SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA

ATHANASIOSA RANTOSA,

predstavljeni 20. septembra 2022 ( 1 )

Zadeva C‑252/21

Meta Platforms Inc., nekdanja Facebook Inc.,

Meta Platforms Ireland Limited, nekdanja Facebook Ireland Ltd.,

Facebook Deutschland GmbH

proti

Bundeskartellamt,

ob udeležbi

Verbraucherzentrale Bundesverband e.V.

(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija))

„Predhodno odločanje – Uredba (EU) 2016/679 – Varstvo posameznikov pri obdelavi osebnih podatkov – Družbena omrežja – Člen 4, točka 11 – Pojem ‚privolitve‘ posameznika, na katerega se nanašajo osebni podatki – Privolitev, dana podjetju upravljavcu s prevladujočim položajem – Člen 6(1), od (b) do (f) – Zakonitost obdelave – Obdelava, potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba – Obdelava, potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe ali za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu – Člen 9(1) in člen 9(2)(e) – Posebne vrste osebnih podatkov – Osebni podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi – Členi od 51 do 66 – Pristojnosti nacionalnega organa za varstvo konkurence – Povezava s pristojnostmi nadzornih organov za varstvo osebnih podatkov – Sprejetje ukrepov na podlagi konkurenčnega prava s strani organa, ki ima sedež v drugi državi članici kot vodilni nadzorni organ za varstvo podatkov“

Uvod

1.

Ta predlog za sprejetje predhodne odločbe je vložilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija) v okviru spora med družbami skupine Meta Platforms ( 2 ) in Bundeskartellamt (zvezni urad za varstvo konkurence, Nemčija) v zvezi s sklepom, s katerim je zadnjenavedeni pritožnici v postopku v glavni stvari prepovedal obdelavo podatkov, določeno v pogojih za uporabo storitev njenega družbenega omrežja Facebook, in izvajanje teh pogojev za uporabo storitev ter naložil ukrepe za prenehanje teh dejavnosti. ( 3 )

2.

Vprašanja za predhodno odločanje se v bistvu nanašajo, po eni strani, na pristojnost nacionalnega organa za varstvo konkurence, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), da primarno ali posredno preuči ravnanje podjetja glede na nekatere določbe Uredbe (EU) 2016/679, ( 4 ) in, po drugi strani, na razlago teh določb, zlasti glede obdelave občutljivih osebnih podatkov, upoštevnih pogojev za zakonitost obdelave osebnih podatkov in izraza prostovoljne privolitve v razmerju do podjetja s prevladujočim položajem.

Pravni okvir

Pravo Unije

3.

Člen 4 GDPR določa:

„V tej uredbi:

[…]

(11)

‚privolitev‘ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;

[…]“.

4.

Člen 6(1) te uredbe, naslovljen „Zakonitost obdelave“, določa:

„Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo [svojih] osebnih podatkov v enega ali več določenih namenov;

(b)

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.“

5.

Člen 9(1) in (2) navedene uredbe, naslovljen „Obdelava posebnih vrst osebnih podatkov“, določa:

„1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2.   Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

[…]

(e)

obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

[…]“.

6.

Člen 51 navedene uredbe, naslovljen „Nadzorni organ“, ki je del njenega poglavja VI, naslovljenega „Neodvisni nadzorni organi“, določa:

„1.   Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji […].

2.   Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

[…]“.

Nemško pravo

7.

Člen 19(1) Gesetz gegen Wettbewerbsbeschränkungen (zakon o preprečevanju omejevanja konkurence, v nadaljevanju: GWB) določa:

„Zloraba pri izkoriščanju prevladujočega položaja na trgu s strani enega ali več podjetij je prepovedana.“ ( 5 )

8.

Člen 50f GWB določa:

„(1)   Organi za varstvo konkurence, regulativni organi, zvezni pooblaščenec za varstvo podatkov in svobodo obveščanja, deželni pooblaščenci za varstvo podatkov ter pristojni organi v smislu člena 2 EU-Verbraucherschutzdurchführungsgesetz [zakon o izvajanju prava Evropske unije o varstvu potrošnikov] si lahko ne glede na izbrani postopek izmenjujejo informacije, vključno z osebnimi podatki ter industrijskimi in poslovnimi skrivnostmi, kolikor je to potrebno za opravljanje njihovih nalog, in te informacije uporabijo v okviru svojih postopkov. […]“.

Spor o glavni stvari, vprašanja za predhodno odločanje in postopek pred Sodiščem

9.

Družba Meta Platforms v Evropski uniji upravlja spletno družbeno omrežje „Facebook“ (na naslovu www.facebook.com) in druge storitve na spletu, med katerim sta Instagram in WhatsApp. Poslovni model družbenih omrežij, ki jih upravlja družba Meta Platforms, je v bistvu po eni strani ponudba brezplačnih storitev družbenega omrežja za zasebne uporabnike in po drugi strani prodaja spletnega oglaševanja, ki je prilagojeno posameznim uporabnikom družbenega omrežja in katerega cilj je uporabniku prikazati izdelke in storitve, ki bi ga lahko zanimali, zlasti zaradi njegovega osebnega potrošniškega vedenja, interesov, kupne moči in osebnega položaja. Tehnična podlaga za tako oglaševanje je avtomatizirana vzpostavitev zelo podrobnih profilov uporabnikov omrežja in spletnih storitev, ki se ponujajo na ravni skupine. ( 6 )

10.

Družba Meta Platforms se za namen zbiranja in obdelave podatkov uporabnikov opira na pogodbo o uporabi, ki jo je sklenila s svojimi uporabniki s klikom na polje „Registracija“, s katerim se navedeni uporabniki tako strinjajo s Facebookovimi pogoji za uporabo storitev. Strinjanje s temi pogoji za uporabo storitev je bistveni pogoj za uporabo družbenega omrežja Facebook. ( 7 ) Bistvo obravnavane zadeve se nanaša na prakso, ki zajema, prvič, zbiranje podatkov iz drugih storitev, ki jih zagotavlja skupina, ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov ali prek piškotkov, nameščenih na računalniku ali mobilni terminalni opremi uporabnika, drugič, povezovanje teh podatkov s Facebookovim računom zadevnega uporabnika in, tretjič, uporabo navedenih podatkov (v nadaljevanju: sporna praksa).

11.

Bundeskartellamt (zvezni urad za varstvo konkurence) je proti družbi Meta Platforms začel postopek, po katerem ji je s spornim sklepom prepovedal obdelavo podatkov, določeno v pogojih za uporabo storitev Facebooka, in izvajanje teh pogojev ter ji naložil ukrepe za prenehanje teh dejavnosti. Bundeskartellamt (zvezni urad za varstvo konkurence) je svoj sklep obrazložil zlasti z dejstvom, da zadevna obdelava pomeni zlorabo prevladujočega položaja te družbe na trgu družbenih omrežij za zasebne uporabnike v Nemčiji v smislu člena 19 GWB. ( 8 )

12.

Družba Meta Platforms je 11. februarja 2019 zoper sporni sklep vložila tožbo pri Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu), ( 9 ) tj. predložitvenem sodišču, ki v bistvu dvomi, po eni strani, glede možnosti nacionalnih organov za varstvo konkurenco, da nadzirajo skladnost obdelave podatkov z zahtevami iz GDPR ter ugotovijo in kaznujejo kršitev njenih določb, ter, po drugi strani, glede razlage in uporabe nekaterih določb te uredbe.

13.

V teh okoliščinah je Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.

(a)

Ali je združljivo s členom 51 [GDPR] in naslednjimi, če nacionalni organ za varstvo konkurence, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), ki ni nadzorni organ v smislu člena 51 GDPR in naslednjih in ki je v državi, kjer ima podjetje s sedežem zunaj Evropske unije ‚podružnico‘, ki na področju oglaševanja, komunikacije in promocije podpira ‚glavno poslovno enoto‘ tega podjetja, ki ima sedež v drugi državi članici in ki je izključno odgovorna za obdelavo osebnih podatkov za celotno ozemlje Evropske unije, v okviru nadzora kršitev pravil konkurenčnega prava ugotovi, da ‚glavni sedež‘ s pogodbenimi pogoji, ki se nanašajo na obdelavo podatkov, in njihovim izvajanjem krši GDPR ter izda odredbo za prenehanje te kršitve?

(b)

Če je odgovor pritrdilen: Ali je združljivo s členom 4(3) PEU, če vodilni nadzorni organ v državi članici ‚glavnega sedeža‘ v smislu člena 56(1) GDPR hkrati vodi postopek preiskave njenih pogodbenih pogojev, ki se nanašajo na obdelavo podatkov?

Če je odgovor na prvo vprašanje pritrdilen:

2.

(a)

Ali gre potem – v primeru, ko internetni uporabnik spletna mesta ali aplikacije, ki so povezane z merili iz člena 9(1) GDPR, kot so na primer aplikacije za zmenke, platforme za iskanje istospolnih partnerjev, spletna mesta političnih strank ali z zdravjem povezana spletna mesta, zgolj obišče ali vanje vnese tudi podatke, recimo pri registraciji ali naročilih, neko drugo podjetje, kot je Facebook Ireland, pa prek vmesnikov, vključenih v ta spletna mesta in aplikacije, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika, zbira podatke o uporabnikovih obiskih spletnih mest in aplikacij ter o vanje vnesenih uporabnikovih podatkih, jih povezuje s podatki uporabnikovega računa [Facebook] in uporablja – pri tem zbiranju in/ali povezovanju in/ali uporabi za obdelavo občutljivih [osebnih] podatkov v smislu navedene določbe?

(b)

Če je odgovor pritrdilen: Ali obisk teh spletnih mest in aplikacij in/ali vnos podatkov in/ali klik na polja, ki jih ponudnik, kot je Facebook Ireland, vključi v ta spletna mesta ali aplikacije (‚družbeni vtičniki‘, kot je ‚Všeč mi je‘, ‚Deli z drugimi‘ oziroma ‚Facebook Login‘ ali ‚Account Kit‘) pomeni, da uporabnik podatke o obisku kot takem in/ali vnesene podatke sam objavi v smislu člena 9(2)(e) GDPR?

3.

Ali lahko podjetje, kot je Facebook Ireland, ki upravlja digitalno družbeno omrežje, financirano z oglasi, in v svojih pogojih za uporabo storitev ponuja personalizacijo vsebin in oglaševanja, varnost omrežja, izboljševanje proizvodov ter dosledno in nemoteno uporabo vseh koncernovih proizvodov, v utemeljitev navede potrebnost za izvajanje pogodbe v smislu člena 6(1)(b) GDPR ali upoštevanje zakonitih interesov v smislu člena 6(1)(f) GDPR, če v te namene z uporabnikovim računom [Facebook] povezuje in uporablja podatke, zbrane iz drugih koncernovih storitev ter prek vmesnikov, vključenih v tretja spletna mesta in aplikacije, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika?

4.

Ali so lahko v takem primeru tudi

mladoletnost uporabnika za personalizacijo vsebin in trženja, izboljševanje proizvoda, varnost omrežja in netrženjska komunikacija z uporabnikom,

zagotavljanje meritev, analitičnih podatkov in drugih poslovnih storitev za oglaševalce, razvijalce in druge partnerje, da lahko ti ocenijo in izboljšajo svoje storitve,

zagotavljanje trženjske komunikacije z uporabnikom, da lahko podjetje izboljša svoje proizvode in izvaja neposredno trženje,

raziskave in inovacije za družbeno korist, da se izboljša stanje tehnike oziroma znanstveno razumevanje pomembnih družbenih tem ter pozitivno vpliva na družbo in svet,

informiranje organov kazenskega pregona in izvršilnih organov ter odgovarjanje na poizvedbe, ki temeljijo na neki pravni podlagi, zaradi preprečevanja, odkrivanja in pregona kaznivih dejanj, nezakonite uporabe, kršitev pogojev za uporabo storitev in pravilnikov ter drugih škodljivih načinov vedenja,

zakoniti interesi v smislu člena 6(1)(f) GDPR, če podjetje v navedene namene z uporabnikovim računom [Facebook] povezuje in uporablja podatke, zbrane iz drugih koncernovih storitev ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika?

5.

Ali so lahko v takem primeru zbiranje podatkov iz drugih koncernovih storitev ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov, kot je ‚Facebook Business Tools‘, ali prek piškotkov oziroma podobnih tehnologij za shranjevanje, nameščenih na računalniku ali mobilni terminalni opremi internetnega uporabnika, povezovanje z uporabnikovim računom [Facebook] in uporaba oziroma uporaba že drugje zakonito zbranih in povezanih podatkov v posamičnem primeru utemeljeni tudi na podlagi člena 6(1)(c), (d) in (e) GDPR, na primer, da bi se lahko odgovorilo na poizvedbo po določenih podatkih, ki temelji na neki pravni podlagi (točka (c)), preprečilo škodljivo vedenje in okrepilo varnost (točka (d)), opravljalo raziskave v družbeno koristne namene ter spodbujalo zaščito, integriteto in varnost (točka (e))?

6.

Ali je v razmerju do podjetja, ki ima prevladujoč položaj na trgu, kot je Facebook Ireland, mogoče dati učinkovito – zlasti prostovoljno, kot določa člen 4, točka 11, GDPR – privolitev v smislu člena 6(1)(a) in člena 9(2)(a) GDPR?

Če je odgovor na prvo vprašanje nikalen:

7.

(a)

Ali lahko nacionalni organ za varstvo konkurence države članice, kot je Bundeskartellamt (zvezni urad za varstvo konkurence), ki ni nadzorni organ v smislu člena 51 GDPR in naslednjih in ki preiskuje kršitev nekega podjetja s prevladujočim položajem na trgu zoper prepoved zlorabe na področju konkurenčnega prava – pri kateri ne gre za vprašanje, ali se s pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in z izvajanjem teh pogojev krši GDPR – na primer v okviru presoje uravnoteženosti interesov sprejme ugotovitve v zvezi s tem, ali so pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in njihovo izvajanje skladni z GDPR?

(b)

Če je odgovor pritrdilen: Ali ob upoštevanju člena 4(3) PEU to velja tudi takrat, kadar pristojni vodilni nadzorni organ iz člena 56(1) GDPR istočasno vodi postopek preiskave v zvezi s pogoji tega podjetja, ki se nanašajo na obdelavo podatkov?

Če je odgovor na sedmo vprašanje pritrdilen, je potreben odgovor na tretje, četrto in peto vprašanje v zvezi s podatki, ki izhajajo iz uporabe koncernove storitve Instagram.“

14.

Pisna stališča so predložili družba Meta Platforms, nemška, češka, italijanska in avstrijska vlada, Bundeskartellamt (zvezni urad za varstvo konkurence), Verbraucherzentrale Bundesverband e.V. (združenje potrošnikov, Nemčija) in Evropska komisija. Te stranke so na obravnavi 10. maja 2022 tudi ustno predstavile stališča.

Analiza

15.

Vprašanja za predhodno odločanje, ki so predmet te zadeve in se nanašajo na razlago več določb GDPR, se v bistvu nanašajo, prvič, na pristojnost organa za varstvo konkurence za ugotovitev in sankcioniranje kršitve pravil o obdelavi osebnih podatkov ter njegove obveznosti sodelovanja z vodilnim organom v smislu GDPR (prvo in sedmo vprašanje za predhodno odločanje), drugič, na prepoved obdelave občutljivih osebnih podatkov in pogoje za privolitev v njihovo uporabo (drugo vprašanje za predhodno odločanje), tretjič, na zakonitost obdelave osebnih podatkov glede na nekatere utemeljitve (tretje, četrto in peto vprašanje za predhodno odločanje) in, četrtič, na veljavnost privolitve v obdelavo osebnih podatkov, podeljene podjetju s prevladujočim položajem (šesto vprašanje za predhodno odločanje).

16.

V naslednjih točkah bom najprej obravnaval prvo in sedmo vprašanje za predhodno odločanje in nato druga vprašanja za predhodno odločanje v vrstnem redu, v katerem so bila postavljena, pri čemer bom združil tretje, četrto in peto vprašanje za predhodno odločanje.

Prvo vprašanje za predhodno odločanje

17.

Predložitveno sodišče s prvim vprašanjem za predhodno odločanje v bistvu sprašuje, ali se lahko organ za varstvo konkurenco, kadar preganja kršitve pravil o konkurenci, po eni strani, primarno izreče ( 10 ) o kršitvi pravil GDPR v zvezi z obdelavo podatkov s strani podjetja, katerega glavni sedež, ki je izključno odgovoren za obdelavo osebnih podatkov za celotno Unijo, se nahaja v drugi državi članici, in, po drugi strani, odredi prenehanje te kršitve (prvo vprašanje, točka (a)), ter, če je odgovor pritrdilen, ali lahko vodilni nadzorni organ, pristojen na podlagi člena 56(1) GDPR, še vedno odredi izvedbo postopka preučitve pogojev obdelave podatkov tega podjetja (prvo vprašanje, točka (b)).

18.

Vendar se mi zdi, da – kar mora sicer preveriti predložitveno sodišče – Bundeskartellamt (zvezni urad za varstvo konkurence) v spornem sklepu ni sankcioniral kršitve GDPR s strani družbe Meta Platforms, temveč je zgolj za namene uporabe pravil o konkurenci izvedel preizkus zatrjevane kršitve prepovedi zlorabe prevladujočega položaja s strani te družbe, pri čemer je med drugim upošteval neskladnost ravnanja tega podjetja z določbami GDPR.

19.

Zato menim, da je prvo vprašanje, točka (a), v delu, v katerem se nanaša na možnost, da se organ za varstvo konkurence primarno izreče o kršitvi pravil GDPR in odredi prenehanje te kršitve v smislu te uredbe, brezpredmetno. ( 11 )

20.

Iz tega sledi, da je tudi prvo vprašanje, točka (b), ki je odvisno od pritrdilnega odgovora na prvo vprašanje, točka (a), brezpredmetno. ( 12 )

Sedmo vprašanje za predhodno odločanje

21.

Predložitveno sodišče s sedmim vprašanjem za predhodno odločanje v bistvu sprašuje, ali lahko organ za varstvo konkurence, kadar preganja kršitve pravil o konkurenci, posredno ugotovi, ( 13 ) ali so pogoji za obdelavo podatkov in njihovo izvajanje skladni z GDPR (sedmo vprašanje, točka (a)), ter, če je odgovor pritrdilen, ali je preizkus organa za varstvo konkurence mogoč tudi, kadar so ti pogoji hkrati predmet postopka preiskave pristojnega vodilnega nadzornega organa (sedmo vprašanje, točka (b)).

22.

Glede, na prvem mestu, sedmega vprašanja, točka (a), se mi zdi, da če organ za varstvo konkurence ni pristojen za ugotovitev kršitve GDPR, ( 14 ) zadnjenavedena načeloma ne nasprotuje temu, da lahko drugi organi, ki niso nadzorni organi, pri izvajanju svojih pristojnosti in pooblastil posredno upoštevajo združljivost ravnanja z določbami GDPR. To po mojem mnenju velja zlasti v zvezi s tem, da organ za varstvo konkurence izvaja pooblastila, ki so mu podeljena s členom 102 PDEU in členom 5, prvi odstavek, Uredbe (ES) št. 1/2003 ( 15 ) ali s katerim koli drugim ustreznim nacionalnim pravilom ( 16 ).

23.

Organ za varstvo konkurence mora namreč pri izvajanju svojih pristojnosti presoditi zlasti, ali obravnavano ravnanje pomeni uporabo drugačnih sredstev od tistih, ki so značilna za konkurenco na podlagi učinkovitosti, ob upoštevanju pravnega in gospodarskega okvira, v katerega se umešča to ravnanje. ( 17 ) V zvezi s tem lahko skladnost ali neskladnost navedenega ravnanja z določbami GDPR, ne samo po sebi, ampak ob upoštevanju vseh okoliščin obravnavanega primera, pomeni pomemben indic za ugotovitev, ali to ravnanje pomeni uporabo sredstev, ki so značilna za običajno konkurenco, pri čemer je treba pojasniti, da dejstvo, ali ravnanje pomeni zlorabo ali ne glede na člen 102 PDEU, ne izhaja iz njegove skladnosti ali neskladnosti z GDPR ali drugimi pravnimi pravili. ( 18 )

24.

Zato menim, da lahko preučitev zlorabe prevladujočega položaja na trgu upraviči to, da organ za varstvo konkurence razlaga pravila, ki ne spadajo v konkurenčno pravo, kot so pravila GDPR, ( 19 ) pri čemer je treba pojasniti, da se taka preučitev opravi posredno ( 20 ) in ne prejudicira uporabe te uredbe s strani pristojnih nadzornih organov. ( 21 )

25.

Na drugem mestu, glede sedmega vprašanja, točka (b), predložitveno sodišče sprašuje, kakšne so v okviru načela lojalnega sodelovanja iz člena 4(3) PEU obveznosti, ki jih ima glede na vodilni nadzorni organ v smislu GPDR organa za varstvo konkurence, ko razlaga določbe te uredbe in, natančneje, kadar isto ravnanje, kot je tisto, ki ga preučuje organ za varstvo konkurence, preučuje pristojni vodilni nadzorni organ.

26.

V obravnavanem primeru preučitev, čeprav posredna, ravnanja podjetja glede na pravila GPDR, ki jo opravi organ za varstvo konkurence, vključuje tveganje različnih ugotovitev tega organa in nadzornih organov glede razlage te uredbe, kar lahko načeloma ogrozi enotno razlago GDPR. ( 22 )

27.

Pravo Unije v takem primeru ne določa podrobnih pravil o sodelovanju med organom za varstvo konkurence in nadzornimi organi v smislu GDPR. Natančneje, v obravnavanem primeru se ne uporabljajo niti mehanizem sodelovanja med pristojnimi organi v smislu GDPR pri uporabi te uredbe ( 23 ) niti druga natančna pravila o sodelovanju med upravnimi organi, kot so pravila o sodelovanju med organi za varstvo konkurence ter med njimi in Komisijo pri uporabi pravil o konkurenci. ( 24 )

28.

Kljub temu mora organ za varstvo konkurenco pri razlagi GDPR upoštevati načelo lojalnega sodelovanja iz člena 4(3) PEU, v skladu s katerim se Unija in države članice, vključno z njihovimi upravnimi organi, ( 25 ) medsebojno spoštujejo in si pomagajo pri izpolnjevanju nalog, ki izhajajo iz Pogodb. Zlasti tretji pododstavek navedene določbe določa, da države članice podpirajo Unijo pri izpolnjevanju njenih nalog in se vzdržijo vseh ukrepov, ki bi lahko ogrozili uresničevanje ciljev Unije. ( 26 ) Poleg tega mora organ za varstvo konkurence tako kot vsak upravni organ, pristojen za uporabo prava Unije, upoštevati načelo dobrega upravljanja kot splošno načelo prava Unije, ki med drugim vključuje obširno dolžnost skrbnega ravnanja nacionalnih organov. ( 27 )

29.

Ker torej ni natančnih pravil o mehanizmih sodelovanja, ki jih mora eventualno sprejeti zakonodajalec Unije, za organ za varstvo konkurence pri razlagi določb GDPR veljajo vsaj obveznosti seznanjanja, obveščanja in sodelovanja v razmerju do pristojnih organov v smislu te uredbe na podlagi nacionalnih pravil, ki urejajo njegove pristojnosti (načelo procesne avtonomije držav članic), ter ob upoštevanju načel enakovrednosti in učinkovitosti. ( 28 )

30.

Iz tega po mojem mnenju sledi, da če se je pristojni vodilni nadzorni organ izrekel o uporabi nekaterih določb GDPR v zvezi z enako ali podobno prakso, organ za varstvo konkurenco načeloma ne bo mogel odstopiti od razlage tega organa, ki je edini pristojen za uporabo te uredbe, ( 29 ) in bo moral, kolikor je to mogoče in ob upoštevanju zlasti pravice do obrambe posameznikov, na katere se nanašajo osebni podatki, ravnati v skladu z morebitnimi odločbami, ki jih je ta sprejel v zvezi z istim ravnanjem, ( 30 ) in se bo v primeru dvomov o razlagi, ki jo je podal pristojni organ, posvetoval z njim ali se bo, po potrebi, če je ta v drugi državi članici, posvetoval z nacionalnim nadzornim organom. ( 31 )

31.

Poleg tega mora, če pristojni nadzorni organ ni sprejel odločbe, organ za varstvo konkurence vseeno obvestiti pristojni nadzorni organ ( 32 ) in sodelovati z njim, če je ta organ začel preizkus iste prakse ali je izrazil namero, da bo to storil, in po potrebi počakati izid preizkusa, ki ga opravi zadnjenavedeni, preden začne svojo presojo, če je to ustrezno in ne prejudicira med drugim tega, da organ za varstvo konkurence upošteva razumen rok za preiskavo in pravico do obrambe posameznikov, na katere se nanašajo osebni podatki. ( 33 )

32.

V obravnavani zadevi se mi zdi, da lahko dejstvo, da je Bundeskartellamt (zvezni urad za varstvo konkurence) vzpostavil sodelovanje z nadzornimi organi, pristojnimi na nacionalni ravni, ( 34 ) in tudi neuradno stopil v stik z irskim vodilnim nadzornim organom, tj. dejstvo, ki ga navaja ta urad in ga mora preveriti predložitveno sodišče, zadostuje za ugotovitev, da je ta organ izpolnil svoje obveznosti skrbnega ravnanja in lojalnega sodelovanja. ( 35 )

33.

Skratka, predlagam, naj se na sedmo vprašanje za predhodno odločanje odgovori tako, da je treba člene od 51 do 66 GDPR razlagati tako, da lahko organ za varstvo konkurence v okviru svojih pooblastil v smislu pravil o konkurenci posredno preuči skladnost obravnavanih praks s pravili GDPR, pri čemer upošteva vsako odločbo ali preiskavo nadzornega organa, pristojnega na podlagi GDPR, ter o tem obvesti nacionalni nadzorni organ in se po potrebi posvetuje z njim.

Drugo vprašanje za predhodno odločanje

34.

Predložitveno sodišče z drugim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 9(1) GDPR razlagati tako, da sporna praksa, kadar se nanaša na obisk tretjih spletnih strani in aplikacij, ( 36 ) spada pod obdelavo naštetih ( 37 ) občutljivih osebnih podatkov, ki je prepovedana ( 38 ) (drugo vprašanje, točka (a)), in če je odgovor pritrdilen, ali je treba člen 9(2)(e) te uredbe razlagati tako, da uporabnik sam objavi v smislu te določbe podatke, ki so bili, po eni strani, razkriti ob obisku spletnih strani in aplikacij ali, po drugi strani, tiste, ki so vneseni na te spletne strani ali v aplikacije ali pridobljeni s klikom na polja, vključena na te spletne strani ali v aplikacije ( 39 ) (drugo vprašanje, točka (b)).

35.

Glede, na prvem mestu, drugega vprašanja, točka (a), naj opozorim, da je v skladu s členom 9(1) GDPR obdelava občutljivih osebnih podatkov prepovedana. Kot izhaja iz uvodne izjave 51 te uredbe, posebno varstvo teh podatkov temelji na dejstvu, da so ti podatki po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin ter da bi lahko njihova obdelava resno ogrozila te pravice in svoboščine. Poleg tega se mi kljub nekoliko nejasnemu besedilu te določbe ( 40 ) ne zdi, kot meni predložitveno sodišče, da uvaja bistveno razliko med osebnimi podatki, ki so občutljivi, ker „razkrivajo“ določeno stanje, in podatki, ki so sami po sebi občutljivi. ( 41 )

36.

V obravnavanem primeru je po mojem mnenju očitno, da sporna praksa pomeni obdelavo osebnih podatkov, ki načeloma lahko spada na področje uporabe te določbe in je prepovedana, kadar obdelani podatki „razkrivajo“ enega od občutljivih položajev, navedenih v tej določbi. Zato je treba ugotoviti, ali in v kakšnem obsegu lahko obisk spletnih mest in aplikacij ali vnos podatkov nanje oziroma vanje „razkriva“ enega od občutljivih položajev, navedenih v zadevni določbi.

37.

V zvezi s tem dvomim, da je upoštevno (in še vedno mogoče) razlikovati med, na eni strani, preprostim zanimanjem posameznika, na katerega se nanašajo osebni podatki, za nekatere informacije in, na drugi strani, dejstvom, da ta posameznik spada v eno od kategorij, ki jih zajema zadevna določba. ( 42 ) Čeprav si stališča strank v postopku v glavni stvari v zvezi s tem nasprotujejo, ( 43 ) menim, da je odgovor na to vprašanje mogoče poiskati le za vsak primer posebej in ob upoštevanju vsake od dejavnosti, ki so del sporne prakse.

38.

Čeprav, kot poudarja nemška vlada, preprosto zbiranje občutljivih osebnih podatkov, ki se nanašajo na obisk spletnega mesta ali aplikacije, samo po sebi ni nujno obdelava občutljivih osebnih podatkov v smislu te določbe, ( 44 ) pa je po drugi strani povezovanje teh podatkov s Facebookovim računom zadevnega uporabnika ali njihova uporaba ravnanje, ki bi lahko pomenilo tako obdelavo. Odločilni element za uporabo člena 9(1) GDPR je po mojem mnenju možnost, da obdelani podatki omogočajo oblikovanje profila uporabnika glede na kategorije, ki izhajajo iz seznama občutljivih osebnih podatkov, ki ga vsebuje ta določba. ( 45 )

39.

V tem okviru bi bilo za ugotovitev, ali obdelava podatkov spada na področje uporabe te določbe, morda koristno razlikovati, kjer je to ustrezno, med, na eni strani, obdelavo podatkov, ki jih je mogoče prima facie uvrstiti v kategorijo občutljivih osebnih podatkov, ki sami po sebi omogočajo oblikovanje profila posameznika, na katerega se nanašajo osebni podatki, in, na drugi strani, obdelavo podatkov, ki sami po sebi niso občutljivi, vendar zahtevajo naknadno dejavnost združevanja, da bi se izpeljali verodostojni sklepi za oblikovanje profila posameznika, na katerega se nanašajo osebni podatki.

40.

Ob tem je treba pojasniti, da obstoj kategorizacije v smislu te določbe ni odvisen od vprašanja, ali je ta kategorizacija resnična ali pravilna. ( 46 ) Kar je pomembno, je možnost, da taka kategorizacija povzroča veliko tveganje za temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, kot je na to opozorjeno v uvodni izjavi 51 GDPR, pri čemer ta možnost ni odvisna od njene resničnosti.

41.

Nazadnje, glede predloga predložitvenega sodišča, s katerim želi izvedeti, ali je cilj uporabe upošteven za zadevno presojo, ( 47 ) v nasprotju s tem, kar trdi tožeča stranka v postopku v glavni stvari, menim, da se načeloma ne zahteva, da upravljavec obdeluje te podatke „ob zavedanju in z namenom, da iz tega neposredno izpelje določene vrste informacij“. Cilj zadevne določbe je namreč v bistvu objektivno preprečiti znatna tveganja za temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki jih povzroča obdelava občutljivih osebnih podatkov, neodvisno od kakršnega koli subjektivnega elementa, kot je namen upravljavca.

42.

Na drugem mestu, glede drugega vprašanja, točka (b), naj opozorim, da se v skladu s členom 9(2)(e) GDPR prepoved obdelave občutljivih osebnih podatkov ne uporablja, če je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi. Poleg tega je zaradi sklicevanja v besedilu te določbe na zaimek „sam“ in dejstva, da navedena določba pomeni izjemo od načela prepovedi obdelave občutljivih osebnih podatkov, ( 48 ) potrebna posebej stroga uporaba te izjeme zaradi znatnih tveganj za temeljne pravice in temeljne svoboščine posameznikov, na katere se nanašajo osebni podatki. ( 49 ) Da bi se lahko ta izjema uporabila, se mora uporabnik po mojem mnenju popolnoma zavedati, da z izrecnim dejanjem ( 50 ) objavlja osebne podatke. ( 51 )

43.

V obravnavani zadevi se mi zdi, da ravnanja, ki vključuje obisk spletnih mest in aplikacij, vnos podatkov na ta spletna mesta in v te aplikacije ter klik na polja, vključena vanje, načeloma ni mogoče enačiti z ravnanjem, s katerim uporabnik sam objavi občutljive osebne podatke v smislu člena 9(2)(e) GDPR.

44.

Natančneje, ugotavljam, da z obiskom spletnih mest in aplikacij podatki o obisku načeloma postanejo dostopni samo upravljavcu zadevne spletne strani ali aplikacije in tretjim osebam, ki jim ta te informacije posreduje, kot je tožeča stranka v postopku v glavni stvari. ( 52 ) Prav tako, če bi posameznik, na katerega se nanašajo osebni podatki, z vnosom podatkov na spletna mesta in v aplikacije lahko neposredno in prostovoljno posredoval informacije o nekaterih občutljivih osebnih podatkih, ugotavljam tudi, da so te informacije dostopne le upravljavcu zadevnega spletnega mesta ali aplikacije in tretjim osebam, ki jim ta te informacije posreduje. Zato izključujem možnost, da bi takšno ravnanje lahko dokazovalo željo, da se ti podatki dajo na voljo skupnosti. ( 53 ) Poleg tega, čeprav je očitno, da posameznik, na katerega se nanašajo osebni podatki, s klikom na polja, vključena na spletna mesta ali v aplikacije, ( 54 ) jasno izrazi željo po deljenju nekaterih informacij z javnostjo zunaj zadevnega spletnega mesta ali aplikacije, menim, da se, kot poudarja Bundeskartellamt (zvezni urad za varstvo konkurence), zadevna oseba s tem ravnanjem zaveda, da informacije deli z določenim krogom oseb, ki ga pogosto opredeli uporabnik sam, ( 55 ) in ne s skupnostjo. ( 56 )

45.

Nazadnje, glede upoštevnosti morebitne privolitve uporabnika v smislu člena 5(3) Direktive 2002/58 za zbiranje osebnih podatkov s piškotki ali podobnimi tehnologijami, ki jo navaja predložitveno sodišče, menim, da ta privolitev glede na njen poseben cilj sama po sebi ne more upravičiti obdelave občutljivih osebnih podatkov, zbranih s temi sredstvi. ( 57 ) Navedena privolitev, ki je potrebna za namestitev tehničnega sredstva za zajemanje določenih dejavnosti uporabnika, ( 58 ) se namreč ne nanaša na obdelavo občutljivih osebnih podatkov in je ni mogoče enačiti z željo, da te podatke sam objavi v smislu člena 9(2)(e) GDPR. ( 59 )

46.

Skratka, predlagam, naj se na drugo vprašanje za predhodno odločanje odgovori, da je treba, po eni strani, člen 9(1) GDPR razlagati tako, da lahko prepoved obdelave občutljivih osebnih podatkov vključuje obdelavo podatkov, ki jo opravi upravljavec spletnega družbenega omrežja in ki zajema zbiranje podatkov uporabnika, ko obišče druga spletna mesta ali aplikacije ali vanje vnese te podatke, povezovanje navedenih podatkov z računom uporabnika družbenega omrežja in njihovo uporabo, če obdelane informacije, obravnavane posamično ali združene, omogočajo oblikovanje profilov uporabnika glede na kategorije, ki izhajajo s seznama občutljivih osebnih podatkov, ki ga vsebuje ta določba, in, po drugi strani, da je treba člen 9(2)(e) GDPR razlagati tako, da uporabnik ne objavi sam podatkov, zato ker so bili ti razkriti z obiskom spletnih strani in aplikacij ali vneseni na te spletne strani ali v aplikacije ali ki izhajajo iz klika na polja, vključena vanje.

Tretje, četrto in peto vprašanje za predhodno odločanje

47.

Predložitveno sodišče s tretjim, četrtim in petim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 6(1)(b), (c), (d), (e) in (f) GDPR razlagati tako, da sporna praksa ( 60 ) spada na področje uporabe ene od utemeljitev iz teh določb, natančneje:

potrebnosti za izvajanje pogodbe ( 61 ) ali upoštevanja zakonitih interesov ( 62 ) glede na to, da družba Meta Platforms upravlja družbeno omrežje, ki se financira iz oglaševanja in ki v svojih pogojih za uporabo storitev ponuja personalizacijo vsebin in oglaševanja, varnost omrežja, izboljševanje proizvoda ter dosledno in nemoteno uporabo vseh proizvodov skupine (tretje vprašanje za predhodno odločanje);

upoštevanja teh zakonitih interesov ( 63 ) v nekaterih okoliščinah ( 64 ) (četrto vprašanje za predhodno odločanje);

potrebe po odgovoru na pravno veljavno zahtevo po predložitvi nekaterih podatkov, ( 65 ) potrebe po preprečevanju škodljivega vedenja in okrepitvi varnosti ( 66 ) ali raziskovalnih namenov za družbeno korist in potrebe po spodbujanju zaščite, integritete in varnosti ( 67 ) (peto vprašanje za predhodno odločanje).

48.

Uvodoma, ne glede na nekatera vprašanja glede dopustnosti četrtega in petega vprašanja za predhodno odločanje, ( 68 ) predlagam, naj se na tretje, četrto in peto vprašanje za predhodno odločanje odgovori skupaj, ker bodo lahko informacije, ki jih bom navedel v nadaljevanju, predvsem v zvezi s tretjim vprašanjem za predhodno odločanje, za predložitveno sodišče koristne tudi pri uporabi določb, ki so predmet četrtega in petega vprašanja za predhodno odločanje.

49.

Primarno poudarjam, da je treba v skladu s členom 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina) osebne podatke obdelovati pošteno, za določene namene in na legitimni podlagi, določeni z zakonom. V zvezi s tem člen 6(1) GDPR določa, da je obdelava teh podatkov zakonita le, če je izpolnjen eden od šestih pogojev iz te določbe. ( 69 )

50.

V obravnavani zadevi najprej menim, da je treba za tretje, četrto in peto vprašanje za predhodno odločanje za vsak primer posebej podrobno analizirati različne klavzule pogojev za uporabo storitev Facebooka v okviru sporne prakse, saj ni mogoče ugotoviti, ali se lahko v zvezi s to prakso „podjetje, kot je [Meta Platforms]“, kot celota sklicuje na vse (ali nekatere) utemeljitve iz člena 6(1) GDPR, čeprav ni mogoče izključiti, da lahko navedena praksa ali nekatere njene dejavnosti v nekaterih primerih spadajo na področje uporabe tega člena. ( 70 )

51.

Dalje, obdelava, predvidena z navedenimi določbami, se v obravnavanem primeru izvaja na podlagi splošnih pogojev pogodbe, ki jih je vsilil upravljavec, brez privolitve posameznika, na katerega se nanašajo osebni podatki, ( 71 ) ali celo proti njegovi volji, zaradi česar je po mojem mnenju potrebna ozka razlaga zadevnih utemeljitev, zlasti zato, da se prepreči izogibanje pogoju privolitve. ( 72 )

52.

Nazadnje naj opozorim, da v skladu s členom 5(2) GDPR dokazno breme, da se osebni podatki obdelujejo v skladu s pravili te uredbe, nosi upravljavec ter da mora v skladu s členom 13(1)(c) navedene uredbe upravljavec osebnih podatkov določiti namene, za katere se podatki obdelujejo, in tudi pravno podlago za njihovo obdelavo.

Tretje vprašanje za predhodno odločanje

53.

Na prvem mestu, v skladu s členom 6(1)(b) GDPR je obdelava osebnih podatkov zakonita, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki. ( 73 )

54.

V zvezi s tem opozarjam, da pojem „nujnost“ ni opredeljen v zakonodaji Unije, vendar v skladu s sodno prakso kljub temu pomeni avtonomni pojem prava Unije. ( 74 ) Da bi bila obdelava potrebna za izvajanje pogodbe, ne zadostuje, da se izvaja v povezavi z izvajanjem pogodbe ali da je navedena v pogodbi ( 75 ) niti da je preprosto koristna za izvajanje pogodbe. ( 76 ) V skladu s sodno prakso Sodišča mora biti obdelava objektivno potrebna za izvajanje pogodbe v tem smislu, da ne smejo obstajati realne alternative, ki manj posegajo v pravice, ( 77 ) pri čemer se upoštevajo tudi razumna pričakovanja posameznika, na katerega se nanašajo osebni podatki. ( 78 ) To vključuje tudi dejstvo, da bi bilo treba, kadar je pogodba sestavljena iz več storitev ali ločenih elementov iste storitve, ki se lahko izvedejo neodvisno drug od drugega, uporabo člena 6(1)(b) GDPR oceniti ločeno v okviru vsake od teh storitev. ( 79 )

55.

V okviru te utemeljitve predložitveno sodišče navaja personalizacijo vsebin ter dosledno in nemoteno uporabo proizvodov (ali bolje storitev) skupine.

56.

V zvezi s personalizacijo vsebin se mi zdi, da čeprav je taka dejavnost lahko v določeni meri v interesu uporabnika, ker omogoča, da se zlasti v polju „Vir novic“ predstavijo vsebine, ki v skladu z avtomatizirano oceno ustrezajo interesom uporabnika, ni očitno, da je potrebna tudi za zagotavljanje storitve zadevnega družbenega omrežja, tako da za obdelavo osebnih podatkov za te namene ni potrebna privolitev tega uporabnika. ( 80 ) Za namene te preučitve bi bilo treba upoštevati tudi dejstvo, da se sporna praksa ne nanaša na obdelavo podatkov v zvezi z vedenjem uporabnika na Facebookovi strani ali v aplikaciji, ampak na obdelavo podatkov, ki izhajajo iz zunanjih virov in so torej potencialno neomejeni. Zato se sprašujem, v kakšnem obsegu bi ta obdelava lahko ustrezala pričakovanjem povprečnega uporabnika in, splošneje, kakšna je „stopnja personalizacije“, ki jo lahko pričakuje od storitve, v katero se prijavi. ( 81 )

57.

V zvezi z dosledno in nemoteno uporabo storitev skupine ugotavljam, da je lahko povezava med različnimi storitvami, ki jih ponuja tožeča stranka v postopku v glavni stvari, na primer med Facebookom in Instagramom, koristna za uporabnika ali jo ta včasih celo želi. Vendar dvomim, da je obdelava osebnih podatkov, pridobljenih iz drugih storitev skupine (zlasti Instagrama), potrebna za zagotavljanje storitev Facebooka. ( 82 )

58.

Na drugem mestu, v skladu s členom 6(1)(f) GDPR je obdelava osebnih podatkov zakonita, kadar je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

59.

V skladu s sodno prakso Sodišča zadevna določba predpisuje tri kumulativne pogoje za to, da je obdelava osebnih podatkov zakonita, in sicer, prvič, da si upravljavec ali tretja oseba ali osebe, ki so jim podatki posredovani, prizadevajo za zakonit interes, drugič, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, in tretjič, da ne prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov. ( 83 )

60.

Najprej, glede uresničevanja zakonitega interesa opozarjam, da GDPR in sodna praksa priznavata širok nabor interesov, ki se štejejo za zakonite, ( 84 ) pri čemer pojasnjujeta, da mora upravljavec v skladu s členom 13(1)(c) GDPR navesti zakonite interese, ki se uresničujejo na podlagi člena 6(1)(f) GDPR. ( 85 )

61.

Dalje, glede pogoja v zvezi tem, da je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi, morajo biti v skladu s sodno prakso Sodišča odstopanja od načela varstva osebnih podatkov in njegove omejitve strogo omejeni na tisto, kar je nujno. ( 86 ) Zato je potrebna tesna povezava med obdelavo in zasledovanim interesom, če ni drugih možnosti, ki bi bolj spoštovale varstvo osebnih podatkov, saj ne zadostuje, da je obdelava zgolj koristna za upravljavca.

62.

Nazadnje, glede uravnoteženja interesov upravljavca na eni strani z interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, na drugi strani mora predložitveno sodišče v skladu s sodno prakso Sodišča pretehtati zadevne interese. ( 87 ) Poleg tega je, kot je navedeno v uvodni izjavi 47 GDPR, bistveno upoštevati razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje z upravljavcem, in ugotoviti, ali lahko posameznik, na katerega se nanašajo osebni podatki, v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo obdelovali za določen namen.

63.

V okviru te utemeljitve predložitveno sodišče navaja personalizacijo oglaševanja, varnost omrežja in izboljševanje proizvoda.

64.

Najprej, glede personalizacije oglaševanja, iz uvodne izjave 47 GDPR izhaja, da se lahko obdelava osebnih podatkov za neposredno trženje šteje za opravljeno v zakonitem interesu upravljavca. Vendar je treba v zvezi z nujnostjo obdelave poudariti, da zadevni podatki izvirajo iz virov zunaj Facebooka, zato se postavlja vprašanje, kakšna je „stopnja personalizacije“ oglaševanja, ki je v zvezi s tem objektivno potrebna. Glede uravnoteženja zadevnih interesov, po mojem mnenju je treba upoštevati naravo zadevnega zakonitega interesa (v obravnavanem primeru izključno gospodarski interes) in vpliv obdelave na uporabnika, vključno z njegovimi razumnimi pričakovanji in morebitnimi zaščitnimi ukrepi, ki jih sprejme upravljavec. ( 88 )

65.

Podobni preudarki so nadalje mogoči v zvezi z varnostjo omrežja. Čeprav namreč lahko taka utemeljitev pomeni zakonit interes upravljavca, ( 89 ) je manj očitna ugotovitev, da je obdelava v obravnavanem primeru potrebna, tudi ob upoštevanju tega, da zadevni podatki izvirajo iz virov zunaj Facebooka. ( 90 ) Vsekakor opozarjam, da mora upravljavec določiti varnostne namene, na katerih morebiti temelji posamezna obdelava.

66.

Nazadnje, glede izboljševanja proizvoda se mi zdi, da bi morala biti taka utemeljitev, če so izključena izboljševanja, povezana z varnostjo, ki spadajo pod zgoraj preučeno konkretno utemeljitev, bolj v interesu uporabnika kot pa upravljavca podatkov. S tega vidika je težko razumeti, v kakšnem obsegu bi lahko pomenila zakonit interes upravljavca in se izognila privolitvi uporabnika. Glede pogoja nujnosti ter uravnoteženja zadevnih pravic in interesov se sklicujem na zgornje preudarke.

Četrto in peto vprašanje za predhodno odločanje

67.

Četrto vprašanje za predhodno odločanje, ki v bistvu pomeni razširitev drugega dela tretjega vprašanja za predhodno odločanje, se nanaša na to, ali nastanek nekaterih naštetih položajev pomeni obstoj zakonitega interesa v smislu člena 6(1)(f) GDPR, medtem ko želi predložitveno sodišče s petim vprašanjem za predhodno odločanje izvedeti, ali potreba po odgovoru na pravno veljavno zahtevo po predložitvi nekaterih podatkov, in sicer potreba po preprečevanju škodljivega vedenja in okrepitvi varnosti ali raziskovalni nameni za družbeno korist ter potreba po spodbujanju zaščite, integritete in varnosti pomenijo utemeljitve, ki se uporabljajo za sporno prakso. ( 91 )

68.

Ne glede na dopustnost teh vprašanj ( 92 ) na splošno menim, da v zvezi s četrtim vprašanjem za predhodno odločanje ni mogoče izključiti, da so nekatere klavzule, ki opredeljujejo sporno prakso, v okoliščinah, ki jih navaja predložitveno sodišče, ( 93 ) lahko utemeljene z zakonitimi interesi, in v zvezi s petim vprašanjem za predhodno odločanje, da je v nekaterih primerih sporno prakso mogoče utemeljiti na podlagi navedenih določb.

69.

Vendar iz predložitvene odločbe ni razvidno, ali in v kakšnem obsegu je družba Meta Platforms Ireland za vsak namen obdelave in tipologijo obdelanih podatkov navedla konkretno zasledovane zakonite interese ali druge utemeljitve, ki bi bile morebiti upoštevne v obravnavani zadevi. ( 94 ) Zato mora predložitveno sodišče ob upoštevanju zgoraj navedenega preučiti, v kakšnem obsegu je sporna praksa v okoliščinah, ki jih navaja to sodišče, utemeljena z obstojem zakonitih interesov družbe Meta Platforms Ireland za obdelavo podatkov v smislu člena 6(1)(f) GDPR ali z drugim pogojem iz člena 6(1)(c), (d) in (e) te uredbe.

Odgovor na tretje, četrto in peto vprašanje za predhodno odločanje

70.

Skratka, predlagam, naj se na tretje, četrto in peto vprašanje za predhodno odločanje odgovori tako, da je treba člen 6(1)(b), (c), (d), (e) in (f) GDPR razlagati tako, da lahko sporna praksa ali nekatere od dejavnosti, ki jo sestavljajo, spadajo med izjeme iz teh določb, če vsak preučeni način obdelave podatkov izpolnjuje pogoje, določene z utemeljitvijo, ki jo konkretno navede upravljavec, in če je torej:

obdelava objektivno potrebna za zagotavljanje storitev, povezanih s Facebookovim računom;

obdelava potrebna za uresničevanje zakonitega interesa, ki so ga navedli upravljavec ali tretja oseba ali tretje osebe, ki so jim podatki posredovani, ter ne vpliva nesorazmerno na temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki;

obdelava potrebna zaradi odgovora na pravno veljavno zahtevo po predložitvi nekaterih podatkov, preprečevanja škodljivega vedenja in okrepitve varnosti ali za raziskovalne namene za družbeno korist ter spodbujanje zaščite, integritete in varnosti.

Šesto vprašanje za predhodno odločanje

71.

Predložitveno sodišče s šestim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 6(1)(a) in člen 9(2)(a) GDPR razlagati tako, da je mogoče veljavno in prostovoljno privolitev v smislu člena 4, točka 11, te uredbe dati podjetju, ki ima prevladujoč položaj na nacionalnem trgu spletnih družbenih omrežij za zasebne uporabnike.

72.

Uvodoma opozarjam, da člen 6(1)(a) in člen 9(2)(a) GDPR določata obveznost privolitve posameznika, na katerega se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov na splošno oziroma obdelavo občutljivih osebnih podatkov. Poleg tega v skladu s členom 4, točka 11, GDPR v tej uredbi „privolitev“ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj. ( 95 )

73.

Natančneje, glede pogoja „prostovoljne“ privolitve, ki je edini zadevni pogoj v obravnavani zadevi, poudarjam, da se v skladu z uvodno izjavo 42 GDPR privolitev ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ( 96 ) ali privolitve ne more zavrniti ali preklicati brez škode. ( 97 ) Poleg tega bi moral biti upravljavec, kot je določeno v členu 7(1) GDPR (in navedeno v uvodni izjavi 42 navedene uredbe), kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, zmožen dokazati, da je ta posameznik privolil v obdelavo svojih osebnih podatkov.

74.

Kolikor je upoštevno v obravnavani zadevi, opozarjam, najprej, da kot je poudarjeno v uvodni izjavi 43, prvi stavek, GDPR, privolitev ni veljavna pravna podlaga za obdelavo osebnih podatkov, kadar obstaja „očitno neravnotežje“ med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, ( 98 ) dalje, da je treba v skladu s členom 7(4) GDPR pri ugotavljanju, ali je bila privolitev dana prostovoljno, med drugim zlasti upoštevati, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe, ( 99 ) in nazadnje, da se v skladu z uvodno izjavo 43, drugi stavek, GDPR ravno tako domneva, da privolitev ni bila dana prostovoljno, če ni mogoče dati ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi bila taka ločena privolitev v posameznem primeru ustrezna. ( 100 )

75.

V obravnavani zadevi menim, da ima morebiten prevladujoč položaj na trgu, ki ga ima upravljavec osebnih podatkov, ki upravlja družbeno omrežje, pomembno vlogo pri presoji obstoja prostovoljne privolitve uporabnika tega omrežja. Obstoj položaja tržne moči upravljavca osebnih podatkov lahko namreč povzroči očitno neravnotežje v razmerjih moči v smislu, navedenem v točki 74 teh sklepnih predlogov. ( 101 ) Vendar je treba pojasniti, po eni strani, da za to, da bi bil tak položaj tržne moči upošteven z vidika uporabe GDPR, ni treba, da je nujno izenačen s pragom prevladujočega položaja v smislu člena 102 PDEU, ( 102 ) in, po drugi strani, da sama ta okoliščina načeloma ne more preprečiti vsakršne veljavnosti privolitve. ( 103 )

76.

Zato bo treba veljavnost privolitve preučiti za vsak primer posebej glede na druge dejavnike, navedene v točkah 73 in 74 teh sklepnih predlogov, ter ob upoštevanju vseh okoliščin primera in dejstva, da dokazno breme, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo osebnih podatkov, ki se nanašajo nanj, nosi upravljavec.

77.

Skratka, predlagam, naj se na šesto vprašanje za predhodno odločanje odgovori tako, da je treba člen 6(1)(a) in člen 9(2)(a) GDPR razlagati tako, da zgolj okoliščina, da ima podjetje, ki upravlja družbeno omrežje, prevladujoč položaj na nacionalnem trgu spletnih družbenih omrežij za zasebne uporabnike, sama po sebi ne more preprečiti, da bi bila privolitev uporabnika tega omrežja v obdelavo njegovih osebnih podatkov veljavna v smislu člena 4, točka 11, GDPR. Vendar ima taka okoliščina vlogo pri presoji prostovoljnosti privolitve v smislu te določbe, ki jo mora dokazati upravljavec, pri čemer je treba po potrebi upoštevati obstoj očitnega neravnotežja v razmerjih moči med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, morebitno obveznost privolitve v obdelavo osebnih podatkov, ki niso nujno potrebni za zagotavljanje zadevnih storitev, potrebo, da mora biti privolitev specifična za vsak namen obdelave, in potrebo po preprečitvi, da bi preklic privolitve uporabniku, ki prekliče svojo privolitev, povzročil škodo.

Predlog

78.

Glede na zgornje preudarke Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Oberlandesgericht Düsseldorf (višje deželno sodišče v Düsseldorfu, Nemčija), odgovori:

1.

Člene od 51 do 66 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

je treba razlagati tako, da:

lahko organ za varstvo konkurence v okviru svojih pooblastil v smislu pravil o konkurenci posredno preuči skladnost obravnavanih praks s pravili te uredbe, pri čemer upošteva vsako odločbo ali preiskavo nadzornega organa, pristojnega na podlagi navedene uredbe, ter o tem obvesti nacionalni nadzorni organ in se po potrebi posvetuje z njim.

2.

Člen 9(1) Uredbe 2016/679

je treba razlagati tako, da:

lahko prepoved obdelave občutljivih osebnih podatkov vključuje obdelavo podatkov, ki jo opravi upravljavec spletnega družbenega omrežja in ki zajema zbiranje podatkov uporabnika, ko obišče druga spletna mesta ali aplikacije ali vanje vnese te podatke, povezovanje navedenih podatkov z računom uporabnika družbenega omrežja in njihovo uporabo, če obdelane informacije, obravnavane posamično ali združene, omogočajo oblikovanje profilov uporabnika glede na kategorije, ki izhajajo s seznama občutljivih osebnih podatkov, ki ga vsebuje ta določba.

Člen 9(2)(e) te uredbe je treba razlagati tako, da:

uporabnik ne objavi sam podatkov, zato ker so bili ti razkriti z obiskom spletnih strani in aplikacij ali vneseni na te spletne strani ali v aplikacije ali ki izhajajo iz klika na polja, vključena vanje.

3.

Člen 6(1)(b), (c), (d), (e) in (f) Uredbe 2016/679

je treba razlagati tako, da:

lahko praksa, ki zajema, prvič, zbiranje podatkov iz drugih storitev, ki jih zagotavlja skupina, ter s tretjih spletnih mest in aplikacij, prek vanje vključenih vmesnikov ali prek piškotkov, nameščenih na računalniku ali mobilni terminalni opremi uporabnika, drugič, povezovanje teh podatkov s Facebookovim računom zadevnega uporabnika in, tretjič, uporabo navedenih podatkov, ali nekatere od dejavnosti, ki sestavljajo to prakso, spadajo med izjeme iz teh določb, če vsak preučeni način obdelave podatkov izpolnjuje pogoje, določene z utemeljitvijo, ki jo konkretno navede upravljavec, in če je torej:

obdelava objektivno potrebna za zagotavljanje storitev, povezanih s Facebookovim računom;

obdelava potrebna za uresničevanje zakonitega interesa, ki so ga navedli upravljavec ali tretja oseba ali tretje osebe, ki so jim podatki posredovani, ter ne vpliva nesorazmerno na temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki;

obdelava potrebna zaradi odgovora na pravno veljavno zahtevo po predložitvi nekaterih podatkov, preprečevanja škodljivega vedenja in okrepitve varnosti ali za raziskovalne namene za družbeno korist ter spodbujanje zaščite, integritete in varnosti.

4.

Člen 6(1)(a) in člen 9(2)(a) Uredbe 2016/679

je treba razlagati tako, da:

zgolj okoliščina, da ima podjetje, ki upravlja družbeno omrežje, prevladujoč položaj na nacionalnem trgu spletnih družbenih omrežij za zasebne uporabnike, sama po sebi ne more preprečiti, da bi bila privolitev uporabnika tega omrežja v obdelavo njegovih osebnih podatkov veljavna v smislu člena 4, točka 11, te uredbe. Vendar ima taka okoliščina vlogo pri presoji prostovoljnosti privolitve v smislu te določbe, ki jo mora dokazati upravljavec, pri čemer je treba po potrebi upoštevati obstoj očitnega neravnotežja v razmerjih moči med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, morebitno obveznost privolitve v obdelavo osebnih podatkov, ki niso nujno potrebni za zagotavljanje zadevnih storitev, potrebo, da mora biti privolitev specifična za vsak namen obdelave, in potrebo po preprečitvi, da bi preklic privolitve uporabniku, ki prekliče svojo privolitev, povzročil škodo.


( 1 ) Jezik izvirnika: francoščina.

( 2 ) In sicer družbami Meta Platforms Inc., nakdanja Facebook Inc., Meta Platforms Ireland Limited, nakdanja Facebook Ireland Ltd., in Facebook Deutschland GmbH (v nadaljevanju: Meta Platforms ali pritožnica v postopku v glavni stvari).

( 3 ) Sklep B6-22/15 z dne 6. februarja 2019 (v nadaljevanju: sporni sklep).

( 4 ) Uredba Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 2, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: GDPR).

( 5 ) V različici, ki je veljala do 18. januarja 2021.

( 6 ) V ta namen družba Meta Platforms poleg podatkov, ki jih uporabniki neposredno navedejo ob registraciji za zadevne spletne storitve, zbira tudi druge podatke, ki se nanašajo na uporabnike in naprave, znotraj in zunaj družbenega omrežja in spletnih storitev, ki jih zagotavlja skupina, ter te podatke povezuje z različnimi računi zadevnih uporabnikov. Na podlagi navedenih podatkov kot celote je mogoče izpeljati podrobne ugotovitve o preferencah in interesih uporabnikov.

( 7 ) Natančneje, glede obdelave osebnih podatkov se pogoji za uporabo storitev sklicujejo na politike uporabe podatkov in piškotkov, ki jih je določila družba Meta Platforms. Na podlagi zadnjenavednih družba Meta Platforms zbira podatke o uporabnikih in njihovih napravah, ki se nanašajo na njihove dejavnosti znotraj in zunaj družbenega omrežja ter jih dodaja v njihove Facebookove račune. Dejavnosti zunaj družbenega omrežja zajemajo, po eni strani, obiske tretjih spletnih strani in aplikacij, ki so prek vmesnikov za aplikacijsko programiranje (tj. „Facebook Business Tools“) povezane s Facebookom, in, po drugi strani, uporabo drugih spletnih storitev, ki pripadajo skupini Meta Platforms, med katerimi sta Instagram in WhatsApp.

( 8 ) Po mnenju Bundeskartellamt (zvezni urad za varstvo konkurence) so bile s to obdelavo kot izrazom tržne moči kršene določbe GDPR in obdelava ni bila utemeljena glede na člen 6(1) in člen 9(2) te uredbe.

( 9 ) Poleg tega je družba Meta Platforms 31. julija 2019 na pobudo Evropske komisije in nacionalnih združenj za varstvo potrošnikov iz držav članic uvedla nove pogoje za uporabo storitev, v katerih je izrecno navedeno, da se uporabnik, namesto da bi plačal za uporabo Facebookovih proizvodov, strinja s prikazovanjem oglasov. Poleg tega družba Meta Platforms od 28. januarja 2020 na svetovni ravni ponuja dejavnost zunaj Facebooka, imenovano „Off-Facebook-activity“, s katero lahko uporabniki Facebooka prejmejo povzetek informacij, ki se nanašajo nanje in so bile pridobljene v zvezi z njihovimi dejavnostmi na drugih spletnih straneh in v aplikacijah, ter te podatke, če želijo, za nazaj in za v prihodnje ločijo od svojega Facebookovega računa.

( 10 ) Zdi se mi, da je treba besedilo „ugotovi, da […] krši GDPR ter izda odredbo za prenehanje te kršitve“ iz prvega vprašanja za predhodno odločanje razlagati v tem smislu.

( 11 ) Glede na to, da GDPR določa popolno harmonizacijo prava o varstvu podatkov, katerega osrednji element je harmoniziran izvedbeni mehanizem, ki temelji na načelu „vse na enem mestu“, določenem v členih od 51 do 67 te uredbe, se mi vsekakor zdi očitno, da organ, ki ni nadzorni organ v smislu navedene uredbe (kot je organ za varstvo konkurenco), ni pristojen, niti da primarno ugotovi kršitev te uredbe niti da uporabi predvidene sankcije.

( 12 ) Vsekakor ob upoštevanju dejstva, da organ za varstvo konkurence ni pristojen, niti da primarno ugotovi kršitev te uredbe niti da uporabi predvidene sankcije, menim, da morebitna odločitev organa za varstvo konkurenco v tem smislu ne more posegati v pristojnosti nadzornih organov v smislu GDPR.

( 13 ) Zdi se mi, da je tako treba razlagati besedilo „lahko […] na primer v okviru presoje uravnoteženosti interesov sprejme ugotovitve v zvezi s tem, ali so pogoji tega podjetja, ki se nanašajo na obdelavo podatkov, in njihovo izvajanje skladni z GDPR“, ki ga vsebuje sedmo vprašanje za predhodno odločanje.

( 14 ) Glej opombo 11 teh sklepnih predlogov.

( 15 ) Uredba Sveta z dne 16. decembra 2002 o izvajanju pravil konkurence iz členov [101 in102 PDEU] (UL, posebna izdaja v slovenščini, poglavje 8, zvezek 2, str. 205).

( 16 ) Kot je člen 19 GWB, na katerem temelji sporni sklep.

( 17 ) Glej na primer sodbo z dne 6. septembra 2017, Intel/Komisija (C‑413/14 P, EU:C:2017:632, točka 136 in navedena sodna praksa). Poleg tega je Sodišče pojasnilo, da se člen 102 PDEU splošno uporablja in da njegove uporabe ni mogoče omejiti z obstojem regulativnega okvira, ki ga je sprejel zakonodajalec Unije, v tem primeru regulativnega okvira na področju elektronskih komunikacij (glej v tem smislu sodbo z dne 10. julija 2014, Telefónica in Telefónica de España/Komisija, C‑295/12 P, EU:C:2014:2062, točka 128).

( 18 ) Glede na različne cilje obeh kategorij pravil je namreč očitno, da lahko ravnanje v zvezi z obdelavo podatkov pomeni kršitev pravil o konkurenci, čeprav je skladno z GDPR, in obratno, nezakonito ravnanje v smislu GDPR ne vodi nujno do ugotovitve, da vključuje kršitev pravil o konkurenci. V zvezi s tem je Sodišče pojasnilo, da skladnost ravnanja s posebno zakonodajo ne nasprotuje temu, da se za isto ravnanje uporabita člena 101 in 102 PDEU (glej zlasti sodbo z dne 6. decembra 2012, AstraZeneca/Komisija, C‑457/10 P, EU:C:2012:770, točka 132, v kateri je Sodišče prav tako opozorilo, da zlorabe prevladujočega položaja v večini primerov vključujejo ravnanja, ki so sicer na drugih področjih prava, kot je konkurenčno pravo, zakonita). Če bi se namreč samo ravnanja, ki hkrati objektivno omejujejo konkurenco in so pravno nezakonita, štela za zlorabo v smislu člena 102 PDEU, bi to pomenilo, da ravnanja zgolj zaradi njegove zakonitosti, čeprav je potencialno škodljivo za konkurenco, ne bi bilo mogoče sankcionirati na podlagi člena 102 PDEU, kar bi ogrozilo cilj te določbe, ki je vzpostaviti sistem, s katerim se zagotavlja, da konkurenca na notranjem trgu ni izkrivljena (glej v tem smislu moje sklepne predloge v zadevi Servizio Elettrico Nazionale in drugi, C‑377/20, EU:C:2021:998, točka 37). V skladu s sodno prakso Sodišča se člena 101 in 102 PDEU ne uporabljata le, če gre za protikonkurenčno ravnanje, ki je podjetjem naloženo z nacionalno zakonodajo, ali če ta ustvarja pravni okvir, ki sam odpravlja vsakršno možnost njihovega konkurenčnega ravnanja, medtem ko se ta člena lahko uporabljata, če se izkaže, da nacionalna zakonodaja pušča možnost konkurence, ki bi jo lahko ovirala, omejevala ali izkrivljala samostojna ravnanja podjetij (glej v tem smislu sodbo z dne 14. oktobra 2010, Deutsche Telekom/Komisija, C‑280/08 P, EU:C:2010:603, točka 80 in navedena sodna praksa).

( 19 ) Razlaga, v skladu s katero bi bilo organom za varstvo konkurence pri izvajanju njihovih pristojnosti prepovedano razlagati določbe GDPR, bi namreč lahko ogrozila učinkovito uporabo konkurenčnega prava Unije.

( 20 ) Poleg tega posredna narava razlage GDPR s strani organa za varstvo konkurence ne preprečuje, da bi bila ta razlaga predmet sodnega nadzora pred nacionalnimi sodišči, pristojnimi za konkurenco, ki bi lahko v primeru težav pri razlagi Sodišču predložila predlog za sprejetje predhodne odločbe, kot je v obravnavani zadevi glede drugega, tretjega, četrtega, petega in šestega vprašanja za predhodno odločanje.

( 21 ) Z razlago GDPR s strani organa za varstvo konkurence samo za namene uporabe pravil (in morda naložitve sankcij), določenih v konkurenčnem pravu, namreč nadzornim organom ne morejo biti odvzete pristojnosti in pooblastila, ki jih imajo na podlagi te uredbe. Poleg tega možnost posredne razlage navedene uredbe s strani organa za varstvo konkurence tudi ne povzroča težav v zvezi z njeno uporabo, ki je pridržana za nadzorne organe, niti v zvezi z naložitvijo popravnih ukrepov ali sankcij, saj ukrepi ali sankcije, ki jih morebiti naloži organ za varstvo konkurence, temeljijo na pravilih, ciljih in legitimnih interesih, ki se razlikujejo od tistih, ki so varovani s to uredbo (zato v takem primeru za naložitev sankcij s strani organa za varstvo konkurence in nadzornega organa v smislu GDPR po mojem mnenju ne velja načelo ne bis in idem (glej po analogiji sodbo z dne 22. marca 2022, bpost, C‑117/20, EU:C:2022:202, točke od 42 do 50)).

( 22 ) Tveganje različne razlage je sicer neločljivo povezano z vsakim področjem, ki ga ureja zakonodaja, ki jo organ za varstvo konkurenco mora upoštevati ali lahko upošteva za presojo zakonitosti določenega ravnanja glede na konkurenčno pravo.

( 23 ) Poglavji VI in VII GDPR zlasti uvajata mehanizme „vse na enem mestu“ za izmenjavo informacij in medsebojno pomoč med nadzornimi organi.

( 24 ) Glej Uredbo št. 1/2003 in Direktivo (EU) 2019/1 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o krepitvi vloge organov držav članic, pristojnih za konkurenco, da bodo učinkoviteje uveljavljali pravila konkurence, in o zagotavljanju pravilnega delovanja notranjega trga (UL 2019, L 11, str. 3).

( 25 ) Glej v tem smislu zlasti sodbi z dne 14. novembra 1989, Italija/Komisija (14/88, EU:C:1989:421, točka 20), in z dne 11. junija 1991, Athanasopoulos in drugi (C‑251/89, EU:C:1991:242, točka 57).

( 26 ) Poleg tega je sam mehanizem sodelovanja med nadzornimi organi, vzpostavljen z GDPR, mogoče šteti za lex specialis, ki dopolnjuje in pojasnjuje splošno načelo lojalnega sodelovanja iz člena 4(3) PEU (glej zlasti v pravni teoriji Hijmans, H., „Article 51 Supervisory authority“, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, str. 869). Enako velja za druge instrumente sodelovanja, ki so obstajali pred instrumentom iz GDPR, kot je sistem sodelovanja med organi za varstvo konkurence (glej zlasti poglavje IV Uredbe št. 1/2003).

( 27 ) Glej v tem smislu sklepne predloge generalne pravobranilke V. Trstenjak v zadevi Gorostiaga Atxalandabaso/Parlament (C‑308/07 P, EU:C:2008:498, točka 89).

( 28 ) Glej zlasti sodbo z dne 2. junija 2022, Skeyes (C‑353/20, EU:C:2022:423, točka 52 in navedena sodna praksa). Po mojem mnenju bo mogoče smernice v zvezi z ukrepi, ki jih je treba sprejeti, po potrebi izpeljati iz sistema sodelovanja, vzpostavljenega z GDPR, in sistema sodelovanja, vzpostavljenega na področju konkurence, pri čemer je treba pojasniti, da ob neobstoju ad hoc določb dolžnost skrbnega ravnanja organa za varstvo konkurence ne pomeni, da zanj veljajo podrobne obveznosti, kot so med drugim tiste, ki so določene v okviru postopka sodelovanja in nadzora skladnosti, urejenega v poglavju VII GDPR (ni na primer mogoče pričakovati, da bo organ za varstvo konkurence poslal osnutek odločbe pristojnemu nadzornemu organu v smislu te uredbe, da bi pridobil njegovo mnenje).

( 29 ) Glej po analogiji glede področja, zajetega s farmacevtsko ureditvijo Unije, zlasti sodbo z dne 23. januarja 2018, F. Hoffmann-La Roche in drugi (C‑179/16, EU:C:2018:25, točke od 58 do 64).

( 30 ) Povedano drugače, ta odločba je sama po sebi del pravnega in dejanskega okvira, ki ga mora preučiti organ za varstvo konkurence, pri čemer lahko še naprej svobodno izpelje svoje sklepe z vidika uporabe konkurenčnega prava (glej opombo 18 teh sklepnih predlogov).

( 31 ) Glede na vlogo in funkcije nacionalnih nadzornih organov v sistemu sodelovanja, vzpostavljenem z GDPR, menim, da lahko sodelovanje z nacionalnim nadzornim organom samo po sebi zadostuje za izpolnitev obveznosti skrbnega ravnanja in lojalnega sodelovanja organa za varstvo konkurence, zlasti kadar ta nima možnosti (ob upoštevanju veljavnih postopkov nacionalnega prava) ali sredstev (zlasti jezikovnih), da bi zadovoljivo sodeloval z vodilnim nadzornim organom druge države članice.

( 32 ) Ali morebiti, če je ta organ v drugi državi članici, nacionalni nadzorni organ (glej opombo 31 teh sklepnih predlogov).

( 33 ) Pri čemer je treba opozoriti, da razlaga nekaterih določb GDPR, ki jo je podal organ za varstvo konkurence pri izvajanju svojih pooblastil, ne vpliva na razlago in uporabo teh določb s strani pristojnih nadzornih organov v smislu te uredbe (glej opombo 21 teh sklepnih predlogov).

( 34 ) Bundeskartellamt (zvezni urad za varstvo konkurence) v zvezi s tem trdi, da se je oprl na nemško konkurenčno pravo, ki mu omogoča izmenjavo informacij z nacionalnimi nadzornimi organi v smislu GDPR.

( 35 ) To še toliko bolj velja, če sta mu, kot trdi Bundeskartellamt (zvezni urad za varstvo konkurence), nemški zvezni nadzorni organ in irski vodilni nadzorni organ potrdila, da zadnjenavedeni ni začel nobenega postopka v zvezi z istimi praksami, ki jih je preučil ta urad.

( 36 ) Predložitveno sodišče se sklicuje zlasti na to, da uporabnik obišče spletne strani ali aplikacije in na te strani ali v aplikacije (kot so aplikacije za zmenke ali iskanje istospolnih partnerjev, ali spletna mesta političnih strank, ali z zdravjem povezana spletna mesta) vnese podatke, iz katerih se ustvarijo podatki, ki so varovani z zadevno določbo.

( 37 ) V nadaljevanju: občutljivi osebni podatki. Gre za obdelavo osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelavo genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

( 38 ) Podredno ugotavljam, da ima Bundeskartellamt (zvezni urad za varstvo konkurence) pomisleke glede upoštevnosti tega vprašanja za rešitev spora, saj je v svojem sklepu upošteval privolitev v smislu člena 6(1)(a) GDPR in ne privolitve na podlagi člena 9(2)(a) GDPR.

( 39 ) Predložitveno sodišče se v zvezi s tem sklicuje na družbene „vtičnike“, kot sta gumba „Všeč mi je“ ali „Deli z drugimi“, na „Facebook Login“ (tj. možnost identifikacije z uporabo poverilnic za prijavo, povezanih s Facebookovim računom) in na „Account Kit“ (tj. možnost identifikacije v aplikaciji ali na spletnem mestu, ki nista nujno povezana s Facebookom, s telefonsko številko ali elektronskim naslovom, ne da bi bilo potrebno geslo).

( 40 ) Opažam tudi veliko neskladje med francosko različico GDPR, ki se v prvem stavku te določbe nanaša na obdelavo osebnih podatkov, ki „razkriva“ nekatere občutljive položaje, in nemško različico (ter zlasti grško in italijansko različico), ki se nanaša na obdelavo osebnih podatkov, ki „razkrivajo“ te položaje. Če se ne motim, je francoska različica te določbe v nasprotju z večino drugih jezikovnih različic. Poleg tega se mi v okviru navedene določbe zdi bolj logično, da se glagol „razkrije“ povezuje s podatki, saj so v nadaljevanju te določbe predmet analize podatki in ne obdelava. To je razvidno tudi iz francoske različice besedila uvodne izjave 51 GDPR, v kateri je pojasnjeno, da bi morali občutljivi osebni podatki „vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo“ (moj poudarek).

( 41 ) Menim, da ne bi bilo v skladu z duhom člena 9(1) GDPR (in te uredbe), ki je zaščititi nekatere občutljive podatke osebe, če bi se razlikovalo na primer med, na eni strani, rasnim ali etničnim poreklom, ki bi vključevalo prepoved obdelave ne samo podatkov, ki ga neposredno navajajo, ampak tudi tistih, ki razkrivajo ta položaj, in, na drugi strani, genskimi podatki, prepoved obdelave katerih ne bi zajemala podatkov, ki razkrivajo ta položaj, pri čemer je treba dodati, da ne bi bilo vedno očitno razlikovati med, na eni strani, podatki, ki razkrivajo določene položaje (na primer rasno ali etnično poreklo), in, na drugi strani, podatki v zvezi z drugimi položaji (na primer zdravjem). V zvezi s tem ugotavljam, da čeprav se člen 9(1) GDPR med drugim nanaša na podatke v zvezi z zdravjem, člen 4, točka 15, GDPR opredeljuje „podatke o zdravstvenem stanju“ kot „osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju“ (moj poudarek). Kot navaja nemška vlada, lahko ta nedoslednost v besedilu zadevne določbe pomeni samo ne posebej uspešen poskus razlikovanja med čistimi podatki z neposredno informativno vsebino in „metapodatki“, za katere se ustrezna informativna vsebina pojavlja le v konkretnem okviru na podlagi ocene ali povezovanja.

( 42 ) Načeloma sta, kot trdi pritožnica v postopku v glavni stvari, ta vidika različna. Zgolj dejstvo, da je uporabnik obiskal spletno mesto ali je bil v interakciji z njim, namreč samo po sebi ne razkrije nujno informacij o njegovih prepričanjih, zdravju, političnih mnenjih itd., saj zanimanje za spletno mesto ne razkriva samodejno pripadnosti idejam, ki se s tem spletnim mestom načrtno razširjajo, ali kategorijam, ki jih to spletno mesto predstavlja. To zlasti velja za obisk spletnega mesta politične stranke ali mesta, ki predstavlja posebno politično ideologijo, saj obisk tega mesta ne pomeni nujno strinjanja s to ideologijo, ampak se lahko opravi iz radovednosti ali celo kritičnega odnosa do navedene ideologije.

( 43 ) Po mnenju družbe Meta Platforms dejstvo, da je uporabnik obiskal spletno mesto ali je bil v interakciji z njim, samo po sebi ne razkriva občutljivih informacij, saj tudi če bi bilo zanimanje za spletno mesto ugotovljeno ali uporabljeno, to ne bi pomenilo obdelave občutljivih osebnih podatkov. To bi veljalo le, če bi bili uporabniki na podlagi teh podatkov kategorizirani. Zato bi podatki, ki so predmet sporne prakse, spadali na področje varstva iz člena 9(1) GDPR le, če bi se nanašali na eno od kategorij iz te uredbe in bi bili subjektivno obdelani na podlagi poznavanja dejstev in z namenom pridobitve teh vrst informacij. Glede na razlago Bundeskartellamt (zvezni urad za varstvo konkurence), ki je po mojem mnenju preveč toga, pa že preprosto dejstvo, da posameznik, na katerega se nanašajo osebni podatki, obišče določeno spletno stran ali uporablja določeno aplikacijo, katere glavni namen spada na področja iz člena 9(1) GDPR, že odpira obseg varstva, ki ga zagotavlja ta določba. Varstvo občutljivih osebnih podatkov naj ne bi bilo odvisno od namena upravljavca, da bo te podatke uporabil, saj na pravice posameznika, na katerega se nanašajo osebni podatki, vpliva že dejstvo, da so navedeni podatki zdaj zunaj njegovega področja vpliva.

( 44 ) Kot je priznal Evropski odbor za varstvo podatkov (EOVP), namreč samo dejstvo, da ponudnik družbenih medijev obdeluje velike količine podatkov, ki bi se potencialno lahko uporabili za sklepanje o posebnih vrstah podatkov, ne pomeni samodejno, da obdelava spada na področje uporabe člena 9 GDPR (glej EOVP, Smernice št. 8/2020 z dne 13. aprila 2021 o ciljnem usmerjanju v uporabnike družbenih medijev (v nadaljevanju: Smernice EOVP št. 8/2020), točka 124).

( 45 ) Taka razlaga bi po mojem mnenju omogočila preprečiti položaj, ki ga obžaluje tožeča stranka v postopku v glavni stvari, v katerem bi upravljavec v bistvu privzeto kršil GDPR, ker ne bi mogel preprečiti morebitnega prejema (zlasti z avtomatiziranimi sredstvi) informacij, ki so posredno povezane z občutljivimi vrstami podatkov, kar ne vpliva na obveznost upravljavca, da sprejme ustrezne tehnične in organizacijske ukrepe za zagotovitev ustrezne ravni varnosti glede na tveganje v skladu s členom 32 GDPR.

( 46 ) Glej v tem smislu Smernice EOVP št. 8/2020, točka 125.

( 47 ) Predložitveno sodišče v zvezi s tem navaja personalizacijo družbenega omrežja in oglaševanja, varnost omrežja, izboljševanje storitev, zagotavljanje storitev merjenja in analitike za oglaševalce, raziskovanje v korist vseh, odgovarjanje na pravne poizvedbe, spoštovanje zakonskih obveznosti, zaščito življenjskih interesov uporabnikov in tretjih oseb ter naloge, ki se izvajajo v javnem interesu.

( 48 ) Glej po analogiji sodbo z dne 21. decembra 2016, Tele2 Sverige ter Watson in drugi (C‑203/15 in C‑698/15, EU:C:2016:970, točka 89 in navedena sodna praksa), v zvezi z razlago člena 15(1) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL 2009, L 337, str. 11).

( 49 ) Glej tudi Mnenje št. 6/2014, str. 10 in 11, Delovne skupine za varstvo podatkov iz člena 29, tj. neodvisnega svetovalnega organa, ustanovljenega na podlagi člena 29 Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355), ki ga je od sprejetja GDPR nadomestil EOVP.

( 50 ) Ta pogoj je po mojem mnenju zelo podoben pogoju privolitve posameznika, na katerega se nanašajo osebni podatki.

( 51 ) Naj opozorim, da v skladu s členom 5(2) GDPR dokazno breme, da se osebni podatki obdelujejo v skladu s pravili GDPR, nosi upravljavec.

( 52 ) Poleg tega, čeprav se pozoren uporabnik verjetno zaveda dejstva, da so podatki za prijavo dostopni upravljavcu zadevnega spletnega mesta ali aplikacije, po mojem mnenju ni tako očitno, da se zaveda tudi, da so ti podatki dostopni tudi upravljavcu njegovega Facebookovega računa.

( 53 ) Uporabnik se kvečjemu zaveda svojega „razmerja“ z upravljavcem spletnega mesta ali aplikacije in tretjimi osebami, ki jim ta posreduje te informacije, vendar je mogoče, da se tega razmerja sploh ne zaveda, saj bi lahko glede na okoliščine imel vtis, da informacije, po možnosti anonimizirane, razkriva preprosti napravi.

( 54 ) To so gumbi, kot so „Všeč mi je“, „Deli z drugimi“ itd. (glej opombo 39 teh sklepnih predlogov).

( 55 ) Na primer, Facebook uporabniku v njegovih nastavitvah ponuja več možnosti za delitev informacij, ki so na voljo na njegovem Facebookovem računu.

( 56 ) Res je, da v posebnih primerih ni mogoče izključiti, da želi uporabnik s temi dejanji dejansko posredovati informacije, ki se nanašajo nanj, nedoločenemu številu oseb. Možno je na primer, da je uporabnik nastavil možnosti za delitev svojega Facebookovega računa tako, da je vsebina, prisotna na njegovem profilu, dostopna vsem uporabnikom tega družbenega omrežja, in se tega zaveda. Vendar celo v takih okoliščinah ni samoumevno, da je uporabnik s takim ravnanjem nedvomno želel izraziti namero, da sam objavi zadevne osebne podatke, glede na strogost zadevne izjeme (glej točko 42 teh sklepnih predlogov).

( 57 ) Glej v tem smislu sodbo z dne 29. julija 2019, Fashion ID (C‑40/17, EU:C:2019:629, točke od 87 do 89).

( 58 ) Zlasti „piškotkov“ (glej uvodno izjavo 25 Direktive 2002/58).

( 59 ) Poleg tega te privolitve prav tako ni mogoče enačiti z izrecno privolitvijo v obdelavo navedenih podatkov v smislu člena 9(2)(a) GDPR. Privolitev v oblikovanje profilov v smislu člena 22(1)(c) GDPR, katere predmet je očitno omejen na obdelavo za oblikovanje profilov, prav tako ne bi mogla biti upoštevna.

( 60 ) V zvezi s petim vprašanjem za predhodno odločanje, predložitveno sodišče je v sporno prakso – poleg zbiranja, povezovanja s Facebookovim računom uporabnika in uporabo podatkov, pridobljenih iz drugih storitev skupine ter s tretjih spletnih mest in aplikacij (glej točko 10 teh sklepnih predlogov) – vključilo tudi „uporabo podatkov, ki so bili že drugje zakonito zbrani in povezani s Facebookovim računom uporabnika“.

( 61 ) Člen 6(1)(b) GDPR.

( 62 ) Člen 6(1)(f) GDPR.

( 63 ) Člen 6(1)(f) GDPR.

( 64 ) In sicer v primeru mladoletnosti uporabnikov, zagotavljanja storitev meritev, analitike in drugih poslovnih storitev, zagotavljanja trženjske komunikacije z uporabniki, raziskav in inovacij za družbene namene ter informiranja organov kazenskega pregona in odgovarjanja na pravne poizvedbe.

( 65 ) Člen 6(1)(c) GDPR.

( 66 ) Člen 6(1)(d) GDPR.

( 67 ) Člen 6(1)(e) GDPR.

( 68 ) Zdi se namreč, da je Sodišče s četrtim vprašanjem za predhodno odločanje pozvano, naj se izreče o uporabi in ne o razlagi člena 6(1)(f) GDPR, v petem vprašanju za predhodno odločanje pa niso pojasnjeni razlogi, zaradi katerih se predložitvenemu sodišču porajajo dvomi glede razlage člena 6(1)(c), (d) in (e) te uredbe.

( 69 ) Glej EOVP, Smernice 2/2019 z dne 8. oktobra 2019 o obdelavi osebnih podatkov na podlagi člena 6(1)(b) Splošne uredbe o varstvu podatkov v okviru zagotavljanja spletnih storitev posameznikom, na katere se nanašajo osebni podatki (v nadaljevanju: Smernice EOVP 2/2019), točka 1.

( 70 ) V zvezi s tem se stranke v postopku v glavni stvari v bistvu strinjajo s predpostavko, da se za namene uporabe zadevnih utemeljitev zahteva analiza za vsak primer posebej, vendar se njihova stališča razlikujejo glede praktičnih posledic te predpostavke. Bundeskartellamt (zvezni urad za varstvo konkurence) poudarja, da mora upravljavec natančno določiti, kateri podatki se bodo obdelovali konkretno v katerem scenariju uporabe, in med drugim trdi, da je tožeča stranka v postopku v glavni stvari navedla samo, da bo vsa obdelava podatkov iz virov zunaj Facebooka potrebna za vsakega od namenov obdelave podatkov, ki so navedeni v pogojih za uporabo storitev. Družba Meta Platforms Ireland nasprotno meni, da Bundeskartellamt (zvezni urad za varstvo konkurence) ni mogel, ne da bi preučil posebnosti vsake obdelave, izključiti, da bi sporna praksa lahko temeljila na zadevnih utemeljitvah, in zato ni mogel ugotoviti, da je bila ta praksa nezdružljiva z GDPR.

( 71 ) Privolitev uporabnika je določena v členu 6(1)(a) GDPR.

( 72 ) V zvezi s tem je v Smernicah EOVP 2/2019, točka 16, med drugim pojasnjeno, da sta načeli omejitve namena (člen 5(1)(b) GDPR) in najmanjšega obsega podatkov (člen 5(1)(c) GDPR) zlasti pomembni pri pogodbah o spletnih storitvah, o katerih se stranki običajno ne dogovorita posamično, glede na veliko tveganje, da bodo upravljavci poskušali vključiti pogoje, s katerimi bodo zagotovili kar največje mogoče zbiranje in uporabo podatkov, ne da bi te namene ustrezno opredelili ali določili obveznosti glede najmanjšega obsega podatkov.

( 73 ) V skladu s Smernicami EOVP 2/2019, točka 2, ta določba podpira svobodo gospodarske pobude, ki je zagotovljena v členu 16 Listine, in izraža dejstvo, da pogodbenih obveznosti do posameznika, na katerega se nanašajo osebni podatki, včasih ni mogoče izpolniti, če posameznik, na katerega se nanašajo osebni podatki, ne predloži določenih osebnih podatkov. Naj pojasnim, da drugi primer iz te določbe, ki se nanaša na potrebo po obdelavi za izvajanje ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe, v obravnavani zadevi ni upošteven. Enako velja za vprašanje obstoja veljavne pogodbe z vidika tako pogodbenega prava, ki se uporablja, kot tudi drugih pravnih zahtev, vključno s tistimi, ki se nanašajo na potrošniške pogodbe (glej zlasti Direktivo Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL, posebna izdaja v slovenščini, poglavje 15, zvezek 2, str. 288)), ki ni predmet predloga za sprejetje predhodne odločbe.

( 74 ) Glej v zvezi s pravilom, ki ustreza členu 6(1)(b) GDPR, navedenim v členu 7(e) Direktive 95/46, sodbo z dne 16. decembra 2008, Huber (C‑524/06, EU:C:2008:724, točka 52).

( 75 ) Poleg tega, čeprav zgolj omemba obdelave osebnih podatkov ali sklicevanje nanjo v pogodbi ni dovolj, da bi zadevna obdelava spadala na področje uporabe člena 6(1)(b) GDPR, je lahko obdelava objektivno potrebna, tudi če ni izrecno navedena v pogodbi, kar pa ne vpliva na obveznosti upravljavca glede preglednosti (glej Smernice EOVP 2/2019, točka 27).

( 76 ) Glej Smernice EOVP 2/2019, točka 25.

( 77 ) Glej v tem smislu sodbo z dne 9. novembra 2010, Volker und Markus Schecke in Eifert (C‑92/09 in C‑93/09, EU:C:2010:662, točka 86), ter Smernice EOVP 2/2019, točka 25. V zvezi s tem se te smernice v točkah od 27 do 32 med drugim sklicujejo na to, da mora biti obdelava objektivno potrebna za namen, ki je sestavni del zagotavljanja te pogodbene storitve posamezniku, na katerega se nanašajo osebni podatki, pri čemer mora biti upravljavec sposoben dokazati, zakaj glavnega predmeta specifične pogodbe, sklenjene s posameznikom, na katerega se nanašajo osebni podatki, dejansko ni mogoče izpolniti brez specifične obdelave zadevnih osebnih podatkov. V točki 33 navedenih smernic so v zvezi s tem navedena vprašanja za pomoč.

( 78 ) Glej Smernice EOVP 2/2019, točka 32.

( 79 ) Glej Smernice EOVP 2/2019, točka 37.

( 80 ) V zvezi s tem avstrijska vlada ustrezno navaja, da je pritožnica v postopku v glavni stvari uporabnikom Facebooka prej omogočala izbiro med kronološko predstavitvijo ali personalizirano predstavitvijo vsebin vira novic, kar dokazuje, da je mogoče predvideti alternativni način.

( 81 ) S pridržkom presoje predložitvenega sodišča ne verjamem, da sta zbiranje in uporaba osebnih podatkov zunaj Facebooka lahko potrebna za zagotavljanje storitev, ki se ponujajo v okviru Facebookovega profila, tako da bi lahko privolitev, prvotno dana za dostop do družbenega omrežja (tj. odprtje Facebookovega profila), veljavno zajemala obdelavo osebnih podatkov uporabnika zunaj Facebooka. V takem primeru bi bila namreč uporaba zadevnih storitev pogojena s privolitvijo, ki ni potrebna za izvajanje pogodbe, in predložitveno sodišče bo moralo v skladu s členom 7(4) GDPR v največji možni meri upoštevati to okoliščino (ki v skladu z uvodno izjavo 43 GDPR pomeni domnevo neveljavnosti privolitve, ki jo mora upravljavec ovreči v smislu člena 7(1) GDPR). Poleg tega taka privolitev po mojem mnenju tudi ne bi bila skladna s pravilom, ki določa ločeno privolitev v zvezi z različnimi dejanji obdelave osebnih podatkov (glej tretji del točke 74 teh sklepnih predlogov), saj prvotna privolitev uporabnika za odprtje Facebook računa nikakor ni povezana z morebitno privolitvijo uporabnika v obdelavo osebnih podatkov zunaj Facebooka. Poleg tega je treba tudi v primeru morebitne poznejše privolitve, dane posebej za uporabo podatkov zunaj Facebooka, preučiti, ali upravljavec ponuja izbiro enakovredne storitve, ki ne vključuje privolitve v obdelavo osebnih podatkov za dodatne namene (glej Smernice EOVP št. 05/2020 z dne 4. maja 2020 o privolitvi v smislu Uredbe (EU) 2016/679 (v nadaljevanju: Smernice EOVP 5/2020) točka 37, ki v točki 38 prav tako določajo, da se upravljavec ne more sklicevati na enakovredno storitev, ki jo ponuja drug upravljavec).

( 82 ) Kot poudarja avstrijska vlada, se mi v zvezi s tem zdi odločilno ugotoviti, da se lahko različni proizvodi skupine uporabljajo neodvisno drug od drugega in da uporaba vsake storitve temelji na ločeni pogodbi o uporabi. Poleg tega bi bilo treba, kot navaja Bundeskartellamt (zvezni urad za varstvo konkurence), namesto da se dosledna in nemotena uporaba storitev skupine šteje za potrebno za delovanje teh storitev, šteje za interes uporabnika, tako da bi se načeloma zdelo primerneje, da je ta po njegovi izbiri.

( 83 ) Glej po analogiji sodbo z dne 4. maja 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, točka 28), ki se nanaša na pravilo, ki ustreza členu 6(1)(f) GDPR, določeno v členu 7(f) Direktive 95/46.

( 84 ) Kot je navedeno v sklepnih predlogih generalnega pravobranilca M. Bobka v zadevi Fashion ID (C‑40/17, EU:C:2018:1039, točka 122), se je pojem „zakoniti interes“ v okviru Direktive 95/46 zdel dokaj prožen in nezaokrožen. Kot trdi pritožnica v postopku v glavni stvari, je namreč Sodišče več interesov priznalo kot zakonite (glej zlasti sodbe z dne 13. maja 2014, Google Spain in Google, C‑131/12, EU:C:2014:317, točka 81; z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 55; z dne 4. maja 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, točka 29; z dne 24. septembra 2019, GC in drugi (Odstranitev povezav do občutljivih podatkov), C‑136/17, EU:C:2019:773, točka 53; z dne 11. decembra 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, točka 59, in z dne 17. junija 2021, M.I.C.M., C‑597/19, EU:C:2021:492, točki 108 in 109). Enako ugotovitev je po mojem mnenju treba izpeljati iz GDPR, v uvodni izjavi 47 katere so med drugim kot primeri navedeni položaj, v katerem je posameznik, na katerega se nanašajo osebni podatki, stranka upravljavca ali dela zanj, obdelava osebnih podatkov za namene preprečevanja goljufij ali neposrednega trženja, ter v uvodni izjavi 49 katere je navedena varnost omrežja in informacij ter storitev, ki se ponujajo.

( 85 ) To po mojem mnenju vključuje zahtevo po navedbi, kateri postopek obdelave temelji na katerem zakonitem interesu.

( 86 ) Glej sodbi z dne 4. maja 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, točka 30), in z dne 17. junija 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, točka 110).

( 87 ) Glej v tem smislu sodbi z dne 4. maja 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, točka 31), in z dne 17. junija 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, točka 111). Sodišče je v zvezi s tem opozorilo, da člen 7(f) Direktive 95/46 (ki ustreza členu 6(1)(f) GDPR) nasprotuje temu, da država članica kategorično in na splošno izključi možnost za nekatere vrste osebnih podatkov, da se obdelajo, ne da bi omogočila tehtanje zadevnih nasprotujočih si pravic in interesov v posebnem primeru, ter pojasnilo, da država članica za te vrste ne sme dokončno določiti izida tehtanja nasprotujočih si pravic in interesov, ne da bi omogočala drugačen izid zaradi posebnih okoliščin konkretnega primera (sodba z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 62 in navedena sodna praksa).

( 88 ) Mnenje št. 6/2014 Delovne skupine za varstvo podatkov iz člena 29 v točki III.3.4 vsebuje zanimive preudarke v zvezi s tem.

( 89 ) V skladu z uvodno izjavo 49 GDPR namreč obdelava osebnih podatkov v obsegu, ki je nujno potreben in sorazmeren za zagotavljanje varnosti omrežja in informacij, pomeni zakonit interes zadevnega upravljavca. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij in širjenja zlonamernih kod. Poudarjam tudi, da v skladu s členom 32 GDPR upravljavec med drugim izvaja ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti glede na tveganje ter da je treba v skladu s členom 5(1)(f) te uredbe osebne podatke obdelovati tako, da se zagotovi ustrezna varnost osebnih podatkov.

( 90 ) Preveriti je torej treba, v kakšnem obsegu je obdelava osebnih podatkov zunaj spletnega mesta ali aplikacije Facebook potrebna za njuno varnost. Čeprav predložitveno sodišče v zvezi s tem opozarja na možnost uporabe podatkov WhatsApp za preprečevanje neželene pošte (z uporabo informacij iz računov WhatsApp, ki pošiljajo neželeno pošto, da bi se sprejeli ukrepi proti ustreznim Facebookovim računom) in podatkov Instagrama za razkritje vprašljivih ali nezakonitih ravnanj, dvomim, da si lahko pritožnica v postopku v glavni stvari pripiše pravico do obdelave osebnih podatkov za namene „policije“ v širšem smislu, ker v skladu s sodno prakso Sodišča na (drugačnem, a povezanem) področju podatkov v zvezi z elektronskimi komunikacijami celo zakonodajni ukrepi, ki preventivno določajo splošno in neselektivno hrambo podatkov o prometu in podatkov o lokaciji, niso združljivi z Direktivo 2002/58 (glej sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 168). Poleg tega se lahko upravljavec v primeru, da je potreba po zagotavljanju varnosti omrežja pravna zahteva, sklicuje na posebno utemeljitev iz člena 6(1)(c) GDPR.

( 91 ) V skladu s členom 6(1)(c), (d) in (e) GDPR.

( 92 ) Glej točko 48 teh sklepnih predlogov.

( 93 ) Glede na širok nabor zakonitih interesov, priznanih s sodno prakso (glej točko 60 teh sklepnih predlogov). Na primer, načeloma se mi zdi jasno, da lahko varstvo mladoletnikov upraviči sprejetje ustreznih zaščitnih ukrepov, s katerimi se jim prepreči dostop do neprimerne ali nevarne vsebine.

( 94 ) V skladu s členom 13(1)(c) in (d) GDPR mora namreč upravljavec med drugim za vsak namen obdelave navesti zakonite interese, za katere si prizadeva sam ali za katere si prizadeva tretja oseba.

( 95 ) Sodišče je v sodbi z dne 11. novembra 2020, Orange Romania (C‑61/19, EU:C:2020:901, točki 35 in 36 ter navedena sodna praksa), pojasnilo, da je besedilo člena 4, točka 11, GDPR, v katerem je opredeljena „privolitev posameznika, na katerega se nanašajo osebni podatki“, očitno strožje od besedila člena 2(h) Direktive 95/46, ker se z njim zahteva „prostovoljno, konkretno, informirano in nedvoumno“ ravnanje posameznika, na katerega se nanašajo osebni podatki, v obliki izjave ali „jasnega pritrdilnega dejanja“, ki izraža njegovo soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

( 96 ) Kot poudarja EOVP, pridevnik „prostovoljno“ pomeni dejansko izbiro in nadzor za posameznike, na katere se nanašajo osebni podatki (Smernice EOVP št. 05/2020, točka 13). V isti točki je med drugim pojasnjeno, da privolitev ni bila dana prostovoljno, če se, po eni strani, posameznik, na katerega se nanašajo osebni podatki, čuti prisiljenega v privolitev ali bo utrpel znatne negativne posledice, če ne privoli, in če je, po drugi strani, privolitev predstavljena kot del splošnih pogojev, o katerih se ni mogoče pogajati. Privolitev se torej ne bo štela za prostovoljno, če zadevni posameznik privolitve ne more zavrniti ali preklicati brez škode. V tem primeru je, kot poudarja pritožnica v postopku v glavni stvari, edina nevšečnost, ki jo mora sprejeti posameznik, na katerega se nanašajo osebni podatki, ta, da storitev morebiti ne bo delovala enako ali bila enako kakovostna, če je obdelava podatkov, za katero ni bila dana privolitev, tehnično nujna za ta namen.

( 97 ) V zvezi s tem so v Smernicah EOVP št. 05/2020 navedeni zavajanje, ustrahovanje, prisila ali znatne negativne posledice, če posameznik, na katerega se nanašajo osebni podatki, ne privoli, in opozorjeno je na to, da mora biti upravljavec zmožen dokazati, da ima ta posameznik dejansko ali prostovoljno izbiro glede privolitve in preklica privolitve (točka 47).

( 98 ) Poleg položajev, ki se nanašajo na razmerja z javnimi organi in delovna razmerja, navedenih v uvodni izjavi 43, ki v obravnavani zadevi niso upoštevni, so v točki 24 Smernic EOVP št. 05/2020 med drugim navedeni položaji, v katerih posameznik, na katerega se nanašajo osebni podatki, dejansko ne more uveljavljati izbire ali v katerih obstaja tveganje zavajanja, ustrahovanja, prisile ali znatnih negativnih posledic (na primer znatnih dodatnih stroškov), če ne privoli.

( 99 ) To vprašanje se delno prekriva z vprašanjem, ki je predmet prvega dela tretjega vprašanja za predhodno odločanje (glej točke od 53 do 57 teh sklepnih predlogov). V uvodni izjavi 43, drugi stavek, GDPR je pojasnjeno, da se v takem primeru domneva, da privolitev ni bila dana prostovoljno (v skladu s točko 26 Smernic EOVP št. 05/2020 GDPR s tem zagotavlja, da obdelava osebnih podatkov, za katero se zahteva privolitev, ne more neposredno ali posredno postati protidajatev za izpolnitev pogodbe, pri čemer uporaba izraza „domneva“ jasno kaže, da bodo primeri, v katerih je privolitev veljavna, zelo izjemni (glej točko 35 teh smernic). Poleg tega je bil člen 7(4) GDPR z uporabo izraza „med drugim“ oblikovan neizčrpno, kar pomeni, da lahko na področje uporabe te določbe spadajo številni drugi položaji, vključno z morebitnim neustreznim pritiskom ali vplivom na posameznika, na katerega se nanašajo osebni podatki, in preprečevanjem izraza njegove volje (Smernice EOVP št. 05/2020, točka 14).

( 100 ) V uvodni izjavi 32 GDPR je med drugim pojasnjeno, da bi privolitev morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene, in da bi bilo treba privolitev, kadar je obdelava večnamenska, dati za vse namene obdelave. V zvezi s tem se Smernice EOVP št. 05/2020 sklicujejo na „razdrobljenost“ privolitve kot oviro za njeno prostovoljnost (točka 44).

( 101 ) Tak položaj zlasti spodbuja določitev pogojev, ki niso potrebni za izvedbo pogodbe (glej točke od 53 do 57 teh sklepnih predlogov).

( 102 ) Povedano drugače, kot poudarja Komisija, stopnje relativne tržne moči podjetja, ki je ključna za veljavnost privolitve na podlagi GDPR, ni mogoče nujno enačiti s pragom prevladujočega položaja na trgu v smislu člena 102 PDEU.

( 103 ) Seveda, čeprav obstoj prevladujočega položaja sam po sebi ne izključuje možnosti podaje prostovoljne privolitve v obdelavo osebnih podatkov, neobstoj takega položaja sam po sebi ne zadostuje za zagotovitev v vseh primerih, da je taka privolitev veljavno dana.