–

za Fashion ID GmbH & Co. KG C.-M. Althaus in J. Nebel, Rechtsanwälte,

–

za Verbraucherzentrale NRW eV K. Kruse, C. Rempe in S. Meyer, Rechtsanwälte,

–

za Facebook Ireland Ltd H.-G. Kamann, C. Schwedler in M. Braun, Rechtsanwälte, ter I. Perego, avvocatessa,

–

za Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen U. Merger, agentka,

–

za nemško vlado sprva T. Henze in J. Möller, nato J. Möller, agenta,

–

za belgijsko vlado P. Cottin in L. Van den Broeck, agenta,

–

za italijansko vlado G. Palmieri, agentka, skupaj s P. Gentilijem, avvocato dello Stato,

–

za avstrijsko vlado sprva C. Pesendorfer, nato G. Kunnert agenta,

–

za poljsko vlado B. Majczyna, agent,

–

za Evropsko komisijo H. Krämer in H. Kranenborg, agenta,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago členov 2, 7, 10 in od 22 do 24 Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

2

Ta predlog je bil vložen v okviru spora med družbo Fashion ID GmbH & Co. KG in Verbraucherzentrale NRW eV, ker je družba Fashion ID na svoje spletno mesto vstavila socialni vtičnik družbe Facebook Ireland Ltd.

3

Direktiva 95/46 je bila razveljavljena in nadomeščena z učinkom od 25. maja 2018 z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL 2016, L 119, str. 1). Vendar se glede na datum dejanskega stanja spora o glavni stvari za ta spor uporablja ta direktiva.

4

V uvodni izjavi 10 Direktive 95/46 je navedeno:

„[K]er je namen nacionalne zakonodaje o obdelavi osebnih podatkov varovati temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ki jo priznava člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin [, podpisane 4. novembra 1950 v Rimu], pa tudi splošna načela zakonodaje [Unije]; ker zato približevanje teh zakonodaj ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora imeti za cilj zagotovitev visoke ravni varstva v [Uniji]“.

5

Člen 1 Direktive 95/46 določa:

„1.   V skladu s to direktivo države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.

2.   Države članice ne omejujejo niti ne prepovedujejo prostega prenosa osebnih podatkov med državami članicami zaradi razlogov, povezanih z varstvom, ki je zagotovljeno na podlagi odstavka 1.“

6

Člen 2 te direktive določa:

„V tej direktivi:

[…]

[…]

7

Člen 7 navedene direktive določa:

„Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:

[…]

8

Člen 10 Direktive 95/46, naslovljen „Informacije v primerih zbiranja podatkov od posameznika, na katerega se osebni podatki nanašajo“, določa:

„Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:

9

Člen 22 Direktive 95/46 določa:

„Brez poseganja v upravnopravna pravna sredstva pred predložitvijo zadeve sodnemu organu, ki jih je možno med drugim predvideti pred nadzornim organom iz člena 28, države članice zagotovijo, da ima vsaka oseba v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo, pravico vložiti pravno sredstvo na sodišču.“

10

Člen 23 te direktive določa:

„1.   Države članice določijo, da je katera koli oseba, ki je utrpela škodo kot posledico nezakonitega postopka obdelave ali katerega koli dejanja, ki je nezdružljivo z nacionalnimi določbami, sprejetimi v skladu s to direktivo, upravičena od upravljavca zahtevati odškodnino za to škodo.

2.   Upravljavec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.“

11

Člen 24 navedene direktive določa:

„Države članice sprejmejo ustrezne ukrepe za zagotovitev popolne izvedbe določb te direktive in predvsem določijo sankcije, ki se naložijo ob kršitvi določb, sprejetih v skladu s to direktivo.“

12

Člen 28 te direktive določa:

„1.   Vsaka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo.

Ti organi pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma samostojno.

[…]

3.   Vsakemu organu se podeli predvsem:

[…]

[…]

4.   Vsak nadzorni organ obravnava zahtevke, ki jih je vložila katera koli oseba ali združenje, ki predstavlja to osebo, v zvezi z varstvom svojih [njegovih] pravic in svoboščin glede obdelave osebnih podatkov. Zadevna oseba je obveščena o odločitvah o zahtevkih.

[…]“.

13

V členu 5(3) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL 2009, L 337, str. 11) (v nadaljevanju: Direktiva 2002/58), je določeno:

„Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo [95/46], med drugim o namenih obdelave. To ne prepreči nobenega tehničnega shranjevanja ali dostopa izključno za namen opravljanja prenosa sporočila prek elektronskega komunikacijskega omrežja, ali, če je nujno potrebno, da ponudnik zagotovi storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.“

14

Člen 1(1) Direktive 2009/22/ES Evropskega parlamenta in Sveta z dne 23. aprila 2009 o opustitvenih tožbah zaradi varstva interesov potrošnikov (UL 2009, L 110, str. 30), kakor je bila spremenjena z Uredbo (EU) št. 524/2013 Evropskega parlamenta in Sveta z dne 21. maja 2013 (UL 2013, L 165, str. 1) (v nadaljevanju: Direktiva 2009/22), določa:

„Namen te direktive je približati zakone in druge predpise držav članic o opustitvenih tožbah, navedenih v členu 2, s ciljem varstva kolektivnih interesov potrošnikov, vključenih v akte Unije, ki so našteti v Prilogi I, in tako zagotoviti dobro delovanje notranjega trga.“

15

Člen 2 te direktive določa:

„1.   Države članice določijo sodišča ali upravne organe, pristojna za odločanje o pravnih sredstvih, ki jih vložijo kvalificirani subjekti v smislu člena 3 in se nanašajo:

[…]“.

16

Člen 7 navedene direktive določa:

„Ta direktiva državam članicam ne preprečuje, da sprejmejo ali ohranijo določbe, ki kvalificiranim subjektom in vsem drugim zadevnim osebam na nacionalni ravni zagotavljajo širše pravice pri vložitvi tožb.“

17

Člen 80 Uredbe št. 2016/679 določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.

2.   Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.“

18

Člen 3(1) Gesetz gegen den unlauteren Wettbewerb (zakon o preprečevanju nelojalne konkurence) v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: UWG), določa:

„Nelojalna poslovna ravnanja so prepovedana.“

19

Člen 3a UWG določa:

„Nelojalno ravna, kdor krši zakonsko določbo, s katero se med drugim v interesu udeležencev na trgu ureja ravnanje na trgu, če lahko kršitev občutno poseže v interese potrošnikov, drugih udeležencev na trgu ali konkurentov.“

20

Člen 8 UWG določa:

„(1)   Zoper vsakogar, čigar poslovno ravnanje je prepovedano v smislu člena 3 ali člena 7, je mogoče vložiti tožbo za odpravo posledic prepovedanega ravnanja ali – v primeru ponovitvene nevarnosti – opustitveno tožbo. Upravičenje za vložitev opustitvene tožbe je podano že v primeru nevarnosti kršitve členov 3 ali 7.

[…]

(3)   Tožbi iz odstavka 1 lahko vložijo:

[…]

3. kvalificirani subjekti, ki dokažejo, da so vneseni v seznam kvalificiranih subjektov v skladu s členom 4 Unterlassungsklagegesetz (zakon o opustitvenih tožbah) ali v seznam Evropske komisije iz člena 4(3) Direktive [2009/22];

[…]“.

21

Člen 2 zakona o opustitvenih tožbah določa:

„(1)   Zoper vsakogar, ki kako drugače kot z uporabo ali priporočanjem splošnih poslovnih pogojev krši določbe za varstvo potrošnikov (zakoni o varstvu potrošnikov), je v interesu varstva potrošnikov mogoče vložiti opustitveno tožbo in tožbo za odpravo posledic te kršitve. […]

(2)   Zakoni o varstvu potrošnikov v smislu tega člena so zlasti:

[…]

11. določbe o dopustnosti

če so podatki zbrani, obdelani ali uporabljeni za oglaševanje, tržne in mnenjske raziskave, izvajanje dejavnosti zbiranja informacij, izdelavo osebnostnih in uporabniških profilov, trgovanje z naslovi, druge vrste trgovanja s podatki ali za primerljive poslovne namene.“

22

V členu 12(1) Telemediengesetz (zakon o elektronskih medijih, v nadaljevanju: TMG) je navedeno:

„Ponudnik storitev lahko zaradi dajanja elektronskih medijev na razpolago osebne podatke zbira in uporablja le, če ta zakon ali drug predpis, ki se izrecno nanaša na elektronske medije, to dopušča ali če je uporabnik v to privolil.“

23

Člen 13(1) TMG določa:

„Ponudnik storitev mora uporabnika na začetku uporabe na splošno razumljiv način obvestiti o načinu, obsegu in namenu zbiranja in uporabe osebnih podatkov ter o obdelavi njegovih podatkov v državah zunaj področja uporabe Direktive [95/46], če taka obvestitev ni bila že opravljena. V primeru avtomatiziranega procesa, ki omogoča poznejšo identifikacijo uporabnika in s katerim se ustvarijo pogoji za zbiranje ali uporabo osebnih podatkov, mora biti uporabnik obveščen na začetku tega procesa. Uporabnik mora vselej imeti možnost znova prikazati vsebino obvestitve.“

24

Člen 15(1) TMG določa:

„Ponudnik lahko osebne podatke uporabnika zbira in uporablja le, če je to potrebno za omogočanje in zaračunavanje uporabe elektronskih medijev (podatki o uporabi). Podatki o uporabi so zlasti

1.   podatki, ki omogočajo identifikacijo uporabnika,

2.   podatki o začetku in koncu ter obsegu vsakokratne uporabe in

3.   podatki o elektronskih medijih, ki jih je uporabnik uporabil.“

25

Družba Fashion ID, spletni trgovec modnih oblačil, je na svoje spletno mesto vstavila socialni vtičnik „všeč mi je“ družbenega omrežja Facebook (v nadaljevanju: Facebookov gumb „všeč mi je“).

26

Iz predložitvene odločbe izhaja, da je posebnost spleta ta, da brskalniku obiskovalca spletnega mesta omogoča prikaz vsebin iz različnih virov. Tako so lahko – za ponazoritev – fotografije, videoposnetki, novice ter Facebookov gumb „všeč mi je“, ki je predmet tega postopka, povezani s spletnim mestom in prikazani na njem. Če želi upravljavec spletnega mesta vstaviti takšne zunanje vsebine, na svoje spletno mesto umesti povezavo do zunanje vsebine. Ko brskalnik obiskovalca navedenega mesta odpre to povezavo, pošlje zahtevo za zunanjo vsebino in jo vstavi na želeno mesto v prikazu spletnega mesta. Za to brskalnik strežniku zunanjega ponudnika posreduje IP-naslov računalnika navedenega obiskovalca ter tehnične podatke brskalnika, tako da strežnik lahko določi format, v katerem bo vsebina poslana na ta naslov. Brskalnik poleg tega posreduje podatke o želeni vsebini. Upravljavec spletnega mesta, ki ponuja zunanjo vsebino tako, da jo na to mesto vstavi, nima vpliva na to, katere podatke brskalnik posreduje, niti na to, kaj zunanji ponudnik s temi podatki stori, zlasti, ali se jih odloči shraniti in uporabiti.

27

Zlasti glede Facebookovega gumba „všeč mi je“ se zdi, da iz predložitvene odločbe izhaja, da so osebni podatki obiskovalca – kadar ta obišče spletno mesto družbe Fashion ID – posredovani družbi Facebook Ireland, ker to mesto vključuje navedeni gumb. Razvidno je, da se to posredovanje izvede, ne da bi se navedeni obiskovalec tega zavedal in ne glede na to, ali je član družbenega omrežja Facebook in ali je kliknil na Facebookov gumb „všeč mi je“.

28

Verbraucherzentrale NRW, nepridobitno združenje za varstvo interesov potrošnikov, očita družbi Fashion ID, da je družbi Facebook Ireland posredovala osebne podatke obiskovalcev njenega spletnega mesta, prvič, brez njihove privolitve, in drugič, tako, da je kršila obveznosti glede obveščanja, določene v predpisih o varstvu osebnih podatkov.

29

Verbraucherzentrale NRW je zoper družbo Fashion ID vložilo opustitveno tožbo pred Landgericht Düsseldorf (deželno sodišče v Düsseldorfu, Nemčija), da bi prenehala s to prakso.

30

Landgericht Düsseldorf (deželno sodišče v Düsseldorfu) je z odločbo z dne 9. marca 2016 delno ugodilo predlogom Verbraucherzentrale NRW, potem ko mu je na podlagi člena 8(3), točka 3, UWG priznalo procesno upravičenje.

31

Družba Fashion ID je vložila pritožbo zoper to odločbo pri predložitvenem sodišču, Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija). Družba Facebook Ireland je v tem pritožbenem postopku intervenirala v podporo družbi Fashion ID. Verbraucherzentrale NRW je vložilo nasprotno pritožbo, s katero predlaga, naj se ugoditev predlogom iz sodbe, izrečene na prvi stopnji zoper družbo Fashion ID, razširi.

32

Družba Fashion ID je pred predložitvenim sodiščem trdila, da odločba Landgericht Düsseldorf (deželno sodišče v Düsseldorfu) ni združljiva z Direktivo 95/46.

33

Prvič, družba Fashion ID trdi, da členi od 22 do 24 navedene direktive določajo le pravna sredstva v korist posameznikov, na katere se nanaša obdelava osebnih podatkov, in pristojnih nadzornih organov. Zato naj tožba, ki jo je vložilo Verbraucherzentrale NRW, ne bi bila dopustna, ker to združenje nima procesnega upravičenja v okviru Direktive 95/46.

34

Drugič, družba Fashion ID meni, da je Landgericht Düsseldorf (deželno sodišče v Düsseldorfu) napačno presodilo, da je upravljavec v smislu člena 2(d) Direktive 95/46, saj nima nobenega vpliva na podatke, ki jih obiskovalčev brskalnik prenaša z njenega spletnega mesta, niti na to, ali – in – če da – kako jih bo družba Facebook Ireland uporabila.

35

Predložitveno sodišče najprej dvomi o tem, ali imajo nepridobitna združenja v skladu z Direktivo 95/46 procesno upravičenje za zaščito interesov oškodovancev. Meni, da člen 24 te direktive združenjem ne preprečuje, da so stranka postopka, saj države članice v skladu s tem členom sprejmejo „ustrezne ukrepe“ za zagotovitev popolne izvedbe določb navedene direktive. Tako predložitveno sodišče meni, da bi nacionalna ureditev, s katero se združenjem omogoča, da vložijo tožbo v interesu potrošnikov, lahko bila tak ustrezen ukrep.

36

V zvezi s tem navedeno sodišče ugotavlja, da je s členom 80(2) Uredbe št. 2016/679, ki je razveljavila in nadomestila Direktivo 95/46, takemu združenju vložitev tožbe izrecno dovoljena, kar naj bi potrdilo, da zadnjenavedena direktiva ne nasprotuje taki tožbi.

37

Poleg tega se sprašuje, ali se lahko upravljavec spletnega mesta, kot je družba Fashion ID, ki na to spletno mesto vstavi socialni vtičnik, s katerim je mogoče zbirati osebne podatke, šteje za upravljavca v smislu člena 2(d) Direktive 95/46, čeprav zadnjenavedeni nima nobenega vpliva na obdelavo podatkov, posredovanih ponudniku tega vtičnika. Predložitveno sodišče se v zvezi s tem sklicuje na zadevo, v kateri je bila izdana sodba z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), o podobnem vprašanju.

38

Podredno, če družbe Fashion ID ne bi bilo mogoče šteti za upravljavca, se predložitveno sodišče sprašuje, ali ta direktiva izčrpno ureja navedeni pojem, tako da nasprotuje nacionalni ureditvi, ki določa civilno odgovornost za tretjo osebo v primeru kršitve pravic do varstva podatkov. Predložitveno sodišče namreč potrjuje, da bi bilo mogoče družbo Fashion ID šteti za odgovorno na tej podlagi iz nacionalnega prava kot „motilko“ („Störer“).

39

Če bi bilo družbo Fashion ID treba šteti za upravljavca ali bi bila vsaj odgovorna kot „motilka“ za morebitne kršitve varstva podatkov s strani družbe Facebook Ireland, se predložitveno sodišče sprašuje, ali je obdelava osebnih podatkov, ki je predmet postopka v glavni stvari, zakonita, in ali ima obveznost zagotovitve informacij posamezniku, na katerega se nanašajo podatki, v skladu s členom 10 Direktive 95/46 družba Fashion ID ali družba Facebook Ireland.

40

Tako se, prvič, glede na pogoje za zakonitost obdelave podatkov, kot so določeni v členu 7(f) Direktive 95/46, predložitveno sodišče sprašuje, ali je treba v položaju, kot je ta iz postopka v glavni stvari, upoštevati zakoniti interes upravljavca spletnega mesta ali zakoniti interes ponudnika socialnega vtičnika.

41

Drugič, navedeno sodišče se sprašuje, kdo je dolžan pridobiti privolitev posameznikov, na katere se nanaša obdelava osebnih podatkov, in jim zagotoviti informacije v položaju, kot je ta iz postopka v glavni stvari. Predložitveno sodišče meni, da je vprašanje o tem, kdo je zavezan zagotoviti informacije posameznikom, na katere se nanašajo osebni podatki, kot je določena v členu 10 Direktive 95/46, še posebej pomembno, saj z vsako vključitvijo zunanjih vsebin na spletno mesto načeloma pride do obdelave osebnih podatkov, katere obseg in namen pa sta tistemu, ki te vsebine vključi, in sicer upravljavcu zadevnega spletnega mesta, neznana. Zato naj ne bi mogel dati zahtevanih informacij, kolikor se od njega zahteva, tako da bi naložitev obveznosti temu upravljavcu, da zagotovi informacije posamezniku, na katerega se nanašajo podatki, v praksi privedla do prepovedi vključitve zunanjih vsebin.

42

V teh okoliščinah je Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

Če je odgovor na prvo vprašanje nikalen:

43

S prvim vprašanjem predložitveno sodišče v bistvu sprašuje, ali je treba člene od 22 do 24 Direktive 95/46 razlagati tako, da nasprotujejo nacionalni ureditvi, na podlagi katere je združenjem za varstvo interesov potrošnikov dovoljeno vložiti tožbo zoper domnevnega kršitelja varstva osebnih podatkov.

44

Najprej je treba opozoriti, da v skladu s členom 22 Direktive 95/46 države članice zagotovijo, da ima vsaka oseba v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo, pravico vložiti pravno sredstvo na sodišču.

45

V členu 28(3), tretja alinea, Direktive 95/46 je določeno, da ima nadzorni organ, ki je v skladu s členom 28(1) te direktive na ozemlju zadevne države članice odgovoren za spremljanje uporabe predpisov, ki jih je ta država članica sprejela, na podlagi navedene direktive med drugim pooblastilo za sodelovanje v sodnih postopkih, kadar so kršene nacionalne določbe, sprejete v skladu s to direktivo, ali pooblastilo za seznanitev sodnih organov s temi kršitvami.

46

Glede člena 28(4) Direktive 95/46, ta določa, da lahko nadzorni organ obravnava zahtevek, ki ga je vložilo združenje, ki predstavlja posameznika, na katerega se nanašajo osebni podatki, v smislu člena 2(a) te direktive, v zvezi z varstvom njegovih pravic in svoboščin glede obdelave osebnih podatkov.

47

Vendar nobena določba navedene direktive ne nalaga državam članicam obveznosti, – niti jim tega izrecno ne dovoljuje – da v svoji nacionalni zakonodaji določijo, da lahko združenje takega posameznika zastopa na sodišču ali da na lastno pobudo vloži tožbo zoper domnevnega kršitelja varstva osebnih podatkov.

48

To pa še ne pomeni, da Direktiva 95/46 nasprotuje nacionalni ureditvi, na podlagi katere je združenjem za varstvo interesov potrošnikov dovoljeno vložiti tožbo zoper domnevnega kršitelja varstva osebnih podatkov.

49

Na podlagi člena 288, tretji odstavek, PDEU morajo namreč države članice pri prenosu direktive zagotoviti njen polni učinek, pri čemer imajo na voljo široko polje proste presoje glede izbire načinov in sredstev za zagotovitev njenega učinkovanja. Ta svoboda ne vpliva na obveznost vsake od držav članic, na katere je direktiva naslovljena, da sprejme vse ukrepe, ki so potrebni za zagotovitev polnega učinka zadevne direktive v skladu z njenim ciljem (sodbi z dne 6. oktobra 2010, Base in drugi, C‑389/08, EU:C:2010:584, točki 24 in 25, ter z dne 22. februarja 2018, Porras Guisado, C‑103/16, EU:C:2018:99, točka 57).

50

V zvezi s tem je treba opozoriti, da je eden od ciljev, na katerih temelji Direktiva 95/46, zagotoviti učinkovito in popolno varstvo temeljnih svoboščin in pravic fizičnih oseb ter predvsem pravice do zasebnosti pri obdelavi osebnih podatkov (glej v tem smislu sodbi z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 53, ter z dne 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, točka 38). V njeni uvodni izjavi 10 je pojasnjeno, da približevanje nacionalnih zakonodaj, ki se uporabljajo na tem področju, ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora, nasprotno, imeti za cilj zagotovitev visoke ravni varstva v Uniji (sodbe z dne 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, točka 95; z dne 16. decembra 2008, Huber, C‑524/06, EU:C:2008:724, točka 50, in z dne 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 in C‑469/10, EU:C:2011:777, točka 28).

51

Dejstvo, da država članica v svoji nacionalni ureditvi določa možnost, da združenje za varstvo interesov potrošnikov vloži tožbo zoper domnevnega kršitelja varstva osebnih podatkov, pa nikakor ne more škodovati ciljem tega varstva, ampak, nasprotno, prispeva k uresničevanju teh ciljev.

52

Družba Fashion ID in družba Facebook Ireland kljub temu trdita, da bi bila – ker je Direktiva 95/46 popolnoma harmonizirala nacionalne določbe o varstvu podatkov – vsaka tožba, ki je ta direktiva izrecno ne določa, izključena. Členi 22, 23 in 28 Direktive 95/46 pa naj bi urejali le tožbe posameznikov, na katere se nanašajo osebni podatki, in tožbe nadzornih organov za varstvo podatkov.

53

Vendar te utemeljitve ni mogoče sprejeti.

54

Res je, da Direktiva 95/46 vodi do harmonizacije nacionalnih zakonodaj o varstvu osebnih podatkov, ki je načeloma celovita (glej v tem smislu sodbi z dne 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 in C‑469/10, EU:C:2011:777, točka 29, in z dne 7. novembra 2013, IPI, C‑473/12, EU:C:2013:715, točka 31).

55

Sodišče je tako štelo, da člen 7 navedene direktive določa izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je obdelava osebnih podatkov zakonita in da države članice ne smejo niti dodati novih načel glede zakonitosti obdelave osebnih podatkov poleg tega člena, niti določiti dodatnih zahtev, ki bi spreminjale obseg enega od šestih načel, določenih v navedenem členu (sodbi z dne 24. novembra 2011 v zadevi Asociación Nacional de Estéblientros Financieros de Crédito, C‑468/10 in C‑469/10, EU:C:2011:777, točki 30 in 32, ter z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 57).

56

Vendar je Sodišče tudi pojasnilo, da Direktiva 95/46 vsebuje pravila, ki so razmeroma splošna, saj se uporablja v številnih zelo različnih okoliščinah. Za ta pravila je značilna neka prožnost in to, da v številnih primerih državam članicam prepuščajo, da same uredijo podrobnosti ali izberejo med več možnostmi, tako da imajo države članice v mnogo pogledih manevrski prostor za prenos navedene direktive (glej v tem smislu sodbi z dne 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, točke 83, 84 in 97, ter z dne 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 in C‑469/10, EU:C:2011:777, točka 35).

57

To velja za člene od 22 do 24 Direktive 95/46, ki so, kot je generalni pravobranilec poudaril v točki 42 sklepnih predlogov, oblikovani na splošno in s katerimi se ne izvaja izčrpna harmonizacija nacionalnih določb o pravnih sredstvih, ki se lahko pri sodiščih vložijo zoper domnevnega kršitelja varstva osebnih podatkov (glej po analogiji sodbo z dne 26. oktobra 2017, I, C‑195/16, EU:C:2017:815, točki 57 in 58).

58

Zlasti, čeprav člen 22 te direktive zahteva, da države članice zagotovijo, da ima vsaka oseba na voljo pravno sredstvo na sodišču v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo osebnih podatkov, pa navedena direktiva ne vsebuje nobene določbe, ki bi posebej urejala pogoje, pod katerimi je mogoče vložiti to pravno sredstvo (glej v tem smislu sodbo z dne 27. septembra 2017, Puškár, C‑73/16, EU:C:2017:725, točki 54 in 55).

59

Poleg tega člen 24 Direktive 95/46 določa, da države članice sprejmejo „ustrezne ukrepe“ za zagotovitev popolne izvedbe določb te direktive, ne da bi opredelil take ukrepe. Določitev možnosti, da združenje za varstvo interesov potrošnikov vloži tožbo zoper domnevnega kršitelja varstva osebnih podatkov pa je lahko ustrezen ukrep v smislu te določbe, ki pripomore, kot je bilo poudarjeno v točki 51 te sodbe, k doseganju ciljev navedene direktive v skladu s sodno prakso Sodišča (glej v zvezi s tem sodbo z dne 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, točka 97).

60

Poleg tega se v nasprotju s tem, kar trdi družba Fashion ID, to, da država članica v svoji nacionalni ureditvi določi to možnost, ne more ogroziti neodvisnosti, s katero morajo nadzorni organi opravljati svoje naloge, ki so jim zaupane v skladu z zahtevami iz člena 28 Direktive 95/46, saj ta možnost ne more vplivati niti na svobodo odločanja teh nadzornih organov, niti na njihovo svobodo delovanja.

61

Poleg tega, čeprav Direktive 95/46 ni med akti, navedenimi v Prilogi I k Direktivi 2009/22, pa v skladu s členom 7 zadnjenavedene direktive, ta direktiva v zvezi s tem ni izvedla izčrpne harmonizacije.

62

Nazadnje, dejstvo, da člen 80(2) Uredbe 2016/679, ki je razveljavila in nadomestila Direktivo 95/46 in ki se uporablja od 25. maja 2018, državam članicam izrecno dopušča, da združenjem za varstvo interesov potrošnikov omogočijo, da vložijo tožbo proti domnevnemu kršitelju varstva osebnih podatkov, nikakor ne pomeni, da jim države članice ne bi smele podeliti te pravice na podlagi Direktive 95/46, ampak potrjuje, nasprotno, da razlaga te direktive, ki je uporabljena v tej sodbi, odraža voljo zakonodajalca Unije.

63

Glede na zgornje ugotovitve je treba na prvo vprašanje odgovoriti, da je treba člene od 22 do 24 Direktive 95/46 razlagati tako, da ne nasprotujejo nacionalni ureditvi, na podlagi katere je združenjem za varstvo interesov potrošnikov dovoljeno vložiti tožbo zoper domnevnega kršitelja varstva osebnih podatkov.

64

Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali se lahko šteje, da je upravljavec spletnega mesta, kot je družba Fashion ID, ki na navedeno mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, upravljavec v smislu člena 2(d) Direktive 95/46, čeprav ta upravljavec spletnega mesta nima nobenega vpliva na obdelavo podatkov, ki se tako posredujejo navedenemu ponudniku.

65

V zvezi s tem je treba opozoriti, da v skladu s ciljem Direktive 95/46 zagotoviti visoko stopnjo varstva temeljnih pravic in svoboščin fizičnih oseb, predvsem pravice do zasebnosti, pri obdelavi osebnih podatkov člen 2(d) te direktive pojem „upravljavec“ opredeljuje široko, tako da pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov (glej v tem smislu sodbo z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točki 26 in 27).

66

Kot je Sodišče že razsodilo, je namreč cilj te določbe, da se s široko opredelitvijo pojma „upravljavec“ zagotovi učinkovito in popolno varstvo zadevnih oseb (sodbi z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 34, ter z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 28).

67

Poleg tega, ker pojem „upravljavec“ pomeni organ, ki „sam ali skupaj z drugimi“ določa namene in sredstva obdelave osebnih podatkov, kot je to izrecno določeno v členu 2(d) Direktive 95/46, ta pojem ne napotuje nujno na enotni organ in se lahko nanaša na več akterjev, udeleženih pri tej obdelavi, pri čemer torej za vsakega od njih veljajo določbe, ki se uporabijo na področju varstva podatkov (glej v tem smislu sodbi z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 29, in z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 65).

68

Sodišče je prav tako razsodilo, da je fizično ali pravno osebo, ki zaradi svojih ciljev vpliva na obdelavo osebnih podatkov in zato sodeluje pri določitvi namena in sredstev te obdelave, mogoče šteti za upravljavca v smislu člena 2(d) Direktive 95/46 (sodba z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 68).

69

Poleg tega skupna odgovornost več subjektov za isto obdelavo v skladu s to določbo ni pogojena s tem, da ima vsak od njih dostop do zadevnih osebnih podatkov (glej v tem smislu sodbi z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 38, in z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 69).

70

Ker je cilj člena 2(d) Direktive 95/46 s široko opredelitvijo pojma „upravljavec“ zagotoviti učinkovito in popolno varstvo zadevnih oseb, obstoj skupne odgovornosti ne pomeni nujno, da so različni subjekti za isto obdelavo osebnih podatkov enako odgovorni. Nasprotno, ti subjekti so lahko udeleženi v različnih fazah te obdelave in v različnih obsegih, tako da je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera (glej v tem smislu sodbo z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 66).

71

V zvezi s tem je treba poudariti, prvič, da je v členu 2(b) Direktive 95/46 „obdelava osebnih podatkov“ opredeljena kot „kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje“.

72

Iz te opredelitve izhaja, da lahko obdelava osebnih podatkov vsebuje enega ali več postopkov, od katerih se vsak nanaša na eno od različnih faz, ki jih lahko zajema obdelava osebnih podatkov.

73

Drugič, iz opredelitve pojma „upravljavec“ iz člena 2(d) Direktive 95/46, kot je navedena v točki 65 te sodbe, izhaja, da kadar več subjektov skupaj opredeli namene in sredstva obdelave osebnih podatkov, pri tej obdelavi sodelujejo kot upravljavci.

74

Iz tega sledi, kot je generalni pravobranilec v bistvu poudaril v točki 101 sklepnih predlogov, da je fizična ali pravna oseba v smislu člena 2(d) Direktive 95/46 lahko upravljavec, skupaj z drugimi, le glede postopkov obdelave osebnih podatkov, za katere sodoloči namene in sredstva. Vendar, in brez poseganja v morebitno civilno odgovornost, ki jo v zvezi s tem določa nacionalna zakonodaja, se za to fizično ali pravno osebo ne more šteti, da je upravljavec – v smislu navedene določbe – prejšnjih ali poznejših postopkov v verigi obdelave, za katere ne določa niti namenov, niti sredstev.

75

V obravnavani zadevi, s pridržkom preveritev, ki jih mora opraviti predložitveno sodišče, iz spisa, ki je na voljo Sodišču, izhaja, da se zdi, da je družba Fashion ID s tem, ko je na svoje spletno mesto vstavila Facebookov gumb „všeč mi je“, omogočila družbi Facebook Ireland, da pridobi osebne podatke obiskovalcev njenega spletnega mesta, to možnost pa pridobi z obiskom takšnega spletnega mesta in to neodvisno od tega, ali so ti obiskovalci člani socialnega omrežja Facebook, ali so kliknili na Facebookov gumb „všeč mi je“ in ali so seznanjeni s takšnim postopkom.

76

Na podlagi teh informacij je treba ugotoviti, da so postopki obdelave osebnih podatkov, za katere lahko družba Fashion ID skupaj z družbo Facebook Ireland določi namene in sredstva, glede na opredelitev pojma „obdelava osebnih podatkov“ iz člena 2(b) Direktive 95/46, zbiranje in posredovanje s prenosom osebnih podatkov obiskovalcev njenega spletnega mesta. Glede na navedene informacije pa je na prvi pogled izključeno, da družba Fashion ID določa namene in sredstva naknadnih postopkov obdelave osebnih podatkov, ki jih izvaja družba Facebook Ireland po posredovanju podatkov zadnjenavedeni, tako da se za družbo Fashion ID ne more šteti, da je upravljavec teh postopkov v smislu tega člena 2(d).

77

V zvezi s sredstvi, ki se uporabljajo za zbiranje in posredovanje s prenosom nekaterih osebnih podatkov obiskovalcev spletnega mesta družbe Fashion ID, iz točke 75 te sodbe izhaja, da je ta na svoje spletno mesto vstavila Facebookov gumb „všeč mi je“ – ki ga družba Facebook Ireland daje na voljo upravljavcem spletnih mest – zavedajoč se, da ta gumb služi kot orodje za zbiranje in posredovanje osebnih podatkov obiskovalcev tega mesta, ne glede na to, ali so člani družbenega omrežja Facebook ali ne.

78

Družba Fashion ID z vstavitvijo takega socialnega vtičnika na svoje spletno mesto poleg tega odločilno vpliva na zbiranje in posredovanje osebnih podatkov obiskovalcev navedenega spletnega mesta v korist ponudnika navedenega vtičnika, v tem primeru družbe Facebook Ireland, do česar ne bi prišlo, če navedeni vtičnik ne bi bil vstavljen.

79

V teh okoliščinah, in s pridržkom preveritev, ki jih mora v zvezi s tem opraviti predložitveno sodišče, je treba ugotoviti, da družba Facebook Ireland in družba Fashion ID skupaj določata sredstva za postopke zbiranja in posredovanja s prenosom osebnih podatkov obiskovalcev spletnega mesta družbe Fashion ID.

80

Glede namenov navedenih postopkov obdelave osebnih podatkov se zdi, da to, da je družba Fashion ID na svoje spletno mesto vstavila Facebookov gumb „všeč mi je“, optimizira oglaševanje njenih izdelkov, tako da postanejo vidnejši na družabnem omrežju Facebook, ko obiskovalec njenega spletnega mesta klikne na navedeni gumb. Zdi se, da je družba Fashion ID s tem, ko je na svoje spletno mesto vstavila tak gumb, vsaj implicitno privolila v zbiranje in posredovanje s prenosom osebnih podatkov obiskovalcev njenega spletnega mesta, z namenom, da bi izkoristila to komercialno prednost, ki je takšno povečano oglaševanje njenih izdelkov, pri čemer se ti postopki obdelave izvajajo v gospodarskem interesu tako družbe Fashion ID kot družbe Facebook Ireland, ki ji to, da lahko razpolaga s temi podatki za svoje komercialne namene, pomeni zameno za prednost, ki jo ponuja družbi Fashion ID.

81

V takih okoliščinah se lahko šteje, – s pridržkom preveritev, ki jih mora v zvezi s tem opraviti predložitveno sodišče – da družba Fashion ID in družba Facebook Ireland skupaj določata namene postopkov zbiranja in posredovanja s prenosom osebnih podatkov iz postopka v glavni stvari.

82

Poleg tega, kot izhaja iz sodne prakse, navedene v točki 69 te sodbe, okoliščina, da upravljavec spletnega mesta, kot je družba Fashion ID, sam nima dostopa do osebnih podatkov, zbranih in posredovanih ponudniku socialnega vtičnika, s katerim sodoloča namene in sredstva obdelave osebnih podatkov, temu ne preprečuje, da bi lahko bil upravljavec v smislu člena 2(d) Direktive 95/46.

83

Poleg tega je treba poudariti, da spletno mesto, kot je spletno mesto družbe Fashion ID, obiščejo tako osebe, ki so člani družbenega omrežja Facebook in ki imajo tako na tem družabnem omrežju račun, kot tisti, ki ga nimajo. V zadnjenavedenem primeru je odgovornost upravljavca spletnega mesta, kot je družba Fashion ID, glede obdelave osebnih podatkov teh oseb še pomembnejša, saj zgolj obisk takega spletnega mesta, ki vsebuje Facebookov gumb „všeč mi je“, sproži obdelavo njihovih osebnih podatkov s strani družbe Facebook Ireland (glej v tem smislu sodbo z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 41).

84

Tako se družba Fashion ID, skupaj z družbo Facebook Ireland, lahko šteje za upravljavca v smislu člena 2(d) Direktive 95/46 glede postopkov zbiranja in posredovanja s prenosom osebnih podatkov obiskovalcev njenega spletnega mesta.

85

Glede na vse zgornje ugotovitve je treba na drugo vprašanje odgovoriti, da se upravljavec spletnega mesta, kot je družba Fashion ID, ki na navedeno spletno mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, lahko šteje za upravljavca v smislu člena 2(d) Direktive 95/46. Vendar je ta odgovornost omejena na postopek ali niz postopkov obdelave osebnih podatkov, za katere dejansko določa namene in sredstva, in sicer zbiranje in posredovanje s prenosom zadevnih podatkov.

86

Glede na odgovor na drugo vprašanje, na tretje vprašanje ni treba odgovoriti.

87

Predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali je treba v položaju, kot je ta iz postopka v glavni stvari, v katerem upravljavec spletnega mesta na to mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, za namene uporabe člena 7(f) Direktive 95/46, upoštevati zakoniti interes tega upravljavca spletnega mesta ali zakoniti interes navedenega ponudnika.

88

Uvodoma je treba opozoriti, da po mnenju Komisije to vprašanje ni pomembno za rešitev spora o glavni stvari, saj ni bila pridobljena privolitev posameznikov, na katere se nanašajo osebni podatki, ki se zahteva s členom 5(3) Direktive 2002/58.

89

V zvezi s tem je treba ugotoviti, da člen 5(3) zadnjenavedene direktive določa, da države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo 95/46, med drugim o namenih obdelave.

90

Predložitveno sodišče mora preveriti, ali v položaju, kot je ta iz postopka v glavni stvari, ponudnik socialnega vtičnika, kot je družba Facebook Ireland, dostopa – kot trdi Komisija – do podatkov, shranjenih v terminalski opremi v smislu člena 5(3) Direktive 2002/58 od obiskovalca spletnega mesta upravljavca tega mesta.

91

V takih okoliščinah in ker se zdi, da predložitveno sodišče v tem primeru podatke, posredovane družbi Facebook Ireland, šteje za osebne podatke v smislu Direktive 95/46, ki poleg tega niso omejeni nujno na podatke, shranjene v terminalski opremi, kar mora predložitveno sodišče preveriti, za rešitev spora o glavni stvari s preudarki Komisije ni mogoče izpodbiti upoštevnosti četrtega vprašanja za predhodno odločanje, ki se nanaša na morebitno zakonitost obdelave zadevnih podatkov iz postopka v glavni stvari, kot je prav tako poudaril generalni pravobranilec v točki 115 sklepnih predlogov.

92

Zato je treba preučiti vprašanje, kateri zakoniti interes je treba upoštevati pri uporabi člena 7(f) te direktive za obdelavo teh podatkov.

93

V zvezi s tem je treba najprej opozoriti, da mora biti v skladu z določbami Poglavja II Direktive 95/46, naslovljenega „Splošna pravila o zakonitosti obdelave osebnih podatkov“, razen pri odstopanjih, ki so dopustna na podlagi člena 13 te direktive, vsaka obdelava osebnih podatkov med drugim ustrezati enemu od meril za zakonitost obdelave podatkov, ki so navedena v členu 7 navedene direktive (glej v tem smislu sodbi z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 71, ter z dne 1. oktobra 2015, Bara in drugi, C‑201/14, EU:C:2015:638, točka 30).

94

V skladu s členom 7(f) Direktive 95/46, za razlago katerega prosi predložitveno sodišče, je obdelava osebnih podatkov zakonita, če je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo, ki se varujejo na podlagi člena 1(1) Direktive 95/46.

95

Navedeni člen 7(f) določa torej tri kumulativne pogoje za to, da je obdelava osebnih podatkov zakonita, in sicer, prvič, da si upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, prizadeva za zakonit interes, drugič, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, in tretjič, da prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov (sodba z dne 4. maja 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, točka 28).

96

Ker je glede na odgovor na drugo vprašanje razvidno, da se lahko šteje, da je v položaju, kot je ta iz postopka v glavni stvari, upravljavec spletnega mesta, ki na to mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, skupaj s tem ponudnikom upravljavec postopkov obdelave osebnih podatkov obiskovalcev njegovega spletnega mesta v obliki zbiranja in posredovanja s prenosom, si mora vsak od teh upravljavcev s temi postopki obdelave prizadevati za zakoniti interes v smislu člena 7(f) Direktive 95/46, da so ti glede na to določbo upravičeni.

97

Glede na zgornje ugotovitve je treba na četrto vprašanje odgovoriti, da je v položaju, kot je ta iz postopka v glavni stvari, v katerem upravljavec spletnega mesta na to mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, potrebno, da si ta upravljavec spletnega mesta in ta ponudnik s temi postopki obdelave oba prizadevata za zakoniti interes v smislu člena 7(f) Direktive 95/46, da bi bili ti postopki glede na to določbo upravičeni.

98

Predložitveno sodišče s petim in šestim vprašanjem, ki ju je treba obravnavati skupaj, želi v bistvu ugotoviti, prvič, ali je treba člena 2(h) in 7(a) Direktive 95/46 razlagati tako, da mora v položaju, kot je ta iz postopka v glavni stvari, v katerem upravljavec spletnega mesta na navedeno mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke navedenega obiskovalca, privolitev iz teh določb pridobiti navedeni upravljavec spletnega mesta ali ta ponudnik in, drugič, ali je treba člen 10 te direktive razlagati tako, da ima v takem položaju ta upravljavec spletnega mesta dolžnost zagotoviti informacije, ki jo določa ta določba.

99

Kot je razvidno iz odgovora na drugo vprašanje, se lahko šteje, da je upravljavec spletnega mesta, ki na navedeno spletno mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, upravljavec v smislu člena 2(d) Direktive 95/46, pri tem pa je ta odgovornost omejena na postopek ali niz postopkov obdelave osebnih podatkov, za katere dejansko določa namene in sredstva.

100

Tako je očitno, da se morajo obveznosti, ki se lahko v skladu z Direktivo 95/46 naložijo temu upravljavcu, kot je obveznost pridobitve privolitve posameznika, na katerega se nanašajo osebni podatki, iz člena 2(h) in člena 7(a) te direktive, ter obveznost zagotavljanja informacij iz člena 10 te direktive, nanašati na postopek ali niz postopkov obdelave osebnih podatkov, za katere dejansko določa namene in sredstva.

101

V obravnavanem primeru, čeprav se za upravljavca spletnega mesta, ki na omenjeno spletno mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke tega obiskovalca, lahko šteje, da je – skupaj s tem ponudnikom – upravljavec postopkov zbiranja in posredovanja s prenosom osebnih podatkov tega obiskovalca, se njegova obveznost, da pridobi privolitev posameznika, na katerega se nanašajo osebni podatki, iz člena 2(h) in člena 7(a) Direktive 95/46 ter njegova obveznost zagotavljanja informacij iz člena 10 te direktive nanaša izključno na te postopke. Te obveznosti pa ne zajemajo postopkov obdelave osebnih podatkov, ki se nanašajo na druge faze, prejšnje ali poznejše od navedenih postopkov, ki po potrebi vključujejo obdelavo zadevnih osebnih podatkov.

102

Glede privolitve iz člena 2(h) in člena 7(a) Direktive 95/46 je očitno, da mora biti dana pred zbiranjem in posredovanjem s prenosom podatkov posameznika, na katerega se osebni podatki nanašajo. V teh okoliščinah mora upravljavec spletnega mesta, in ne ponudnik socialnega vtičnika, pridobiti to privolitev, saj sproži postopek obdelave osebnih podatkov to, da obiskovalec obišče to spletno mesto. Kot je poudaril generalni pravobranilec v točki 132 sklepnih predlogov, namreč ne bi bilo v skladu z učinkovitim in pravočasnim varstvom pravic posameznika, na katerega se nanašajo osebni podatki, če bi bila privolitev dana le upravljavcu, ki je skupaj odgovoren za obravnavo in ki se vključi pozneje, in sicer ponudniku navedenega vtičnika. Vendar se privolitev, ki jo je treba dati upravljavcu spletnega mesta, nanaša samo na postopek ali niz postopkov obdelave osebnih podatkov, za katere ta upravljavec spletnega mesta dejansko določi namene in sredstva.

103

Enako velja za obveznost zagotovitve informacij iz člena 10 Direktive 95/46.

104

V zvezi s tem iz besedila te določbe izhaja, da mora upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki zbirajo, vsaj informacije iz navedene določbe. Očitno je torej, da mora upravljavec te informacije posredovati takoj, in sicer ob zbiranju podatkov (glej v tem smislu sodbi z dne 7. maja 2009, Rijkeboer, C‑553/07, EU:C:2009:293, točka 68, in z dne 7. novembra 2013, IPI, C‑473/12, EU:C:2013:715, točka 23).

105

Iz tega sledi, da v položaju, kot je ta iz postopka v glavni stvari, za upravljavca spletnega mesta prav tako velja obveznost obveščanja, določena v členu 10 Direktive 95/46, pri tem pa mora zadnjenavedeni posameznika, na katerega se osebni podatki nanašajo, obvestiti le o postopku ali nizu postopkov obdelave osebnih podatkov, za katere ta upravljavec spletnega mesta dejansko določi namene in sredstva.

106

Glede na zgornje ugotovitve je treba na peto in šesto vprašanje odgovoriti, da je treba člena 2(h) in 7(a) Direktive 95/46 razlagati tako, da mora v položaju, kot je ta iz postopka v glavni stvari, v katerem upravljavec spletnega mesta na navedeno spletno mesto vstavi socialni vtičnik, ki brskalniku obiskovalca tega mesta omogoča, da zahteva vsebine ponudnika navedenega vtičnika in da temu ponudniku v ta namen posreduje osebne podatke obiskovalca, ta upravljavec spletnega mesta privolitev iz teh določb pridobiti samo v zvezi s postopkom ali nizom postopkov obdelave osebnih podatkov, za katere navedeni upravljavec spletnega mesta določi namene in sredstva. Poleg tega je treba člen 10 te direktive razlagati tako, da v takem primeru za navedenega upravljavca spletnega mesta prav tako velja obveznost zagotavljanja informacij, določena v tej določbi, pri tem pa mora zadnjenavedeni posameznika, na katerega se nanašajo osebni podatki, obvestiti le o postopku ali nizu postopkov obdelave osebnih podatkov, za katere določi namene in sredstva.

107

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (drugi senat) razsodilo: