadījumā, ja tiek pārkāpti saskaņā ar šo direktīvu pieņemtie noteikumi.” |
B. Vācijas tiesības
Gesetz gegen den unlauteren Wettbewerb
|
9. |
Gesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu) (turpmāk tekstā – “UWG”) 3. panta 1. punktā ir noteikts, ka negodīga komercprakse ir aizliegta. |
|
10. |
UWG 8. panta 1. punktā un 3. punkta 3) apakšpunktā ir noteikts, ka komercprakse, kas ir negodīga, var būt pamats rīkojumam par prettiesiskas rīcības tūlītēju izbeigšanu un rīkojumam par turpmāku tās aizliegumu, ko lūdz izdot “tiesīgās iestādes”, kuras ir reģistrētas tiesīgo iestāžu sarakstā atbilstoši Unterlassungsklagengesetz (Likums par prasībām par aizliegumiem) vai Eiropas Komisijas sarakstā atbilstoši Direktīvas 2009/22/EK par aizliegumiem saistībā ar patērētāju interešu aizsardzību ( 3 ) 4. panta 3. punktam. |
Unterlassungsklagengesetz
|
11. |
Unterlassungsklagengesetz (Likums par prasībām par aizliegumiem) 2. panta 1. punktā un 2. punkta 11) apakšpunktā ir noteikts: “1. Pret ikvienu personu, kas pārkāpj patērētāju aizsardzībai paredzētās normas (likumi par patērētāju aizsardzību), izņemot vispārējo tirdzniecības noteikumu piemērošanā vai ieteikšanā, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un rīkojumu par turpmāku tās aizliegumu patērētāju tiesību aizsardzības interesēs. 2. Šajā normā likumi par patērētāju aizsardzību it īpaši ir: [..]
|
Telemediengesetz
|
12. |
Telemediengesetz (Telekomunikāciju līdzekļu likums) (turpmāk tekstā – “TMG”) 2. panta 1. punktā ir noteikts: “Šajā likumā: 1) pakalpojumu sniedzējs ir jebkura fiziska vai juridiska persona, kas nodod lietošanai savus vai svešus telekomunikāciju līdzekļus vai nodrošina piekļuvi to lietošanai; [..]” |
|
13. |
TMG 12. panta 1. punktā ir noteikts, ka “telekomunikāciju līdzekļu pieejamības nodrošināšanas nolūkā pakalpojumu sniedzējs drīkst iegūt un izmantot personas datus tikai tiktāl, ciktāl to atļauj šis likums vai cita tiesību norma, kas tieši attiecas uz telekomunikāciju līdzekļiem, vai ja lietotājs ir devis savu piekrišanu”. |
|
14. |
TMG 13. panta 1. punktā ir noteikts: “Pakalpojumu sniedzējam pirms lietošanas uzsākšanas vispārēji saprotamā veidā ir jāinformē lietotājs par personas datu iegūšanas un izmantošanas veidu, apjomu un mērķiem, kā arī par viņa datu apstrādi valstīs, kurās [Direktīva 95/46] nav piemērojama, ja vien šāda informēšana nav veikta jau agrāk. Automatizētā procedūrā, kas ļauj vēlāk identificēt lietotāju un ar kuru sagatavo personas datu iegūšanu vai izmantošanu, lietotājs ir jāinformē šīs procedūras sākumā. Šīs informācijas saturam ir jābūt lietotājam pieejamam jebkurā laikā.” |
|
15. |
Saskaņā ar TMG 15. panta 1. punktu: “Lietotāja personas datus pakalpojumu sniedzējs drīkst iegūt un izmantot tikai tik lielā mērā, cik tas ir vajadzīgs, lai padarītu iespējamu telekomunikāciju līdzekļu lietošanu un norēķinus par to (lietošanas dati). Lietošanas dati it īpaši ir:
|
III. Fakti, tiesvedība un uzdotie jautājumi
|
16. |
Fashion ID (turpmāk tekstā – “atbildētāja”) ir tiešsaistes vairumtirgotāja. Tā savā tīmekļa vietā pārdod modes preces. Atbildētāja savā tīmekļvietnē ir iestrādājusi Facebook Ireland Limited (turpmāk tekstā – “Facebook Ireland”) nodrošināto spraudni “Patīk” ( 4 ). Tā rezultātā atbildētājas tīmekļvietnē parādās tā sauktā Facebook poga “Patīk”. |
|
17. |
Lūgumā sniegt prejudiciālu nolēmumu sīkāk ir paskaidrots, kā darbojas spraudņa (neredzamā) daļa, – kad apmeklētājs ienāk atbildētājas tīmekļvietnē, kurā ir izvietota Facebook poga “Patīk”, viņa pārlūkprogramma automātiski pārsūta informāciju par viņa IP adresi un pārlūkprogrammas virkni (browser string) Facebook Ireland. Šīs informācijas pārsūtīšana notiek bez nepieciešamības faktiski nospiest Facebook pogu “Patīk”. Šķiet arī, ka no lūguma sniegt prejudiciālu nolēmumu izriet, ka tad, kad tiek apmeklēta atbildētājas tīmekļvietne, Facebook Ireland lietotāja iekārtā izvieto dažādas sīkdatnes (sesijas sīkdatni, datr sīkdatni un fr sīkdatni). |
|
18. |
Patērētāju tiesību aizsardzības apvienība Verbraucherzentrale NRW (turpmāk tekstā – “prasītāja”) cēla prasību pret atbildētāju Landgericht (Apgabaltiesa, Vācija). Prasītāja lūdza izdot rīkojumu atbildētājai izbeigt integrēt Facebook sociālo spraudni “Patīk”, pamatojoties uz to, ka atbildētāja neesot:
|
|
19. |
Prasītāja apgalvo, ka Facebook Inc. vai Facebook Ireland saglabā pārsūtīto IP adresi un pārlūkprogrammas virkni (browser string) un sasaista to ar konkrētu lietotāju (dalībnieku vai citu personu). Atbildētāja atbildot norāda, ka par to neko nezina. Facebook Ireland apgalvo, ka IP adrese tiek pārveidota par vispārīgu IP adresi un tiek saglabāta tikai šādā veidā un ka IP adreses un pārlūkprogrammas virknes (browser string) piesaiste lietotāju kontiem nenotiekot. |
|
20. |
Landgericht (Apgabaltiesa) spriedums attiecībā uz pirmajiem trim prasības pamatiem atbildētājai bija nelabvēlīgs. Atbildētāja iesniedza apelācijas sūdzību. Prasītāja iesniedza pretapelācijas sūdzību attiecībā uz ceturto prasības pamatu. |
|
21. |
Šādos faktiskajos un tiesiskajos apstākļos Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa) nolēma uzdot Tiesai šādus prejudiciālus jautājumus:
Ja atbilde uz pirmo prejudiciālo jautājumu ir noliedzoša:
|
|
22. |
Rakstveida apsvērumus ir iesniegusi prasītāja, atbildētāja, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Ziemeļreinas Vestfālenes federālās zemes pilnvarnieks datu aizsardzības un informācijas brīvības jautājumos, Vācija; turpmāk tekstā – “LDI NW”), Beļģijas, Vācijas, Itālijas, Austrijas un Polijas valdības, kā arī Komisija. Tiesas sēdē, kas notika 2018. gada 6. septembrī, mutvārdu apsvērumus sniedza prasītāja, atbildētāja, Facebook Ireland, LDI NW, Beļģija, Vācija, Austrija un Komisija. |
IV. Vērtējums
|
23. |
Šajos secinājumos pirmkārt secināšu, ka Direktīvai 95/46 nav pretrunā valsts tiesiskais regulējums, kurā tādai apvienībai kā pieteicēja, kura nodarbojas ar patērētāju tiesību aizsardzību, ir piešķirtas tiesības uzsākt tiesvedību pret datu aizsardzības tiesību aktu iespējamo pārkāpēju (A). Otrkārt, uzskatu arī, ka atbildētāja kopā ar Facebook Ireland ir kopīgs pārzinis, tomēr tās atbildība aprobežojas ar konkrētu datu apstrādes posmu (B). Treškārt, uzskatu, ka Direktīvas 95/46 7. panta f) punktā paredzētajā izsvēršanā ir jāņem vērā ne tikai atbildētājas, bet arī Facebook Ireland leģitīmās intereses (kā arī, protams, datu subjektu tiesības) (C). Ceturtkārt, atbildētājai ir jāsaņem datu subjekta apzināta piekrišana attiecībā uz konkrētu datu apstrādes posmu. Atbildētājai ir arī pienākums sniegt informāciju datu subjektam (D). |
A. Valsts tiesiskais regulējums, kurā tiesības ir piešķirtas apvienībām, kuras nodarbojas ar patērētāju tiesību aizsardzību
|
24. |
Uzdodot pirmo prejudiciālo jautājumu, iesniedzējtiesa būtībā jautā, vai Direktīvai 95/46 ir pretrunā valsts tiesību norma, kurā patērētāju interešu aizsardzības apvienībām ir ļauts uzsākt tiesvedību pret personu, kura, iespējams, pārkāpj datu aizsardzības tiesību normas. Šajā ziņā iesniedzējtiesa atsaucas konkrēti uz Direktīvas 95/46 22.–24. pantu. Tā norāda, ka konkrētais valsts tiesiskais regulējums varētu tikt uzskatīts par “atbilstošu pasākumu” saskaņā ar 24. pantu. Turklāt tā uzsver, ka Direktīvu 95/46 aizstājušās Regulas (ES) 2016/679 (turpmāk tekstā – “VDAR”) ( 5 ) 80. panta 2. punktā apvienībām tagad ir skaidri piešķirtas šādas tiesības ( 6 ). |
|
25. |
Atbildētāja un Facebook Ireland apgalvo, ka Direktīvā 95/46 šādām apvienībām nav ļauts tā rīkoties, jo šāda rīcība nav skaidri paredzēta, taču Direktīvas 95/46 mērķis, viņuprāt, ir pilnīga saskaņošana. Atbildētāja uzskata, ka, ļaujot šādi rīkoties, tiktu apdraudēta uzraudzības iestāžu neatkarība sabiedrības spiediena dēļ, ar kuru šīs iestādes varētu saskarties. |
|
26. |
Prasītāja, LDI NW un visas šajā lietā iestājušās valdības ir vienisprātis, ka attiecīgais tiesiskais regulējums nav pretrunā Direktīvai 95/46. |
|
27. |
Šim viedoklim piekrītu ( 7 ). |
|
28. |
Uzskatu, ka vispirms ir svarīgi atgādināt LESD 288. panta trešajā daļā (pēc noklusējuma) ietverto konstitucionālo kārtību, ka “direktīvas tām dalībvalstīm, kurām tās adresētas, uzliek saistības attiecībā uz sasniedzamo rezultātu, bet ļauj šo valstu iestādēm noteikt [tās] īstenošanas formas un metodes”, kas vislabāk nodrošina rezultātu, kurš jāsasniedz ar šīm direktīvām ( 8 ). |
|
29. |
No tā izriet, ka, lai izpildītu direktīvā noteiktos pienākumus, dalībvalstis var brīvi īstenot pasākumus, kādus tās uzskata par atbilstīgiem, ja vien šie pasākumi nav nepārprotami izslēgti pašā direktīvā vai nav pretrunā šīs direktīvas mērķiem. |
|
30. |
Direktīvas 95/46 tekstā nav nepārprotami izslēgta iespēja valsts tiesiskajā regulējumā paredzēt tiesības apvienībām, kas nodarbojas ar patērētāju tiesību aizsardzību. |
|
31. |
Raugoties uz Direktīvas 95/46 mērķiem, to vidū ir “nodrošināt fizisko personu pamattiesību un brīvību aizsardzību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi” ( 9 ). Turklāt saskaņā ar Direktīvas 95/46 10. apsvērumu “attiecīgajā jomā piemērojamo valstu tiesību aktu tuvināšana nedrīkst vājināt to sniegto aizsardzību, bet tai, tieši pretēji, jācenšas nodrošināt Kopienā augstu aizsardzības līmeni” ( 10 ). |
|
32. |
No lūguma sniegt prejudiciālu nolēmumu var noprast, ka Vācija ir devusi iespēju tādām apvienībām kā prasītāja apstrīdēt to, ko šīs apvienības uzskata par nelikumīgu komercpraksi vai praksi, ar kuru tiek pārkāpti patērētāju aizsardzības tiesību akti, tostarp datu aizsardzības tiesiskais regulējums. |
|
33. |
Šajā nozīmē nesaskatu, kā šādu tiesību piešķiršana varētu jebkādi būt pretrunā Direktīvas 95/46 mērķiem vai vājināt centienus šos mērķus sasniegt. Katrā ziņā tiesību došana šāda veida apvienībai, šķiet, drīzāk veicina minēto mērķu sasniegšanu un direktīvas īstenošanu, faktiski palīdzot stiprināt datu subjektu tiesības ar kolektīvās tiesiskās aizsardzības līdzekļu palīdzību ( 11 ). |
|
34. |
Es uzskatu, ka tādējādi dalībvalstīm, ja dalībvalstis tā vēlas, nav liegts noteikt šādu normu par tiesību došanu apvienībām, piemēram, tādu tiesību, kas ļauj prasītājai celt prasību par pamatlietā izskatāmo jautājumu. |
|
35. |
Ņemot vērā šo atbildi, uzskatu par gaužām neauglīgu šīs tiesvedības gaitā norisošo diskusiju par to, vai uz attiecīgo valsts tiesisko regulējumu kā zināma veida “atbilstošo pasākumu” būtu jāattiecina konkrēti Direktīvas 95/46 24. pants vai arī 22. pants. Ja ir paredzēts, ka dalībvalstis var ieviest direktīvu ar jebkādiem līdzekļiem, ko tās uzskata par piemērotiem, un šo konkrēto ieviešanas veidu neliedz ne direktīvas teksts, ne tās mērķi, tad konkrētajam direktīvas pantam, saskaņā ar kuru konkrēts valsts pasākums var tikt iekļauts konkrētā kategorijā, ir sekundāra nozīme ( 12 ). Lai kā arī nebūtu, “atbilstošus pasākumus, lai nodrošinātu šīs direktīvas noteikumu ieviešanu pilnībā” saskaņā ar 24. pantu, protams, varētu interpretēt kā tādus, kas ietver tādu valsts tiesisko regulējumu kā šajā lietā aplūkotais. |
|
36. |
Nedomāju, ka šo vispārīgo secinājumu jebkādi liek apšaubīt šajā tiesvedībā apspriestie turpmāk minētie apsvērumi. |
|
37. |
Pirmkārt, Direktīva 95/46 patiešām nav ietverta Direktīvas 2009/22 I pielikumā esošajā sarakstā. Pēdējā minētajā direktīvā ir ietvertas tiesību normas par aizliegumiem, par kuriem, lai uzlabotu patērētāju kolektīvo interešu aizsardzību, prasības var celt tā dēvētās “tiesīgās iestādes” ( 13 ). I pielikuma sarakstā ir ietvertas vairākas direktīvas, bet Direktīvas 95/46 to vidū nav. |
|
38. |
Neraugoties uz to, šo Direktīvas 2009/22 I pielikumu – kā apgalvo Vācijas valdība – nevar uzskatīt par izsmeļošu tādā nozīmē, ka tas nepieļautu valstu tiesisko regulējumu, paredzot aizliegumus attiecībā uz tādu normu ievērošanu, kas ietvertas direktīvās, kuras nav uzskaitītas Direktīvas 2009/22 I pielikumā. A fortiori būtu diezgan pārsteidzoši, ja šāds informatīvs saraksts, kas ietverts sekundārā tiesību aktā, pēkšņi tiktu interpretēts kā tāds, ar kuru dalībvalstīm ir liegtas Līgumā paredzētās tiesības izvēlēties, kā īstenot direktīvu. |
|
39. |
Otrkārt, pievērsīšos atbildētājas un Facebook Ireland argumentam par to, ka ar Direktīvu 95/46 esot veikta pilnīga saskaņošana, kas, viņuprāt, izslēdzot jebkādu skaidri neparedzētu darbību. |
|
40. |
Tiesa patiešām ir konsekventi norādījusi, ka no Direktīvas 95/46 izrietošā saskaņošana nav tikai minimāla, bet gan tāda, kas “principā ir pilnīga” ( 14 ). Tajā pašā laikā ir arī atzīts, ka tā pati direktīva “atzīst dalībvalstīm rīcības brīvību noteiktās jomās”, ja tiek nodrošināta Direktīvas 95/46 normu ievērošana ( 15 ). |
|
41. |
Kā esmu secinājis kādā citā lietā ( 16 ), jautājums par to, vai Savienības tiesību līmenī pastāv “pilnīga saskaņošana” (tādu likumdošanas priekšnoteikumu nozīmē, kas nepieļauj nekādu dalībvalstu veiktu likumdošanas darbību), nevar tikt uzdots vispārīgi attiecībā uz visu tiesību jomu vai direktīvas priekšmetu. Šī pārbaude ir jāveic drīzāk attiecībā uz konkrētās direktīvas katru atsevišķo noteikumu (konkrētu normu vai īpašu aspektu). |
|
42. |
Runājot par konkrētām Direktīvas 95/46 “procesuālajām” normām, kas tiek aplūkotas šajā lietā, proti 22.–24. pantu, tās ir formulētas ļoti vispārīgi ( 17 ). Ņemot vērā šo normu vispārīguma un abstrakcijas pakāpi, tik tiešām būtu visnotaļ pārsteidzoši apgalvot, ka tās rada likumiskas izslēgšanas sekas, izslēdzot jebkādus pasākumus, kurus dalībvalstis var veikt, bet kas šajos pantos nav konkrēti minēti ( 18 ). |
|
43. |
Treškārt, vēl viens atbildētājas izvirzītais arguments attiecās uz uzraudzības iestāžu neatkarības apdraudējumu ( 19 ). Tā būtībā apgalvoja, ka, ja patērētāju apvienībām būtu attiecīgās prasības celšanas tiesības, šīs apvienības celtu prasības līdztekus uzraudzības iestādēm un/vai to vietā un tas savukārt radītu sabiedrības spiedienu un uzraudzības iestāžu neobjektivitāti un galu galā būtu pretrunā direktīvas 28. panta 1. punktā minētajai prasībai par uzraudzības iestāžu pilnīgu neatkarību. |
|
44. |
Šim argumentam nav nozīmes. Pieņemot, ka šāda uzraudzības iestāde vispār ir patiesi neatkarīga ( 20 ), es – tāpat kā Vācijas valdība – nesaprotu, kā tāda prasība kā pamatlietā celtā varētu apdraudēt tās neatkarību. Apvienība nevar īstenot tiesību normu, padarot savu viedokli saistošu uzraudzības iestādēm. Tā ir tiesu ekskluzīva kompetence. Patērētāju apvienība šādi vienīgi var celt prasību tāpat kā jebkurš individuāls patērētājs. Tāpēc apgalvojums, ka jebkura un ikviena (privāta) prasība, ko cēlusi privātpersona vai patērētāju apvienība, radītu spiedienu uz struktūrām, kuru pienākumos ietilpst (publiska) tiesību izpilde, un tādējādi tām nevar tikt atļauts pastāvēt līdztekus publiski tiesiskās izpildes sistēmai, faktiski ir tik savdabīgs, ka nav īpašas vajadzības šo argumentu iztirzāt sīkāk ( 21 ). |
|
45. |
Visbeidzot – ceturtkārt, pievērsīšos argumentam, ka VDAR 80. panta 2. punkts ir jāsaprot kā tāds, ar ko ir grozīta (un atcelta) iepriekšējā situācija, atļaujot kaut ko tādu (proti, prasības celšanas tiesības apvienībām), kas nebija atļauts agrāk. |
|
46. |
Šis arguments nav pārliecinošs. |
|
47. |
Ir svarīgi atgādināt, ka līdz ar Direktīvu 95/46 aizstājošo VDAR noteikumus ietverošā tiesību akta veids mainījās no direktīvas uz regulu. Šī pārmaiņa nozīmē arī to, ka atšķirībā no direktīvas – kuras gadījumā dalībvalstis var brīvi izvēlēties, kā īstenot minētā tiesību akta saturu – valstu tiesību normas, ar kurām īsteno regulu, principā var tikt pieņemtas tikai tad, ja tās ir skaidri atļautas. |
|
48. |
Raugoties no šāda viedokļa, ir apšaubāms arguments, ka konkrētā norma par apvienību prasības celšanas tiesībām, kas tagad ir ietverta VDAR, nozīmē, ka Direktīvā 95/46 šīs tiesības bija izslēgtas. Ja no šāda pretnostatījuma ( 22 ) būtu kas izsecināms, tas drīzāk būtu secinājums par gluži pretējo, – ja normu noteikšana šādu prasības celšanas tiesību atļaušanai nav izslēgta minētajā direktīvā (pamatojoties uz manis iepriekš izklāstītajiem argumentiem), tad tiesību akta veida maiņa no direktīvas uz regulu attaisnotu šādas normas iekļaušanu, lai skaidri norādītu, ka šāda iespēja patiešām pastāv. |
|
49. |
Tāpēc, ņemot vērā iepriekš minētos apsvērumus, mans pirmais starpsecinājums ir tāds, ka Direktīvai 95/46 nav pretrunā tāds valsts tiesiskais regulējums, ar kuru sabiedriskā labuma apvienībām, lai aizsargātu patērētāju intereses, ir piešķirtas tiesības celt prasību pret datu aizsardzības tiesību aktu iespējamo pārkāpēju. |
