1.

Lai piedalītos Planet49 organizētajā loterijā, tīmekļa lietotājam tika piedāvātas divas izvēles rūtiņas, kurās viņam bija vai nu jāieliek ķeksītis, vai tas jāizņem, pirms viņš var nospiest “dalības pogu”. Vienā no izvēles rūtiņām lietotājam tika lūgts piekrist tam, ka ar viņu sazināsies virkne uzņēmumu reklāmas piedāvājumu nolūkos, otrajā izvēles rūtiņā lietotājam bija jāpiekrīt tam, ka viņa datorā tiek ievietotas sīkdatnes. Šādi īsumā ir Bundesgerichtshof (Federālā augstākā tiesa, Vācija) iesniegtajā lūgumā sniegt prejudiciālu nolēmumu minētie fakti.

2.

Aiz šiem šķietami nevainīgajiem faktiem slēpjas fundamentāls Savienības datu aizsardzības tiesiskā regulējuma jautājums – kādas tieši ir prasības attiecībā uz apzinātu piekrišanu, kurai jābūt brīvi sniegtai? Vai pastāv kāda atšķirība starp gadījumiem, kad tiek (tikai un vienīgi) apstrādāti personas dati, un gadījumiem, kad tiek ievietotas sīkdatnes un nodrošināta piekļuve tām? Kuri tiesību akti ir jāpiemēro?

3.

Šajos secinājumos argumentēšu, ka konkrētajā lietā prasības attiecībā uz piekrišanas došanu ir identiskas gan saskaņā ar Direktīvu 95/46/EK ( 2 ), gan saskaņā ar Regulu (ES) 2016/679 ( 3 ) un ka aplūkojamajā gadījumā nav nekādas atšķirības, vai runa ir par personas datu apstrādi vispārīgi vai par tādu specifiskāku jautājumu kā informācijas uzglabāšana un piekļuve tai, izmantojot sīkdatnes.

4.

Direktīvas 95/46 2. pantā “Definīcijas” ir noteikts:

“Šajā direktīvā:

[..]

5.

Šīs direktīvas II iedaļā “Kritēriji datu apstrādes atzīšanai par likumīgu” 7. panta a) punktā noteikts:

“Dalībvalstis paredz to, ka personas datus var apstrādāt tikai, ja:

[..].”

6.

Šīs pašas direktīvas 10. pantā “Informācija gadījumos, kad datus ievāc no datu subjekta” ir noteikts:

“Dalībvalstis paredz to, ka personas datu apstrādātājs vai viņa pārstāvis sniedz datu subjektam, no kura ievāc datus, kas uz viņu attiecas, vismaz šādu informāciju, ja vien datu subjektam tā nav zināma:

ciktāl šāda turpmāka informācija vajadzīga, ņemot vērā konkrētos apstākļus, kādos dati ievākti, lai garantētu godprātīgu apstrādi attiecībā uz datu subjektu.”

7.

Direktīvas 2002/58/EK ( 5 ) 24. un 25. apsvērumā ir teikts:

8.

Šīs direktīvas 2. panta “Definīcijas” f) punktā ir noteikts:

“Izņemot gadījumus, kad noteikts savādāk, piemēro definīcijas, kas minētas Direktīvā [95/46] un Eiropas Parlamenta un Padomes 2002. gada 7. marta Direktīvā 2002/21/EK par kopējo regulatīvo bāzi elektronisko komunikāciju tīkliem un pakalpojumiem (pamatdirektīva) [ ( 6 )].

Piemēro arī šādas definīcijas:

[..]

[..].”

9.

Šīs direktīvas 5. panta “Komunikāciju konfidencialitāte” 3. punktā ir noteikts:

“Dalībvalstis nodrošina, ka informācijas uzglabāšana abonenta vai lietotāja gala iekārtā vai piekļuves iegūšana šādā iekārtā jau uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu un saskaņā ar Direktīvu 95/46/EK nodrošināts ar skaidru un visaptverošu informāciju, tostarp par apstrādes nolūku. Tas neliedz jebkādu tehnisku uzglabāšanu vai piekļuvi, kas paredzēta vienīgi, lai veiktu saziņas pārraidīšanu elektronisko sakaru tīklā, vai kas noteikti nepieciešama tā informācijas sabiedrības pakalpojuma sniedzējam, kuru skaidri pieprasījis abonents vai lietotājs.”

10.

Direktīvas 2009/136/EK ( 8 ) 66. apsvērumā ir noteikts:

“Trešās personas var gribēt uzglabāt informāciju uz lietotāja aprīkojuma, vai piekļūt jau saglabātai informācijai dažādu iemeslu dēļ – sākot no likumīgiem (piemēram, noteikta veida sīkdatnes), līdz pat tādiem, kas saistīti ar neatļautu ielaušanos privātā sfērā (piemēram, spiegprogrammatūra un vīrusi). Tāpēc ir ārkārtīgi svarīgi, lai lietotājiem tiktu sniegta skaidra un visaptveroša informācija, iesaistoties darbībās, kuru rezultātā varētu notikt šāda datu uzglabāšana vai piekļūšana informācijai. Veidi, kādos tiek sniegta informācija, piedāvātas tiesības atteikties, būtu jāveido lietotājiem iespējami draudzīgāki. Atbrīvojums no pienākuma sniegt informāciju un piedāvāt tiesības atteikties būtu pieļaujams vienīgi situācijās, kurās tehniskā uzglabāšana vai piekļuve ir strikti nepieciešama likumīgā nolūkā – lai nodrošinātu īpaša pakalpojuma izmantošanu, kuru nepārprotami ir pieprasījis abonents vai lietotājs. Ja tas ir tehniski iespējami un efektīvi, saskaņā ar Direktīvas [95/46] attiecīgiem noteikumiem lietotāja vēlme piekrist apstrādei var tikt izteikta, izmantojot atbilstīgus iestatījumus pārlūkprogrammā vai citā lietotnē. Šo prasību piemērošana būtu jāpadara efektīvāka ar pastiprinātajām pilnvarām, kas piešķirtas attiecīgajām valsts iestādēm.”

11.

Regulas 2016/679 32. apsvērumā ir teikts:

“Piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts.”

12.

Minētās regulas 4. panta “Definīcijas” 11) punktā ir paredzēts:

“Šajā regulā:

[..]

[..].”

13.

Šīs regulas 6. pantā “Apstrādes likumīgums” ir paredzēts:

“1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

[..].”

14.

Regulas 2016/679 7. panta virsraksts ir “Nosacījumi piekrišanai”. Saskaņā ar 7. panta 4. punktu, “novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei”.

15.

Bürgerliches Gesetzbuch (Vācijas Civilkodekss, turpmāk tekstā – “BGB”) 307. pantā ( 9 ) ir noteikts:

“(1)   Tipveida noteikumi nav spēkā, ja pretēji labticības prasībām šo noteikumu izmantotāja līgumpartnerim tie ir nesamērīgi nelabvēlīgi. Nesamērīgu nelabvēlīgumu var radīt arī tas, ka noteikums nav skaidrs un saprotams.

(2)   Šaubu gadījumā var uzskatīt, ka ir radīta nesamērīgi nelabvēlīga situācija, ja noteikums

(3)   Šā panta 1. un 2. punkts, kā arī 308. un 309. pants tiek piemēroti tikai tādiem tipveida noteikumiem, ar ko puses vienojas par noteikumiem, ar kuriem pieļautas atkāpes no likuma normām vai ar kuriem papildina likuma normas. Citus noteikumus var atzīt par spēkā neesošiem, pamatojoties uz 1. punkta otro teikumu, skatot to kopsakarā ar 1. punkta pirmo teikumu.”

16.

Gesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu, turpmāk tekstā – “UWG”) aizliedz komercprakses, kuru rezultātā notiek nepieļaujama uzmākšanās tirgus dalībniekiem. UWG 7. panta 2. punkta 2) apakšpunktā noteikts, ka “nepieļaujama uzmākšanās tiek prezumēta gadījumā, ja [..] reklāmas pa tālruni pakalpojumi sniegti patērētājam bez viņa iepriekšējas nepārprotamas piekrišanas vai citam tirgus dalībniekam bez vismaz prezumētas viņa piekrišanas”.

17.

Ar Telemediengesetz (Elektronisko plašsaziņas līdzekļu likums, turpmāk tekstā – “TMG”) 12. panta 1. punktu transponēts Direktīvas 95/46 7. panta a) punkts un paredzēti nosacījumi, saskaņā ar kuriem pakalpojuma sniedzējs drīkst iegūt un izmantot personas datus elektronisko plašsaziņas līdzekļu vajadzībām. Saskaņā ar minēto pantu pakalpojuma sniedzējs drīkst iegūt un izmantot personas datus elektronisko plašsaziņas līdzekļu vajadzībām tikai tad, ja to atļauj TMG vai cita tiesību norma, kas tieši attiecas uz elektroniskiem plašsaziņas līdzekļiem, vai ja lietotājs ir devis savu piekrišanu.

18.

TMG 12. panta 3. punktā paredzēts, ka spēkā esošais personas datu tiesiskais regulējums ir jāpiemēro arī gadījumā, ja nav paredzēta datu automātiska apstrāde.

19.

Saskaņā ar TMG 13. panta 1. punktu pakalpojuma sniedzējam lietošanas procesa sākumā ir jāinformē lietotājs par personas datu apstrādes raksturu, apjomu un mērķi, kā arī datu apstrādi, kas veikta ārpus Direktīvas 95/46 piemērošanas jomas.

20.

TMG 15. panta 1. punktā paredzēts, ka pakalpojuma sniedzēji var iegūt un apstrādāt personas datus tikai tad, ja tas nepieciešams plašsaziņas līdzekļu izmantošanai tiešsaistē vai ar mērķi izrakstīt rēķinu saistībā ar šo izmantošanu (“lietotāja dati”). Lietotāja dati definēti kā tostarp tādi dati, kas ļauj identificēt lietotājus.

21.

Ar TMG 15. panta 3. punktu ir transponēts Direktīvas 2002/58 5. panta 3. punkts, atļaujot pakalpojuma sniedzējam reklāmas, tirgus izpētes vai elektronisko plašsaziņas līdzekļu konfigurācijas nolūkos izveidot lietotāju profilus, izmantojot pseidonīmus, ar nosacījumu, ka lietotājs pret to neiebilst pēc tam, kad pakalpojuma sniedzējs atbilstoši TMG 13. panta 1. punktā noteiktajam pienākumam sniegt informāciju viņu ir informējis par viņa tiesībām iebilst.

22.

Ar Bundesdatenschutzgesetz (Federālais datu aizsardzības likums, turpmāk tekstā – “BDSG”) ( 10 ) 3. panta 1. punktu ir transponēts Direktīvas 95/46 2. panta a) punkts, jēdzienu “personas dati” definējot kā datus par identificētas vai identificējamas fiziskas personas personīgajiem vai faktiskajiem apstākļiem.

23.

Ar BDSG 4.a pantu valsts tiesībās ir transponēts Direktīvas 95/46 2. panta h) punkts, paredzot, ka piekrišana ir spēkā tikai tādā gadījumā, ja tā pausta attiecīgo personu brīvas izvēles rezultātā.

24.

2013. gada 24. septembrīPlanet49 GmbH tīmekļvietnē www.dein‑macbook.de ( 11 ) organizēja reklāmas loteriju. Lai piedalītos šajā loterijā, tīmekļa lietotājam bija jāievada savs pasta indekss, tādējādi nokļūstot lapā, kurā bija tukši lauciņi lietotāja vārda un uzvārda, kā arī adreses ievadīšanai. Zem adreses ievadīšanai paredzētajiem lauciņiem bija divas sadaļas ar paskaidrojošu tekstu kopā ar izvēles rūtiņām. Turpmāk tās saukšu par “pirmo izvēles rūtiņu” un “otro izvēles rūtiņu”. Pirmajā paskaidrojošajā tekstā, kura izvēles rūtiņa nebija atzīmēta ar ķeksīti, bija teikts:

“Piekrītu saņemt dažu sponsoru un sadarbības partneru informāciju par komercpiedāvājumiem pa pastu vai tālruni vai e‑pastu/SMS. Tos varu izvēlēties šeit pēc saviem ieskatiem, pretējā gadījumā izvēli veiks organizētājs. Šo piekrišanu varu atsaukt jebkurā laikā. Sīkāku informāciju skatīt šeit.”

25.

Otrajā paskaidrojošajā tekstā, kura izvēles rūtiņa bija atzīmēta ar ķeksīti, bija teikts:

“Piekrītu, ka attiecībā uz mani tiek izmantots tīmekļa analīzes dienests Remintrex. Tas nozīmē, ka, man piereģistrējoties dalībai loterijā, loterijas organizētājs Planet49 GmbH ievieto sīkdatnes, kas Planet49 ļauj izvērtēt manus tīklklejošanas un lietošanas paradumus reklāmas partneru tīmekļvietnēs un tādējādi ļauj Remintrex ievietot reklāmu, kas ir balstīta uz lietotāja interesēm. Sīkdatnes jebkurā laikā varu atkal izdzēst. Sīkāku informāciju lasiet šeit.”

26.

Piedalīties loterijā bija iespējams tikai tad, ja ar ķeksīti tika atzīmēta vismaz pirmā izvēles rūtiņa.

27.

Aktivizējot pirmajā paskaidrojošajā tekstā esošo elektronisko saiti “sponsori un sadarbības partneri” un “šeit”, varēja nokļūt sarakstā, kurā bija minēti 57 uzņēmumi, to adreses, reklamējamā komercdarbības joma un reklāmai izmantojamais saziņas veids (e‑pasts, pasts vai tālrunis), kā arī aiz katra uzņēmuma atradās pasvītrots vārds “atteikties”. Saraksta sākumā bija šāds paziņojums:

“Uzklikšķinot uz saites “atteikties”, nolemju, ka nedrīkst dot piekrišanu attiecīgā sadarbības partnera/sponsora reklāmas materiālu saņemšanai. Man neatsakoties ne no viena vai atsakoties no nepietiekama skaita sadarbības partneru/sponsoru, Planet49 manā vietā pēc saviem ieskatiem izvēlēsies sadarbības partnerus/sponsorus (maksimālais skaits – 30 sadarbības partneri/sponsori).”

28.

Ar klikšķi aktivizējot otrajā paskaidrojošajā tekstā elektronisko saiti “šeit”, parādījās šāda informācija:

“Ievietotās sīkdatnes ar nosaukumu ceng_cache, ceng_etag, ceng_png un gcr ir nelieli faili, ko Jūsu izmantotā pārlūkprogramma saglabā Jūsu cietajā diskā un kas nodrošina noteiktas informācijas plūsmu, veicinot lietotājam draudzīgākas un efektīvākas reklāmas saņemšanu. Sīkdatnēs ir ietverts noteikts, pēc nejaušības principa ģenerēts numurs (ID), kas vienlaicīgi ir saistīts ar Jūsu reģistrācijas datiem. Vēlāk apmeklējot kāda Remintrex reģistrēta reklāmas sadarbības partnera tīmekļvietni (vai sadarbības partneris ir reģistrēts, lūdzam skatīt reklāmas sadarbības partnera atrunu par datu aizsardzību), pamatojoties uz Remintrex tur ievietotu iFrame automātiski tiek apkopota informācija, ka Jūs (t.i., lietotājs, kura ID ir saglabāts) apmeklējāt tīmekļvietni, par kādu preci Jūs interesējāties un vai tika noslēgts darījums.

Pēc tam Planet49 GmbH – pamatojoties uz piekrišanu saņemt reklāmas materiālus, kas dota, reģistrējoties loterijai, – var noorganizēt, ka Jums tiek nosūtīti reklāmas e‑pasta sūtījumi, kuros ir ņemtas vērā Jūsu no reklāmas sadarbības partnera tīmekļvietnes apmeklējuma izrietošās intereses. Atsaucot piekrišanu saņemt reklāmas materiālus, Jūs, protams, vairs nesaņemsiet reklāmas e‑pasta sūtījumus.

Ar sīkdatņu palīdzību saņemto informāciju izmanto tikai un vienīgi reklāmas vajadzībām, iepazīstinot ar reklāmas sadarbības partneru precēm. Informāciju ievāc, uzglabā un izmanto katram reklāmas sadarbības partnerim atsevišķi. Nekādā gadījumā netiks izveidoti vispārēji reklāmas sadarbības partneru lietotāju profili. Individuālie reklāmas sadarbības partneri nesaņem nekādus personas datus.

Ja Jūs vairs neesat ieinteresēts sīkdatņu izmantošanā, Jūs tās jebkurā laikā varat dzēst, izmantojot savu pārlūkprogrammu. Pārlūkprogrammas palīdzības sadaļā ir atrodama informācija, kā to izdarīt.

Ar sīkdatnēm nav iespējams nedz palaist kādas programmas, nedz pārnēsāt vīrusus.

Protams, Jūs jebkurā laikā varat atsaukt šo piekrišanu. Rakstveida atsaukumu Jūs varat nosūtīt PLANET49 GmbH [adrese]. Tomēr pietiek arī nosūtīt e‑pastu mūsu klientu servisam [e‑pasta adrese].”

29.

Prasītāja pamatlietā – Bundesverband der Verbraucherzentralen (Vācijas Federālā patērētāju tiesību aizsardzības centru apvienība, turpmāk – “Bundesverband”), ir iekļauta kvalificēto organizāciju sarakstā, kas izveidots saskaņā ar Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Likums par prasībām aizliegt veikt prettiesiskas darbības patērētāju tiesību un citās jomās, turpmāk tekstā – “UKlaG”). Bundesverband uzskata, ka Planet49 izmantotie piekrišanas apliecinājumi neatbilst BGB 307. panta, UWG 7. panta 2. punkta 2) apakšpunkta, TMG 12. un nākamo pantu prasībām. Pirmstiesas brīdinājums nav devis nekādus rezultātus.

30.

Bundesverband ierosināja tiesvedību Landgericht Frankfurt am Main (Frankfurtes pie Mainas apgabaltiesa, Vācija), pieprasot, lai Planet49 pārstāj izmantot iepriekš minētos noteikumus ( 12 ), un lūdzot uzlikt uzņēmumam pienākumu samaksāt prasītājai 214 EUR un procentus kopš 2014. gada 15. marta.

31.

Landgericht Frankfurt am Main (Frankfurtes pie Mainas apgabaltiesa) dažus prasījumus apmierināja, pārējā daļā prasību noraidot. Pēc apelācijas sūdzības ( 13 ) iesniegšanas Oberlandesgericht Frankfurt am Main (Federālās zemes Augstākā tiesa Frankfurtē pie Mainas, Vācija) tika iesniegta kasācijas sūdzība ( 14 )Bundesgerichtshof (Federālajā augstākā tiesa).

32.

Bundesgerichtshof (Federālā augstākā tiesa) uzskata, ka tas, vai kasācijas sūdzība var tikt apmierināta, ir atkarīgs no Direktīvas 2002/58 5. panta 3. punkta un 2. panta f) punkta interpretācijas, skatot tos kopsakarā ar Direktīvas 95/46 2. panta h) punktu, kā arī Regulas 2016/679 6. panta 1. punkta a) apakšpunktu, tādēļ tā lūdz Eiropas Savienības Tiesu sniegt prejudiciālu nolēmumu par šādiem jautājumiem:

33.

Lūgumu sniegt prejudiciālu nolēmumu Tiesa saņēma 2017. gada 30. novembrī. Rakstveida apsvērumus lietā ir iesniegušas Planet49, Bundesverband, Portugāles un Itālijas valdības, kā arī Eiropas Komisija. Tiesas sēde notika 2018. gada 13. novembrī, tajā piedalījās Planet49, Bundesverband, Vācijas valdība un Komisija.

34.

Abi jautājumi, kurus Bundesgerichtshof (Federālā augstākā tiesa) ir uzdevusi prejudiciāla nolēmuma sniegšanai, ir par piekrišanu informācijas saglabāšanai lietotāja galaiekārtā vai piekļuvi šajā iekārtā jau uzglabātai informācijai, proti, sīkdatnēm, specifiskajā Direktīvas 2002/58 normu kontekstā, skatot tās kopsakarā ar Direktīvas 95/46 vai Regulas 2016/679 normām.

35.

Uzskatu par lietderīgu ievada apsvērumos sniegt faktoloģiskus paskaidrojumus par sīkdatņu parādību un ar tām saistīto terminoloģiju, kā arī juridisku skaidrojumu par šajā lietā piemērojamiem tiesību aktiem.

36.

Sīkdatne ir veids, kādā var iegūt tīmekļvietnes ģenerēto un tīmekļa lietotāja pārlūkprogrammas saglabāto informāciju ( 15 ). Sīkdatne ir neliela datu vai teksta datne, parasti mazāk nekā viena kilobaita lielumā, kuru tīmekļvietne ar tīmekļa lietotāja pārlūkprogrammas palīdzību saglabā lietotāja datora cietajā diskā vai mobilajā ierīcē ( 16 ).

37.

Sīkdatnes ļauj tīmekļvietnei “atcerēties” lietotāja laika gaitā veiktās darbības un izdarītās izvēles. Lielākā daļa tīmekļa pārlūkprogrammu pieļauj sīkdatnes, tomēr lietotāji var iestatīt pārlūkprogrammas tā, lai atteiktos no sīkdatnēm. Viņi var arī jebkurā brīdī dzēst sīkdatnes. Daudzi lietotāji sīkdatņu iestatījumus savās pārlūkprogrammās iestata tā, lai sīkdatnes, aizverot pārlūkprogrammas logu, tiktu dzēstas automātiski. Tomēr empīriskie pierādījumi pārsvarā liecina par to, ka noklusējuma iestatījumus cilvēki maina visnotaļ reti – šis fenomens ir pazīstams kā “noklusējuma inertums” ( 17 ).

38.

Tīmekļvietnes izmanto sīkdatnes nolūkā identificēt lietotājus, atcerēties viņu ierastās preferences, kā arī nolūkā atļaut lietotājiem pabeigt uzdevumus bez nepieciešamības ievadīt informāciju atkārtoti, ja lietotājs pāriet no vienas lapas uz nākamo vai apmeklē vietni vēlāk.

39.

Sīkdatnes var izmantot arī tam, lai iegūtu informāciju uz lietotāja paradumiem tiešsaistē balstītas mērķreklāmas un mērķtirgvedības nolūkos ( 18 ). Uzņēmumi, piemēram, var izmantot programmatūru, lai sekotu lietotāja paradumiem un izveidotu personu profilus, kas ļauj rādīt lietotājiem reklāmu, kura ir pielāgota viņu iepriekšējiem meklēšanas pieprasījumiem ( 19 ).

40.

Ir vairāku veidu sīkdatnes, dažas no tām tiek klasificētas pēc to dzīves ilguma (piem., sesijas sīkdatnes un pastāvīgās sīkdatnes), citas – pēc domēna, kuram pieder šīs sīkdatnes (piem., pirmās puses sīkdatnes un trešās puses sīkdatnes) ( 20 ). Ja tīmekļa serveris, kas uztur tīmekļvietni, saglabā sīkdatnes lietotāja datorā vai mobilajā ierīcē, šādas sīkdatnes sauc par “http galvenes” sīkdatnēm ( 21 ). Sīkdatnes var saglabāt, arī izmantojot JavaScript kodu, ko satur šī lapa vai kas piesaistīts lapai ( 22 ). Tomēr piekrišanas sīkdatņu izvietošanai spēkā esamība un jebkuru attiecīgu izņēmumu piemērošana ir jāizvērtē, par pamatu drīzāk ņemot sīkdatnes mērķi, nevis tās tehniskās īpatnības ( 23 ).

41.

Pamatlietā piemērojamais tiesiskais regulējums gadu gaitā ir attīstījies, un nesenākais attīstības posms ir Regulas 2016/679 stāšanā spēkā.

42.

Šajā lietā ir piemērojami divi Savienības tiesību aktu kopumi. Viens no tiem ir Direktīva 95/46 un Regula 2016/679. Otrs – Direktīva 2002/58, kas grozīta ar Direktīvu 2009/136 ( 24 ).

43.

Attiecībā uz šiem abiem tiesību aktu kopumiem vēlos izdarīt divas piezīmes.

44.

Pirmā piezīme ir par Direktīvas 95/46 un Regulas 2016/679 piemērojamību.

45.

Ar Regulu 2016/679, kas ir piemērojama no 2018. gada 25. maija ( 25 ), no tās pašas dienas tika atcelta Direktīva 95/46 ( 26 ).

46.

Gan pēdējā iesniedzējtiesas sēde 2017. gada 14. jūlijā, gan šīs lietas nodošana Eiropas Savienības Tiesai 2017. gada 5. oktobrī prejudiciāla nolēmuma sniegšanai bija notikušas jau pirms 2018. gada 25. maija.

47.

Tātad situācijām, kas radušās pirms 2018. gada 25. maija, ir piemērojama Direktīva 2002/58 kopā ar Direktīvu 95/46, savukārt situācijām, kas radušās pēc 2018. gada 25. maija, ir piemērojama Direktīva 2002/58 kopā ar Regulu 2016/679.

48.

Tā kā Bundesverband ar prasību par aizliegumu ( 27 ) vēlas novērst līdzīgu Planet49 rīcību nākotnē, konkrētajā lietā ir piemērojama Regula 2016/679. Tāpēc, lemjot par prasību, kurā lūgts noteikt aizliegumu turpmāk veikt attiecīgas darbības, Bundesgerichtshof (Federālā augstākā tiesa) būs jāņem vērā Regulas 2016/679 prasības. Šajā saistībā Vācijas valdība norāda uz pastāvīgo valsts judikatūru jautājumā par tiesisko situāciju, kas ir jāņem vērā, izskatot prasības par aizlieguma noteikšanu ( 28 ).

49.

Tāpēc, atbildot uz prejudiciālo jautājumu, ir jāņem vērā gan Direktīva 95/46, gan Regula 2016/679 ( 29 ).

50.

Turklāt jānorāda, ka Direktīvā 2002/58 ietvertās atsauces uz Direktīvu 95/46 ir jāuzskata par atsaucēm uz Regulu 2016/679 ( 30 ).

51.

Otrā piezīme ir par Direktīvas 2002/58 5. panta 3. punkta attīstību.

52.

Direktīvas 2002/58 mērķis ir nodrošināt, ka pilnībā tiek ievērotas Eiropas Savienības Pamattiesību hartā, jo īpaši šīs hartas 7. un 8. pantā, noteiktās tiesības ( 31 ). Šīs direktīvas 5. panta mērķis ir nodrošināt “komunikāciju konfidencialitāti”. Konkrēti, 5. panta 3. punkts regulē sīkdatņu izmantošanu un nosaka prasības, kuras ir jāievēro pirms datu saglabāšanas lietotāja datorā vai piekļuves šiem datiem ar iestatīto sīkdatņu starpniecību.

53.

Direktīvas 2002/58 5. panta 3. punktā noteiktajās prasībās attiecībā uz piekrišanu ar Direktīvu 2009/136 tika ieviestas būtiskas izmaiņas, lai stingrāk aizsargātu lietotājus. Pirms minētajiem grozījumiem direktīvas 5. panta 3. punktā bija noteikta tikai prasība nodrošināt lietotājiem iespēju, saņēmušiem informāciju, “atteikties” [“opt‑out”] no datu apstrādes ar sīkdatņu palīdzību. Citiem vārdiem, saskaņā ar 5. panta 3. punkta sākotnējo redakciju, saglabājot informāciju lietotāja galaiekārtā vai piekļūstot šajā iekārtā saglabātajai informācijai, pakalpojuma sniedzējam bija jāsniedz lietotājam skaidra un visaptveroša informācija, jo sevišķi par apstrādes nolūkiem, kā arī jāpiedāvā lietotājam tiesības liegt veikt šādu apstrādi.

54.

Ar Direktīvu 2009/136 prasība informēt par tiesībām atteikties tika aizstāta ar prasību par to, ka “attiecīgais abonents vai lietotājs ir devis savu piekrišanu”, kas nozīmē, ka apzinātas atteikšanās sistēma, kuras prasības bija vieglāk izpildāmas, tika aizstāta ar apzinātas pieteikšanās [“opt‑in”] sistēmu. Atskaitot kādu ļoti ierobežotu izņēmumu, kas šajā lietā nav piemērojams ( 32 ), sīkdatņu izmantošana saskaņā ar pārskatīto Direktīvas 2002/58 5. panta 3. punktu ir atļauta tikai tad, ja lietotājs ir devis piekrišanu pēc tam, kad viņam saskaņā ar Direktīvu 95/46 ir sniegta skaidra un visaptveroša informācija par to, kādēļ viņa dati tiek izsekoti, proti, par apstrādes nolūkiem ( 33 ).

55.

Kā turpinājumā izklāstīšu sīkāk, šīs lietas strīda pamatā ir Direktīvas 2002/58 5. panta 3. punktā noteiktās prasības par informācijas sniegšanu tvērums, jo sevišķi tiešsaistes darbību noklusējuma iestatījumu kontekstā.

56.

Ar pirmā jautājuma a) daļu iesniedzējtiesa vēlas noskaidrot, vai derīga piekrišana Direktīvas 2002/58 5. panta 3. punkta un 2. panta f) punkta izpratnē, skatot tos kopsakarā ar Direktīvas 95/46 2. panta h) punktu, ir dota tad, ja informācijas saglabāšana lietotāja galaiekārtā vai piekļuve tur jau uzglabātai informācijai tiek atļauta, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem. Saistībā ar šo jautājumu iesniedzējtiesa vēlas arī noskaidrot, vai ir kāda atšķirība, vai uzglabātā vai ievāktā informācija ir personas dati (pirmā jautājuma b) daļa). Visbeidzot, iesniedzējtiesa vēlas arī noskaidrot, vai iepriekš aprakstītajos apstākļos ir dota derīga piekrišana Regulas 2016/679 6. panta 1. punkta a) apakšpunkta izpratnē (pirmā jautājuma c) daļa).

57.

Viena no Savienības datu aizsardzības regulējuma pamatiezīmēm ir piekrišana.

58.

Pirms pievērsīšos konkrēti sīkdatnēm, vēlos izklāstīt no piemērojamajiem tiesību aktiem izrietošos piekrišanas došanas pamatprincipus.

59.

No Direktīvas 95/46 noteikumiem var secināt, ka piekrišana ir jāpauž aktīvi ( 34 ).

60.

Direktīvas 95/46 2. panta h) punktā norādīta atsauce uz datu subjekta vēlmju norādījumu, kas skaidri liecina par drīzāk aktīvu, nevis pasīvu uzvedību. Papildus tam Direktīvas 95/46 7. panta a) punktā, kas regulē kritērijus (personas) datu apstrādes atzīšanai par likumīgu, norādīts, ka datu subjekts nepārprotami devis savu piekrišanu. Arī nepārprotamība ir panākama tikai ar aktīvu, nevis pasīvu uzvedību.

61.

No minētā secinu, ka šajā saistībā nav pietiekami, ja lietotāja piekrišanas apliecinājums ir iepriekš noformulēts un ja lietotājam ir aktīvi jāizsaka iebildumi, kad viņš nepiekrīt datu apstrādei.

62.

Šāda iepriekš noformulēta teksta gadījumā nav pārliecības par to, vai šis teksts ir izlasīts un izprasts. Situācija nav nepārprotama. Varbūt lietotājs šo tekstu ir izlasījis, varbūt nav. Iespējams, ka viņš to nav izdarījis gluži vienkārši nolaidības dēļ. Šādā gadījumā nav iespējams noskaidrot, vai piekrišana ir dota brīvi.

63.

Ar prasību par aktīvu piekrišanu ir cieši saistīta prasība par atsevišķu piekrišanu ( 35 ).

64.

Varētu iebilst – kā dara Planet49 – ka derīgu piekrišanu datu subjekts dod nevis tad, kad viņš neizņem ķeksīti no iepriekš formulēta piekrišanas apliecinājuma, bet gan tad, kad viņš ar aktīvām darbībām “noklikšķina” dalības pogu, lai piedalītos tiešsaistes loterijā.

65.

Šādai interpretācijai es nepiekrītu.

66.

Lai piekrišana būtu “[brīvi] sniegta” un “[apzināta]”, tai jābūt ne tikai aktīvai, bet arī atsevišķai. Lietotāja aktivitātes tīmeklī (tīmekļa lapas lasīšana, dalība loterijā, videoieraksta skatīšanās u.tml.) un piekrišanas došana nevar tikt veiktas vienas darbības ietvaros. Raugoties no lietotāja skatupunkta, piekrišanas sniegšana var nešķist kā papildu darbība dalībai loterijā. Abām darbībām jo īpaši vizuālā ziņā ir jābūt prezentētām kā vienlīdz svarīgām. Tāpēc šaubos, ka piekrišanas apliecinājuma ietveršana vairāku gribas izteikumu paketē būtu atbilstoša piekrišanas jēdzienam Direktīvas 95/46 izpratnē.

67.

Šajā kontekstā lietotājam ir jābūt pilnīgai skaidrībai par to, vai viņa veiktās darbības tīmeklī ir atkarīgas no piekrišanas sniegšanas. Jānodrošina, ka lietotājs var izvērtēt, cik lielā mērā viņš ir gatavs sniegt savus datus, lai veiktu darbības tīmeklī. Jāizslēdz jebkura nenoteiktība ( 36 ). Lietotājam ir jābūt informētam par to, vai un cik lielā mērā piekrišanas sniegšana ietekmē tās darbības, kuras viņš iecerējis veikt tīmeklī.

68.

Iepriekš noteiktie principi ir vienlīdz spēkā arī Regulas 2016/679 gadījumā.

69.

Regulas 2016/679 4. panta 11. punktā datu subjekta piekrišana definēta kā jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā dod piekrišanu savu personas datu apstrādei.

70.

Jānorāda, ka šī definīcija ir stingrāka nekā Direktīvas 95/46 2. panta h) punktā sniegtā, tādā ziņā, ka ir pieprasīta viennozīmīga norāde uz datu subjekta vēlmēm un skaidri apstiprinoša darbība, kas norāda uz piekrišanu personas datu apstrādei.

71.

Turklāt Regulas 2016/679 apsvērumi ir jo sevišķi izskaidrojoši. Ņemot vērā, ka daudzkārt atsaukšos uz šiem apsvērumiem ( 37 ), es uzskatu par vajadzīgu norādīt, ka tiem, protams, nav patstāvīgas juridiskas nozīmes ( 38 ), tomēr Tiesa bieži tos izmanto, interpretējot Savienības tiesību aktu noteikumus. Savienības tiesību sistēmā tie pēc savas iedabas ir aprakstoši, nevis normatīvi. Proti, jautājums par to juridisko nozīmi parasti nerodas tā vienkāršā iemesla dēļ, ka apsvērumi parasti tiek atspoguļoti direktīvas tiesību normās. Savienības politisko iestāžu labas likumdošanas prakses mērķis ir tiekties uz situāciju, kurā apsvērumos ir sniegts noderīgs tiesību akta normu konteksta skaidrojums ( 39 ).

72.

Saskaņā ar Regulas 2016/679 32. apsvērumu piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu.

73.

Tādējādi Regulā 2016/679 tagad ir skaidri paredzēta aktīva piekrišana.

74.

Turklāt minētās regulas 43. apsvērumā noteikts, ka, lai nodrošinātu, ka piekrišana ir sniegta brīvi, piekrišanai nevajadzētu kalpot par derīgu juridisko pamatu personas datu apstrādei konkrētā gadījumā, kad datu subjekta un pārziņa attiecībās pastāv skaidra nevienlīdzība, jo īpaši, ja pārzinis ir publiska iestāde un tāpēc ir maz ticams, ka piekrišana visos minētās konkrētās situācijas apstākļos bija sniegta brīvi. Uzskata, ka piekrišana nav sniegta brīvi, ja tā neparedz atsevišķu piekrišanu dažādām personas datu apstrādes darbībām, neraugoties uz to, ka tas ir atbilstīgi konkrētajā gadījumā, vai ja tiek noteikts, ka no šīs piekrišanas ir atkarīga līguma izpilde, tostarp pakalpojuma sniegšana, neraugoties uz to, ka minētā piekrišana nav noteikti nepieciešama šādai izpildei.

75.

Tādējādi minētajā apsvērumā tagad ir skaidri uzsvērta atsevišķas piekrišanas nepieciešamība.

76.

Saskaņā ar Direktīvas 2002/58 5. panta 3. punktu dalībvalstīm jānodrošina, ka informācijas saglabāšana abonenta vai lietotāja galaiekārtā vai piekļuves iegūšana šādā iekārtā jau uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu un saskaņā ar Direktīvu 95/46 nodrošināts ar skaidru un visaptverošu informāciju, tostarp par apstrādes nolūku.

77.

Šajā tiesību normā nav noteikti nekādi turpmāki kritēriji saistībā ar piekrišanas jēdzienu.

78.

Tomēr Direktīvas 2002/58 un Direktīvas 2009/136 apsvērumos ir rodami norādījumi par piekrišanu saistībā ar sīkdatnēm.

79.

Tādējādi Direktīvas 2002/58 17. apsvērumā ir norādīts, ka piekrišanu var sniegt ar jebkuru pienācīgu metodi, kas ļauj lietotājam brīvi sniegt konkrētu un informētu norādi par savu vēlmi, tostarp atzīmēšanu ar ķeksīti interneta tīmekļa vietnē ( 40 ).

80.

Turklāt Direktīvas 2009/136 66. apsvērumā ir izskaidrots, ka ir ārkārtīgi svarīgi lietotājiem sniegt skaidru un visaptverošu informāciju, iesaistoties darbībās, kuru rezultātā varētu tikt saglabāta informācija par lietotāja aprīkojumu vai piekļūts jau saglabātai informācijai, kā arī veidi, kādos tiek sniegta informācija un piedāvātas tiesības atteikties, būtu jāveido lietotājiem iespējami draudzīgāki.

81.

Šajā saistībā vēlos arī norādīt uz juridiski nesaistošo, tomēr informatīvo darbu, kuru izstrādājusi 29. panta datu aizsardzības darba grupa (turpmāk – “29. panta darba grupa”) ( 41 ), saskaņā ar kuru par piekrišanu uzskatāma iepriekšēja apstiprinoša lietotāja veikta darbība, apstiprinot sīkdatnes uzglabāšanu un sīkdatnes izmantošanu ( 42 ). Darba grupa arī norādījusi, ka jēdziens “norāde” liecina par vajadzību rīkoties ( 43 ). Piekrišanas definīcijas pārējie elementi un Direktīvas 95/46 7. panta a) punktā minētā papildu prasība par to, ka piekrišanai jābūt nepārprotamai, apstiprina šo interpretāciju ( 44 ). Prasība saskaņā ar kuru datu subjektam piekrišana “jāizsaka”, norāda, ka ar vienkāršu rīcības trūkumu nepietiek un piekrišanas izteikšana nozīmē tādu vai citādu rīcību, lai gan rīcības veidi “atkarībā no konteksta” var būt dažādi ( 45 ).

82.

Tagad es vēlētos piemērot šos kritērijus konkrētajā lietā. Tālab vispirms pievērsīšos pirmā jautājuma a) un c) daļai, proti, jautājumam par to, vai ir dota derīga piekrišana sīkdatņu iestatīšanai un piekļuvei pie sīkdatnēm. Minētais jautājums attiecas uz otro izvēles rūtiņu.

83.

Vēl, ņemot vērā to, ka iepriekš esmu secinājis, ka prasības par piekrišanu sīkdatņu vai – vispārīgi – personas datu apstrādes gadījumā būtiski neatšķiras, pabeigtības un skaidrības labad, lai arī iesniedzējtiesa nav tieši uzdevusi šādu jautājumu, tomēr lai veicinātu pareizu un vienotu Savienības tiesību interpretāciju, uzskatu par nepieciešamu īsumā analizēt, vai ir sniegta derīga piekrišana personas datu apstrādei pirmo izvēles rūtiņas kontekstā. Kā saprotu, arī konkrētajā lietā Bundesgerichtshof (Federālā augstākā tiesa) būs jāspriež par pirmo izvēles rūtiņu ( 46 ).

84.

Iesniedzējtiesa jautā, vai tā ir derīga piekrišana Direktīvas 2002/58 5. panta 3. punkta un 2. panta f) punkta izpratnē, tos skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, ja informācijas saglabāšana lietotāja galaiekārtā vai piekļuve tur jau uzglabātai informācijai tiek atļauta, izmantojot iepriekš ar ķeksīti atzīmētu izvēles rūtiņu, no kuras lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem.

85.

Lai atbildētu uz šo jautājumu, būtiski ir Direktīvas 95/46 2. panta h) punktā un Regulas 2016/679 4. panta 11. punktā lietotie jēdzieni “brīvi sniegta” un “apzināta”. Rodas jautājums, vai iesniedzējtiesas aprakstītajā situācijā piekrišanu var sniegt brīvi un apzināti.

86.

Planet49 uzskata, ka tas tā ir. Pārējie lietas dalībnieki ( 47 ) tam nepiekrīt. Šajā kontekstā juridiskais strīds starp lietas dalībniekiem galvenokārt koncentrējās ap to, vai iepriekš aizpildītas izvēles rūtiņas atzīmēšana ar ķeksīti vai ķeksīša izņemšana no šīs rūtiņas atbilst šīm prasībām. Iztirzāts tiek jautājums par aktivitāti un pasivitāti. Tomēr šis aspekts, lai cik tas arī nebūtu būtisks, ir tikai daļa no prasībām. Proti, tas skar jautājumu par aktīvu piekrišanu, bet ne jautājumu par atsevišķu piekrišanu.

87.

Manuprāt, pamatojoties uz iepriekš noskaidrotajiem kritērijiem, atbilde uz šo jautājumu ir tāda, ka aplūkotajā gadījumā nav dota derīga piekrišana.

88.

Pirmkārt, prasība lietotājam izņemt ķeksīti no izvēles rūtiņas un tādējādi kļūt aktīvam tad, ja viņš nepiekrīt sīkdatņu iestatīšanai, neatbilst aktīvas piekrišanas kritērijam. Šādā gadījumā ir praktiski neiespējami objektīvi konstatēt, vai lietotājs par savu piekrišanu ir izlēmis brīvi un apzinoties apstākļus. Savukārt gadījumā, ja lietotājam pieprasīts atzīmēt ar ķeksīti izvēles rūtiņu, šādas pārliecības varbūtība ir daudz augstāka.

89.

Otrs un daudz būtiskāks ir apstāklis, ka dalība tiešsaistes loterijā un piekrišanas došana sīkdatņu iestatīšanai nevar tikt veiktas ar vienu darbību. Taču konkrētajā lietā tieši tā ir noticis. Galu galā lietotājs tikai vienreiz noklikšķina uz dalības pogas, lai piedalītos loterijā. Tajā pašā laikā viņš piekrīt sīkdatņu iestatīšanai. Divi gribas izteikumi (dalība loterijā un piekrišana sīkdatņu iestatīšanai) ir veikti vienlaikus. Abi šie izteikumi nevar tikt veikti ar vienas dalības pogas palīdzību. Proti, konkrētajā lietā piekrišanas došana sīkdatņu iestatīšanai šķiet esam papilddarbība, tādā ziņā, ka nebūt nav skaidrs, ka tā ir daļa no atsevišķas darbības. Citiem vārdiem, izvēles rūtiņas atzīmēšana ar ķeksīti (ķeksīša izņemšana) šķiet esam sagatavošanās darbība galīgajai un juridiski saistošajai darbībai, proti, dalības pogas “noklikšķināšanai”.

90.

Šādā gadījumā lietotājs nespēj brīvi sniegt atsevišķu piekrišanu informācijas saglabāšanai viņa galaiekārtā vai piekļuvei tur jau uzglabātai informācijai.

91.

Turklāt iepriekš jau esmu konstatējis, ka dalība loterijā bija iespējama tikai tad, ja ar ķeksīti atzīmēta bija vismaz pirmā izvēles rūtiņa. Līdz ar to dalība loterijā nebija pakārtota nosacījumam ( 48 ), ka ir sniegta piekrišana sīkdatņu iestatīšanai vai piekļuvei pie šīm sīkdatnēm. Proti, lietotājs varēja ar ķeksīti atzīmēt (tikai) pirmo izvēles rūtiņu.

92.

Tomēr, cik man zināms, lietotājs nevienā brīdī par to netika informēts. Tādējādi nav ievērots iepriekš noskaidrotais kritērijs par lietotāju pilnīgu informēšanu.

93.

Iznākumā ierosinu uz pirmā jautājuma a) un c) daļu atbildēt, ka derīga piekrišana Direktīvas 2002/58 5. panta 3. punkta un 2. panta f) punkta izpratnē, tos skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, nav dota gadījumā, ja tāpat kā pamatlietā informācijas saglabāšana lietotāja galaiekārtā vai piekļuve tur jau uzglabātai informācijai tiek atļauta, izmantojot iepriekš aizpildītu izvēles rūtiņu, no kuras lietotājam, ja viņš nevēlas dot savu piekrišanu, ķeksītis ir jāizņem, un piekrišana tiek sniegta nevis atsevišķi, bet gan vienlaikus ar apstiprinājumu par dalību tiešsaistes loterijā. Minētais attiecināms arī uz Direktīvas 2002/58 5. panta 3. punkta un 2. panta f) punkta interpretāciju, skatot tos kopsakarā ar Regulas 2016/679 4. panta 11. punktu.

94.

Lai arī iesniedzējtiesas jautājumi attiecas tikai uz otro izvēles rūtiņu, vēlos izklāstīt divus īpašus apsvērumus par pirmo izvēles rūtiņu, kas varētu palīdzēt iesniedzējtiesai galīgā nolēmuma pieņemšanā.

95.

Jāatgādina, ka pirmā izvēles rūtiņa nav saistīta ar sīkdatnēm, bet tikai ar personas datu apstrādi. Atzīmējot ar ķeksīti šo izvēles rūtiņu, lietotājs piekrīt nevis informācijas saglabāšanai viņa iekārtā, bet (tikai) tam, ka ar viņu ar pasta, telefona vai e‑pasta starpniecību sazināsies uzņēmumu sarakstā norādītie uzņēmumi.

96.

Pirmkārt, aktīvas un atsevišķas piekrišanas un pilnīgas informācijas kritēriji acīmredzami attiecas arī uz pirmo izvēles rūtiņu. Ar piekrišanas aktīvumu šajā gadījumā nav problēmu, jo izvēles rūtiņa nav iepriekš atzīmēta ar ķeksīti. Tomēr man ir zināmas šaubas par piekrišanas atsevišķumu. Pamatojoties uz iepriekš veikto analīzi ( 49 ) un ievērojot konkrētās lietas faktiskos apstākļus, būtu labāk, ja piekrišanas sniegšanai par personas datu apstrādi, tēlaini izsakoties, būtu paredzēta atsevišķi noklikšķināma poga ( 50 ), nevis tikai ar ķeksīti atzīmējama rūtiņa.

97.

Otrkārt, kas attiecas uz pirmo izvēles rūtiņu par iespēju ar personu sazināties sponsoriem un sadarbības partneriem, ir jāņem vērā Regulas 2016/679 7. panta 4. punkts. Saskaņā ar šo tiesību normu, novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai inter alia līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei. Ar Regulas 2016/679 7. panta 4. punktu tādējādi tagad kodificēts piekrišanas “sasaistīšanas aizliegums” ( 51 ).

98.

No formulējuma “maksimāli ņem vērā to” izriet, ka sasaistīšanas aizliegums nav absolūts ( 52 ).

99.

Šajā gadījumā kompetentajai tiesai būs jāizvērtē, vai tam, lai piedalītos loterijā, ir nepieciešama piekrišana personas datu apstrādei. Šajā ziņā jāņem vērā, ka dalības loterijā pamatnolūks ir personas datu “pārdošana” (proti, piekrišana tam, lai ar personu ar reklāmas piedāvājumiem sazinās tā sauktie “sponsori”). Citiem vārdiem, lietotājam, kurš vēlas piedalīties loterijā, galvenais pienākums ir tieši personas datu sniegšana. Ņemot vērā šos apstākļus, man šķiet, ka šo personas datu apstrāde ir nepieciešama dalībai loterijā ( 53 ).

100.

Tagad vēlos iztirzāt jautājumu par to, vai, piemērojot Direktīvas 2002/58 5. panta 3. punktu un 2. panta f) punktu, tos skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, ir kāda atšķirība, vai uzglabātā vai ievāktā informācija ir personas dati.

101.

Šis jautājums ir vislabāk saprotams to Vācijas tiesību normu kontekstā, ar kurām transponēts Direktīvas 2002/58 5. panta 3. punkts ( 54 ). Proti, Vācijas tiesību normās personas datu vākšana un izmantošana tiek nošķirta no citu datu vākšanas un izmantošanas.

102.

Saskaņā ar TMG 12. panta 1. punktu pakalpojuma sniedzējs drīkst iegūt un izmantot personas datus tostarp tikai tad, ja lietotājs ir devis savu piekrišanu.

103.

Savukārt saskaņā ar TMG 15. panta 3. punktu pakalpojuma sniedzējam ir atļauts izveidot lietotāju profilus, izmantojot pseidonīmus, tostarp reklāmas un tirgus izpētes nolūkos, ja vien lietotājs pret to neiebilst. Tātad, ja vien nav iesaistīti personas dati, Vācijas tiesību normu prasības ir mazāk stingras – nevis piekrišana, bet gan tikai neiebilšana.

104.

Personas dati to juridiskajā nozīmē Regulas 2016/679 4. panta 1. punktā ir definēti kā “jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.”

105.

Manā ieskatā, nav šaubu, ka, ciktāl tas attiecas uz izskatāmo lietu, “informācija”, kas norādīta Direktīvas 2002/58 5. panta 3. punktā, ir “personas dati”. Šķiet, ka tāpat domā iesniedzējtiesa, kura lūgumā sniegt prejudiciālu nolēmumu skaidri norāda, ka piekļuvei datiem, kas veikta ar atbildētāja izmantoto sīkdatņu starpniecību, ir nepieciešams saņemt piekrišanu saskaņā ar TMG 12. panta 1. punktu, jo šie dati ir personas dati ( 55 ). Turklāt izskatās, ka starp pamatlietas dalībniekiem nav strīda par to, ka konkrētajā lietā tiek aplūkoti tieši personas dati.

106.

Tādējādi varētu rasties šaubas par šā jautājuma nozīmi konkrētās lietas izskatīšanā un to, vai šis jautājums nav hipotētisks ( 56 ).

107.

Lai kā arī nebūtu, manā ieskatā, atbilde uz šo jautājumu ir visnotaļ skaidra – nav nekādas atšķirības, vai uzglabātā vai ievāktā informācija ir personas dati. Direktīvas 2002/58 5. panta 3. punktā ir norādīta atsauce uz “informācijas uzglabāšan[u] [..] vai piekļuves iegūšan[u] [..] jau uzglabātai informācijai” ( 57 ). Tas ir pašsaprotami, ka jebkurai šādai informācijai ir privātuma aspekts neatkarīgi no tā, vai šī informācija ir “personas dati” Regulas 2016/679 4. panta 1. punkta izpratnē. Kā pareizi uzsver Komisija, Direktīvas 2002/58 5. panta 3. punkta mērķis ir aizsargāt lietotāju no iejaukšanās viņa privātajā sfērā neatkarīgi no tā, vai šī iejaukšanās skar personas datus vai citus datus.

108.

Šādu Direktīvas 2002/58 5. panta 3. punkta izpratni turklāt apstiprina arī šīs direktīvas 24. ( 58 ) un 25. ( 59 ) apsvērums, kā arī 29. panta darba grupas atzinumi. Turklāt minētā darba grupa ir norādījusi, ka “5. panta 3. punkts attiecas uz “informāciju” (ko glabā un/vai kam piekļūst). Šī informācija nav sīkāk raksturota. Lai piemērotu šo pantu, šai informācijai nav jābūt personas datiem Direktīvas [95/46] nozīmē” ( 60 ).

109.

Ņemot vērā minēto, patiešām šķiet, ka Direktīvas 2002/58 5. panta 3. punktā noteiktās prasības ar TMG 15. panta 3. punktu nav pilnībā transponētas Vācijas tiesībās ( 61 ).

110.

Tādējādi ierosinu uz pirmā jautājuma b) daļu atbildēt, ka, piemērojot Direktīvas 2002/58 5. panta 3. punktu un 2. panta f) punktu, tos skatot kopsakarā ar Direktīvas 95/46 2. panta h) punktu, nav nekādas atšķirības, vai informācija, ko uzglabā vai kurai piekļūst, ir personas dati.

111.

Ar otro jautājumu iesniedzējtiesa vēlas noskaidrot to, kāda informācija pakalpojuma sniedzējam ir jāsniedz lietotājam atbilstoši Direktīvas 2002/58 5. panta 3. punktā noteiktajai prasībai nodrošināt skaidru un visaptverošu informāciju un vai tajā ietilpst arī informācija par sīkdatņu darbības ilgumu un to, vai trešās personas iegūst piekļuvi sīkdatnēm.

112.

Direktīvas 95/46 10. un 11. pantā (un Regulas 2016/679 13. un 14. pantā) ir noteikts pienākums sniegt informāciju datu subjektiem. Informēšanas pienākums ar piekrišanu ir saistīts tādā ziņā, ka vienmēr ir jābūt sniegtai informācijai, pirms var tikt dota piekrišana.

113.

Ņemot vērā interneta lietotāja (un pakalpojumu sniedzēja) konceptuālo pielīdzināmību patērētājam (un tirgotājam) ( 62 ), šajā posmā varētu pievērsties izpratnei par Eiropas vidusmēra patērētāju, kurš ir samērā informēts, uzmanīgs un apdomīgs ( 63 ) un var pieņemt lēmumu uzņemties saistības, pilnībā to apzinoties ( 64 ).

114.

Tomēr, ņemot vērā sīkdatņu tehnisko sarežģītību, asimetrisko informētības sadalījumu starp pakalpojuma sniedzēju un lietotāju un vispārīgi – jebkura vidusmēra tīmekļa lietotāja relatīvo zināšanu trūkumu, no vidusmēra tīmekļa lietotāja nav saprātīgi sagaidīt augstu zināšanu līmeni par sīkdatņu darbību.

115.

Tādējādi ar skaidru un visaptverošu informāciju tiek saprasts, ka lietotājs spēj viegli noprast jebkuras viņa sniegtas piekrišanas iznākumu. Tālab viņam ir jāspēj izvērtēt savu darbību sekas. Sniegtajai informācijai ir jābūt skaidri saprotamai un tā nedrīkst būt nenoteikta vai neviennozīmīgi interpretējama. Tai ir jābūt pietiekami detalizētai, lai lietotājs varētu izprast iestatīšanai paredzēto sīkdatņu funkcionēšanu.

116.

Iesniedzējtiesa pareizi vedina uz to, ka šajā informācijā ietilpst arī informācija par sīkdatņu darbības ilgumu un to, vai trešās personas iegūst piekļuvi sīkdatnēm.

117.

Atbilstoši Direktīvas 2002/58 23. un 26. apsvērumā teiktajam sīkdatņu darbības ilgums ir viens no prasības par apzinātu piekrišanu elementiem, kas nozīmē to, ka pakalpojuma sniedzējiem “vienmēr jāinformē abonenti par informācijas veidiem, ko tie apstrādā, un par apstrādes nolūku un ilgumu”. Pat tādā gadījumā, ja sīkdatne ir nepieciešama, jautājums par to, cik lielā mērā ar to notiek iejaukšanās privātajā sfērā, piekrišanas nolūkos ir jāizvērtē, ņemot vērā esošos apstākļus. Papildus jautājumam par to, kādus datus ietver katra sīkdatne un vai tā ir saistīta ar kādu citu informāciju, kas ir pieejama par konkrēto lietotāju, pakalpojuma sniedzējiem ir jāizvērtē sīkdatnes pastāvēšanas ilgums un vai tas ir samērīgs, ievērojot sīkdatnes mērķi.

118.

Sīkdatņu darbības ilgums ir saistīts ar skaidri noteiktām prasībām par informētu piekrišanu, kas savukārt saistīta ar informācijas kvalitāti un pieejamību lietotājiem. Šī informācija ir ārkārtīgi nozīmīga, lai indivīdi spētu pieņemt apzinātus lēmumus pirms apstrādes uzsākšanas ( 65 ). Kā to norādījušas Portugāles un Itālijas valdības, ņemot vērā to, ka ar sīkdatņu palīdzību ievāktā informācija ir jāiznīcina, kad tā vairs nav nepieciešama sākotnējā nolūka sasniegšanai, no minētā var secināt, ka lietotājs ir skaidri jāinformē par ievākto datu uzglabāšanas laika periodu.

119.

Šajā ziņā Planet49 apgalvo, ka gadījumā, ja trešās personas piekļūst sīkdatnei, par to jāinformē arī lietotāji. Tomēr gadījumā, ja tāpat kā konkrētajā lietā piekļuve sīkdatnei ir tikai pakalpojuma sniedzējam, kurš vēlas iestatīt sīkdatni, ir pietiekami, ka tiek vērsta uzmanība uz šo faktu. Apstāklis, ka citām trešajām personām nav piekļuves, nav jānorāda atsevišķi. Šāds pienākums nebūtu saderīgs ar likumdevēja mērķi panākt, ka norādēm par datu aizsardzību ir jāpaliek lietotājdraudzīgām un kodolīgām.

120.

Nevaru piekrist šādai interpretācijai. Drīzāk sliecos par labu tam, ka, lai informācija būtu skaidra un visaptveroša, lietotājs ir skaidri jāinformē par to, vai trešajām personām ir piekļuve iestatītajām sīkdatnēm vai tām šādas piekļuves nav. Gadījumā, ja ir sniegta piekļuve trešajām personām, ir jāizpauž šo personu identitāte. Kā to pareizi uzsvērusi Bundesverband, tas ir obligāts priekšnoteikums, lai nodrošinātu, ka piekrišana tiek sniegta apzināti.

121.

Tādējādi ierosinu uz otro jautājumu atbildēt, ka skaidrā un visaptverošā informācijā, kas pakalpojuma sniedzējam ir jāsniedz lietotājam atbilstoši Direktīvas 2002/58 5. panta 3. punktam, ietilpst arī informācija par sīkdatņu darbības ilgumu un to, vai trešās personas iegūst piekļuvi sīkdatnēm vai tām šādas piekļuves nav.

122.

Ņemot vērā iepriekš minētos apsvērumus, ierosinu Tiesai uz Bundesgerichtshof (Federālā augstākā tiesa, Vācija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi: