Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62016CJ0210

Sodba Sodišča (veliki senat) z dne 5. junija 2018.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein proti Wirtschaftsakademie Schleswig-Holstein GmbH.
Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesverwaltungsgericht.
Predhodno odločanje – Direktiva 95/46/ES – Osebni podatki – Varstvo posameznikov pri obdelavi teh podatkov – Odredba o izklopu strani Facebooka (stran oboževalcev), ki omogoča zbiranje in obdelavo nekaterih podatkov, povezanih z obiskovalci te strani – Člen 2(d) – Upravljavec osebnih podatkov – Člen 4 – Nacionalno pravo, ki se uporabi – Člen 28 – Nacionalni nadzorni organi – Pooblastila teh organov za posredovanje.
Zadeva C-210/16.

Court reports – general

ECLI identifier: ECLI:EU:C:2018:388

SODBA SODIŠČA (veliki senat)

z dne 5. junija 2018 ( *1 )

„Predhodno odločanje – Direktiva 95/46/ES – Osebni podatki – Varstvo posameznikov pri obdelavi teh podatkov – Odredba o izklopu strani Facebooka (stran oboževalcev), ki omogoča zbiranje in obdelavo nekaterih podatkov, povezanih z obiskovalci te strani – Člen 2(d) – Upravljavec osebnih podatkov – Člen 4 – Nacionalno pravo, ki se uporabi – Člen 28 – Nacionalni nadzorni organi – Pooblastila teh organov za posredovanje“

V zadevi C‑210/16,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Bundesverwaltungsgericht (zvezno upravno sodišče, Nemčija) z odločbo z dne 25. februarja 2016, ki je na Sodišče prispela 14. aprila 2016, v postopku

Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein

proti

Wirtschaftsakademie Schleswig‑Holstein GmbH,

ob udeležbi

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

SODIŠČE (veliki senat),

v sestavi K. Lenaerts, predsednik, A. Tizzano (poročevalec), podpredsednik, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský in E. Levits, predsedniki senatov, E. Juhász, A. Borg Barthet, F. Biltgen, sodniki, K. Jürimäe, sodnica, C. Lycourgos, M. Vilaras in E. Regan, sodniki,

generalni pravobranilec: Y. Bot,

sodna tajnica: C. Strömholm, administratorka,

na podlagi pisnega postopka in obravnave z dne 27. junija 2017,

ob upoštevanju stališč, ki so jih predložili:

za Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein U. Karpenstein in M. Kottmann, odvetnika,

za Wirtschaftsakademie Schleswig‑Holstein GmbH C. Wolff, odvetnik,

za Facebook Ireland Ltd C. Eggers, H.‑G. Kamann, M. Braun in I. Perego, odvetniki,

za nemško vlado J. Möller, agent,

za belgijsko vlado L. Van den Broeck, C. Pochet, P. Cottin in J.‑C. Halleux, agenti,

za češko vlado M. Smolek, J. Vláčil in L. Březinová, agenti,

za Irsko M. Browne, L. Williams, E. Creedon, G. Gilmore in A. Joyce, agenti,

za italijansko vlado G. Palmieri, agentka, skupaj s P. Gentilijem, avvocato dello Stato,

za nizozemsko vlado C. S. Schillemans in M. K. Bulterman, agentki,

za finsko vlado J. Heliskoski, agent,

za Evropsko komisijo H. Krämer in D. Nardi, agenta,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 24. oktobra 2017

izreka naslednjo

Sodbo

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

2

Ta predlog je bil vložen v okviru spora med Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (neodvisni organ dežele Schleswig‑Holstein za varstvo podatkov, Nemčija) (v nadaljevanju: ULD) in Wirtschaftsakademie Schleswig‑Holstein GmbH, ki je družba zasebnega prava, specializirana na področju izobraževanja (v nadaljevanju: Wirtschaftsakademie) v zvezi z zakonitostjo odredbe, ki jo je ULD izdal tej družbi, naj izklopi svojo stran oboževalcev, ki gostuje na spletnem mestu družabnega omrežja Facebook (v nadaljevanju: Facebook).

Pravni okvir

Pravo Unije

3

V uvodnih izjavah 10, 18, 19 in 26 Direktive 95/46 je navedeno:

„(10)

ker je namen nacionalne zakonodaje o obdelavi osebnih podatkov varovati temeljne pravice in svoboščine, predvsem pravico do zasebnosti, ki jo priznava člen 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin, pa tudi splošna načela zakonodaje [Unije]; ker zato približevanje teh zakonodaj ne sme povzročiti zmanjšanja varstva, ki ga zagotavljajo, ampak mora imeti za cilj zagotovitev visoke ravni varstva v [Uniji];

[…]

(18)

ker se mora vsaka obdelava osebnih podatkov v[Uniji] izvajati v skladu z zakonodajo ene izmed držav članic, zaradi zagotovitve, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te direktive; ker bi v tej zvezi obdelavo, ki se izvaja pod odgovornostjo upravljavca, ustanovljenega v določeni državi članici, morala urejati zakonodaja te države;

(19)

ker ustanovitev [poslovna enota] na ozemlju države članice pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih režimov [obratov]; ker pravna oblika take ustanovitve [poslovne enote], bodisi da je preprosto izpostava [podružnica] bodisi podružnica [hčerinska družba], ki je pravna oseba, v tem pogledu ni odločilen dejavnik; ker, kadar je ustanovljen en sam upravljavec na ozemlju več držav članic predvsem prek podružnic [hčerinskih družb], mora zato da bi preprečil vsakršno izogibanje nacionalnim predpisom, zagotoviti, da vsaka izmed ustanovitev [poslovnih enot] izpolnjuje obveznosti, ki jih nalaga nacionalna zakonodaja na področju njenih dejavnosti;

[…]

(26)

ker se morajo načela varstva uporabljati za vse informacije v zvezi z določeno ali določljivo osebo; ker bi bilo treba za odločitev o tem, ali je oseba določljiva ali ne, upoštevati vsa sredstva, za katera se [razumno] pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe; ker se načela varstva ne uporabljajo za podatke, ki so spremenjeni v anonimne tako, da posameznik, na katerega se osebni podatki nanašajo, ni več določljiv; […]“.

4

Člen 1 Direktive 95/46, naslovljen „Namen direktive“, določa:

„1.   „V skladu s to direktivo države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.

2.   Države članice ne omejujejo niti ne prepovedujejo prostega prenosa osebnih podatkov med državami članicami zaradi razlogov, povezanih z varstvom, ki je zagotovljeno na podlagi odstavka 1.“

5

Člen 2 te direktive, naslovljen „Opredelitev pojmov“, določa:

„V tej direktivi:

[…]

(b)

‚obdelava osebnih podatkov‘ (‚obdelava‘) pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki z avtomatskimi sredstvi ali brez njih, kakršno je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje;

[…]

(d)

‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa nacionalna zakonodaja ali zakonodaja [Unije], lahko upravljavca ali posebna merila za njegovo imenovanje določi nacionalna zakonodaja ali zakonodaja [Unije];

(e)

‚obdelovalec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki obdeluje osebne podatke v imenu [za] upravljavca;

(f)

‚tretja stranka‘ pomeni katero koli fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni posameznik, na katerega se osebni podatki nanašajo, upravljavec, obdelovalec in oseba, ki je pod neposredno oblastjo upravljavca ali obdelovalca pooblaščena za obdelavo podatkov;

[…]“

6

Člen 4 navedene direktive, naslovljen „Uporaba nacionalne zakonodaje“, v odstavku 1 določa:

„Vsaka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme v skladu s to direktivo, kadar:

(a)

se obdelava izvaja v okviru dejavnosti ustanovitve [poslovne enote] upravljavca na ozemlju države članice; kadar je isti upravljavec ustanovljen [ima isti upravljavec poslovne enote] na ozemlju več držav članic, mora sprejeti potrebne ukrepe za zagotovitev, da vsaka od teh ustanovitev [poslovnih enot] izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo;

(b)

upravljavec ni ustanovljen na ozemlju države članice, ampak v kraju, kjer se njegova nacionalna zakonodaja uporablja na podlagi mednarodnega javnega prava;

(c)

upravljavec ni ustanovljen na ozemlju [Unije] in za obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja na ozemlju te države članice, razen če se taka oprema uporablja samo za prehod prek [Unije].“

7

Člen 17 Direktive 95/46, naslovljen „Varnost obdelave“, v odstavkih 1 in 2 določa:

„1.   Države članice določijo, da mora upravljavec izvajati ustrezne tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov pred slučajnim ali nezakonitim uničenjem ali slučajno izgubo, predelavo, nepooblaščenim posredovanjem ali dostopom, predvsem kadar obdelava vključuje prenos podatkov po omrežju, ter proti vsem drugim nezakonitim oblikam obdelave.

Taki ukrepi ob upoštevanju stanja tehnologije in stroškov za njihovo izvajanje zagotavljajo raven zaščite, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je potrebno varovati.

2.   Države članice določijo, da mora upravljavec, kadar se obdelava izvaja v njegovem imenu, izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti, ter mora zagotoviti skladnost s temi ukrepi.“

8

Člen 24 te direktive, naslovljen „Sankcije“, določa:

„Države članice sprejmejo ustrezne ukrepe za zagotovitev popolne izvedbe določb te direktive in predvsem določijo sankcije, ki se naložijo ob kršitvi določb, sprejetih v skladu s to direktivo.“

9

Člen 28 navedene direktive, naslovljen „Nadzorni organ“ določa:

„1.   Vsaka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo.

Ti organi pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma samostojno [neodvisno].

2.   Vsaka država članica zagotovi, da se ob pripravi zakonodajnih in upravnih aktov, ki se nanašajo na varstvo posameznikovih pravic in svoboščin pri obdelavi osebnih podatkov, posvetuje z nadzornimi organi.

3.   Vsakemu organu se podeli predvsem:

preiskovalna pooblastila, kakršna so pooblastila za dostop do podatkov, ki sestavljajo vsebino postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog,

učinkovita pooblastila za posredovanje, kakšna so npr. dajanje mnenj pred izvajanjem postopkov obdelave v skladu s členom 20 in zagotavljanje ustrezne objave takih mnenj, odrejanje blokiranja, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca ali napotitev zadeve v nacionalne parlamente ali druge politične institucije,

pooblastila za sodelovanje v sodnih postopkih, kadar so kršene nacionalne določbe, sprejete v skladu s to direktivo, ali za seznanitev sodnih organov s temi kršitvami.

Zoper odločitve nadzornega organa je zagotovljeno sodno pravno sredstvo.

[…]

6.   Vsak nadzorni organ je pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo. Od vsakega nadzornega organa je mogoče zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice.

Nadzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij.

[…]“

Nemško pravo

10

Člen 3(7) Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov) v različici, ki se uporablja za dejansko stanje v postopku v glavni stvari (v nadaljevanju: BDSG), določa:

„Odgovorni organ pomeni vsako osebo ali organ, ki zase zbira, obdeluje ali uporablja osebne podatke ali to počne po naročilu prek tretje osebe“.

11

Člen 11 BDSG, naslovljen „Zbiranje, obdelava ali uporaba osebnih podatkov po naročilu prek tretje osebe“, določa:

„1.   Če se osebni podatki zbirajo, obdelujejo ali uporabljajo po naročilu prek drugih organov, je naročnik odgovoren za spoštovanje določb tega zakona in drugih predpisov v zvezi z varstvom podatkov. […]

2.   Izvajalec mora biti skrbno izbran zlasti ob upoštevanju ustreznosti tehničnih in organizacijskih ukrepov, ki jih je zagotovil. Naročilo mora biti v pisni obliki, pri čemer je treba natančneje določiti zlasti: […]

Naročitelj se mora pred začetkom obdelave podatkov in nato redno prepričati, da se tehnični in organizacijski ukrepi, ki jih je zagotovil izvajalec, izvajajo. Rezultat je treba dokumentirati.

[…]“

12

Člen 38(5) BDSG določa:

„Nadzorni organ lahko za zagotovitev spoštovanja tega zakona in drugih predpisov v zvezi z varstvom podatkov odredi ukrepe za odpravo ugotovljenih kršitev pri zbiranju, obdelavi ali uporabi osebnih podatkov oziroma tehničnih ali organizacijskih pomanjkljivosti. V primeru resnih kršitev ali pomanjkljivosti, zlasti takih, ki so povezane s posebno ogroženostjo pravice do zasebnosti, lahko prepove zbiranje, obdelavo ali uporabo oziroma uporabo posameznih postopkov, če se kršitve ali pomanjkljivosti v nasprotju z odredbo iz prvega stavka in kljub naloženi globi v ustreznem roku ne odpravijo. Lahko zahteva odpoklic osebe, ki je odgovorna za varstvo osebnih podatkov, če ta nima strokovnosti in zanesljivosti, ki sta potrebni za izpolnitev njenih nalog.“

13

Člen 12 Telemediengesetz (zakon o elektronskih medijih) z dne 26. februarja 2007 (BGBl. 2007 I, str. 179, v nadaljevanju: TMG) določa:

„1.   Ponudnik storitev lahko osebne podatke zbere in uporabi za zagotavljanje elektronskih medijev samo, če ta zakon ali drugi predpis, ki se izrecno nanaša na elektronske medije, to dopušča, ali če je uporabnik v to privolil.

[…]

3.   Če ni določeno drugače, se uporabljajo veljavni predpisi o varstvu osebnih podatkov, tudi če ne gre za avtomatizirano obdelavo podatkov.“

Spor o glavni stvari in vprašanja za predhodno odločanje

14

Družba Wirtschaftsakademie prek strani oboževalcev, ki gostuje na družabnem omrežju Facebook, ponuja storitve izobraževanja.

15

Strani oboževalcev so uporabniški računi, ki jih lahko na Facebooku konfigurirajo posamezniki ali podjetja. Avtor strani oboževalcev lahko v ta namen, potem ko se registrira na Facebooku, uporablja platformo, ki jo vzdržuje Facebook, da se predstavlja uporabnikom tega družabnega omrežja in osebam, ki obiščejo stran oboževalcev, ter da na trgu medijev in mnenj objavlja raznovrstna obvestila. Skrbniki strani oboževalcev lahko s funkcijo, ki se imenuje Facebook Insight in ki jim jo pod nespremenljivimi pogoji uporabe brezplačno zagotavlja Facebook, pridobijo anonimne statistične podatke o obiskovalcih teh strani. Ti podatki se zbirajo s pomnilnimi datotekami (v nadaljevanju: piškotki), od katerih vsaka vsebuje edinstveno kodo uporabnika, ki so aktivne dve leti in ki jih Facebook shrani na trdi disk računalnika ali na kateri koli drugi nosilec podatkov obiskovalcev strani oboževalcev. Koda uporabnika, ki jo je mogoče povezati s podatki o povezavi uporabnikov, registriranih na Facebooku, se zbere in obdela ob odprtju strani oboževalcev. V zvezi s tem je iz predložitvene odločbe razvidno, da vsaj v obdobju, ki je upoštevno v postopku v glavni stvari, družbi Wirtschaftsakademie in Facebook Ireland Ltd nista opozorili na postopek shranjevanja in delovanja tega piškotka oziroma naknadne obdelave podatkov.

16

ULD je kot nadzorni organ v smislu člena 28 Direktive 95/46, ki je na ozemlju zvezne dežele Schleswig‑Holstein (Nemčija) odgovoren za spremljanje uporabe predpisov, ki jih je Zvezna Republika Nemčija sprejela v skladu s to direktivo, z odločbo z dne 3. novembra 2011 (v nadaljevanju: izpodbijana odločba) družbi Wirtschaftsakademie v skladu s členom 38(5), prvi stavek, BDSG odredil, naj izklopi stran oboževalcev, ki jo je na Facebooku ustvarila na naslovu www.facebook.com/wirtschaftsakademie, ker družbi Wirtschaftsakademie in Facebook obiskovalcev strani oboževalcev nista obvestili o tem, da je drugonavedena družba s piškotki zbirala osebne podatke v zvezi z njimi, in da sta ti družbi nato te podatke obdelovali ter jo opozoril, da ji bo naložena globa, če tega ne bo storila v predpisanem roku. Družba Wirtschaftsakademie je zoper to odločbo vložila pritožbo, v kateri je v bistvu trdila, da glede na pravo, ki se uporabi v zvezi z varstvom podatkov, ni odgovorna niti za obdelavo podatkov, ki jo izvaja Facebook, niti za piškotke, ki jih ta namešča.

17

ULD je z odločbo z dne 16. decembra 2011 to pritožbo zavrnil, ker je menil, da je odgovornost družbe Wirtschaftsakademie kot ponudnice storitev podana na podlagi členov 3(3), točka 4, in 12(1) TMG v povezavi s členom 3(7) BDSG. ULD je navedla, da je družba Wirtschaftsakademie s tem, da je ustvarila stran oboževalcev, dejavno in prostovoljno prispevala k temu, da je družba Facebook zbirala osebne podatke obiskovalcev te strani oboževalcev, pri čemer gre za podatke, od katerih je imela koristi zaradi statistik, ki ji jih je dala na voljo drugonavedena družba.

18

Družba Wirtschaftsakademie je pri Verwaltungsgericht (upravno sodišče, Nemčija) zoper to odločbo vložila tožbo, v kateri je trdila, da ji ni mogoče pripisati odgovornosti za obdelavo osebnih podatkov, ki jo je izvajala družba Facebook, in da družbi Facebook tudi ni naročila, naj v smislu člena 11 BDSG izvaja obdelavo podatkov, nad katero bi imela nadzor ali na katero bi lahko vplivala. Družba Wirtschaftsakademie je iz tega sklepala, da bi moral ULD ukrepati neposredno proti družbi Facebook, ne pa sprejeti izpodbijane odločbe proti njej.

19

Verwaltungsgericht (upravno sodišče) je s sodbo z dne 9. oktobra 2013 izpodbijano odločbo razglasilo za nično, ker je v bistvu presodilo, da družba Wirtschaftsakademie ni mogla biti naslovnik odredbe, sprejete na podlagi člena 38(5) BDSG, ker skrbnik strani oboževalcev na Facebooku ni odgovorni organ v smislu člena 3(7) BDSG.

20

Oberverwaltungsgericht (višje upravno sodišče, Nemčija) je pritožbo, ki jo je ULD vložil zoper to sodbo, zavrnilo kot neutemeljeno. To sodišče je v bistvu ugotovilo, da prepoved obdelave podatkov iz izpodbijane odločbe ni bila zakonita, ker člen 38(5), drugi stavek, BDSG določa postopek v stopnjah, v katerem se lahko v prvi fazi sprejmejo samo ukrepi za odpravo kršitev, ugotovljenih pri obdelavi podatkov. Takojšnja prepoved obdelave podatkov naj bi bila mogoča le, če postopek obdelave podatkov v celoti ni zakonit in če je to nezakonitost mogoče odpraviti samo z ustavitvijo tega postopka obdelave. Oberverwaltungsgericht (višje upravno sodišče) pa meni, da v tej zadevi ni bilo tako, ker bi Facebook lahko odpravil kršitve, ki jih je zatrjeval ULD.

21

Oberverwaltungsgericht (višje upravno sodišče) je dodalo, da izpodbijana odločba ni bila zakonita tudi zato, ker bi bilo mogoče odredbo na podlagi člena 38(5) BDSG izdati samo proti odgovornemu organu v smislu člena 3(7) BDSG, kar naj glede podatkov, ki jih je zbrala družba Facebook, ne bi bila družba Wirtschaftsakademie. Le družba Facebook naj bi namreč odločala o namenu in sredstvih v zvezi z zbiranjem in obdelavo osebnih podatkov, uporabljenih v okviru funkcije Facebook Insight, družba Wirtschaftsakademie pa naj bi prejela le anonimizirane statistične podatke.

22

ULD je pri Bundesverwaltungsgericht (zvezno upravno sodišče, Nemčija) vložil revizijo, v kateri med drugim zatrjuje kršitev člena 38(5) BDSG in več postopkovnih napak, ki naj bi bile storjene v zvezi z odločbo pritožbenega sodišča. Meni, da je kršitev, ki jo je storila družba Wirtschaftsakademie, povezana s tem, da je za skrb za vzpostavitev, gostovanje in vzdrževanje spletnega mesta pooblastila ponudnika, ki ni primeren, saj ne upošteva prava, ki se uporablja za varstvo podatkov, in sicer v obravnavani zadevi družbo Facebook Ireland. Tako naj bi bil namen odredbe, ki je bila izdana družbi Wirtschaftsakademie, naj izklopi svojo stran oboževalcev, odprava te kršitve, saj naj bi ji bila z njo prepovedana nadaljnja uporaba infrastrukture Facebooka kot tehnične podlage njenega spletnega mesta.

23

Kot Oberverwaltungsgericht (višje upravno sodišče) tudi Bundesverwaltungsgericht (zvezno upravno sodišče) meni, da družbe Wirtschaftsakademie ni mogoče šteti za odgovorno za obdelavo podatkov v smislu člena 3(7) BDSG oziroma člena 2(d) Direktive 95/46. Drugonavedeno sodišče kljub temu meni, da je treba v interesu učinkovitega varstva pravice do zasebnosti ta pojem načeloma razlagati široko, kot naj bi to Sodišče priznalo v nedavni sodni praksi. Poleg tega izraža dvom o pooblastilih, ki jih ima v obravnavanem primeru ULD v razmerju do družbe Facebook Germany, glede na to, da je na ravni Unije za zbiranje in obdelavo osebnih podatkov znotraj skupine Facebook odgovorna družba Facebook Ireland. Nazadnje se predložitveno sodišče sprašuje o tem, kakšen pomen ima – za izvajanje pooblastil za posredovanje, ki jih ima ULD – presoja nadzornega organa, ki je pristojen za družbo Facebook Ireland, glede zakonitosti zadevne obdelave osebnih podatkov.

24

V teh okoliščinah je Bundesverwaltungsgericht (zvezno upravno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.

Ali je treba člen 2(d) Direktive [95/46] razlagati tako, da dokončno in izčrpno ureja odgovornost za kršitve varstva podatkov ali lahko v okviru ‚ustreznih ukrepov‘ na podlagi člena 24 [te direktive] in ‚učinkovitih pooblastil za posredovanje‘ na podlagi člena 28(3), druga alinea, [te direktive] v večstopenjskih razmerjih med ponudniki informacij za izbiro vzdrževalca platforme, na kateri se ponujajo informacije, odgovarja tudi organ, ki ni upravljavec podatkov v smislu člena 2(d) [navedene direktive]?

2.

Ali iz obveznosti držav članic na podlagi člena 17(2) Direktive [95/46], da določijo, da mora upravljavec, kadar se obdelava podatkov izvaja v njegovem imenu, ‚izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti‘, na podlagi obratnega sklepanja izhaja, da pri drugih uporabniških razmerjih, ki niso povezana z obdelavo podatkov prek obdelovalca v smislu člena 2(e) [te direktive], ni podana obveznost skrbne izbire in taka obveznost tudi nima podlage v nacionalnem pravu?

3.

Ali ima v primerih, v katerih ima matična družba s sedežem zunaj Unije pravno samostojne poslovne enote (hčerinske družbe) v različnih državah članicah, nadzorni organ države članice (v obravnavanem primeru Nemčije) na podlagi členov 4 in 28(6) Direktive 95/46 pravico izvajati pooblastila, ki so mu bila podeljena v skladu s členom 28(3) [te direktive], proti poslovni enoti na ozemlju lastne države članice tudi, če je ta poslovna enota zadolžena samo za pospeševanje prodaje oglasnega prostora in druge ukrepe trženja, katerih ciljna skupina so prebivalci te države članice, medtem ko je samostojna poslovna enota (hčerinska družba) v drugi državi članici (v obravnavanem primeru na Irskem) na podlagi notranje delitve nalog v skupini izključno odgovorna za zbiranje in obdelavo osebnih podatkov v vsej Uniji in tako tudi v drugi državi članici (v obravnavanem primeru Nemčiji), če odločitev o obdelavi podatkov dejansko sprejme matična družba?

4.

Ali je treba člena 4(1)(a) in 28(3) Direktive 95/46 razlagati tako, da lahko v primerih, v katerih ima upravljavec poslovno enoto na ozemlju države članice (v obravnavanem primeru na Irskem) in še pravno samostojno poslovno enoto na ozemlju druge države članice (v obravnavanem primeru Nemčije), ki je med drugim zadolžena za prodajo oglasnega prostora in katere dejavnost je namenjena prebivalcem te države, pristojni nadzorni organ v tej drugi državi članici (v obravnavanem primeru v Nemčiji) naslovi ukrepe in odredbe za uveljavljanje zakonodaje o varstvu podatkov tudi zoper drugo poslovno enoto (v obravnavanem primeru v Nemčiji), ki na podlagi notranje delitve nalog in odgovornosti v koncernu ni odgovorna za obdelavo podatkov, ali lahko ukrepe in odredbe v takem primeru sprejema samo nadzorni organ države članice (v obravnavanem primeru Irske), na katere ozemlju ima svoj sedež poslovna enota, ki je v koncernu odgovorna za obdelavo podatkov?

5.

Ali je treba člena 4(1)(a) in 28(3) in (6) Direktive 95/46 razlagati tako, da mora v primerih, v katerih nadzorni organ države članice (v obravnavanem primeru Nemčije) na podlagi člena 28(3) [te direktive] ukrepa proti osebi ali organu, ki sta dejavna na njegovem ozemlju, zaradi neskrbne izbire tretje osebe, ki je vključena v proces obdelave podatkov (v obravnavanem primeru Facebook), ker naj bi ta tretja oseba kršila zakonodajo o varstvu podatkov, nadzorni organ (v obravnavanem primeru Nemčije), ki ukrepa, upoštevati presojo glede prava, ki se uporabi za varstvo podatkov, ki jo opravi nadzorni organ druge države članice, v kateri ima tretja oseba, ki je odgovorna za obdelavo podatkov, sedež (v obravnavanem primeru na Irskem), tako da njegova pravna presoja ne sme biti drugačna, ali pa lahko nadzorni organ (v obravnavanem primeru Nemčije), ki ukrepa, v obliki predhodnega vprašanja v okviru svojega ukrepanja samostojno preizkusi zakonitost obdelave podatkov, ki jo izvaja tretja oseba s sedežem v drugi državi članici (v obravnavanem primeru na Irskem)?

6.

Če ima nadzorni organ (v obravnavanem primeru Nemčije), ki ukrepa, pravico do samostojnega preverjanja: ali je treba člen 28(6), drugi stavek, Direktive [95/46] razlagati tako, da lahko ta nadzorni organ izvaja učinkovita pooblastila za posredovanje, ki so mu podeljena na podlagi člena 28(3) [te direktive], zoper osebo s prebivališčem ali organ s sedežem na ozemlju te države članice zaradi soodgovornosti za kršitve varstva podatkov, ki jih je storila tretja oseba s sedežem v drugi državi članici, samo in šele, če je pred tem pozval nadzorni organ te druge države članice (v obravnavanem primeru Irske), naj izvaja svoja pooblastila?“

Vprašanja za predhodno odločanje

Prvo in drugo vprašanje

25

Predložitveno sodišče želi s prvim in drugim vprašanjem, ki ju je treba obravnavati skupaj, v bistvu izvedeti, ali je treba člen 2(d), člen 17(2), člen 24 in člen 28(3), druga alinea, Direktive 95/46 razlagati tako, da omogočajo, da se v primeru kršitve pravil o varstvu osebnih podatkov zaradi izbire, da se za posredovanje ponudbe informacij uporabi družabno omrežje, ugotovi odgovornost organa kot skrbnika strani oboževalcev, ki gostuje na družabnem omrežju.

26

Za odgovor na ti vprašanji je treba opozoriti, da je namen Direktive 95/46, kot je razvidno iz njenega člena 1(1) in njene uvodne izjave 10, zagotoviti visoko stopnjo varstva temeljnih pravic in svoboščin fizičnih oseb in predvsem pravice do zasebnosti pri obdelavi osebnih podatkov (sodba z dne 11. decembra 2014, Ryneš, C‑212/13, EU:C:2014:2428, točka 27 in navedena sodna praksa).

27

V skladu s tem ciljem člen 2(d) te direktive pojem „upravljavec“ opredeljuje široko, tako da pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.

28

Kot je Sodišče že presodilo, je namreč cilj te določbe, da se s široko opredelitvijo pojma „upravljavec“ zagotovi učinkovito in popolno varstvo zadevnih oseb (sodba z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 34).

29

Poleg tega, ker pojem „upravljavec“ pomeni organ, ki „sam ali skupaj z drugimi“ določa namene in sredstva obdelave osebnih podatkov, kot je to izrecno določeno v členu 2(d) Direktive 95/46, ta določba ne napotuje nujno na enotni organ in se lahko nanaša na več akterjev, udeleženih pri tej obdelavi, pri čemer torej za vsakega od njih veljajo predpisi, ki se uporabijo na področju varstva podatkov.

30

V obravnavanem primeru je treba šteti, da zlasti družba Facebook Inc. in, kar zadeva Unijo, družba Facebook Ireland določata namene in sredstva obdelave osebnih podatkov uporabnikov Facebooka in oseb, ki so obiskale strani oboževalcev, ki gostujejo na Facebooku, in da sta s tem zajeti s pojmom „upravljavec“ v smislu člena 2(d) Direktive 95/46, kar v tej zadevi ni sporno.

31

Glede na to in da bi bilo mogoče odgovoriti na postavljena vprašanja, je treba preučiti, ali in v kolikšni meri skrbnik strani oboževalcev, ki gostuje na Facebooku, kot je družba Wirtschaftsakademie, v okviru te strani oboževalcev skupaj z družbama Facebook Ireland in Facebook Inc. prispeva k določitvi namenov in sredstev obdelave osebnih podatkov obiskovalcev navedene strani oboževalcev, in ali je torej tudi njega mogoče šteti za „upravljavca“ v smislu člena 2(d) Direktive 95/46.

32

V zvezi s tem se zdi, da vsaka oseba, ki želi na Facebooku ustvariti stran oboževalcev, z družbo Facebook Ireland sklene posebno pogodbo o odprtju take strani, in v ta namen sprejme pogoje uporabe te strani, vključno s politiko glede piškotkov v delu, ki se nanaša na to uporabo, kar pa mora preveriti nacionalno sodišče.

33

Kot je razvidno iz spisa, ki je bil predložen Sodišču, se obdelava podatkov iz postopka v glavni stvari v bistvu opravi tako, da Facebook na računalnik ali drugo napravo osebe, ki je obiskala stran oboževalcev, namesti piškotke, katerih namen je hramba podatkov o spletnih brskalnikih in ki ostanejo aktivni dve leti, če se jih ne zbriše. Iz njega je razvidno tudi, da v praksi Facebook podatke, shranjene v piškotkih, prejme, shrani in obdela, zlasti kadar oseba obišče „storitve Facebooka, storitve, ki jih ponujajo druge družbe iz skupine Facebook, in storitve, ki jih ponujajo druga podjetja, ki uporabljajo storitve Facebooka“. Poleg tega drugi subjekti, kot so partnerji skupine Facebook ali celo tretje osebe „lahko pri storitvah Facebooka uporabijo piškotke za [ponujanje storitev neposredno temu družabnemu omrežju] oziroma podjetjem, ki oglašujejo na Facebooku“.

34

Namen teh obdelav osebnih podatkov je zlasti, da se na eni strani omogoči Facebooku, da izboljša svoj sistem oglasov, ki jih posreduje prek svojega omrežja, in na drugi strani skrbniku strani oboževalcev, da prejme statistike, ki jih skupina Facebook sestavi iz obiskov te strani, zaradi usmerjanja pospeševanja svoje dejavnosti, kar mu omogoča, da se seznani na primer s profilom obiskovalcev, ki jim ugaja njegova stran oboževalcev, da jim lahko ponudi ustreznejšo vsebino in razvije funkcije, ki bi jih lahko dodatno zanimale.

35

Čeprav zgolj zaradi uporabe družabnega omrežja, kot je Facebook, uporabnik Facebooka ne postane soodgovoren za obdelavo osebnih podatkov, ki jo opravi to omrežje, pa je treba poudariti, da skrbnik strani oboževalcev, ki gostuje na Facebooku, s tem, da ustvari tako stran, Facebooku omogoči, da namesti piškotke na računalnik ali katero koli drugo napravo osebe, ki je obiskala njegovo stran oboževalcev, ne glede na to, ali ima ta oseba račun na Facebooku.

36

V tem okviru je iz navedb, ki so bile predložene Sodišču, razvidno, da to, da se na Facebooku ustvari stran oboževalcev, zajema, da njen skrbnik izbere nastavitve med drugim glede na svojo ciljno javnost in cilje upravljanja oziroma pospeševanja svojih dejavnosti, kar vpliva na obdelavo osebnih podatkov za pripravo statistik, sestavljenih glede na obiske strani obiskovalcev. Ta skrbnik lahko s filtri, ki mu jih da na voljo Facebook, opredeli merila, glede na katera naj se sestavijo te statistike, in celo določi kategorije oseb, katerih osebne podatke bo analiziral Facebook. Skrbnik strani oboževalcev, ki gostuje na Facebooku zato prispeva k obdelavi osebnih podatkov obiskovalcev njegove strani.

37

Natančneje, skrbnik strani oboževalcev lahko zahteva, da prejme – in s tem, da se obdelajo – demografske podatke o svoji ciljni javnosti, zlasti trende glede starosti, spola, ljubezenskega razmerja in poklica, informacije o življenjskem slogu in središčih interesov svoje ciljne javnosti ter informacije o spletnih nakupih in vedenju obiskovalcev njegove strani pri spletnem nakupovanju in o kategorijah izdelkov ali storitev, ki jih najbolj zanimajo, ter geografske podatke, ki skrbniku strani oboževalcev omogočajo, da ve, kje izvesti posebne promocije ali organizirati dogodke, ter splošneje, da čim bolj ciljno naravna svojo ponudbo informacij.

38

Čeprav se sicer statistike o javnosti, ki jih sestavi Facebook, skrbniku strani oboževalcev posredujejo izključno v anonimizirani obliki, pa je dejstvo, da sestava teh statistik temelji na osebnih podatkih oseb, ki so obiskale to stran oboževalcev, ki so bili predhodno zbrani s piškotki, ki jih je Facebook namestil na računalnik teh obiskovalcev ali katero koli drugo njihovo napravo, in obdelani za take statistične namene. Direktiva 95/46 nikakor ne zahteva, da bi moral ob solidarni odgovornosti več subjektov za isto obdelavo vsak od teh subjektov imeti dostop do zadevnih osebnih podatkov.

39

V teh okoliščinah je treba ugotoviti, da skrbnik strani oboževalcev, ki gostuje na Facebooku, kot je družba Wirtschaftsakademie, z izbiro nastavitev med drugim glede na svojo ciljno javnost in cilje upravljanja oziroma pospeševanja svojih dejavnosti sodeluje pri določanju namena in sredstev obdelave osebnih podatkov obiskovalcev njegove strani oboževalcev. Za tega skrbnika je treba zato v obravnavanem primeru šteti, da je v Uniji solidarno z družbo Facebook Ireland odgovoren za to obdelavo v smislu člena 2(d) Direktive 95/46.

40

Skrbnik strani oboževalcev namreč zaradi tega, ker uporablja platformo, ki je vzpostavljena s Facebookom, zaradi koriščenja z njo povezanih storitev, ne more biti oproščen spoštovanja svojih obveznosti glede varstva osebnih podatkov.

41

Poleg tega je treba poudariti, da lahko strani oboževalcev, ki gostujejo na Facebooku, obiščejo tudi osebe, ki niso uporabnice Facebooka in ki torej na tem družabnem omrežju nimajo uporabniškega računa. V teh primerih je odgovornost skrbnika strani oboževalcev glede obdelave osebnih podatkov teh oseb še pomembnejša, ker zgolj to, da obiskovalci odprejo stran oboževalcev, samodejno sproži obdelavo njihovih osebnih podatkov.

42

V teh okoliščinah solidarna odgovornost upravljavca družabnega omrežja in skrbnika strani oboževalcev, ki gostuje na tem omrežju, v zvezi z obdelavo osebnih podatkov obiskovalcev te strani oboževalcev prispeva k zagotavljanju popolnejšega varstva pravic, ki jih imajo osebe, ki obiščejo stran obiskovalcev, v skladu z zahtevami Direktive 95/46.

43

Kljub temu je treba pojasniti, kot je generalni pravobranilec poudaril v točkah 75 in 76 sklepnih predlogov, da obstoj solidarne odgovornosti ne pomeni nujno enake odgovornosti različnih subjektov, udeleženih pri obdelavi osebnih podatkov. Nasprotno, ti subjekti so lahko udeleženi v različnih fazah te obdelave in v različnih obsegih, tako da je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera.

44

Glede na zgoraj navedeno je treba na prvo in drugo vprašanje odgovoriti, da je treba člen 2(d) Direktive 95/46 razlagati tako, da pojem „upravljavec“ v smislu te določbe zajema skrbnika strani oboževalcev, ki gostuje na družabnem omrežju.

Tretje in četrto vprašanje

45

Predložitveno sodišče želi s tretjim in četrtim vprašanjem, ki ju je treba obravnavati skupaj, v bistvu izvedeti, ali je treba člena 4 in 28 Direktive 95/46 razlagati tako, da lahko nadzorni organ države članice, kadar ima podjetje s sedežem zunaj Unije več poslovnih enot v različnih državah članicah, pooblastila, ki so mu podeljena s členom 28(3) te direktive, izvaja v zvezi s poslovno enoto, ki je na ozemlju te države članice, čeprav je na podlagi delitve nalog v skupini na eni strani ta poslovna enota zadolžena samo za prodajo oglasnega prostora in druge ukrepe trženja na ozemlju navedene države članice, na drugi strani pa je za zbiranje in obdelavo osebnih podatkov za celotno ozemlje Unije izključno odgovorna poslovna enota, ki je v drugi državi članici, ali pa mora ta pooblastila v zvezi z drugonavedeno poslovno enoto izvajati nadzorni organ te druge države članice.

46

ULD in italijanska vlada dvomita o dopustnosti teh vprašanj, ker naj ne bi bili upoštevni za rešitev spora o glavni stvari. Naslovnik izpodbijane odločbe naj bi namreč bila družba Wirtschaftsakademie in naj se torej ne bi nanašala niti na družbo Facebook Inc. niti na njene hčerinske družbe s sedežem na ozemlju Unije.

47

V zvezi s tem je treba opozoriti, da je v okviru sodelovanja med Sodiščem in nacionalnimi sodišči, določenim v členu 267 PDEU, le nacionalno sodišče, ki odloča o sporu in ki mora prevzeti odgovornost za sodno odločitev, tisto, ki ob upoštevanju posebnosti zadeve presodi potrebo po izdaji predhodne odločbe, da bi lahko izdalo sodbo, in tudi upoštevnost vprašanj, ki jih predloži Sodišču. Zato je Sodišče, kadar se predložena vprašanja nanašajo na razlago prava Unije, načeloma dolžno odločiti (sodba z dne 6. septembra 2016, Petruhhin, C‑182/15, EU:C:2016:630, točka 19 in navedena sodna praksa).

48

V obravnavanem primeru je treba poudariti, da predložitveno sodišče trdi, da potrebuje odgovor Sodišča na tretje in četrto vprašanje za predhodno odločanje, da bo lahko odločilo o sporu o glavni stvari. Pojasnjuje namreč, da bi se lahko, če bi bilo glede na ta odgovor ugotovljeno, da bi lahko ULD zatrjevane kršitve prava o varstvu osebnih podatkov odpravil z uvedbo ukrepa proti družbi Facebook Germany, glede na tako okoliščino ugotovilo, da je bila v izpodbijani odločbi storjena napaka pri presoji, ker bi bila ta napačno izdana zoper družbo Wirtschaftsakademie.

49

V teh okoliščinah sta tretje in četrto vprašanje dopustni.

50

Za odgovor na ti vprašanji je treba najprej opozoriti, da v skladu s členom 28(1) in (3) Direktive 95/46 vsak nadzorni organ na ozemlju svoje države članice izvaja vsa pooblastila, ki so mu bila podeljena z nacionalnim pravom, zato da na tem ozemlju zagotovi spoštovanje pravil s področja varstva podatkov (glej v tem smislu sodbo z dne 1. oktobra 2015, Weltimmo, C‑230/14, EU:C:2015:639, točka 51).

51

Katero nacionalno pravo se uporabi za obdelavo osebnih podatkov, je določeno s členom 4 Direktive 95/46. V skladu z odstavkom (1)(a) tega člena vsaka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme v skladu s to direktivo, kadar se obdelava izvaja v okviru dejavnosti poslovne enote upravljavca na ozemlju te države članice. Ta člen natančneje določa, da mora upravljavec, kadar ima poslovne enote na ozemlju več držav članic, sprejeti potrebne ukrepe za zagotovitev, da vsaka od njegovih poslovnih enot izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo.

52

Iz tega člena v povezavi s členom 28(1) in (3) Direktive 95/46 tako izhaja, da lahko nadzorni organ države članice, kadar se v skladu s členom 4(1)(a) te direktive uporabi nacionalno pravo države članice tega organa, ker se zadevna obravnava izvaja v okviru dejavnosti poslovne enote upravljavca na ozemlju te države članice, izvaja vsa pooblastila, ki so mu s tem pravom podeljena v razmerju do te poslovne enote, in sicer neodvisno od tega, ali ima upravljavec poslovne enote tudi v drugih državah članicah.

53

Da bi se ugotovilo, ali lahko nadzorni organ v okoliščinah, kakršne so v postopku v glavni stvari, v razmerju do poslovne enote, ki je na ozemlju države članice tega organa, izvaja pooblastila, ki so mu podeljena z nacionalnim pravom, je treba tako preveriti, ali sta izpolnjena oba pogoja, ki sta določena s členom 4(1)(a) Direktive 95/46, in sicer, ali gre na eni strani za „ustanovitev [poslovno enoto] upravljavca“ v smislu tega člena in ali se na drugi strani navedena obdelava izvaja „v okviru dejavnosti“ te poslovne enote v smislu iste določbe.

54

Kar zadeva, prvič, pogoj, da mora imeti upravljavec osebnih podatkov poslovno enoto na ozemlju države članice zadevnega nadzornega organa, je treba opozoriti, da v skladu z uvodno izjavo 19 Direktive 95/46 poslovna enota na ozemlju države članice pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih obratov in da pravna oblika take poslovne enote, bodisi da je preprosto podružnica bodisi hčerinska družba, ki je pravna oseba, ni odločilen dejavnik (sodba z dne 1. oktobra 2015, Weltimmo, C‑230/14, EU:C:2015:639, točka 28 in navedena sodna praksa).

55

V obravnavanem primeru ni sporno, da ima družba Facebook Inc. kot upravljavec osebnih podatkov skupaj z družbo Facebook Ireland stalno poslovno enoto v Nemčiji, in sicer družbo Facebook Germany s sedežem v Hamburgu, in da ta družba dejansko in učinkovito izvaja dejavnosti v navedeni državi članici. Zato je poslovna enota v smislu člena 4(1)(a) Direktive 95/46.

56

Drugič, v zvezi s pogojem, da se mora obdelava osebnih podatkov izvajati „v okviru dejavnosti“ zadevne poslovne enote, je treba najprej opozoriti, da glede na cilj, ki se uresničuje z Direktivo 95/46, in sicer, da se zagotovi učinkovito in popolno varstvo temeljnih svoboščin in pravic fizičnih oseb, zlasti pravice do zasebnosti, pri obdelavi osebnih podatkov, besedne zveze „v okviru dejavnosti ustanovitve [poslovne enote]“ ni mogoče razlagati ozko (sodba z dne 1. oktobra 2015, Weltimmo, C‑230/14, EU:C:2015:639, točka 25 in navedena sodna praksa).

57

Dalje, poudariti je treba, da se s členom 4(1)(a) Direktive 95/46 ne zahteva, da se takšna obdelava izvaja „s strani“ zadevne poslovne enote, temveč le, da se izvaja „v okviru dejavnosti“ te poslovne enote (sodba z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 52).

58

V obravnavanem primeru je iz predložitvene odločbe in pisnega stališča, ki ga je predložila družba Facebook Ireland, razvidno, da je družba Facebook Germany zadolžena za promocijo in prodajo oglasnega prostora ter da izvaja dejavnosti, namenjene osebam, ki prebivajo v Nemčiji.

59

Kot je bilo opozorjeno v točkah 33 in 34 te sodbe, je namen obdelave osebnih podatkov iz postopka v glavni stvari, ki jo družba Facebook Inc. izvaja skupaj z družbo Facebook Ireland in ki zajema zbiranje takih podatkov s piškotki, nameščenimi na računalnikih ali katerih koli drugih napravah obiskovalcev strani oboževalcev, ki gostuje na Facebooku, zlasti ta, da se temu družabnemu omrežju omogoči, da izboljša svoj sistem oglaševanja, da bi lahko bolj ciljno naravnalo sporočila, ki jih posreduje.

60

Kot je generalni pravobranilec poudaril v točki 94 sklepnih predlogov, pa je treba, ker na eni strani družabno omrežje, kot je Facebook, ustvari znatni del prihodkov zlasti z oglaševanjem na spletnih straneh, ki jih uporabniki ustvarijo in do katerih dostopajo, in ker je na drugi strani poslovna enota družbe Facebook v Nemčiji zadolžena za to, da v tej državi članici skrbi za promocijo in prodajo oglasnega prostora, ki zagotavlja donosnost storitev, ki jih ponuja družba Facebook, dejavnosti te poslovne enote šteti za neločljivo povezane z obdelavo osebnih podatkov iz postopka v glavni stvari, za katero je odgovorna družba Facebook Inc. skupaj z družbo Facebook Ireland. Za tako obdelavo je treba zato šteti, da se opravi v okviru dejavnosti poslovne enote upravljavca v smislu člena 4(1)(a) Direktive 95/46 (glej v tem smislu sodbo z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točki 55 in 56).

61

Iz tega izhaja, da je bil nemški nadzorni organ glede na to, da se v skladu s členom 4(1)(a) Direktive 95/46 za obdelavo osebnih podatkov iz postopka v glavni stvari uporabi nemško pravo, v skladu s členom 28(1) te direktive pristojen, da za navedeno obdelavo uporabi to pravo.

62

Ta nadzorni organ je bil zato pristojen, da zaradi zagotavljanja spoštovanja pravil s področja varstva osebnih podatkov na ozemlju Nemčije, v zvezi z družbo Facebook Germany izvaja vsa pooblastila, ki jih ima na podlagi nacionalnih določb, s katerimi je prenesen člen 28(3) Direktive 95/46.

63

Pojasniti je treba še, da okoliščina, na katero je opozorilo predložitveno sodišče v tretjem vprašanju, da strategije glede odločanja o zbiranju in obdelavi osebnih podatkov, ki se nanašajo na osebe, ki prebivajo na ozemlju Unije, sprejema matična družba s sedežem v tretji državi, kot je to v obravnavanem primeru družba Facebook Inc., ne more omajati pristojnosti nadzornega organa, ki izhaja iz prava države članice, v razmerju do poslovne enote upravljavca navedenih podatkov, ki je na ozemlju te države članice.

64

Glede na zgoraj navedeno je treba na tretje in četrto vprašanje odgovoriti, da je treba člena 4 in 28 Direktive 95/46 razlagati tako, da lahko nadzorni organ države članice, kadar ima podjetje s sedežem zunaj Unije več poslovnih enot v različnih državah članicah, pooblastila, ki so mu podeljena s členom 28(3) te direktive, izvaja v zvezi s poslovno enoto, ki je na ozemlju te države članice, čeprav je na podlagi delitve nalog v skupini na eni strani ta poslovna enota zadolžena samo za prodajo oglasnega prostora in druge ukrepe trženja na ozemlju navedene države članice, na drugi strani pa je za zbiranje in obdelavo osebnih podatkov za celotno ozemlje Unije izključno odgovorna poslovna enota, ki je v drugi državi članici.

Peto in šesto vprašanje

65

Predložitveno sodišče s petim in šestim vprašanjem, ki ju je treba preučiti skupaj, v bistvu sprašuje, ali je treba člen 4(1)(a) ter člen 28(3) in (6) Direktive 95/46 razlagati tako, da je nadzorni organ države članice, kadar namerava v zvezi z organom s sedežem na ozemlju te države članice izvajati pooblastila za posredovanje iz člena 28(3) te direktive zaradi kršitev pravil v zvezi z varstvom osebnih podatkov, ki jih je storila tretja oseba, ki je odgovorna za obdelavo teh podatkov in ki ima sedež v drugi državi članici, pristojen za to, da neodvisno od nadzornega organa drugonavedene države članice opravi presojo zakonitosti take obdelave podatkov, in lahko svoja pooblastila za posredovanje izvaja v zvezi z organom s sedežem na njegovem ozemlju, ne da bi nadzorni organ druge države članice predhodno pozval, naj posreduje.

66

Za odgovor na ti vprašanji je treba opozoriti, da je treba člen 2(d) Direktive 95/46, kot je razvidno iz odgovora na prvo in drugo vprašanje za predhodno odločanje, razlagati tako, da v okoliščinah, kot so te v postopku v glavni stvari, omogoča, da se v primeru kršitve pravil o varstvu osebnih podatkov ugotovi odgovornost organa, kot je družba Wirtschaftsakademie, kot skrbnika strani oboževalcev, ki gostuje na Facebooku.

67

Iz tega izhaja, da je nadzorni organ države članice, na katere ozemlju ima ta organ sedež, v skladu s členom 4(1)(a) ter členom 28(1) in (3) Direktive 95/46 pristojen, da uporabi svoje nacionalno pravo in tako v skladu s členom 28(3) te direktive v zvezi s tem organom izvaja vsa pooblastila, ki so mu podeljena s tem nacionalnim pravom.

68

Kot določa člen 28(1), drugi pododstavek, navedene direktive, nadzorni organi, ki so na ozemlju svoje države članice odgovorni za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo, pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma neodvisno. Ta zahteva izhaja tudi iz primarnega prava Unije, zlasti iz člena 8(3) Listine Evropske unije o temeljnih pravicah in člena 16(2) PDEU (glej v tem smislu sodbo z dne 6. oktobra 2015, Schrems, C‑362/14, EU:C:2015:650, točka 40).

69

Poleg tega v skladu s členom 28(6), drugi pododstavek, Direktive 95/46 nadzorni organi sicer sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij, vendar ta direktiva ne določa nobenega prioritetnega merila, ki bi veljalo za poseg nadzornih organov v razmerju do preostalih nadzornih organov, niti ne določa obveznosti nadzornega organa države članice, da se uskladi s stališčem, ki ga je morda izrazil nadzorni organ druge države članice.

70

Tako nadzornega organa, katerega pristojnost je priznana v skladu z njegovim nacionalnim pravom, nič ne zavezuje, da rešitev drugega nadzornega organa v podobnem položaju sprejme za svojo.

71

V zvezi s tem je treba opozoriti, da je vsak od nadzornih organov, ker so ti organi v skladu s členom 8(3) Listine o temeljnih pravicah in členom 28 Direktive 95/46 odgovorni za nadzor nad spoštovanjem pravil Unije v zvezi z varstvom fizičnih oseb glede obdelave osebnih podatkov, torej pristojen preveriti, ali se pri obdelavi osebnih podatkov na ozemlju njegove države članice spoštujejo zahteve, določene z Direktivo 95/46 (glej v tem smislu sodbo z dne 6. oktobra 2015, Schrems, C‑362/14, EU:C:2015:650, točka 47).

72

Ker se člen 28 Direktive 95/46 po svoji naravi uporabi za vsako obdelavo osebnih podatkov, celo ob obstoju odločbe nadzornega organa druge države članice, mora nadzorni organ, pri katerem oseba vloži zahtevo v zvezi z varstvom njenih pravic in svoboščin glede obdelave osebnih podatkov, ki se nanašajo nanjo, povsem neodvisno preučiti, ali se pri obdelavi teh podatkov spoštujejo zahteve, določene z navedeno direktivo (glej v tem smislu sodbo z dne 6. oktobra 2015, Schrems, C‑362/14, EU:C:2015:650, točka 57).

73

Iz tega izhaja, da je bil v obravnavanem primeru ULD v skladu s sistemom, uvedenim z Direktivo 95/46, pristojen za to, da neodvisno od ocen, ki jih opravi irski nadzorni organ, preuči zakonitost obdelave podatkov iz postopka v glavni stvari.

74

Na peto in šesto vprašanje je treba zato odgovoriti, da je treba člen 4(1)(a) ter člen 28(3) in (6) Direktive 95/46 razlagati tako, da je nadzorni organ države članice, kadar namerava v zvezi z organom s sedežem na ozemlju te države članice izvajati pooblastila za posredovanje iz člena 28(3) te direktive zaradi kršitev pravil v zvezi z varstvom osebnih podatkov, ki jih je storila tretja oseba, ki je odgovorna za obdelavo teh podatkov in ki ima sedež v drugi državi članici, pristojen za to, da neodvisno od nadzornega organa drugonavedene države članice opravi presojo zakonitosti take obdelave podatkov, in lahko svoja pooblastila za posredovanje izvaja v zvezi z organom s sedežem na njegovem ozemlju, ne da bi nadzorni organ druge države članice predhodno pozval, naj posreduje.

Stroški

75

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

 

Iz teh razlogov je Sodišče (veliki senat) razsodilo:

 

1.

Člen 2(d) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov je treba razlagati tako, da pojem „upravljavec“ v smislu te določbe zajema skrbnika strani oboževalcev, ki gostuje na družabnem omrežju.

 

2.

Člena 4 in 28 Direktive 95/46 je treba razlagati tako, da lahko nadzorni organ države članice, kadar ima podjetje s sedežem zunaj Evropske unije več poslovnih enot v različnih državah članicah, pooblastila, ki so mu podeljena s členom 28(3) te direktive, izvaja v zvezi s poslovno enoto tega podjetja, ki je na ozemlju te države članice, čeprav je na podlagi delitve nalog v skupini na eni strani ta poslovna enota zadolžena samo za prodajo oglasnega prostora in druge ukrepe trženja na ozemlju navedene države članice, na drugi strani pa je za zbiranje in obdelavo osebnih podatkov za celotno ozemlje Evropske unije izključno odgovorna poslovna enota, ki je v drugi državi članici.

 

3.

Člen 4(1)(a) ter člen 28(3) in (6) Direktive 95/46 je treba razlagati tako, da je nadzorni organ države članice, kadar namerava v zvezi z organom s sedežem na ozemlju te države članice izvajati pooblastila za posredovanje iz člena 28(3) te direktive zaradi kršitev pravil v zvezi z varstvom osebnih podatkov, ki jih je storila tretja oseba, ki je odgovorna za obdelavo teh podatkov in ki ima sedež v drugi državi članici, pristojen za to, da neodvisno od nadzornega organa drugonavedene države članice opravi presojo zakonitosti take obdelave podatkov, in lahko svoja pooblastila za posredovanje izvaja v zvezi z organom s sedežem na njegovem ozemlju, ne da bi nadzorni organ druge države članice predhodno pozval, naj posreduje.

 

Podpisi


( *1 ) Jezik postopka: nemščina.

Top