B. Vai Fashion ID ir datu pārzinis?
|
50. |
Uzdodot otro prejudiciālo jautājumu, iesniedzējtiesa vēlas noskaidrot, vai tāpēc, ka atbildētāja savā tīmekļvietnē ir iestrādājusi spraudni, kas liek lietotāja pārlūkprogrammai pieprasīt saturu no trešās personas un pārsūta personas datus šai trešai personai, ir jāuzskata par “[pārzini]” Direktīvas 95/46 2. panta d) punkta izpratnē, pat ja atbildētāja nevar ietekmēt datu apstrādes gaitu. |
|
51. |
Nepietiekamās spējas ietekmēt datu apstrādes procesu dēļ, kā to savā prejudiciālajā jautājumā ir norādījusi iesniedzējtiesa, saprotu, ka šīs lietas situācijā tas neattiecas uz šo datu pārsūtīšanas procesa izraisīšanu (un faktiski atbildētājai acīmredzami ir ietekme, jo tā ir iestrādājusi attiecīgo spraudni). Tas, šķiet, drīzāk attiecas uz datu iespējamo turpmāko apstrādi, ko veic Facebook Ireland. |
|
52. |
Kā norāda iesniedzējtiesa, atbildei uz tās otro prejudiciālo jautājumu būs tālejošas sekas, kas krietni vien pārsniegs šīs lietas un Facebook Ireland izmantotā sociālā tīkla ietvarus. Daudzās tīmekļvietnēs ir iegults dažnedažāds trešo personu saturs. Ja tāda persona kā atbildētāja būtu uzskatāma par “pārzini”, kas ir (kopīgi) atbildīgs par jebkādu ar savāktajiem datiem (turpmāk) veikto apstrādi tāpēc, ka šīs tīmekļvietnes pārvaldītājs ir iestrādājis trešās personas saturu, kas ļauj pārsūtīt šādus datus, tad šādam konstatējumam patiešām būtu tālejoša ietekme uz veidu, kādā tiek pārvaldīts trešās personas saturs. |
|
53. |
Šīs lietas loģiskajā struktūrā otrais prejudiciālais jautājums ir arī galvenais jautājums par pašu lietas būtību, – kurš un par ko tieši ir atbildīgs gadījumos, kad tīmekļvietnē ir integrēts trešās personas saturs? Turklāt arī (ne)precizitāte, atbildot uz šo jautājumu, ietekmēs atbildes uz nākamajiem jautājumiem par leģitīmajām interesēm, piekrišanu un pienākumu informēt. |
|
54. |
Šajā sadaļā vispirms izteikšu dažas ievada piezīmes par šajā lietā relevanto jēdzienu “personas dati” (1). Pēc tam iepazīstināšu ar nesenāko Tiesas judikatūru, iesakot, kā varētu atbildēt uz otro prejudiciālo jautājumu, ja, sīkāk neiztaujājot, tiktu ievērota Tiesas līdzšinējā judikatūra (2). Turpinājumā izskaidrošu, kāpēc, iespējams, būtu jātaujā sīkāk un aplūkojamās lietas kontekstā būtu jāveic dziļāka analīze (3). Noslēgumā (kopīgas) apstrādes jēdziena definēšanas nolūkā uzsvēršu, cik svarīga ir “nolūku un līdzekļu” vienotība, kas attiecībā uz minēto personas datu apstrādes (datu apstrādes procesa) attiecīgo posmu būtu jānodrošina (kopīgajiem) pārziņiem (4). |
1. Personas dati aplūkojamajā lietā
|
55. |
Jāatgādina, ka jēdziens “personas dati” Direktīvas 95/46 2. panta a) punktā ir definēts kā “jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu (“datu subjektu”)”. Turklāt tās pašas direktīvas 26. apsvērumā šajā sakarā ir paskaidrots, ka, “lai noteiktu, vai persona ir identificējama, būtu jāņem vērā visi līdzekļi, kurus, iespējams, pamatoti izmantotu vai nu [pārzinis], vai jebkura cita persona, lai identificētu minēto personu”. |
|
56. |
Tiesa jau ir paskaidrojusi, ka noteiktos apstākļos IP adrese var būt personas dati ( 23 ). Tiesa turklāt šajā sakarā ir norādījusi, ka, lai būtu “identificējama persona” Direktīvas 95/46 2. panta a) punkta izpratnē, “nav vajadzīgs, lai šī informācija pati par sevi ļautu identificēt attiecīgo personu”, un ka tādējādi var būt vajadzīgi papildu dati. Tā arī norādīja, ka “netiek prasīts, lai visa informācija, kas ļauj identificēt attiecīgo personu, atrastos tikai vienas personas rīcībā”, ciktāl iespēja apvienot attiecīgos datus “ir līdzeklis, kas saprātīgi var tikt izmantots, lai identificētu attiecīgo personu” ( 24 ). |
|
57. |
Iesniedzējtiesa neapspriež, vai IP adrese viena pati vai kombinācijā ar vienlīdz pārsūtīto pārlūkprogrammas virkni (browser string) – ir personas dati minēto kritēriju izpratnē. Facebook Ireland, šķiet, apstrīd šo kvalifikāciju ( 25 ). |
|
58. |
Skaidrs, ka šis vērtējums ir jāveic valsts tiesai. Kopumā, ņemot vērā jebkādus spraudņus, kas var tikt iestrādāti, vai jebkādu citu trešo personu saturu, lai informācija varētu tikt klasificēta kā personiska, ir nepieciešams, lai šie dati ļautu (tieši vai netieši) identificēt datu subjektu. Šīs lietas vajadzībām pieņemšu – kā izriet no iesniedzējtiesas uzdotajiem prejudiciālajiem jautājumiem –, ka pamatlietas apstākļos IP adrese un pārlūkprogrammas virkne (browser string) patiešām ir personas dati un atbilst Tiesas precizētajiem Direktīvas 95/46 2. panta a) punkta kritērijiem. |
2. Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?
|
59. |
Attiecībā uz atbildi uz otro prejudiciālo jautājumu atbildētāja un Facebook Ireland apgalvo, ka atbildētāja neesot uzskatāma par pārzini, jo tā neietekmē apstrādājamos personas datus. Tādējādi par tādu varot tikt uzskatīta tikai Facebook Ireland. Pakārtoti Facebook Ireland argumentē, ka atbildētāja kopā ar to rīkojoties kā kopīgs pārzinis, tomēr tādas personas kā atbildētāja atbildība aprobežojoties ar tās faktisko ietekmes sfēru. |
|
60. |
Prasītāja, LDI NW un visas šajā lietā iestājušas valdības, kā arī Komisija būtībā ir vienisprātis, ka jēdzienam “[pārzinis]” ir plaša nozīme un ka tas ietver arī atbildētāju. Tomēr to viedokļi par precīzu atbildētājas atbildības apjomu ievērojami atšķiras. Domstarpības ir jautājumā, vai atbildētāja būtu (vai nebūtu) saucama pie atbildības kopīgi ar Facebook Ireland, vai to kopatbildība būtu vai nebūtu jāaprobežo tikai ar to personas datu apstrādes posmu, kurā atbildētāja ir faktiski iesaistīta, un vai šajā situācijā būtu jānošķir tie atbildētājas tīmekļvietnes apmeklētāji, kam ir Facebook konts, un tie, kam tā nav. |
|
61. |
Sāksim ar to, ka ir skaidrs, ka Direktīvas 95/46 2. panta d) punktā jēdziens “[pārzinis]” attiecas uz personu, kura “viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus” ( 26 ). Tādējādi pārziņa jēdziens var attiekties uz vairākiem darītājiem, kas piedalās personas datu apstrādē ( 27 ), un tas būtu jāinterpretē plaši ( 28 ). |
|
62. |
Kopīgas personas datu apstrādes jautājumam Tiesa nesen bija pievērsusies spriedumā lietā Wirtschaftsakademie Schleswig-Holstein ( 29 ). Jautājumā par Facebook fanu lapas pārvaldnieka lomu Tiesa secināja, ka tas kopīgi ar Facebook Ireland rīkojās kā pārzinis Direktīvas 95/46 2. panta d) punkta izpratnē. Tas tā bija tāpēc, ka šis pārvaldnieks kopīgi ar Facebook Ireland piedalījās fanu lapas apmeklētāju personas datu apstrādes nolūku un līdzekļu noteikšanā ( 30 ). |
|
63. |
Konkrētāk, Tiesa norādīja, ka, izveidojot konkrēto fanu lapu, tās pārvaldnieks deva Facebook Ireland“iespēju ievietot sīkdatnes tā fanu lapu apmeklējušo personu datoros vai citās ierīcēs” ( 31 ). Tiesa norādīja, ka, “lai varētu Facebook tīklā izveidot fanu lapu, ir vajadzīgs, lai tās pārvaldnieks iestatītu tostarp gan savai mērķauditorijai, gan savas darbības vadības vai reklamēšanas mērķiem atbilstošus parametrus, un šī iestatīšana ietekmē personas datu apstrādi nolūkā gūt no fanu lapas apmeklējumiem izrietošo statistiku” ( 32 ). Konkrētā apstrāde ļāva Facebook Ireland“pilnveidot savu sistēmu reklāmas izplatīšanai”, vienlaikus ļaujot pārvaldniekam ar anonimizētas statistikas palīdzību labāk organizēt savas darbības popularizēšanu ( 33 ). |
|
64. |
Tiesa secināja, ka, “iestatot parametrus”, konkrētais pārvaldnieks piedalījās fanu lapas apmeklētāju personas datu apstrādes nolūku un līdzekļu noteikšanā. Tāpēc tas kopīgi ar Facebook Ireland bija jāuzskata par pārzini (ar “vēl lielāku” atbildību par Facebook Ireland nelietotāju personas datiem) ( 34 ). |
|
65. |
Lietā Jehovan todistajat Tiesa minēja vēl vienu svarīgu precizējumu attiecībā uz kopīga pārziņa jēdzienu, – kopīga pārzināšana un kopatbildība var būt arī tad, ja (visi) attiecīgie personas dati nav pieejami katram pārzinim. Tādējādi reliģiska kopiena varēja būt personas datu kopīgs pārzinis arī gadījumos, kad tai pašai acīmredzami nebija piekļuves konkrētajiem savāktajiem datiem. Šajā gadījumā personas dati faktiski bija atsevišķu Jehovas liecinieku kopienas locekļu rīcībā. Pietika ar to, ka šī kopiena organizēja, koordinēja un veicināja sludināšanu, kuras gaitā personas dati tika acīmredzami vākti ( 35 ). |
|
66. |
Aplūkojot abstraktāk un koncentrējoties tikai uz kopīgas pārzināšanas jēdzienu, esmu spiests piekrist, ka, ņemot vērā šādu neseno Tiesas judikatūru, ir jāsecina, ka atbildētāja rīkojas kā pārzinis un kopā ar Facebook Ireland ir atbildīga par datu apstrādi ( 36 ). |
|
67. |
Pirmkārt, šķiet, ka atbildētāja ļāva Facebook Ireland ar attiecīgā spraudņa palīdzību iegūt atbildētājas tīmekļvietnes lietotāju personas datus. |
|
68. |
Otrkārt, patiešām nešķiet, ka atbildētāja – atšķirībā no lietā Wirtschaftsakademie Schleswig-Holstein esošā pārvaldnieka – būtu iestatījusi kādus parametrus informācijai par savas tīmekļvietnes lietotājiem, kas tai varētu tikt atpakaļnodota anonimizēti vai citādi. Kārotais “ieguvums” šķiet esam atbildētājas produktu bezmaksas reklāma, kas parādoties, kad tās tīmekļvietnes lietotājs nolemj nospiest Facebook pogu “Patīk”, lai savā Facebook kontā dalītos ar savu viedokli par, piemēram, melnu kokteiļkleitu. Tādējādi, ja vien iesniedzējtiesa nekonstatē citādi, spraudņa izmantošana ļauj atbildētājai optimizēt savu produktu reklāmu, padarot tos redzamus Facebook. |
|
69. |
Savukārt, raugoties no cita skatupunkta, varētu teikt, ka atbildētāja piedalās savācamo datu parametru iestatīšanā vienkārši tādēļ, ka tā ir iestrādājusi attiecīgo spraudni savā tīmekļvietnē. Savācamo personas datu parametrus nodrošina pats spraudnis. Tādējādi, brīvprātīgi iestrādājot šo rīku savā tīmekļvietnē, atbildētāja ir iestatījusi šos parametrus attiecībā uz ikvienu savas tīmekļvietnes apmeklētāju. |
|
70. |
Treškārt, ņemot vērā Jehovan todistajat spriedumu, par kopīgu pārzini kāds tik un tā var tikt uzskatīts arī tad, ja tam pat nav piekļuves “kopdarba augļiem”. Tādējādi tam, ka atbildētājai nav piekļuves uz Facebook novirzītajiem datiem vai ka tā acīmredzami nesaņem atpakaļ nekādus īpaši pielāgotus vai apkopotus statistikas datus, nav izšķirīgas nozīmes. |
3. Problēmas – kurš tādā gadījumā nav kopīgs pārzinis?
|
71. |
Vai aizsardzība kļūs efektīvāka, ja ikviens tiks padarīts par atbildīgu par tās nodrošināšanu? |
|
72. |
Šī, īsumā sakot, ir dziļākā morālā un praktiskā dilemma, kas tiek izgaismota šajā lietā un kuru juridiski iemieso (kopīga) pārziņa definīcija. Pašsaprotami vēloties nodrošināt personas datu efektīvu aizsardzību, nesenā Tiesas judikatūra ir bijusi gaužām iekļaujoša ikreiz, kad tā vai citādi nācies definēt (kopīga) pārziņa jēdzienu. Taču līdz šim Tiesai nav nācies risināt jautājumu par to, kā šāda plašā definēšana praktiski turpmāk ietekmē par kopīgiem pārziņiem kvalificēto personu konkrētos pienākumus un specifisko atbildību. Tā kā šajā lietā tieši rodas šāda iespēja, ierosinu to izmantot, lai panāktu (kopīga) pārziņa jēdziena definīcijās vajadzīgo precizitāti. |
a) Par pienākumiem un atbildību
|
73. |
Kritiski aplūkojot piemērojamo testu “kopīga pārziņa” identificēšanai, šķiet, ka izšķirošais kritērijs lietās Wirtschaftsakademie Schleswig-Holstein un Jehovan todistajat ir tas, ka attiecīgā persona “ir padarījusi iespējamu” personas datu savākšanu un pārsūtīšanu, iespējams, papildus šāda kopīgā pārziņa līdzdalībai parametru iestatīšanā (vai vismaz tad, ja par tiem tiek klusuciešot izteikts apstiprinājums) ( 37 ). Ja tas tā patiešām ir, tad – neraugoties uz spriedumā Wirtschaftsakademie Schleswig-Holstein ( 38 ) šajā ziņā skaidri pausto vēlmi to tieši izslēgt – ir grūti iedomāties, kāpēc par kopīgajiem pārziņiem nevarētu kļūt arī kādas tiešsaistē (strādājošas) lietotnes, piemēram, sociālā tīkla, citas interaktīvas platformas vai kādas citas programmas ( 39 ), parastie lietotāji. Lietotājs parasti izveido savu kontu, norādot pārvaldniekam parametrus par to, kā viņa konts ir jāstrukturē, kādu informāciju, par ko un no kā viņš vēlas saņemt. Viņš arī aicinās savus draugus, kolēģus un citus cilvēkus lietotnē dalīties informācijā, kas ir (bieži vien visnotaļ sensitīvu) personas datu formā, tādējādi ne tikai sniedzot datus par šīm personām, bet arī aicinot šīs personas pašām iesaistīties, tādējādi skaidri līdzdarbojoties minēto personu personas datu iegūšanā un apstrādē. |
|
74. |
Turklāt, kā tad ir ar pārējiem “personas datu ķēdes” posmiem? Aizejot galējībās, varētu prātot, vai – gadījumā, ja tiktu pieņemts, ka vienīgais kritērijs, pēc kura konstatējama kopīga pārzināšana, būtu apstrādes padarīšana par iespējamu, tādējādi faktiski līdzdarbojoties šajā apstrādē jebkurā posmā, – par kopīgiem pārziņiem, kas, iespējams, ir kopīgi atbildīgi par personas datu apstrādi, nekļūtu arī interneta piekļuves nodrošinātājs, kas datu apstrādi padara iespējamu, nodrošinādams piekļuvi internetam, vai pat elektroenerģijas piegādātājs? |
|
75. |
Intuitīva atbilde, protams, ir “nē”. Problēma ir tāda, ka līdz šim atbildības noteikšana neizriet no pārziņa plašās definīcijas. Pārlieku plaša definīcija draudētu padarīt par personas datu apstrādi atbildīgām daudzas personas. |
|
76. |
Taču – atšķirībā no iepriekšējā sadaļā aplūkotajām lietām – šajā lietā iesniedzējtiesas uzdotie prejudiciālie jautājumi neaprobežojas ar to, kā definēt jēdzienu “pārzinis”. Tajos ir ietverta un turpināta saistīto jautājumu izpēte attiecībā uz faktisko Direktīvā 95/46 uzlikto pienākumu sadalījumu. Pašos šajos jautājumos iezīmējas problēmas, ko rada pārlieku plaša pārziņa definīcija, it īpaši ņemot vērā, ka nav precīzi noteikts, kādi tieši ir pārziņu konkrētie pienākumi un atbildība saskaņā ar Direktīvu 95/46. To uzskatāmi parāda lietā ieinteresēto personu apsvērumi 5. un 6. jautājumā par konkrēto atbildības sadalījumu saskaņā ar direktīvu. |
|
77. |
Piektajā prejudiciālajā jautājumā pēc būtības tiek jautāts, kuram ir jāiegūst datu subjekta piekrišana un kādam mērķim tas darāms. Uz to tiek ierosināts atbildēt gaužām atšķirīgi. |
|
78. |
Prasītājas un LDI NW viedoklis ir tāds, ka pienākums iegūt datu subjekta apzinātu piekrišanu ir attiecīgo spraudni iestrādāt nolēmušajai atbildētājai. Pēc prasītājas domām, tas ir vēl svarīgāk attiecībā uz Facebook nelietotājiem, kas nav piekrituši Facebook vispārīgajiem noteikumiem un nosacījumiem. Atbildētājas nostāja ir tāda, ka piekrišana ir jāiegūst iestrādāto saturu nodrošinošajai trešajai personai, proti, Facebook Ireland. Savukārt Facebook Ireland uzskata, ka piekrišana nav jādod konkrētam adresātam, jo Direktīvā 95/46 ir noteikts tikai, ka piekrišanai ir jābūt dotai brīvprātīgi, konkrēti un apzināti. |
|
79. |
Austrija, Vācija un Polija uzskata, ka piekrišana ir jādod pirms personas datu apstrādes, bet, pēc Austrijas domām, tai ir jāattiecas gan uz datu vākšanu, gan iespējamo pārsūtīšanu. Polija uzsver, ka piekrišana ir jāsaņem atbildētājai. Vācija uzskata, ka tā ir jāsaņem atbildētājai vai iestrādāto saturu nodrošinošajai trešajai personai (Facebook Ireland), jo tās abas ir kopīgi atbildīgas par personas datu apstrādi. Atbildētājai esot jāsaņem piekrišana tikai personas datu pārsūtīšanai trešajai personai, jo attiecībā uz visu pārējo savākto datu apstrādi tā vairs nav pārzinis. Tas, protams, neizslēdz iespēju, ka tīmekļvietnes pārvaldītājs saņem piekrišanu attiecībā uz trešās personas veiktu personas datu apstrādi, ko var regulēt ar abu starpā noslēgtu vienošanos. Itālija apgalvo, ka piekrišana ir jāsaņem visiem, kas piedalās personas datu apstrādē, proti, atbildētājai un Facebook Ireland. Beļģija un Komisija norāda, ka Direktīvā 95/46 nav precizēts, kuram piekrišana ir jāsaņem. |
|
80. |
Līdzīga uzskatu dažādība pastāv arī sestajā iesniedzējtiesas uzdotajā prejudiciālajā jautājumā vaicātajam, – kuram un par ko tieši ir pienākums informēt saskaņā ar Direktīvas 95/46 10. pantu. |
|
81. |
Prasītāja uzskata, ka nepieciešamās informācijas sniegšana datu subjektam ir tīmekļvietnes pārvaldītāja pienākums. Atbildētāja ir izvirzījusi pretēju argumentu, norādot, ka pienākums sniegt informāciju ir Facebook Ireland, jo atbildētājai par to nekas konkrēti neesot zināms. Tāpat arī Facebook Ireland norāda, ka pienākums sniegt informāciju ir tieši viņai, jo šis pienākums ir vienīgi pārzinim (vai tā pārstāvim). Tā norāda, ka atbilde uz sesto prejudiciālo jautājumu ir cieši saistīta ar to, vai tīmekļvietnes pārvaldītājs ir pārzinis. [Minētās direktīvas] 10. pants liecinot, ka nav pareizi uzskatīt tīmekļvietnes pārvaldītāju par pārzini, jo tas nespēj šo informāciju sniegt. LDI NW uzskata, ka informācija ir jāsniedz tīmekļvietnes pārvaldītājam, bet atzīst, ka ir grūti nosakāms, kāda informācija būtu jāsniedz, jo atbildētājai nav nekādas ietekmes uz Facebook Ireland veikto personas datu apstrādi. Tā kā personas datu apstrādes mērķi savijas, tīmekļvietnes pārvaldītājam būtu jābūt kopīgi atbildīgam par to personas datu apstrādi, kuru tas ir padarījis iespējamu. |
|
82. |
Beļģija, Itālija un Polija norāda, ka pienākums informēt attiecas arī uz tādu tīmekļvietnes pārvaldītāju, kāds ir šajā gadījumā, jo tas var tikt uzskatīts par pārzini. Beļģija piebilst, ka tīmekļvietnes pārvaldītājam var būt arī pienākums pārbaudīt turpmākas personas datu apstrādes nolūku un veikt atbilstīgus pasākumus, lai garantētu fizisku personu aizsardzību. Vācijas valdība apgalvo, ka pienākums informēt attiecas uz tīmekļvietnes pārvaldītāju tiktāl, ciktāl tas ir atbildīgs par apstrādi, proti, par datu pārsūtīšanu iestrādātā satura ārējam piegādātājam, bet ne par turpmākajiem datu apstrādes posmiem, par kuriem atbild šis ārējais piegādātājs. Pēc Austrijas un Komisijas domām, pienākums sniegt informāciju saskaņā ar Direktīvas 95/46 10. pantu attiecoties gan uz tīmekļvietnes pārvaldītāju, gan uz ārējo piegādātāju. |
|
83. |
Pie piektajā un sestajā prejudiciālajā jautājumā aplūkotās problemātikas vēl būtu piebilstams, ka līdzīgas konceptuālas grūtības var rasties, apsverot arī citus Direktīvā 95/46 noteiktos pienākumus, piemēram, piekļuves tiesības saskaņā ar tās 12. pantu. Ir taisnība, ka spriedumā Wirtschaftsakademie Schleswig-Holstein Tiesa ir nospriedusi, ka “Direktīvā 95/46 katrā ziņā nav prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem” ( 40 ). Taču pārzinis, kam pašam nav piekļuves datiem, saistībā ar kuriem tas tomēr tiek uzskatīts par (kopīgu) pārzini, gluži loģiski nevar nodrošināt šo piekļuvi nevienam datu subjektam (nemaz nerunājot par jebkādām citām darbībām, piemēram, datu labošanu vai dzēšanu). |
|
84. |
Tādējādi sākotnējā konceptuālā neskaidrība (par to, kurš ir pārzinis un attiecībā tieši uz ko), kas dažkārt var izraisīt neskaidrību vēlākā posmā (kāds kuram ir pienākums), tagad jau noved pie tā, ka iespējamajam kopīgajam pārzinim faktiski nav iespējams ievērot spēkā esošos tiesību aktus. |
|
85. |
Noteikti varētu uzskatīt, ka, lai precīzi sadalītu atbildību starp (potenciāli krietni daudzajiem) kopīgajiem pārziņiem, būtu jāslēdz līgumi. Tajos būtu ne tikai noteikts atbildības sadalījums, bet arī norādītas līguma puses, kam paredzēts pildīt katru no direktīvā paredzētajiem pienākumiem, tostarp tos, kurus praktiski var veikt tikai viena līguma puse. |
|
86. |
Manuprāt, šāds uzskats ir ļoti problemātisks. Pirmkārt, tas, ņemot vērā to oficiālo tipveida līgumu blīvo tīklu, kuri būtu jānoslēdz jebkurai pusei, tostarp, visticamāk, daudziem parastajiem lietotājiem, ir pavisam nereāls ( 41 ). Otrkārt, spēkā esošo tiesību aktu piemērošana un tajos paredzēto pienākumu sadalījums būtu atkarīgi no privātiem nolīgumiem, kas varētu nebūt pieejami savas tiesības izmantot gribošajām trešajām personām. |
|
87. |
Treškārt, iespējams, daļēji aizsteidzoties priekšā dažiem no šiem jautājumiem, ar VDAR 26. pantu, šķiet, ir ieviesta jauna kopīgas atbildības sistēma. Protams, VDAR patiešām nav ratione temporis piemērojama nedz šajā sadaļā aplūkotajām lietām, nedz šajā lietā. Taču, ja vien jaunajā tiesību aktā nav īpašas izņēmuma vai sistēmiskas atkāpes attiecīgo definīciju ziņā, kas nešķiet tā esam, jo VDAR 4. pantā lielā mērā ir saglabāti tie paši galvenie termini, kas Direktīvas 95/46 2. pantā (pievienojot vairākus jaunus), būtu diezgan pārsteidzoši, ja šādu pamatjēdzienu, tostarp pārziņa, apstrādes vai personas datu jēdziena, interpretācija (bez īpaši pamatota iemesla) ievērojami atšķirtos no to izpratnes pašreizējā judikatūrā. |
|
88. |
Ja tā patiešām būtu, tad tas, kas, šķiet, ir ar VDAR 26. panta 3. punktu ieviestā kopīgas atbildības sistēma personas datu kopīgajiem pārziņiem, varētu izvērsties par diezgan lielu izaicinājumu. No vienas puses, ar VDAR 26. panta 1. punktu ir padarīts iespējams, ka personas datu kopīgie pārziņi “nosaka savus attiecīgos pienākumus, lai izpildītu [..] saistības”. Taču, no otras puses, VDAR 26. panta 3. punktā skaidri ir norādīts, ka “datu subjekts [..] var īstenot savas tiesības attiecībā uz un pret katru pārzini” neatkarīgi no jebkādas šādas vienošanās. Tādējādi katrs no šim kopīgajiem pārziņiem var tikt uzskatīts par atbildīgu par attiecīgo datu apstrādi. |
b) Plašāks skatījums
|
89. |
Senāk (kādas zinātniskās fantastikas kustības fani varētu vēlēties piebilst “tāltālā galaktikā”) bija stilīgi piederēt pie kāda sociālā tīkla. Pēc tam pakāpeniski kļuva moderni nebūt sociālā tīklā. Mūsdienās, šķiet, ir jau grēks aktīvi darboties kādā no šim tīkliem (un attiecībā uz tiem ir jāievieš jauni subsidiārās atbildības veidi). |
|
90. |
Nav noliedzams, ka tiesas spriešana notiek mainīgā sociālajā kontekstā. Uz šo kontekstu noteikti būtu jāreaģē, taču nebūtu jāļaujas tā kontrolei. Sociālais tīkls, tāpat kā jebkura cita lietotne vai programma, ir rīks. Līdzīgi nazim vai automašīnai to var izmantot dažnedažādi. Nav šaubu arī par to, ka, ja tos izmanto neatbilstošos nolūkos, par šo izmantošanu ir jāsauc pie atbildības. Bet sodīt jebkuru un ikvienu, kas jebkad ir lietojis nazi, varbūt nav visai prātīgi. Parasti pie atbildības tiek sauktas personas, kuru varā nazis ir atradies brīdī, kad ar to ir nodarīts kaitējums. |
|
91. |
Tāpēc, iespējams, ne vienmēr ir precīza atbilstība, bet ir vismaz saprātīga korelācija starp varu, kontroli un atbildību. Mūsdienu tiesības, protams, ietver dažāda veida objektīvu atbildību, kas rodas jau tāpēc vien, ka iestājas kādas konkrētas sekas. Tomēr tie pārsvarā ir pamatoti izņēmuma gadījumi. Ja, nesniedzot pamatotu paskaidrojumu, atbildība tiek uzlikta kādam, kam nav kontroles pār rezultātu, šāds atbildības sadalījums parasti tiks uzskatīts par nesamērīgu vai netaisnīgu ( 42 ). |
|
92. |
Turklāt, atbildot uz šīs sadaļas sākumā (71. punktā) uzdoto jautājumu, skeptiski noskaņota persona no tālāk uz austrumiem no Eiropas Savienības esošajām teritorijām, iespējams, ņemot vērā savu vēsturisko pieredzi, apgalvos, ka jebkā efektīvai aizsardzībai ir tendence krasi pavājināties, ja par to ir atbildīgs ikviens. Padarot atbildīgu ikvienu, faktiski atbildīgs nebūs neviens. Tas, kuram būtu jābūt atbildīgam par noteiktu rīcību un kurš faktiski īsteno kontroli, visticamāk, slēpsies aiz visiem pārējiem, kas nomināli ir “līdzatbildīgi”, līdz ar to būtiski mazinot efektīvas aizsardzības iespējas. |
|
93. |
Visbeidzot, kārtīgu tiesību aktu (interpretācijas) rezultāts nedrīkstētu būt tāds, ka to adresāti faktiski nespēj izpildīt tajos paredzētos pienākumus. Tādējādi – ja vien (kopīgā) pārziņa jēdziena bargajai definīcijai nav domāts pārtapt likumiskā uzdevumā visām iesaistītajām personām atvienoties un atturēties no jebkādu sociālo tīklu, spraudņu un vispār jebkura cita trešo personu satura izmantošanas –, nosakot pienākumus un atbildību, ir jāņem vērā realitāte, atkal izvērtējot, cik lielā mērā personai ir zināms, kā tā patiesībā spēj aizstāvēt savas intereses un ietekmēt jebkuru no šīm darbībām ( 43 ). |
4. Atgriežoties pie (likumdošanas) saknēm – noteiktas apstrādes operācijas nolūku un līdzekļu vienotība
|
94. |
Lai gan spriedumā Wirtschaftsakademie Schleswig-Holstein Tiesai bija diezgan pārdomāta pieeja kopīgas kontroles jēdziena definīcijai, tā arī deva mājienu par nepieciešamību ierobežot (kopīga) pārziņa atbildību. Konkrēti, Tiesa norādīja, ka “kopīgas atbildības esamība ne vienmēr nozīmē, ka dažādie ar personas datu apstrādi saistītie subjekti būtu vienādi atbildīgi. [..] šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā mērā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus” ( 44 ). |
|
95. |
Lai gan šo konkrēto tematu nebija nepieciešamības aplūkot lietā Wirtschaftsakademie Schleswig-Holstein, tas jādara šajā lietā, kurā iesniedzējtiesa tieši lūdz Tiesu noskaidrot atbildētājas iespējamos pienākumus, kas izriet no tās pārziņa statusa. |
|
96. |
Ņemot vērā ar VDAR 26. pantu jaunieviesto kopīgas atbildības sistēmu, varētu būt grūti paredzēt, kā kopīga atbildība varētu ietvert nevienlīdzīgu atbildību attiecībā uz tādu pašu rezultātu saistībā ar personas datu iespējami (ne)likumīgu apstrādi. Tas tā ir, it īpaši ņemot vērā VDAR 26. panta 3. punktu, kas, šķiet, ir vērsts kopīgas (un solidāras) atbildības virzienā ( 45 ). |
|
97. |
Taču uzskatu, ka Tiesas pamatdoma ir rodama otrajā atziņā, proti, ka “subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā mērā”. Apstiprinājums šai atziņai ir rodams Direktīvā 95/46 esošajās definīcijās, it īpaši i) attiecībā uz apstrādes jēdziena definīciju 2. panta b) punktā un ii) pārziņa jēdzienu 2. panta d) punktā. |
|
98. |
Pirmkārt, “personas datu apstrāde” ir “jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana”. |
|
99. |
Lai gan apstrādes jēdziens – tāpat kā pārziņa jēdziens – ir visnotaļ plašs ( 46 ), tas skaidri norāda un ir vērsts uz apstrādes posmu, – tas attiecas uz darbību vai darbību kopumu, ilustratīvi uzskaitot, kas varētu būt šādas atsevišķas darbības. Taču loģiski, ka kontroles jautājums drīzāk būtu jāvērtē attiecībā uz konkrēto diskrēto darbību, bet ne attiecībā uz nenoteiktu jebkā un visa kopumu, ko sauc par apstrādi ( 47 ). |
|
100. |
Otrkārt, kopīgas apstrādes jēdziens Direktīvā 95/46 nav konkrēti definēts. Taču ir loģiski, ka šis jēdziens balstās uz pārziņa jēdzienu 2. panta d) punktā, – kopīgas apstrādes situācija iestājas, kad divas vai vairākas personas kopīgi nosaka personas datu apstrādes nolūkus un līdzekļus ( 48 ). Citiem vārdiem sakot, lai divas (vai vairākas) personas tiktu uzskatītas par kopīgiem pārziņiem, personas datu apstrādes nolūkiem un līdzekļiem ir jāsakrīt. |
|
101. |
Manuprāt, abu šo definīciju apvienojums nosaka kopīgo pārziņu pienākumus un iespējamo atbildību. Kopīgais pārzinis ir atbildīgs par to operāciju vai operāciju kopumu, attiecībā uz kuru tas kopīgi nosaka nolūkus un līdzekļus, ciktāl tie attiecas uz konkrēto apstrādes darbību. Savukārt šī persona nevar tikt saukta pie atbildības saistībā ar vai nu iepriekšējiem posmiem, vai turpmākiem posmiem kopējā apstrādes ķēdē, attiecībā uz kuriem tās varā nav bijis noteikt šā apstrādes posma nolūkus vai līdzekļus. |
|
102. |
Šajā gadījumā attiecīgais apstrādes (darbības) posms ir personas datu vākšana un pārsūtīšana, kas notiek, izmantojot Facebook pogu “Patīk”. |
|
103. |
Pirmkārt, attiecībā uz datu apstrādes operāciju līdzekļiem, kā norādīja prasītāja, LDI NW un Vācijas valdība, šķiet, ka ir pierādīts, ka atbildētāja lemj par konkrētā spraudņa lietošanu, kas ir līdzeklis personas datu vākšanai un pārsūtīšanai. Šī vākšana un pārsūtīšana tiek uzsākta, apmeklējot atbildētājas tīmekļvietni. Atbildētājai šo spraudni nodrošināja Facebook Ireland. Gan Facebook Ireland, gan atbildētāja tādējādi, šķiet, ir apzināti izraisījušas datu apstrādes vākšanas un pārsūtīšanas posmu. Šie faktiskie apstākļi, protams, joprojām ir jāpārbauda valsts tiesai. |
|
104. |
Otrkārt, aplūkojot datu apstrādes nolūku, lūgumā sniegt prejudiciālu nolēmumu nav precizēti iemesli, kuru dēļ atbildētāja nolēma savā tīmekļvietnē iestrādāt Facebook pogu “Patīk”. Taču, ja vien iesniedzējtiesas veicamajā pārbaudē neizrādās citādi, šķiet, ka šo lēmumu ir iedvesmojusi vēlme, izmantojot sociālo tīklu, popularizēt atbildētājas produktus. Tajā pašā laikā šķiet, ka Facebook Ireland saņemtos datus izmanto komerciālos nolūkos. |
|
105. |
Lai arī konkrētā komerciālā izmantošana var arī nebūt viena un tā pati, kopumā gan atbildētāja, gan Facebook Ireland, šķiet, savstarpēji papildinoši īsteno savus kopīgos komerciālos nolūkus. Tādējādi, lai gan ne identiska, tomēr pastāv nolūku vienotība, – ir komerciāls un reklāmas nolūks. |
|
106. |
No lietas faktiskajiem apstākļiem tādējādi ir redzams, ka atbildētāja un Facebook Ireland attiecīgo personas datu vākšanas un pārsūtīšanas posmā par datu apstrādes līdzekļiem un nolūkiem lemj kopīgi. Šajā ziņā atbildētāja rīkojas kā pārzinis, un šajā ziņā tā arī dala atbildību ar Facebook Ireland. |
|
107. |
Tajā pašā laikā uzskatu, ka atbildētājas atbildība ir jāaprobežo tikai ar to datu apstrādes posmu, kurā tā ir iesaistīta, un ka tā nevar attiekties uz kādu citu iespējamu turpmāko datu apstrādes posmu, ja šāda apstrāde notiek ārpus atbildētājas kontroles un, šķiet, arī bez atbildētājas ziņas. |
|
108. |
Tāpēc, ņemot vērā iepriekš minēto, mans otrais starpsecinājums ir tāds, ka tāda persona kā atbildētāja, kas savā tīmekļvietnē ir iestrādājusi trešās personas spraudni, kurš izraisa lietotāja personas datu vākšanu un pārsūtīšanu (un šo spraudni ir nodrošinājusi minētā trešā persona), ir uzskatāma par pārzini Direktīvas 95/46 2. panta d) punkta izpratnē. Tomēr šā pārziņa (kopīgā) atbildība aprobežojas ar darbībām, attiecībā uz kurām tas faktiski piedalās lemšanā par personas datu apstrādes līdzekļiem un nolūkiem. |
|
109. |
Jāpiebilst, ka šis secinājums ir arī atbilde uz uzdoto trešo prejudiciālo jautājumu. Šajā prejudiciālajā jautājumā iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīva 95/46 nepieļauj valsts tiesību jēdziena “Störer” (pārkāpuma veicinātājs) attiecināšanu uz atbildētāju un vai būtu jānosaka, ka atbildētāja nevar tikt uzskatīta par pārzini. Saskaņā ar lūgumu sniegt prejudiciālu nolēmumu jēdziens “Störer” ietver to, ka personai, kas pati nepārkāpj tiesības, bet kas ir radījusi vai palielinājusi risku, ka šādu pārkāpumu izdarīs trešā persona, ir jādara viss tai saprātīgi iespējamais, lai nepieļautu šādu tiesību pārkāpumu. Iesniedzējtiesa norāda, ka, ja atbildētāja nevar tikt uzskatīta par pārzini, ir izpildīti priekšnosacījumi jēdziena “Störer” piemērošanai, jo, iestrādājot Facebook spraudni “Patīk”, atbildētāja ir vismaz radījusi risku, ka Facebook veiks pārkāpumu. |
|
110. |
Ņemot vērā atbildi, ko sniedzu uz iesniedzējtiesas uzdoto otro prejudiciālo jautājumu, uz trešo prejudiciālo jautājumu nav jāatbild. Ja ir konstatēts, ka konkrētā persona ir uzskatāma par pārzini Direktīvas 95/46 izpratnē, tās kā pārziņa pienākumi ir jāizvērtē, ņemot vērā šajā direktīvā noteiktos pienākumus. Pretējs secinājums novestu pie diferencētas pārziņu atbildības par konkrētu pārkāpumu dažādās dalībvalstīs. Šajā ziņā un attiecībā uz pārziņa definīciju Direktīvā 95/46 patiešām ir veikta pilnīga saskaņošana attiecībā uz konkrētu pienākumu adresātiem ( 49 ). |
C. Leģitīmās intereses, kas ir jāņem vērā saskaņā ar Direktīvas 95/46 7. panta f) punktu
|
111. |
Ceturtais šajā lietā uzdotais prejudiciālais jautājums attiecas uz personas datu apstrādes leģitimitāti, ja nav datu subjekta piekrišanas Direktīvas 95/46 7. panta a) punkta izpratnē. |
|
112. |
Šajā ziņā iesniedzējtiesa norāda uz Direktīvas 95/46 7. panta f) punktu, saskaņā ar kuru personas datus var apstrādāt tikai tad, ja apstrāde ir “vajadzīga [pārziņa] vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai, izņemot, ja šīs intereses ignorē, ņemot vērā datu subjekta pamattiesību un brīvību intereses [..]”. Konkrētāk, iesniedzējtiesa vēlas noskaidrot, kuras personas leģitīmās intereses būtu jāņem vērā šīs lietas kontekstā – trešās personas saturu iestrādājušās atbildētājas intereses vai šīs trešās personas (proti, Facebook Ireland) intereses ( 50 ). |
|
113. |
Vispirms ir jāatgādina, ka Komisija uzskata, ka ceturtais prejudiciālais jautājums ir neatbilstošs, jo in casu lietotāja piekrišana saskaņā ar tiesību aktiem, ar kuriem īsteno Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (turpmāk tekstā – “E‑privātuma direktīva”) ( 51 ), ir jāsniedz tik un tā. |
|
114. |
Es piekrītu Komisijai, ka E‑privātuma direktīva (ar kuru saskaņā ar tās 1. panta 2. punktu ir precizēta un papildināta Direktīva 95/46 elektronisko komunikāciju nozarē) ( 52 ), šķiet, attiecas uz aplūkojamo situāciju tiktāl, ciktāl notiek sīkdatņu izvietošana lietotāju iekārtās ( 53 ). Turklāt E‑privātuma direktīvas 2. panta f) punktā un 17. apsvērumā piekrišana ir definēta ar atsauci uz piekrišanas jēdzienu Direktīvā 95/46. |
|
115. |
Tiesas sēdē notika plaša diskusija par to, vai pamatlietā aplūkotajā gadījumā sīkdatnes tika izvietotas. Faktu precizējumi ir jāveic valsts tiesai. Tomēr un katrā ziņā, kā aprakstīts lūgumā sniegt prejudiciālu nolēmumu, iesniedzējtiesa uzskata, ka nosūtītie dati ir personas dati ( 54 ). Tāpēc nešķiet, ka jautājums par sīkdatnēm varētu sniegt atbildes uz visiem jautājumiem, kas acīmredzot rodas šajā lietā saistībā ar personas datu apstrādi ( 55 ). |
|
116. |
Tāpēc uzskatu, ka ceturtais prejudiciālais jautājums ir jāiztirzā pamatīgāk. |
|
117. |
Prasītāja apgalvo, ka vērā ņemamas ir atbildētājas leģitīmās intereses. Tā piebilst, ka ne atbildētāja, ne Facebook Ireland nevar atsaukties uz leģitīmajām interesēm šajā lietā. |
|
118. |
Atbildētāja un Facebook Ireland būtībā apgalvo, ka vērā ņemamas ir tās personas leģitīmās intereses, kura ir iestrādājusi trešās personas saturu, kā arī trešās personas leģitīmās intereses, vienlaikus rēķinoties ar to tīmekļvietnes apmeklētāju interesēm, kuru pamattiesības var būt aizskartas. |
|
119. |
LDI NW, Polija, Vācija un Itālija uzskata, ka būtu jāņem vērā gan atbildētājas, gan Facebook Ireland leģitīmās intereses, jo tās abas ir padarījušas iespējamu aplūkoto apstrādi. Austrija pauž līdzīgu viedokli. Līdzīgi, un atsaucoties uz Tiesas spriedumu Google Spain, Beļģija uzsver, ka vērā ņemamas ir gan pārziņa, gan to trešo personu, kurām attiecīgie personas dati tika nosūtīti, leģitīmās intereses. |
|
120. |
Uzreiz jāatgādina, ka jebkurai personas datu apstrādei principā ir jāatbilst tostarp kādam no Direktīvas 95/46 7. pantā uzskaitītajiem kritērijiem datu apstrādes atzīšanai par leģitīmu ( 56 ). |
|
121. |
Runājot konkrēti par 7. panta f) punktu, Tiesa ir atgādinājusi, ka šajā normā “ir paredzēti trīs kumulatīvi nosacījumi, kam ir jābūt izpildītiem, lai personas datu apstrāde būtu likumīga, proti, pirmkārt, datu pārziņa vai trešo personu, kurām dati tiek atklāti, likumīgu interešu esamība, otrkārt, vajadzība apstrādāt personas datus leģitīmo interešu ievērošanai un, treškārt, nosacījums, ka neprevalē tās personas pamattiesības un brīvības, uz kuru attiecas datu aizsardzība” ( 57 ). |
|
122. |
Direktīvā 95/46 “leģitīmās intereses” nav definētas vai uzskaitītas. Šis jēdziens šķiet esam visnotaļ elastīgs un nenoteikts ( 58 ). Nav tāda veida interešu, kas būtu izslēgtas per se, ja, protams, tās pašas par sevi ir likumīgas. Kā pēc būtības tika apspriests Tiesas sēdē un minēts iepriekš ( 59 ), šķiet, ka šīs lietas pamatā ir personas datu vākšana un pārsūtīšana nolūkā optimizēt reklāmu, lai gan atbildētājas un Facebook Ireland konkrētie galīgie komerciālie mērķi var arī gluži nesakrist. |
|
123. |
Ņemot vērā šos apsvērumus, varu piekrist, ka mārketings vai reklāma paši par sevi var būt šādas leģitīmas intereses ( 60 ). Šīs lietas kontekstā ir diezgan grūti iziet ārpus šī apgalvojuma robežām, jo papildus šiem vispārīgajiem apgalvojumiem nekas nav precīzi zināms par konkrētiem veidiem, kā nosūtītie un iegūtie dati tiek izmantoti. |
|
124. |
Tomēr iesniedzējtiesa ne apspriež, ne arī lūdz sniegt norādījumus par to, kā novērtēt pamatlietā izvirzītās leģitīmās intereses. Ceturtajā prejudiciālajā jautājumā iesniedzējtiesa vēlas vienīgi noskaidrot, kuras personas leģitīmās intereses būtu jāņem vērā, lai varētu tikt veikta Direktīvas 95/46 7. panta f) punktā paredzētā izsvēršana. |
|
125. |
Ņemot vērā manis iepriekš piedāvāto atbildi uz otro prejudiciālo jautājumu, uzskatu, ka ir jāņem vērā gan atbildētājas, gan Facebook Ireland intereses, jo saistībā ar attiecīgo personas datu apstrādes darbību tās abas darbojas kā kopīgi pārziņi. |
|
126. |
Tā kā to kopīgo pārziņu statusa, kas ir tām abām, mērķis ir personas datu apstrāde, tad, kā paskaidrots iepriekš, leģitīmu interešu esamība vismaz vispārīgā līmenī ir jākonstatē to abu gadījumā. Šīs intereses, kā norādīts Direktīvas 95/46 7. panta f) punkta beigu daļā ( 61 ), ir jāizsver kopā ar datu subjektu tiesībām, un šī izsvēršana principā ir atkarīga “no attiecīgā gadījuma konkrētajiem apstākļiem” ( 62 ). Atgādinu, ka uz datu apstrādi šādos apstākļos arī ir jāattiecina nosacījums par nepieciešamību ( 63 ). |
|
127. |
Ņemot vērā iepriekš minēto, mans trešais starpsecinājums ir tāds, ka, lai izvērtētu iespēju apstrādāt personas datus saskaņā ar Direktīvas 95/46 7. panta f) punktā izklāstītajiem nosacījumiem, ir jāņem vērā abu kopīgo pārziņu leģitīmās intereses un tās ir jāizsver kopā ar datu subjektu leģitīmajām interesēm. |
D. Atbildētājas pienākumi saistībā ar no datu subjekta saņemamo piekrišanu un tam sniedzamo informāciju
|
128. |
Uzdodot piekto prejudiciālo jautājumu, iesniedzējtiesa vēlas noskaidrot, kurai personai šīs lietas apstākļos ir jāsaņem piekrišana, kas ir jāsniedz saskaņā ar Direktīvas 95/46 7. panta a) punktu un 2. panta h) punktu. |
|
129. |
Uzdodot sesto prejudiciālo jautājumu, iesniedzējtiesa vēlas noskaidrot, vai aplūkotajā situācijā Direktīvas 95/46 10. pantā paredzētais pienākums informēt ir tīmekļvietnes pārvaldītājam (tādam kā atbildētāja), kas ir iestrādājis trešās personas saturu un tādējādi izraisījis trešās personas veiktu personas datu apstrādi. |
|
130. |
Kā redzējām iepriekš ( 64 ), uz šiem jautājumiem tiek piedāvāts atbildēt dažnedažādi. Taču, esot precizētai otrajā prejudiciālā iztirzātajai pienākuma iedabai gan jautājumā par to, kuram, gan par to, attiecībā uz ko šis pienākums ir, un tas ir noskaidrots iepriekšējā posmā, atbildes uz piekto un sesto prejudiciālo jautājumu, kuri attiecas uz noteiktiem pienākumiem vēlākā posmā, kļūst skaidrākas. |
|
131. |
Pirmkārt, uzskatu, ka gan piekrišanai, gan informācijai ir jāaptver visi datu apstrādes darbības(‑u) aspekti, par kuriem kopīgie pārziņi ir kopīgi atbildīgi, proti, datu vākšana un pārsūtīšana. Un otrādi – šie piekrišanas saņemšanas un informēšanas pienākumi neattiecas uz datu apstrādes turpmākajiem posmiem, kuros atbildētāja nav iesaistīta un attiecībā uz kuriem tā, loģiski, nevar noteikt ne līdzekļus, ne nolūkus. |
|
132. |
Otrkārt, saskaņā ar šiem nosacījumiem varētu teikt, ka piekrišana var tikt sniegta vienam no kopīgajiem pārziņiem. Taču, ņemot vērā aplūkoto konkrēto situāciju, šī piekrišana ir jāsaņem atbildētājai, jo apstrādes darbība faktiski tiek uzsākta tad, kad tiek apmeklēta atbildētājas tīmekļvietne. Ja piekrišana tiktu dota tikai tam kopīgajam pārzinim, kas iesaistās vēlāk (ja vispār iesaistās), kad datu savākšana un pārsūtīšana jau ir notikusi, tas acīmredzami nebūtu saskaņā ar datu subjektu tiesību efektīvu un savlaicīgu aizsardzību. |
|
133. |
Līdzīga atbilde ir jāsniedz jautājumā par informēšanas pienākumu, kas ir atbildētājai saskaņā ar Direktīvas 95/46 10. pantu. Šajā normā ir uzskaitīts informācijas minimums, kas datu subjektam ir jāsaņem no pārziņa. Tā ietver šādus elementus: pārziņa (vai viņa pārstāvja) identitāte; apstrādes, kurai dati paredzēti, nolūki un jebkura turpmāka informācija, ja tā ir “vajadzīga, ņemot vērā konkrētos apstākļus, kādos dati ievākti, lai garantētu godprātīgu apstrādi attiecībā uz datu subjektu”. Direktīvas 10. pantā ir sniegti šādas papildinformācijas piemēri, kas – ciktāl tas attiektos uz šo lietu – ietver informāciju par datu saņēmēju vai par piekļuves tiesību un tiesību koriģēt datus, kas attiecas uz datu subjektu, esamību. |
|
134. |
Ņemot vērā šo uzskaitījumu, atbildētāja šķiet acīmredzami spējīga sniegt informāciju par kopīgu pārziņu personas identitāti, apstrādes nolūku attiecīgajā posmā (darbība(‑s), attiecībā uz kuru(‑ām) tā kopīgi apstrādā personas datus) un arī par to, ka šie dati tiks pārsūtīti. |
|
135. |
Turpretī, runājot par piekļuves tiesībām un tiesībām koriģēt datus, saprotu, ka atbildētājai pašai nav šādas piekļuves datiem, kas tiek pārsūtīti Facebook Ireland, jo tā nekādi nav iesaistīta datu glabāšanā. Tāpēc, piemēram, varētu ierosināt par šo jautājumu noslēgt vienošanos ar Facebook Ireland. |
|
136. |
Taču ar šādiem priekšlikumiem – bez jau iepriekš minētā ( 65 ) – atkal tiktu mēģināts paplašināt (kopīgo) pārziņu pienākumus un atbildību attiecībā uz darbībām, par kurām viņi nav atbildīgi. Ja kopīgā pārzināšana nozīmē atbildību par tām operācijām, kuru veikšanas nolūki un līdzekļi pārziņu starpā sakrīt, tad, loģiski, citiem no direktīvas izrietošajiem pienākumiem, piemēram, sniegt informāciju un nodrošināt piekļuves vai koriģēšanas iespēju, ir jāatbilst šā sākotnējā pienākuma tvērumam ( 66 ). |
|
137. |
Komisija Tiesas sēdē arī atzīmēja, ka apmeklētāji, kam ir Facebook konts, var būt jau iepriekš devuši piekrišanu šādai notiekošai datu pārsūtīšanai. Tā rezultātā atbildētājas atbildība varētu tikt diferencēta, Komisijai acīmredzot uzskatot, ka atbildētājas pienākums informēt un lūgt piekrišanu attiektos tikai uz tiem atbildētājas tīmekļvietnes apmeklētājiem, kuri nav Facebook lietotāji. |
|
138. |
Šim viedoklim nepiekrītu. Manuprāt, ir grūti iedomāties, ka šīs lietas apstākļos attieksme pret “Facebook lietotājiem” būtu diferencēta (mazāk aizsargājoša) tāpēc, ka viņi jau būtu piekrituši iespējai, ka viņu (visus un jebkāda veida) personas datus apstrādā Facebook. Proti, šāds arguments nozīmētu, ka, izveidojot Facebook kontu, persona jau iepriekš piekrīt jebkādai jebkuras trešās personas, neraugoties uz tās saistību ar Facebook, veiktai datu apstrādei saistībā ar šo “Facebook lietotāju” jebkuru darbību tiešsaistē. Tas tā ir pat gadījumā, ja nav redzamu pazīmju par to, ka šāda datu apstrāde notiek (kā tas, šķiet, ir gadījumā, kad persona vienkārši apmeklē atbildētājas tīmekļvietni). Citiem vārdiem sakot, piekrist Komisijas viedoklim faktiski nozīmētu, ka, izveidojot Facebook kontu, lietotājs faktiski ir atteicies no jebkādas personas datu aizsardzības tiešsaistē attiecībā pret Facebook. |
|
139. |
Tāpēc uzskatu, ka atbildētājas atbildībai un no tās izrietošajiem piekrišanas saņemšanas un informēšanas pienākumiem attiecībā pret datu subjektiem būtu jābūt vienādiem neatkarīgi no tā, vai viņiem ir Facebook konts vai nav. |
|
140. |
Turklāt ir arī skaidrs, ka šī piekrišana ir jādod un informācija jāsniedz pirms datu vākšanas un pārsūtīšanas ( 67 ). |
|
141. |
Tādējādi, ņemot vērā iepriekš minēto, mans pēdējais starpsecinājums, atbildot uz piekto un sesto prejudiciālo jautājumu, ir tāds, ka tādā situācijā, kāda ir šajā lietā, saskaņā ar Direktīvas 95/46 7. panta a) punktu saņemamā datu subjekta piekrišana ir jāsaņem tīmekļvietnes pārvaldītājam, kas – kā atbildētāja – ir iestrādājis trešās personas saturu. Direktīvas 95/46 10. pants ir jāinterpretē tādējādi, ka tajā paredzētais pienākums informēt ir arī šādam tīmekļvietnes pārvaldītājam. Direktīvas 95/46 7. panta a) punktā minētā datu subjekta piekrišana ir jāsaņem un tās pašas direktīvas 10. pantā minētā informācija ir jāsniedz pirms datu savākšanas un pārsūtīšanas. Tomēr šo pienākumu apjomam ir jāatbilst šā pārvaldītāja kopīgajai atbildībai par personas datu vākšanu un pārsūtīšanu. |
V. Secinājumi
|
142. |
Ņemot vērā iepriekš minēto, ierosinu Tiesai uz Oberlandesgericht Düsseldorf (Federālās zemes Augstākā tiesa Diseldorfā, Vācija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:
|
( 1 ) Oriģinālvaloda – angļu.
( 2 ) Eiropas Parlamenta un Padomes Direktīva (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.).
( 3 ) Eiropas Parlamenta un Padomes direktīva (2009. gada 23. aprīlis) (OV 2009, L 110, 30. lpp.).
( 4 ) Jāatzīmē, ka lūgumā sniegt prejudiciālu nolēmumu ir teikts, ka spraudni atbildētājai darīja pieejamu vai nu pati Facebook Ireland, vai tās Amerikas Savienotajās Valstīs reģistrētais mātesuzņēmums Facebook Inc. Tomēr šķiet, ka gan iesniedzējtiesā, gan arī tiesvedībā šajā tiesā iespējamo atbildību saskaņā ar Direktīvu 95/46 saistībā ar šo tiesvedību uzņemas Facebook Ireland. Tādējādi neredzu iemeslu apspriest jautājumu par Direktīvas 95/46 iespējamo piemērojamību Facebook Ireland mātesuzņēmumam.
( 5 ) Eiropas Parlamenta un Padomes Regula (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46 (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.).
( 6 )
( 7 ) Pilnīguma labad gan jāpiebilst, ka, lai arī 2016. gada 28. jūlija spriedums lietā Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612) attiecās uz jautājumu par Direktīvas 95/46 interpretāciju, kas bija radies apvienības ierosinātā valsts tiesvedībā, jautājumu par apvienības tiesībām celt prasību minētajā lietā Tiesa neizskatīja gluži vienkārši tāpēc, ka konkrēti par to nekas netika vaicāts.
( 8 ) Kā pārformulēts, piemēram, spriedumos, 1985. gada 23. maijs, Komisija/Vācija (C‑29/84, EU:C:1985:229, 22. punkts); 2012. gada 14. februāris, Flachglas Torgau (C‑204/09, EU:C:2012:71, 60. punkts), un 2018. gada 19. aprīlisCMR (C‑645/16, EU:C:2018:262, 19. punkts).
( 9 ) Spriedums, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 53. punkts).
( 10 ) Skat. arī spriedumu, 2008. gada 16. decembris, Huber (C‑524/06, EU:C:2008:724, 50. punkts).
( 11 ) Tādējādi – atšķirībā no 2018. gada 25. janvāra sprieduma lietā Schrems (C‑498/16, EU:C:2018:37) – tas nav saistīts ar prasījumu nodošanu konkrētai personai un tam ir acīmredzami skaidrs juridiskais pamats valsts tiesībās, kas, šķiet esam viens no patērētāju kolektīvo interešu pārstāvības veidiem.
( 12 ) Jeb, citiem vārdiem sakot, dalībvalstīm konkrēti saistībā ar institucionālo struktūru vai procedūrām ir jāparedz arī vairākas citas lietas, kas direktīvā nav skaidri minētas (piemēram, saistībā ar tiesību ievērošanas panākšanu tiesas ceļā ne tikai jautājums par tiesībām celt prasību, bet arī, piemēram, termiņš prasības celšanai, tiesas nodevas (ja tādas ir), tiesu jurisdikcija u.c.). Vai tādā gadījumā arī varētu apgalvot, ka, tā kā ne Direktīvas 95/46 22. pantā, ne 24. pantā nav minēts neviens no šiem jautājumiem, tādējādi dalībvalstij ir liegts arī paredzēt šādas lietas valsts tiesību aktos?
( 13 ) Kā definēts Direktīvas 2009/22 3. pantā.
( 14 ) Skat., piemēram, spriedumus, 2003. gada 6. novembris, Lindqvist (C‑101/01, EU:C:2003:596, 96. punkts); 2008. gada 16. decembris, Huber (C‑524/06, EU:C:2008:724, 51. punkts); 2011. gada 24. novembris, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 un C‑469/10, EU:C:2011:777, 29. punkts), un 2013. gada 7. novembris, IPI (C‑473/12, EU:C:2013:715, 31. punkts).
( 15 ) Spriedums, 2003. gada 6. novembris, Lindqvist (C‑101/01, EU:C:2003:596, 97. punkts).
( 16 ) Skat. manus secinājumus lietā Dzivev (C‑310/16, EU:C:2018:623, 72. un 74. punkts).
( 17 ) Citētas šo secinājumu 8. punktā.
( 18 ) Skat. vēlreiz piemērus, kas sniegti šo secinājumu 12. zemsvītras piezīmē.
( 19 ) Kuras saskaņā ar Direktīvas 95/46 28. pantu ir atbildīgas par noteikumu, kas pieņemti saskaņā ar šo direktīvu, piemērošanas kontroli.
( 20 ) Par Direktīvas 95/46 28. panta 1. punktā prasīto standartu skat. spriedumus, 2010. gada 9. marts, Komisija/Vācija (C‑518/07, EU:C:2010:125, 18.–30. punkts), un 2012. gada 16. oktobris, Komisija/Austrija (C‑614/10, EU:C:2012:631, 41.–66. punkts).
( 21 ) Pēc analoģijas ar citu tiesību jomu, vai, piemēram, privātpersonas prasība par konkurences tiesību piespiedu izpildi arī tādā gadījumā apdraud (valsts) konkurences iestāžu neatkarību? Skat. spriedumus, 2001. gada 20. septembris, Courage un Crehan (C‑453/99, EU:C:2001:465, 26., 27. un 29. punkts), un 2006. gada 13. jūlijs, Manfredi u.c. (no C‑295/04 līdz C‑298/04, EU:C:2006:461, 59. un 60. punkts). Skat. arī Eiropas Parlamenta un Padomes Direktīvas 2014/104/ES (2014. gada 26. novembris) par atsevišķiem noteikumiem, kuri valstu tiesībās reglamentē zaudējumu atlīdzināšanas prasības par dalībvalstu un Eiropas Savienības konkurences tiesību pārkāpumiem (OV 2014, L 349, 1. lpp.), 5. apsvērumu.
( 22 ) Kāda nozīme tiesību akta interpretācijā vispārīgi (proti, neatkarīgi no konkrētā jautājuma par tiesību akta veida maiņu) ir apstāklim, ka vēlākā tiesību aktā likumdevējs ir iekļāvis kaut ko tādu, kā nav bijis šā paša tiesību akta iepriekšējā variantā? Iespējams arī, ka šāds princips iepriekšējam variantam patiešām bija “raksturīgi piemītošs” un tagad tiek vienīgi precizēts. Bet tas var arī nozīmēt, ka tieši tāpēc, ka šī tiesību norma iepriekš nav bijusi iekļauta, jaunā tiesību norma ir grozījums. Ņemot vērā argumenta, ka “tas vienmēr tur ir bijis, tagad vienkārši tas ir skaidri formulēts” – ar kuru jaunā tiesību norma būtībā tiek piemērota, krietni vien pirms tā kļuvusi piemērojama ratione temporis –, biežo un apšaubāmo (ļaunprātīgo) izmantošanu, šāda veida argumenti, ja tādus vispār nākas izmantot, būtu jāizmanto piesardzīgi.
( 23 ) Attiecībā uz jautājumu par dinamiskajām IP adresēm skat. spriedumu, 2016. gada 19. oktobris, Breyer (C‑582/14, EU:C:2016:779, 33. un nākamie punkti). Skat. arī spriedumu, 2011. gada 24. novembris, Scarlet Extended (C‑70/10, EU:C:2011:771, 51. punkts).
( 24 ) Spriedums, 2016. gada 19. oktobris, Breyer (C‑582/14, EU:C:2016:779, 41.–45. punkts).
( 25 ) Šo secinājumu 19. punkts.
( 26 ) Mans izcēlums.
( 27 ) Spriedumi, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 29. punkts), un 2018. gada 10. jūlijs, Jehovan todistajat (C‑25/17, EU:C:2018:551, 65. punkts).
( 28 ) Skat. spriedumus, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 34. punkts), un 2018. gada 10. jūlijs, Jehovan todistajat (C‑25/17, EU:C:2018:551, 66. punkts).
( 29 ) Spriedums, 2018. gada 5. jūnijs (C‑210/16, EU:C:2018:388).
( 30 ) Spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 39. punkts).
( 31 ) Spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 35. punkts).
( 32 ) Spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 36. punkts).
( 33 ) Spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 34. un 38. punkts).
( 34 ) Spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 39. un 41. punkts).
( 35 ) Spriedums, 2018. gada 10. jūlijs (C‑25/17, EU:C:2018:551, 68.–72. punkts).
( 36 ) Kā ģenerāladvokāts Ī. Bots [Y. Bot] uzskata secinājumos lietā Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, 66.–72. punkts).
( 37 ) Acīmredzamā analoģija ar patērētāju tiesību aizsardzību – tajā ziņā, ka darījuma noteikumu apspriešanā līdzējam, kas “nav komersants”, būtu jābūt vienlīdz īstenai teikšanai – šajā kontekstā šķiet neesam piemērojama. Tāpēc vēl ir diskutējams jautājums par to, cik lielā mērā šajā gadījumā “parametru iestatīšana” patiesībā ir piedēvējama fanu lapas pārvaldniekam (un cik lielā mērā tā ir tikai mehāniska noklikšķināšana un izvēle starp sagatavotām iespējām, tāpat kā jebkura cita “patērētāja” gadījumā).
( 38 ) Spriedums, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, 35. punkts).
( 39 ) Mūsdienās daudzas programmas un lietotnes – dažkārt saņemot vairāk vai mazāk skaidru lietotāja piekrišanu – programmatūras izstrādātājam vai pārdevējam pārsūta analītisku informāciju, kas var ietvert arī personas datus.
( 40 ) Spriedums, 2018. gada 5. jūnijs (C‑210/16, EU:C:2018:388, 38. punkts).
( 41 ) Turklāt ir diskutējams jautājums par to, ar kādiem konkrētiem nosacījumiem un ar kādām pilnvarām risināt sarunas tas būtu darāms (skat. arī šo secinājumu 37. zemsvītras piezīmi).
( 42 ) Vai, kā vaļsirdīgāk to formulējis sera Hamfrija Eplbija [Sir Humphrey Appleby] personāžs (pats, acīmredzot, atsaukdamies uz kādu senāku, nezināmas izcelsmes citātu): “Atbildība bez varas visos laikos ir bijusi einuhu prerogatīva” [Neoficiāls tulkojums] (seriāla “Yes, Prime Minister” [“Jā, premjerministra kungs”], 2. sezona, 7. sērija, “The National Education Service”, pirmo reizi parādīta 1988. gada 21. janvārī).
( 43 ) Arī šo secinājumu 73. punktā un 38. un 42. zemsvītras piezīmē minētajā nozīmē.
( 44 ) Spriedums, 2018. gada 5. jūnijs (C‑210/16, EU:C:2018:388, 43. punkts).
( 45 ) Skat. iepriekš 87. un 88. punktu.
( 46 ) Skat. arī 29. pantu Datu aizsardzības grupas (padomdevēja struktūra, kas izveidota ar Direktīvas 95/46 29. pantu un ko tagad aizstājusi Eiropas Datu aizsardzības kolēģija, kura izveidota saskaņā ar VDAR 68. pantu) Atzinumā 4/2007 par personas datu jēdzienu, 01248/07/EN WP 136, 2007. gada 20. jūnijs, 4. lpp.
( 47 ) Ņemot vērā arī vienkāršo faktu, ka, vienai personai secīgi vienu pēc otras veicot visas 2. panta b) punktā uzskaitītās operācijas, apstrāde diez vai jebkad būs lineāra. Personas datu kalpošanas laiks drīzāk varētu būt ciklisks, spirālveida, šur tur rodoties bifurkācijai, ar dažādās malās savāktām datu kopām, ko izmantojusi cita persona, kas pēc tam ir apvienotas un izmantotas, pēc tam atkal atkārtoti apvienotas un nosūtītas tālāk dažādām personām u. t. jpr.
( 48 ) 29. panta Datu aizsardzības grupa secināja, ka “kopīga kontrole notiek, ja dažādas puses nosaka vai nu konkrētu datu apstrādes darbību nolūkus, vai [..] datu apstrādes līdzekļu pamatelementus”. Skat. 2010. gada 16. februāra Atzinumu 1/2010 par “personas datu apstrādātāja” un “apstrādātāja” jēdzienu, 29. panta Datu aizsardzības grupa, dok. 00264/10/LV WP 169, 19. lpp.
( 49 ) Atšķirībā no situācijas, kas apspriesta attiecībā uz pirmo prejudiciālo jautājumu šo secinājumu 39.–42. punktā.
( 50 ) Lasot ceturtā prejudiciālā jautājuma oriģinālformulējumu vācu valodā, saprotu, ka iesniedzējtiesas uzdotā prejudiciālā jautājuma tvērumā ir tikai to interešu, kas ir jāņem vērā, nevis to, kurām – kā liek domāt vācu valodā uzdotā prejudiciālā jautājuma tulkojums angliski – ir izšķiroša nozīme (kas potenciāli nozīmē lielāku ietekmi), identifikācija šajā interešu izsvēršanas procesā. Tādējādi prejudiciālais jautājums, šķiet, ir par to, kas ir izsverams, nevis par to, kādam ir jābūt šīs izsvēršanas iznākumam.
( 51 ) Eiropas Parlamenta un Padomes direktīva (2002. gada 12. jūlijs) (Direktīva par privāto dzīvi un elektronisko komunikāciju) (OV 2002, L 201, 37. lpp.).
( 52 ) Skat. arī spriedumu, 2011. gada 5. maijs, Deutsche Telekom (C‑543/09, EU:C:2011:279, 50. punkts). Saskaņā ar E‑privātuma direktīvas 10. apsvērumu “telekomunikāciju nozarē, jo īpaši uz visiem ar pamattiesību un pamatbrīvību aizsardzību saistītajiem jautājumiem, uz ko konkrēti neattiecas šīs direktīvas noteikumi, tostarp uz personas datu pārziņu pienākumiem un fizisku personu tiesībām, attiecas Direktīva [95/46]. Direktīva [95/46] attiecas uz komunikāciju pakalpojumiem, kas nav publiski”.
( 53 ) Šajā ziņā skat. E‑privātuma direktīvas 5. panta 3. punktu, kurā noteikts, ka “dalībvalstis nodrošina, ka elektronisko komunikāciju tīklu izmantošana informācijas uzglabāšanai vai pieejas iegūšanai abonenta vai lietotāja gala iekārtā uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgo abonentu vai lietotāju, saskaņā ar Direktīvu [95/46], nodrošina ar skaidru un visaptverošu informāciju, cita starpā, par apstrādes nolūku [..]”.
( 54 ) Šajā ziņā atkal ir sniegta atsauce uz ievada sadaļas B.1. punktu (šo secinājumu 55.–58. punkts) un uz nepieciešamību pārbaudīt faktus par to, kas tieši ir ticis pārsūtīts un vai šī informācija patiesībā ir personas dati.
( 55 ) Skat. arī 29. panta Datu aizsardzības darba grupas Darba dokumentu 02/2013, kurā ir sniegti norādījumi par to, kā iegūstama piekrišana saistībā ar sīkdatņu izmantošanu, 1676/13/EN WP 208, 2013. gada 2. oktobris, 5. un 6. lpp., norādot, ka, “tā kā informācijas uzglabāšana vai informācija, kas, izmantojot sīkdatnes, jau tiek uzglabāta lietotāju ierīcēs, var ietvert personas datu apstrādi, tad uz šo gadījumu skaidri attiecas datu aizsardzības tiesību normas”.
( 56 ) Šajā nozīmē skat. spriedumus, 2014. gada 13. maijs, Google Spain un Google (C‑131/12, EU:C:2014:317, 71. punkts un tajā minētā judikatūra), un 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 25. punkts).
( 57 ) Spriedums, 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 28. punkts). Skat. arī spriedumu, 2011. gada 24. novembris, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 un C‑469/10, EU:C:2011:777, 38. punkts).
( 58 ) Skat. manus secinājumus lietā Rīgas satiksme (C‑13/16, EU:C:2017:43, 64. un 65. punkts). Kā tajos atgādināju, par šādām minētā Tiesa jau ir atzinusi pārskatāmību (spriedums, 2010. gada 9. novembris, Volker und Markus Schecke un Eifert (C‑92/09 un C‑93/09, EU:C:2010:662, 77. punkts) un īpašuma, veselības un ģimenes aizsardzību (spriedums, 2014. gada 11. decembris, Ryneš (C‑212/13, EU:C:2014:2428, 34. punkts). Skat. arī spriedumus, 2008. gada 29. janvāris, Promusicae, C‑275/06 (EU:C:2008:54, 53. punkts), un 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 29. punkts).
( 59 ) Skat. šo secinājumu 104. un 105. punktu.
( 60 ) Skat. arī 29. panta Datu aizsardzības darba grupas Atzinumu 06/2014 par personas datu [pārziņa] likumīgo interešu jēdzienu saskaņā ar Direktīvas 95/46/EK 7. pantu (844/14/LV WP 217), 25. lpp.
( 61 ) Kā esmu ierosinājis citās lietās, “konkurējošās likumīgās intereses ir ne vien jāpierāda, bet [..] tām ir jābūt arī svarīgākām par datu subjekta interesēm vai tiesībām un brīvībām”, kas izriet no Hartas 7. un 8. panta. Skat. manus secinājumus lietā Rīgas satiksme (C‑13/16, EU:C:2017:43, 56. un 66.–69. punkts un tajos minētā judikatūra).
( 62 ) Spriedums, 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 31. punkts un tajā minētā judikatūra).
( 63 ) Tāpēc ir jābūt atbilstīgai saiknei starp mērķiem (norādītajām leģitīmajām interesēm) un izvēlētajiem līdzekļiem (apstrādātajiem personas datiem). Šajā nozīmē skat. spriedumu, 2017. gada 4. maijs, Rīgas satiksme (C‑13/16, EU:C:2017:336, 30. punkts un tajā minētā judikatūra).
( 64 ) Šo secinājumu 76.–82. punkts.
( 65 ) Šo secinājumu 84.–88. punkts.
( 66 ) Kas, protams, neizslēdz, ka citiem iespējamajiem (un turpmākajiem) pārziņiem šis pienākums ir attiecībā uz to konkrētajām datu apstrādes darbībām.
( 67 ) Šo secinājumu 132. punkts. Skat. 29. panta Datu aizsardzības darba grupas Darba dokumentu 02/2013, kurā ir sniegti norādījumi par to, kā iegūstama piekrišana par sīkdatņu izmantošanu, 1676/13/EN WP 208, 2013. gada 2. oktobris, 4. lpp. Skat. arī 29. panta Datu aizsardzības darba grupas Atzinumu 15/2011 par jēdziena “piekrišana” definīciju, 1197/11/LV WP 187, 2011. gada 13. jūlijs, 9. lpp.