z dnia 29 lipca 2019 r. ( *1 )
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46/WE – Artykuł 2 lit. d) – Pojęcie „administratora danych” – Operator witryny internetowej, który umieścił w niej wtyczkę społecznościową umożliwiającą ujawnianie dostawcy tej wtyczki danych osobowych osoby odwiedzającej witrynę – Artykuł 7 lit. f) – Legalność przetwarzania danych – Uwzględnienie interesu operatora witryny internetowej lub interesu dostawcy wtyczki społecznościowej – Artykuł 2 lit. h) i art. 7 lit. a) – Zgoda osoby, której dane dotyczą – Artykuł 10 – Przekazywanie informacji osobie, której dane dotyczą – Uregulowanie krajowe zezwalające stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem
W sprawie C‑40/17
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie, Niemcy) postanowieniem z dnia 19 stycznia 2017 r., które wpłynęło do Trybunału w dniu 26 stycznia 2017 r., w postępowaniu:
Fashion ID GmbH & Co. KG
przeciwko
Verbraucherzentrale NRW eV,
przy udziale:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen,
TRYBUNAŁ (druga izba),
w składzie: K. Lenaerts, prezes Trybunału, pełniący obowiązki prezesa drugiej izby, A. Prechal, C. Toader, A. Rosas (sprawozdawca) i M. Ilešič, sędziowie,
rzecznik generalny: M. Bobek,
sekretarz: D. Dittert, kierownik wydziału,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 6 września 2018 r.,
rozważywszy uwagi przedstawione:
– |
w imieniu Fashion ID GmbH & Co. KG przez Ch.M. Althausa oraz J. Nebela, Rechtsanwälte, |
– |
w imieniu Verbraucherzentrale NRW eV przez K. Krusego, Ch. Rempego oraz S. Meyera, Rechtsanwälte, |
– |
w imieniu Facebook Ireland Ltd przez H.G. Kamanna, C. Schwedlera, M. Brauna, Rechtsanwälte, oraz I. Perego, avvocatessa, |
– |
w imieniu Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen przez U. Merger, działającą w charakterze pełnomocnika, |
– |
w imieniu rządu niemieckiego początkowo przez T. Henzego oraz J. Möllera, a następnie przez J. Möllera, działających w charakterze pełnomocników, |
– |
w imieniu rządu belgijskiego przez P. Cottina oraz L. Van den Broeck, działających w charakterze pełnomocników, |
– |
w imieniu rządu włoskiego przez G. Palmieri, działającą w charakterze pełnomocnika, wspieraną przez P. Gentilego, avvocato dello Stato, |
– |
w imieniu rządu austriackiego początkowo przez C. Pesendorfer, a następnie przez G. Kunnerta, działających w charakterze pełnomocników, |
– |
w imieniu rządu polskiego przez B. Majczynę, działającego w charakterze pełnomocnika, |
– |
w imieniu Komisji Europejskiej przez H. Krämera oraz H. Kranenborga, działających w charakterze pełnomocników, |
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 19 grudnia 2018 r.,
wydaje następujący
Wyrok
1 |
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 2, 7, 10 i 22–24 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31). |
2 |
Wniosek ten został złożony w ramach sporu pomiędzy spółką Fashion ID GmbH & Co. KG a stowarzyszeniem Verbraucherzentrale NRW eV w przedmiocie umieszczenia przez Fashion ID wtyczki społecznościowej spółki Facebook Ireland Ltd w witrynie internetowej tej pierwszej spółki. |
Ramy prawne
Prawo Unii
3 |
Dyrektywa 95/46 została uchylona i zastąpiona ze skutkiem od dnia 25 maja 2018 r. rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.U. 2016, L 119, s. 1). Jednakże z uwagi na datę wystąpienia okoliczności faktycznych sporu w postępowaniu głównym dyrektywa ta ma do niego zastosowanie. |
4 |
Motyw 10 dyrektywy 95/46 brzmi następująco: „Celem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności [podpisanej w Rzymie w dniu 4 listopada 1950 r.] oraz w zasadach ogólnych prawa [Unii]; z tego powodu zbliżanie przepisów prawa nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony [w Unii]”. |
5 |
Artykuł 1 dyrektywy 95/46 przewiduje: „1. Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych. 2. Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”. |
6 |
Artykuł 2 tej dyrektywy stanowi: „Do celów niniejszej dyrektywy:
[…]
[…]
|
7 |
Artykuł 7 wspomnianej dyrektywy brzmi następująco: „Państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy:
[…]
|
8 |
Zgodnie z art. 10 tejże dyrektywy, zatytułowanym „Informacje w przypadku gromadzenia danych od osoby, której dane dotyczą”: „Państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:
|
9 |
Artykuł 22 dyrektywy 95/46 ma następujące brzmienie: „Bez uszczerbku dla wszystkich odwoławczych środków administracyjnych, które mogą być wprowadzone przez organ nadzorczy określony [skierowane w szczególności do organu nadzorczego określonego] w art. 28, przed wszczęciem postępowania sądowego państwa członkowskie zapewnią każdej osobie prawo do korzystania ze środków prawnych [wniesienia do sądu środka prawnego] w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych”. |
10 |
Artykuł 23 tej dyrektywy stanowi: „1. Państwa członkowskie zapewniają, że każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z niniejszą dyrektywą, przysługuje od administratora danych odszkodowanie za poniesioną szkodę. 2. Administrator danych może zastać zwolniony od tej odpowiedzialności w całości lub w części, jeżeli udowodni, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę”. |
11 |
Artykuł 24 wspomnianej dyrektywy przewiduje: „Państwa członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów niniejszej dyrektywy oraz w szczególności określą sankcje, jakie należy nałożyć w przypadku naruszenia przepisów przyjętych zgodnie z niniejszą dyrektywą”. |
12 |
Artykuł 28 tejże dyrektywy stanowi: „1. Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy. Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji. […] 3. Każdy organ jest w szczególności wyposażony w: […]
[…] 4. Każdy organ nadzorczy rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Zainteresowana osoba zostanie poinformowana o wyniku sprawy. […]”. |
13 |
Artykuł 5 ust. 3 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11) (zwanej dalej „dyrektywą 2002/58”), przewiduje: „Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą [95/46] po otrzymaniu jasnych i wyczerpujących informacji [wyraził zgodę po otrzymaniu zgodnie z dyrektywą 95/46 jasnych i wyczerpujących informacji], między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”. |
14 |
Artykuł 1 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2009/22/WE z dnia 23 kwietnia 2009 r. w sprawie nakazów zaprzestania szkodliwych praktyk w celu ochrony interesów konsumentów (Dz.U. 2009, L 110, s. 30), zmienionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 524/2013 z dnia 21 maja 2013 r. (Dz.U. 2013, L 165, s. 1) (zwanej dalej „dyrektywą 2009/22”), stanowi: „Celem niniejszej dyrektywy jest zbliżenie przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich odnoszących się do powództw o zaprzestanie szkodliwych praktyk, określonych w art. 2, mających na celu ochronę zbiorowych interesów konsumentów, objętych aktami Unii wymienionymi w załączniku I, w celu zapewnienia sprawnego funkcjonowania rynku wewnętrznego”. |
15 |
Artykuł 2 tej dyrektywy przewiduje: „1. Państwa członkowskie wyznaczają sądy lub organy administracyjne właściwe do prowadzenia postępowań wszczętych przez upoważnione podmioty w rozumieniu art. 3, wnoszące o:
[…]”. |
16 |
Artykuł 7 wspomnianej dyrektywy stwierdza: „Niniejsza dyrektywa nie stanowi przeszkody dla państw członkowskich do przyjęcia lub utrzymania w mocy przepisów przewidujących przyznanie upoważnionym podmiotom lub innym osobom szerszych uprawnień do wnoszenia powództwa na szczeblu krajowym”. |
17 |
Artykuł 80 rozporządzenia 2016/679 brzmi następująco: „1. Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego. 2. Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”. |
Prawo niemieckie
18 |
Paragraf 3 ust. 1 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „UWG”), stanowi: „Nieuczciwe praktyki handlowe są niedozwolone”. |
19 |
Paragraf 3a UWG ma następujące brzmienie: „W sposób nieuczciwy działa ten, kto postępuje niezgodnie z przepisem ustawy, który służy również, w interesie uczestników, regulowaniu zachowania na rynku, jeżeli naruszenie może odczuwalnie naruszyć interesy konsumentów, innych uczestników rynku lub podmiotów konkurujących”. |
20 |
Paragraf 8 UWG stanowi: „(1) Od osoby, która stosuje niedozwolone praktyki handlowe wskazane w § 3 lub § 7, można żądać usunięcia ich skutków, a w wypadku groźby ponowienia praktyk – ich zaniechania. Zaniechania można żądać już wtedy, gdy istnieje groźba tego rodzaju naruszenia § 3 lub § 7. […] (3) Prawa z ust. 1 przysługują: […] 3. upoważnionym podmiotom, które wykażą, że są wpisane na listę upoważnionych podmiotów, o której mowa w § 4 Unterlassungsklagegesetz [(ustawy w sprawie powództw o zaniechanie)] lub w wykazie Komisji Europejskiej, o którym mowa art. 4 ust. 3 dyrektywy [2009/22]; […]”. |
21 |
Paragraf 2 ustawy w sprawie powództw o zaniechanie przewiduje: „(1) Od tego, kto narusza przepisy mające na celu ochronę konsumentów (ustawy o ochronie konsumentów) w inny sposób niż przez stosowanie lub zalecanie stosowania ogólnych warunków umów, można żądać w interesie ochrony konsumentów zaniechania i usunięcia skutków […]. (2) W rozumieniu niniejszego przepisu »ustawy o ochronie konsumentów« oznaczają w szczególności: […] 11. przepisy, które regulują dopuszczalność
jeżeli dane są gromadzone, przetwarzane lub wykorzystywane do celów reklamy, badań rynkowych lub badania opinii, udzielenia informacji, sporządzania profili osobowych lub użytkownika, handlu adresami, innego handlu danymi lub do podobnych celów komercyjnych”. |
22 |
Paragraf 12 ust. 1 Telemediengesetz (ustawy o mediach elektronicznych, zwanej dalej „TMG”) ma następujące brzmienie: „Usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania telemediów, o ile zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do telemediów, lub gdy użytkownik wyraził na to zgodę”. |
23 |
Paragraf 13 ust. 1 TMG stanowi: „Usługodawca informuje użytkownika na początku procesu korzystania w ogólnie zrozumiałej formie o rodzaju, zakresie i celach gromadzenia i wykorzystywania danych osobowych oraz o przetwarzaniu jego danych w państwach nieobjętych zakresem zastosowania dyrektywy [95/46], o ile taka informacja nie została przekazana wcześniej. W przypadku zautomatyzowanej procedury, która umożliwia późniejszą identyfikację użytkownika i przygotowuje gromadzenie i wykorzystywanie danych osobowych, użytkownika powiadamia się na początku tej procedury. Treść informacji musi być zawsze dostępna dla użytkownika”. |
24 |
Paragraf 15 ust. 1 TMG stanowi: „Usługodawca może gromadzić i wykorzystywać dane osobowe użytkownika tylko wtedy, gdy jest to konieczne do umożliwienia korzystania z telemediów i zafakturowania kosztów takiego korzystania (dane o korzystaniu). Danymi o korzystaniu są w szczególności: 1. kryteria umożliwiające identyfikację użytkownika, 2. dane na temat rozpoczęcia i zakończenia oraz zakresu danego korzystania i 3. dane na temat telemediów, z których korzystał użytkownik”. |
Postępowanie główne i pytania prejudycjalne
25 |
Fashion ID, spółka zajmująca się sprzedażą modnej odzieży online, umieściła w swojej witrynie internetowej wtyczkę społecznościową „Lubię to” serwisu społecznościowego Facebook (zwaną dalej „przyciskiem »Lubię to« Facebooka”). |
26 |
Z postanowienia odsyłającego wynika, że charakterystyczną cechą Internetu jest to, że przeglądarka osoby odwiedzającej witrynę internetową może przedstawiać treści pochodzące z różnych źródeł. I tak, tytułem przykładu, mogą zostać powiązane z daną witryną internetową i być w niej przedstawione zdjęcia, filmy wideo, aktualne informacje oraz rozpatrywany w niniejszej sprawie przycisk „Lubię to” Facebooka. Jeżeli operator witryny internetowej zamierza wstawić takie treści zewnętrzne, zamieszcza on w tej witrynie odnośnik do treści zewnętrznych. Gdy przeglądarka osoby odwiedzającej wspomnianą witrynę natrafia na taki odnośnik, pobiera ona treści zewnętrzne i wstawia je na wskazanym miejscu wyświetlanej witryny. W tym celu przeglądarka przekazuje do serwera dostawcy zewnętrznego adres IP komputera wspomnianej osoby odwiedzającej oraz dane techniczne przeglądarki, tak aby serwer mógł ustalić, w jakim formacie i pod jakim adresem dana treść ma być przesłana. Poza tym przeglądarka przekazuje również informacje dotyczące pożądanych treści. Operator witryny internetowej, który proponuje treści zewnętrzne, umieszczając je w tej witrynie, nie ma możliwości określenia, jakie dane przekazuje przeglądarka ani co dostawca zewnętrzny zrobi z tymi danymi, w szczególności, czy postanowi je przechować i wykorzystać. |
27 |
Co się tyczy w szczególności przycisku „Lubię to” Facebooka, z postanowienia odsyłającego zdaje się wynikać, że gdy osoba odwiedzająca przegląda witrynę internetową Fashion ID, dane osobowe tej osoby odwiedzającej, ze względu na okoliczność, że witryna ta zawiera wspomniany przycisk, są przekazywane Facebook Ireland. Wydaje się, że to przekazywanie następuje bez wiedzy wspomnianej osoby odwiedzającej i niezależnie od okoliczności, czy jest ona członkiem serwisu społecznościowego Facebook lub czy kliknęła na przycisk „Lubię to” Facebooka. |
28 |
Verbraucherzentrale NRW, stowarzyszenie użyteczności publicznej ochrony interesów konsumentów, zarzuca Fashion ID przekazywanie Facebook Ireland danych osobowych należących do osób odwiedzających jej witrynę internetową, po pierwsze, bez ich zgody, a po drugie, z naruszeniem obowiązków informacyjnych przewidzianych w przepisach dotyczących ochrony danych osobowych. |
29 |
Verbraucherzentrale NRW wniosło powództwo o zaniechanie do Landgericht Düsseldorf (sądu krajowego w Düsseldorfie, Niemcy) przeciwko Fashion ID, aby ta zaprzestała tej praktyki. |
30 |
Orzeczeniem z dnia 9 marca 2016 r. Landgericht Düsseldorf (sąd krajowy w Düsseldorfie), uznawszy legitymację procesową stowarzyszenia Verbraucherzentrale NRW na podstawie § 8 ust. 3 pkt 3 UWG, uwzględnił częściowo jego żądania. |
31 |
Fashion ID wniosła apelację od tego orzeczenia do Oberlandesgericht Düsseldorf (wyższego sądu krajowego w Düsseldorfie, Niemcy), sądu odsyłającego. Facebook Ireland wstąpiła do postępowania apelacyjnego w charakterze interwenienta popierającego Fashion ID. Verbraucherzentrale NRW wniosło ze swej strony apelację wzajemną mającą na celu rozszerzenie skutków wyroku zasądzającego wydanego przeciwko Fashion ID w pierwszej instancji. |
32 |
Fashion ID utrzymuje przed sądem odsyłającym, że orzeczenie Landgericht Düsseldorf (sądu krajowego w Düsseldorfie) nie jest zgodne z dyrektywą 95/46. |
33 |
Po pierwsze, Fashion ID twierdzi, że art. 22–24 wspomnianej dyrektywy przewidują środki prawne jedynie na rzecz osób, których dotyczy przetwarzanie danych osobowych, oraz właściwych organów nadzorczych. W konsekwencji powództwo wniesione przez Verbraucherzentrale NRW nie jest dopuszczalne ze względu na to, że stowarzyszeniu temu nie przysługuje legitymacja procesowa w ramach dyrektywy 95/46. |
34 |
Po drugie, Fashion ID uważa, że Landgericht Düsseldorf (sąd krajowy w Düsseldorfie) niesłusznie orzekł, że jest ona administratorem danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, ponieważ nie ma ona żadnego wpływu na dane przekazywane przez przeglądarkę osoby odwiedzającej jej witrynę internetową ani na okoliczność, czy i ewentualnie jak Facebook Ireland będzie je wykorzystywać. |
35 |
Sąd odsyłający żywi wątpliwości najpierw co do tego, czy dyrektywa 95/46 zezwala stowarzyszeniom użyteczności publicznej na występowanie przed sądem w celu ochrony interesów osób pokrzywdzonych. Sąd ten jest zdania, że art. 24 tej dyrektywy nie stoi na przeszkodzie temu, aby stowarzyszeniu przysługiwało prawo pozywania, ponieważ zgodnie z tym przepisem państwa członkowskie przyjmą „odpowiednie środki” w celu zapewnienia pełnej realizacji wspomnianej dyrektywy. I tak, sąd odsyłający uważa, że uregulowanie krajowe pozwalające stowarzyszeniom na wytoczenie powództw w interesie konsumentów może stanowić taki odpowiedni środek. |
36 |
Wspomniany sąd zauważa w tym względzie, że art. 80 ust. 2 rozporządzenia 2016/679, które uchyliło i zastąpiło dyrektywę 95/46, wyraźnie zezwala na wytoczenie powództwa przez takie stowarzyszenie, co zadaje się potwierdzać, iż ta ostatnia dyrektywa nie stoi na przeszkodzie takiemu powództwu. |
37 |
Sąd ten zastanawia się ponadto nad kwestią, czy operatora witryny internetowej, takiego jak Fashion ID, który umieszcza w tej witrynie wtyczkę społecznościową umożliwiającą gromadzenie danych osobowych, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, choć nie ma on żadnego wpływu na przetwarzanie danych przekazywanych dostawcy wspomnianej wtyczki. Sąd odsyłający odnosi się w tym względzie do sprawy, w której zapadł wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), dotyczącej podobnej kwestii. |
38 |
Pomocniczo, w razie gdyby Fashion ID nie można było uznać za administratora danych, sąd odsyłający zastanawia się, czy dyrektywa ta reguluje w sposób wyczerpujący wspomniane pojęcie, tak że stoi ona na przeszkodzie uregulowaniu krajowemu przewidującemu odpowiedzialność cywilną osoby trzeciej w przypadku naruszenia praw do ochrony danych. Sąd odsyłający twierdzi bowiem, że można by było rozważyć odpowiedzialność Fashion ID na podstawie prawa krajowego jako „zakłócającego” („Störer”). |
39 |
Gdyby Fashion ID należało uznać za administratora danych lub gdyby odpowiadała ona, przynajmniej jako „zakłócający”, za ewentualne naruszenia przez Facebook Ireland ochrony danych, sąd odsyłający zastanawia się nad tym, czy rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych jest zgodne z prawem i czy obowiązek poinformowania osoby, których dane dotyczą, na mocy art. 10 dyrektywy 95/46 spoczywał na Fashion ID, czy na Facebook Ireland. |
40 |
I tak, po pierwsze, przy uwzględnieniu zasad legalności przetwarzania danych, przewidzianych w art. 7 lit. f) dyrektywy 95/46, sąd odsyłający zastanawia się, czy w sytuacji takiej jak rozpatrywana w postępowaniu głównym należy wziąć pod uwagę uzasadnione interesy operatora witryny internetowej, czy interesy dostawcy wtyczki społecznościowej. |
41 |
Po drugie, wspomniany sąd zastanawia się, na kim spoczywa obowiązek uzyskania zgody i obowiązek informowania osób, których dotyczy przetwarzanie danych osobowych, w sytuacji takiej jak rozpatrywana w postępowaniu głównym. Sąd odsyłający uważa, że kwestia, na kim ciąży przewidziany w art. 10 dyrektywy 95/46 obowiązek informowania osób, których dane dotyczą, ma szczególne znaczenie, gdyż każde umieszczenie treści zewnętrznych w witrynie internetowej wiąże się co do zasady z przetwarzaniem danych osobowych, którego zakres i cel są jednak nieznane temu, kto dokonuje umieszczenia tych treści, czyli operatorowi danej witryny internetowej. Nie może on zatem z tego względu udzielić wymaganej informacji, o ile jest do tego zobowiązany, tak że nałożenie na tego operatora obowiązku poinformowania osoby, której dane dotyczą, prowadziłoby w praktyce do zakazania zamieszczania treści zewnętrznych. |
42 |
W tych okolicznościach Oberlandesgericht Düsseldorf (wyższy sąd krajowy w Düsseldorfie) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
W przypadku udzielenia odpowiedzi przeczącej na pytanie pierwsze:
|
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
43 |
Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 22–24 dyrektywy 95/46 należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych. |
44 |
Tytułem wstępu należy przypomnieć, że zgodnie z art. 22 dyrektywy 95/46 państwa członkowskie zapewniają każdej osobie prawo do korzystania ze środków prawnych w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych. |
45 |
Artykuł 28 ust. 3 akapit trzeci dyrektywy 95/46 stanowi, że organ nadzorczy odpowiedzialny zgodnie z art. 28 ust. 1 tej dyrektywy za kontrolę stosowania na terytorium danego państwa członkowskiego przepisów przyjętych przez nie na mocy wspomnianej dyrektywy jest w szczególności wyposażony w prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z tą dyrektywą lub powiadamiania organów sądowych o takim naruszeniu. |
46 |
Co się tyczy art. 28 ust. 4 dyrektywy 95/46, przewiduje on, że organ nadzorczy rozpatruje skargi zgłaszane przez stowarzyszenie reprezentujące osobę, której dane dotyczą, w rozumieniu art. 2 lit. a) dyrektywy odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. |
47 |
Niemniej jednak żaden przepis wspomnianej dyrektywy nie nakłada na państwa członkowskie obowiązku ustanowienia – ani wyraźnie ich nie upoważnia do ustanowienia – w swoim prawie krajowym możliwości reprezentowania przez takie stowarzyszenie przed sądem takiej osoby lub wytoczenia z własnej inicjatywy powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych. |
48 |
Nie wynika z tego wszakże, że dyrektywa 95/46 stoi na przeszkodzie uregulowaniu krajowemu umożliwiającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy takiego naruszenia. |
49 |
Na mocy art. 288 akapit trzeci TFUE państwa członkowskie są zobowiązane przy dokonywaniu transpozycji dyrektywy zapewnić jej pełną skuteczność, przy czym dysponują szerokim zakresem swobodnego uznania w kwestii wyboru formy i środków służących zapewnieniu jej wykonania. Swoboda ta nie ma wpływu na zobowiązanie państw członkowskich będących adresatami tej dyrektywy do podjęcia wszelkich środków niezbędnych dla zapewnienia pełnej skuteczności owej dyrektywy, zgodnie z jej zamierzonymi celami (wyroki: z dnia 6 października 2010 r., Base i in., C‑389/08, EU:C:2010:584, pkt 24, 25; a także z dnia 22 lutego 2018 r., Porras Guisado, C‑103/16, EU:C:2018:99, pkt 57). |
50 |
W tym względzie należy przypomnieć, że jednym z celów przyświecających dyrektywie 95/46 jest zapewnienie skutecznej i pełnej ochrony praw podstawowych i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych (zob. podobnie wyroki: z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 53; a także z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 38). W jej motywie 10 uściślono, że zbliżenie ustawodawstw krajowych w omawianej dziedzinie nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie – musi służyć zapewnieniu jak najwyższego stopnia ochrony w Unii (wyroki: z dnia 6 listopada 2003 r., Lindqvist, C‑101/01, EU:C:2003:596, pkt 95; z dnia 16 grudnia 2008 r., Huber, C‑524/06, EU:C:2008:724, pkt 50; z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 28). |
51 |
Okoliczność zaś, że państwo członkowskie ustanawia w swoim ustawodawstwie krajowym możliwość wytoczenia przez stowarzyszenie ochrony interesów konsumentów powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych, w żaden sposób nie może zaszkodzić jej celom, lecz – przeciwnie – przyczynia się do realizacji tych celów. |
52 |
Fashion ID i Facebook Ireland utrzymują jednak, że skoro dyrektywa 95/46 dokonała pełnej harmonizacji przepisów krajowych dotyczących ochrony danych, to wytoczenie jakiegokolwiek powództwa nieprzewidzianego wyraźnie w dyrektywie jest wykluczone. Artykuły 22, 23 i 28 dyrektywy 95/46 ograniczają się zaś do ustanowienia środków prawnych na rzecz osób, których dane dotyczą, i organów nadzorujących ochronę danych. |
53 |
Z argumentacją tą nie można się zgodzić. |
54 |
Jest prawdą, że dyrektywa 95/46 prowadzi do harmonizacji ustawodawstw krajowych odnoszących się do ochrony danych osobowych, która jest co do zasady pełna (zob. podobnie wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 29; z dnia 7 listopada 2013 r., IPI, C‑473/12, EU:C:2013:715, pkt 31). |
55 |
Trybunał uznał zatem, że art. 7 wspomnianej dyrektywy przewiduje zamknięty i wyczerpujący wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za legalne, oraz że państwa członkowskie nie mogą dodawać nowych kryteriów legalności przetwarzania danych osobowych względem kryteriów ustanowionych w tym artykule ani też ustanawiać dodatkowych wymogów, które doprowadziłyby do modyfikacji zakresu jednego z sześciu kryteriów przewidzianych we wspomnianym artykule (wyroki: z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 30, 32; a także z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 57). |
56 |
Trybunał jednak uściślił również, że dyrektywa 95/46 zawiera przepisy, które są stosunkowo ogólne, jako że powinna ona mieć zastosowanie do dużej liczby bardzo różnych sytuacji. Przepisy te cechują się pewną elastycznością i w szeregu przypadków pozostawiają państwom członkowskim zadanie ustalenia szczegółów lub dokonania wyboru między istniejącymi opcjami, tak że państwa członkowskie dysponują w ramach transpozycji wspomnianej dyrektywy w wielu kwestiach pewnym marginesem działania (zob. podobnie wyroki: z dnia 6 listopada 2003 r., Lindqvist, C‑101/01, EU:C:2003:596, pkt 83, 84, 97; a także z dnia 24 listopada 2011 r., Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 35). |
57 |
Odnosi się to także do art. 22–24 dyrektywy 95/46, które, jak zauważył rzecznik generalny w pkt 42 opinii, są sformułowane w sposób ogólny i nie dokonują wyczerpującej harmonizacji przepisów krajowych dotyczących środków prawnych, które mogą zostać podjęte w odniesieniu do domniemanego sprawcy naruszenia ochrony danych osobowych (zob. analogicznie wyrok z dnia 26 października 2017 r., I, C‑195/16, EU:C:2017:815, pkt 57, 58). |
58 |
W szczególności, o ile art. 22 tej dyrektywy zobowiązuje państwa członkowskie do zapewnienia każdej osobie prawa do wniesienia do sądu środka prawnego w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych osobowych, o tyle wspomniana dyrektywa nie zawiera jednak żadnego przepisu określającego w sposób szczególny warunki stosowania takiego środka prawnego (zob. podobnie wyrok z dnia 27 września 2017 r., Puškár, C‑73/16, EU:C:2017:725, pkt 54, 55). |
59 |
Ponadto art. 24 dyrektywy 95/46 stanowi, że państwa członkowskie przyjmują „odpowiednie środki” w celu zapewnienia pełnej realizacji przepisów tej dyrektywy, nie określając takich środków. Wydaje się zaś, że ustanowienie możliwości wytoczenia przez stowarzyszenie ochrony interesów konsumentów powództwa przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych może stanowić odpowiedni środek w rozumieniu tego przepisu, który jak zauważono w pkt 51 niniejszego wyroku, przyczynia się do realizacji celów wspomnianej dyrektywy zgodnie z orzecznictwem Trybunału (zob. w tym względzie wyrok z dnia 6 listopada 2003 r., Lindqvist, C‑101/01, EU:C:2003:596, pkt 97). |
60 |
Poza tym wbrew temu, co twierdzi Fashion ID, nie wydaje się, by ustanowienie przez państwo członkowskie takiej możliwości w ustawodawstwie krajowym mogło naruszać niezależność postępowania organów nadzorczych przy wykonywaniu powierzonych im funkcji zgodnie z wymogami art. 28 dyrektywy 95/46, ponieważ możliwość ta nie może mieć wpływu ani na swobodę podejmowania decyzji przez te organy nadzorcze, ani na ich swobodę działania. |
61 |
Ponadto, o ile jest prawdą, że dyrektywa 95/46 nie widnieje wśród aktów wymienionych w załączniku I do dyrektywy 2009/22, o tyle jednak zgodnie z art. 7 tej ostatniej dyrektywy nie dokonuje ona w tym względzie pełnej harmonizacji. |
62 |
Wreszcie okoliczność, że rozporządzenie 2016/679, które uchyliło i zastąpiło dyrektywę 95/46 i które stosuje się od dnia 25 maja 2018 r., upoważnia wprost w art. 80 ust. 2 państwa członkowskie do umożliwienia stowarzyszeniom ochrony interesów konsumentów występowania przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych, w żaden sposób nie oznacza, iż państwa członkowskie nie mogły przyznać im tego prawa pod rządami dyrektywy 95/46, lecz – przeciwnie – potwierdza, że przyjęta w niniejszym wyroku wykładnia tej dyrektywy odzwierciedla wolę prawodawcy Unii. |
63 |
Przy uwzględnieniu całości powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 22–24 dyrektywy 95/46 należy interpretować w ten sposób, że nie stoją one na przeszkodzie uregulowaniu krajowemu zezwalającemu stowarzyszeniom ochrony interesów konsumentów na występowanie przed sądem przeciwko domniemanemu sprawcy naruszenia ochrony danych osobowych. |
W przedmiocie pytania drugiego
64 |
Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy operatora witryny internetowej, takiego jak Fashion ID, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, choć operator ten nie ma żadnego wpływu na przetwarzanie danych przekazanych w ten sposób wspomnianemu dostawcy. |
65 |
W tym względzie należy przypomnieć, że zgodnie z celem realizowanym przez dyrektywę 95/46, jakim jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania danych osobowych, art. 2 lit. d) tej dyrektywy definiuje w sposób szeroki pojęcie „administratora danych” jako oznaczające osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, które samodzielnie lub wspólnie z innymi podmiotami określają cele i sposoby przetwarzania danych osobowych (zob. podobnie wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 26, 27). |
66 |
Jak orzekł już bowiem Trybunał, celem tego przepisu jest zapewnienie, poprzez przyjęcie szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą (wyroki: z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 34; a także z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 28). |
67 |
Ponadto, zważywszy, że – jak wyraźnie stanowi art. 2 lit. d) dyrektywy 95/46 – pojęcie „administratora danych” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi podmiotami” określa cele i sposoby przetwarzania danych osobowych, pojęcie to nie odsyła koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych (zob. podobnie wyroki: z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 29; z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 65). |
68 |
Trybunał uznał również, że osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46 (wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 68). |
69 |
Poza tym wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania na mocy tego przepisu nie zakłada, by każdy z nich miał dostęp do odnośnych danych osobowych (zob. podobnie wyroki: z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 38; z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 69). |
70 |
W tym stanie rzeczy, jako że celem art. 2 lit. d) dyrektywy 95/46 jest zapewnienie, poprzez przyjęcie szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą, istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów w odniesieniu do tego samego przetwarzania danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (zob. podobnie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 66). |
71 |
W tym względzie należy wskazać, po pierwsze, że art. 2 lit. b) dyrektywy 95/46 definiuje „przetwarzanie danych osobowych” jako „każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie”. |
72 |
Z definicji tej wynika, że przetwarzanie danych osobowych może składać się z jednej lub kilku operacji, a każda z nich – odnosić się do jednego z różnych etapów, które przetwarzanie danych osobowych może obejmować. |
73 |
Po drugie, z definicji pojęcia „administratora danych” w art. 2 lit. d) dyrektywy 95/46, przypomnianej w pkt 65 niniejszego wyroku, wynika, że w przypadku gdy kilka podmiotów określa wspólnie cele i sposoby przetwarzania danych osobowych, uczestniczą one jako administratorzy w tym przetwarzaniu. |
74 |
Wynika stąd – jak zauważył w istocie rzecznik generalny w pkt 101 opinii – że wydaje się, iż osoba fizyczna lub prawna może jedynie być administratorem w rozumieniu art. 2 lit. d) dyrektywy 95/46 wspólnie z innymi podmiotami w odniesieniu do operacji przetwarzania danych osobowych, których cele i sposoby określa wspólnie. Natomiast, bez uszczerbku dla ewentualnej odpowiedzialności cywilnej przewidzianej w tym względzie przez prawo krajowe, osoby fizycznej lub prawnej nie można uznać za administratora w rozumieniu tego przepisu w odniesieniu do wcześniejszych lub późniejszych operacji łańcucha przetwarzania, których celów ani środków ona nie określa. |
75 |
W niniejszym przypadku, z zastrzeżeniem ustaleń, których przeprowadzenie należy do sądu odsyłającego, z akt sprawy, którymi dysponuje Trybunał, wynika, iż wydaje się, że poprzez umieszczenie w swojej witrynie internetowej przycisku „Lubię to” Facebooka Fashion ID umożliwiła Facebook Ireland uzyskiwanie danych osobowych osób odwiedzających jej witrynę internetową, przy czym taka możliwość pojawia się od momentu wejścia na taką witrynę i to niezależnie od tego, czy owe osoby odwiedzające są członkami serwisu społecznościowego Facebook lub czy kliknęły na przycisk „Lubię to” Facebooka, lub też czy wiedziały o takiej operacji. |
76 |
Biorąc pod uwagę te informacje, należy stwierdzić, że operacjami przetwarzania danych osobowych, których cele i sposoby Fashion ID może określać wspólnie z Facebook Ireland, są – w świetle definicji pojęcia „przetwarzania danych osobowych” zawartej w art. 2 lit. b) dyrektywy 95/46 – gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję. Natomiast w świetle wspomnianych informacji wydaje się prima facie wykluczone, by Fashion ID określała cele i sposoby późniejszych operacji przetwarzania danych osobowych, dokonywanych przez Facebook Ireland po przekazaniu tych danych tej ostatniej spółce, wobec czego Fashion ID nie można uznać za administratora w odniesieniu do tych operacji w rozumieniu tego art. 2 lit. d). |
77 |
Jeśli chodzi o środki wykorzystywane do gromadzenia niektórych danych osobowych osób odwiedzających jej witrynę internetową i ich ujawniania poprzez transmisję – z pkt 75 niniejszego wyroku wynika, iż Fashion ID umieściła w swojej witrynie internetowej przycisk „Lubię to” Facebooka, udostępniony operatorom witryn internetowych przez Facebook Ireland, prawdopodobnie mając świadomość, że służy on do gromadzenia i przekazywania danych osobowych osób odwiedzających tę witrynę bez względu na to, czy są one członkami serwisu społecznościowego Facebook, czy nie. |
78 |
Umieszczając taką wtyczkę społecznościową w swojej witrynie internetowej, Fashion ID wpływa zresztą w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających wspomnianą witrynę na rzecz dostawcy wspomnianej wtyczki, w niniejszym przypadku Facebook Ireland, co w razie braku umieszczenia wspomnianej wtyczki nie miałoby miejsca. |
79 |
W tych okolicznościach i z zastrzeżeniem ustaleń, których przeprowadzenie w tym względzie należy do sądu odsyłającego, trzeba uznać, że Facebook Ireland i Fashion ID wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniania poprzez transmisję. |
80 |
Co się tyczy celów wspomnianych operacji przetwarzania danych osobowych, wydaje się, że umieszczenie przez Fashion ID przycisku „Lubię to” Facebooka w jej witrynie internetowej pozwala jej na optymalizację reklamy jej produktów poprzez uczynienie ich bardziej widocznymi w serwisie społecznościowym Facebook, gdy osoba odwiedzająca jej witrynę internetową klika na wspomniany przycisk. To właśnie po to, aby skorzystać z tej korzyści handlowej polegającej na takich wzmożonych działaniach reklamowych w odniesieniu do swoich produktów, Fashion ID, umieszczając taki przycisk w swojej witrynie internetowej, wyraziła – jak się zdaje – zgodę, przynajmniej w sposób dorozumiany, na gromadzenie danych osobowych osób odwiedzających jej witrynę internetową i ich ujawnianie poprzez transmisję, jako że te operacje przetwarzania są dokonywane w interesie gospodarczym zarówno Fashion ID, jak i Facebook Ireland, dla której możliwość dysponowania tymi danymi we własnych celach komercyjnych stanowi rekompensatę za korzyść zaoferowaną Fashion ID. |
81 |
W takich okolicznościach można uznać – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – że Fashion ID i Facebook Ireland określają wspólnie cele operacji gromadzenia danych osobowych rozpatrywanych w postępowaniu głównym i ich ujawniania poprzez transmisję. |
82 |
Ponadto, jak wynika z orzecznictwa przypomnianego w pkt 69 niniejszego wyroku, okoliczność, że operator witryny internetowej, taki jak Fashion ID, sam nie ma dostępu do danych osobowych gromadzonych i przekazanych dostawcy wtyczki społecznościowej, z którym określa wspólnie sposoby i cele przetwarzania danych osobowych, nie stoi na przeszkodzie temu, by przysługiwał mu przymiot administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. |
83 |
Poza tym należy podkreślić, że witrynę internetową, taką jak witryna Fashion ID, odwiedzają zarówno osoby, które są członkami serwisu społecznościowego Facebook i które dysponują zatem kontem w tym serwisie społecznościowym, jak i osoby, które nie dysponują takim kontem. W tym ostatnim przypadku odpowiedzialność operatora witryny internetowej, takiego jak Fashion ID, w odniesieniu do przetwarzania danych osobowych tych osób wydaje się jeszcze istotniejsza, ponieważ samo wejście na tę witrynę, zawierającą przycisk „Lubię to” Facebooka, wydaje się skutkować przetwarzaniem ich danych osobowych przez Facebook Ireland (zob. podobnie wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 41). |
84 |
W konsekwencji okazuje się, że Fashion ID można uznać za administratora w rozumieniu art. 2 lit. d) dyrektywy 95/46, wspólnie z Facebook Ireland, w odniesieniu do operacji gromadzenia danych osobowych osób odwiedzających jej witrynę internetową i ich ujawniania poprzez transmisję. |
85 |
Przy uwzględnieniu powyższych rozważań na pytanie drugie należy odpowiedzieć, że operatora witryny internetowej, takiego jak Fashion ID, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46. Jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję. |
W przedmiocie pytania trzeciego
86 |
Z uwagi na odpowiedź udzieloną na pytanie drugie pytanie trzecie nie wymaga odpowiedzi. |
W przedmiocie pytania czwartego
87 |
Poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu temu dostawcy danych osobowych osoby odwiedzającej, należy do celów stosowania art. 7 lit. f) dyrektywy 95/46 wziąć pod uwagę uzasadnione interesy tego operatora, czy też uzasadnione interesy wspomnianego dostawcy. |
88 |
Na wstępie należy zauważyć, że według Komisji kwestia ta nie ma znaczenia dla rozstrzygnięcia sporu w postępowaniu głównym, ponieważ nie została uzyskana wymagana przez art. 5 ust. 3 dyrektywy 2002/58 zgoda osób, których dane dotyczą. |
89 |
W tym względzie należy stwierdzić, że art. 5 ust. 3 tej ostatniej dyrektywy przewiduje, iż państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę po otrzymaniu zgodnie z dyrektywą 95/46 jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. |
90 |
Do sądu odsyłającego należy ustalenie, czy w sytuacji takiej jak rozpatrywana w postępowaniu głównym dostawca wtyczki społecznościowej, taki jak Facebook Ireland, uzyskuje dostęp – jak utrzymuje Komisja – do informacji przechowywanych w urządzeniu końcowym, w rozumieniu art. 5 ust. 3 dyrektywy 2002/58, osoby odwiedzającej witrynę internetową operatora tej witryny. |
91 |
W takich okolicznościach i ponieważ sąd odsyłający wydaje się uważać, że w niniejszym przypadku dane przekazywane Facebook Ireland stanowią dane osobowe w rozumieniu dyrektywy 95/46, które zresztą niekoniecznie ograniczają się do informacji przechowywanych w urządzeniu końcowym, czego potwierdzenie należy do tego sądu, twierdzenia Komisji nie pozwalają na zakwestionowanie istotności dla rozstrzygnięcia sporu w postępowaniu głównym pytania czwartego, dotyczącego ewentualnej legalności przetwarzania danych rozpatrywanych w postępowaniu głównym, jak to również zauważył rzecznik generalny w pkt 115 opinii. |
92 |
W konsekwencji trzeba zbadać kwestię tego, jakie uzasadnione interesy należy wziąć pod uwagę dla celów stosowania art. 7 lit. f) tej dyrektywy do przetwarzania tych danych. |
93 |
W tym względzie należy od razu przypomnieć, że zgodnie z przepisami rozdziału II dyrektywy 95/46, zatytułowanego „Ogólne zasady legalności przetwarzania danych osobowych”, z zastrzeżeniem dozwolonych na mocy jej art. 13 odstępstw, każda operacja przetwarzania danych osobowych musi być zgodna w szczególności z jednym z kryteriów legalności przetwarzania danych wymienionych w art. 7 wspomnianej dyrektywy (zob. podobne wyroki: z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 71; a także z dnia 1 października 2015 r., Bara i in., C‑201/14, EU:C:2015:638, pkt 30). |
94 |
Na mocy z art. 7 lit. f) dyrektywy 95/46, o którego wykładnię zwrócił się sąd odsyłający, przetwarzanie danych osobowych jest zgodne z prawem, gdy jest ono konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony zgodnie z art. 1 ust. 1 dyrektywy 95/46. |
95 |
We wspomnianym art. 7 lit. f) określono zatem trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osobę trzecią lub osoby trzecie, którym dane są ujawniane, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z uzasadnionych interesów, oraz po trzecie, przesłankę, aby nie miały pierwszeństwa prawa i wolności osoby objętej ochroną danych (wyrok z dnia 4 maja 2017 r., Rīgas satiksme, C‑13/16, EU:C:2017:336, pkt 28). |
96 |
Ponieważ w świetle odpowiedzi udzielonej na pytanie drugie okazuje się, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym operatora witryny internetowej, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, można uznać za administratora wspólnie z tym dostawcą w odniesieniu do operacji przetwarzania danych osobowych osób odwiedzających jego witrynę internetową, którymi są gromadzenie i ujawnianie poprzez transmisję, jest konieczne, by w ramach tych operacji przetwarzania każdy z tych administratorów dążył do uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem niego uzasadnione. |
97 |
Przy uwzględnieniu powyższych rozważań na pytanie czwarte należy odpowiedzieć, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, jest konieczne, by w ramach tych operacji przetwarzania zarówno operator ten, jak i dostawca dążyli do realizacji uzasadnionych interesów w rozumieniu art. 7 lit. f) dyrektywy 95/46, aby operacje te były względem każdego z nich uzasadnione. |
W przedmiocie pytań piątego i szóstego
98 |
Poprzez pytania piąte i szóste, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, po pierwsze, czy art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych wspomnianej osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez wspomnianego operatora lub przez tego dostawcę, a po drugie, czy art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży na tym operatorze. |
99 |
Jak wynika z odpowiedzi udzielonej na pytanie drugie, operatora witryny internetowej, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych wspomnianej osoby odwiedzającej, można uznać za administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46, przy czym jego odpowiedzialność jest jednak ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście określa. |
100 |
Okazuje się zatem, że obowiązki, które mogą spoczywać zgodnie z dyrektywą 95/46 na tym administratorze danych, takie jak obowiązek uzyskania określonej w art. 2 lit. h) i art. 7 lit. a) tej dyrektywy zgody od osoby, której dane dotyczą, a także obowiązek informacyjny przewidziany w art. 10 tej dyrektywy, powinny dotyczyć operacji lub zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa. |
101 |
W niniejszym przypadku, o ile operatora witryny internetowej, który umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych wspomnianej osoby odwiedzającej, można uznać za administratora wspólnie z tym dostawcą w odniesieniu do operacji gromadzenia danych osobowych tej osoby odwiedzającej i ich ujawniania poprzez transmisję, o tyle jego obowiązek uzyskania określonej w art. 2 lit. h) i w art. 7 lit. a) dyrektywy 95/46 zgody od osoby, której dane dotyczą, a także obowiązek informacyjny przewidziany w art. 10 tej dyrektywy dotyczy jedynie tych operacji. Natomiast obowiązki te nie rozciągają się na operacje przetwarzania danych osobowych odnoszące się do pozostałych etapów, wcześniejszych lub późniejszych od wspomnianych operacji, które ewentualnie są objęte rozpatrywanym przetwarzaniem danych osobowych. |
102 |
Co się tyczy określonej w art. 2 lit. h) i w art. 7 lit. a) dyrektywy 95/46 zgody, jest oczywiste, że musi ona zostać wyrażona przed gromadzeniem danych osoby, której dane dotyczą, i ich ujawnieniem poprzez transmisję. W tych okolicznościach obowiązek uzyskania tej zgody spoczywa na operatorze witryny internetowej, a nie na dostawcy wtyczki społecznościowej, jako że proces przetwarzania danych osobowych zostaje uruchomiony wejściem osoby odwiedzającej na tę witrynę. Jak bowiem zauważył rzecznik generalny w pkt 132 opinii, nie dałoby się zapewnić skutecznej i terminowej ochrony praw osoby, której dane dotyczą, gdyby zgoda była wyrażana wyłącznie wobec współadministratora biorącego udział w przetwarzaniu na późniejszym etapie, mianowicie dostawcy wspomnianej wtyczki. Zgoda, która musi zostać udzielona operatorowi, dotyczy jednak wyłącznie operacji lub zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby ten operator rzeczywiście określa. |
103 |
To samo odnosi się do obowiązku informacyjnego przewidzianego w art. 10 dyrektywy 95/46. |
104 |
W tym względzie z brzmienia tego przepisu wynika, że administrator danych lub jego przedstawiciel ma obowiązek przedstawienia osobie, od której gromadzone są dane, co najmniej informacji wskazanych we wspomnianym przepisie. Wydaje się zatem, że informacja ta powinna zostać udzielona przez administratora danych niezwłocznie, czyli w momencie gromadzenia danych (zob. podobnie wyroki: z dnia 7 maja 2009 r., Rijkeboer, C‑553/07, EU:C:2009:293, pkt 68; z dnia 7 listopada 2013 r., IPI, C‑473/12, EU:C:2013:715, pkt 23). |
105 |
Z powyższego wynika, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym obowiązek informacyjny przewidziany w art. 10 dyrektywy 95/46 ciąży również na operatorze witryny internetowej, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby ten operator rzeczywiście określa. |
106 |
Przy uwzględnieniu powyższych rozważań na pytania piąte i szóste należy odpowiedzieć, iż art. 2 lit. h) i art. 7 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której operator witryny internetowej umieszcza we wspomnianej witrynie wtyczkę społecznościową umożliwiającą przeglądarce osoby odwiedzającej tę witrynę pobieranie treści od dostawcy wspomnianej wtyczki i przekazywanie w tym celu rzeczonemu dostawcy danych osobowych osoby odwiedzającej, zgoda, o której mowa w tych przepisach, powinna zostać uzyskana przez tego operatora wyłącznie w odniesieniu do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby wspomniany operator określa. Ponadto art. 10 tej dyrektywy należy interpretować w ten sposób, że w takiej sytuacji obowiązek informacyjny przewidziany w tym przepisie ciąży również na wspomnianym operatorze, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa. |
W przedmiocie kosztów
107 |
Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi. |
Z powyższych względów Trybunał (druga izba) orzeka, co następuje: |
|
|
|
|
Podpisy |
( *1 ) Język postępowania: niemiecki.