EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0252
Opinion of Advocate General Rantos delivered on 20 September 2022.#Meta Platforms Inc and Others v Bundeskartellamt.#Request for a preliminary ruling from the Oberlandesgericht Düsseldorf.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Social networks – Abuse of a dominant position by the operator of such a network – Abuse which entails the processing of the personal data of the users of that network as provided for in its general terms of use – Powers of a competition authority of a Member State to find that processing is not consistent with that regulation – Reconciliation with the powers of the national data protection supervisory authorities – Article 4(3) TEU – Principle of sincere cooperation – Points (a) to (f) of the first subparagraph of Article 6(1) of Regulation 2016/679 – Whether the processing is lawful – Article 9(1) and (2) – Processing of special categories of personal data – Article 4(11) – Concept of ‘consent’.#Case C-252/21.
Návrhy prednesené 20. septembra 2022 – generálny advokát A. Rantos.
Meta Platforms Inc.a i. proti Bundeskartellamt.
Návrh na začatie prejudiciálneho konania, ktorý podal Oberlandesgericht Düsseldorf.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Online sociálne siete – Zneužitie dominantného postavenia prevádzkovateľom takejto siete – Zneužitie spočívajúce v spracúvaní osobných údajov používateľov tejto siete stanovenom vo všeobecných podmienkach jej používania – Právomoci orgánu na ochranu hospodárskej súťaže členského štátu konštatovať nesúlad tohto zaobchádzania s týmto nariadením – Skĺbenie s právomocami vnútroštátnych dozorných orgánov na ochranu osobných údajov – Článok 4 ods. 3 ZEÚ – Zásada lojálnej spolupráce – Článok 6 ods. 1 prvý pododsek písm. a) až f) nariadenia 2016/679 – Zákonnosť spracúvania – Článok 9 ods. 1 a 2 – Spracúvanie osobitných kategórií osobných údajov – Článok 4 bod 11 – Pojem ‚súhlas‘.
Vec C-252/21.
Návrhy prednesené 20. septembra 2022 – generálny advokát A. Rantos.
Meta Platforms Inc.a i. proti Bundeskartellamt.
Návrh na začatie prejudiciálneho konania, ktorý podal Oberlandesgericht Düsseldorf.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Online sociálne siete – Zneužitie dominantného postavenia prevádzkovateľom takejto siete – Zneužitie spočívajúce v spracúvaní osobných údajov používateľov tejto siete stanovenom vo všeobecných podmienkach jej používania – Právomoci orgánu na ochranu hospodárskej súťaže členského štátu konštatovať nesúlad tohto zaobchádzania s týmto nariadením – Skĺbenie s právomocami vnútroštátnych dozorných orgánov na ochranu osobných údajov – Článok 4 ods. 3 ZEÚ – Zásada lojálnej spolupráce – Článok 6 ods. 1 prvý pododsek písm. a) až f) nariadenia 2016/679 – Zákonnosť spracúvania – Článok 9 ods. 1 a 2 – Spracúvanie osobitných kategórií osobných údajov – Článok 4 bod 11 – Pojem ‚súhlas‘.
Vec C-252/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2022:704
ATHANASIOS RANTOS
prednesené 20. septembra 2022 ( 1 )
Vec C‑252/21
Meta Platforms Inc., predtým Facebook Inc.,
Meta Platforms Ireland Limited, predtým Facebook Ireland Ltd.,
Facebook Deutschland GmbH
proti
Bundeskartellamt,
za účasti:
Verbraucherzentrale Bundesverband e.V.
[návrh na začatie prejudiciálneho konania, ktorý podal Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko)]
„Návrh na začatie prejudiciálneho konania – Nariadenie (EÚ) 2016/679 – Ochrana fyzických osôb pri spracúvaní osobných údajov – Sociálne siete – Článok 4 bod 11 – Pojem ‚súhlas‘ dotknutej osoby – Súhlas udelený podniku spravujúcemu údaje s dominantným postavením – Článok 6 ods. 1 písm. b) až f) – Zákonnosť spracúvania – Spracúvanie nevyhnutné na plnenie zmluvy, ktorej je dotknutá osoba zmluvnou stranou alebo na účely oprávnených záujmov sledovaných prevádzkovateľom alebo treťou osobou – Spracúvanie nevyhnutné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby alebo na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi – Článok 9 ods. 1 a článok 9 ods. 2 písm. e) – Osobitné kategórie osobných údajov – Osobné údaje, ktoré dotknutá osoba preukázateľne zverejnila – Články 51 až 66 – Právomoci vnútroštátneho orgánu na ochranu hospodárskej súťaže – Súlad s právomocami dozorných orgánov v oblasti ochrany osobných údajov – Prijatie opatrení podľa práva hospodárskej súťaže orgánom so sídlom v inom členskom štáte, ako je členský štát sídla hlavného dozorného orgánu v oblasti ochrany údajov“
Úvod
|
1. |
Návrh na začatie prejudiciálneho konania v tejto veci podal Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko) v spore medzi spoločnosťami patriacimi do skupiny Meta Platforms ( 2 ) a Bundeskartellamt (Spolkový úrad pre hospodársku súťaž, Nemecko), týkajúcom sa rozhodnutia, ktorým tento úrad zakázal žalobkyni vo veci samej spracúvať údaje spôsobom upraveným v podmienkach používania jej sociálnej siete Facebook, ako aj uplatňovať tieto podmienky používania služby a uložil jej povinnosť prijať opatrenia smerujúce k ukončeniu takýchto úkonov. ( 3 ) |
|
2. |
Prejudiciálne otázky sa v zásade týkajú na jednej strane právomocí vnútroštátneho orgánu na ochranu hospodárskej súťaže, akým je Bundeskartellamt, skúmať v rámci hlavného konania alebo incidenčne správanie sa podniku z hľadiska niektorých ustanovení nariadenia (EÚ) 2016/679 ( 4 ) a na druhej strane vykladať tieto ustanovenia najmä z pohľadu spracúvania citlivých osobných údajov, relevantných podmienok zákonnosti spracúvania osobných údajov a udelenia slobodného súhlasu podniku s dominantným postavením. |
Právny rámec
Právo Únie
|
3. |
Článok 4 GDPR stanovuje: „Na účely tohto nariadenia: …
…“ |
|
4. |
Článok 6 ods. 1 tohto nariadenia s názvom „Zákonnosť spracúvania“ znie: „Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok::
Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.“ |
|
5. |
Článok 9 ods. 1 a 2 uvedeného nariadenia s názvom „Spracúvanie osobitných kategórií osobných údajov“ stanovuje: „1. Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. 2. Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:
…
…“ |
|
6. |
Článok 51 tohto nariadenia s názvom „Dozorný orgán“, ktorý je súčasťou kapitoly VI, nazvanej „Nezávislé dozorné orgány“, znie: „1. Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie… 2. Každý dozorný orgán prispieva ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s Komisiou v súlade s kapitolou VII. …“ |
Nemecké právo
|
7. |
Ustanovenie § 19 ods. 1 Gesetz gegen Wettbewerbsbeschränkungen (zákon proti obmedzovaniu hospodárskej súťaže, ďalej len „GWB“) stanovuje: „Zneužívanie dominantného postavenia jedným alebo viacerými podnikmi je zakázané.“ ( 5 ) |
|
8. |
Ustanovenie § 50f GWB stanovuje: 1. Orgány na ochranu hospodárskej súťaže, regulačné orgány, spolkový zmocnenec pre ochranu údajov a slobodu informácií, zmocnenci spolkových krajín pre ochranu údajov, ako aj príslušné orgány v zmysle článku 2 EU‑Verbraucherschutzdurchführungsgesetz [zákon o vykonaní práva Európskej únie v oblasti ochrany spotrebiteľov] si môžu bez ohľadu na zvolený postup vzájomne vymieňať informácie vrátane osobných údajov a obchodných tajomstiev v rozsahu potrebnom pre plnenie ich príslušných úloh, ako aj využívať uvedené informácie v rámci svojich postupov. …“ |
Spor vo veci samej, prejudiciálne otázky a konanie na Súdnom dvore
|
9. |
Meta Platforms spravuje ponuku online sociálnej siete „Facebook“ v Európskej únii (na adrese www.facebook.com), ako aj iných online služieb, ako Instagram a WhatsApp. Ekonomický model sociálnych sietí spravovaných skupinou spoločností Meta Platforms je v zásade založený na jednej strane na poskytovaní bezplatných služieb sociálnych sietí súkromným používateľom a na druhej strane v predaji online reklamy, ktoré sú prispôsobené jednotlivým používateľom sociálnej siete a ktorých cieľom je zobraziť používateľovi tovary a služby, ktoré by pre neho mohli byť zaujímavé najmä s prihliadnutím na jeho osobné spotrebiteľské postoje, záujmy, kúpnu silu a osobnú situáciu. Technickým základom tohto typu reklamy je automatizované zostavovanie veľmi detailných profilov používateľov siete a ponúkaných online služieb na úrovni skupiny. ( 6 ) |
|
10. |
Pri zhromažďovaní a spracúvaní údajov používateľov sa Meta Platforms opiera o zmluvu o používaní uzavretú s používateľmi, ktorú uzatvoria kliknutím na tlačidlo „zaregistrovať sa“, čím títo používatelia prijímajú podmienky služby Facebook. Prijatie týchto podmienok služby je nevyhnutnou podmienkou pre používanie sociálnej siete Facebook. ( 7 ) Hlavná otázka v tejto veci sa týka praxe, ktorá spočíva, po prvé v získavaní údajov pochádzajúcich z iných služieb poskytovaných skupinou, ako aj z internetových stránok a tretích aplikácií získaných prostredníctvom súborov cookies uložených v počítači alebo v mobilnom koncovom zariadení používateľa, po druhé v prepojení týchto údajov s účtom dotknutého používateľa na Facebooku a po tretie v používaní týchto údajov (ďalej len „sporná prax“). |
|
11. |
Bundeskartellamt začal viesť konanie proti skupine Meta Platforms, po ktorom sporným rozhodnutím uvedenej skupine zakázal spracúvať údaje spôsobom upraveným v podmienkach služby Facebook, ako aj používanie týchto podmienok a uložil jej povinnosť prijať opatrenia zamerané na ukončenie takýchto činností. Bundeskartellamt odôvodnil svoje rozhodnutie najmä tým, že sporné spracúvanie je zneužívaním dominantného postavenia tejto spoločnosti na trhu sociálnych sietí pre súkromných používateľov v Nemecku v zmysle § 19 GWB ( 8 ). |
|
12. |
Meta Platforms podala 11. februára 2019 proti spornému rozhodnutiu na Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko) ( 9 ), ako vnútroštátny súd, žalobu, v ktorej vyjadruje predovšetkým svoje pochybnosti na jednej strane o oprávnení vnútroštátnych orgánov na ochranu hospodárskej súťaže monitorovať súlad spracúvania údajov s požiadavkami stanovenými GDPR, konštatovať porušenie jeho ustanovení a uložiť príslušnú sankciu a na druhej strane sa pýta na výklad a uplatnenie niektorých ustanovení tohto nariadenia. |
|
13. |
Za týchto podmienok Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
V prípade kladnej odpovede na siedmu otázku je potrebné odpovedať na tretiu až piatu otázku, pokiaľ ide o údaje získané v súvislosti s používaním služby Instagram, ktorá patrí podniku.“ |
|
14. |
Písomné pripomienky predložili Meta Platforms, nemecká, talianska, česká a rakúska vláda, Bundeskartellamt, Verbraucherzentrale Bundesverband e.V. (Združenie spotrebiteľov, Nemecko), ako aj Európska komisia. Títo účastníci konania tiež predniesli svoje ústne pripomienky na pojednávaní, ktoré sa uskutočnilo 10. mája 2022. |
Posúdenie
|
15. |
Prejudiciálne otázky, ktoré sú predmetom tohto konania a zameriavajú sa na výklad viacerých ustanovení GDPR, sa v zásade týkajú právomoci orgánu na ochranu hospodárskej súťaže zistiť a potrestať porušenie pravidiel v oblasti spracúvania osobných údajov a povinnosti tohto orgánu spolupracovať s hlavným dozorným orgánom v zmysle GDPR (prvá a siedma prejudiciálna otázka), po druhé, zákazu spracúvania citlivých osobných údajov a podmienok platných pre vyslovenie súhlasu s ich použitím (druhá prejudiciálna otázka), po tretie zákonnosti spracúvania osobných údajov z hľadiska niektorých odôvodnení (tretia až piata prejudiciálna otázka) a po štvrté platnosti súhlasu so spracúvaním osobných údajov udeleného podniku s dominantným postavením (šiesta prejudiciálna otázka). |
|
16. |
V nasledujúcich bodoch sa budem najskôr zaoberať prvou a siedmou prejudiciálnou otázkou a následne ostatnými prejudiciálnymi otázkami v poradí, v akom boli predložené, pričom na tretiu až piatu otázku odpoviem spoločne. |
O prvej prejudiciálnej otázke
|
17. |
Svojou prvou prejudiciálnou otázkou sa vnútroštátny súd v zásade pýta či v prípade, ak stíha porušenie pravidiel hospodárskej súťaže, môže orgán na ochranu hospodárskej súťaže na jednej strane rozhodnúť v rámci hlavného návrhu ( 10 ) o porušení pravidiel platných pre spracúvanie osobných údajov podľa GDPR podnikom, ktorého hlavná prevádzkareň výlučne zodpovedná za spracúvanie osobných údajov na celom území Únie, má svoje sídlo v inom členskom štáte, a na druhej strane nariadiť ukončenie tohto porušovania [prvá otázka písm. a)] a v prípade kladnej odpovede, či zodpovedný hlavný dozorný orgán podľa článku 56 ods. 1 GDPR môže naďalej skúmať podmienky spracúvania údajov tohto podniku [prvá otázka písm. b)]. |
|
18. |
S výhradou posúdenia vnútroštátnym súdom sa však domnievam, že Bundeskartellamt v spornom rozhodnutí nesankcionoval porušenie GDPR skupinou Meta Platforms, ale na účely uplatnenia pravidiel hospodárskej súťaže len pristúpil k preskúmaniu údajného porušenia zákazu zneužívania dominantného postavenia s prihliadnutím okrem iného aj na rozpor správania sa tohto podniku s ustanoveniami GDPR. |
|
19. |
Preto podľa môjho názoru je prvá otázka písm. a), v rozsahu v akom sa týka možnosti orgánu hospodárskej súťaže rozhodnúť predovšetkým o porušení pravidiel RGPD a nariadiť zastavenie tohto porušovania v zmysle uvedeného nariadenia, irelevantná. ( 11 ) |
|
20. |
Z uvedeného vyplýva, že prvá otázka písm. b), ktorá je podmienená kladnou odpoveďou na prvú otázku písm. a), je taktiež irelevantná. ( 12 ) |
O siedmej prejudiciálnej otázke
|
21. |
Svojou siedmou prejudiciálnou otázkou sa vnútroštátny súd v zásade pýta, či orgán na ochranu hospodárskej súťaže v prípade, ak incidenčne postihuje porušenia pravidiel hospodárskej súťaže ( 13 ) môže rozhodnúť o tom, či sú podmienky spracúvania osobných údajov a ich uplatnenie v súlade s GDPR [siedma otázka písm. a)] a v prípade kladnej odpovede, či orgán na ochranu hospodárskej súťaže môže vykonať posúdenie aj vtedy, ak tieto podmienky zároveň podliehajú preskúmaniu zodpovedným hlavným dozorným orgánom [siedma otázka, písm. b)]. |
|
22. |
Čo sa týka po prvé siedmej otázky písm. a), domnievam sa, že aj keď orgán na ochranu hospodárskej súťaže nemá právomoc konštatovať porušenie GDPR ( 14 ), táto skutočnosť nebráni v zásade tomu, aby iné ako dozorné orgány v rámci výkonu ich vlastných právomocí incidenčne prihliadli na súlad správania sa s ustanoveniami GDPR. O takýto prípad ide podľa môjho názoru najmä vtedy, ak orgán na ochranu hospodárskej súťaže vykonáva právomoci, ktoré mu zveruje článok 102 ZFEÚ a článok 5 ods. 1 nariadenia (ES) č. 1/2003 ( 15 ), resp. akékoľvek iné relevantné vnútroštátne ustanovenie. ( 16 ) |
|
23. |
Pri výkone týchto právomocí musí totiž orgán na ochranu hospodárskej súťaže predovšetkým rozhodnúť, či posudzované správanie spočíva v použití iných prostriedkov, ako sú prostriedky hospodárskej súťaže na základe výkonnosti, pričom je povinný prihliadať aj na právny a hospodársky kontext, v ktorom sa správanie uskutočňuje. ( 17 ) V tomto ohľade môže byť súlad alebo nesúlad takéhoto správania s ustanoveniami GDPR, nielen sám osebe, ale s prihliadnutím na všetky okolnosti prejednávanej veci, dôležitou okolnosťou pre rozhodnutie o tom, či dotknuté správanie možno považovať za použitie prostriedkov, ktorými sa riadi bežná hospodárska súťaž, pričom je potrebné spresniť, že zneužívajúca, resp. nezneužívajúca povaha správania sa z hľadiska článku 102 ZFEÚ nevyplýva z jeho súladu alebo nesúladu s GDPR alebo inými právnymi normami. ( 18 ) |
|
24. |
Preto sa domnievam, že skúmanie zneužitia dominantného postavenia na trhu môže poskytovať orgánu na ochranu hospodárskej súťaže dôvod na to, aby vykladal normy nesúťažného práva, akými sú ustanovenia GDPR ( 19 ), pričom treba spresniť, že takéto posúdenie sa vykoná incidenčným spôsobom ( 20 ) a nemá vplyv na uplatnenie uvedeného nariadenia zodpovednými dozornými orgánmi. ( 21 ) |
|
25. |
Po druhé čo sa týka siedmej otázky písm. b), vnútroštátny súd sa pýta, aké povinnosti má orgán na ochranu hospodárskej súťaže v rámci uplatnenia zásady lojálnej spolupráce upravenej v článku 4 ods. 3 ZEÚ voči zodpovednému vedúcemu dozornému orgánu v zmysle GDPR, keď vykladá ustanovenia tohto nariadenia a presnejšie, ak je rovnaké správanie, ako to, ktoré skúma orgán na ochranu hospodárskej súťaže, predmetom posudzovania zodpovedným vedúcim dozorným orgánom. |
|
26. |
V prejednávanej veci sa aj incidenčné posúdenie orgánu na ochranu hospodárskej súťaže týkajúce sa správania sa podniku z hľadiska ustanovení GDPR spája s rizikom rozdielneho výkladu tohto nariadenia týmto orgánom a dozornými orgánmi, čo by v zásade mohlo narušiť jednotný výklad GDPR. ( 22 ) |
|
27. |
Právo Únie neupravuje podrobné pravidlá spolupráce medzi orgánmi na ochranu hospodárskej súťaže a dozornými orgánmi v zmysle GDPR v takejto situácii. Presnejšie v prejednávanej veci sa nepoužije ani systém spolupráce medzi zodpovednými orgánmi v zmysle GDPR pri uplatňovaní tohto nariadenia, ( 23 ) ani iné podrobnejšie pravidlá spolupráce medzi správnymi orgánmi, akými sú pravidlá spolupráce medzi orgánmi na ochranu hospodárskej súťaže a pravidlá spolupráce medzi týmito orgánmi a Komisiou pri uplatňovaní pravidiel hospodárskej súťaže. ( 24 ) |
|
28. |
Pri výklade GDPR je však orgán na ochranu hospodárskej súťaže viazaný zásadou lojálnej spolupráce zakotvenou v článku 4 ods. 3 ZEÚ, podľa ktorej sa Únia a členské štáty vrátane ich správnych orgánov ( 25 ) vzájomne rešpektujú a vzájomne si pomáhajú pri vykonávaní úloh, ktoré vyplývajú zo Zmlúv. Predovšetkým podľa tretieho odseku tohto ustanovenia členské štáty pomáhajú Únii pri plnení jej úloh a neprijmú žiadne opatrenie, ktoré by mohlo ohroziť dosiahnutie cieľov Únie. ( 26 ) Okrem toho, ako každý správny orgán poverený uplatňovaním práva Únie, aj orgán na ochranu hospodárskej súťaže je viazaný zásadou riadnej správy vecí verejných ako všeobecnou zásadou práva Únie, ktorá okrem iného zahŕňa širokú povinnosť starostlivosti a obozretnosti zo strany vnútroštátnych orgánov. ( 27 ) |
|
29. |
To znamená, že v prípade, ak neexistujú presné pravidlá upravujúce systém spolupráce, prináleží normotvorcovi Únie, aby prípadne rozhodol, že orgán na ochranu hospodárskej súťaže je pri výklade ustanovení GDPR viazaný prinajmenšom informačnou a oznamovacou povinnosťou, ako aj povinnosťou spolupráce vo vzťahu k zodpovedným orgánom v zmysle tohto nariadenia a v súlade s vnútroštátnymi ustanoveniami, ktoré upravujú jeho právomoci (zásada procesnej autonómie členských štátov), pričom musí dodržiavať zásady rovnosti a účinnosti. ( 28 ) |
|
30. |
Z vyššie uvedeného podľa môjho názoru vyplýva, že v prípade, ak sa zodpovedný vedúci dozorný orgán vyjadril k uplatneniu určitých ustanovení GDPR v súvislosti s rovnakou alebo podobnou praxou, orgán na ochranu hospodárskej súťaže sa v zásade nebude môcť odchýliť od výkladu tohto orgánu, ktorý má výlučnú právomoc uplatniť toto nariadenie ( 29 ) a v čo možno najväčšom rozsahu pri zachovaní predovšetkým práva na obranu dotknutých osôb bude povinný postupovať v súlade s prípadnými rozhodnutiami vydanými týmto orgánom v súvislosti s rovnakým správaním ( 30 ) a v prípade pochybností v prejednávanej veci týkajúcich sa výkladu poskytnutého zodpovedným orgánom sa obrátiť na tento orgán alebo v prípade potreby, ak sa tento orgán nachádza v inom členskom štáte, prediskutovať vec s vnútroštátnym dozorným orgánom. ( 31 ) |
|
31. |
Okrem toho v prípade ak zodpovedný dozorný orgán vo veci nerozhodol, má orgán na ochranu hospodárskej súťaže aj naďalej povinnosť informovať tento orgán ( 32 ) a spolupracovať s ním, ak tento orgán začal skúmať rovnakú prax alebo vyjadril úmysel začať takéto preskúmanie a prípadne počkať do skončenia preskúmania tohto orgánu skôr, ako začne vlastné posúdenie, ak má primeranú povahu a nie je prekážkou pre dodržanie primeranej lehoty pre vyšetrovanie, ako aj zachovanie práv dotknutých osôb na obranu orgánom na ochranu hospodárskej súťaže. ( 33 ) |
|
32. |
V prejednávanej veci sa zdá, že začatie spolupráce so zodpovednými dozornými vnútroštátnymi orgánmi ( 34 ) a nadviazanie neformálneho kontaktu s hlavným írskym dozorným orgánom, ako aj okolnosti, na ktoré sa odvoláva Bundeskartellamt, a tá skutočnosť, že preskúmanie prináleží vykonať vnútroštátnemu orgánu, dostatočne odôvodňujú záver, že tento orgán si splnil svoje povinnosti náležitej starostlivosti a lojálnej spolupráce. ( 35 ) |
|
33. |
Vzhľadom na vyššie uvedené skutočnosti navrhujem odpovedať na siedmu prejudiciálnu otázku tak, že články 51 až 66 GDPR sa majú vykladať v tom zmysle, že orgán na ochranu hospodárskej súťaže v rámci svojich právomocí v zmysle pravidiel v oblasti hospodárskej súťaže môže incidenčne skúmať súlad posudzovaných praktík s pravidlami GDPR, pričom je povinný zohľadniť akékoľvek rozhodnutie alebo vyšetrovanie zodpovedného dozorného orgánu podľa GDPR a informovať o takomto preskúmaní vnútroštátny dozorný orgán, a v prípade potreby s ním vec konzultovať. |
O druhej prejudiciálnej otázke
|
34. |
Svojou druhou prejudiciálnou otázkou sa vnútroštátny súd v zásade pýta, či sa má článok 9 ods.1 GDPR vykladať v tom zmysle, že sporná praktika v prípade, ak sa týka prehliadania internetových stránok a používania aplikácií tretích osôb, ( 36 ) patrí do rámca spracúvania vypočítaných citlivých osobných údajov, ( 37 ) ktoré je zakázané ( 38 ) [druhá otázka písm. a)] a v prípade kladnej odpovede, či sa článok 9 ods. 2 písm. e) tohto nariadenia má vykladať v tom zmysle, že používateľ v zmysle tohto ustanovenia zjavne zverejní na jednej strane údaje, ktoré sa uverejňujú pri prehliadaní internetových stránok a aplikácií alebo na druhej strane údaje, ktoré sú vložené alebo ktoré sa stanú viditeľnými pri kliknutí na tlačidlá zabudované do týchto internetových stránok alebo aplikácií ( 39 ) [druhá otázka písm. b)]. |
|
35. |
Čo sa týka po prvé druhej otázky písm. a), pripomínam, že podľa článku 9 ods. 1 GDPR sa zakazuje spracúvanie citlivých osobných údajov. Osobitná ochrana týchto údajov je v zmysle odôvodnenia 51 tohto nariadenia opodstatnená tým, že svojou povahou sú v súvislosti so základnými právami a slobodami obzvlášť citlivé a zasluhujú si osobitnú ochranu, keďže z ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká. Navyše aj napriek pomerne nejasnému zneniu tohto ustanovenia ( 40 ) sa mi nezdá, ako sa domnieva vnútroštátny orgán, že toto ustanovenie zavádza zásadne rozdielne zaobchádzanie s osobnými údajmi, ktoré majú citlivú povahu, pretože „vyplývajú“ z určitej situácie a údajmi, ktoré sú samé osebe citlivé. ( 41 ) |
|
36. |
V prejednávanej veci je podľa môjho názoru zrejmé, že sporná praktika je spracúvaním osobných údajov, ktoré môže v zásade patriť do pôsobnosti tohto ustanovenia a ktoré možno zakázať, ak spracúvané údaje „vyplývajú“ z niektorej z citlivých situácií vymenovaných v tomto ustanovení. Je preto potrebné rozhodnúť či a do akej miery môže prehliadanie internetových stránok a používanie aplikácií alebo vloženie údajov do týchto aplikácií „odhaľovať“ niektorú s citlivých situácií uvedených v spornom ustanovení. |
|
37. |
V tomto ohľade mám pochybnosti o tom, že by bolo relevantné (a stále možné) rozlišovať na jednej strane medzi samotným záujmom dotknutej osoby o niektoré informácie a na druhej strane zaradením týchto údajov do niektorej z kategórií uvedených v predmetnom ustanovení. ( 42 ) Aj keď si postoje účastníkov konania vo veci samej v tomto ohľade navzájom odporujú ( 43 ) domnievam sa, že odpoveď na túto otázku možno hľadať len v každom individuálnom prípade a to s prihliadnutím na každú jednotlivú činnosť, ktorá je súčasťou spornej praktiky. |
|
38. |
Ak tak, ako uvádza nemecká vláda, len samotné získanie citlivých osobných údajov o prehliadaní internetovej stránky alebo používaní aplikácie nie je samo osebe nevyhnutne spracúvaním citlivých osobných údajov v zmysle tohto ustanovenia, ( 44 ) spojenie týchto údajov s účtom Facebook dotknutého používateľa alebo ich používanie predstavujú správanie, ktoré by naopak bolo pomerne jednoducho možné považovať za takéto spracúvanie. Rozhodujúcim prvkom na účely uplatnenia článku 9 ods. 1 GDPR je podľa môjho názoru možnosť, že s pomocou spracúvaných údajov možno vytvoriť profil používateľa podľa kategórií vyplývajúcich zo zoznamu citlivých osobných údajov obsiahnutého v tomto ustanovení. ( 45 ) |
|
39. |
V tejto súvislosti by na účely posúdenia, či určité spracúvanie údajov patrí do pôsobnosti tohto ustanovenia, bolo vhodné prípadne rozlišovať na jednej strane medzi spracúvaním údajov, ktoré možno prima facie zaradiť do kategórie citlivých osobných údajov a s pomocou ktorých možno vytvoriť profil dotknutej osoby, a na druhej strane spracúvaním údajov, ktoré samy osebe nie sú citlivé, ale vyžadujú si následné prepojenie na to, aby bolo možné s dostatočnou istotou vytvoriť profil dotknutej osoby. |
|
40. |
Vzhľadom na vyššie uvedené je potrebné spresniť, že existencia kategorizácie v zmysle tohto ustanovenia nezávisí od otázky, či je takáto kategorizácia pravdivá alebo správna. ( 46 ) Relevantná je len možnosť, že by takáto kategorizácia predstavovala významné riziko pre základné slobody a práva dotknutej osoby, ako pripomína článok 51 GDPR, teda možnosť, ktorá nezávisí od jej pravdivosti. |
|
41. |
Napokon čo sa týka otázky vnútroštátneho súdu, ktorou sa snaží zistiť, či je cieľ používania relevantný na účely sporného posúdenia, ( 47 ) na rozdiel od žalobkyne vo veci samej sa domnievam, že sa v zásade nevyžaduje, aby prevádzkovateľ spracúval tieto údaje „s vedomím a s úmyslom získať priamo osobitné kategórie informácií“. Cieľom predmetného ustanovenia je totiž objektívne predchádzať významným rizikám pre základné slobody a základné práva dotknutých osôb, ktoré vyplývajú zo spracúvania citlivých osobných údajov nezávisle od akéhokoľvek subjektívneho prvku, akým je úmysel prevádzkovateľa. |
|
42. |
Čo sa po druhé týka druhej otázky písm. b), pripomínam, že podľa článku 9 ods. 2 písm. e) GDPR sa zákaz spracúvania osobných údajov nevzťahuje na spracúvanie osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila. Okrem toho odkaz v znení tohto ustanovenia na príslovku „preukázateľne“ a skutočnosť, že predmetné ustanovenie má povahu výnimky zo spracúvania osobných údajov ( 48 ) si vyžadujú obzvlášť prísne použitie tejto výnimky z dôvodu závažných rizík pre základné práva a základné slobody dotknutých osôb. ( 49 ) Možnosť uplatnenia tejto výnimky si vyžaduje, aby si bol používateľ podľa môjho názoru plne vedomý, že výslovným úkonom ( 50 ) zverejňuje osobné údaje. ( 51 ) |
|
43. |
V prejednávanej veci sa domnievam, že správanie spočívajúce v prezeraní si internetových stránok a používaní aplikácií, vkladaní údajov na tieto stránky a do týchto aplikácií a kliknutí na tlačidlá zabudované do týchto internetových stránok alebo aplikácií nemožno v zásade považovať za správanie, ktoré preukázateľne sprístupňuje verejnosti citlivé osobné údaje používateľa v zmysle článku 9 ods. 2 písm. e) GDPR. |
|
44. |
Konkrétnejšie zdôrazňujem, že prehliadanie si internetových stránok a používanie aplikácií v zásade sprístupňuje prezerané informácie výlučne správcovi dotknutej internetovej stránky alebo aplikácie a tretím osobám, ktorým táto osoba postúpi dotknuté informácie, ako v prípade žalobkyne vo veci samej. ( 52 ) Okrem toho aj v prípade, ak by dotknutá osoba vložením údajov na internetovú stránku a do aplikácií mohla poskytnúť priamo a dobrovoľne informácie o niektorých citlivých osobných údajoch, poznamenávam, že tieto informácie sú prístupné len pre správcu dotknutej stránky alebo aplikácie a pre tretie osoby, ktorým tento správca uvedené informácie postúpi. Preto vylučujem, že by takéto správanie mohlo odrážať vôľu sprístupniť takéto údaje verejnosti. ( 53 ) Navyše aj keď je zrejmé, že kliknutím na tlačidlá zabudované do týchto internetových stránok alebo aplikácií, ( 54 ) dotknutá osoba jasne vyjadruje svoju vôľu zdieľať niektoré informácie s externou verejnosťou na internetovej stránke alebo v spornej aplikácii, domnievam sa, ako zdôrazňuje aj Buneskartellamt, že v súvislosti s takýmto správaním si je dotknutá osoba vedomá, že zdieľa informácie s vymedzeným okruhom osôb, ktorý často určí samotný používateľ, ( 55 ) a nie s verejnosťou. ( 56 ) |
|
45. |
Napokon čo sa týka relevantnosti prípadného súhlasu udeleného používateľom v zmysle článku 5 ods. 3 smernice 2002/58 so získaním osobných údajov prostredníctvom ukazovateľov pripojenia (cookies) alebo podobných technológií, na ktoré sa odvoláva vnútroštátny súd, zastávam názor, že takýto súhlas nemôže vzhľadom na jeho osobitný cieľ sám osebe odôvodniť spracúvanie citlivých osobných údajov získaných s pomocou týchto nástrojov. ( 57 ) Uvedený súhlas, ktorý je nevyhnutný pre inštalovanie technického prostriedku na zachytenie niektorých činností používateľa, ( 58 ) sa nevzťahuje na spracúvanie citlivých osobných údajov a nemožno ho považovať za prejav vôle preukázateľne zverejniť tieto údaje v zmysle článku 9 ods. 2 písm. e) GDPR. ( 59 ) |
|
46. |
Vzhľadom na vyššie uvedené skutočnosti navrhujem odpovedať na druhú prejudiciálnu otázku tak, že na jednej strane sa má článok 9 ods. 1 GDPR vykladať v tom zmysle, že zákaz spracúvania citlivých osobných údajov môže zahŕňať aj spracúvanie údajov prevádzkovateľom online sociálnej siete, ktoré spočíva v získavaní údajov používateľa pri prezeraní iných internetových stránok alebo používaní aplikácií, resp. pri vkladaní údajov do takýchto stránok alebo aplikácií, prepojenie uvedených údajov s účtom používateľa sociálnej siete a ich použití, ak takéto spracúvané údaje posudzované individuálne alebo navzájom prepojené umožňujú vytvorenie profilu používateľa na základe kategórií vyplývajúcich zo zoznamu citlivých osobných údajov upraveného týmto ustanovením a na druhej strane, že sa má článok 9 ods. 2 písm. e) GDPR vykladať v tom zmysle, že používateľ preukázateľne nezverejňuje údaje len preto, že boli poskytnuté pri prehliadaní internetových stránok a používaní aplikácií alebo že boli vložené na takéto stránky alebo do aplikácií, alebo že vyplývajú zo stlačenia tlačidiel výberu, ktoré sú v nich zabudované. |
O tretej až piatej prejudiciálnej otázke
|
47. |
Svojou treťou až piatou prejudiciálnou otázkou sa vnútroštátny súd v zásade pýta, či sa má článok 6 ods. 1 písm. b), c), d), e) a f) GDPR vykladať v tom zmysle, že sporná praktika ( 60 ) spadá do pôsobnosti niektorého z odôvodnení upravených v týchto ustanoveniach, a to konkrétne:
|
|
48. |
Na úvod a bez ohľadu na niektoré otázky týkajúce sa prípustnosti štvrtej a piatej prejudiciálnej otázky ( 68 ) navrhujem odpovedať na tretiu až piatu prejudiciálnu otázku spoločne, keďže usmernenia, ktoré poskytnem nižšie, najmä v súvislosti s treťou prejudiciálnou otázkou sú užitočné pre vnútroštátny súd pri uplatňovaní ustanovení, ktoré sú predmetom štvrtej a piatej prejudiciálnej otázky. |
|
49. |
V prvom rade zdôrazňujem, že v súlade s článkom 8 Charty základných práv Európskej únie (ďalej len „Charta“) musia byť osobné údaje riadne spracúvané na určené účely na základe súhlasu dotknutej osoby alebo na inom oprávnenom základe ustanovenom zákonom. V tomto ohľade článok 6 ods. 1 GDPR spresňuje, že spracúvanie týchto údajov je zákonné len vtedy, ak je splnená jedna zo šiestich podmienok stanovených týmto ustanovením. ( 69 ) |
|
50. |
V prejednávanej veci sa v prvom rade domnievam, že tretia až piata prejudiciálna otázka si vyžadujú podrobné preskúmanie jednotlivých ustanovení podmienok služby Facebook v každom individuálnom prípade a v kontexte spornej praktiky, pretože nie je možné určiť, či v súvislosti s touto praktikou „sa spoločnosť, akou je [Meta Platforms]“ môže všeobecne odvolávať na všetky (alebo niektoré) odôvodnenia upravené v článku 6 ods. 1 GDPR, a to aj keď nemožno vylúčiť, že takáto praktika alebo niektoré z jej činností môžu v niektorých prípadoch patriť do pôsobnosti tohto článku. ( 70 ) |
|
51. |
Okrem toho spracúvanie upravené v citovaných ustanoveniach sa v prejednávanej veci vykonáva v súlade so všeobecnými podmienkami zmluvy nariadenými prevádzkovateľom, bez súhlasu dotknutej osoby, ( 71 ) resp. proti jeho vôli, čo podľa môjho názoru vyžaduje prísny výklad predmetných odôvodnení, a to najmä s cieľom vyhnúť sa obchádzaniu podmienky vyslovenia súhlasu. ( 72 ) |
|
52. |
Napokon pripomínam, že v súlade s článkom 5 ods. 2 GDPR znáša tento prevádzkovateľ dôkazné bremeno v tom zmysle, že osobné údaje sa spracúvajú v súlade s uvedeným nariadením a že v súlade s článkom 13 ods. 1 písm. c) uvedeného nariadenia prináleží prevádzkovateľovi, ktorý spracúva citlivé osobné údaje, aby spresnil účel, na ktorý sa majú údaje použiť, ako aj právny základ ich spracúvania. |
O tretej prejudiciálnej otázke
|
53. |
Po prvé podľa článku 6 ods. 1 písm. b) GDPR je spracúvanie osobných údajov zákonné iba vtedy a iba v tom rozsahu, keď je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba. ( 73 ) |
|
54. |
V tomto ohľade pripomínam, že pojem „potrebný“ nie je definovaný v právnej úprave Únie, ale v zmysle judikatúry sa považuje za autonómny pojem práva Únie. ( 74 ) Na to, aby sa spracúvanie považovalo za potrebné pre plnenie zmluvy nestačí, aby sa uskutočnilo pri plnení zmluvy, aby sa uvádzalo v zmluve ( 75 ) alebo aby bolo len užitočné pre plnenie zmluvy. ( 76 ) V zmysle judikatúry Súdneho dvora musí byť objektívne potrebné pre plnenie zmluvy v tom zmysle, že nemôžu existovať iné realistické a menej rušivé riešenia ( 77 ), a to aj s ohľadom na oprávnené očakávania dotknutej osoby. ( 78 ) To zahŕňa tiež skutočnosť, že ak zmluva pozostáva z viacerých odlišných služieb alebo prvkov tej istej služby, ktoré možno vykonať nezávisle od seba, uplatniteľnosť článku 6 ods. 1 písm. b) GDPR sa musí posúdiť v súvislosti s každou z týchto služieb samostatne. ( 79 ) |
|
55. |
V rámci takéhoto odôvodnenia vnútroštátny súd poukazuje na personalizáciu obsahov, ako aj na konzistentné a plynulé používanie produktov (alebo skôr služieb) charakteristických pre skupinu. |
|
56. |
Čo sa týka personalizácie obsahov domnievam sa, že aj keď takáto činnosť môže byť do určitej miery v záujme používateľa, pretože mu umožňuje najmä v časti „news feed (kanál vybraných príspevkov)“ uverejňovať obsahy, ktoré na základe automatického hodnotenia zodpovedajú záujmom používateľa, nie je zrejmé, že je taktiež potrebná pre poskytnutie služieb spornej sociálnej siete, a teda že si spracúvanie osobných údajov na tieto účely nevyžaduje súhlas dotknutého používateľa. ( 80 ) Na účely tohto preskúmania je tiež potrebné zohľadniť, že sporná praktika sa nezameriava na spracúvanie údajov o správaní sa používateľa v rámci stránky alebo aplikácie Facebook, ale na spracúvanie údajov pochádzajúcich z externých zdrojov, ktoré môžu byť neobmedzené. Kladiem si preto otázku, do akej miery by takéto spracúvanie mohlo zodpovedať očakávaniam priemerného používateľa a presnejšie, aký je „stupeň personalizácie“, ktorý môže tento používateľ očakávať od služby, do ktorej sa zaregistruje. ( 81 ) |
|
57. |
Čo sa týka konzistentného a plynulého používania služieb charakteristických pre skupinu poznamenávam, že prepojenie medzi jednotlivými službami poskytovanými žalobkyňou vo veci samej, napríklad medzi službami Facebook a Instagram, môže byť pre používateľa užitočné alebo niekedy dokonca žiadané. Mám však pochybnosti o tom, že spracúvanie osobných údajov pochádzajúcich z iných služieb poskytovaných skupinou (najmä Instagram) je potrebné pre poskytovanie služby Facebook ( 82 ). |
|
58. |
Po druhé, podľa článku 6 ods. 1 písm. f) GDPR, spracúvanie osobných údajov je zákonné, ak je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana okrem prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa. |
|
59. |
V zmysle judikatúry Súdneho dvora, sporné ustanovenie stanovuje tri kumulatívne podmienky na to, aby sa spracúvanie osobných údajov považovalo za zákonné, a to po prvé, sledovanie oprávneného záujmu prevádzkovateľom alebo tretími osobami, ktorým boli tieto údaje oznámené, po druhé potrebu spracúvania osobných údajov pre uskutočnenie sledovaného oprávneného záujmu a po tretie, požiadavku, aby neprevažovali základné práva a slobody osoby, na ktorú sa vzťahuje ochrana údajov ( 83 ). |
|
60. |
Po prvé, čo sa týka sledovania oprávneného záujmu pripomínam, že GDPR a judikatúra uznávajú širokú paletu záujmov, ktoré sa považujú za oprávnené ( 84 ), pričom sa spresňuje, že v súlade s článkom 13 ods. 1 písm. d) GDPR prináleží prevádzkovateľovi, aby označil oprávnené záujmy sledované v rámci článku 6 ods. 1 písm. f) GDPR ( 85 ). |
|
61. |
Čo sa ďalej týka podmienky založenej na potrebe spracúvania osobných údajov pre uskutočnenie sledovaného oprávneného záujmu, v zmysle judikatúry Súdneho dvora sa odchýlky a obmedzenia zásady ochrany osobných údajov musia obmedziť na to, čo je nevyhnutne potrebné ( 86 ). Musí preto existovať úzka súvislosť medzi spracúvaním a sledovaným cieľom bez toho, aby existovali alternatívne riešenia, ktoré by v širšej miere rešpektovali ochranu osobných údajov, pretože nestačí, aby bolo spracúvanie údajov založené len na jeho užitočnosti pre prevádzkovateľa. |
|
62. |
Čo sa napokon týka na jednej strane zváženia záujmov prevádzkovateľa a na druhej strane záujmov alebo základných slobôd a práv dotknutej osoby, prináleží v zmysle judikatúry Súdneho dvora vnútroštátnemu súdu, aby vykonal takéto zváženie dotknutých záujmov ( 87 ). Navyše ako vyplýva aj z odôvodnenia 47 GDPR, v rámci takéhoto zváženia je nevyhnutne potrebné prihliadať na primerané očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi a určiť, či môže dotknutá osoba v danom čase a kontexte získavania osobných údajov primerane očakávať, že údaje môžu byť spracúvané na tento účel. |
|
63. |
V rámci tohto odôvodnenia vnútroštátny súd uvádza personalizáciu reklamy, bezpečnosť siete a zlepšenie produktu. |
|
64. |
V prvom rade čo sa týka personalizácie reklamy, z odôvodnenia 47 GDPR vyplýva, že spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem prevádzkovateľa. Čo sa však týka potrebnosti spracúvania, treba poznamenať, že sporné údaje pochádzajú z externých zdrojov vo vzťahu k Facebooku, a preto vzniká otázka, aký je „stupeň personalizácie“ reklamy, ktorý je objektívne potrebný v tomto ohľade. Čo sa týka zváženia dotknutých záujmov je potrebné podľa môjho názoru zohľadniť povahu dotknutého oprávneného záujmu (v prejednávanej veci ide výlučne o ekonomický záujem), ako aj vplyv spracúvania na používateľa vrátane jeho primeraných očakávaní a prípadných ochranných opatrení prijatých prevádzkovateľom. ( 88 ) |
|
65. |
Podobné úvahy možno následne uviesť aj v súvislosti s bezpečnosťou siete. Totiž aj keď takéto odôvodnenie môže byť oprávneným záujmom prevádzkovateľa, ( 89 ) nie je úplne zrejmé, že by takéto spracúvanie bolo v prejednávanej veci potrebné aj s ohľadom na to, že sporné údaje pochádzajú z externých zdrojov vo vzťahu k Facebooku. ( 90 ) V každom prípade pripomínam, že prináleží prevádzkovateľovi, aby spresnil účely bezpečnosti, o ktoré sa prípadne opiera každé spracúvanie. |
|
66. |
Napokon, čo sa týka zlepšenia produktu, aj keď sú zlepšenia týkajúce sa bezpečnosti, ktoré patria medzi osobitné odôvodnenia preskúmané neskôr, vylúčené, domnievam sa, že takéto odôvodnenie by malo byť skôr v záujme používateľa, ako prevádzkovateľa. Z tohto pohľadu je ťažké pochopiť, do akej miery by mohli predstavovať oprávnený záujem prevádzkovateľa a nevyžadovať si súhlas používateľa. Čo sa týka podmienky potrebnosti a zváženia medzi dotknutými právami a záujmami, odkazujem na úvahy uvedené vyššie. |
O štvrtej a piatej prejudiciálnej otázke
|
67. |
Štvrtá prejudiciálna otázka, ktorá je v zásade doplnením druhej časti tretej prejudiciálnej otázky, má za cieľ zistiť, či opakovanie sa niektorých vymenovaných situácií predpokladá existenciu oprávneného záujmu v zmysle článku 6 ods. 1 písm. f) GDPR, kým svojou piatou prejudiciálnou otázkou sa vnútroštátny súd snaží zistiť, či potreba vyhovieť právoplatnej žiadosti o poskytnutie určitých údajov, bojovať proti škodlivému správaniu a podporovať bezpečnosť alebo výskumné účely pre dobro spoločnosti a potreba podporovať ochranu, integritu a bezpečnosť môžu byť odôvodneniami uplatniteľnými na spornú praktiku. ( 91 ) |
|
68. |
Nezávisle od prípustnosti týchto otázok ( 92 ) sa vo všeobecnosti domnievam, že v prípade štvrtej prejudiciálnej otázky nemožno vylúčiť, že niektoré ustanovenia upravujúce spornú praktiku možno odôvodniť oprávnenými záujmami v prípade okolností uvádzaných vnútroštátnym súdom ( 93 ) a čo sa týka piatej prejudiciálnej otázky, že v určitých situáciách môže byť sporná praktika odôvodnená na základe citovaných ustanovení. |
|
69. |
Z rozhodnutia vnútroštátneho súdu však nevyplýva či, a do akej miery, Meta Platforms Ireland označila v súvislosti s jednotlivými cieľmi spracúvania a typom spracúvaných údajov oprávnené záujmy, ktoré konkrétne sleduje, ako aj ďalšie odôvodnenia, ktoré by prípadne mohli byť relevantné v prejednávanej veci. ( 94 ) Prináleží preto vnútroštátnemu súdu, aby s ohľadom na vyššie uvedené skutočnosti posúdil, do akej miery je v prípade skutkových okolností uvádzaných týmto súdom sporná praktika odôvodnená existenciou oprávnených záujmov spoločnosti Meta Platforms Ireland na spracúvaní údajov v zmysle článku 6 ods. 1 písm. f) GDPR alebo inou z podmienok upravených v článku 6 ods. 1 písm. c), d) a e) tohto nariadenia. |
O odpovedi na tretiu až piatu prejudiciálnu otázku
|
70. |
Vzhľadom na vyššie uvedené navrhujem odpovedať na tretiu až piatu prejudiciálnu otázku v tom zmysle, že článok 6 ods. 1 písm. b), c), d), e) a f) GDPR sa má vykladať v tom zmysle, že sporná praktika alebo niektoré činnosti, ktoré sú jej súčasťou, môžu patriť do pôsobnosti výnimiek upravených v týchto ustanoveniach, ak každé jednotlivé posudzované spracúvanie údajov spĺňa podmienky upravené v odôvodnení, na ktoré sa v konkrétnom prípade prevádzkovateľ odvoláva, a teda, že:
|
O šiestej prejudiciálnej otázke
|
71. |
Svojou šiestou prejudiciálnou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 6 ods. 1 písm. a) a článok 9 ods. 2 písm. a) GDPR vykladať v tom zmysle, že súkromní používatelia môžu udeliť platný a slobodný súhlas v zmysle článku 4 bodu 11 tohto nariadenia podniku s dominantným postavením na vnútroštátnom trhu s online sociálnymi sieťami. |
|
72. |
Na úvod pripomínam, že článok 6 ods. 1 písm. a) a článok 9 ods. 2 písm. a) GDPR upravujú povinnosť získať súhlas dotknutej osoby, jednak v súvislosti so všeobecným spracúvaním osobných údajov a jednak so spracúvaním citlivých osobných údajov. Okrem toho podľa článku 4 bodu 11 GDPR na účely tohto nariadenia sa pod pojmom „súhlas“ dotknutej osoby myslí akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka. ( 95 ) |
|
73. |
Čo sa týka presnejšie podmienky „slobodného“ súhlasu, ktorá je ako jediná spochybňovaná v prejednávanej veci, zdôrazňujem, že v súlade s odôvodnením 42 GDPR by sa nemal súhlas považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu ( 96 ) a nemôže odmietnuť či odvolať súhlas bez toho, aby čelila nepriaznivým následkom. ( 97 ) Okrem toho tak, ako vyplýva z článku 7 ods. 1 GDPR (a je pripomenuté v odôvodnení 42 tohto nariadenia), ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba udelila súhlas so spracúvaním jej osobných údajov. |
|
74. |
V rozsahu relevantnom pre toto konanie v prvom rade pripomínam, že tak, ako zdôrazňuje odôvodnenie 43 prvá veta GDPR, súhlas nie je platným právnym dôvodom na spracúvanie osobných údajov, ak medzi postavením dotknutej osoby a prevádzkovateľa existuje „jednoznačný nepomer“ ( 98 ) a ďalej, že v zmysle článku 7 ods. 4 GDPR, pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný ( 99 ) a napokon, že v súlade s odôvodnením 43 druhou vetou GDPR sa súhlas nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov, hoci v prejednávanej veci je to vhodné. ( 100 ) |
|
75. |
V prejednávanej veci sa domnievam, že prípadné dominantné postavenie na trhu prevádzkovateľa poskytujúceho služby sociálnej siete zohráva úlohu pri posudzovaní existencie slobodného súhlasu udeleného používateľom tejto siete. Existencia trhovej sily na strane prevádzkovateľa totiž pravdepodobne vytvára jasnú mocenskú nerovnováhu v zmysle bodu 74 vyššie. ( 101 ) Treba však na jednej strane spresniť, že na to, aby sa takáto trhová sila považovala za relevantnú z hľadiska uplatnenia GDPR, nemala by sa nevyhnutne stotožňovať z hranicou dominantného postavenia v zmysle článku 102 ZFEÚ, ( 102 ) a na druhej strane, že len táto okolnosť nemôže sama osebe v zásade zbaviť súhlas akejkoľvek platnosti. ( 103 ) |
|
76. |
Platnosť súhlasu sa preto musí skúmať v každom individuálnom prípade s ohľadom na iné skutočnosti uvedené v bodoch 73 a 74 vyššie a s ohľadom na všetky okolnosti prejednávanej veci, ako aj na tú okolnosť, že dôkazné bremeno súvisiace s tvrdením, že dotknutá osoba udelila svoj súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú, znáša prevádzkovateľ. |
|
77. |
Vzhľadom na vyššie uvedené skutočnosti navrhujem odpovedať na šiestu prejudiciálnu otázku v tom zmysle, že článok 6 ods. 1 písm. a) a článok 9 ods. 2 písm. a) GDPR sa majú vykladať v tom zmysle, že len samotná skutočnosť, že podnik, ktorý prevádzkuje sociálnu sieť, má dominantné postavenie na vnútroštátnom trhu s online sociálnymi sieťami pre súkromných používateľov, nemôže sama osebe zbaviť súhlas používateľa tejto siete so spracúvaním jeho osobných údajov platnosti v zmysle článku 4 bodu 11 GDPR. Táto okolnosť je však relevantná pri posudzovaní slobodne udeleného súhlasu v zmysle tohto ustanovenia, čo musí preukázať prevádzkovateľ, a to prípadne aj s ohľadom na existenciu zrejmého nepomeru moci medzi dotknutou osobou a prevádzkovateľom, prípadnú povinnosť vysloviť súhlas so spracúvaním iných osobných údajov ako tých, ktoré sú nevyhnutné pre poskytovanie sporných služieb, ako aj požiadavku, aby bol súhlas osobitne udelený na každý účel spracúvania zvlášť a potrebu zabrániť tomu, aby odvolanie súhlasu spôsobilo ujmu používateľovi, ktorý súhlas odvoláva. |
Návrh
|
78. |
Vzhľadom na vyššie uvedené úvahy Súdnemu dvoru navrhujem, aby na prejudiciálne otázky položené Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko) odpovedal takto:
|
( 1 ) Jazyk konania: francúzština.
( 2 ) Konkrétne Meta Platforms Inc., predtým Facebook Inc., Meta Platforms Ireland Limited, predtým Facebook Ireland Ltd., a Facebook Deutschland GmbH (ďalej len „Meta Platforms“ alebo „žalobkyňa vo veci samej“).
( 3 ) Rozhodnutie B6‑22/16 zo 6. februára 2019 (ďalej len „sporné rozhodnutie“).
( 4 ) Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
( 5 ) V znení platnom do 18. januára 2021.
( 6 ) Na tento účel Meta Platforms okrem údajov, ktoré používatelia priamo poskytujú pri ich registrácii do príslušných online služieb, zhromažďuje aj iné údaje o používateľoch a zariadeniach, a to v rámci a mimo rámca sociálnej siete a online služieb poskytovaných skupinou, a tieto údaje spája s rôznymi príslušnými používateľskými účtami. Tieto údaje z celkového hľadiska umožňujú vyvodenie podrobných záverov o preferenciách a záujmoch používateľov.
( 7 ) Čo sa týka konkrétnejšie spracúvania osobných údajov, podmienky služby odkazujú na politiku používania údajov a ukazovateľov pripojenia (cookies) stanovené skupinou spoločností Meta Platforms. V zmysle týchto posledných uvedených podmienok, Meta Platforms zhromažďuje údaje o používateľoch a ich zariadeniach, ktoré sa týkajú ich aktivity v rámci a mimo rámca sociálnej siete a priraďuje ich k ich účtom Facebook. Aktivity, ku ktorým dochádza mimo sociálnej siete, spočívajú na jednej strane v prezeraní internetových stránok a používaní aplikácií tretích osôb, ktoré sú prepojené so sieťou Facebook prostredníctvom programovacích rozhraní (konkrétne „nástroje Facebook Business“), a na druhej strane využívaní iných online služieb patriacich do skupiny Meta Platforms, ako napríklad Instagram a WhatsApp.
( 8 ) Podľa Bundeskartellamt takéto spracúvanie vyplývajúce z trhovej sily porušilo ustanovenia GDPR a nebolo odôvodnené z hľadiska článku 6 ods. 1 a článku 9 ods. 2 tohto nariadenia.
( 9 ) Navyše 31. júla 2019 na podnet Európskej komisie a národných združení na ochranu spotrebiteľov členských štátov prijala Meta Platforms nové podmienky služby, v ktorých výslovne uviedla, že spotrebiteľ namiesto platby za používanie produktu Facebook vyjadruje súhlas so zobrazovaním reklám. Okrem toho od 28. januára 2020 Meta Platforms na celosvetovej úrovni ponúka aj aktivitu mimo siete Facebook nazývanú „Off‑Facebook Activity“, ktorá používateľom Facebooku umožňuje získať prehľad informácií, ktoré sa ich týkajú a sú získavané v súvislosti s ich aktivitami na iných internetových stránkach a v aplikáciách, a ak si to želajú, oddeliť tieto údaje od ich účtu Facebook, tak vo vzťahu k minulosti, ako aj k budúcnosti.
( 10 ) Domnievam sa, že pojmy „konštatuje... porušenie GDPR... a nariaďuje ukončenie tohto porušovania“, ktoré sa uvádzajú v prvej prejudiciálnej otázke je potrebné vykladať v tomto zmysle.
( 11 ) V každom prípade, keďže GDPR upravuje úplnú harmonizáciu právnych predpisov v oblasti ochrany údajov, ktorej ústredným prvkom je zavedenie harmonizovaného systému pre jeho uplatnenie založeného na zásade „jediného kontaktného miesta“ upraveného v článku 51 až 67 tohto nariadenia, je podľa môjho názoru zjavné, že iný orgán, ako dozorné orgány v zmysle uvedeného nariadenia (ako napríklad orgán na ochranu hospodárskej súťaže) nemá právomoc konštatovať v rámci hlavného konania porušenie tohto nariadenia a ani uložiť stanovené sankcie.
( 12 ) V každom prípade s ohľadom na tú skutočnosť, že orgán na ochranu hospodárskej súťaže nie je v prvom rade oprávnený konštatovať porušenie tohto nariadenia a ani uložiť stanovené sankcie, domnievam sa, že prípadné rozhodnutie orgánu na ochranu hospodárskej súťaže by mohlo zasahovať do právomocí dozorných orgánov v zmysle GDPR.
( 13 ) Podľa môjho názoru je v tomto zmysle potrebné vykladať slovné spojenie „napríklad v rámci zváženia záujmov dospieť k zisteniam týkajúcim sa otázky, či sú podmienky spracúvania údajov tohto podniku a ich vykonávanie v súlade s GDPR“, ktoré sa uvádza v siedmej prejudiciálnej otázke.
( 14 ) Pozri poznámku pod čiarou 11 vyššie.
( 15 ) Nariadenie Rady (ES) č. 1/2003 zo 16. decembra 2002 o vykonávaní pravidiel hospodárskej súťaže stanovených v článkoch [101 a 102 ZFEÚ] (Ú. v. EÚ L 1, 2003, s. 1; Mim. vyd. 08/002, s. 205).
( 16 ) Podľa § 19 GWB, na ktorom je založené sporné rozhodnutie.
( 17 ) Pozri napríklad rozsudok zo 6. septembra 2017, Intel/Komisia (C‑413/14 P, EU:C:2017:632, bod 136 a citovaná judikatúra). Súdny dvor okrem iného spresnil, že pôsobnosť článku 102 ZFEÚ je všeobecná a nemôže byť obmedzená najmä existenciou regulačného rámca prijatého normotvorcom Únie, v prejednávanej veci regulačného rámca v oblasti elektronických komunikácií (pozri v tomto zmysle rozsudok z 10. júla 2014, Telefónica a Telefónica de España/Komisia, C‑295/12 P, EU:C:2014:2062, bod 128).
( 18 ) Totiž s ohľadom na rôzne ciele sledované týmito dvomi kategóriami noriem je zrejmé, že správanie týkajúce sa spracúvania údajov môže byť porušením pravidiel hospodárskej súťaže aj v tom prípade, ak je v súlade s GDPR a naopak, nezákonné konanie v zmysle tohto nariadenia neodôvodňuje nevyhnutne záver, že porušuje pravidlá hospodárskej súťaže. V tomto ohľade Súdny dvor spresnil, že súlad konania s osobitnou právnou úpravou nevylučuje uplatnenie článkov 101 a 102 ZFEÚ na to isté správanie [pozri najmä rozsudok zo 6. decembra 2012, AstraZeneca/Komisia (C‑457/10 P, EU:C:2012:770, bod 132), v ktorom Súdny dvor taktiež pripomenul, že zneužitia dominantného postavenia spočívajú vo väčšine prípadov v správaní, ktoré je inak zákonné z pohľadu iných odvetví práva, ako je právo hospodárskej súťaže]. Ak by sa totiž za zneužívajúce konania podľa článku 102 ZFEÚ považovali len konania, ktoré objektívne obmedzujú hospodársku súťaž a zároveň sú právne nezákonné, znamenalo by to, že správanie, len na základe jeho zákonnosti, hoci potenciálne poškodzujúce hospodársku súťaž, by nemohlo byť sankcionované podľa článku 102 ZFEÚ, čo by narušilo cieľ tohto ustanovenia, ktorým je zavedenie režimu, ktorý zabezpečí, že hospodárska súťaž na vnútornom trhu nebude narušená (pozri v tomto zmysle moje návrhy vo veci Servizio Elettrico Nazionale a.i., C‑377/20, EU:C:2021:998, bod 37). V zmysle judikatúry Súdneho dvora sa články 101 a 102 ZFEÚ neuplatnia len vtedy, ak je protisúťažné konanie uložené podnikom vnútroštátnymi právnymi predpismi alebo pokiaľ tieto predpisy tvoria právny rámec, ktorý sám vylučuje akúkoľvek možnosť protisúťažného konania z ich strany, avšak tieto články sa naopak môžu uplatniť, ak sa preukáže, že vnútroštátne právne predpisy ponechávajú možnosť hospodárskej súťaže, ktorá môže byť vylúčená, obmedzená alebo narušená samostatným konaním podnikov (pozri v tomto zmysle rozsudok zo 14. októbra 2010, Deutsche Telekom/Komisia, C‑280/08 P, EU:C:2010:603, bod 80 a citovaná judikatúra).
( 19 ) Výklad, v zmysle ktorého by orgány hospodárskej súťaže nemohli vykladať v rámci výkonu svojich právomocí ustanovenia GDPR, by totiž mohol spochybniť účinné uplatnenie práva hospodárskej súťaže Únie.
( 20 ) Okrem toho incidenčný charakter výkladu GDPR orgánom hospodárskej súťaže nebráni tomu, aby sa takýto výklad podrobil súdnemu preskúmaniu vnútroštátnymi súdmi príslušnými v oblasti hospodárskej súťaže, ktoré by v prípade ťažkostí pri výklade mohli predložiť Súdnemu dvoru návrh na začatie prejudiciálneho konania ako v prejednávanej veci v prípade druhej až šiestej prejudiciálnej otázky.
( 21 ) Totiž výklad GDPR orgánom hospodárskej súťaže výlučne na účely uplatnenia noriem (a prípadne s cieľom uloženia sankcií) obsiahnutých v právnej úprave hospodárskej súťaže nemôže zbaviť dozorné orgány ich právomocí a oprávnení v rámci tohto nariadenia. Okrem toho možnosť incidenčného výkladu uvedeného nariadenia orgánom na ochranu hospodárskej súťaže nevyvoláva väčšie ťažkosti z hľadiska jeho uplatnenia, ktoré je vyhradené dozorným orgánom a ani z hľadiska uloženia nápravných opatrení alebo sankcií, pretože opatrenia alebo sankcie prípadne uložené orgánom na ochranu hospodárskej súťaže sú založené na iných pravidlách, cieľoch a oprávnených záujmoch, než tie, ktoré sú chránené týmto nariadením [z tohto dôvodu navyše v takejto situácii uloženie sankcií orgánom na ochranu hospodárskej súťaže a dozorným orgánom v zmysle GDPR podľa môjho názoru nespadá pod zásadu ne bis in idem (pozri analogicky rozsudok z 22. marca 2022, bpost, C‑117/20, EU:C:2022:202, body 42 až 50)].
( 22 ) Okrem toho nebezpečenstvo rozdielneho výkladu je charakteristické pre každú oblasť upravenú právnou úpravou, na ktorú orgán na ochranu hospodárskej súťaže musí alebo môže prihliadnuť s cieľom posúdiť zákonnosť určitého správania z hľadiska práva hospodárskej súťaže.
( 23 ) Kapitoly VI a VII GDPR zavádzajú predovšetkým mechanizmus „jediného kontaktného miesta“ na výmenu informácií a vzájomnú pomoc medzi dozornými orgánmi.
( 24 ) Pozri nariadenie č. 1/2003 a smernicu Európskeho parlamentu a Rady (EÚ) 2019/1 z 11. decembra 2018 o posilnení právomocí orgánov na ochranu hospodárskej súťaže v členských štátoch na účely účinnejšieho presadzovania práva a o zabezpečení riadneho fungovania vnútorného trhu (Ú. v. EÚ L 11, 2019, s. 3).
( 25 ) Pozri v tomto zmysle najmä rozsudky zo 14. novembra 1989, Taliansko/Komisia (14/88, EU:C:1989:421, bod 20), a z 11. júna 1991, Athanasopoulos a i. (C‑251/89, EU:C:1991:242, bod 57).
( 26 ) Okrem toho systém spolupráce medzi dozornými orgánmi zavedený GDPR možno sám osebe považovať za lex specialis, ktorý dopĺňa a spresňuje všeobecnú zásadu lojálnej spolupráce upravenú v článku 4 ods. 3 ZEÚ (pozri najmä v doktríne HIJMANS, H.: Article 51 Supervisory authority. In: The EU General Data Protection Regulation (GDPR): A Commentary. Oxford, 2020, s. 869). To isté platí aj pre iné nástroje spolupráce, ktoré existovali pred GDPR, ako napríklad systém spolupráce medzi orgánmi hospodárskej súťaže (pozri najmä kapitolu IV nariadenia č. 1/2003).
( 27 ) Pozri v tomto zmysle návrhy, ktoré predniesla generálna advokátka Trstenjak vo veci Gorostiaga Atxalandabaso/Parlament (C‑308/07 P, EU:C:2008:498, bod 89).
( 28 ) Pozri najmä rozsudok z 2. júna 2022, Skeyes (C‑353/20, EU:C:2022:423, bod 52 a citovaná judikatúra). Podľa môjho názoru by usmernenie o krokoch, ktoré treba prijať, bolo možné v prípade potreby odvodiť zo systému spolupráce zavedeného GDPR, ako aj zo systému zavedeného v oblasti hospodárskej súťaže, pričom je potrebné spresniť, že v prípade neexistencie ustanovení ad hoc, povinnosť náležitej starostlivosti, ktorú má orgán hospodárskej súťaže, nezachádza tak ďaleko, aby mu ukladala podrobné povinnosti, ako sú okrem iného povinnosti stanovené v rámci postupu spolupráce a dohľadu nad súladom upraveného v kapitole VII GDPR (napríklad by od orgánu hospodárskej súťaže nebolo možné očakávať, že zašle návrh rozhodnutia zodpovednému dozornému orgánu v zmysle tohto nariadenia, aby si zadovážil jeho názor).
( 29 ) Pozri najmä analogicky čo sa týka oblasti upravenej právom Únie vo farmaceutickom odvetví rozsudok z 23. januára 2018, F. Hoffmann‑La Roche a i. (C‑179/16, EU:C:2018:25, body 58 až 64).
( 30 ) Inými slovami toto rozhodnutie je samo osebe súčasťou právneho a skutkového rámca, ktorý musí orgán na ochranu hospodárskej súťaže preskúmať, pričom si ponecháva možnosť vyvodiť vlastné závery z hľadiska uplatňovania práva hospodárskej súťaže (pozri poznámku pod čiarou 18 vyššie).
( 31 ) Vzhľadom na úlohu a funkcie vnútroštátnych dozorných orgánov v systéme spolupráce zavedenom GDPR sa domnievam, že interakcia s vnútroštátnym dozorným orgánom môže sama osebe postačovať na splnenie povinností orgánu hospodárskej súťaže v oblasti náležitej starostlivosti a lojálnej spolupráce, najmä ak orgán nemá možnosť (vzhľadom na platné postupy podľa vnútroštátneho práva) alebo prostriedky (najmä jazykové) uspokojivým spôsobom komunikovať s vedúcim dozorným orgánom iného členského štátu.
( 32 ) Alebo prípadne vtedy, ak sa tento orgán nachádza v inom členskom štáte, vnútroštátny dozorný orgán (pozri poznámku pod čiarou 31 vyššie).
( 33 ) Pripomínajúc, že výklad niektorých ustanovení GDPR, ktorý podal orgán na ochranu hospodárskej súťaže pri výkone svojich právomocí, nemá vplyv na výklad a uplatňovanie týchto ustanovení príslušnými dozornými orgánmi v zmysle uvedeného nariadenia (pozri poznámku pod čiarou 21 vyššie).
( 34 ) Bundeskartellamt v tomto ohľade uvádza, že vychádzal z ustanovení nemeckého práva hospodárskej súťaže, ktoré mu umožňuje komunikovať s vnútroštátnymi orgánmi dozoru v zmysle GDPR.
( 35 ) O to viac, ak tak, ako tvrdí Bundeskartellamt, nemecký spolkový dozorný orgán a hlavný írsky dozorný orgán potvrdili, že tento posledný uvedený orgán nezačal nijaké konanie v súvislosti s rovnakými praktikami, ako tie, ktoré posudzuje.
( 36 ) Vnútroštátny súd odkazuje najmä na prezeranie si internetových stránok používateľom alebo používanie aplikácií a vkladanie údajov na tieto stránky alebo do týchto aplikácií (ako sú napríklad flirtovacie aplikácie, homosexuálne zoznamovacie aplikácie, internetové stránky politických strán, internetové stránky týkajúce sa zdravia), ktoré vytvárajú údaje chránené spornými ustanoveniami.
( 37 ) Ďalej „citlivé osobné údaje“. Ide o spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
( 38 ) Mimochodom poznamenávam, že Bundeskartellamt má pochybnosti o relevantnosti tejto otázky pre riešenie sporu, keďže vo svojom rozhodnutí zohľadnil súhlas v zmysle článku 6 ods. 1 písm. a) GDPR, a nie súhlas podľa článku 9 ods. 2 písm. a) GDPR.
( 39 ) Vnútroštátny súd sa v tomto ohľade odvoláva na sociálne „plugins“, ako napríklad tlačidlá „páči sa mi“ alebo „zdieľať“ na „Facebook login“ (teda na možnosť identifikovať sa prostredníctvom identifikačných prihlasovacích údajov viazaných na účet Facebook) a „account kit“ (teda možnosť identifikovať sa v rámci aplikácie alebo na stránke, ktorá nevyhnutne nesúvisí s Facebookom, pomocou telefónneho čísla alebo emailovej adresy bez potreby zadania hesla.
( 40 ) Všimol som si tiež značný nesúlad medzi francúzskou verziou GDPR, ktorá v prvej vete tohto ustanovenia odkazuje na spracúvanie osobných údajov, ktoré „odhaľuje“ určité citlivé situácie, a nemeckou verziou (ako aj najmä gréckou a talianskou verziou), ktorá odkazuje na spracúvanie osobných údajov, ktoré „odhaľujú“ tieto situácie. Ak sa nemýlim, francúzska verzia tohto ustanovenia je v rozpore s väčšinou ostatných jazykových verzií. Okrem toho sa mi v kontexte tohto ustanovenia zdá logickejšie spojiť sloveso „odhaliť“ s údajmi, pretože vo zvyšku ustanovenia sú predmetom analýzy údaje, a nie spracúvanie. Vyplýva to aj z francúzskeho znenia odôvodnenia 51 GDPR, v ktorom sa uvádza, že citlivé osobné údaje „by mali zahŕňať osobné údaje odhaľujúce rasový alebo etnický pôvod“ (kurzívou zvýraznil generálny advokát).
( 41 ) Podľa môjho názoru by nebolo v súlade s duchom článku 9 ods. 1 GDPR (a tohto nariadenia), ktorý má chrániť určité citlivé osobné údaje, rozlišovať napríklad medzi rasovým alebo etnickým pôvodom na jednej strane, čo by znamenalo zákaz spracúvania nielen údajov, ktoré ho priamo naznačujú, ale aj údajov, ktoré ho odhaľujú, a na druhej strane genetickými údajmi, ktorých zákaz spracúvania by sa nevzťahoval na údaje, ktoré odhaľujú túto situáciu, pričom dodávam, že by nebolo vždy zrejmé, či je možné rozlišovať medzi údajmi, ktoré odhaľujú určité situácie (napr. rasový alebo etnický pôvod), na jednej strane a údajmi týkajúcimi sa iných situácií (napr. zdravotný stav) na strane druhej. V tejto súvislosti poznamenávam, že hoci sa v článku 9 ods. 1 GDPR okrem iného odkazuje na údaje týkajúce sa zdravia, v článku 4 bode 15 GDPR sa „údaje týkajúce sa zdravia“ vymedzujú ako „osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave“ (kurzívou zvýraznil generálny advokát). Ako naznačuje nemecká vláda, táto nedôslednosť vo formulácii predmetného ustanovenia môže byť len pomerne neúspešným pokusom o rozlíšenie medzi čistými údajmi s priamym informačným obsahom a „metadátami“, pri ktorých sa príslušný informačný obsah objavuje až v konkrétnom kontexte na základe vyhodnotenia alebo prepojenia.
( 42 ) Ako tvrdí žalobkyňa vo veci samej, tieto dva aspekty sú v zásade odlišné. Samotná skutočnosť, že používateľ navštívil internetovú stránku alebo s ňou komunikoval, nemusí nevyhnutne odhaliť informácie o jeho presvedčení, zdravotnom stave, politických názoroch, atď., pretože záujem o internetovú stránku automaticky neodhaľuje stotožnenie sa s myšlienkami, ktoré táto stránka propaguje, alebo s kategóriami, ktoré táto stránka predstavuje. Ide napríklad o prehliadanie si stránky politickej strany alebo stránky, ktorá navrhuje určitú politickú ideológiu, pričom jej prehliadnutie nemusí nevyhnutne znamenať stotožňovanie sa s touto ideológiou, ale môže sa uskutočniť zo zvedavosti alebo dokonca z kritického ducha voči uvedenej ideológii.
( 43 ) Podľa skupiny Meta Platforms skutočnosť, že používateľ navštívil internetovú stránku alebo na ňu reagoval, sama osebe neodhaľuje citlivé informácie, pretože aj napriek tomu, že bol spozorovaný alebo využitý záujem o určitú internetovú stránku, nedochádza ku spracovaniu citlivých osobných údajov. O takýto prípad by šlo len vtedy, ak by sa používatelia kategorizovali na základe týchto údajov. Údaje, ktoré sú predmetom spornej praktiky však patria do pôsobnosti ochrany upravenej v článku 9 ods. 1 GDPR len v tom prípade, ak sa týkajú niektorej z kategórií upravených týmto ustanovením a spracúvajú sa subjektívne s ohľadom na známy účel ich spracúvania a v úmysle vyvodiť z takéhoto použitia kategórie informácií. Bundeskartellamt na základe podľa môjho názoru príliš rigidného výkladu vyvodzuje, že samotná skutočnosť, že dotknutá osoba navštívi určitú internetovú stránku alebo použije konkrétnu aplikáciu, ktorej hlavný cieľ patrí do oblastí uvedených v článku 9 ods. 1 GDPR, zakladá pôsobnosť ochrany priznanej týmto ustanovením. Ochrana citlivých osobných údajov nezávisí od úmyslu prevádzkovateľa použiť tieto údaje, keďže práva dotknutej osoby sú dotknuté už na základe tej skutočnosti, že uvedené údaje viac nie sú v jeho moci.
( 44 ) Totiž ako uznal aj Európsky výbor pre ochranu údajov (EVOÚ), len samotná skutočnosť, že poskytovateľ sociálnych médií spracúva veľké množstvo údajov, ktoré by sa prípadne mohli použiť s cieľom určiť osobitné kategórie údajov, automaticky neznamená, že spracúvanie patrí do pôsobnosti článku 9 GDPR [pozri EVOÚ usmernenia 8/2020 z 13. apríla 2021, k zacieľovaniu na používateľov sociálnych médií (ďalej len „usmernenia EVOÚ 8/2020“), bod 124].
( 45 ) S pomocou takéhoto výkladu by podľa môjho názoru bolo možné vyhnúť sa situácii namietanej žalobkyňou vo veci samej, keď prevádzkovateľ nevyhnutne porušuje GDPR, pretože nedokáže zabrániť prípadnému prijatiu (najmä prostredníctvom automatizovaných prostriedkov) informácií, ktoré nepriamo súvisia s kategóriami citlivých údajov, pričom nie je dotknutá povinnosť prevádzkovateľa prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku v súlade s článkom 32 GDPR.
( 46 ) Pozri v tomto zmysle usmernenia EVOÚ 8/2020 bod 125.
( 47 ) Vnútroštátny súd v tejto súvislosti uvádza personalizáciu sociálnej siete a reklamy, bezpečnosť siete, zlepšenie služieb, poskytovanie služieb merania a analýzy pre inzerentov, vyhľadávanie v prospech všetkých, odpoveď na všetky zákonné požiadavky, súlad so zákonnými povinnosťami, ochranu životných záujmov používateľov a tretích osôb, splnenie úloh vo verejnom záujme.
( 48 ) Pozri analogicky rozsudok z 21. decembra 2016, Tele2 Sverige a Watson a i. (C‑203/15 a C‑698/15, EU:C:2016:970, bod 89 a citovaná judikatúra), týkajúci sa výkladu článku 15 ods. 1 smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúc[ej] sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514), zmenenej smernicou Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009 (Ú. v. EÚ L 337, 2009, s. 11).
( 49 ) Pozri tiež stanovisko 6/2014, body 10 a 11 pracovnej skupiny „článok 29“, nezávislého poradného orgánu zriadeného podľa článku 29 smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355), a od prijatia GDPR nahradené EDPB.
( 50 ) Táto podmienka je podľa môjho názoru veľmi podobná podmienke súhlasu dotknutej osoby.
( 51 ) Pripomínam, že v súlade s článkom 5 ods. 2 GDPR znáša dôkazné bremeno čo sa týka dôkazu o tom, že osobné údaje sa spracúvajú v súlade s predpismi GDPR.
( 52 ) Navyše aj keď si je pozorný používateľ pravdepodobne vedomý tej skutočnosti, že informácie o pripojení sú prístupné správcovi internetovej stránky alebo predmetnej aplikácie, nie je podľa môjho názoru úplne zrejmé, že by vedel aj o tej skutočnosti, že sú uvedené informácie dostupné pre správcu jeho účtu Facebook.
( 53 ) Používateľ má maximálne vedomosť o „vzťahu“ so správcom stránky alebo aplikácie a treťou osobou, ktorej tieto informácie poskytne, ale je taktiež možné, že nevie o tomto vzťahu, pretože v závislosti od okolností by sa mohol domnievať, že poskytuje informácie, prípadne anonymným spôsobom, len samotnému zariadeniu.
( 54 ) Ide o tlačidlá, akými sú „páči sa mi to“, „zdieľam“ atď (pozri poznámku pod čiarou 39 vyššie).
( 55 ) Napríklad Facebook poskytuje používateľovi v rámci jeho preferencií viaceré možnosti zdieľania informácií dostupných v rámci jeho účtu na Facebooku.
( 56 ) Samozrejme nemožno vylúčiť, že v osobitnom prípade používateľ má prostredníctvom svojich úkonov skutočne v úmysle poskytnúť informácie o jeho osobe vopred neurčitému počtu osôb. Napríklad je možné, že používateľ si nastavil možnosti zdieľania jeho účtu Facebooku takým spôsobom, aby obsahy v jeho profile boli prístupné všetkým používateľom tejto sociálnej siete, s čím je uzrozumený. Aj za takýchto podmienok však nie je zrejmé, že používateľ chcel takýmto správaním nepochybne vyjadriť svoj úmysel zjavne zverejniť dotknuté osobné údaje, a to s ohľadom na prísnu povahu príslušnej výnimky (pozri bod 42 vyššie).
( 57 ) Pozri v tomto zmysle rozsudok z 29. júla 2019, Fashion ID (C‑40/17, EU:C:2019:629, body 87 až 89).
( 58 ) Najmä „cookies“ (pozri odôvodnenie 25 smernice 2002/58).
( 59 ) Navyše takýto súhlas nemožno prirovnať ani k výslovnému súhlasu so spracúvaním uvedených údajov v zmysle článku 9 ods. 2 písm. a) GDPR. Súhlas s profilovaním v zmysle článku 22 ods. 1 písm. c) GDPR, ktorého účel je samozrejme obmedzený na spracovanie profilovania, taktiež nemôže byť relevantný.
( 60 ) Čo sa týka piatej prejudiciálnej otázky, vnútroštátny súd do spornej praktiky okrem zhromaždenia, prepojenia s účtom používateľa na Facebooku a použitím údajov pochádzajúcich z iných služieb poskytovaných skupinou, ako aj z internetových stránok a aplikácií tretích osôb (pozri bod 10 vyššie) zahŕňa aj „používanie údajov, ktoré už boli iným a zákonným spôsobom zhromaždené a spojené s účtom používateľa na Facebooku“.
( 61 ) Článok 6 ods. 1 písm. b) GDPR.
( 62 ) Článok 6 ods. 1 písm. f) GDPR.
( 63 ) Článok 6 ods. 1 písm. f) GDPR.
( 64 ) Konkrétne maloletosť používateľa, poskytovanie služieb merania a analýzy a iných obchodných služieb, poskytovanie marketingovej komunikácie používateľom, vyhľadávanie a vylepšenia na sociálne účely, ako aj zdieľanie informácií s trestnými orgánmi a odpoveď na zákonné žiadosti.
( 65 ) Článok 6 ods. 1 písm. c) GDPR.
( 66 ) Článok 6 ods. 1 písm. d) GDPR.
( 67 ) Článok 6 ods. 1 písm. e) GDPR.
( 68 ) Štvrtá prejudiciálna otázka totiž Súdnemu dvoru zjavne poskytuje možnosť, aby sa vyjadril skôr k uplatneniu, a nie k výkladu článku 6 ods. 1 písm. f) GDPR a piata prejudiciálna otázka nespresňuje dôvody, ktoré podporujú pochybnosti vnútroštátneho súdu týkajúce sa výkladu článku 6 ods. 1 písm. c), d) a e) tohto nariadenia.
( 69 ) Pozri EVOÚ usmernenia 2/2019 z 8. októbra 2019 o spracúvaní osobných údajov podľa článku 6 ods. 1 písm. b) všeobecného nariadenia o ochrane údajov v súvislosti s poskytovaním on‑line služieb dotknutým osobám (ďalej len „usmernenia EVOÚ 2/2019“), bod 1.
( 70 ) V tomto ohľade, aj keď sa účastníci konania vo veci samej v zásade zhodujú na predpoklade, v zmysle ktorého je na účely uplatnenia sporných odôvodnení potrebné pristúpiť k posúdeniu v každom individuálnom prípade, ich názory sa rozchádzajú v otázke praktických dôsledkov takéhoto predpokladu. Bundeskartellamt zdôrazňuje, že prináleží prevádzkovateľovi, aby odôvodnil, ktoré údaje sa budú konkrétne spracúvať v jednotlivom prípade použitia, a predovšetkým tvrdí, že žalobkyňa vo veci samej sa obmedzila na tvrdenie, že celkové spracúvanie údajov pochádzajúcich zo zdrojov mimo siete Facebook je potrebné na každý z účelov spracúvania údajov, ktoré sa uvádzajú v podmienkach služby. Meta Platforms Ireland sa naopak domnieva, že bez posúdenia konkrétnych znakov každého jednotlivého spracúvania, Bundeskartellamt nemohol vylúčiť, že sporná praktika môže byť založená na predmetných odôvodneniach a preto nemohol konštatovať, že je v rozpore s GDPR.
( 71 ) Súhlas používateľa je upravený v článku 6 ods. 1 písm. a) GDPR.
( 72 ) V tomto ohľade usmernenia EVOÚ 2/2019 v bode 16 predovšetkým spresňujú, že zásady obmedzenia účelu použitia [článok 5 ods. 1 písm. b) GDPR] a minimalizácie údajov [článok 5 ods. 1 písm. c) GDPR] sú obzvlášť dôležité v zmluvách o poskytovaní online služieb, ktoré spravidla nie sú uzatvárané na základe individuálnych dojednaní s ohľadom na zvýšené riziko, že prevádzkovatelia sa snažia zahrnúť podmienky s cieľom maximalizácie získania a dovoleného použitia údajov bez toho, aby primeraným spôsobom informovali o ich použití resp. upravili povinnosť minimalizácie údajov.
( 73 ) V zmysle usmernení EVOÚ 2/2019 bodu 2 posilňuje toto ustanovenie slobodu podnikania, ktorá je zaručená v článku 16 Charty a odráža tú skutočnosť, že zmluvné záväzky voči dotknutej osobe sa niekedy nemôžu plniť bez toho, aby dotknutá osoba poskytla určité osobné údaje. Spresňujem, že druhá alternatíva upravená v tomto ustanovení, ktorá sa týka potreby spracúvania pre vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby nie je v prejednávanej veci relevantná. Tento záver platí aj v prípade otázky o existencii platnej zmluvy jednak s ohľadom na uplatniteľné zmluvné právo a jednak s ohľadom na ďalšie zákonné požiadavky, vrátane tých, ktoré sa týkajú zmlúv uzatvorených so spotrebiteľmi [pozri najmä smernicu Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES L 95, 1993, s. 29; Mim. vyd. 15/002, s. 288)], ktorá nie je predmetom návrhu na začatie prejudiciálneho konania.
( 74 ) V súvislosti s ustanovením, ktoré zodpovedá článku 6 ods. 1 písm. b) GDPR uvedenému v článku 7 písm. e) smernice 95/46 rozsudok zo 16. decembra 2008, Huber (C‑524/06, EU:C:2008:724, bod 52).
( 75 ) Okrem iného aj keď len tá skutočnosť, že sa v zmluve spomína alebo odkazuje na spracúvanie osobných údajov, nepostačuje na to, aby sporné spracúvanie patrilo do pôsobnosti článku 6 ods. 1 písm. b) GDPR, spracúvanie môže byť objektívne potrebné aj v tom prípade, ak sa výslovne neuvádza v zmluve, bez toho, aby tým boli dotknuté povinnosti prevádzkovateľa v oblasti transparentnosti (pozri usmernenia EVOÚ 2/2019, bod 27).
( 76 ) Pozri usmernenia EVOÚ 2/2019, bod 25.
( 77 ) Pozri v tomto zmysle rozsudok z 9. novembra 2010, Volker a Markus Schecke a Eifert (C‑92/09 a C‑93/09, EU:C:2010:662, bod 86), ako aj usmernenia EVOÚ 2/2019, bod 25. V tomto ohľade usmernenia v bodoch 27 až 32 odkazujú najmä na tú skutočnosť, že spracúvanie musí byť objektívne potrebné na konkrétny účel, ktorý je neoddeliteľnou súčasťou poskytnutia tejto zmluvnej služby dotknutej osobe, pričom prevádzkovateľ musí byť schopný preukázať, prečo hlavný predmet konkrétnej zmluvy uzatvorenej s dotknutou osobou nemožno skutočne vykonať bez osobitného spracúvania dotknutých osobných údajov. V bode 33 uvedených usmernení sú „news feed“ uvedené otázky, ktoré majú pomôcť určiť túto skutočnosť.
( 78 ) Pozri usmernenia EVOÚ 2/2019, bod 32.
( 79 ) Pozri usmernenia EVOÚ 2/2019, bod 37.
( 80 ) Rakúska vláda v tomto ohľade relevantne poznamenáva, že v minulosti žalobkyňa vo veci samej poskytovala používateľom služby Facebook možnosť vybrať si medzi chronologickou prezentáciou alebo personalizovanou prezentáciou obsahov na „news feed“ (kanál vybraných príspevkov), čo je dôkazom o možnosti prijať alternatívneho riešenia.
( 81 ) S výhradou posúdenia vnútroštátnym súdom si nemyslím, že získanie a používanie osobných údajov mimo siete Facebook môže byť potrebné pre poskytnutie služieb poskytovaných v rámci profilu na stránke Facebook v tom zmysle, že súhlas poskytnutý pôvodne v súvislosti s prístupom do sociálnej siete (pri vytvorení profilu na stránke Facebook) mohol platne pokrývať spracúvanie osobných údajov mimo stránky Facebook. V prípade takýchto okolností by totiž používanie sporných služieb podliehalo súhlasu, ktorý nie je nevyhnutný pre plnenie zmluvy a v súlade s článkom 7 ods. 4 GDPR bude vnútroštátny súd povinný prihliadať predovšetkým na túto okolnosť (ktorá je v zmysle odôvodnenia 43 GDPR domnienkou o neplatnosti súhlasu, ktorú musí prevádzkovateľ vyvrátiť v zmysle článku 7 ods. 1 GDPR). Okrem toho by takýto súhlas podľa môjho názoru odporoval pravidlu, ktoré si vyžaduje osobitný súhlas s rôznymi úkonmi spracúvania osobných údajov (pozri tretiu časť bodu 74 vyššie), pretože neexistuje nijaká súvislosť medzi pôvodným súhlasom používateľa udeleným v okamihu otvorenia účtu na stránke Facebook s prípadným súhlasom tejto osoby so spracúvaním osobných údajov mimo Facebooku. Okrem toho aj v prípade udelenia predchádzajúceho súhlasu osobitne v súvislosti so spracúvaním osobných údajov mimo stránky Facebook je potrebné skúmať, či prevádzkovateľ poskytuje možnosť výberu služby, ktoré si nevyžaduje súhlas so spracúvaním osobných údajov na doplnkové účely [pozri EVOÚ usmernenia 5/2020 zo 4. mája 2020 o súhlase v zmysle nariadenia (EÚ) 2016/679 (ďalej len „usmernenia EVOÚ 5/2020“), bod 37, ktoré v bode 38 taktiež spresňujú, že prevádzkovateľ nemôže odkázať na porovnateľnú službu poskytovanú iným operátorom].
( 82 ) Tak, ako zdôrazňuje rakúska vláda, je podľa môjho názoru v tejto súvislosti potrebné konštatovať, že rôzne produkty skupiny možno využívať navzájom nezávislým spôsobom a že využívanie každej služby je založené na samostatnej zmluve o používaní. Okrem toho, ako poznamenáva aj Bundeskartellamt, bezproblémové využívanie týchto služieb by sa nemalo považovať za nevyhnutné pre fungovanie vlastných služieb skupiny, ale konzistentné a homogénne využívanie služieb by malo byť v záujme používateľa, takže v zásade sa javí ako vhodnejšie, aby bolo založené na rozhodnutí tohto používateľa.
( 83 ) Pozri analogicky rozsudok zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 28), týkajúci sa ustanovenia zodpovedajúceho článku 6 ods. 1 písm. f) GDPR, ktoré sa uvádza v článku 7 písm. f) smernice 95/46.
( 84 ) Ako zdôrazňuje generálny advokát Bobek vo veci Fashion ID (C‑40/17, EU:C:2018:1039, bod 122), pojem „legitímny záujem“ použitý v smernici 95/46 sa javí ako pomerne flexibilný a otvorený. Totiž tak, ako namieta žalobkyňa vo veci samej, Súdny dvor opakovane uznal viaceré záujmy za legitímne [pozri najmä rozsudky z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 81); z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779, bod 55); zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 29); z 24. septembra 2019, GC a i. (Odstránenie odkazu na citlivé údaje) (C‑136/17, EU:C:2019:773, bod 53); z 11. decembra 2019, Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2019:1064, bod 59), a zo 17. júna 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, body 108 a 109)]. Rovnaký záver je podľa môjho názoru potrebné vyvodiť aj z GDPR, ktorého odôvodnenie 47 ako príklad uvádza situáciu, keď je dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách a spracúvanie osobných údajov sa vykonáva s cieľom predchádzať podvodom alebo na účely priameho marketingu, a ktorého odôvodnenie 49 odkazuje na bezpečnosť siete a informácií, ako aj ponúkaných služieb.
( 85 ) S čím sa podľa môjho názoru spája požiadavka spresnenia, ktorý úkon spracúvania je odôvodnený ktorým legitímnym záujmom.
( 86 ) Pozri rozsudky zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 30), a zo 17. júna 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, bod 110).
( 87 ) Pozri v tomto zmysle rozsudky zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 31), a zo 17. júna 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, bod 111). Súdny dvor v tomto ohľade pripomenul, že článok 7 písm. f) smernice 95/46 [,ktorý zodpovedá článku 6 ods. 1 písm. f) GDPR] bráni tomu, aby členský štát vylúčil kategorickým a všeobecným spôsobom možnosť spracúvania určitých kategórií osobných údajov bez toho, aby pripustil zváženie protichodných práv a záujmov, o ktoré ide v konkrétnom prípade, pričom spresnil, že členský štát nemôže stanovovať pre tieto kategórie konečný výsledok vyplývajúci zo zváženia protichodných práv a záujmov bez toho, aby pripustil odlišný výsledok vychádzajúci z osobitných okolností konkrétneho prípade (rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 62 a citovaná judikatúra).
( 88 ) Stanovisko 6/2014 pracovnej skupiny „článok 29“ poskytuje v tejto súvislosti vo svojom odseku III. 3.4. zaujímavé úvahy.
( 89 ) V zmysle odôvodnenia 49 GDPR je totiž spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti oprávneným záujmom dotknutého prevádzkovateľa údajov. Mohlo by ísť napríklad o zabránenie nedovolenému prístupu k online komunikačným sieťam a šíreniu škodlivých kódov. Taktiež zdôrazňujem, že v súlade s článkom 32 GDPR okrem iného prevádzkovateľ prijme primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku a že v súlade s článkom 5 ods. 1 písm. f) tohto nariadenia sa osobné údaje musia spracúvať spôsobom zaručujúcim primeranú bezpečnosť osobných údajov.
( 90 ) Treba preskúmať, do akej miery je spracúvanie osobných údajov mimo stránky alebo aplikácie Facebook potrebné na jeho bezpečnosť. Hoci vnútroštátny súd v tejto súvislosti poukazuje na možnosť použitia údajov z aplikácie WhatsApp v rámci antispamovej funkcie (použitím informácií z účtov WhatsApp, ktoré rozosielajú spam s cieľom prijatia opatrení proti príslušným účtom na Facebooku) a údajov z aplikácie Instagram na identifikáciu pochybného alebo nezákonného správania, mám pochybnosti o tom, že žalobkyňa vo veci samej si môže privlastniť právo spracúvať osobné údaje na „policajné“ účely v širokom zmysle slova, keďže s ohľadom na judikatúru Súdneho dvora v oblasti (odlišnej avšak súvisiacej) údajov týkajúcich sa elektronických komunikácií, ani legislatívne opatrenia, ktoré stanovujú všeobecné a nediferencované uchovávanie prevádzkových a lokalizačných údajov ako preventívne opatrenie, nie sú v súlade so smernicou 2002/58 [pozri rozsudok zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 168)]. Navyše v prípade, že potreba zaručiť bezpečnosť siete vyplýva zo zákonnej požiadavky, prevádzkovateľ údajov sa môže odvolávať na osobitné odôvodnenie upravené v článku 6 ods. 1 písm. c) GDPR.
( 91 ) V súlade s článkom 6 ods. 1 písm. c), d) a e) GDPR.
( 92 ) Pozri bod 48 vyššie.
( 93 ) Vzhľadom na širokú paletu legitímnych záujmov uznávaných v judikatúre (pozri bod 60 vyššie) je podľa môjho názoru v zásade jasné, že ochrana maloletých môže byť odôvodnená prijatím primeraných ochranných opatrení s cieľom zakázať im prístup k neprimeraným alebo nebezpečným obsahom.
( 94 ) Totiž v súlade s článkom 13 ods. 1 písm. c) a d) GDPR prináleží predovšetkým prevádzkovateľovi údajov, aby v súvislosti s každým účelom spracúvania označil legitímne záujmy, ktoré sleduje on sám alebo tretia osoba.
( 95 ) V rozsudku z 11. novembra 2020, Orange Romania (C‑61/19, EU:C:2020:901, body 35 a 36, ako aj citovaná judikatúra), Súdny dvor spresnil, že znenie článku 4 bodu 11 GDPR, ktorý definuje „súhlas dotknutej osoby“ sa javí omnoho prísnejšie, ako znenie článku 2 písm. h) smernice 95/46, keďže si vyžaduje „slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle“ dotknutej osoby formou vyhlásenia alebo „jednoznačného potvrdzujúceho úkonu“, ktorým vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
( 96 ) Ako zdôrazňuje EVOÚ, prídavné meno „slobodný“ predpokladá skutočnú možnosť voľby a kontroly pre dotknuté osoby (pozri usmernenia EVOÚ 5/2020 bod 13). Rovnaký bod predovšetkým spresňuje, že súhlas nebol daný slobodne, ak má dotknutá osoba na jednej strane pocit, že je k súhlasu nútená alebo bude znášať významné negatívne dôsledky, ak súhlas neposkytne a na druhej strane, je súhlas prezentovaný ako súčasť nezmeniteľných podmienok. Súhlas sa preto nebude považovať za slobodne udelený, ak táto osoba nemôže odmietnuť alebo odvolať svoj súhlas bez nepriaznivých následkov. V takomto prípade, ako zdôrazňuje aj žalobkyňa vo veci samej, jedinou nevýhodou, ktorú musí dotknutá osoba akceptovať, je to, že služba nemusí mať rovnakú funkčnosť alebo kvalitu, ak je spracúvanie údajov, na ktoré nebol udelený súhlas, na tento účel technicky nevyhnutné.
( 97 ) V tomto ohľade usmernenia EVOÚ 5/2020 uvádzajú klamanie, zastrašovanie, nátlak alebo výrazné negatívne dôsledky, ak dotknutá osoba neposkytne súhlas, a pripomína, že prevádzkovateľ údajov je povinný preukázať, že mala možnosť slobodnej alebo skutočnej voľby, či poskytne súhlas, a že bolo možné odvolať súhlas bez nepriaznivých následkov (bod 47).
( 98 ) Okrem situácií týkajúcich sa vzťahov s orgánmi verejnej moci a pracovnoprávnych vzťahov uvedených v odôvodnení 43, ktoré nie sú v tomto prípade relevantné, sa v bode 24 usmernení EVOÚ 5/2020 okrem iného uvádzajú situácie, keď dotknutá osoba skutočne nie je schopná využiť možnosť voľby alebo keď existuje riziko podvodu, zastrašovania, nátlaku alebo významných negatívnych dôsledkov (napr. veľké dodatočné náklady) v prípade, ak svoj súhlas neudelí.
( 99 ) Táto otázka sa čiastočne prekrýva s otázkou, ktorá je predmetom prvej časti tretej prejudiciálnej otázky (pozri body 53 až 57 vyššie). V druhej vete odôvodnenia 43 GDPR sa uvádza, že v takejto situácii sa predpokladá, že súhlas nebol udelený slobodne (podľa bodu 26 usmernení EVOÚ 5/2020 GDPR takýmto spôsobom zabezpečuje, aby sa spracúvanie osobných údajov, pri ktorom sa vyžaduje súhlas, nemohlo priamo alebo nepriamo stať protiplnením zmluvy), pričom použitie spojenia „sa nepovažuje“ jasne naznačuje, že prípady, keď sa súhlas považuje za platný, budú veľmi výnimočné (pozri bod 35 týchto usmernení). Okrem toho s ohľadom na použitie slovného spojenia „okrem iného“ bol článok 7 ods. 4, GDPR formulovaný nevyčerpávajúcim spôsobom, a preto do pôsobnosti tohto ustanovenia môže patriť celá škála ďalších situácií vrátane akéhokoľvek neprimeraného tlaku alebo vplyvu vyvíjaného na dotknutú osobu, ktorý jej bráni v tom, aby si uplatnila svoju slobodnú vôľu (usmernenia EVOÚ 5/2020, bod 14).
( 100 ) Odôvodnenie 32 GDPR spresňuje, že súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely. V tomto ohľade usmernenia EVOÚ 5/2020 odkazujú na „zrnitý“ súhlas, ako prekážku jeho slobodného udelenia (bod 44).
( 101 ) Takáto situácia podporuje predovšetkým uloženie podmienok, ktoré nie sú nevyhnutné na plnenie zmluvy (pozri body 53 až 57 vyššie).
( 102 ) Inými slovami, ako zdôrazňuje aj Komisia, úroveň relatívnej trhovej sily podniku, ktorá je nevyhnutná pre platnosť súhlasu podľa GDPR nemožno nevyhnutne prirovnávať k dominantnému postaveniu na trhu v zmysle článku 102 ZFEÚ.
( 103 ) Je zrejmé, že hoci existencia dominantného postavenia sama osebe nevylučuje možnosť udeliť slobodný súhlas so spracúvaním osobných údajov, neexistencia takéhoto postavenia sama osebe nestačí na to, aby za každých okolností zaručila, že takýto súhlas je platne udelený.