—

za mr.nexnet GmbH P. Wassermannem, Rechtsanwalt,

—

za Evropskou komisi F. Wilmanem a F. Bulstem, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 6 odst. 2 a 5 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, s. 37).

2

Tato žádost byla předložena v rámci sporu mezi společností mr.nexnet GmbH (dále jen „nexnet“), jíž byly postoupeny pohledávky vyplývající z poskytování služeb přístupu na internet společností Verizon Deutschland GmbH (dále jen „Verizon“), a J. Probstem, příjemcem uvedených služeb.

3

Článek 16 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, s. 31; Zvl. vyd. 13/015, s. 335) stanoví:

„Jakákoli osoba, která jedná z pověření správce nebo zpracovatele, jakož i samotný zpracovatel, který má přístup k osobním údajům, je může zpracovávat pouze podle pokynů správce, ledaže právo stanoví jinak.“

4

Článek 17 směrnice 95/46 uvádí:

„1.   Členské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování.

Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.

2.   Členské státy stanoví, že správce, pokud je toto zpracování prováděno na jeho účet, si musí zvolit zpracovatele poskytujícího dostatečné záruky s ohledem na technická bezpečnostní opatření a organizační opatření usměrňující zpracování, jež má být provedeno, a že musí dbát na dodržování těchto opatření.

3.   Zpracování údajů zpracovatelem musí být upraveno smlouvou nebo právním aktem, který zavazuje zpracovatele vůči správci a který stanoví zejména, že:

4.   Pro zachování důkazů jsou části smlouvy nebo právního aktu o ochraně údajů a požadavků souvisejících s opatřeními uvedenými v odstavci 1 potvrzeny písemně nebo jinou rovnocennou formou.“

5

Článek 1 odst. 1 a 2 směrnice 2002/58 stanoví:

„1.   Touto směrnicí se harmonizují předpisy členských států, požadované pro zajištění rovnocenné úrovně ochrany základních práv a svobod, zejména práva na soukromí, se zřetelem na zpracování osobních údajů v odvětví elektronických komunikací, a pro zajištění volného pohybu těchto údajů a elektronických komunikačních zařízení a služeb v [Evropské unii].

2.   Ustanovení této směrnice upřesňují a doplňují [směrnici 95/46] pro účely uvedené v odstavci 1. […]“

6

Článek 2 druhý pododstavec písm. b) této směrnice definuje „provozní údaje“ jako „jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování“.

7

Článek 5 odst. 1 směrnice 2002/58 uvádí:

„Členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. […]“

8

Článek 6 téže směrnice stanoví:

„1.   Provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací [poskytovatelem veřejné komunikační sítě nebo veřejně dostupné služby elektronických komunikací] musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku […].

2.   Je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení. Takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu.

[…]

5.   Zpracování provozních údajů podle odstavců 1, 2, 3 a 4 musí být omezeno na osoby, které jednají z pověření provozovatelů veřejných komunikačních sítí a poskytovatelů veřejně dostupných služeb elektronických komunikací [poskytovatelů veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací] a které se zabývají účtováním nebo řízením provozu, požadavky zákazníků, odhalováním podvodů, marketingem služeb elektronických komunikací nebo poskytováním služeb s přidanou hodnotou, a musí být omezeno na rozsah, který je nezbytný pro účely těchto činností.

[…]“

9

Ustanovení § 97 odst. 1 třetí a čtvrté věty zákona o telekomunikacích (Telekommunikationsgesetz) ze dne 22. června 2004 (BGBl. 2004 I, s. 1190, dále jen „TKG“) zní:

„Určení a fakturace odměny poskytovatele

[…] Uzavřel-li poskytovatel služeb s třetí osobou smlouvu o inkasu plateb, může jí předat [provozní] údaje, pokud je toto předání nezbytné pro inkaso plateb a vystavení podrobné faktury. Třetí osoba musí být smluvně vázána zachovávat telekomunikační tajemství podle § 88 a dodržovat ochranu údajů podle § 93, 95, 96, 97, 99 a 100.

[…]“

10

Předkládající soud je toho názoru, že oprávnění k předávání údajů podle § 97 odst. 1 třetí věty TKG se vztahuje nejen na smlouvy o vymáhání pohledávek, pokud tyto pohledávky zůstávají v majetku jejich původních majitelů, ale rovněž na jiné smlouvy o postoupení, a to zejména na ty smlouvy, které se týkají nabytí pohledávek a které stanoví, že postoupené právo náleží s konečnou platností postupníkovi, a to jak z právního, tak hospodářského hlediska.

11

Josef Probst má zavedenou telefonní linku od společnosti Deutsche Telekom AG, přes kterou je jeho počítač připojen na internet. V období od 28. června do 6. září 2009 používal pro jednorázový přístup na internet číslo poskytnuté společností Verizon. Josefu Probstovi byly platby požadované za tuto službu účtovány nejprve společností Deutsche Telekom AG jako „částky dlužné jiným poskytovatelům“. Jelikož J. Probst nezaplatil, společnost nexnet, jíž byla tato pohledávka postoupena na základě faktoringové smlouvy uzavřené mezi právními předchůdci společností Verizon a nexnet, od něj požadovala zaplacení vyúčtovaných částek navýšených o různé výdaje. Na základě faktoringové smlouvy společnost nexnet nese riziko nesplacení.

12

Právní předchůdci společností nexnet a Verizon kromě toho uzavřeli „dohodu o ochraně údajů a o důvěrnosti“, která stanoví:

[…]

[…]

[…]“

13

Podle J. Probsta je faktoringová smlouva neplatná v rozsahu, v němž je v rozporu mimo jiné s § 97 odst. 1 TKG. Amtsgericht zamítl žalobu společnosti nexnet na zaplacení, zatímco odvolací soud jí v podstatné části vyhověl. K Bundesgerichtshof byl podán opravný prostředek „Revision“.

14

Předkládající soud má za to, že čl. 6 odst. 2 a 5 směrnice 2002/58 je relevantní pro výklad § 97 odst. 1 TKG. Předkládající soud zdůrazňuje, že „účtování“, jež je jedním z účelů, pro které čl. 6 odst. 2 a 5 této směrnice umožňuje zpracování provozních údajů, nutně nezahrnuje vymáhání účtované ceny. Předkládající soud má však za to, že z hlediska ochrany údajů neexistuje žádný objektivní důvod pro odlišné zacházení s účtováním a vymáháním pohledávek. Tento soud dále zdůrazňuje, že čl. 6 odst. 5 uvedené směrnice vyhrazuje zpracování provozních údajů pouze osobám, které jednají „z pověření“ poskytovatele veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací (dále jen „poskytovatel služeb“). Podle předkládajícího soudu tento pojem neumožňuje určit, zda si poskytovatel služeb musí vyhradit možnost konkrétně určit použití údajů, a to pro každý jednotlivý případ, během celého procesu zpracování údajů, nebo zda stačí, aby byla stanovena stejná obecná pravidla týkající se telekomunikačního tajemství a ochrany údajů, jako jsou pravidla dohodnutá v projednávané věci ve smluvních ustanoveních, a aby bylo možné dosáhnout vymazání nebo vrácení údajů na základě pouhé žádosti.

15

Za těchto podmínek se Bundesgerichtshof rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžnou otázku:

„Umožňuje čl. 6 odst. 2 a 5 směrnice 2002/58 poskytovateli služeb předat provozní údaje postupníkovi, jemuž byly postoupeny pohledávky vyplývající z plateb za telekomunikační služby, pokud je postoupení uskutečněné za účelem vymáhání zpětně postoupených pohledávek upraveno následujícími smluvními ustanoveními, která doplňují obecnou povinnost dodržovat telekomunikační tajemství a ochranu údajů podle platných zákonných pravidel:

16

Podstatou otázky předkládajícího soudu je, zda a za jakých podmínek čl. 6 odst. 2 a 5 směrnice 2002/58 umožňuje poskytovateli služeb předat provozní údaje postupníkovi, jemuž postoupil své pohledávky, a tomuto postupníkovi uvedené údaje zpracovávat.

17

V souladu s čl. 6 odst. 2 směrnice 2002/58 mohou být zpracovávány provozní údaje nezbytné pro účely účtování. Jak zdůrazňují společnost nexnet a Evropská komise, toto ustanovení uvedené směrnice umožňuje zpracování provozních údajů nejen pro účely vystavení faktur, ale i pro účely vymáhání jejich zaplacení. Uvedené ustanovení, které umožňuje zpracování provozních údajů „do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu“, se tak netýká pouze zpracování údajů v okamžiku vystavení faktur, ale rovněž zpracování nezbytného pro dosažení jejich zaplacení.

18

Článek 6 odst. 5 směrnice 2002/58 stanoví, že zpracování provozních údajů, jež umožňuje čl. 6 odst. 2 této směrnice, „musí být omezeno na osoby, které jednají z pověření poskytovatelů [služeb] a které se zabývají účtováním“ a „musí být omezeno na rozsah, který je nezbytný pro účely“ této činnosti.

19

Ze znění těchto ustanovení směrnice 2002/58 ve vzájemném spojení vyplývá, že poskytovatel služeb může předat provozní údaje postupníkovi, jemuž postoupil své pohledávky za účelem jejich vymáhání, a že tento postupník může zpracovávat uvedené údaje pod podmínkou, že zaprvé jedná „z pověření“ poskytovatele služeb, pokud jde o zpracování uvedených údajů, a zadruhé omezí se na zpracování provozních údajů nezbytných pro účely vymáhání uvedených pohledávek.

20

Je třeba konstatovat, že směrnice 2002/58 ani dokumenty relevantní pro její výklad, jako jsou přípravné práce, neobjasňují přesný smysl výrazu „z pověření“. Za těchto podmínek a v souladu s judikaturou Soudního dvora je třeba význam tohoto výrazu určit v souladu s jeho obvyklým smyslem v běžném jazyce, s přihlédnutím ke kontextu, ve kterém je použit, a cílům, které sleduje právní úprava, jejíž je součástí (v tomto smyslu viz rozsudky ze dne 10. března 2005, easyCar, C-336/03, Sb. rozh. s. I-1947, body 20 a 21, a ze dne 5. července 2012, Content Services, C-49/11, bod 32).

21

Pokud jde o obvyklý smysl tohoto výrazu v běžném jazyce, je třeba mít za to, že určitá osoba jedná z pověření jiné osoby tehdy, když jedná podle pokynů a pod dohledem jiné osoby.

22

Co se týče kontextu, do kterého je článek 6 směrnice 2002/58 zasazen, je třeba připomenout, že čl. 5 odst. 1 této směrnice stanoví, že členské státy musí zajistit důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů.

23

Článek 6 odst. 2 a 5 směrnice 2002/58 obsahuje výjimku z povinnosti důvěrnosti sdělení stanovené v jejím čl. 5 odst. 1, neboť umožňuje zpracování provozních údajů v souvislosti s požadavky spojenými s činnostmi vyúčtování služeb (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C-275/06, Sb. rozh. s. I-271, bod 48). Vzhledem k tomu, že se jedná o výjimku, je třeba toto ustanovení uvedené směrnice, a tudíž i výraz „z pověření“ vykládat striktně [viz rozsudek ze dne 17. února 2011, The Number (UK) a Conduit Enterprises, C-16/10, Sb. rozh. s. I-691, bod 31]. Takový výklad znamená, že poskytovatel služeb má pravomoc vykonávat účinný dohled, který mu umožňuje ověřit, zda postupník dodržuje povinnosti, jež má při zpracovávání provozních údajů.

24

Tento výklad má obecně oporu v cíli směrnice 2002/58 a též konkrétně v čl. 6 odst. 5. Jak vyplývá z jejího čl. 1 odst. 1 a 2, směrnice 2002/58 v odvětví elektronických komunikací upřesňuje a doplňuje směrnici 95/46 zejména v zájmu zajištění rovnocenné úrovně ochrany základních práv a svobod, zejména práva na soukromí, se zřetelem na zpracování osobních údajů v odvětví elektronických komunikací v členských státech.

25

Za těchto podmínek musí být čl. 6 odst. 5 směrnice 2002/58 vykládán ve světle podobných ustanovení směrnice 95/46. Z článků 16 a 17 směrnice 95/46, které upřesňují úroveň dohledu, jež musí správce vykonávat nad zpracovatelem, kterého určí, přitom vyplývá, že zpracovatel jedná pouze podle pokynů správce a že uvedený správce dbá na dodržování opatření dohodnutých na ochranu osobních údajů proti jakékoli podobě nedovoleného zpracování.

26

Pokud jde o cíl sledovaný konkrétně čl. 6 odst. 5 směrnice 2002/58, je třeba konstatovat, že i když toto ustanovení umožňuje zpracování provozních údajů některými jinými osobami, než je poskytovatel služeb, především za účelem vymáhání pohledávek tohoto poskytovatele, což mu umožňuje se soustředit na poskytování služeb elektronických komunikací, uvedené ustanovení, jež stanoví, že zpracování provozních údajů musí být omezeno na osoby, které jednají „z pověření“ poskytovatele služeb, má za cíl zajistit, aby taková externalizace neměla vliv na úroveň ochrany osobních údajů poskytované uživateli.

27

Z výše uvedeného vyplývá, že bez ohledu na kvalifikaci smlouvy o postoupení pohledávek pro účely jejich vymáhání postupník, jemuž byla postoupena pohledávka vyplývající z plateb za telekomunikační služby, jedná „z pověření“ poskytovatele uvedených služeb ve smyslu čl. 6 odst. 5 směrnice 2002/58 tehdy, když při zpracování provozních údajů, které taková činnost zahrnuje, jedná pouze podle pokynů a pod dohledem uvedeného poskytovatele. Smlouva uzavřená mezi poskytovatelem služeb, který postupuje své pohledávky, a postupníkem musí zejména obsahovat ustanovení zaručující oprávněné zpracování provozních údajů posledně uvedeným a musí poskytovateli služeb umožnit, aby se kdykoli ujistil, že postupník dodržuje uvedená ustanovení.

28

Vnitrostátnímu soudu přísluší, aby s ohledem na všechny skutečnosti ve spise ověřil, zda jsou tyto podmínky ve věci v původním řízení splněny. Skutečnost, že faktoringová smlouva má vlastnosti popsané v položené otázce, však hovoří ve prospěch skutečnosti, že tato smlouva uvedené podmínky splňuje. Taková smlouva totiž umožňuje zpracování provozních údajů postupníkem pouze v rozsahu, v němž je takové zpracování nezbytné pro účely vymáhání pohledávek, a ukládá uvedenému postupníkovi povinnost okamžitě a nenávratně vymazat nebo vrátit uvedené údaje, nejsou-li již nezbytné pro vymáhání dotyčných pohledávek. Taková smlouva kromě toho poskytovateli služeb umožňuje kontrolovat dodržování pravidel bezpečnosti a ochrany údajů postupníkem, který je povinen na základě pouhé žádosti vymazat nebo vrátit provozní údaje.

29

S ohledem na výše uvedené je třeba na položenou otázku odpovědět, že čl. 6 odst. 2 a 5 směrnice 2002/58 musí být vykládán v tom smyslu, že poskytovateli služeb umožňuje předat provozní údaje postupníkovi, jemuž postoupil své pohledávky vyplývající z poskytování telekomunikačních služeb za účelem jejich vymáhání, a tomuto postupníkovi umožňuje zpracovávat uvedené údaje pod podmínkou, že postupník zaprvé jedná z pověření poskytovatele služeb, pokud jde o zpracování týchž údajů, a zadruhé se omezí na zpracování provozních údajů nezbytných pro účely vymáhání postoupených pohledávek.

30

Bez ohledu na kvalifikaci smlouvy o postoupení se má za to, že postupník jedná „z pověření“ poskytovatele služeb ve smyslu čl. 6 odst. 5 směrnice 2002/58 tehdy, když při zpracování provozních údajů jedná pouze podle pokynů a pod dohledem uvedeného poskytovatele. Smlouva uzavřená mezi nimi musí obsahovat zejména ustanovení zaručující oprávněné zpracování provozních údajů postupníkem a poskytovateli služeb musí umožňovat, aby se kdykoli ujistil, že uvedený postupník tato ustanovení dodržuje.

31

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto:

Článek 6 odst. 2 a 5 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) musí být vykládán v tom smyslu, že poskytovateli veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací umožňuje předat provozní údaje postupníkovi, jemuž postoupil své pohledávky vyplývající z poskytování telekomunikačních služeb za účelem jejich vymáhání, a tomuto postupníkovi umožňuje zpracovávat uvedené údaje pod podmínkou, že postupník zaprvé jedná z pověření poskytovatele služeb, pokud jde o zpracování týchž údajů, a zadruhé se omezí na zpracování provozních údajů nezbytných pro účely vymáhání postoupených pohledávek.

Bez ohledu na kvalifikaci smlouvy o postoupení se má za to, že postupník jedná „z pověření“ poskytovatele služeb ve smyslu čl. 6 odst. 5 směrnice 2002/58 tehdy, když při zpracování provozních údajů jedná pouze podle pokynů a pod dohledem uvedeného poskytovatele. Smlouva uzavřená mezi nimi musí obsahovat zejména ustanovení zaručující oprávněné zpracování provozních údajů postupníkem a poskytovateli služeb musí umožňovat, aby se kdykoli ujistil, že uvedený postupník tato ustanovení dodržuje.