Tillämpliga bestämmelser

Unionsrätt

Förordning (EG) nr 1/2003

GDPR

Tysk rätt

Målet vid den nationella domstolen och tolkningsfrågorna

Prövning av tolkningsfrågorna

Frågorna 1 och 7

Fråga 2

Fråga 2 a

Fråga 2 b

Frågorna 3–5

Inledande synpunkter

Frågorna 3 och 4

Fråga 5

Fråga 6

Rättegångskostnader

–

Meta Platforms Inc., tidigare Facebook Inc., Meta Platforms Ireland Ltd, tidigare Facebook Ireland Ltd, och Facebook Deutschland GmbH, genom M. Braun, M. Esser, L. Hesse, J. Höft och H.-G. Kamann, Rechtsanwälte,

–

Bundeskartellamt, genom J. Nothdurft, K. Ost, I. Sewczyk och J. Topel, samtliga i egenskap av ombud,

–

Verbraucherzentrale Bundesverband eV, genom S. Louven, Rechtsanwalt,

–

Tysklands regering, genom J. Möller och P.-L. Krüger, båda i egenskap av ombud,

–

Tjeckiens regering, av M. Smolek och J. Vláčil, båda i egenskap av ombud,

–

Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av E. De Bonis och P. Gentili, avvocati dello Stato,

–

Österrikes regering, genom A. Posch, J. Schmoll och G. Kunnert, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom F. Erlbacher, H. Kranenborg och G. Meessen, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 4.3 FEU samt artikel 6.1, artikel 9.1 och 9.2, artikel 51.1 och artikel 56.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad GDPR).

2

Begäran har framställts i ett mål mellan Meta Platforms Inc. (tidigare Facebook Inc.), Meta Platforms Ireland Ltd (tidigare Facebook Ireland Ltd), och Facebook Deutschland GmbH, å ena sidan, och Bundeskartellamt (Federal konkurrensmyndigheten, Tyskland), å andra sidan. Målet rör Bundeskartellamts beslut att förbjuda dessa företag att behandla vissa personuppgifter i enlighet med vad som anges i användarvillkoren för det sociala nätverket Facebook (nedan kallade användarvillkoren).

3

I artikel 5 i rådets förordning (EG) nr 1/2003 av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna [101 och 102 FEUF] (EGT L 1, 2003, s. 1), med rubriken ”Medlemsstaternas konkurrensmyndigheters behörighet”, föreskrivs följande:

”Medlemsstaternas konkurrensmyndigheter skall vara behöriga att i enskilda ärenden tillämpa artiklarna [101] och [102] i fördraget. De får för detta ändamål, på eget initiativ eller till följd av ett klagomål, fatta beslut om att

Om de på grundval av de uppgifter som de förfogar över finner att villkoren för ett förbud inte är uppfyllda, får de även besluta om att det inte finns skäl för dem att ingripa.”

4

Skälen 1, 4, 38, 42, 43, 46, 47, 49 och 51 i GDPR lyder enligt följande:

…

…

…

…

…

…

5

I artikel 4 i GDPR föreskrivs följande:

”I denna förordning avses med

…

…

…

…”

6

I artikel 5 i GDPR har rubriken ”Principer för behandling av personuppgifter”. I artikel 5.1 och 5.2 föreskrivs följande:

”1.   ”Vid behandling av personuppgifter ska följande gälla:

…

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

7

Artikel 6 i GDPR, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

…

3.   Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

…

… Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.”

8

I artikel 7 i GDPR, med rubriken ”Villkor för samtycke”, föreskrivs följande:

”1.   Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

…

4.   Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.”

9

Artikel 9 i förordningen har rubriken ”Behandling av särskilda kategorier av personuppgifter”. I den artikeln föreskrivs följande:

”1.   Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.   Punkt 1 ska inte tillämpas om något av följande gäller:

…

…”

10

Artikel 13 i GDPR har rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”. I punkt 1 i den artikeln föreskrivs följande:

”Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

…

…”

11

Kapitel VI i GDPR rör ”Oberoende tillsynsmyndigheter” och innehåller artiklarna 51–59.

12

Artikel 51 i förordningen har rubriken ”Tillsynsmyndighet”. I artikel 51.1 och 51.2 föreskrivs följande:

”1.   Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen …

2.   Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med [Europeiska] kommissionen i enlighet med kapitel VII.”

13

Artikel 55 i förordningen, med rubriken ”Behörighet”, har följande lydelse:

”1.   Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.

2.   Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.”

14

Artikel 56 i GDPR har rubriken ”Den ansvariga tillsynsmyndighetens behörighet”. I punkt 1 i den artikeln föreskrivs följande:

”Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.”

15

Artikel 57 i förordningen har rubriken ”Uppgifter”. I punkt 1 i den artikeln föreskrivs följande:

”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

…

…”

16

I artikel 58 i GDPR finns en förteckning över de utredningsbefogenheter som respektive tillsynsmyndighet har. I artikel 58.5 anges att ”[v]arje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning”.

17

Kapitel VII i GDPR har rubriken ”Samarbete och enhetlighet”. Avsnitt 1 i det kapitlet har rubriken ”Samarbete” och innehåller artiklarna 60–62. Artikel 60 rör ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”. I artikel 60.1 föreskrivs följande:

”Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra.”

18

I artikel 61 i GDPR har rubriken ”Ömsesidigt bistånd”. I artikel 61.1 föreskrivs följande:

”Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.”

19

Artikel 62 i GDPR har rubriken ”Tillsynsmyndigheternas gemensamma insatser”. I artikel 62.1 och 62.2 föreskrivs följande:

”1.   Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

2.   Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. …”

20

Avsnitt 2 i kapitel VII i GDPR har rubriken ”Enhetlighet”. Det avsnittet innehåller artiklarna 63–67. Artikel 63, med rubriken ”Mekanism för enhetlighet”, har följande lydelse:

”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.”

21

Artikel 64.2 i förordningen har följande lydelse:

”Varje tillsynsmyndighet, [ordföranden för Europeiska dataskyddstyrelsen] eller kommissionen får i syfte att erhålla ett yttrande begära att styrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat, i synnerhet om en behörig myndighet inte uppfyller sina skyldigheter i fråga om ömsesidigt bistånd i enlighet med artikel 61 eller i fråga om gemensamma insatser i enlighet med artikel 62.”

22

Artikel 65 i GDPR har rubriken ”Tvistlösning genom styrelsen”. I artikel 65.1 föreskrivs följande:

”För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska [Europeiska dataskyddsstyrelsen] anta ett bindande beslut i följande fall:

…”

23

I § 19 stycke 1 Gesetz gegen Wettbewerbsbeschränkungen (lagen om förbud mot konkurrensbegränsningar), i den lydelse som offentliggjordes den 26 juni 2013 (BGBl. 2013 I, s. 1750, 3245), senast ändrad genom § 2 i lagen av den 16 juli 2021 (BGBl. 2021 I, s. 2959) (nedan kallad GWB), föreskrivs följande:

”Ett eller flera företags missbruk av en dominerande ställning är förbjuden.”

24

§ 32 stycke 1 GWB har följande lydelse:

”Konkurrensmyndigheten får förelägga företag eller företagssammanslutningar att upphöra med en överträdelse mot bestämmelserna i denna del eller mot artikel 101 eller artikel 102 i fördraget om Europeiska unionens funktionssätt.”

25

I § 50 stycke 1 GWB föreskrivs följande:

”Konkurrensmyndigheter, tillsynsmyndigheter, förbundsansvarig för dataskydd och informationsfrihet, länderansvariga för dataskydd samt behöriga myndigheter enligt artikel 2 i EU-Verbraucherschutzdurchführungsgesetz [(lag om genomförande av EU:s konsumentskyddsrätt)] får, oavsett vilket förfarande som valts, sinsemellan utbyta uppgifter, däribland personuppgifter och affärshemligheter, i den mån det är nödvändigt för att de ska kunna fullgöra sina respektive uppdrag samt använda dessa uppgifter i sina förfaranden. …”

26

Meta Platforms Ireland är ett företag som driver det sociala nätverket Facebook i unionen och erbjuder och marknadsför tjänster som är kostnadsfria för privata användare, bland annat på adressen www.facebook.com. Andra företag i Metakoncernen erbjuder andra onlinetjänster i unionen, bland annat Instagram, WhatsApp, Oculus och – till och med den 13 mars 2020 – Masquerade.

27

Facebooks ekonomiska modell bygger på finansiering genom nätreklam, som är individuellt anpassad till det sociala nätverkets användare utifrån bland annat deras konsumtionsmönster, intressen, köpkraft och personliga situation. Sådan reklam är teknisk möjlig genom det automatiska skapandet av utförliga profiler av de personer som använder nätverket och de onlinetjänster som erbjuds av Metakoncernen. Utöver de uppgifter som användarna lämnar direkt i samband med att de registrerar sig för de aktuella onlinetjänsterna, samlas även andra data om användarna och om deras enheter in för detta ändamål. Dessa data samlas in såväl inom som utom det sociala nätverket och de onlinetjänster som tillhandahållas av Metakoncernen och kopplas till personernas respektive användarkonton. En helhetsbild av dessa data gör det möjligt att dra utförliga slutsatser om användarnas preferenser och intressen.

28

För behandlingen av dessa data grundar sig Meta Platforms Ireland på det användaravtal som användarna av det sociala nätverket Facebook godkänner genom att klicka på knappen ”Gå med” och genom vilken de godtar företagets användarvillkor. Användarna måste godkänna användarvillkoren för att kunna använda det sociala nätverket Facebook. Beträffande behandlingen av personuppgifter hänvisas det i användarvillkoren till företagets integritetspolicy och cookiepolicy. Enligt dessa policyer samlar Meta Platforms Ireland in data om användarna och deras enheter som rör användarnas aktivitet inom och utom det sociala nätverket och kopplar samman dessa data med användarnas Facebook-konton. Beträffande data om aktivitet utanför det sociala nätverket (nedan även kallade off Facebook-uppgifter) är det dels fråga om uppgifter om besök på webbsidor och utomstående applikationer som är kopplade till Facebook via programmeringsgränssnitt – Facebook Business Tools – och dels fråga om uppgifter om användningen av andra onlinetjänster som tillhör Metakoncernen, däribland Instagram, WhatsApp, Oculus och – till och med den 13 mars 2020 – Masquerade.

29

Bundeskartellamt inledde ett ärende mot Meta Platforms, Meta Platforms Ireland och Facebook Deutschland. Ärendet avslutades med att Bundeskartellamt den 6 februari 2019 meddelade ett beslut med stöd av § 19 stycke 1 och § 32 GWB. I beslutet förbjöd Bundeskartellamt Meta Platforms, Meta Platforms Ireland och Facebook Deutschland att i sina användarvillkor kräva att privata användare som är bosatta i Tyskland måste godkänna behandlingen av deras off Facebook-uppgifter för att kunna använda Facebook och att, utan användarnas samtycke, behandla nämnda uppgifter i enlighet med gällande användarvillkor. Bundeskartellamt förelade dessutom Meta Platforms, Meta Platforms Ireland och Facebook Deutschland att anpassa sina användarvillkor, så att det tydligt framgår att dessa uppgifter inte – utan den berörde användarens samtycke – kommer att samlas in, kopplas till Facebook-användarkonton eller användas. Bundeskartellamt klargjorde att samtycket inte är giltigt när det utgör ett villkor för att använda det sociala nätverket.

30

Bundeskartellamt motiverade sitt beslut med att den behandling av de berörda användarnas personuppgifter som föreskrivs i användarvillkoren och som genomförs av Meta Platforms Ireland utgjorde missbruk av detta bolags dominerande ställning på marknaden för digitala nätverk för privata användare i Tyskland, i den mening som avses i § 19 stycke 1 GWB. Bundeskartellamt fann att användarvillkoren, såsom ett uttryck för den dominerande ställningen, utgjorde ett missbruk då den behandling av off Facebook-uppgifter som föreskrivs i villkoren inte är förenlig med de värden som ligger till grund för GDPR och i synnerhet inte kan motiveras enligt artikel 6.1 och 9.2 i den förordningen.

31

Meta Platforms, Meta Platforms Ireland och Facebook Deutschland överklagade den 11 februari 2019 Bundeskartellamts beslut till Oberlandesgericht Düsseldorf (Regionala överdomstolen i Düsseldorf, Tyskland).

32

Den 31 juli 2019 införde Meta Platforms Ireland nya användarvillkor i vilka det uttryckligen angavs att användaren, i stället för att betala för att använda Facebook-produkter, samtycker till att bli visade reklam.

33

Sedan den 28 januari 2020 erbjuder Meta Platforms dessutom, världen över, Off-Facebook-Activity, som gör det möjligt för användare av det sociala nätverket Facebook att få en sammanfattning av de uppgifter om dem som bolagen i Metakoncernen erhåller i samband med deras aktivitet på andra webbsidor och applikationer, och att, om de önskar, separera dessa uppgifter från sitt Facebook.com-konto, såväl för framtiden som för förfluten tid.

34

Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf) hyser för det första tvivel om möjligheten för nationella konkurrensmyndigheter att, inom ramen för sina befogenheter, kontrollera att en behandling av personuppgifter är förenlig med kraven i GDPR. Den domstolen hyser, för det andra, tvivel om möjligheten för en operatör av ett digitalt socialt nätverk att behandla känsliga personuppgifter om den registrerade, i den mening som avses i artikel 9.1 och 9.2 i GDPR, och, för det tredje, om huruvida operatörens behandling av den berörda användarens personuppgifter är laglig enligt artikel 6.1 i GDPR. Den domstolen hyser, för det fjärde, tvivel om giltigheten med avseende på artikel 6.1 första stycket a och artikel 9.2 a i GDPR av det samtycke till sådan behandling som lämnats till ett företag som har en dominerande ställning på den nationella marknaden för digitala sociala nätverk.

35

Mot denna bakgrund beslutade Oberlandesgericht Düsseldorf (Regionöverdomstolen i Düsseldorf) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

Om fråga 1 ska besvaras jakande:

Om fråga 7 ska besvaras jakande krävs ett svar på frågorna 3–5 med avseende på uppgifter som härrör från användningen av koncernens tjänst Instagram.”

36

Den hänskjutande domstolen har ställt frågorna 1 och 7, som ska prövas i ett sammanhang, för att få klarhet i huruvida artikel 51 och följande artiklar i GDPR ska tolkas så, att en konkurrensmyndighet i en medlemsstat, i samband med prövningen av huruvida ett företag har missbrukat sin dominerande ställning i den mening som avses artikel 102 FEUF, får konstatera att det aktuella företagets användarvillkor avseende behandlingen av personuppgifter och tillämpningen av villkoren inte är förenliga med GDPR. Om denna fråga ska besvaras jakande, vill den hänskjutande domstolen få klarhet i huruvida konkurrensmyndigheten även kan göra ett sådant indirekt konstaterande, när användarvillkoren samtidigt är föremål för behörig ansvarig tillsynsmyndighets granskning enligt artikel 56.1 i GDPR.

37

För att besvara denna fråga erinrar domstolen inledningsvis om att det i artikel 55.1 i GDPR fastställs en principiell behörighet för varje tillsynsmyndighet att utföra de uppgifter och utöva de befogenheter som den har tilldelats i enlighet med denna förordning inom den medlemsstat till vilken den hör (se, för ett liknande resonemang, dom (dom av den 15 juni 2021, Facebook Ireland m.fl.,C‑645/19, EU:C:2021:483, punkt 47 och där angiven rättspraxis).

38

Bland de uppgifter som tillsynsmyndigheterna har anförtrotts ingår uppgiften att övervaka tillämpningen av GDPR och att se till att den efterlevs. Denna uppgift föreskrivs i artikel 51.1 och artikel 57.1 a i förordningen i syfte att skydda fysiska personers grundläggande fri- och rättigheter med avseende på behandling av deras personuppgifter och att underlätta det fria flödet av sådana uppgifter inom unionen. Enligt artikel 51.2 och artikel 57.1 g i GDPR ska tillsynsmyndigheterna dessutom samarbeta med varandra, inbegripet genom informationsutbyte, och ge varandra ömsesidigt bistånd för att säkerställa att förordningen tillämpas och verkställs på ett enhetligt sätt.

39

För att fullgöra dessa uppgifter ges tillsynsmyndigheterna utredningsbefogenheter i artikel 58.1 i GDPR, korrigerande befogenheter i artikel 58.2 och i artikel 58.5 befogenhet att upplysa de rättsliga myndigheterna om överträdelser av denna förordning och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i denna förordning.

40

För gränsöverskridande behandlingar, i den mening som avses i artikel 4.23 i GDPR, föreskrivs det i artikel 56.1 i samma förordning ett ”one stop shop”-system som bygger på en fördelning av behörighet mellan en ”ansvarig tillsynsmyndighet” och övriga berörda tillsynsmyndigheter och ett samarbete mellan samtliga myndigheter i enlighet med det samarbetsförfarande som föreskrivs i artikel 60 i GDPR. Detta system påverkar inte tillämpningen av behörighetsregeln i artikel 55.1 i GDPR.

41

Dessutom ålägger artikel 61.1 i GDPR tillsynsmyndigheterna bland annat att utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa förordningen på ett enhetligt sätt inom hela unionen. I artikel 63 i GDPR preciseras att det är för detta ändamål som mekanismen för enhetlighet i artiklarna 64 och 65 i samma förordning har införts (dom av den 15 juni 2021, Facebook Ireland m.fl.,C‑645/19, EU:C:2021:483, punkt 52 och där angiven rättspraxis).

42

Domstolen påpekar emellertid att reglerna om samarbete i GDPR inte riktar sig till nationella konkurrensmyndigheter, utan de reglerar samarbetet mellan berörda nationella tillsynsmyndigheter och den ansvariga tillsynsmyndigheten, liksom, i förekommande fall, samarbetet mellan tillsynsmyndigheterna, Europeiska dataskyddsstyrelsen och kommissionen.

43

Varken i GDPR eller i någon annan unionsrättsakt föreskrivs det nämligen några specifika regler om samarbetet mellan en nationell konkurrensmyndighet och berörda tillsynsmyndigheter eller den ansvariga tillsynsmyndigheten. Det finns för övrigt inte någon bestämmelse i GDPR som förbjuder nationella konkurrensmyndigheter att, vid fullgörandet av sina respektive uppdrag, konstatera att en behandling av personuppgifter som utförs av ett företag i dominerande ställning och som kan utgöra missbruk av denna ställning inte är förenlig med GDPR.

44

Domstolen påpekar i detta hänseende, för det första, att tillsynsmyndigheterna, å ena sidan, och nationella konkurrensmyndigheter, å andra sidan, har olika funktioner och eftersträvar mål och fullgör uppdrag som är specifika för respektive myndighet.

45

Såsom anges i punkt 38 ovan har tillsynsmyndigheten enligt artikel 51.1 och 51.2 samt artikel 57.1 a och g i GDPR till huvuduppgift att övervaka och verkställa tillämpningen av förordningen och samtidigt bidra till en enhetlig tillämpning av förordningen i unionen, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av deras personuppgifter samt att underlätta det fria flödet av sådana uppgifter inom unionen. Såsom det erinrats om i punkt 39 ovan, förfogar tillsynsmyndigheten för detta ändamål över olika befogenheter som myndigheten tilldelas enligt artikel 58 i GDPR.

46

Enligt artikel 5 i förordning nr 1/2003 är nationella konkurrensmyndigheter behöriga att bland annat fatta beslut i vilka det konstateras att ett företag har missbrukat sin dominerande ställning, i den mening som avses i artikel 102 FEUF. Artikel 102 FEUF har till syfte att upprätta ett system som ser till att konkurrensen inte snedvrids på den inre marknaden, med beaktande även av konsekvenserna som ett sådant missbruk får för konsumenterna på denna marknad.

47

Såsom generaladvokaten har påpekat, i punkt 23 i sitt förslag till avgörande, ska en konkurrensmyndighet, när den fattar ett sådant beslut, med beaktande av omständigheterna i ärendet, bedöma huruvida det dominerande företagets beteende får till resultat att upprätthållandet av den befintliga konkurrensen på marknaden eller utvecklingen av denna hindras, genom användningen av andra metoder än dem som dikteras av en normal produkt- eller tjänstekonkurrens (se, för ett liknande resonemang, dom av den 25 mars 2021, Deutsche Telekom/kommissionen,C‑152/19 P, EU:C:2021:238, punkterna 41 och 42). Frågan huruvida ett sådant beteende är förenligt med bestämmelserna i GDPR eller inte kan, i förekommande fall, utgöra en viktig uppgift bland de relevanta omständigheterna i ärendet för att avgöra huruvida beteendet utgörs av användningen av metoder som dikteras av normal konkurrens samt för att bedöma konsekvenserna av ett visst handlande för marknaden eller för konsumenterna.

48

Av detta följer att det kan bli nödvändigt för en konkurrensmyndighet i en medlemsstat att, i samband med utredningen av ett företags missbruk av sin dominerande ställning på en relevant marknad, även pröva förenligheten av företagets beteende med andra bestämmelser än konkurrensbestämmelser, såsom reglerna om skydd för personuppgifter i GDPR.

49

Med hänsyn till att det är olika målsättningar som eftersträvas med konkurrensreglerna, i synnerhet artikel 102 FEUF, respektive reglerna om skydd för personuppgifter i GDPR, konstaterar domstolen att en nationell konkurrensmyndighet inte träder i tillsynsmyndigheternas ställe när den i samband med utredning av missbruk av dominerande ställning, finner att GDPR åsidosatts. En nationell konkurrensmyndighet övervakar i synnerhet inte tillämpningen och efterlevnaden av GDPR i det syfte som avses i artikel 51.1 i GDPR, nämligen för att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter samt för att underlätta det fria flödet av sådana uppgifter inom unionen. En konkurrensmyndighet som, uteslutande för ändamålet att konstatera att missbruk av dominerande ställning föreligger, finner att en behandling av personuppgifter inte är förenlig med GDPR och som, på konkurrensrättslig grund, förordnar om åtgärder för att få missbruket att upphöra, utövar inte någon av uppgifterna i artikel 57 i GDPR och utövar än mindre någon av de befogenheter som tillsynsmyndigheter tilldelas i kraft av artikel 58 i GDPR.

50

Domstolen konstaterar dessutom att åtkomst till och utnyttjande av personuppgifter har en mycket stor betydelse i den digitala ekonomin. I det nationella målet illustreras denna betydelse av det sociala nätverket Facebooks ekonomiska modell. Såsom det erinrats om i punkt 27 ovan, bygger denna ekonomiska modell på försäljningen av reklammeddelanden som är personligt anpassade utifrån användarprofiler som upprättats på grundval av de personuppgifter som samlats in av Meta Platforms Ireland.

51

Såsom påpekats av bland annat kommissionen har åtkomsten till personuppgifter och möjligheten att behandla dessa uppgifter blivit en viktig parameter i konkurrensen mellan företag i den digitala ekonomin. Det skulle således vara att bortse från realiteten i denna ekonomiska utveckling att inte låta reglerna om skydd för personuppgifter ingå bland de bestämmelser som konkurrensmyndigheterna ska beakta i samband med utredningen av missbruk av dominerande ställning och detta skulle också kunna undergräva konkurrensrättens effektivitet i unionen.

52

Domstolen påpekar emellertid att för det fall att en nationell konkurrensmyndighet anser det nödvändigt att i ett beslut om missbruk av dominerande ställning uttala sig om huruvida en behandling av personuppgifter som utförs av det aktuella företaget är förenlig med GDPR eller inte, måste den myndigheten och den berörda tillsynsmyndigheten eller, i förekommande fall, behörig ansvarig tillsynsmyndighet i den mening som avses i förordningen samarbeta med varandra för att säkerställa en enhetlig tillämpning av förordningen.

53

Såsom det konstaterats i punkterna 42 och 43 ovan föreskrivs det varken i GDPR eller i någon annan unionsrättsakt några specifika regler om detta. Domstolen delar dock generaladvokatens bedömning i punkt 28 i förslaget till avgörandet att de nationella myndigheter som är inblandade är bundna av principen om lojalt samarbete i artikel 4.3 FEU när de tillämpar GDPR. Enligt fast rättspraxis ska medlemsstaterna, inbegripet deras förvaltningsmyndigheter, enligt denna princip – på de områden som omfattas av unionsrätten – respektera och bistå varandra när de fullgör uppgifter som följer av fördragen, vidta lämpliga åtgärder för att fullgöra de skyldigheter som följer av bland annat unionsinstitutionernas rättsakter och avstå från att vidta åtgärder som kan äventyra fullgörandet av unionens mål (se, för ett liknande resonemang, dom av den 7 november 2013, UPC Nederland,C‑518/11, EU:C:2013:709, punkt 59, och dom av den 1 augusti 2022, Sea Watch,C‑14/21 och C‑15/21, EU:C:2022:604, punkt 156).

54

I enlighet med denna princip ska nationella konkurrensmyndigheter samråda och lojalt samarbeta med berörda nationella tillsynsmyndigheter eller den ansvariga tillsynsmyndigheten, när de, vid utövandet av sina befogenheter, prövar huruvida ett företags beteende är förenligt med bestämmelserna i GDPR. I detta sammanhang ska samtliga dessa myndigheter respektera sin respektive behörighet och sina respektive befogenheter, på ett sådant sätt att skyldigheterna enligt GDPR och de målsättningar som eftersträvas med den förordningen iakttas och deras ändamålsenliga verkan upprätthålls.

55

En konkurrensmyndighets prövning av ett företags beteende mot bakgrund av bestämmelserna i GDPR kan nämligen medföra en risk för att den myndigheten och tillsynsmyndigheterna gör olika tolkningar av förordningen.

56

Av detta följer att en nationell konkurrensmyndighet måste kontrollera huruvida ett företags beteende eller ett liknande beteende redan varit föremål för beslut av behörig tillsynsmyndighet, av den ansvariga tillsynsmyndigheten eller till och med av EU-domstolen, när den – i samband med en utredning angående ett företags missbruk av sin dominerande ställning i den mening som avses i artikel 102 FEUF – anser det nödvändigt att pröva huruvida företagets beteende är förenligt med bestämmelserna i GDPR. Om detta är fallet får den nationella konkurrensmyndigheten inte avvika från den tidigare bedömningen eller det tidigare beslutet, men det står myndigheten fritt att dra sina egna slutsatser ur konkurrensrättslig synvinkel.

57

Den nationella konkurrensmyndigheten ska – när den hyser tvivel om räckvidden av den behöriga nationella tillsynsmyndighetens eller den ansvariga tillsynsmyndighetens bedömning – samråda och söka samarbete med dessa myndigheter när det aktuella beteendet eller ett liknande beteende samtidigt utreds av sistnämnda myndigheter eller när det inte pågår någon utredning hos sistnämnda myndigheter och den nationella konkurrensmyndigheten anser att ett företags beteende inte är förenligt med bestämmelserna i GDPR. Syftet med samrådet och samarbetet är att skingra den nationella konkurrensmyndighetens tvivel och avgöra huruvida det finns anledning att avvakta den berörda tillsynsmyndighetens beslut innan konkurrensmyndigheten gör sin egen bedömning.

58

Tillsynsmyndigheten ska, när den kontaktas av en nationell konkurrensmyndighet, besvara framställan om upplysningar eller samarbete inom skälig tid och lämna konkurrensmyndigheten de uppgifter som kan klargöra tvivel om räckvidden av tillsynsmyndighetens bedömning eller, i förekommande fall, underrätta konkurrensmyndigheten om att den avser att i enlighet med artikel 60 i GDPR sätta igång samarbetsförfarandet med övriga tillsynsmyndigheter eller den ansvariga tillsynsmyndigheten i syfte att fatta ett beslut om huruvida det aktuella beteendet är förenligt med GDPR.

59

Om den anmodade tillsynsmyndigheten inte besvarar framställan inom skälig tid får den nationella konkurrensmyndigheten fortsätta med sin egen utredning. Detsamma gäller när den behöriga nationella tillsynsmyndigheten och den ansvariga tillsynsmyndigheten inte invänder mot att en sådan utredning fortsätter utan att invänta att något beslut från dessa myndigheters sida.

60

I förevarande fall framgår det av handlingarna i målet att Bundeskartellamt i oktober och november 2018, det vill säga innan beslutet av den 6 februari 2019 antogs, tog kontakt med Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Federala dataskyddsmyndigheten, Tyskland), Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Dataskyddsmyndigheten i Hamburg, Tyskland) och med Data Protection Commission (DPC) (Dataskyddsmyndigheten, Irland). BfDI och Hamburgische Beauftragte für Datenschutz und Informationsfreiheit är behöriga med avseende på Facebook Deutschland. Bundeskartellamt tog dessa kontakter för att underrätta dessa myndigheter om sitt ingripande. Det framgår dessutom att Bundeskartellamt fick bekräftat att det inte pågick några utredningar hos dessa myndigheter om liknande omständigheter som dem som är aktuella i det nationella målet och att dessa myndigheter inte framställde några invändningar mot Bundeskartellamts ingripande. Slutligen hänvisade Bundeskartellamt uttryckligen i punkterna 555 och 556 i sitt beslut av den 6 februari 2019 till detta samarbete.

61

Under dessa omständigheter, och med förbehåll för de kontroller som det ankommer på den hänskjutande domstolen att göra, förefaller Bundeskartellamt ha uppfyllt sin skyldighet att samarbeta lojalt med berörda nationella tillsynsmyndigheter och med den ansvariga tillsynsmyndigheten.

62

Mot bakgrund av det anförda ska fråga 1 och 7 besvaras enligt följande. Artikel 51 och följande artiklar i GDPR samt artikel 4.3 FEU ska tolkas så, att en nationell konkurrensmyndighet i en medlemsstat får, i samband med utredningen av ett företags missbruk av dominerande ställning i den mening som avses i artikel 102 FEUF och med förbehåll för att konkurrensmyndigheten iakttar skyldigheten att samarbeta lojalt med tillsynsmyndigheterna, konstatera att företagets användarvillkor, såvitt de avser behandling av personuppgifter, och företagets tillämpning av dessa villkor inte är förenliga med GDPR, när ett sådant konstaterande krävs för att fastställa att missbruk föreligger.

63

I enlighet med denna skyldighet till lojalt samarbete får den nationella konkurrensmyndigheten inte avvika från ett beslut av behörig nationell tillsynsmyndighet eller behörig ansvarig tillsynsmyndighet angående dessa användarvillkor eller liknande användarvillkor. Konkurrensmyndigheten ska samråda och söka samarbete med dessa myndigheter när den hyser tvivel om räckvidden av ett sådant beslut, när det samtidigt pågår en utredning om dessa användarvillkor eller liknande användarvillkor hos dessa myndigheter eller när det inte pågår någon utredning eller inte finns något beslut från dessa myndigheter och konkurrensmyndigheten anser att användarvillkoren inte är förenliga med GDPR. Samrådet och samarbetet syftar till att klargöra konkurrensmyndighetens tvivel eller till att avgöra huruvida det finns anledning att avvakta dessa myndigheters beslut innan konkurrensmyndigheten gör sin egen bedömning. Om tillsynsmyndigheterna inte har några invändningar eller inte lämnar något svar inom skälig tid får den nationella konkurrensmyndigheten fortsätta med sin egen utredning.

64

Den hänskjutande domstolen har ställt fråga 2 a för att få klarhet i huruvida artikel 9.1 i GDPR ska tolkas så, att för det fall en användare av ett digitalt socialt nätverk besöker webbplatser eller applikationer som rör en eller flera av de kategorier av personuppgifter som avses i den bestämmelsen och, i förekommande fall, för in uppgifter på dessa webbplatser eller applikationer genom att anmäla sig eller göra online-beställningar, så ska det anses vara fråga om en ”behandling av särskilda kategorier av personuppgifter” i den mening som avses i den bestämmelsen som, med förbehåll för undantagen i artikel 9.2 är förbjuden, då operatören av det sociala nätverket utför en behandling av personuppgifter som består i insamling genom integrerade gränssnitt, cookies eller liknande registreringstekniker av uppgifter från besök på dessa sidor eller applikationer samt insamling av de uppgifter som användaren själv fört in på dessa webbplatser och applikationer, sammankoppling av samtliga dessa uppgifter med användarens konto på det sociala nätverket och operatörens användning av uppgifterna.

65

Om den frågan ska besvaras jakande vill den hänskjutande domstolen genom fråga 2 b få klarhet i huruvida artikel 9.2 e i GDPR ska tolkas så, att när en användare av ett digitalt socialt nätverk besöker webbplatser eller applikationer som rör de kategorier av personuppgifter som anges i artikel 9.1 i GDPR, för in uppgifter på dessa webbplatser eller applikationer eller klickar på knappar på dessa webbplatser, såsom ”gilla” eller ”dela” eller knappar som gör det möjligt för användaren att identifiera sig på webbplatserna eller applikationen med inloggningsuppgifterna till sitt användarkonto, sitt telefonnummer eller sin e‑postadress, ska användaren anses på ett tydligt sätt ha offentliggjort, i den mening avses i den förstnämnda bestämmelsen, de uppgifter som vid detta tillfälle samlats in av operatören av det sociala nätverket genom cookies eller liknande registreringstekniker.

66

I skäl 51 i GDPR anges att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. I detta skäl anges att sådana personuppgifter inte bör behandlas, såvida inte behandling medges i särskilda fall som fastställs i förordningen.

67

I artikel 9.1 i GDPR uppställs huvudregeln att behandling av de särskilda kategorier av personuppgifter som anges i den bestämmelsen är förbjuden. Det rör sig bland annat om upplysningar som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös övertygelse samt uppgifter om en fysisk persons hälsa, sexualliv eller sexuella läggning.

68

Vid tillämpningen av artikel 9.1 i GDPR ska det, med avseende på den behandling av personuppgifter som utförs av en operatör av ett digitalt socialt nätverk, kontrolleras huruvida dessa uppgifter gör det möjligt att avslöja upplysningar hänförliga till någon av de kategorier som anges i den bestämmelsen – oavsett om upplysningarna rör användaren eller någon annan fysisk person. Om så är fallet är en sådan behandling av personuppgifter förbjuden, med förbehåll för undantagen i artikel 9.2 i GDPR.

69

Såsom generaladvokaten har påpekat, i punkterna 40 och 41 i sitt förslag till avgörande, gäller huvudregeln i artikel 9.1 i GDPR om förbud mot behandling oberoende av huruvida den information som avslöjats genom den aktuella behandlingen är riktig eller inte och oberoende av huruvida den personuppgiftsansvarige handlat i syfte att erhålla upplysningar hänförliga till någon av de särskilda kategorier av personuppgifter som anges i den bestämmelsen.

70

Med hänsyn till de betydande risker för registrerades grundläggande fri- och rättigheter som en behandling av personuppgifter hänförliga till någon av de kategorier som avses i artikel 9.1 i GDPR medför, förbjuder den bestämmelsen behandling av sådana personuppgifter oavsett det angivna syftet.

71

I förevarande fall består den i det nationella målet aktuella behandling av personuppgifter som utförs av Meta Platforms av följande: 1) insamling av personuppgifter från användarna av det sociala nätverket Facebook när de besöker webbplatser eller applikationer, inbegripet webbplatser eller applikationer som kan avslöja upplysningar hänförliga till någon eller några av de kategorier som anges i artikel 9.1 i GDPR, 2) insamling, i förekommande fall, av de personuppgifter som användarna för in på dessa webbplatser eller applikationer genom att anmäla sig eller göra online-beställningar, 3) sammankopplingen av personuppgifterna med användarnas konton på det sociala nätverket och 4) användningen av dessa uppgifter.

72

Det ankommer härvidlag på den hänskjutande domstolen att avgöra huruvida de sålunda insamlade uppgifterna, i sig eller genom att de sammankopplas med berörda användares Facebook-konton, gör det faktiskt möjligt att avslöja sådana upplysningar – oavsett om upplysningarna avser användaren eller någon annan fysisk person. Med beaktande av de spörsmål som lyfts fram av den hänskjutande domstolen preciserar EU-domstolen dock att det, med förbehåll för den hänskjutande domstolens kontroller, förefaller som om behandling av uppgifter rörande besök på de aktuella webbplatserna eller applikationerna i vissa fall kan avslöja sådana upplysningar utan att det är nödvändigt att användarna för in uppgifterna på webbplatserna eller applikationerna genom att anmäla sig eller göra online-beställningar.

73

Mot bakgrund a det anförda ska fråga 2 a besvaras enligt följande. Artikel 9.1 i GDPR ska tolkas så, att, för det fall en användare av ett digitalt socialt nätverk besöker webbplatser eller applikationer som rör en eller flera av de kategorier av personuppgifter som anges i den bestämmelsen och, i förekommande fall, för in uppgifter på dessa webbplatser eller applikationer genom att anmäla sig eller göra online-beställningar, ska det anses vara fråga om en ”behandling av särskilda kategorier av personuppgifter” i den mening som avses i den bestämmelsen som, med förbehåll för undantagen i artikel 9.2 är förbjuden, då operatören av det sociala nätverket utför en behandling av personuppgifter som består i insamling genom integrerade gränssnitt, cookies eller liknande registreringstekniker av uppgifter från besök på dessa sidor eller applikationer samt insamling av de uppgifter som användaren själv fört in på dessa webbplatser och applikationer, sammankoppling av samtliga dessa uppgifter med användarens konto på det sociala nätverket och operatörens användning av uppgifterna, när denna behandling av personuppgifter gör det möjligt att avslöja upplysningar hänförliga till någon av dessa kategorier – oavsett om upplysningarna avser någon av nätverkets användare eller någon annan fysisk person.

74

Beträffande fråga 2 b som rör artikel 9.2 e i GDPR, såsom den frågan omformulerats i punkt 65 ovan, erinrar domstolen om att enligt den bestämmelsen är huvudregeln i artikel 9.1 om förbud mot behandling av särskilda kategorier av personuppgifter inte tillämplig när behandlingen rör personuppgifter som ”som på ett tydligt sätt har offentliggjorts av den registrerade”.

75

Det ska inledningsvis påpekas att detta undantag endast är tillämpligt på personuppgifter som på ett tydligt sätt har offentliggjorts ”av den registrerade”. Undantaget är följaktligen inte tillämpligt på uppgifter avseende andra personer än den person som offentliggjort dem.

76

Såvitt det i artikel 9.2 i GDPR föreskrivs ett undantag från huvudregeln om förbud mot behandling av särskilda kategorier av personuppgifter ska den bestämmelsen tolkas restriktivt (se, för ett liknande resonemang, dom av den 17 september 2014, Baltic Agro,C‑3/13, EU:C:2014:2227, punkt 24 och där angiven rättspraxis, och dom av den 6 juni 2019, Weil,C‑361/18, EU:C:2019:473, punkt 43 och där angiven rättspraxis).

77

Av detta följer att det vid tillämpningen av undantaget i artikel 9.2 e i GDPR ska kontrolleras huruvida den registrerade, uttryckligen och genom en entydig aktiv handling, avsett att göra de aktuella personuppgifterna tillgängliga för allmänheten.

78

Beträffande, för det första, besök på webbplatser eller applikationer som rör en eller flera av de kategorier av personuppgifter som avses i artikel 9.1 i GDPR, konstaterar domstolen att den berörda användaren genom sitt besök inte avser att offentliggöra det faktum att vederbörande besökt dessa webbplatser eller applikationer och de uppgifter angående besöket som kan knytas till vederbörande. Användaren kan nämligen på sin höjd förvänta sig att webbplatsoperatören eller applikationsoperatören har åtkomst till dessa uppgifter och att operatören, i förekommande fall och med förbehåll för användaren gett sitt uttryckliga samtycke, delar dem med vissa tredje parter men inte med allmänheten.

79

Det går således inte enbart av den omständigheten att en användare besökt sådana webbplatser eller applikationer sluta sig till att användaren på ett tydligt sätt har offentliggjort de aktuella personuppgifterna, i den mening som avses i artikel 9.2 e i GDPR.

80

Beträffande, för det andra, sådana aktiviteter som består i att föra in uppgifter på nämnda webbplatser eller applikationer samt att klicka på knappar som finns på webbplatserna eller i applikationerna, såsom ”Gilla”-knappar, ”Dela”-knappar eller knappar som gör det möjligt för användaren att identifiera sig på en webbplats eller applikation med inloggningsuppgifterna för sitt Facebook-konto, sitt telefonnummer eller sin e‑postadress, konstaterar domstolen följande. Dessa aktiviteter innefattar en interaktion mellan användaren och den aktuella webbplatsen eller applikationen och, i förekommande fall, det digitala sociala nätverkets webbplats. Den utsträckning i vilken denna interaktion offentliggörs kan variera beroende på användarens individuellt gjorda inställningar.

81

Under dessa omständigheter ankommer det på den hänskjutande domstolen att kontrollera huruvida de berörda användarna har möjlighet att, på grundval av ett informerat inställningsval, göra de uppgifter som de för in på de aktuella webbplatserna eller applikationerna samt de uppgifter som följer av klickandet på knappar på webbplatserna eller applikationerna tillgängliga för allmänheten eller till en mer eller mindre avgränsad krets av utvalda personer.

82

När de berörda användarna faktiskt har en sådan valmöjlighet kan de endast, när de frivilligt för in uppgifter på en webbplats eller i en applikation eller klickar på knappar på webbplatser eller i applikationer, anses på ett tydligt sätt offentliggöra sina personuppgifter, i den mening som avses i artikel 9.2 e i GDPR, då de, på grundval av ett informerat, individuellt inställningsval, klart gett uttryck för sitt val att uppgifterna görs tillgängliga för ett obegränsat antal personer. Det ankommer på den hänskjutande domstolen att kontrollera att så är fallet.

83

Om något sådant inställningsval inte erbjuds gäller följande mot bakgrund av vad det redogjorts för i punkt 77 ovan. Användarna måste, när de frivilligt för in uppgifter på en webbplats eller i en applikation eller klickar på knappar på webbplatser eller i applikationer, för att anses på ett tydligt sätt ha offentliggjort uppgifterna, uttryckligen ha gett sitt samtycke, på grundval av tydlig information som lämnats av webbplatsen eller applikationen före införandet eller klickningen, till att uppgifterna kan ses av varje person som har tillgång till webbplatsen eller applikationen.

84

Mot bakgrund av det anförda ska artikel 9.2 e i GDPR tolkas så, att när en användare av ett digitalt socialt nätverk besöker webbplatser eller applikationer som rör en eller flera av de kategorier av personuppgifter som avses i artikel 9.1 i GDPR, offentliggör inte användaren på ett tydligt sätt, i den mening som avses i den förstnämnda bestämmelsen, de uppgifter rörande besöket som operatören av det digitala sociala nätverket samlar in via cookies eller liknande registreringstekniker.

85

När användaren för in uppgifter på sådana webbplatser eller i sådana applikationer eller när han eller hon klickar på knappar på sådana webbplatser eller i sådana applikationer, såsom ”Gilla” eller ”Dela” eller knappar som gör det möjligt för användaren att identifiera sig på webbplatsen eller i applikationen genom att använda inloggningsuppgifterna för dennes konto på det digitala sociala nätverket, dennes telefonnummer eller dennes e‑postadress, offentliggör användaren endast de uppgifter som sålunda införts eller genererats genom klickningen på knapparna på ett tydligt sätt, i den mening som avses i artikel 9.2 e i GDPR, om han eller hon på förhand klart gett uttryck för sitt val – i förekommande fall med stöd av individuella inställningar som gjorts på ett informerat sätt – att göra uppgifterna om vederbörande tillgängliga för ett obegränsat antal personer.

86

Den hänskjutande domstolen har ställt fråga 3 och 4, vilka ska prövas i ett sammanhang, för att få klarhet i huruvida, och under vilka förutsättningar, artikel 6.1 första stycket b och f i GDPR ska tolkas så, att en behandling av personuppgifter som utförs av operatören av ett digitalt socialt nätverk, vilken består i insamling av nätverksanvändarnas uppgifter från andra tjänster inom den koncern som operatören ingår i eller från nätverksanvändarnas besök på webbplatser eller tredjepartsapplikationer, sammankoppling av dessa uppgifter med användarnas respektive konton på det sociala nätverket och användning av uppgifterna, kan anses nödvändig för att fullgöra ett avtal i vilket de registrerade är parter, i den mening som avses i led b, eller för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, i den mening som avses i led f. Den hänskjutande domstolen vill särskilt få klarhet i huruvida vissa intressen som den uttryckligen har nämnt kan anses utgöra ett ”berättigat intresse” i den mening som avses i sistnämnda bestämmelse.

87

Den hänskjutande domstolen har ställt fråga 5 för att få klarhet i huruvida artikel 6.1 första stycket c–e i GDPR ska tolkas så, att en sådan behandling av personuppgifter kan anses vara nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, i den mening som avses i led c, för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, i den mening som avses i led d, eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, i den mening som avses i led e, då behandlingen utförs för att tillmötesgå en laga begäran om att tillhandahålla vissa uppgifter för att bekämpa skadliga beteenden och främja säkerhet, för samhällsnyttig forskning och för att främja trygghet, integritet och säkerhet.

88

Domstolen påpekar för det första att frågorna 3–5 har ställts på grund av att det – efter Bundeskartellamts konstateranden i sitt beslut av den 6 februari 2019 – inte kan anses att användarna av det sociala nätverket Facebook gett sitt samtycke, i den mening som avses i artikel 6.1 första stycket a i GDPR och i artikel 9.2 a i GDPR, till den behandling av deras personuppgifter som är aktuell i det nationella målet. Med förbehåll för den hänskjutande domstolens fråga 6 angående kravet på samtycke, är det således mot denna bakgrund som den domstolen anser det nödvändigt att kontrollera huruvida behandlingen av personuppgifter kan uppfylla något av de andra villkoren för lagenlighet i artikel 6.1 första stycket b–f i GDPR.

89

Domstolen konstaterar i detta sammanhang att den insamling, sammankoppling och användning av personuppgifter som avses i frågorna 3–5 kan innefatta både känsliga uppgifter, i den mening som avses i artikel 9.1 i GDPR, och icke-känsliga uppgifter. Domstolen preciserar emellertid att då en datamängd med personuppgifter som innehåller både känsliga och icke-känsliga uppgifter samlas in som en helhet, utan att uppgifterna kan skiljas från varandra vid tidpunkten för insamlingen, ska behandling av denna datamängd anses vara förbjuden, i den mening som avses i artikel 9.1 i GDPR, om den innehåller åtminstone en känslig uppgift och inte något av undantagen i artikel 9.2 i GDPR är tillämpligt.

90

För det andra erinrar domstolen, beträffande besvarandet av frågorna 3–5, om att det i artikel 6.1 första stycket i GDPR anges en uttömmande och fullständig förteckning av de fall i vilka en behandling av personuppgifter kan anses laglig. För att en behandling ska anses vara laglig måste den omfattas av något av de fall som föreskrivs i den bestämmelsen (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning),C‑439/19, EU:C:2021:504, punkt 99 och där angiven rättspraxis).

91

Enligt artikel 6.1 första stycket a i GDPR är behandling av personuppgifter laglig om och i den utsträckning som den registrerade har lämnat sitt samtycke till detta för ett eller flera särskilda ändamål.

92

Har något sådant samtycke inte lämnats eller har samtycket inte lämnats på ett frivilligt, specifikt, informerat och otvetydigt sätt, i den mening som avses i artikel 4.11 i GDPR, är behandlingen trots detta laglig om den uppfyller något av nödvändighetsgrunderna i artikel 6.1 första stycket b–f.

93

Laglighetsgrunderna i artikel 6.1 första stycket b–f i GDPR innebär att en behandling av personuppgifter som utförs utan att den registrerade lämnat sitt samtycke blir lagenlig. De måste därför tolkas restriktivt (se, för ett liknande resonemang, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 73 och där angiven rättspraxis).

94

Domstolen har dessutom funnit att när det går att konstatera att en behandling av personuppgifter är nödvändig enligt någon av laglighetsgrunderna i artikel 6.1 första stycket b–f i GDPR, så finns det inte anledning att pröva huruvida behandlingen även omfattas av någon annan laglighetsgrund (se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija,C‑184/20, EU:C:2022:601, punkt 71).

95

Domstolen påpekar slutligen att enligt artikel 5 i GDPR är det den personuppgiftsansvarige som bland annat ska kunna visa att uppgifterna samlats in för särskilda, uttryckligt angivna och berättigade ändamål och att de behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Enligt artikel 13.1 c i GDPR ska den personuppgiftsansvarige, i samband med att personuppgifterna samlas in från den registrerade, informera vederbörande om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

96

Det ankommer visserligen på den hänskjutande domstolen att avgöra huruvida de olika momenten i den behandling av personuppgifter som är aktuell i det nationella målet är motiverad enligt någon av de nödvändighetsgrunder som anges i artikel 6.1 b–f i GDPR, men EU-domstolen får lämna den domstolen användbara upplysningar för att avgöra nämnda mål.

97

I artikel 6.1 första stycket b i GDPR föreskrivs att en behandling av personuppgifter är laglig om ”den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås”.

98

För att en behandling av personuppgifter ska anses vara nödvändig för att fullgöra ett avtal, i den mening som avses i denna bestämmelse, måste behandlingen vara objektivt oundgänglig för att uppnå ett ändamål som utgör en väsentlig beståndsdel av den tjänst som är avsedd för den registrerade. Den registeransvarige måste således kunna visa på vilket sätt avtalets huvudändamål inte skulle kunna uppnås utan den aktuella behandlingen.

99

Den omständigheten att en sådan behandling nämns i avtalet eller att behandlingen endast är till nytta för fullgörandet av avtalet saknar i sig relevans i detta sammanhang. Den avgörande faktorn vid tillämpningen av den laglighetsgrund som avses i artikel 6.1 första stycket b i GDPR är nämligen att den personuppgiftsansvariges behandling av personuppgifter är absolut nödvändig för det korrekta fullgörandet av det avtal som ingåtts mellan den personuppgiftsansvarige och den registrerade och, följaktligen, att det inte finns några andra praktiska lösningar som är mindre ingripande.

100

Såsom generaladvokaten har påpekat i punkt 54 i sitt förslag till avgörande ska tillämpligheten av artikel 6.1 första stycket b i GDPR bedömas separat för respektive tjänst, när avtalet består av flera tjänster eller av flera olika delar av en och samma tjänst, vilka kan fullgöras fristående från varandra.

101

I förevarande fall har den hänskjutande domstolen, som motiveringar vilka kan ingå i tillämpningsområdet för denna bestämmelse såsom omständigheter som syftar till att säkerställa ett korrekt fullgörande av det avtal som ingåtts mellan Meta Platforms Ireland och dess användare, hänvisat till personalisering av innehållet samt enhetlig och sömlös användning av Metakoncernens egna tjänster.

102

Beträffande, för det första, motiveringen avseende personaliserat innehåll, konstaterar EU-domstolen att en sådan personalisering visserligen är användbar för användaren, såvitt den bland annat gör det möjligt för vederbörande att se innehåll som i stor utsträckning motsvarar dennes intressen. Med förbehåll för den hänskjutande domstolens kontroll, förefaller dock inte personaliseringen nödvändig för att kunna erbjuda användaren digitala sociala nätverkets tjänster. Dessa tjänster kan i förekommande fall tillhandahållas användaren i form av ett likvärdigt alternativ som inte innefattar någon sådan personalisering, så att denna inte är objektivt oundgänglig för ett ändamål som utgör en väsentlig beståndsdel av tjänsterna.

103

Beträffande, för det andra, motiveringen avseende en enhetlig och sömlös användning av Metakoncernens egna tjänster framgår det av handlingarna i målet att en person inte är skyldig att teckna sig för övriga tjänster som Metakoncernen erbjuder för att kunna skapa ett användarkonto på det digitala sociala nätverket Facebook. De produkter och tjänster som denna koncern erbjuder kan nämligen användas oberoende av varandra och användningen av respektive produkt eller tjänst grundar sig på tecknandet av ett separat användaravtal.

104

Med förbehåll för den hänskjutande domstolens kontroll, förefaller det följaktligen inte som om en behandling personuppgifter som härrör från andra av Metakoncernens tjänster än den digitala sociala nätverkstjänsten är nödvändig för att möjliggöra tillhandahållandet av den sistnämnda tjänsten.

105

I artikel 6.1 första stycket f i GDPR föreskrivs att behandling av personuppgifter är laglig om den är ”nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn”.

106

Såsom domstolen redan har slagit fast föreskrivs det i denna bestämmelse tre kumulativa villkor för att personuppgiftsbehandling ska vara tillåten. För det första ska den personuppgiftsansvarige eller tredje part eftersträva ett berättigat intresse. För det andra ska personuppgiftsbehandlingen vara nödvändig för att tillgodose det aktuella berättigade intresset. För det tredje ska intressena eller de grundläggande fri- och rättigheterna för den person vars personuppgifter ska skyddas inte väga tyngre än den personuppgiftsansvariges eller tredje parts berättigade intresse (dom av den 17 juni 2021, M.I.C.M.,C‑597/19, EU:C:2021:492, punkt 106 och där angiven rättspraxis).

107

Beträffande, för det första, villkoret att det ska föreligga ett berättigat intresse, preciserar domstolen att enligt artikel 13.1 d i GDPR ska den personuppgiftsansvarige, i samband med att personuppgifter samlas in från den registrerade, informera denna om vilka berättigade intressen som eftersträvas, när behandlingen baseras på artikel 6.1 f i GDPR.

108

Beträffande, för det andra, villkoret att behandlingen måste vara nödvändig för att tillgodose det berättigade intresse som eftersträvas, innebär detta villkor att den hänskjutande domstolen ska kontrollera att det berättigade intresse som eftersträvas med behandlingen av personuppgifter inte rimligen kan uppnås på ett lika effektivt sätt genom andra medel som är mindre ingripande i de registrerades grundläggande fri- och rättigheter, i synnerhet rätten till respekt för privatlivet och rätten till skydd av personuppgifter som garanteras i artiklarna 7 och 8 i stadgan (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning),C‑439/19, EU:C:2021:504, punkt 110 och där angiven rättspraxis).

109

Det ska i detta sammanhang även erinras om att villkoret om att behandlingen ska vara nödvändig ska prövas tillsammans med principen om ”uppgiftsminimering” i artikel 5.1 c i GDPR, enligt vilken personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (se, för ett liknande resonemang, dom av den 11 december 2019, Asociația de Proprietari bloc M5A-ScaraA,C‑708/18, EU:C:2019:1064, punkt 48).

110

Beträffande, för det tredje, villkoret att intressena och de grundläggande fri- och rättigheterna för den person vars personuppgifter ska skyddas inte får väga tyngre än den personuppgiftsansvariges eller tredje parts berättigade intresse, har domstolen redan funnit att detta villkor innebär en avvägning mellan de aktuella rättigheter och intressen som står emot varandra, vilken i princip beror på de konkreta omständigheterna i det enskilda fallet. Det ankommer därför på den hänskjutande domstolen att bedöma dessa specifika omständigheter (dom av den 17 juni 2021, M.I.C.M.,C‑597/19, EU:C:2021:492, punkt 111 och där angiven rättspraxis).

111

Det framgår av lydelsen i artikel 6.1 första stycket f i GDPR att det vid en sådan avvägning måste ägnas särskild uppmärksamhet i det fallet att den registrerade är ett barn. Enligt skäl 38 i GDPR förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som erbjuds direkt till barn utnyttjas.

112

Såsom framgår av skäl 47 i GDPR kan den registrerades intressen och grundläggande rättigheter i synnerhet väga tyngre än den personuppgiftsansvariges intressen när personuppgifter om personuppgifter behandlas under omständigheter där registrerade inte rimligen kan förvänta sig någon ytterligare behandling.

113

I förevarande fall har den hänskjutande domstolen hänvisat till följande företeelser som motiveringar, vilka kan omfattas av tillämpningsområdet för artikel 6.1 första stycket f i GDPR: personaliserad reklam, nätverkssäkerhet, produktutveckling, delning av information med behöriga myndigheter för brottsbekämpning och verkställighet av straff och påföljder, det faktum att användaren är underårig, samhällsnyttig forskning och innovation, erbjudande till annonsörer och andra näringsidkare av marknadskommunikationstjänster riktade till användaren samt erbjudande av analysverktyg som gör det möjligt för dem att utvärdera resultatet.

114

Begäran om förhandsavgörande innehåller inte någon förklaring som gör det möjligt att förstå hur samhällsnyttig forskning och innovation eller det faktum att användaren är underårig, såsom berättigade intressen i den mening som avses i artikel 6.1 första stycket f i GDPR, skulle kunna motivera insamling och användning av de aktuella uppgifterna. Domstolen kan följaktligen inte uttala sig i detta avseende.

115

Beträffande, för det första, personalisering av reklam, påpekar domstolen att enligt skäl 47 i GDPR kan behandling av personuppgifter för direktmarknadsföring anses tillgodose ett berättigat intresse hos den personuppgiftsansvarige.

116

Det krävs emellertid även att en sådan behandling är nödvändig för att tillgodose detta intresse och att den registrerades intressen eller grundläggande fri- och rättigheter inte väger tyngre än den personuppgiftsansvariges berättigade intresse. Vid denna avvägning mellan de motstående rättigheter och intressen som är i fråga, det vill säga, å ena sidan, den personuppgiftsansvariges rättigheter och intressen och, och å andra sida, den registrerades rättigheter och intressen, ska det, såsom påpekats i punkt 112 ovan, bland annat tas hänsyn till den registrerades rimliga förväntningar, omfattningen av den aktuella behandlingen och dess inverkan på den registrerade.

117

Domstolen påpekar härvidlag att användaren av ett digitalt socialt nätverk såsom Facebook inte rimligen kan förvänta sig att nätverkets operatör, utan användarens samtycke, behandlar dennes personuppgifter i reklampersonaliseringssyfte, trots att ett sådant nätverks tjänster är kostnadsfria. Under dessa omständigheter ska det anses att användarens intressen och grundläggande rättigheter väger tyngre än operatörens intresse av den reklampersonalisering genom vilken denne finansierar sin verksamhet, vilket innebär att operatörens behandling av personuppgifter för dessa ändamål inte kan omfattas av artikel 6.1 f i GDPR.

118

Dessutom är den behandling av personuppgifter som är aktuell i det nationella målet synnerligen omfattande, eftersom den avser ett potentiellt obegränsat antal uppgifter och den har en väsentlig inverkan på användaren, vars aktiviteter på internet till stor, eller till och med nästintill uteslutande, del står under Meta Platforms Irelands uppsikt. Detta kan leda till att det uppstår en känsla hos användaren att hans eller hennes privatliv står under ständig övervakning.

119

Beträffande, för det andra, syftet avseende garanterandet av nätverkssäkerhet utgör detta, såsom anges i skäl 49 i GDPR ett berättigat intresse för Meta Platforms Ireland, vilket kan motivera den behandling av personuppgifter som är aktuell i det nationella målet.

120

När det gäller huruvida behandlingen är nödvändig för att tillgodose detta berättigade intresse ska den hänskjutande domstolen emellertid pröva huruvida och i vilken utsträckning behandlingen av personuppgifter som samlats in från källor utanför det sociala nätverket Facebook verkligen är nödvändig för att säkerställa att nätverkets inre säkerhet inte äventyras.

121

I detta sammanhang ska den hänskjutande domstolen, såsom angetts i punkterna 108 och 108 ovan, även kontrollera dels huruvida det berättigade intresset av att behandla de uppgifterna rimligen inte kan tillgodoses på ett lika effektivt sätt med andra medel som är mindre ingripande i de registrerades grundläggande fri- och rättigheter, i synnerhet den i artiklarna 7 respektive 8 i stadgan garanterade rätten till respekt för privatlivet och rätten till skydd av personuppgifter, dels huruvida principen om ”uppgiftsminimering” i artikel 5.1 c i GDPR iakttas.

122

Beträffande, för det tredje, syftet avseende produktutveckling, kan det inte utan vidare avfärdas att den personuppgiftsansvariges intresse av att förbättra sin produkt eller sin tjänst för att göra den effektivare eller attraktivare kan utgöra ett berättigat intresse som motiverar behandlingen av personuppgifter och att denna behandling är nödvändig för att tillgodose detta intresse.

123

Med förbehåll för den slutliga bedömning som den hänskjutande domstolen ska göra i denna del, framstår det dock – med avseende på den behandling av personuppgifter som är aktuell i det nationella målet – som tvivelaktigt att produktutvecklingssyftet, med hänsyn till behandlingens omfattning, den väsentliga inverkan som behandlingen har på användaren och den omständigheten att användaren inte rimligen kan förvänta sig att personuppgifterna behandlas av Meta Platforms Ireland, skulle kunna väga tyngre än användarens intressen och grundläggande rättigheter – i synnerhet om användaren är ett barn.

124

Beträffande, för det fjärde, syftet avseende information till behöriga myndigheter för brottsbekämpning och verkställighet av straff och påföljder i syfte att förebygga, avslöja och lagföra brott, konstaterar domstolen att detta i princip inte kan utgöra ett berättigat intresse för den personuppgiftsansvarige, i den mening som avses i artikel 6.1 första stycket f i GDPR. Det är nämligen inte möjligt för en privat operatör som Meta Platforms Ireland att åberopa ett sådant berättigat intresse som saknar samband med företagets ekonomiska affärsverksamhet. Däremot kan detta syfte motivera en sådan operatörs behandling av personuppgifter när den är objektivt nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

125

Mot bakgrund av det anförda ska frågorna 3 och 4 besvaras enligt följande. Artikel 6.1 första stycket b i GDPR ska tolkas så, att en behandling av personuppgifter som utförs av operatören av ett digitalt socialt nätverk, vilken består i insamling av nätverksanvändarnas uppgifter från andra tjänster inom den koncern som operatören ingår i eller från nätverksanvändarnas besök på webbplatser eller tredjepartsapplikationer, sammankoppling av dessa uppgifter med användarnas respektive konton på det sociala nätverket och användning av uppgifterna, kan endast anses nödvändig för att fullgöra ett avtal i vilket de registrerade är parter, i den mening som avses i den bestämmelsen, under förutsättning att behandlingen är objektivt oundgänglig för att uppnå ett ändamål som utgör en väsentlig beståndsdel av den tjänst som är avsedd för användarna, så att avtalets huvudändamål inte skulle kunna uppnås utan den aktuella behandlingen.

126

Artikel 6.1 första stycket f i GDPR ska tolkas så, att en sådan behandling endast kan anses vara nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, i den mening som avses i denna bestämmelse, under förutsättning att operatören har informerat de användare från vilka uppgifterna har samlats in om ett berättigat intresse som eftersträvas med behandlingen av dem, att behandlingen utförs inom ramen för vad som är strängt nödvändigt för att tillgodose detta berättigade intresse och att det framgår av en avvägning mellan de motstående intressena, mot bakgrund av samtliga relevanta omständigheter, att användarnas intressen eller grundläggande och fri- och rättigheter inte väger tyngre än den personuppgiftsansvariges eller en tredje parts berättigade intresse.

127

Såvitt denna fråga avser artikel 6.1 första stycket c och e i GDPR, erinrar domstolen om att enligt led c är en behandling av personuppgifter laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt led e är en behandling av personuppgifter även laglig om den är nödvändig är att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

128

I artikel 6.3 i GDPR preciseras bland annat, med avseende på dessa båda fall av laglig behandling, att behandlingen ska ske på grundval av unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, och att denna rättsliga grund ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

129

I förevarande fall vill den hänskjutande domstolen få klarhet i huruvida en sådan behandling av personuppgifter som den som är aktuell i det nationella målet kan anses vara motiverad enligt artikel 6.1 första stycket c i GDPR, när den syftar till att ”besvara en rättsligt giltig begäran om tillhandahållande av vissa uppgifter”, och enligt artikel 6.1 första stycket e i GDPR, när den syftar till att ”främja samhällsnyttig forskning” och till att ”främja trygghet, integritet och säkerhet”.

130

Den hänskjutande domstolen har dock inte lämnat något underlag för att EU-domstolen ska kunna uttala sig konkret i detta avseende.

131

Det ankommer således på den hänskjutande domstolen att, mot bakgrund av de rekvisit som det redogjorts för i punkt 128 ovan, pröva huruvida behandlingen kan anses vara motiverad av de angivna ändamålen.

132

Mot bakgrund av vad som angetts i punkt 124 ovan ankommer det bland annat på den hänskjutande domstolen att, vid tillämpningen av artikel 6.1 första stycket i GDPR, undersöka huruvida det åvilar Meta Platforms Ireland en rättslig förpliktelse att samla in och lagra personuppgifter i förebyggande syfte för att kunna besvara en begäran från en nationell myndighet om att erhålla vissa uppgifter om dess användare.

133

På samma sätt ankommer det på den hänskjutande domstolen att, mot bakgrund av artikel 6.1 första stycket e i GDPR, pröva huruvida Meta Platforms Ireland har anförtrotts ett uppdrag av allmänt intresse eller som utgör ett led i myndighetsutövning, i synnerhet för att genomföra samhällsnyttig forskning och för att främja trygghet, integritet och säkerhet. Det ska härvidlag preciseras att det, med hänsyn till verksamhetens beskaffenhet och dess huvudsakligen ekonomiska och affärsmässiga karaktär, framstår som föga troligt att denna privata operatör har anförtrotts ett sådant uppdrag.

134

Den hänskjutande domstolen ska dessutom, i förekommande fall, kontrollera huruvida behandlingen av personuppgifter med hänsyn till omfattningen av Meta Platforms Irelands behandling av sådana uppgifter och den väsentliga inverkan som denna behandling har på det sociala nätverket Facebooks användare, utförs inom ramarna för vad som är strängt nödvändigt.

135

Beträffande artikel 6.1 första stycket d i GDPR, föreskrivs det i denna bestämmelse att behandling av personuppgifter är laglig om den är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

136

Såsom framgår av skäl 46 i GDPR avser den bestämmelsen den speciella situationen där behandling av personuppgifter är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. I nämnda skäl anges som exempel humanitära skäl, bland annat för att övervaka epidemier och deras spridning, och humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

137

Det framgår av dessa exempel och av den restriktiva tolkning som ska göras av artikel 6.1 första stycket d i GDPR, nämligen att – med hänsyn till beskaffenheten av de tjänster som tillhandahålls av en operatör av ett digitalt socialt nätverk – en sådan operatör, vars verksamhet huvudsakligen är av ekonomisk och affärsmässig karaktär, inte kan åberopa skyddet av ett intresse som är av avgörande betydelse för nätverkets användares eller någon annan persons liv för att, övergripande och på ett rent abstrakt och förebyggande sätt, motivera lagligheten av en sådan behandling av personuppgifter som den som är aktuell i det nationella målet.

138

Mot bakgrund av det anförda ska fråga 5 besvaras enligt följande. Artikel 6.1 första stycket c i GDPR ska tolkas så, att en behandling av personuppgifter som utförs av operatören av ett digitalt socialt nätverk, vilken består i insamling av nätverksanvändarnas uppgifter från andra tjänster inom den koncern som operatören ingår i eller från nätverksanvändarnas besök på webbplatser eller tredjepartsapplikationer, sammankoppling av dessa uppgifter med användarnas respektive konton på det sociala nätverket och användning av uppgifterna, är motiverad enligt den bestämmelsen, när den är faktiskt nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige i kraft av en bestämmelse i unionsrätten eller i den berörda medlemsstatens nationella rätt, denna rättsliga grund motsvarar ett allmänt intresse och är proportionerlig till det berättigade intresse som eftersträvas och behandlingen utförs inom ramarna för vad som är strängt nödvändigt.

139

Artikel 6.1 första stycket d och e i GDPR ska tolkas så, att en sådan behandling av personuppgifter i princip inte kan – med förbehåll för den hänskjutande domstolens prövning – anses nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, i den mening som avses i led d, eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, i den mening som avses i led e.

140

Den hänskjutande domstolen har ställt fråga 6 för att få klarhet i huruvida artikel 6.1 första stycket a och artikel 9.2 a i GDPR ska tolkas så, att det samtycke som en användare av ett digitalt socialt nätverk lämnar operatören av ett sådant nätverk kan anses uppfylla villkoren för giltigt samtycke i artikel 4.11 i GDPR, i synnerhet villkoret att samtycket ska lämnas frivilligt, när operatören har en dominerande ställning på marknaden för digitala sociala nätverk.

141

Enligt artikel 6.1 första stycket a och artikel 9.2 a i GDPR krävs det samtycke från den registrerade för att hans eller hennes personuppgifter respektive särskilda kategorier av personuppgifter som avses i artikel 9.1 ska kunna behandlas för ett eller flera specifika ändamål.

142

I artikel 4.11 i GDPR definieras ”samtycke” som ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.

143

Mot bakgrund av den hänskjutande domstolens frågeställningar ska det för det första erinras om att enligt skäl 42 i GDPR kan samtycke inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

144

För det andra anges det i skäl 43 i GDPR att för att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. I samma skäl anges även att samtycke inte ska antas vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet.

145

För det tredje föreskrivs det i artikel 7.4 i GDPR att vid bedömningen av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

146

Det är på grundval av dessa överväganden som fråga 6 ska besvaras.

147

Domstolen konstaterar att den omständigheten att operatören av ett digitalt socialt nätverk, i egenskap av personuppgiftsansvarig, har en dominerande ställning på marknaden för digitala sociala nätverk visserligen inte i sig utgör hinder för att det sociala nätverkets användare kan lämna giltigt samtycke, i den mening som avses i artikel 4.11 i GDPR, till den behandling av deras personuppgifter som utförs av operatören.

148

Denna omständighet ska icke desto mindre, såsom generaladvokaten har påpekat, i punkt 75 i sitt förslag till avgörande, beaktas vid bedömningen av huruvida det samtycke som lämnats av nätverksanvändaren är giltigt och, i synnerhet huruvida det lämnats frivilligt, eftersom nämnda omständighet kan påverka användarens fria valmöjlighet som kan sakna möjlighet att utan problem vägra eller ta tillbaka sitt samtycke, vilket strider mot vad som anges i skäl 42 i GDPR.

149

Förekomsten av en sådan dominerande ställning kan dessutom skapa en betydande ojämlikhet, i den mening som avses i skäl 43 i GDPR, mellan den registrerade och den personuppgiftsansvarige. En sådan ojämlikhet underlättar bland annat införandet av villkor som inte är absolut nödvändiga för genomförandet av avtalet, vilket ska beaktas enligt artikel 7.4 i GDPR. Såsom det har påpekats i punkterna 102–104 ovan framgår det inte, med förbehåll för den hänskjutande domstolens prövning, att den behandling av personuppgifter som är aktuell i det nationella målet är absolut nödvändig för att fullgöra avtalet mellan Meta Platforms Ireland och det sociala nätverket Facebooks användare.

150

Användarna måste således ha friheten att, i samband med ingåendet av avtalet, kunna vägra att lämna sitt samtycke till bestämda åtgärder för behandling av personuppgifter som inte är nödvändiga för fullgörandet av avtalet, utan att de är skyldiga att fullständigt avstå från att använda den tjänst som erbjuds av operatören av det digitala sociala nätverket. Detta innebär att användarna ska erbjudas, i förekommande mot lämplig ersättning, ett likvärdigt alternativ som inte åtföljs av sådana personuppgiftsbehandlingsåtgärder.

151

Med hänsyn till omfattningen av den aktuella behandlingen av personuppgifter, den väsentliga inverkan som denna behandling har på det sociala nätverkets användare och den omständigheten att användarna inte rimligen kan förvänta sig att andra uppgifter än de uppgifter som rör deras aktivitet på det sociala nätverket behandlas av nätverkets operatör, är det lämpligt, i den mening som avses i skäl 43, att det kan lämnas ett separat samtycke för behandlingen av sistnämnda uppgifter, å ena sidan, och för behandlingen av off Facebook-uppgifter, å andra sidan. Det ankommer på den hänskjutande domstolen att pröva huruvida det finns en sådan möjlighet, utan vilken användarnas samtycke till behandling av off Facebook-uppgifter ska antas inte ha lämnats frivilligt.

152

Slutligen ska det erinras om att när behandlingen grundar sig på samtycke är det den personuppgiftsansvarige som enligt artikel 7.1 i GDPR har bevisbördan för att den registrerade har lämnat sitt samtycke till behandling av personuppgifter som rör honom eller henne.

153

Det är mot bakgrund av dessa kriterier och en ingående prövning av samtliga omständigheter i målet som det ankommer på den hänskjutande domstolen att avgöra huruvida det sociala nätverket Facebooks användare med giltig verkan, och i synnerhet frivilligt, har lämnat sitt samtycke till den behandling av personuppgifter som är aktuell i det nationella målet.

154

Mot bakgrund av det anförda ska fråga 6 besvaras enligt följande. Artikel 6.1 första stycket a och artikel 9.2 a i GDPR ska tolkas så, att den omständigheten att operatören av ett digitalt socialt nätverk har en dominerande ställning på marknaden för digitala sociala nätverk utgör inte i sig hinder för att användarna av ett sådant nätverk med giltig verkan kan lämna sitt samtycke, i den mening som avses i artikel 4.11 i GDPR, till den behandling av deras personuppgifter som utförs av operatören. Denna omständighet utgör emellertid en viktig omständighet vid bedömningen av huruvida samtycket faktiskt har lämnats på ett giltigt sätt och, i synnerhet har lämnats frivilligt, vilket det ankommer på operatören att visa.

155

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande: