SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
MACIEJA SZPUNARJA,
predstavljeni 21. marca 2019 ( 1 )
Zadeva C‑673/17
Planet49 GmbH
proti
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija))
„Predhodno odločanje – Direktiva 95/46/ES – Direktiva 2002/58/ES – Uredba (EU) 2016/679 – Obdelava osebnih podatkov in varstvo zasebnosti na področju elektronskih komunikacij – Piškotki – Pojem privolitve posameznika, na katerega se nanašajo osebni podatki – Izjava o privolitvi z vnaprej nastavljenim potrditvenim poljem“
I. Uvod
1. |
Internetni uporabnik je moral za sodelovanje v nagradni igri, ki jo je organizirala družba Planet49, označiti ali odznačiti dve potrditveni polji, preden je lahko kliknil gumb za sodelovanje. Eno od polj je od njega zahtevalo, da se strinja s tem, da lahko z njim stopi v stik vrsta podjetij s svojimi promocijskimi ponudbami, drugo pa, da privoli v namestitev piškotkov na svoj računalnik. Tako bi lahko povzeli dejansko stanje iz te predložitvene odločbe Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija). |
2. |
Za tem na videz nedolžnim dejanskim stanjem se skrivajo temeljna vprašanja zakonodaje Unije o varstvu podatkov: katere točno so zahteve glede informirane privolitve, ki mora biti dana prostovoljno? Ali je razlika med (izključno) obdelavo osebnih podatkov na eni strani ter namestitvijo piškotkov in dostopanjem do njih na drugi strani? Kateri pravni instrumenti se uporabljajo? |
3. |
V teh sklepnih predlogih bom zagovarjal stališče, da so zahteve za dajanje privolitve v okviru obravnavane zadeve enake v Direktivi 95/46/ES ( 2 ) in Uredbi (EU) 2016/679 ( 3 ) ter da v obravnavani zadevi ni pomembno, ali obravnavamo splošno vprašanje obdelave osebnih podatkov ali podrobnejše vprašanje shranjevanja podatkov in pridobitve dostopa do njih s pomočjo piškotkov. |
II. Pravni okvir
A. Pravo Unije
1. Direktiva 95/46
4. |
Člen 2 Direktive 95/46, naslovljen „Opredelitev pojmov“, določa: „V tej direktivi: […]
|
5. |
V oddelku II te direktive, naslovljenem „Merila za zakonitost obdelave podatkov“, člen 7 v točki (a) določa: „Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:
[…]“ |
6. |
Člen 10 iste direktive, naslovljen „Informacije v primerih zbiranja podatkov od posameznika, na katerega se osebni podatki nanašajo“, določa: „Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:
kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.“ |
2. Direktiva 2002/58/ES ( 4 )
7. |
V uvodnih izjavah 24 in 25 Direktive 2002/58/ES ( 5 ) je navedeno:
|
8. |
Člen 2 te direktive, naslovljen „Opredelitve“, določa v točki (f): „Razen če je drugače določeno, se uporabijo opredelitve pojmov iz Direktive 95/46/ES in Direktive 2002/21/ES Evropskega parlamenta in Sveta z dne 7. marca 2002 o skupnem regulativnem okviru za elektronska komunikacijska omrežja in storitve (Okvirna direktiva)[ ( 6 )]. Uporabijo se tudi naslednje opredelitve pojmov: […]
[…]“. |
9. |
Člen 5 navedene direktive, naslovljen „Zaupnost sporočil“, v odstavku 3 določa: „Države članice zagotovijo, da je uporaba elektronskih komunikacijskih omrežij z namenom shranjevanja podatkov ali pridobitve dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljena samo pod pogojem, da sta naročnik ali uporabnik jasno in izčrpno obveščena v skladu z Direktivo 95/46/ES, med drugim o namenih obdelave in da mu kontrolor podatkov zagotovi pravico do zavrnitve take obdelave. To ne prepreči nobenega tehničnega shranjevanja ali dostopa izključno za namen opravljanja ali lajšanja prenosa sporočila prek elektronskega komunikacijskega omrežja, ali če je nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata.“ |
3. Direktiva 2009/136/ES ( 7 )
10. |
V uvodni izjavi 66 Direktive 2009/136/ES ( 8 ) je navedeno: „Tretje strani si morebiti želijo shranjevati informacije o uporabnikovi opremi ali pridobiti dostop do že shranjenih podatkov iz najrazličnejših razlogov, ki zajemajo vse od legitimnih namenov (na primer določene vrste piškotkov) do tistih, ki obsegajo neupravičen vdor v zasebnost (na primer vohunska programska oprema ali virusi). Zato je izjemno pomembno, da so uporabniki jasno in izčrpno obveščeni pri vseh dejavnostih, ko bi lahko prišlo do takšnega shranjevanja ali dostopanja. Načini obveščanja in zagotavljanja pravice do zavrnitve bi morali biti čim bolj uporabniško prijazni. Izjeme glede obveznosti obveščanja in zagotavljanja pravice do zavrnitve bi morale biti omejena na primere, ko je tehnično shranjevanje ali dostop nujno potreben za legitimni namen omogočanja uporabe posebne storitve, ki jo je izrecno zahteval naročnik ali uporabnik. Uporabnikovo privolitev, da se strinja z obdelavo, je mogoče izraziti z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah, in sicer v primeru, da je to tehnično izvedljivo in učinkovito ter v skladu z ustreznimi določbami Direktive 95/46/ES. Uveljavljanje teh zahtev bi moralo postati učinkovitejše, in sicer s podelitvijo večjih pooblastili ustreznim nacionalnim organom.“ |
4. Uredba (EU) 2016/679
11. |
V uvodni izjavi 32 Uredbe št. 2016/679 je navedeno: „Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.“ |
12. |
Člen 4 te uredbe, naslovljen „Opredelitev pojmov“, v točki (11) določa: „V tej uredbi: […]
[…]“. |
13. |
Člen 6 iste uredbe, naslovljen „Zakonitost obdelave“, določa: „1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
[…]“. |
14. |
Člen 7 Uredbe 2016/679 je naslovljen „Pogoji za privolitev“. V skladu s členom 7 (4) se „[p]ri ugotavljanju, ali je bila privolitev dana prostovoljno, […] med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe“. |
B. Nemško pravo
1. Nemški civilni zakonik
15. |
Člen 307 ( 9 ) Bürgerliches Gesetzbuch (nemški civilni zakonik, v nadaljevanju: BGB) določa: „1. Določbe v splošnih pogojih poslovanja so brez učinka, če uporabnikovega sopogodbenika v nasprotju z načelom dobre vere postavijo v nesorazmerno slabši položaj. Nesorazmerno slabši položaj lahko izhaja tudi iz tega, da določba ni jasna in razumljiva. 2. Nesorazmerno slabši položaj se ob dvomu domneva, če določba
3. Odstavka 1 in 2 ter člena 308 in 309 veljajo le za določbe v splošnih pogojih poslovanja, s katerimi so dogovorjena pravila, ki odstopajo od zakonov ali drugih predpisov ali jih dopolnjujejo. Druge določbe so lahko brez učinka v skladu z odstavkom 1, drugi stavek, v povezavi z odstavkom 1, prvi stavek.“ |
2. Zakon o preprečevanju nelojalne konkurence
16. |
Gesetz gegen den unlauteren Wettbewerb (zakon o preprečevanju nelojalne konkurence, v nadaljevanju: UWG) prepoveduje poslovne prakse, ki pomenijo nesprejemljivo nadlegovanje za udeleženca na trgu. Člen 7(2)(2) UWG določa, da „je treba pri oglaševanju s telefonskim klicem potrošnika brez njegovega predhodnega izrecnega soglasja ali drugega udeleženca na trgu brez njegovega vsaj domnevnega soglasja vedno predpostaviti nesprejemljivo nadlegovanje“. |
3. Zakon o elektronskih medijih
17. |
Člen 12(1) Telemediengesetz (zakon o elektronskih medijih, v nadaljevanju: TMG), s katerim se izvaja člen 7(a) Direktive 95/46, določa, pod katerimi pogoji lahko ponudnik storitev zbira in uporablja osebne podatke za namene elektronskih medijev. V skladu s tem členom sme ponudnik storitev zbirati in uporabljati osebne podatke za namene elektronskih medijev samo, če je to dovoljeno s TMG ali drugim pravnim instrumentom, ki se izrecno nanaša na elektronske medije, ali če je uporabnik v to privolil. |
18. |
Člen 12(3) TMG določa, da se veljavni predpisi o varstvu osebnih podatkov uporabljajo, tudi če ne gre za avtomatizirano obdelavo podatkov. |
19. |
Člen 13(1) TMG določa, da mora ponudnik storitev ob začetku uporabe obvestiti uporabnika o naravi, obsegu in namenu obdelave osebnih podatkov ter o obdelavi podatkov zunaj področja uporabe Direktive 95/46. |
20. |
Člen 15(1) TMG določa, da lahko ponudniki storitev zbirajo in obdelujejo osebne podatke samo, če je to potrebno za uporabo elektronskih medijev ali za izdajo računa v zvezi s to uporabo (v nadaljevanju: podatki o uporabi). Podatki o uporabi so med drugim opredeljeni kot podatki, ki omogočajo identifikacijo uporabnika. |
21. |
Člen 15(3) TMG, s katerim se izvaja člen 5(3) Direktive 2002/58, določa, da je ponudniku storitev dovoljeno, da izdeluje profile uporabe na podlagi psevdonimov za namene oglaševanja, tržnih raziskav ali konfiguriranja elektronskih medijev, če uporabnik temu ne ugovarja in če je ponudnik storitev uporabnika v skladu z obveznostjo zagotavljanja informacij na podlagi člena 13(1) TMG obvestil o njegovi pravici do zavrnitve. |
4. Zvezni zakon o varstvu podatkov
22. |
S členom 3(1) Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov, v nadaljevanju: BDSG) ( 10 ), s katerim se izvaja člen 2(a) Direktive 95/46, je pojem „osebni podatki“ opredeljen kot podatki o osebnih ali dejanskih okoliščinah določenega ali določljivega posameznika. |
23. |
Člen 4(a) BDSG, s katerim je v nacionalno pravo prenesen člen 2(h) Direktive 95/46, določa, da je privolitev veljavna le, če temelji na svobodni odločitvi zadevnih oseb. |
III. Dejansko stanje, postopek in vprašanja za predhodno odločanje
24. |
Družba Planet49 GmbH je 24. septembra 2013 priredila promocijsko nagradno igro na internetnem naslovu „www.dein-macbook.de“. ( 11 ) Za sodelovanje v nagradni igri je moral internetni uporabnik vnesti svojo poštno številko, nato pa se je odprla stran z vnosnimi polji za ime in naslov uporabnika. Pod polji za vnos naslova sta bili dve opombi, opremljeni s potrditvenima poljema. V nadaljevanju ju bom imenoval „prvo potrditveno polje“ in „drugo potrditveno polje“. V prvi opombi, katere potrditveno polje ni vsebovalo vnaprej nastavljene kljukice, je bilo navedeno: „Soglašam, da me nekateri sponzorji in partnerji po pošti ali po telefonu ali prek elektronske pošte/SMS-sporočil obveščajo o ponudbah s svojega področja dejavnosti. Določim jih lahko tukaj sam, sicer opravi izbiro organizator. Soglasje lahko kadar koli prekličem. Več informacij je na voljo tukaj.“ |
25. |
V drugi opombi, ki je bila opremljena z vnaprej nastavljeno kljukico, je bilo navedeno: „Soglašam, da se pri meni uporabi orodje za analizo spletnih strani Remintrex. V skladu s tem bo organizator nagradne igre, družba Planet49 GmbH, po registraciji za nagradno igro namestil piškotke, ki družbi Planet49 omogočajo analizo mojih iskalnih in uporabniških navad na spletnih straneh oglaševalskih partnerjev ter s tem usmerjeno oglaševanje glede na zanimanje prek orodja Remintrex. Piškotke lahko kadar koli izbrišem. Več o tem lahko preberete tukaj.“ |
26. |
Sodelovanje v nagradni igri je bilo možno le, če je bilo obkljukano vsaj prvo potrditveno polje. |
27. |
Elektronska povezava v besedah „Sponsoren und Kooperationspartner“ (sponzorji in partnerji) ter „hier“ (tukaj) v besedilu prve opombe je vodila na seznam, ki je vseboval 57 podjetij, njihove naslove, oglaševana področja dejavnosti in načine komunikacije, ki se uporabljajo za oglaševanje (elektronska pošta, pošta ali telefon), ter za vsakim podjetjem podčrtano besedo „Abmelden“ (odjava). Pred seznamom je bil naslednji napotek: „S klikom na povezavo ‚Abmelden‘ (odjava) se odločim, da se navedenemu partnerju/sponzorjem ne sme dati soglasja za oglaševanje. Če nisem podal odjave za zadostno število partnerjev/sponzorjev ali je nisem podal za nobenega, družba Planet49 po prostem preudarku izbere partnerje/sponzorje zame (največ: 30 partnerjev/sponzorjev).“ |
28. |
Ob kliku na elektronsko povezavo v besedi „hier“ (tukaj) se je prikazala naslednja informacija: „Nameščeni piškotki z imeni ceng_cache, ceng_etag, ceng_png in gcr so majhne datoteke, ki jih brskalnik, ki ga uporabljate, shrani na vaš trdi disk in na podlagi katerih se pridobivajo določeni podatki, ki omogočajo uporabnikom prijaznejše in učinkovitejše oglaševanje. Piškotki vsebujejo določeno naključno ustvarjeno številko (ID), ki se sočasno dodeli vašim registracijskim podatkom. Če nato obiščete spletno stran oglaševalskega partnerja, ki je registriran za orodje Remintrex (podatek o tem najdete v izjavi o varstvu podatkov oglaševalskega partnerja), orodje Remintrex na podlagi elementa iFrames, ki ga vsebuje spletna stran, avtomatizirano zabeleži, da ste vi (oziroma uporabnik s shranjeno številko ID) obiskali stran, za kateri izdelek ste se zanimali in ali je prišlo do sklenitve pogodbe. Zatem lahko družba Planet49 GmbH na podlagi soglasja za oglaševanje, danega ob registraciji za nagradno igro, omogoči pošiljanje oglasne elektronske pošte, ki upošteva zanimanje, ki ste ga izkazali na spletni strani oglaševalskega partnerja. Po preklicu soglasja za oglaševanje seveda ne boste več prejemali oglasne elektronske pošte. Informacije, prenesene s pomočjo piškotkov, se bodo uporabljale izključno za oglaševanje, v katerem bodo predstavljeni izdelki oglaševalskih partnerjev. Informacije se zajemajo, shranjujejo in uporabljajo za vsakega oglaševalskega partnerja ločeno. V nobenem primeru se ne izdelujejo uporabniški profili za več oglaševalskih partnerjev. Posamezni oglaševalski partnerji ne prejmejo osebnih podatkov. Če ne želite več uporabe piškotkov, jih lahko s svojim brskalnikom kadarkoli izbrišete. Navodila najdete v funkciji pomoči vašega brskalnika. Zaradi piškotkov se ne morejo izvajati programi ali prenašati virusi. Seveda imate možnost, da kadar koli prekličete to soglasje. Preklic lahko pisno pošljete družbi PLANET49 GmbH [naslov]. Vendar zadošča tudi elektronsko sporočilo, ki ga pošljete naši službi za pomoč strankam [naslov elektronske pošte].“ |
29. |
Tožeča stranka v postopku v glavni stvari, Bundesverband der Verbraucherzentralen (združenje nemških organizacij za varstvo potrošnikov, v nadaljevanju: Bundesverband), je vpisana na seznam kvalificiranih subjektov v skladu z Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (zakon o opustitvenih tožbah v zvezi s pravicami potrošnikov in drugimi kršitvami, v nadaljevanju: UKlaG). Po navedbah združenja Bundesverband zgoraj navedene izjave o soglasju, ki jih uporablja Planet49, ne izpolnjujejo zahtev iz člena 307 BGB, člena 7(2)(2) UWG in člena 12 in naslednjih TMG. Predhodni opomin ni bil uspešen. |
30. |
Združenje Bundesverband je vložilo tožbo pri Landgericht Frankfurt am Main (deželno sodišče v Frankfurtu na Majni, Nemčija), s katero je predlagalo, da Planet49 preneha uporabljati zgoraj navedene klavzule ( 12 ) in da se družbi naloži, da mu plača znesek 214 EUR skupaj z obrestmi od 15. marca 2014. |
31. |
Landgericht Frankfurt am Main (deželno sodišče v Frankfurtu na Majni) je nekaterim predlogom ugodilo, v preostalem pa tožbo zavrnilo. Po pritožbi ( 13 ) pri Oberlandesgericht Frankfurt am Main (višje deželno sodišče v Frankfurtu na Majni, Nemčija) je bila pri Bundesgerichtshof (zvezno vrhovno sodišče) vložena revizija ( 14 ). |
32. |
Bundesgerichtshof (zvezno vrhovno sodišče) meni, da je uspeh revizije odvisen od razlage členov 5(3) in 2(f) Direktive 2002/58/ES v povezavi s členom 2(h) Direktive 95/46/ES ter člena 6(1)(a) Uredbe (EU) 2016/679, ter je Sodišču v predhodno odločanje predložilo naslednja vprašanja:
|
33. |
Predložitvena odločba je na Sodišče prispela 30. novembra 2017. Pisna stališča so predložili družba Planet49, združenje Bundesverband, portugalska in italijanska vlada ter Evropska komisija. Obravnave 13. novembra 2018 so se udeležili družba Planet49, združenje Bundesverband, nemška vlada in Komisija. |
IV. Presoja
34. |
Obe vprašanji za predhodno odločanje, ki ju je postavilo Bundesgerichtshof (zvezno vrhovno sodišče), se nanašata na privolitev v shranjevanje podatkov in pridobitev dostopa do podatkov, shranjenih v uporabnikovi terminalski opremi, to je do piškotkov, v posebnem okviru določb Direktive 2002/58 v povezavi z določbami Direktive 95/46 ali Uredbe (EU) 2016/679. |
35. |
Uvodoma se mi zdi koristno pojasniti dejansko stanje pojava piškotkov in z njimi povezano terminologijo ter podati pravno pojasnilo o pravnih instrumentih, ki se uporabljajo v obravnavani zadevi. |
A. Uvodna pojasnila
1. Piškotki
36. |
Piškotek je sredstvo za zbiranje podatkov, ki jih ustvari spletna stran in shrani brskalnik internetnega uporabnika. ( 15 ) To je manjši podatkovni niz ali besedilna datoteka, običajno manjša od enega kB, za katero spletna stran zahteva, da jo brskalnik internetnega uporabnika shrani na trdi disk uporabnikovega računalnika ali mobilne naprave. ( 16 ) |
37. |
Piškotek omogoča, da si spletna stran sčasoma „zapomni“ uporabnikova dejanja ali preference. Večina spletnih brskalnikov piškotke podpira, vendar lahko uporabniki svoje brskalnike nastavijo tako, da piškotke zavrnejo. Uporabniki lahko piškotke tudi kadarkoli izbrišejo. Številni uporabniki namreč nastavitve piškotkov v svojih brskalnikih nastavijo tako, da se piškotki ob zaprtju okna brskalnika privzeto samodejno zbrišejo. Ob tem je treba navesti, da izkušnje v veliki večini kažejo, da ljudje privzete nastavitve redko spremenijo, kar je pojav, poimenovan „vztrajnost privzetih nastavitev“ (ang. default inertia). ( 17 ) |
38. |
Spletne strani piškotke uporabljajo za identificiranje uporabnikov, tako da si zapomnijo njihove nastavitve in jim omogočajo dokončanje nalog brez ponovnega vnašanja podatkov pri brskanju po različnih straneh ali ponovnem obisku iste strani. |
39. |
Piškotki se lahko uporabljajo tudi za zbiranje podatkov na podlagi vedenja uporabnikov na spletu za namene usmerjenega oglaševanja in trženja. ( 18 ) Na primer, družbe uporabljajo programsko opremo za spremljanje vedenja uporabnikov in oblikovanje njihovih osebnih profilov, kar omogoča, da se uporabnikom prikazujejo oglasi, ki ustrezajo njihovim predhodnim iskanjem. ( 19 ) |
40. |
Obstajajo različne vrste piškotkov, od katerih so nekatere razvrščene glede na življenjsko dobo piškotkov (na primer začasni in trajni piškotki), nekatere pa temeljijo na domeni, kateri pripada piškotek (na primer lastni in drugi piškotki). ( 20 ) Kadar spletni strežnik, ki gosti spletno stran, piškotke shranjuje na uporabnikov računalnik ali mobilno napravo, te piškotke poznamo kot „http“ piškotke. ( 21 ) Piškotke je mogoče shranjevati tudi prek kode JavaScript, ki jo ta stran vsebuje ali napotuje nanjo. ( 22 ) Vendar je treba veljavnost privolitve v namestitev piškotkov in možnost uporabe morebitnih upoštevnih izjem oceniti na podlagi namena piškotka in ne njegovih tehničnih lastnosti. ( 23 ) |
2. Upoštevni pravni instrumenti
41. |
Zakonodajni okvir, ki se uporablja za postopek v glavni stvari, se je v teku let postopoma razvijal, nazadnje ob začetku veljavnosti Uredbe (EU) 2016/679. |
42. |
V obravnavani zadevi se uporabljata dva sklopa pravnih instrumentov Unije. Prvič, Direktiva 95/46 in Uredba (EU) 2016/679. Drugič, Direktiva 2002/58, kakor je bila spremenjena z Direktivo 2009/136. ( 24 ) |
43. |
Želel bi podati dve ugotovitvi glede teh dveh sklopov instrumentov. |
44. |
Prva ugotovitev se nanaša na uporabo Direktive 95/46 in Uredbe (EU) 2016/679. |
45. |
Uredba (EU) 2016/679, ki se uporablja od 25. maja 2018, ( 25 ) je z učinkom od istega datuma razveljavila Direktivo 95/46. ( 26 ) |
46. |
Navedeni datum, 25. maj 2018, je kasnejši od datuma zadnje obravnave pred predložitvenim sodiščem, ki je potekala 14. julija 2017, pa tudi od datuma 5. oktober 2017, ko je bila ta zadeva predložena Sodišču v predhodno odločanje. |
47. |
Zato je pravo, ki se uporablja za položaje do 25. maja 2018, Direktiva 2002/58 v povezavi z Direktivo 95/46, za položaje od 25. maja 2018 dalje pa Direktiva 2002/58 v povezavi z Uredbo (EU) 2016/679. |
48. |
Glede na to, da želi združenje Bundesverband družbi Planet49 z opustitveno tožbo ( 27 ) preprečiti, da bi nadaljevala svoje ravnanje v prihodnje, se v obravnavani zadevi uporablja Uredba (EU) 2016/679. Bundesgerichtshof (zvezno vrhovno sodišče) bo torej pri odločitvi o predlogu za opustitev, usmerjenim v prihodnost, moralo upoštevati zahteve iz Uredbe (EU) 2016/679. V zvezi s tem nemška vlada opozarja na ustaljeno nacionalno sodno prakso v zvezi z upoštevnim pravnim položajem v opustitvenih tožbah. ( 28 ) |
49. |
Zato je treba na zastavljeno vprašanje odgovoriti tako ob upoštevanju Direktive 95/46 kot Uredbe (EU) 2016/679. ( 29 ) |
50. |
Poleg tega je treba opozoriti, da je treba sklicevanja v Direktivi 2002/58 na Direktivo 95/46 razlagati kot sklicevanja na Uredbo (EU) 2016/679. ( 30 ) |
51. |
Druga ugotovitev se nanaša na razvoj člena 5(3) Direktive 2002/58. |
52. |
Namen Direktive 2002/58 je zagotoviti popolno spoštovanje pravic, določenih v Listini Evropske unije o temeljnih pravicah, zlasti v členih 7 in 8 Listine. ( 31 ) Namen člena 5 te direktive je zagotoviti „zaupnost sporočil“. Člen 5(3) ureja zlasti uporabo piškotkov in določa zahteve, ki morajo biti izpolnjene pred shranjevanjem podatkov na računalnik uporabnika ali dostopanjem do tam shranjenih podatkov z namestitvijo piškotka. |
53. |
Z Direktivo 2009/136 so bile uvedene bistvene spremembe zahtev v zvezi s privolitvijo iz člena 5(3) Direktive 2002/58, da bi izboljšali varstvo uporabnikov. Pred spremembami, uvedenimi z navedeno direktivo, je člen 5(3) zahteval samo, da morajo imeti uporabniki pravico do informirane zavrnitve obdelave podatkov v obliki piškotkov. Z drugimi besedami, v skladu s prvotno različico člena 5(3) je moral ponudnik storitve v primeru shranjevanja podatkov na terminalsko opremo uporabnika ali pridobitve dostopa do tam shranjenih podatkov uporabnika jasno in izčrpno obvestiti zlasti o namenu obdelave ter mu zagotoviti pravico do zavrnitve take obdelave. |
54. |
V Direktivi 2009/136 je zahtevo po zagotovitvi informacij o pravici do zavrnitve nadomestila zahteva, da „je zadevni naročnik ali uporabnik v to privolil“, kar pomeni, da je sistem informirane zavrnitve, ki mu je lažje zadostiti, nadomestil sistem informirane privolitve. Razen v primeru zelo omejene izjeme, ki pa se v obravnavani zadevi ne uporablja, ( 32 ) je uporaba piškotkov v skladu s spremenjenim členom 5(3) Direktive 2002/58 dovoljena samo, če je uporabnik v to privolil po tem, ko je bil v skladu z Direktivo 95/46 jasno in izčrpno obveščen o razlogih za spremljanje njegovih podatkov, to je o namenih obdelave. ( 33 ) |
55. |
Kot bo podrobneje prikazano v nadaljevanju, je obseg obveznosti zagotavljanja informacij iz člena 5(3) Direktive 2002/58 v središču spornega vprašanja, zlasti glede privzetih nastavitev za spletne dejavnosti. |
B. Prvo vprašanje
56. |
Predložitveno sodišče z vprašanjem 1(a) sprašuje, ali gre za veljavno privolitev v smislu členov 5(3) in 2(f) Direktive 2002/58/ES v povezavi s členom 2(h) Direktive 95/46/ES, če se shranjevanje podatkov ali pridobitev dostopa do podatkov, shranjenih v terminalski opremi naročnika, dovoli z vnaprej nastavljenim potrditvenim poljem, ki ga mora uporabnik odznačiti, da zavrne svojo privolitev. V zvezi s tem se predložitveno sodišče sprašuje, ali je pomembno, ali so shranjeni ali priklicani podatki osebni podatki (vprašanje 1(b)). Nazadnje, predložitveno sodišče želi izvedeti, ali gre v zgoraj opisanih okoliščinah za veljavno privolitev v smislu člena 6(1)(a) Uredbe 2016/679 (vprašanje 1(c)). |
1. Prostovoljna in informirana privolitev
57. |
Privolitev je značilnost, na kateri temelji zakonodaja Unije o varstvu podatkov. |
58. |
Preden se posvetim posebnemu vprašanju piškotkov, želim opredeliti splošna načela, ki izhajajo iz upoštevnih pravnih dokumentov, ki urejajo dajanje privolitve. |
a) V skladu z Direktivo 95/46
1) Aktivno dana privolitev
59. |
Na podlagi določb Direktive 95/46 sklepam, da mora biti privolitev izražena na aktiven ( 34 ) način. |
60. |
Člen 2(h) Direktive 95/46 napotuje na izjavo volje posameznika, na katerega se nanašajo osebni podatki, kar jasno kaže na aktivno, ne pa pasivno vedenje. Poleg tega člen 7(a) Direktive 95/46, ki obravnava merila za zakonitost obdelave (osebnih) podatkov, zahteva, da je posameznik, na katerega se nanašajo osebni podatki, nedvoumno dal svojo privolitev. Tudi v tem primeru je dvoumnost mogoče odpraviti samo z aktivnim in ne pasivnim vedenjem. |
61. |
Iz navedenega sklepam, da v tem pogledu ni dovolj, da je uporabnikova izjava o privolitvi vnaprej oblikovana in da mora uporabnik, če se ne strinja z obdelavo podatkov, aktivno nasprotovati. |
62. |
V zadnjenavedenem položaju namreč ne vemo, ali je bilo takšno vnaprej oblikovano besedilo prebrano in razumljeno. Položaj ni nedvoumen. Uporabnik je besedilo lahko prebral ali pa ne. Lahko ga je prezrl iz gole malomarnosti. V takšnem položaju ni mogoče ugotoviti, ali je bila privolitev dana prostovoljno, |
2) Ločena privolitev
63. |
Zahteva po ločeni privolitvi je tesno povezana z zahtevo po aktivno dani privolitvi. ( 35 ) |
64. |
Trdili bi lahko, tako kot družba Planet49, da posameznik, na katerega se nanašajo podatki, da veljavno privolitev, če aktivno „klikne“ na gumb za sodelovanje v spletni nagradni igri, ne pa, če ne odznači vnaprej oblikovane izjave o privolitvi. |
65. |
S to razlago se ne strinjam. |
66. |
Da je privolitev „prostovoljna“ in „informirana“, mora biti ne le aktivno dana, temveč tudi ločena. Dejavnost, ki jo uporabnik opravlja na internetu (branje spletne strani, sodelovanje v nagradni igri, gledanje videoposnetka itd.), in dajanje privolitve ne smeta biti del istega dejanja. Zlasti se dajanje privolitve z uporabnikovega vidika ne sme zdeti postransko dejanje glede na sodelovanje v nagradni igri. Dejanji morata biti predstavljeni enakovredno, zlasti vizualno. Zato se mi zdi dvomljivo, da bi bil sklop izjav namere, ki bi vključeval dajanje privolitve, združljiv s pojmom privolitve iz Direktive 95/46. |
3) Obveznost popolnega obveščanja
67. |
V zvezi s tem mora biti uporabnik popolnoma jasno seznanjen, ali je dejavnost, ki jo opravlja na internetu, pogojena z dajanjem privolitve. Uporabnik mora imeti možnost, da oceni, v kolikšni meri je pripravljen posredovati svoje podatke, da bi lahko opravljal svojo dejavnost na internetu. Dovoljena ni niti najmanjša dvoumnost. ( 36 ) Uporabnik mora vedeti, ali dajanje privolitve vpliva na opravljanje njegove dejavnosti na internetu, in če vpliva, koliko. |
b) V skladu z Uredbo (EU) 2016/679
68. |
Zgoraj navedena načela veljajo tudi za Uredbo (EU) 2016/679. |
69. |
V členu 4, točka 11, Uredbe (EU) 2016/679 je privolitev posameznika, na katerega se nanašajo osebni podatki, opredeljena kot vsaka prostovoljna, izrecna, informirana in nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. |
70. |
Opozoriti je treba, da je navedena opredelitev strožja od tiste v členu 2(h) Direktive 95/46 v tem, da zahteva nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, in jasno pritrdilno dejanje, ki izraža soglasje z obdelavo osebnih podatkov. |
71. |
Poleg tega so posebej poučne uvodne izjave Uredbe (EU) 2016/679. Ker se bom obsežno skliceval na uvodne izjave, ( 37 ) moram spomniti, da te seveda nimajo nobene neodvisne pravne vrednosti, ( 38 ) da pa jih Sodišče pogosto uporablja pri razlagi določb pravnega akta Unije. V pravnem redu Unije so opisne in ne normativne. Dejansko se vprašanje o njihovi pravni veljavnosti običajno ne postavlja preprosto zato, ker se uvodne izjave običajno odražajo v pravnih določbah direktive. Dobra zakonodajna praksa političnih institucij Unije si namreč prizadeva za to, da bi uvodne izjave zagotovile koristen okvir za določbe pravnega besedila. ( 39 ) |
72. |
V skladu z uvodno izjavo 32 Uredbe (EU) 2016/679 bi privolitev morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, konkretno, ozaveščeno in nedvoumno izrazil strinjanje z obdelavo osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. |
73. |
Aktivno dana privolitev je torej zdaj izrecno določena v Uredbi (EU) 2016/679. |
74. |
Poleg tega je v uvodni izjavi 43 navedene uredbe navedeno, da za zagotovitev, da je privolitev dana prostovoljno, privolitev ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno v vseh okoliščinah te specifične situacije. Za privolitev se domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi taka ločena privolitev bila v posameznem primeru ustrezna, ali če je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo, čeprav za zadevno izvajanje taka privolitev ne bi bila potrebna. |
75. |
Potreba po ločeni privolitvi je torej v tej uvodni izjavi zdaj izrecno poudarjena. |
c) V skladu z Direktivo 2002/58 – vprašanje piškotkov
76. |
V skladu s členom 5(3) Direktive 2002/58 morajo države članice zagotoviti, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo 95/46, med drugim o namenih obdelave. |
77. |
Ta določba ne določa dodatnih meril glede pojma privolitve. |
78. |
Vendar uvodne izjave Direktive 2002/58 in Direktive 2009/136 vsebujejo smernice o privolitvi glede piškotkov. |
79. |
Tako je iz uvodne izjave 17 Direktive 2002/58 razvidno, da se privolitev lahko da na kateri koli primeren način, ki omogoča uporabniku, da navede svoje želje svobodno, izrecno in ozaveščeno, tudi tako, da pri obisku internetne spletne strani označi rubriko s kljukico. ( 40 ) |
80. |
Poleg tega je v uvodni izjavi 66 Direktive 2009/136 pojasnjeno, da je izjemno pomembno, da so uporabniki jasno in izčrpno obveščeni pri vseh dejavnostih, ko bi lahko prišlo do shranjevanja podatkov o uporabnikovi opremi ali do pridobitve dostopa do že shranjenih podatkov, ter da bi morali biti načini obveščanja in zagotavljanja pravice do zavrnitve čim bolj uporabniško prijazni. |
81. |
V zvezi s tem želim opozoriti tudi na nezavezujoče, a poučno delo delovne skupine za varstvo podatkov iz člena 29 (v nadaljevanju: delovna skupina iz člena 29), ( 41 ) v skladu s katerim privolitev pomeni predhodno pritrdilno dejanje, s katerim uporabniki sprejmejo shranjevanje in uporabo piškotka. ( 42 ) Ista delovna skupina ugotavlja, da pojem „izjava“ kaže na potrebo po dejanju. ( 43 ) Drugi elementi opredelitve privolitve in dodatna zahteva po nedvoumnosti privolitve iz člena 7(a) Direktive 95/46 podpirajo to razlago. ( 44 ) Zahteva, v skladu s katero mora posameznik, na katerega se osebni podatki nanašajo, „izraziti“ svojo privolitev, kaže na to, da preprosta odsotnost dejanja ne zadošča in da je za privolitev potrebno določeno dejanje, čeprav so možne različne vrste dejanj, ki jih je treba oceniti „glede na okoliščine“. ( 45 ) |
2. Uporaba za obravnavano zadevo
82. |
V nadaljevanju bom navedena merila uporabil za obravnavano zadevo. Pri tem bom najprej obravnaval vprašanje za predhodno odločanje 1(a) in (c), in sicer, ali je privolitev v zvezi z namestitvijo piškotkov in dostopanjem do njih veljavna. To se nanaša na drugo potrditveno polje. |
83. |
Ker se, kot je bilo pravkar ugotovljeno, zahteve po privolitvi – glede piškotkov in, splošneje, obdelave osebnih podatkov – ne razlikujejo veliko, menim, da je treba zaradi izčrpnosti in jasnosti, pa tudi zaradi pravilne in enotne razlage prava Unije, in tudi če predložitveno sodišče po tem ne sprašuje izrecno, na kratko analizirati vprašanje, ali gre pri prvem potrditvenem polju za veljavno privolitev v obdelavo osebnih podatkov. Kot razumem, se bo Bundesgerichtshof (zvezno vrhovno sodišče) v zvezi s postopkom, ki teče pred njim, moralo izreči o prvem potrditvenem polju. ( 46 ) |
a) Drugo potrditveno polje – vprašanje 1(a) in (c)
84. |
Predložitveno sodišče sprašuje, ali gre za veljavno privolitev v smislu členov 5(3) in 2(f) Direktive 2002/58/ES v povezavi s členom 2(h) Direktive 95/46/ES, če se shranjevanje podatkov ali pridobitev dostopa do podatkov, shranjenih v terminalski opremi naročnika, dovoli z vnaprej nastavljenim potrditvenim poljem, ki ga mora uporabnik odznačiti, da zavrne svojo privolitev. |
85. |
Bistvena pojma iz člena 2(h) Direktive 95/46 in člena 4, točka 11, Uredbe (EU) 2016/679 za namene tega vprašanja sta „prostovoljno“ in „informirano“. Postavlja se vprašanje, ali je v položaju, kakršnega opisuje predložitveno sodišče, mogoče dati privolitev prostovoljno in informirano. |
86. |
Družba Planet49 meni, da je tako. Ostale stranke ( 47 ) se ne strinjajo. V zvezi s tem se je pravna razprava strank osredotočala predvsem na to, ali označevanje potrditvenega polja oziroma odznačevanje potrditvenega polja, ki vsebuje vnaprej nastavljeno kljukico, izpolnjuje ti zahtevi. Razprava se vrti okrog vprašanja aktivnosti in pasivnosti. Vendar je ta vidik, čeprav je pomemben, le del zahtev. Izpolnjuje namreč le zahtevo po aktivno dani privolitvi, ne pa zahteve po ločeni privolitvi. |
87. |
Na podlagi zgoraj navedenih meril menim, da je odgovor na zastavljeno vprašanje, da v obravnavani zadevi ne gre za veljavno privolitev. |
88. |
Prvič, zahteva, da mora uporabnik odznačiti polje in torej postati aktiven, če ne privoli v namestitev piškotkov, ne izpolnjuje merila aktivno dane privolitve. V takšnem položaju praktično ni mogoče objektivno ugotoviti, ali je uporabnik dal privolitev na podlagi prostovoljne in informirane odločitve ali ne. Nasprotno je pri zahtevi, da uporabnik označi polje, takšna trditev veliko verjetnejša. |
89. |
Drugič in pomembneje, sodelovanje v spletni nagradni igri in dajanje privolitve v namestitev piškotkov ne smeta biti del istega dejanja. Vendar je v obravnavani zadevi točno tako. Uporabnik namreč za sodelovanje v nagradni igri samo enkrat klikne na gumb za sodelovanje. Sočasno privoli tudi v namestitev piškotkov. Tako sta hkrati dani dve izjavi namere (za sodelovanje v nagradni igri in za privolitev v namestitev piškotkov). Ti izjavi ne smeta biti dani prek istega gumba za sodelovanje. Zdi se namreč, da je v obravnavani zadevi privolitev v piškotke postranskega značaja, saj nikakor ni jasno, da je del ločenega dejanja. Povedano drugače o(d)značevanje potrditvenega polja o piškotkih je videti kot pripravljalno dejanje za končno in pravno zavezujoče dejanje „klikanja“ na gumb za sodelovanje. |
90. |
V takem položaju uporabnik ne more prostovoljno dati ločene privolitve za shranjevanje podatkov ali za pridobitev dostopa do podatkov, shranjenih v njegovi terminalski opremi. |
91. |
Poleg tega je bilo že ugotovljeno, da je bilo sodelovanje v nagradni igri možno le, če je bilo obkljukano vsaj prvo potrditveno polje. Posledično sodelovanje v nagradni igri ni bilo odvisno ( 48 ) od dajanja privolitve v namestitev piškotkov in pridobitev dostopa do njih. Uporabnik bi namreč lahko kliknil tudi (samo) prvo potrditveno polje. |
92. |
Vendar pa, kolikor vem, uporabnik s tem ni bil nikoli seznanjen. To ne izpolnjuje zgoraj navedenega merila o popolnem obveščanju uporabnikov. |
93. |
Skratka, moj predlagani odgovor na vprašanje 1(a) in (c) je, da ne gre za veljavno privolitev v smislu člena 5(3) in člena 2(f) Direktive 2002/58 v povezavi s členom 2(h) Direktive 95/46/ES v položaju, kakršen je ta v postopku v glavni stvari, če se shranjevanje podatkov ali pridobitev dostopa do podatkov, shranjenih v terminalski opremi naročnika, dovoli z vnaprej nastavljenim potrditvenim poljem, ki ga mora uporabnik odznačiti, da zavrne svojo privolitev, in če se privolitev ne poda ločeno, ampak sočasno s potrditvijo udeležbe v spletni nagradni igri. Enako velja za razlago členov 5(3) in 2(f) Direktive 2002/58 v povezavi s členom 4, točka 11, Uredbe (EU) 2016/679. |
b) Prvo potrditveno polje
94. |
Čeprav se vprašanja predložitvenega sodišča nanašajo samo na drugo potrditveno polje, bi rad podal dve posebni pripombi v zvezi s prvim potrditvenim poljem, ki predložitvenemu sodišču lahko pomagata pri sprejetju končne odločitve. |
95. |
Naj spomnim, da se prvo potrditveno polje ne nanaša na piškotke, ampak samo na obdelavo osebnih podatkov. Tukaj uporabnik ne privoli v shranjevanje podatkov na svojo opremo, ampak (zgolj) v to, da lahko z njim stopijo v stik družbe s seznama po pošti, telefonu ali prek elektronske pošte. |
96. |
Prvič, merila glede aktivno dane in ločene privolitve ter popolnega obveščanja se seveda uporabljajo tudi za prvo potrditveno polje. V zvezi z aktivno dano privolitvijo očitno ni težav, saj potrditveno polje ne vsebuje vnaprej nastavljene kljukice. Nasprotno pa imam nekaj dvomov glede ločene privolitve. Na podlagi zgoraj navedene analize ( 49 ) bi bilo glede na dejansko stanje v obravnavani zadevi bolje, če bi bilo treba za privolitev v obdelavo osebnih podatkov, figurativno rečeno, klikniti ločen gumb, ( 50 ) ne pa samo obkljukati polje. |
97. |
Drugič, glede prvega potrditvenega polja v zvezi s kontaktiranjem s strani sponzorjev in partnerjev bi bilo treba upoštevati člen 7(4) Uredbe (EU) 2016/679. V skladu s to določbo je treba pri ugotavljanju, ali je bila privolitev dana prostovoljno, med drugim zlasti upoštevati, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe. Člen 7(4) Uredbe (EU) 2016/679 torej zdaj kodificira „prepoved združevanja“. ( 51 ) |
98. |
Kot je razvidno iz besedila „se […] zlasti upošteva“, prepoved združevanja ni absolutna. ( 52 ) |
99. |
Tukaj bo pristojno sodišče moralo presoditi, ali je privolitev v obdelavo osebnih podatkov potrebna za sodelovanje v nagradni igri. V zvezi s tem ne smemo pozabiti, da je resnični namen sodelovanja v nagradni igri „prodaja“ osebnih podatkov (to je dajanje soglasja za kontaktiranje s strani tako imenovanih „sponzorjev“ s promocijskimi ponudbami). Povedano drugače, posredovanje osebnih podatkov je glavna obveznost uporabnika za sodelovanje v nagradni igri. Zdi se mi, da obdelava osebnih podatkov v takšnem položaju je potrebna za sodelovanje v nagradni igri. ( 53 ) |
3. Osebni podatki (vprašanje 1(b))
100. |
Zdaj bi rad preučil, ali je z vidika uporabe členov 5(3) in 2(f) Direktive 2002/58 v povezavi s členom 2(h) Direktive 95/46/ES pomembno, ali so shranjeni ali priklicani podatki osebni podatki. |
101. |
Najboljši način za razumevanje tega vprašanja je, če ga analiziramo glede na nemško zakonodajo, s katero je prenesen člen 5(3) Direktive 2002/58. ( 54 ) Nemška zakonodaja namreč določa razliko med zbiranjem in uporabo osebnih podatkov in drugih podatkov. |
102. |
V skladu s členom 12(1) TMG lahko ponudnik storitev osebne podatke zbira in uporablja samo, če je, med drugim, uporabnik v to privolil. |
103. |
Nasprotno sme ponudnik storitev v skladu s členom 15(3) TMG izdelovati uporabniške profile prek psevdonimov, med drugim za namene oglaševanja in tržnih raziskav, če uporabnik temu ne ugovarja. V nemškem pravu so torej zahteve, dokler ne gre za osebne podatke, manj stroge: ni potrebna privolitev, ampak samo neugovarjanje. |
104. |
Osebni podatki so v skladu s členom 4, točka 1, Uredbe (EU) 2016/679 pravno opredeljeni kot „kater[a] koli informacij[a] v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“. |
105. |
Menim, da so „podatki“ iz člena 5(3) Direktive 2002/58, glede obravnavane zadeve, nedvomno „osebni podatki“. Zdi se, da je to tudi stališče predložitvenega sodišča, ki v predložitveni odločbi izrecno navaja, da za priklic podatkov iz piškotkov, ki jih uporablja tožena stranka, velja zahteva po privolitvi iz člena 12(1) TMG, saj gre za osebne podatke. ( 55 ) Poleg tega ni videti, da je za stranki v postopku v glavni stvari sporno, da gre tukaj za osebne podatke. |
106. |
Zato se lahko vprašamo o upoštevnosti tega vprašanja v obravnavani zadevi in ali ni hipotetično. ( 56 ) |
107. |
Kakor koli že, mislim, da je odgovor na to vprašanje precej enostaven: ni pomembno, ali so shranjeni ali priklicani podatki osebni podatki. Člen 5(3) Direktive 2002/58 napotuje na „shranjevanj[e] podatkov ali pridobit[ev] dostopa do [že shranjenih] podatkov“. ( 57 ) Jasno je, da so takšni podatki osebnega značaja ne glede na to, ali so „osebni podatki“ v smislu člena 4, točka 1, Uredbe (EU) 2016/679 ali ne. Kot pravilno poudarja Komisija, je namen člena 5(3) Direktive 2002/58 zaščititi uporabnika pred poseganjem v njegovo zasebnost, ne glede na to, ali to poseganje vključuje osebne ali druge podatke. |
108. |
Takšno razumevanje člena 5(3) Direktive 2002/58 je poleg tega potrjeno v uvodnih izjavah 24 ( 58 ) in 25 ( 59 ) te direktive ter v mnenjih delovne skupine iz člena 29. V skladu z navedbami te delovne skupine se namreč „člen 5(3) uporablja za ‚podatke‘ (shranjene in/ali priklicane). Teh podatkov ne opredeljuje. Za uporabo te določbe ni nujno, da so ti podatki osebni podatki v smislu Direktive 95/46.“ ( 60 ) |
109. |
Posledično se zdi, da člen 15(3) TMG ne prenaša v celoti zahtev iz člena 5(3) Direktive 2002/58 v nemško pravo. ( 61 ) |
110. |
Zato predlagam, da se na vprašanje 1(b) odgovori, da z vidika uporabe členov 5(3) in 2(f) Direktive 2002/58 v povezavi s členom 2(h) Direktive 95/46 ni pomembno, ali so shranjeni ali priklicani podatki osebni podatki. |
C. Drugo vprašanje
111. |
Z drugim vprašanjem želi predložitveno sodišče izvedeti, katere informacije mora ponudnik storitve zagotoviti uporabniku v okviru jasnega in izčrpnega obvestila, ki se zahteva v skladu s členom 5(3) Direktive 2002/58, ter ali mednje spadata tudi čas delovanja piškotkov in vprašanje, ali bo dostop do piškotkov odobren tretjim osebam. |
1. Jasne in izčrpne informacije
112. |
Člena 10 in 11 Direktive 95/46 (ter člena 13 in 14 Uredbe (EU) 2016/679) določata obveznost zagotavljanja informacij posameznikom, na katere se nanašajo osebni podatki. Obveznost obveščanja je s privolitvijo povezana tako, da je treba vedno zagotoviti informacije, preden se lahko da privolitev. |
113. |
Glede na konceptualno bližino med uporabnikom (in ponudnikom) interneta in potrošnikom (in trgovcem) ( 62 ) lahko v tej fazi uporabimo pojem povprečnega evropskega potrošnika, ki je običajno obveščen ter razumno pozoren in preudaren ( 63 ) ter lahko sprejme odločitev, da se zaveže, ob polnem poznavanju dejstev. ( 64 ) |
114. |
Vendar zaradi tehnične zapletenosti piškotkov, asimetričnih informacij med ponudnikom in uporabnikom ter, splošneje, relativno pomanjkljivega znanja vsakega povprečnega uporabnika interneta ni mogoče pričakovati, da bi imel povprečen uporabnik interneta visoko raven znanja na področju delovanja piškotkov. |
115. |
Zato jasne in izčrpne informacije uporabniku omogočijo, da z lahkoto določi posledice morebitne dane privolitve. V ta namen mora imeti možnost oceniti učinke svojih dejanj. Dane informacije morajo biti jasno razumljive ter ne smejo dopuščati dvomov ali različnih razlag. Biti morajo dovolj podrobne, da uporabnik lahko razume delovanje dejansko uporabljenih piškotkov. |
116. |
To vključuje, kot pravilno navaja predložitveno sodišče, tako čas delovanja piškotkov kot tudi vprašanje, ali bo dostop do piškotkov odobren tretjim osebam. |
2. Informacije o času delovanja piškotkov
117. |
V skladu z uvodnima izjavama 23 in 26 Direktive 2002/58 je čas delovanja piškotkov eden od elementov zahteve po informirani privolitvi, kar pomeni, da morajo ponudniki storitev „vedno obveščati naročnike o vrstah podatkov, ki jih obdelujejo, in namenih ter trajanju take obdelave“. Čeprav je piškotek bistven, je treba vprašanje njegove vsiljivosti preučiti glede na z njim povezane okoliščine za namene privolitve. Ponudniki storitev morajo poleg vprašanja, katere podatke vsebuje posamezni piškotek in ali je povezan s kakšnimi drugimi podatki o uporabniku, upoštevati tudi življenjsko dobo piškotka in ali je ta primerna glede na njegov namen. |
118. |
Čas delovanja piškotka je povezan z eksplicitnimi zahtevami informirane privolitve glede kakovosti informacij in njihove dostopnosti uporabnikom. Te informacije so ključne, da lahko posamezniki sprejemajo ozaveščene odločitve pred obdelavo. ( 65 ) Kot zatrjujeta portugalska in italijanska vlada, iz tega, da je treba podatke, zbrane s piškotki, odstraniti, ko niso več potrebni za doseganje prvotnega namena, sledi, da je treba uporabnika jasno obvestiti o času shranjevanja zbranih podatkov. |
3. Informacije o dostopu tretjih strani
119. |
V obravnavani zadevi družba Planet49 trdi, da če tretje strani pridobijo dostop do piškotka, morajo biti uporabniki o tem tudi obveščeni. Če pa ima dostop do piškotka samo ponudnik, ki želi namestiti piškotek, tako kot v obravnavani zadevi, je dovolj opozoriti na to dejstvo. Tega, da tretje strani nimajo dostopa, ni treba posebej poudarjati. Takšna obveznost naj ne bi bila združljiva z namenom zakonodajalca, da morajo besedila v zvezi z varstvom podatkov ostati uporabnikom prijazna in kratka. |
120. |
S tako razlago se ne morem strinjati. Nasprotno, da bi bile informacije jasne in izčrpne, bi moral biti uporabnik izrecno obveščen o tem, ali imajo tretje osebe dostop do piškotkov ali ne. Če ga imajo, mora biti razkrita njihova identiteta. Kot pravilno poudarja Bundesverband, je to nujno potrebno, da se zagotovi dajanje informirane privolitve. |
4. Ugotovitev
121. |
Tako predlagam, naj se na drugo vprašanje odgovori, da jasne in izčrpne informacije, ki jih mora ponudnik storitev zagotoviti uporabniku v skladu s členom 5(3) Direktive 2002/58, vključujejo čas delovanja piškotkov in vprašanje, ali bo dostop do piškotkov odobren tretjim osebam ali ne. |
V. Predlog
122. |
Ob upoštevanju zgornjih ugotovitev Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Bundesgerichtshof (zvezno vrhovno sodišče, Nemčija), odgovori:
|
( 1 ) Jezik izvirnika: angleščina.
( 2 ) Direktiva Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).
( 3 ) Uredba Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1).
( 4 ) Pogosto imenovana „Direktiva o e-zasebnosti“.
( 5 ) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kot je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL 2009, L 337, str. 11).
( 6 ) UL 2002, L 108, str. 33.
( 7 ) Pogosto imenovana „Direktiva o piškotkih“.
( 8 ) Direktiva Evropskega parlamenta in Sveta z dne 25. novembra 2009 o spremembah Direktive 2002/22/ES o univerzalnih storitvah in pravicah uporabnikov v zvezi z elektronskimi komunikacijskimi omrežji in storitvami, Direktive 2002/58/ES in Uredbe (ES) št. 2006/2004 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov (UL 2009, L 337, p. 11). Normativna vsebina Direktive 2009/136 je tako zdaj vključena v zadnjenavedeni direktivi in navedeno uredbo, kakor so bile spremenjene (in v zvezi z obravnavano zadevo v člen 5(3) Direktive 2002/58), zaradi česar je v obravnavani zadevi navedena le uvodna izjava Direktive 2009/136.
( 9 ) Opomba ne zadeva slovenske jezikovne različice.
( 10 ) Poudariti je treba, da je to prejšnja različica BDSG z dne 20. decembra 1990, kot je bila spremenjena, in ne trenutno veljavna različica z dne 30. junija 2017.
( 11 ) Predstavo o tem, kakšna je bila dejanska spletna stran, je mogoče dobiti tukaj: https://web.archive.org/web/20130902100750/http:/www.dein-macbook.de:80/.
( 12 ) In druge klavzule, ki niso pomembne za zadevni postopek.
( 13 ) „Berufung“.
( 14 ) „Revision“.
( 15 ) Glej tudi sklepne predloge generalnega pravobranilca Y. Bota v zadevi Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, točka 5).
( 16 ) Glej Lynskey, O., Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens, European Law Review, Sweet & Maxwell, 2011, str. od 874 do 886, na str. 875 in 876.
( 17 ) Glej Lynskey, O., prav tam, na str. 878.
( 18 ) Glej na splošno Clifford, D., EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster – Tracking the crumbs of online user behaviour, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, str. 195 in 196.
( 19 ) Glej http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.
( 20 ) Glej Clifford, D., prav tam, str. 195 in 196.
( 21 ) Glej http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
( 22 ) Glej http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
( 23 ) Glej na primer Mnenje št. 4/2012 o izvzetju piškotkov iz obveznosti glede privolitve, ki ga je delovna skupina iz člena 29 sprejela 7. junija 2012 (00879/12/EN, WP 194, str. 12).
( 24 ) Za dopolnitev te slike bi lahko dodali, da je bila Direktiva 2002/58 spremenjena tudi z Direktivo 2006/24/ES Evropskega parlamenta in Sveta z dne 15. marca 2006 o hrambi podatkov, pridobljenih ali obdelanih v zvezi z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev ali javnih komunikacijskih omrežij, in spremembi Direktive 2002/58/ES (UL 2006, L 105, str. 54). Vendar je bila, prvič, kot izhaja iz člena 11 Direktive 2006/24, ta sprememba majhna in se je nanašala le na en člen Direktive 2002/58 ter, drugič in pomembneje, je bila Direktiva 2006/24 medtem razglašena za neveljavno; glej sodbo z dne 8. aprila 2014, Digital Rights Ireland in drugi (C‑293/12 in C‑594/12, EU:C:2014:238, točka 71).
( 25 ) V skladu s členom 99(2) Uredbe 2016/679.
( 26 ) Glej člen 94(1) Uredbe (EU) 2016/679.
( 27 ) V nemščini: „Unterlassungsanspruch“.
( 28 ) Glej Bundesgerichtshof (zvezno vrhovno sodišče), 23. februar 2016, XI ZR 101/15, točka II.1., Neue Juristische Wochenschrift (NJW), 2016, str. 1881: V delu, kjer je opustitvena tožba tožeče stranke usmerjena v prihodnost, mora pritožbeno sodišče predloge za sodno prepoved, katerih pravna podlaga se je med potekom sodnega postopka spremenila, preučiti ob upoštevanju trenutnega pravnega položaja, tudi če je pravna sprememba začela veljati šele po končani ustni obravnavi v postopku na drugi stopnji ali med pritožbenim postopkom. Glej tudi Bundesgerichtshof (zvezno vrhovno sodišče), 13. julij 2004. 2004, KZR 10/03, točka I., Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, str. 62.
( 29 ) V zvezi z uporabo Direktive 95/46 in Uredbe (EU) 2016/679 v okviru Feststellungsklage po nemškem procesnem pravu glej sodbo z dne 16. januarja 2019, Deutsche Post (C‑496/17, EU:C:2019:26, točka 39), in sklepne predloge generalnega pravobranilca M. Camposa Sánchez-Bordone v zadevi Deutsche Post (C‑496/17, EU:C:2018:838, točka 32): „Predložitveno sodišče samo razlaga nacionalno procesno pravo, glede katerega se Sodišče ne opredeli. Če torej na podlagi nacionalnih predpisov meni, da je treba o sporu odločiti – ratione temporis – ob upoštevanju UVP, in ne Direktive 95/46, mu mora Sodišče podati razlago UVP, in ne Direktive 95/46.“
( 30 ) Glej člen 94(2) Uredbe (EU) 2016/679.
( 31 ) Glej na splošno uvodno izjavo 2.
( 32 ) Zahteva po privolitvi ne preprečuje shranjevanja ali dostopa v skladu s členom 5(3), drugi stavek, Direktive 2002/58, če je njegov izključni namen opravljanje prenosa sporočila prek elektronskega komunikacijskega omrežja ali če je shranjevanje ali dostop nujno potrebno za zagotovitev storitve informacijske družbe, ki jo uporabnik izrecno zahteva. V obravnavani zadevi shranjevanje podatkov ali dostop do njih ni nujno iz tehničnih razlogov v smislu člena 5(3), drugi stavek, Direktive 2002/58, ampak se uporablja za namene oglaševanja; izjema od zahteve po privolitvi se torej ne uporablja.
( 33 ) Glej tudi Bond, R., The EU E-Privacy Directive and Consent to Cookies, The Business Lawyer, zv. 68, št. 1, American Bar Association, november 2012, str. 215.
( 34 ) Namesto izrazov „aktiven“ in „pasiven“ bi lahko uporabili tudi izraza „eksplicitno“ in „implicitno“.
( 35 ) Strogo gledano zahteva po ločeni privolitvi že vključuje zahtevo po aktivno dani privolitvi. Merila privolitve namreč ni mogoče „podtakniti“ z vnaprej označenimi nastavitvami le, če se uporablja ločeno.
( 36 ) To ne pomeni, da sodelovanje v nagradni igri ne sme biti pogojeno s privolitvijo. Vsekakor pa mora biti privolitev ločena in uporabnik mora biti ustrezno obveščen. K temu se bom vrnil v nadaljevanju.
( 37 ) In ker sem se že skliceval na uvodne izjave direktiv 2002/58 in 2009/136 zgoraj.
( 38 ) Sodbi z dne 19. novembra 1998, Nilsson in drugi (C‑162/97, EU:C:1998:554, točka 54), in z dne 24. novembra 2005, Deutsches Milch-Kontor (C‑136/04, EU:C:2005:716, točka 32), ter sklepni predlogi generalnega pravobranilca D. Ruiz-Jaraboja Colomerja v zadevi TeliaSonera Finland (C‑192/08, EU:C:2009:309, točke od 87 do 89).
( 39 ) Glej tudi moje sklepne predloge v združenih zadevah X in Visser (C‑360/15 in C‑31/16, EU:C:2017:397, točka 132).
( 40 ) Glej drugi stavek uvodne izjave 17 Direktive 2002/58.
( 41 ) To je svetovalni organ, ustanovljen na podlagi člena 29 Direktive 95/46. Z začetkom veljavnosti Uredbe (EU) 2016/679 je bila delovna skupina iz člena 29 nadomeščena z Evropskim odborom za varstvo podatkov (glej člena 68 in 94(2) Uredbe (EU) 2016/679).
( 42 ) Glej Mnenje 2/2010 o spletnem vedenjskem oglaševanju, ki ga je delovna skupina iz člena 29 sprejela 22. junija 2010 ((00909/10/EN, WP 171, str. 16, točka 4.1.3).
( 43 ) Mnenje 15/2011 o opredelitvi privolitve, ki ga je delovna skupina iz člena 29 sprejela 13. julija 2011 (01197/11/EN, WP 187, str. 12).
( 44 ) Mnenje 15/2011 o opredelitvi privolitve, ki ga je delovna skupina iz člena 29 sprejela 13. julija 2011 (01197/11/EN, WP 187, str. 12).
( 45 ) Mnenje 15/2011 o opredelitvi privolitve, ki ga je delovna skupina iz člena 29 sprejela 13. julija 2011 (01197/11/EN, WP 187, str. 12).
( 46 ) To je sicer razvidno že iz predložitvene odločbe, izrecno pa je to potrdilo tudi združenje Bundesverband na obravnavi, ko ga je o tem povprašalo Sodišče.
( 47 ) To je Bundesverband, nemška, italijanska in portugalska vlada ter Komisija.
( 48 ) Glej člen 7(4) Uredbe (EU) 2016/679.
( 49 ) Glej zlasti točko 66 teh sklepnih predlogov.
( 50 ) Gumb, kakršen je gumb za sodelovanje.
( 51 ) V nemški terminologiji: „Kopplungsverbot“, glej med številnimi drugimi deli Ingold, A., v: G. Sydow (ur.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden-Baden, 2017, člen 7, točka 30.
( 52 ) Glej Heckmann, D., Paschke, A., v: E. Ehmann, M. Selmayr (ur.), DS-GVO (Datenschutz-Grundverordnung), Kommentar, C.H. Beck, München, 2017, člen 7, točka 53.
( 53 ) Glej v tem smislu tudi Buchner, J., Kühling, B., v: J. Buchner, B. Kühling (ur.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2. izd., 2018, C.H. Beck, München, člen 7 DS-GVO, točka 48.
( 54 ) Kakor je bila spremenjena z Direktivo 2009/136.
( 55 ) Glej točko 24 predložitvene odločbe.
( 56 ) Med obravnavo je namreč predstavnik združenja Bundesverband poudaril, da bi bilo pojasnilo Sodišča v zvezi z vprašanjem 1(b) zelo koristno glede na spor v nemški pravni teoriji glede vprašanja, ali je člen 15(3) TMG v skladu s pravom Unije ali ne.
( 57 ) Moj poudarek.
( 58 ) Glej Pravni okvir zgoraj.
( 59 ) Prav tam.
( 60 ) Glej Mnenje 2/2010 o spletnem vedenjskem oglaševanju, ki ga je delovna skupina iz člena 29 sprejela 22. junija 2010 ((00909/10/EN, WP 171, str. 9, točka 3.2.1). Podobno je v Mnenju 2/2013 o aplikacijah na pametnih napravah, ki ga je 27. februarja 2013 sprejela delovna skupina iz člena 29 (00461/13/EN, WP 202, str. 7, točka 3.1), navedeno, da se „[z]ahteva po privolitvi iz člena 5(3) […] uporablja za vse informacije, ne glede na naravo podatkov, ki se shranjujejo ali do katerih se dostopa. Področje uporabe ni omejeno na osebne podatke, informacije so lahko namreč kakršni koli podatki, shranjeni v napravi“.
( 61 ) Če smo natančni: zahtev iz Direktive 2009/136, ki med drugim spreminja Direktivo 2002/58.
( 62 ) Glede terminologije na področju varstva potrošnikov glej člen 2 Direktive 2011/83/EU Evropskega parlamenta in Sveta z dne 25. oktobra 2011 o pravicah potrošnikov, spremembi Direktive Sveta 93/13/EGS in Direktive 1999/44/ES Evropskega parlamenta in Sveta ter razveljavitvi Direktive Sveta 85/577/EGS in Direktive 97/7/ES Evropskega parlamenta in Sveta (UL 2011, L 304, str. 64).
( 63 ) To je klasična terminologija, ki jo uporablja Sodišče za opis povprečnega evropskega potrošnika. Glej na primer sodbe z dne 7. avgusta 2018, Verbraucherzentrale Berlin (C‑485/17, EU:C:2018:642, točka 44); z dne 7. junija 2018, Scotch Whisky Association (C‑44/17, EU:C:2018:415, točka 47), in z dne 16. julija 1998, Gut Springenheide in Tusky (C‑210/96, EU:C:1998:369, točka 31).
( 64 ) Glej sklepne predloge generalnega pravobranilca H. Saugmandsgaarda Øeja v zadevi slewo (C‑681/17, EU:C:2018:1041, točka 55).
( 65 ) Mnenje 15/2011 o opredelitvi privolitve, ki ga je delovna skupina iz člena 29 sprejela 13. julija 2011 (01197/11/EN, WP 187, str. 37).