NÁVRHY GENERÁLNEHO ADVOKÁTA

MICHAL BOBEK

prednesené 19. decembra 2018 ( 1 )

Vec C‑40/17

Fashion ID GmbH & Co.KG

proti

Verbraucherzentrale NRW e.V.

vedľajší účastníci konania:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen

[návrh na začatie prejudiciálneho konania, ktorý podal Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko)]

„Návrh na začatie prejudiciálneho konania – Smernica 95/46/ES – Ochrana osobných údajov používateľov internetovej stránky – Aktívna legitimácia združenia na ochranu spotrebiteľov podať žalobu – Zodpovednosť prevádzkovateľa internetovej stránky – Prenos osobných údajov tretej osobe – Umiestnenie zásuvného modulu – Ikona ‚Páči sa mi to‘ spoločnosti Facebook – Legitímne záujmy – Súhlas dotknutej osoby – Povinnosť poskytnúť informácie“

I. Úvod

1.

Fashion ID GmbH & Co. KG je internetový maloobchodný predajca módnych výrobkov. Na svojej internetovej stránke umiestnila zásuvný modul: ikonu „Páči sa mi to“ spoločnosti Facebook. V dôsledku toho ak používateľ navštívi internetovú stránku spoločnosti Fashion ID, spoločnosti Facebook sa prenesú informácie o jeho adrese IP a textovom reťazci internetového prehliadača (tzv. browser‑string). K tomuto prenosu dochádza automaticky po načítaní internetovej stránky spoločnosti Fashion ID bez ohľadu na to, či používateľ klikol na ikonu „Páči sa mi to“, a bez ohľadu na to, či má alebo nemá konto Facebook.

2.

Verbraucherzentrale NRW e.V, nemecké združenie na ochranu záujmov spotrebiteľov, podalo žalobu na zdržanie sa konania proti spoločnosti Fashion ID na základe skutočnosti, že používaním tohto zásuvného modulu dochádza k porušovaniu právnych predpisov v oblasti ochrany osobných údajov.

3.

Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko), ktorý koná v tejto veci, žiada o výklad viacerých ustanovení smernice 95/46/EHS (ďalej len „smernica 95/46“) ( 2 ). Vnútroštátny súd sa vo forme prejudiciálnej otázky pýta, či uvedená smernica pripúšťa, aby spotrebiteľská organizácia na základe vnútroštátnych právnych predpisov získala aktívnu legitimáciu na podanie takej žaloby, aká bola podaná v prejednávanej veci. Vo veci samej je kľúčovou otázkou to, či Fashion ID musí byť vo vzťahu k spracovaniu údajov, ktoré sa uskutočňuje, považovaná za „prevádzkovateľa“, a ak áno, ako je vlastne potrebné plniť jednotlivé povinnosti vyplývajúce zo smernice 95/46 za týchto okolností. Koho legitímne záujmy je potrebné zohľadňovať pri zvažovaní záujmov podľa článku 7 písm. f) smernice 95/46? Je Fashion ID povinná informovať dotknuté osoby o spracovaní? A musí Fashion ID v tomto zmysle získať informovaný súhlas dotknutých osôb?

II. Právny rámec

A.   Právo Únie

Smernica 95/46

4.

Účel smernice 95/46 je uvedený v jej prvom článku. Prvý odsek uvedeného článku znie: „V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.“ Podľa odseku 2 toho istého ustanovenia „členské štáty neobmedzujú, ani nebránia voľnému toku osobných údajov medzi členskými štátmi z dôvodov spojených s ochranou poskytnutou podľa odseku 1“.

5.

Článok 2 obsahuje nasledujúce vymedzenie pojmov:

„a)

‚osobné údaje‘ znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘) [(‚dotknutej osoby‘) – neoficiálny preklad]; identifikovateľná osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu;

b)

‚spracovanie osobných údajov‘ (‚spracovanie‘) znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom [prenos – neoficiálny preklad], šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie;

d)

‚kontrolór‘ [‚prevádzkovateľ‘ – neoficiálny preklad] znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami [zákonmi a inými právnymi predpismi – neoficiálny preklad], alebo zákonmi a nariadeniami [legislatívnymi aktmi a inými právnymi predpismi – neoficiálny preklad] Spoločenstva, ten, kto spracovanie riadi [prevádzkovateľ – neoficiálny preklad], alebo konkrétne kritéria pre jeho menovanie[osobitné kritériá na jeho určenie – neoficiálny preklad], môžu byť navrhnuté na základe vnútroštátneho práva alebo práva Spoločenstva;

h)

‚súhlas osoby pracujúcej s údajmi‘ [dotknutej osoby – neoficiálny preklad] znamená slobodne poskytnutú a informovanú indikáciu jeho prianí [poskytnutý a informovaný prejav jej vôle – neoficiálny preklad], ktorou osoba pracujúca s údajmi [ktorým dotknutá osoba – neoficiálny preklad] prejaví svoj súhlas, aby sa osobné údaje, ktoré sa ho [jej – neoficiálny preklad] týkajú, spracovali.“

6.

V článku 7 sa uvádzajú kritériá, ktoré je potrebné splniť na to, aby spracovanie údajov bolo zákonné: „Členské štáty zabezpečia, aby bolo možné osobné údaje spracovať, iba ak:

a)

osoba pracujúca s údajmi [dotknutá osoba – neoficiálny preklad] poskytla svoj súhlas jednoznačne; alebo

f)

spracovanie je nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór [prevádzkovateľ – neoficiálny preklad], alebo tretia strana alebo strany, ktorým sú údaje odhalené [prenesené – neoficiálny preklad], s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi, ktoré potrebujú ochranu podľa článku 1 ods. 1 [s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu podľa článku 1 ods. 1 – neoficiálny preklad].“

7.

V článku 10 sa stanovuje minimálny rozsah informácií, ktoré sa musia poskytnúť dotknutej osobe:

„Členské štáty zabezpečia, že kontrolór [prevádzkovateľ – neoficiálny preklad] alebo jeho zástupca, musí poskytnúť osobe pracujúcej s údajmi [dotknutej osobe – neoficiálny preklad], od ktorej sa údaje, ktoré sa jej týkajú, zbierajú, aspoň nasledujúce informácie, s výnimkou, ak ich tento subjekt už má:

a)

identita kontrolóra [prevádzkovateľa – neoficiálny preklad] a jeho zástupcu;

b)

účely spracovania, pre ktoré sú údaje potrebné;

c)

akékoľvek ďalšie informácie, ako napríklad

príjemcovia alebo kategórie príjemcov údajov,

či odpovede na otázky sú povinné alebo dobrovoľné, ako aj možné dôsledky neschopnosti odpovedať,

existencia práva prístupu a práva skorigovania údajov, ktoré sa ho týkajú,

pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti za ktorých sa údaje zhromažďujú, zaručenie správneho spracovania vzhľadom na osobu pracujúcu s údajmi [dotknutú osobu – neoficiálny preklad].“

8.

Kapitola III smernice 95/46 sa týka súdnych opravných prostriedkov, zodpovednosti a sankcií. V článkoch 22 až 24 uvedenej kapitoly sa stanovuje:

„Článok 22

Opatrenia

Bez toho, aby bol[i] dotknuté akékoľvek administratívne prostriedky nápravy, pre ktoré sa môže urobiť predpis [ktoré možno podať, – neoficiálny preklad], okrem iného pred dozorným orgánom uvedeným v článku 28[,] pred žiadosťou o súhlas súdneho orgánu [pred predložením veci súdnemu orgánu – neoficiálny preklad], zabezpečia členské štáty právo každej osoby na súdny opravný prostriedok za akékoľvek porušenie práv, ktoré [jej] zaručuje vnútroštátne právo, použiteľné na uvedené spracovanie.

Článok 23

Záväzok

1.   Členské štáty zabezpečia, že každá osoba, ktorá utrpela škodu ako dôsledok nezákonnej operácie spracovania alebo akéhokoľvek činu nezlúčiteľného s prijatými vnútroštátnymi predpismi na základe tejto smernice, je oprávnená dostať kompenzáciu od kontrolóra [prevádzkovateľa – neoficiálny preklad] za spôsobenú škodu.

Kontrolór [prevádzkovateľ – neoficiálny preklad] môže byť vyňatý od tohto záväzku, buď úplne alebo čiastočne, ak dokáže, že nie je zodpovedný za udalosť spôsobujúcu škodu.

Článok 24

Sankcie

Členské štáty prijmú vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice a najmä ustanovia sankcie, ktoré sa uvalia v prípade porušenia ustanovení prijatých v súlade s touto smernicou.“

B.   Nemecké právo

Gesetz gegen den unlauteren Wettbewerb

9.

V § 3 ods. 1 Gesetz gegen den unlauteren Wettbewerb (zákon proti nekalej súťaži, ďalej len „UWG“) sa stanovuje, že nekalé obchodné konania sú neprípustné.

10.

V § 8 ods. 1 a § 8 ods. 3 bode 3 UWG sa uvádza, že voči osobe, ktorá sa dopustí protiprávneho obchodného konania, môžu podať žalobu na odstránenie protiprávneho stavu alebo žalobu o zdržanie sa nedovoleného konania „oprávnené subjekty“ uvedené v Unterlassungsklagegesetz (zákon o žalobách na zdržanie sa konania) alebo v zozname Európskej komisie podľa článku 4 ods. 3 smernice 2009/22/ES o súdnych príkazoch na ochranu spotrebiteľských záujmov. ( 3 )

Unterlassungsklagengesetz

11.

V § 2 ods. 1 a § 2 ods. 2 bode 11 Unterlassungsklagegesetz sa stanovuje:

„1.   Proti každému, kto poruší právne predpisy na ochranu spotrebiteľov (zákon na ochranu spotrebiteľov) iným spôsobom ako pri uplatnení alebo odporučení všeobecných obchodných podmienok, môže byť podaná žaloba na zdržanie sa konania a žaloba na odstránenie protiprávneho stavu v záujme ochrany spotrebiteľov.

2.   V zmysle tohto ustanovenia sa ‚zákonmi na ochranu spotrebiteľov‘ rozumejú najmä:

(11)

ustanovenia, ktoré upravujú prípustnosť

a)

zberu osobných údajov spotrebiteľa zo strany podnikateľa alebo

b)

spracovania alebo používania osobných údajov, ktoré boli nazbierané o spotrebiteľovi, zo strany podnikateľa,

ak sa zber, spracovanie alebo používanie osobných údajov uskutočňuje na účely reklamy, prieskumu trhu a verejnej mienky, prevádzkovania informačnej kancelárie, vypracovania osobných a používateľských profilov, obchodovania s adresami, iného obchodovania s osobnými údajmi alebo na porovnateľné komerčné účely.“

Telemediengesetz

12.

V § 2 ods. 1 bode 1 Telemediengesetz (zákon o on‑line mediálnych službách) (ďalej len „TMG“) sa uvádza:

„Na účely tohto zákona:

(1) je poskytovateľom služieb každá fyzická alebo právnická osoba, ktorá má pripravené na používanie vlastné či cudzie elektronické médiá alebo sprostredkúva prístup k používaniu;…“

13.

V § 12 ods. 1 TMG sa stanovuje: „1. Poskytovateľ služieb je oprávnený získavať a spracúvať osobné údaje na sprístupnenie elektronických médií len v rozsahu, v akom to povoľuje tento zákon alebo iný právny predpis vzťahujúci sa výslovne na elektronické médiá, alebo v akom na to dal používateľ súhlas.“

14.

V § 13 ods. 1 TMG sa stanovuje:

„Poskytovateľ služieb je povinný poučiť používateľa na začiatku používania o type, rozsahu a účele zberu a použitia osobných údajov, ako aj o spracovaní jeho osobných údajov v štátoch, na ktoré sa nevzťahuje pôsobnosť [smernice 95/46], vo všeobecne zrozumiteľnej forme, pokiaľ sa také poučenie už neuskutočnilo. Pri automatizovanom postupe, ktorý umožňuje neskoršiu identifikáciu používateľa a predstavuje prípravu na zber alebo na použitie osobných údajov, treba používateľa poučiť na začiatku tohto procesu. Používateľ musí mať kedykoľvek možnosť prístupu k obsahu poučenia.“

15.

V zmysle § 15 ods. 1 TMG:

„Poskytovateľ služieb je oprávnený získavať a spracúvať osobné údaje používateľa len v rozsahu nevyhnutnom na umožnenie a zúčtovanie využitia elektronického média (údaje o využívaní). Údajmi o využívaní sú predovšetkým

(1)

údaje na identifikovanie používateľa;

(2)

údaje o začiatku a konci, ako aj o rozsahu jednotlivého používania;

(3)

údaje o elektronických médiách využitých používateľom.“

III. Skutkový stav, konanie a prejudiciálne otázky

16.

Fashion ID (ďalej len „žalovaná“) je internetový maloobchodný predajca. Na svojej internetovej stránke predáva módne výrobky. Žalovaná umiestnila do svojej internetovej stránky zásuvný modul „Páči sa mi to“, ktorý poskytuje spoločnosť Facebook Ireland Limited (ďalej len „Facebook Ireland“). ( 4 ) V dôsledku toho sa na internetovej stránke žalovanej zobrazuje tzv. ikona „Páči sa mi to“ spoločnosti Facebook.

17.

V návrhu na začatie prejudiciálneho konania sa ďalej vysvetľuje, ako funguje (nezobrazovaná) časť zásuvného modulu: pri návšteve internetovej stránky žalovanej, na ktorej je umiestnená ikona „Páči sa mi to“ spoločnosti Facebook, prehliadač návštevníka automaticky odosiela spoločnosti Facebook Ireland informácie o jeho adrese IP a textovom reťazci internetového prehliadača. K prenosu týchto informácií dochádza bez toho, aby bolo vôbec potrebné na ikonu „Páči sa mi to“ spoločnosti Facebook kliknúť. Z návrhu na začatie prejudiciálneho konania taktiež podľa všetkého vyplýva, že pri návšteve internetovej stránky žalovanej Facebook Ireland vkladá do zariadenia používateľa rôzne druhy súborov cookie (typu session, datr a fr).

18.

Verbraucherzentrale NRW(ďalej len „žalobca“), združenie na ochranu záujmov spotrebiteľov, podalo žalobu proti žalovanej na Landgericht (Krajinský súd, Nemecko). Žalobca požadoval, aby žalovaná prestala umiestňovať sociálny zásuvný modul „Páči sa mi to“ spoločnosti Facebook, keďže žalovaná údajne konala:

„bez toho, aby používateľov internetovej stránky do okamihu, keď poskytovateľ zásuvného modulu získa prístup k adrese IP a k textovému reťazcu internetového prehliadača (tzv. browser‑string) používateľa, výslovne a neprehliadnuteľne informovala o účele zberu osobných údajov a použití takto získaných údajov a/alebo

bez súhlasu používateľov internetovej stránky s tým, že prostredníctvom poskytovateľa zásuvného modulu získa prístup k adrese IP a k textovému reťazcu internetového prehliadača a k využitiu osobných údajov, a to vždy skôr, ako získa prístup, a/alebo

bez toho, aby používateľov, ktorí udelili svoj súhlas v zmysle bodu 2 žalobného návrhu, informovala o tom, že ho s účinnosťou do budúcnosti môžu kedykoľvek odvolať, a/alebo

bez toho, aby použila toto upozornenie: ‚Keď ste používateľmi sociálnej siete a nechcete, aby sociálna sieť prostredníctvom našej internetovej prezentácie o Vás zbierala údaje a spájala ich s Vašimi používateľskými údajmi uloženými na sociálnej sieti, musíte sa pred návštevou našej internetovej prezentácie odhlásiť zo sociálnej siete‘.“

19.

Žalobca tvrdí, že Facebook Inc. alebo Facebook Ireland ukladajú poskytnutú adresu IP a textový reťazec internetového prehliadača a spájajú ich s určitým používateľom (či už členom alebo nečlenom). Žalovaná v tejto veci argumentuje, že o tom nevedela. Facebook Ireland tvrdí, že adresa IP sa mení na generickú adresu IP a iba ako taká sa uloží a že nedochádza k priradeniu adresy IP a textového reťazca internetového prehliadača k používateľským účtom.

20.

Landgericht (krajinský súd) rozhodol v neprospech žalovanej v prvých troch žalobných dôvodoch. Žalovaná sa odvolala. Vo veci štvrtého žalobného dôvodu podal žalobca vzájomné odvolanie.

21.

V tomto skutkovom a právnom kontexte Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf) rozhodol predložiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.

Bráni úprava v článkoch 22, 23 a 24 smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355) takej vnútroštátnej úprave, ktorá okrem intervenčných právomocí úradov na ochranu osobných údajov a možností dotknutej osoby podať opravné prostriedky priznáva neziskovým združeniam na ochranu záujmov spotrebiteľov právomoc zakročiť v prípade porušenia voči porušovateľovi?

V prípade zápornej odpovede na prvú otázku:

2.

Predstavuje v prípade, o aký ide v prejednávanej veci, keď niekto vloží do svojej stránky programový kód, ktorý umožní prehliadaču návštevníka, aby si vyžiadal obsah od tretích strán, a na tento účel prenesie osobné údaje tejto tretej strane, subjekt, ktorý uvedené zapracovanie uskutočnil, ‚prevádzkovateľa‘ v zmysle článku 2 písm. d) [smernice 95/46], pokiaľ on sám nemôže mať nijaký vplyv na dané spracovanie osobných údajov?

3.

Treba v prípade zápornej odpovede na druhú otázku článok 2 písm. d) smernice [95/46] vykladať v tom zmysle, že taxatívne upravuje zodpovednosť tak, že bráni tomu, aby sa občianskoprávny nárok uplatnil proti tretej strane, ktorá síce nie je ‚prevádzkovateľ‘, ale dá podnet na spracovanie údajov bez toho, aby mohla mať naň vplyv?

4.

Z koho ‚legitímnych záujmov‘ treba vychádzať v situácii, aká nastala v prejednávanej veci, pri rozhodovaní, ktoré treba uskutočniť podľa článku 7 písm. f) [smernice 95/46]? Zo záujmu na umiestnení obsahu tretej strany alebo zo záujmu tretej strany?

5.

Komu treba podľa článku 7 písm. a) a článku 2 písm. h) [smernice 95/46] udeliť požadovaný súhlas v situácii, aká nastala v prejednávanej veci?

6.

Týka sa informačná povinnosť podľa článku 10 [smernice 95/46] v situácii, aká nastala v prejednávanej veci, aj správcu internetovej stránky, ktorý umiestnil obsah tretej strany, a dal tak podnet na spracovanie osobných údajov touto stranou?“

22.

Písomné pripomienky predložil žalobca, žalovaná, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Krajinský splnomocnenec pre ochranu dát a slobodu informácií, Severné Porýnie‑Vestfálsko, Nemecko, ďalej len „LDI NW“), belgická, nemecká, talianska, rakúska, poľská vláda, ako aj Komisia. Ústne pripomienky predniesol žalobca, žalovaná, Facebook Ireland, LDI NW, Belgicko, Nemecko, Rakúsko a Komisia na pojednávaní, ktoré sa konalo 6. septembra 2018.

IV. Posúdenie

23.

V týchto návrhoch sa domnievam, že smernica 95/46 nebráni tomu, aby sa vnútroštátnou právnou úpravou poskytla aktívna legitimácia združeniu poverenému ochranou záujmov spotrebiteľov (ako je žalobca) na podanie žaloby proti údajnému porušovateľovi právnych predpisov na ochranu osobných údajov (časť A). Okrem toho zastávam názor, že žalovaná je spolu so spoločnosťou Facebook Ireland spoločným prevádzkovateľom, jej zodpovednosť sa však obmedzuje na konkrétnu fázu spracovania údajov (časť B). Po tretie sa domnievam, že zvažovanie záujmov podľa článku 7 písm. f) smernice 95/46 si vyžaduje zohľadnenie legitímnych záujmov nielen žalovanej, ale aj spoločnosti Facebook Ireland (ako aj, samozrejme, práv dotknutých osôb) (časť C). Po štvrté dotknutá osoba musí žalovanej pre danú fázu spracovania údajov poskytnúť informovaný súhlas. Žalovaná je okrem toho povinná dotknutej osobe poskytnúť informácie (časť D).

A.   Vnútroštátne právne predpisy poskytujúce aktívnu legitimáciu združeniam povereným ochranou záujmov spotrebiteľov

24.

Prvou predloženou otázkou sa vnútroštátny súd v podstate pýta, či smernica 95/46 bráni tomu, aby vnútroštátny predpis umožňoval združeniam na ochranu záujmov spotrebiteľov začať konanie proti osobe údajne porušujúcej právne predpisy na ochranu osobných údajov. V tejto súvislosti vnútroštátny súd poukazuje konkrétne na články 22 až 24 smernice 95/46. Konštatuje, že predmetné vnútroštátne právne predpisy môžu byť považované za „vhodné opatrenie“ podľa článku 24. Okrem toho zdôrazňuje, že v nariadení (EÚ) 2016/679 (ďalej len „GDPR“) ( 5 ), ktorým bola nahradená smernica 95/46, sa teraz takéto právo združeniam výslovne poskytuje v článku 80 ods. 2 ( 6 )

25.

Žalovaná a Facebook Ireland tvrdia, že smernica 95/46 aktívnu legitimáciu takýmto združeniam neposkytuje, pretože sa to v nej výslovne neuvádza, pričom cieľom smernice 95/46 je podľa ich názoru úplná harmonizácia. Podľa žalovanej by poskytnutie takejto aktívnej legitimácie ohrozilo nezávislosť dozorných orgánov, keďže tieto orgány by boli vystavené verejnému tlaku.

26.

Žalobca, LDI NW a všetky vlády, ktoré v prejednávanej veci zaujali stanovisko, sa domnievajú, že smernica 95/46 predmetnej vnútroštátnej právnej úprave nebráni.

27.

S posledným uvedeným názorom súhlasím. ( 7 )

28.

Považujem za dôležité na úvod pripomenúť, že (štandardné) ústavné pravidlo zakotvené v treťom odseku článku 288 ZFEÚ, podľa ktorého „smernica je záväzná pre každý členský štát, ktorému je určená, a to vzhľadom na výsledok, ktorý sa má dosiahnuť, pričom sa voľba foriem a metód [ktoré umožňujú čo najlepšie dosiahnutie výsledku zamýšľaného smernicou] ponecháva vnútroštátnym orgánom“ ( 8 ).

29.

Z toho vyplýva, že pri vykonávaní povinností podľa smernice môžu členské štáty prijať akékoľvek opatrenia, ktoré považujú za vhodné, pokiaľ tieto opatrenia nie sú výslovne vylúčené priamo v smernici, alebo nie sú v rozpore s cieľmi danej smernice.

30.

znení smernice 95/46 sa výslovne nevylučuje možnosť, že by sa podľa vnútroštátnej právnej úpravy poskytovala aktívna legitimácia združeniam chrániacim práva spotrebiteľov.

31.

Medzi ciele smernice 95/46 patrí „chrániť základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov“ ( 9 ). Okrem toho sa v odôvodnení 10 smernice 95/46 uvádza, že „aproximácia právnych predpisov v tejto oblasti nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v Spoločenstve“ ( 10 ).

32.

Na základe návrhu vnútroštátneho súdu na začatie prejudiciálneho konania sa možno domnievať, že Nemecko poskytlo aktívnu legitimáciu združeniam, akým je žalobca, aby mohli napádať obchodné konanie, ktoré považujú za nekalé, alebo postupy, ktorými sa porušujú právne predpisy na ochranu spotrebiteľa, ktoré zahŕňajú aj právne predpisy na ochranu osobných údajov.

33.

V tomto kontexte nevidím, ako by poskytnutie takejto aktívnej legitimácie akýmkoľvek spôsobom odporovalo cieľom smernice 95/46 alebo oslabovalo úsilie pri dosahovaní uvedených cieľov. Ak už, tak poskytnutie aktívnej legitimácie takémuto druhu združení podľa všetkého skôr podporuje dosahovanie cieľov a vykonávanie smernice, keďže prostredníctvom kolektívneho uplatňovania nárokov na nápravu účinne prispieva k posilneniu práv dotknutých osôb. ( 11 )

34.

Domnievam sa, že členským štátom preto nie je bránené v stanovení pravidla týkajúceho sa aktívnej legitimácie združení, akým je pravidlo, ktoré žalobcovi umožňuje podať predmetnú žalobu vo veci samej.

35.

Vzhľadom na túto odpoveď považujem diskusiu, ktorá prebiehala počas tohto konania a sústredila sa na to, či predmetná vnútroštátna úprava podlieha konkrétne článku 24 smernice 95/46 ako druh „vhodného opatrenia“, alebo či by mohla podliehať článku 22, tak trochu za zavádzajúcu. Ak majú členské štáty vykonávať smernicu akýmkoľvek spôsobom, ktorý považujú za vhodný, a daný konkrétny spôsob vykonávania nie je vylúčený ani v znení smernice, ani na základe jej cieľa či účelu, konkrétny článok smernice, pod ktorý je konkrétne vnútroštátne opatrenie možné zaradiť, bude mať len druhoradý význam. ( 12 ) Napriek tomu však „vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice“ podľa článku 24 možno určite chápať aj tak, že zahŕňajú vnútroštátne ustanovenia, ako sú ustanovenia, ktoré sú predmetom sporu v prejednávanej veci.

36.

Domnievam sa, že tento všeobecný záver nijako neoslabujú nasledujúce úvahy, o ktorých sa diskutovalo v priebehu týchto konaní.

37.

Po prvé je pravda, že smernica 95/46 nie je na zozname predloženom v prílohe I k smernici 2009/22. V smernici 2002/29 sa stanovujú pravidlá týkajúce sa súdnych príkazov, o ktoré môžu žiadať tzv. „oprávnené subjekty“ na posilnenie ochrany kolektívnych záujmov spotrebiteľov. ( 13 ) Zoznam v prílohe I obsahuje viaceré smernice a smernica 95/46 medzi nimi nie je.

38.

Napriek tomu, a ako uvádza nemecká vláda, zoznam v prílohe I k smernici 2002/29 nemožno považovať za vyčerpávajúci v tom zmysle, že by bránil vnútroštátnej právnej úprave žalôb o súdne príkazy týkajúce sa dodržiavania pravidiel obsiahnutých v smerniciach, ktoré nie sú v zozname v prílohe I k smernici 2002/29. Tým skôr by bolo prekvapujúce, ak by sa takýto vzorový zoznam, ktorý je súčasťou sekundárneho právneho predpisu, zrazu začal chápať ako zbavujúci členské štáty ich možnosti rozhodnúť o spôsobe vykonávania určitej smernice, ktorá vyplýva zo Zmluvy.

39.

Po druhé chcem sa venovať tvrdeniu, ktoré predložila žalovaná a Facebook Ireland a ktoré sa týkalo úplnej harmonizácie dosahovanej na základe smernice 95/46, ktorá by podľa ich názoru vylučovala akékoľvek výslovne nepredpokladané opatrenia.

40.

Je pravda, že podľa ustálenej judikatúry Súdneho dvora sa harmonizácia na základe smernice 95/46 neobmedzuje na minimálnu harmonizáciu, ale smeruje k takej harmonizácii, ktorá je „v zásade úplná“ ( 14 ). Zároveň sa však uznáva, že táto smernica „priznáva členským štátom v určitých oblastiach rozhodovací priestor“ za predpokladu, že sa dodržiava smernica 95/46. ( 15 )

41.

Ako som už navrhol inde ( 16 ), otázku existencie „úplnej harmonizácie“ na úrovni práva EÚ (v zmysle prednostného práva týchto právnych predpisov, brániaceho legislatívnej činnosti členských štátov) nie je možné riešiť všeobecne, vo vzťahu k celej oblasti práva alebo predmetu smernice. Namiesto toho je potrebné posúdiť každé ustanovenie (konkrétne pravidlo alebo konkrétny aspekt) predmetnej smernice samostatne.

42.

Pokiaľ ide o konkrétne „procesné“ ustanovenia smernice 95/46, ktoré sú predmetom sporu v prejednávanej veci, konkrétne články 22 až 24, tieto ustanovenia sú formulované veľmi všeobecne. ( 17 ) Vzhľadom na úroveň všeobecnosti a abstraktnosti týchto ustanovení by bolo naozaj skutočne pozoruhodné domnievať sa, že výsledkom týchto ustanovení je prednosť právnych predpisov, vylučujúca akékoľvek opatrenia, ktoré by členské štáty mohli prijať, ale ktoré nie sú v uvedených článkoch konkrétne spomenuté. ( 18 )

43.

Po tretie ďalšie tvrdenie, ktoré žalovaná predložila, sa týka ohrozenia nezávislosti dozorných orgánov. ( 19 ) V podstate naznačovalo, že ak by bola prípustná aktívna legitimácia spotrebiteľských združení, tieto združenia by podávali žaloby súbežne s dozorným orgánom a/alebo namiesto dozorného orgánu, čo by viedlo k tlaku verejnosti a zaujatosti zo strany dozorného orgánu a v konečnom dôsledku by to bolo v rozpore s požiadavkou úplnej nezávislosti dozorných orgánov podľa článku 28 ods. 1 smernice.

44.

Toto tvrdenie je bezvýznamné. Za predpokladu, že by takýto dozorný orgán bol skutočne naozaj nezávislý, ( 20 ) rovnako ako nemecká vláda nevidím, ako by taká žaloba, aká je predmetom veci samej, mohla ohrozovať jeho nezávislosť. Združenie nemôže presadzovať právo v tom zmysle, že by jeho stanovisko bolo pre dozorné orgány záväzné. To je výlučne oblasťou pôsobnosti súdov. Spotrebiteľské združenie môže v tomto smere iba podať žalobu, rovnako ako každý jednotlivý spotrebiteľ. Preto tvrdenie, že v podstate každá (súkromnoprávna) žaloba, ktorú podá jednotlivec alebo spotrebiteľské združenie, by orgány poverené presadzovaním práva (verejno)právnymi prostriedkami vystavila tlaku, a preto nemôže existovať paralelne k systému verejnoprávneho presadzovania práva, je také zvláštne, že nie je potrebné sa týmto argumentom ďalej zaoberať. ( 21 )

45.

Po štvrté a na záver sa venujem tvrdeniu, podľa ktorého je článok 80 ods. 2 všeobecného nariadenia o ochrane údajov potrebné chápať ako článok upravujúci (a meniaci) pôvodnú situáciu tým, že sa v ňom pripúšťa niečo (aktívna legitimácia združení), čo predtým nebolo povolené.

46.

Táto argumentácia nie je presvedčivá.

47.

Je potrebné pripomenúť, že tým, že všeobecné nariadenie o ochrane údajov nahradilo smernicu 95/46, sa právny nástroj obsahujúci príslušné pravidlá zmenil zo smernice na nariadenie. V porovnaní so smernicou, pri ktorej členské štáty majú voľnosť pri výbere spôsobu vykonávania obsahu daného legislatívneho nástroja, táto zmena znamenala aj to, že vnútroštátne pravidlá, ktorými sa vykonáva nariadenie, sa môžu v podstate prijímať len vo výslovne povolených prípadoch.

48.

Z tohto pohľadu je sporné tvrdenie, že výslovné ustanovenie týkajúce sa aktívnej legitimácie združení, ktoré je teraz zahrnuté vo všeobecnom nariadení o ochrane údajov, znamená, že táto aktívna legitimácia bola podľa smernice 95/46 vylúčená. Ak by sa na základe takéhoto porovnania malo dospieť k určitému záveru, ( 22 ) bolo by to skôr opačné tvrdenie: ak stanovenie pravidiel na umožnenie takejto aktívnej legitimácie nebolo neskoršou smernicou vylúčené (na základe tvrdení, ktoré som uviedol vyššie), zmena právnej formy zo smernice na nariadenie by odôvodňovala zahrnutie takéhoto ustanovenia, aby bolo jasné, že takáto možnosť je k dispozícii aj naďalej.

49.

Preto vzhľadom na vyššie uvedené je mojím prvým predbežným návrhom, že smernica 95/46 nebráni vnútroštátnej právnej úprave, ktorá poskytuje verejnoprospešným združeniam aktívnu legitimáciu na začatie konania proti údajnému porušovateľovi právnych predpisov na ochranu osobných údajov s cieľom chrániť záujmy spotrebiteľov.

B.   Je Fashion ID prevádzkovateľom?

50.

V druhej otázke sa vnútroštátny súd pýta, či sa žalovaná, keďže na svojej internetovej stránke umiestnila zásuvný modul, ktorý inštruuje používateľov prehliadač, aby si vyžiadal obsahy od tretích strán a poskytol osobné údaje tejto tretej strane, má považovať za „prevádzkovateľa“ v zmysle článku 2 písm. d) smernice 95/46, aj napriek tomu, že žalovaná nemôže ovplyvniť dané spracovanie osobných údajov.

51.

Na základe neschopnosti regulovať spracovanie osobných údajov, ako uvádza vnútroštátny súd vo svojej otázke, sa domnievam, že v kontexte prejednávanej veci sa to netýka podnetu na začatie postupu prenosu týchto údajov (v skutkovej rovine žalovaná jednoznačne vplyv má, keďže umiestnila dotknutý zásuvný modul). Podľa všetkého sa to týka skôr možného následného spracovania údajov spoločnosťou Facebook Ireland.

52.

Ako vnútroštátny súd poznamenáva, odpoveď na jeho druhú otázku má dôsledky, ktoré presahujú rámec prejednávanej veci a sociálnej siete, ktorú prevádzkuje Facebook Ireland. Mnohé internetové stránky umiestňujú rôzne druhy obsahov tretej strany. Ak by sa osoba, akou je žalovaná, mala považovať za „prevádzkovateľa“, (spolu)zodpovedného za akékoľvek (následné) spracovanie, ktoré sa vykoná vo vzťahu k získaným údajom, z toho dôvodu, že prevádzkovateľ tejto internetovej stránky umiestnil obsah tretej strany, ktorý umožňuje prenos takýchto údajov, takéto tvrdenie by skutočne malo rozsiahlejšie dôsledky na spôsob zaobchádzania s obsahom tretích strán.

53.

V rámci štruktúry prejednávanej veci je druhá otázka zároveň kľúčovou otázkou, siahajúcou k jadru problému: v prípade umiestneného obsahu tretej strany na internetovej stránke, kto má akú zodpovednosť v súvislosti s čím presne? Od (ne)presnosti odpovede na túto otázku zároveň závisia odpovede na nasledujúce otázky týkajúce sa legitímneho záujmu, súhlasu a povinnosti informovať.

54.

V tejto časti najskôr uvediem niekoľko úvodných poznámok k pojmu osobné údaje, ktoré sú relevantné v prejednávanej veci (časť 1). Potom uvediem nedávnu judikatúru Súdneho dvora, naznačujúcu odpoveď na druhú otázku v prípade, že by predošlé rozhodnutia Súdneho dvora boli akceptované bez ďalších otázok (časť 2). Následne vysvetlím, prečo by možno bolo potrebné klásť ďalšie otázky a v kontexte prejednávanej veci spresniť analýzu (časť 3). V závere zdôrazním, na účely vymedzenia pojmu (spoločné) prevádzkovanie, význam jednotnosti „účelov a prostriedkov“, ktorá by mala existovať medzi (spoločnými) prevádzkovateľmi vo vzťahu ku konkrétnej fáze predmetného spracovania osobných údajov (spracovateľská operácia) (časť 4).

1. Osobné údaje v prejednávanej veci

55.

Je potrebné pripomenúť, že pojem „osobné údaje“ je vymedzený v článku 2 písm. a) smernice 95/46 ako „akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby (‚údajového subjektu‘ [dotknutej osoby – neoficiálny preklad])“. Z odôvodnenia 26 tej istej smernice v tomto zmysle vyplýva, že na „určenie toho, či je osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že ich využije kontrolór [prevádzkovateľ – neoficiálny preklad], alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby“.

56.

Súdny dvor už objasnil, že adresa IP môže za určitých okolností predstavovať osobný údaj. ( 23 ) Súdny dvor ďalej konštatoval, že na tieto účely, aby bolo možné hovoriť o „identifikovateľnej osobe“ v zmysle článku 2 písm. a) smernice 95/46, „nie je nutné, aby táto informácia umožňovala sama osebe identifikovať dotknutú osobu“, pričom je možné, že bude potrebné využiť ďalšie údaje. Konštatoval takisto, že „nie je nevyhnutné, aby sa všetky informácie umožňujúce identifikovať dotknutú osobu museli nachádzať v rukách jedinej osoby“, pokiaľ možnosť spojenia príslušných údajov „predstavuje prostriedok, ktorý môže byť rozumne použitý pre identifikáciu dotknutej osoby“ ( 24 ).

57.

Vnútroštátny súd sa nezaoberá otázkou toho, či adresa IP sama osebe alebo v spojení s textovým reťazcom internetového prehliadača, ktorý sa takisto prenáša, predstavuje osobný údaj v zmysle tohto kritéria. Facebook Ireland podľa všetkého takéto vymedzenie spochybňuje. ( 25 )

58.

Je jasné, že vykonanie takéhoto posúdenia prináleží vnútroštátnemu súdu. Vo všeobecnosti, pokiaľ ide o akékoľvek zásuvné moduly, ktoré môžu byť umiestnené, alebo akýkoľvek obsah tretej strany, na klasifikáciu informácií ako osobných údajov je nevyhnutné, aby tieto údaje umožňovali identifikáciu dotknutej osoby (či už priamo alebo nepriamo). Na účely prejednávanej veci budem považovať za dané, že pri okolnostiach vo veci samej, keďže to podľa všetkého vyplýva z otázok, ktoré položil vnútroštátny súd, adresa IP a textový reťazec internetového prehliadača skutočne predstavujú osobné údaje a spĺňajú tak kritériá článku 2 písm. a) smernice 95/46, ako to uvádza Súdny dvor.

2. Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?

59.

Pokiaľ ide o odpoveď na druhú otázku, žalovaná a Facebook Ireland tvrdia, že žalovaná nemôže byť považovaná za prevádzkovateľa, pretože nemôže nijako ovplyvniť osobné údaje, ktoré budú spracované. Za prevádzkovateľa sa preto môže považovať len Facebook Ireland. Facebook Ireland ako subsidiárne tvrdenie uvádza, že žalovaná koná spoločne s ňou ako spoločný prevádzkovateľ, pričom zodpovednosť osoby, akou je žalovaná, je obmedzená na skutočnú oblasť jej pôsobnosti.

60.

Žalobca, LDI NW a všetky vlády, ktoré sa v prejednávanej veci vyjadrili, ako aj Komisia v podstate zastávajú názor, že pojem „prevádzkovateľ“ má širší význam a zahŕňa aj žalovanú. V príslušných podaniach sa však ich názory značne líšia, pokiaľ ide o presný rozsah zodpovednosti žalovanej. Rozdiely sa týkajú otázky, či zodpovednosť žalovanej má alebo nemá byť spoločnou zodpovednosťou so spoločnosťou Facebook Ireland, či má alebo nemá byť obmedzená na fázu spracovania osobných údajov, na ktorej sa žalovaná v skutočnosti zúčastňuje, a či sa má rozlišovať v tomto kontexte medzi návštevníkmi internetovej stránky žalovanej, ktorí majú konto Facebook, a tými, ktorí ho nemajú.

61.

Pokiaľ ide o východiskový bod, je jasné, že v článku 2 písm. d) smernice 95/46 sa uvádza, že pojem „prevádzkovateľ“ sa vzťahuje na osobu, ktorá „sama alebo v spojení s inými určí účely a prostriedky spracovania osobných údajov“ ( 26 ). Pojem prevádzkovateľ preto môže odkazovať na viaceré subjekty zapojené do spracovania osobných údajov ( 27 ) a mal by sa chápať v širšom zmysle. ( 28 )

62.

Otázkou spoločného prevádzkovania sa nedávno Súdny dvor zaoberal v rozsudku vo veci Wirtschaftsakademie Schleswig‑Holstein ( 29 ). Vo vzťahu k úlohe správcu fanúšikovskej stránky umiestnenej na sociálnej sieti Facebook Súdny dvor dospel k záveru, že správca konal ako prevádzkovateľ spolu so spoločnosťou Facebook Ireland v zmysle článku 2 písm. d) smernice 95/46. Dôvodom bolo to, že správca sa podieľal spoločne so spoločnosťou Facebook Ireland na určení účelov a prostriedkov spracovania osobných údajov návštevníkov tejto fanúšikovskej stránky. ( 30 )

63.

Súdny dvor konkrétne konštatoval, že vytvorením predmetnej fanúšikovskej stránky správca umožňuje spoločnosti Facebook Ireland, „aby umiestňovala súbory cookie v počítači alebo akomkoľvek inom zariadení osoby, ktorá jeho fanúšikovskú stránku navštívila“, a teda spracúval osobné údaje. ( 31 ) Súdny dvor poukázal na to, že „vytvorenie fanúšikovskej stránky na sociálnej sieti Facebook zo strany jej správcu znamená, že nastavil parametre okrem iného podľa svojej cieľovej skupiny, ako aj cieľov riadenia alebo podpory svojich činností, čo má vplyv na spracovanie osobných údajov na účely vypracovania štatistík získaných na základe návštev fanúšikovskej stránky“ ( 32 ). Toto spracovanie osobných údajov umožnilo spoločnosti Facebook Ireland „zlepšiť svoj systém reklamy“, pričom správcovi poskytlo formou anonymných štatistických údajov spôsob, ako lepšie riadiť podporu svojej činnosti. ( 33 )

64.

Súdny dvor dospel k záveru, že „svojím nastavením parametrov“ sa správca podieľa na určení účelov a prostriedkov spracovania osobných údajov návštevníkov svojej fanúšikovskej stránky. Preto sa musí považovať za prevádzkovateľa zodpovedného za dané spracovanie spolu so spoločnosťou Facebook Ireland (s „ešte väčšou“ zodpovednosťou, pokiaľ ide o osobné údaje osôb, ktoré nie sú používateľmi spoločnosti Facebook Ireland). ( 34 )

65.

Vo veci Jehovan todistajat Súdny dvor zdôraznil ďalšie dôležité objasnenie pojmu spoločný prevádzkovateľ: existencia spoločného prevádzkovania a spoluzodpovednosti nepredpokladá, že každý z prevádzkovateľov má prístup k (všetkým) dotknutým osobným údajom. Náboženská spoločnosť preto môže byť spoločným prevádzkovateľom aj v prípadoch, keď samotná spoločnosť nemala prístup k predmetným získaným údajom. V danom prípade išlo o jednotlivých členov spoločnosti Jehovovi svedkovia, u ktorých sa osobné údaje fyzicky nachádzali. Stačilo, že táto evanjelizačná činnosť, počas ktorej sa podľa všetkého uskutočňoval zber osobných údajov, je organizovaná, koordinovaná a podporovaná uvedenou spoločnosťou. ( 35 )

66.

Pri posúdení na vyššej úrovni abstraktného uvažovania a pri zameraní sa len na pojem spoločného prevádzkovania musím súhlasiť, že z takýchto nedávnych súdnych prehlásení vyplýva záver, že žalovaná koná ako prevádzkovateľ, a je spoločne zodpovedná spolu so spoločnosťou Facebook Ireland za spracovanie údajov. ( 36 )

67.

Po prvé žalovaná podľa všetkého umožnila spoločnosti Facebook Ireland získať osobné údaje používateľov svojej internetovej stránky tým, že používala predmetný zásuvný modul.

68.

Po druhé je pravda, že na rozdiel od správcu vo veci Wirtschaftsakademie Schleswig‑Holstein žalovaná podľa všetkého nestanovuje parametre žiadnych informácií o používateľoch svojej internetovej stránky, ktoré by jej boli poskytované naspäť v anonymizovanej alebo inej podobe. Želanou „výhodou“ má podľa všetkého byť bezplatná reklama jej produktov, ku ktorej údajne dochádza, ak sa používateľ jej internetovej stránky rozhodne kliknúť na ikonu „Páči sa mi to“ spoločnosti Facebook, aby prostredníctvom svojho konta Facebook zdieľal svoj názor napríklad na čierne večerné šaty. Preto, s výhradou overenia skutkových okolností zo strany vnútroštátneho súdu, používanie zásuvného modulu žalovanej umožňuje optimalizovať reklamu jej produktov tým, že umožňuje ich zviditeľnenie na sociálnej sieti Facebook.

69.

Subsidiárne by sa z iného pohľadu dalo povedať, že žalovaná sa podieľa na stanovovaní parametrov získavaných údajov jednoducho tým, že umiestnila predmetný zásuvný modul do svojej internetovej stránky. Je to vlastne tento zásuvný modul, ktorý poskytuje parametre osobných údajov, ktoré sa majú získavať. Dobrovoľným včlenením tohto nástroja do internetovej stránky žalovanej preto žalovaná stanovila tieto parametre vo vzťahu ku všetkým návštevníkom svojej internetovej stránky.

70.

Po tretie vzhľadom na vec Jehovan todistajat subjekt môže byť považovaný za spoločného prevádzkovateľa aj bez toho, aby mal prístup k akýmkoľvek „plodom spoločnej práce“. Preto skutočnosť, že žalovaná nemá prístup k údajom poskytovaným spoločnosti Facebook, alebo že podľa všetkého naspäť nezískava žiadne na mieru prispôsobené alebo súhrnné štatistické údaje, podľa všetkého nebude rozhodujúca.

3. Problémy: Kto teda nie je spoločným prevádzkovateľom?

71.

Zlepší sa účinná ochrana, ak bude za jej zabezpečovanie zodpovedný každý?

72.

To je v skratke hlbšia morálna a praktická dilema, ktorú prejednávaná vec predstavuje a ktorú z právneho hľadiska vyjadruje rozsah vymedzenia pojmu (spoločný) prevádzkovateľ. V pochopiteľnej snahe zabezpečiť účinnú ochranu osobných údajov bola nedávna judikatúra Súdneho dvora v reakcii na žiadosti o vymedzenie pojmu (spoločný) prevádzkovateľ veľmi inkluzívna. Súdny dvor však doteraz nebol konfrontovaný s praktickými dôsledkami takéhoto rozsiahleho prístupu k vymedzeniu tohto pojmu, pokiaľ ide o následné kroky týkajúce sa presných povinností a konkrétnej zodpovednosti strán, ktoré sú považované za spoločných prevádzkovateľov. Keďže táto vec ponúka presne takúto príležitosť, navrhujem ju využiť s cieľom spresniť definície, ktoré by mali existovať pre pojem (spoločný) prevádzkovateľ.

a) Povinnosť a zodpovednosť

73.

Pri kritickom pohľade na kritérium, ktoré bolo uplatnené pri identifikácii „spoločného prevádzkovateľa“, sa zdá, že kľúčovým kritériom podľa vecí Wirtschaftsakademie Schleswig‑Holstein a Jehovan todistajat je skutočnosť, že predmetná osoba „umožnila“, aby osobné údaje boli získavané a prenášané, potenciálne v spojení s určitým vplyvom, ktorý takýto spoločný prevádzkovateľ má na parametre (alebo aspoň ich implicitne schvaľuje). ( 37 ) Ak je to naozaj tak, tak napriek jednoznačne uvedenému úmyslu tento prípad vylúčiť vo veci Wirtschaftsakademie Schleswig‑Holstein ( 38 ) je ťažké predstaviť si, ako by sa bežní používatelia internetovej aplikácie, či už ide o sociálnu sieť alebo akúkoľvek inú kolaboratívnu platformu, ale aj iných programov, ( 39 ) teda nestali spoločnými prevádzkovateľmi. Používateľ si obvykle zriadi konto, poskytne správcovi parametre, ako má jeho konto vyzerať, aké informácie si želá dostávať, o čom a od koho. Okrem toho pozve svojich priateľov, kolegov a iných, aby prostredníctvom danej aplikácie zdieľali informácie vo forme (často dosť citlivých) osobných údajov, čím nielen poskytne údaje týkajúce sa týchto osôb, ale taktiež vyzve tieto osoby, aby sa samy zúčastnili, a týmto spôsobom jednoznačne prispieva k získavaniu a spracovaniu osobných údajov týchto osôb.

74.

Navyše sa nesmie zabúdať na ostatných účastníkov „reťazca osobných údajov“. V extrémnom prípade ak by jediným relevantným kritériom spoločného prevádzkovania bolo umožnenie spracovania údajov, čiže vlastne prispenie k tomuto spracovaniu v akejkoľvek fáze, nebol by potom poskytovateľ internetových služieb, ktorý spracovanie údajov umožňuje tým, že poskytuje prístup na internet, alebo dokonca dodávateľ elektrickej energie takisto spoločným prevádzkovateľom, potenciálne spoluzodpovedným za spracovanie osobných údajov?

75.

Intuitívne je odpoveďou, samozrejme, „nie“. Problémom je však to, že vymedzenie zodpovednosti doposiaľ zo širokej definície prevádzkovateľa nevyplýva. Výsledkom toho, že je táto definícia taká široká, je riziko toho, že na jej základe je za spracovanie osobných údajov spoluzodpovedných viacero osôb.

76.

No na rozdiel od vecí spomínaných v predošlej časti otázky, ktoré položil vnútroštátny súd v prejednávanej veci, sa netýkajú len vymedzenia pojmu „prevádzkovateľ“. Nadväzujú na skúmanie súvisiacich tém, pokiaľ ide o pridelenie skutočných povinností, ktoré ukladá smernica 95/46, a v tomto skúmaní pokračujú. Tieto otázky ako také odrážajú problémy príliš inkluzívnej definície prevádzkovateľa, najmä v spojení s neexistenciou presného pravidla, pokiaľ ide o konkrétne povinnosti a zodpovednosti prevádzkovateľov podľa smernice 95/46. Jasne to vyplýva aj z pripomienok zainteresovaných strán v reakcii na piatu a šiestu otázku, ktoré sa týkajú presného pridelenia zodpovedností podľa tejto smernice.

77.

V piatej otázke sa v podstate zisťuje, kto má získať súhlas dotknutej osoby a s akým účelom má dotknutá osoba súhlasiť. Navrhované odpovede na túto otázku sa značne líšia.

78.

Žalobca a LDI NW zastávajú názor, že povinnosť získať informovaný súhlas dotknutej osoby má žalovaná, ktorá sa rozhodla včleniť predmetný zásuvný modul. Podľa názoru žalobcu je to ešte oveľa dôležitejšie v prípade používateľov, ktorí nie sú používateľmi sociálnej siete Facebook a ktorí neakceptovali všeobecné obchodné podmienky spoločnosti Facebook. Žalovaná sa domnieva, že súhlas je potrebné poskytnúť tretej strane, ktorá umiestnila obsah poskytuje, to znamená spoločnosti Facebook Ireland. Facebook Ireland sa domnieva, že súhlas nie je potrebné poskytnúť konkrétnemu adresátovi, keďže v smernici 95/46 sa stanovuje len to, že súhlas má byť slobodný, konkrétny a informovaný.

79.

Rakúsko, Nemecko a Poľsko tvrdia, že súhlas má byť poskytnutý predtým, než dôjde k spracovaniu údajov, a podľa Rakúska sa musí týkať získavania údajov, ako aj ich možného prenosu. Poľsko zdôrazňuje, že súhlas musí byť poskytnutý žalovanej. Nemecko sa domnieva, že súhlas musí byť poskytnutý žalovanej alebo tretej strane, ktorá poskytuje umiestnený obsah (spoločnosti Facebook Ireland), pretože obe sú spoluzodpovedné za spracovanie. V prípade žalovanej stačí, aby získala súhlas s prenosom údajov tretej strane, pretože pri všetkom ostatnom spracovaní a použití získaných údajov už nevystupuje ako prevádzkovateľ. Tým sa však nevylučuje možnosť, že prevádzkovateľ internetovej stránky získa súhlas týkajúci sa spracovania treťou stranou, ktorý môže byť upravený na základe dohody medzi týmito dvoma subjektmi. Taliansko tvrdí, že súhlas je potrebné poskytnúť všetkým subjektom, ktoré sa na spracovaní osobných údajov podieľajú, tzn. žalovanej a spoločnosti Facebook Ireland. Belgicko a Komisia zdôrazňujú, že v smernici 95/46 sa nekonkretizuje, komu je súhlas potrebné poskytnúť.

80.

Podobne rôzne názory boli vyjadrené v súvislosti s otázkou, kto znáša povinnosť informovať podľa článku 10 smernice 95/46 a vo vzťahu k čomu presne, pričom táto záležitosť je predmetom šiestej otázky, ktorú položil vnútroštátny súd.

81.

Podľa žalobcu má povinnosť poskytnúť dotknutej osobe potrebné informácie prevádzkovateľ internetovej stránky. Žalovaná predložila opačný argument, pričom zdôraznila, že poskytnúť informácie by mala Facebook Ireland, keďže žalovaná presné informácie nemá. Facebook Ireland podobne zdôrazňuje, že informačná povinnosť sa vzťahuje na ňu, keďže táto povinnosť sa týka len prevádzkovateľa (alebo jeho zástupcu). Poznamenáva, že odpoveď na šiestu otázku je úzko spojená s tým, či prevádzkovateľ internetovej stránky je prevádzkovateľom. Z článku 10 vyplýva, že nie je vhodné prevádzkovateľa internetovej stránky považovať za prevádzkovateľa, pretože nedokáže poskytovať tieto informácie. LDI NW sa domnieva, že informácie musí poskytnúť prevádzkovateľ internetovej stránky, ale uznáva, že je ťažké určiť, aké informácie by mali byť poskytnuté, keďže žalovaná nemá žiadny vplyv na spracovanie údajov, ktoré vykonáva Facebook Ireland. Prepletenosť cieľov spracovania údajov naznačuje, že prevádzkovateľ internetovej stránky by mal byť spoluzodpovedný za spracovanie, ktoré umožnil.

82.

Belgicko, Taliansko a Poľsko uvádzajú, že povinnosť informovať sa vzťahuje aj na takého prevádzkovateľa internetovej stránky, akým je prevádzkovateľ v prejednávanej veci, keďže spĺňa kritériá prevádzkovateľa. Belgicko dodáva, že prevádzkovateľ internetovej stránky môže byť povinný overovať aj účel následného spracovania údajov a prijímať primerané opatrenia na zabezpečenie ochrany fyzických osôb. Nemecká vláda tvrdí, že informačná povinnosť sa vzťahuje na prevádzkovateľa internetovej stránky v prípade, že je zodpovedný za spracovanie, konkrétne v prípade prenosu údajov externému dodávateľovi umiestneného obsahu, ale nie v prípade všetkých následných spracovateľských štádií, za ktoré je zodpovedný daný externý dodávateľ. Podľa názoru Rakúska a Komisie sú povinní poskytovať informácie podľa článku 10 smernice 95/46 tak prevádzkovateľ internetovej stránky, ako aj externý dodávateľ.

83.

Je potrebné dodať, že podobné problémy pri vymedzovaní pojmov sa pravdepodobne vyskytnú nielen pri záležitostiach, ktoré sú predmetom piatej a šiestej otázky, ale aj pri zvážení ďalších povinností vymedzených v smernici 95/46, ako napríklad právo prístupu podľa jej článku 12. Je pravda, že Súdny dvor vo veci Wirtschaftsakademie Schleswig‑Holstein konštatoval, že „smernica 95/46 v každom prípade nevyžaduje, aby v prípade, že ide o spoluzodpovednosť viacerých subjektov za to isté spracovanie, mal každý z nich prístup k dotknutým osobným údajom“ ( 40 ). No prevádzkovateľ, ktorý sám nemá prístup k údajom, pri ktorých je napriek tomu považovaný za (spoločného) prevádzkovateľa, celkom logicky nemôže poskytnúť tento prístup žiadnym dotknutým osobám (nehovoriac o ďalších operáciách, ako je úprava alebo vymazanie).

84.

Preto v tejto fáze dochádza k tomu, že nejednoznačné vymedzenie pojmov v predchádzajúcej fáze (kto je prevádzkovateľ a vo vzťahu k čomu presne), ktoré v niektorých prípadoch môže viesť k nejasnostiam v nasledujúcej fáze (kto má aké povinnosti), sa preklápa do situácie, keď potenciálny spoločný prevádzkovateľ skutočne nemôže dodržiavať platné právne predpisy.

85.

Určite je možné navrhnúť, že presné rozdelenie zodpovednosti medzi (spoločnými) prevádzkovateľmi (a to potenciálne ich väčším počtom) by mohlo byť predmetom zmlúv. Tieto by nielen zabezpečili rozdelenie zodpovednosti, ale identifikovala by sa v nich aj strana, ktorá má spĺňať jednotlivé povinnosti stanovené v smernici vrátane tých, ktoré fyzicky môže vykonávať len jedna strana.

86.

Takéto tvrdenie považujem za veľmi problematické. Po prvé je to absolútne nereálne, ak sa vezme do úvahy hustá sieť formálnych, štandardných zmlúv, ktoré by musela podpísať každá strana pravdepodobne vrátane viacerých bežných používateľov. ( 41 ) Po druhé uplatňovanie platných právnych predpisov a pridelenie zodpovedností, ktoré sa v nich stanovujú, by tak bolo podmienené súkromnoprávnymi dohodami, ku ktorým by nemuseli mať prístup tretie strany domáhajúce sa uplatňovania svojich práv.

87.

Po tretie v článku 26 všeobecného nariadenia o ochrane údajov sa podľa všetkého zavádza nový systém spoločnej zodpovednosti, ktorý možno čiastočne predchádza niektorým z týchto problémov. Je určite pravda, že všeobecné nariadenie o ochrane údajov nebolo uplatniteľné ratione temporis vo veciach riešených v tejto časti a ani v prejednávanej veci. Pokiaľ však nový právny predpis neobsahuje konkrétnu alebo systematickú odchýlku od príslušných definícií, k čomu podľa všetkého v tomto prípade nedochádza, keďže článok 4 všeobecného nariadenia o ochrane údajov do veľkej miery zachováva tie isté kľúčové pojmy ako článok 2 smernice 95/46 (pričom pridáva viacero nových), bolo by pomerne prekvapujúce, ak by výklad týchto kľúčových pojmov vrátane pojmov prevádzkovateľ, spracovanie, alebo osobné údaje bol značne odlišný (bez presvedčivého zdôvodnenia) od existujúcej judikatúry.

88.

Ak by to tak naozaj bolo, zdanlivý systém spoločnej zodpovednosti pre spoločných prevádzkovateľov, zavedený v článku 26 ods. 3 všeobecného nariadenia o ochrane údajov, by mohol predstavovať problém. Na jednej strane v článku 26 ods. 1 všeobecného nariadenia o ochrane údajov sa umožňuje, aby spoloční prevádzkovatelia „určili svoje príslušné zodpovednosti za plnenie povinností“. Na druhej strane sa však v článku 26 ods. 3 všeobecného nariadenia o ochrane údajov objasňuje, že „dotknutá osoba môže uplatniť svoje práva“„u každého prevádzkovateľa a voči každému prevádzkovateľovi“ bez ohľadu na podmienky takejto dohody. Každý spoločný prevádzkovateľ teda môže byť zodpovedný za predmetné spracovanie údajov.

b) Širšie súvislosti

89.

Kedysi dávno (fanúšikovia istej science‑fiction filmovej série by možno dodali „v jednej preďalekej galaxii“) bolo moderné byť na sociálnych sieťach. Potom postupne naopak začínalo byť moderné na sociálnych sieťach nebyť. V súčasnosti sa zdá, že byť používateľom jednej z týchto sietí je priam zločinom (za ktorý je potrebné stanoviť nové formy zástupnej zodpovednosti).

90.

Nie je možné poprieť, že k rozhodovaniu súdov dochádza v neustále sa vyvíjajúcom sociálnom prostredí. Rozhodovací proces by na to mal určite reagovať, no nenechať sa tým ovládať. Sociálna sieť, ako každá iná aplikácia alebo program, je nástrojom. Podobne ako nôž alebo auto, môže byť použitý rôznymi spôsobmi. Nemožno takisto pochybovať o tom, že ak sa použije na nesprávne účely, takéto použitie musí byť trestne stíhané. Potrestať každého, kto kedy nejaký nôž použil, však nemusí byť úplne najlepší nápad. Obvykle je trestne stíhaná osoba, ktorá nôž ovládala v čase, keď spôsobil škodu.

91.

Mala by preto existovať, ak už nie vždy presná zhoda, tak aspoň primeraná vzájomná súvzťažnosť medzi mocou, ovládaním a zodpovednosťou. Moderné právne predpisy zahŕňajú rôzne formy objektívnej zodpovednosti, na ktorej uplatnenie stačí len to, že dôjde k určitému výsledku. Ide však o odôvodnené výnimky. Ak sa však bez odôvodneného vysvetlenia zodpovednosť prisúdila niekomu, kto nemal nad výsledkom žiadnu kontrolu, takéto pridelenie zodpovednosti sa obvykle považuje za neprimerané alebo nespravodlivé. ( 42 )

92.

Navyše pri odpovedaní na otázku položenú v úvode tejto časti (bod 71) by skeptický človek z východnejších častí Európskej únie mohol na základe skúseností z minulosti uviesť, že účinnosť ochrany sa zvykne dramaticky znižovať, ak je za ňu zodpovedný každý. Dať zodpovednosť každému znamená, že v skutočnosti nebude zodpovedný nikto. Alebo skôr presne tá strana, ktorá by sa mala zodpovedať za určité konanie a ktorá vlastne má v rukách prevádzkovanie, sa pravdepodobne schová za všetkými ostatnými stranami, ktoré sú formálne „spoluzodpovedné“, a účinná ochrana sa tým pravdepodobne značne oslabí.

93.

A napokon výsledkom dobrého (výkladu) práva by nemalo byť to, že v ňom stanovené povinnosti jeho adresáti v skutočnosti nebudú môcť vykonávať. Preto pokiaľ sa rozsiahle vymedzenie pojmu (spoločné) prevádzkovanie nemá zmeniť na súdne podložený príkaz zrušiť prepojenie na sociálne siete, ktorý by sa vzťahoval na všetkých aktérov, a príkaz nepoužívať žiadne sociálne siete, zásuvné moduly ani možný iný obsah tretích strán, je potrebné, aby pri vymedzovaní povinností a zodpovedností zohrávala úlohu aj realita, znovu vrátane otázok informovanosti a skutočnej vyjednávacej moci a schopnosti ovplyvniť ktorúkoľvek z pripisovaných činností. ( 43 )

4. Naspäť k (legislatívnym) základom: Jednotnosť účelov a prostriedkov vo vzťahu k určitej spracovateľskej operácii

94.

Hoci Súdny dvor vo veci Wirtschaftsakademie Schleswig‑Holstein k vymedzeniu pojmu spoločné prevádzkovanie pristupoval pomerne rozsiahlo, naznačil aj potrebu obmedziť zodpovednosť (spoločného) prevádzkovateľa. Súdny dvor konkrétne konštatoval, „že existencia spoločnej zodpovednosti neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov, ktorých sa týka spracovanie osobných údajov. … tieto subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci“ ( 44 ).

95.

Hoci vo veci Wirtschaftsakademie Schleswig‑Holstein nebolo potrebné riešiť túto konkrétnu otázku, táto potreba v prejednávanej veci existuje, keďže vnútroštátny súd priamo vyzýva Súdny dvor, aby určil možné povinnosti žalovanej, ktoré vyplývajú z jej pozície prevádzkovateľa.

96.

Vzhľadom na novozavedený systém spoločnej zodpovednosti v článku 26 všeobecného nariadenia o ochrane údajov môže byť náročné predpokladať, ako by zo spoločnej zodpovednosti mohla vyplývať, vzhľadom na ten istý výsledok z hľadiska možného (ne)zákonného zaobchádzania s osobnými údajmi, nerovnaká zodpovednosť. A to predovšetkým vzhľadom na článok 26 ods. 3 všeobecného nariadenia o ochrane údajov, ktorý podľa všetkého smeruje k spoločnej (a nerozdielnej) zodpovednosti. ( 45 )

97.

Domnievam sa však, že kľúčovým tvrdením Súdneho dvora je druhé tvrdenie, konkrétne že „subjekty môžu byť naopak zapojené do tohto spracovania v rôznych fázach a stupňoch“. Takéto tvrdenie je podporené vymedzením pojmov obsiahnutým v smernici 95/46, pokiaľ ide o definíciu i) pojmu spracovanie v článku 2 písm. b) a ii) pojmu prevádzkovateľ v článku 2 písm. d).

98.

Po prvé pojem spracovanie osobných údajov obsahuje „akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom [prenos – neoficiálny preklad], šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie“.

99.

Aj keď pojem spracovanie je podobne ako pojem prevádzkovateľ pomerne široký, ( 46 ) jednoznačne zdôrazňuje fázu spracovania, na ktorú sa zameriava: odkazuje na operáciu alebo komplex operácií s ukážkovým zoznamom jednotlivých takýchto operácií. Logicky by sa však potom otázka prevádzkovania mala posudzovať skôr vzhľadom na konkrétnu predmetnú operáciu, a nie vzhľadom na neurčitý balík všetkých možných činností nazývaný spracovanie. ( 47 )

100.

Po druhé pojem spoločného prevádzkovania nie je v smernici 95/46 konkrétne vymedzený. Tento pojem však logicky vychádza z pojmu prevádzkovateľa v článku 2 písm. d): k situácii spoločného prevádzkovania dochádza, keď dve alebo viaceré osoby určujú účely a prostriedky spracovania osobných údajov spoločne. ( 48 ) Inými slovami na to, aby sa dve (alebo viaceré) osoby mohli považovať za spoločných prevádzkovateľov, musí medzi nimi existovať zhoda o účeloch a prostriedkoch spracovania osobných údajov.

101.

Podľa môjho názoru by kombinácia týchto dvoch definícií mala určovať povinnosť a možnú zodpovednosť spoločných prevádzkovateľov. (Spoločný) prevádzkovateľ je zodpovedný za tú operáciu alebo súbor operácií, pri ktorých sa podieľa na účeloch a prostriedkoch alebo ktoré spoluurčuje, pokiaľ ide o danú spracovateľskú operáciu. Naopak, táto osoba nemôže niesť zodpovednosť ani za predchádzajúce fázy, ani za nasledujúce fázy celkového reťazca spracovania, pri ktorých nemala možnosť určovať ani účely, ani prostriedky danej fázy spracovania.

102.

V prejednávanej veci zodpovedá relevantná fáza (operácie) spracovania získavaniuprenosu osobných údajov, ku ktorému dochádza prostredníctvom ikony „Páči sa mi to“ spoločnosti Facebook.

103.

Po prvé, pokiaľ ide o prostriedky týchto spracovateľských operácií, na základe tvrdení žalobcu, LDI NRW a nemeckej vlády je podľa všetkého preukázané, že žalovaná rozhoduje o používaní predmetného zásuvného modulu, ktorý slúži ako prostriedok získavania a prenosu osobných údajov. Toto získavanie a prenos spúšťa návšteva internetovej stránky žalovanej. Tento zásuvný modul poskytla žalovanej spoločnosť Facebook Ireland. Preto sa zdá, že fázu získavania a prenosu pri spracovaní údajov dobrovoľne zapríčinili obe spoločnosti, Facebook Ireland aj žalovaná. V skutkovej rovine to samozrejme musí overiť vnútroštátny súd.

104.

Po druhé pri pohľade na účel spracovania údajov v návrhu na začatie prejudiciálneho konania sa neuvádzajú dôvody, na základe ktorých sa žalovaná rozhodla umiestniť ikonu „Páči sa mi to“ spoločnosti Facebook do svojej internetovej stránky. S výhradou overenia vnútroštátneho súdu však podľa všetkého toto rozhodnutie bolo inšpirované túžbou zvýšiť viditeľnosť produktov žalovanej prostredníctvom sociálnej siete. Zároveň sa však zdá, že údaje prenesené spoločnosti Facebook Ireland sa používajú na jej vlastné komerčné účely.

105.

Napriek skutočnosti, že konkrétne komerčné využitie údajov nemusí byť rovnaké, vo všeobecnosti žalovaná aj Facebook Ireland podľa všetkého sledujú všeobecné komerčné ciele spôsobom, ktorý sa zdá byť vzájomne komplementárny. Na základe toho preto existuje jednotnosť, hoci nie zhoda účelu: komerčný a reklamný účel.

106.

Pokiaľ ide o skutkové okolnosti prejednávanej veci, žalovaná a Facebook Ireland podľa všetkého spolurozhodujú o prostriedkoch a účeloch spracovania údajov vo fáze získavania a prenosu predmetných osobných údajov. V tomto rozsahu žalovaná koná ako prevádzkovateľ a jej zodpovednosť je v rovnakom rozsahu spoločná so zodpovednosťou spoločnosti Facebook Ireland.

107.

Zároveň sa však domnievam, že zodpovednosť žalovanej musí byť obmedzená na fázu spracovania údajov, na ktorej sa podieľa, a že sa nemôže rozšíriť na žiadne iné možné následné fázy spracovania údajov, ak k takému spracovaniu dochádza mimo kontroly a podľa všetkého aj bez vedomosti žalovanej.

108.

Vzhľadom na vyššie uvedené je mojím druhým predbežným návrhom to, že osoba, akou je žalovaná, ktorá umiestnila do svojej internetovej stránky zásuvný modul tretej strany, ktorý spôsobuje získavanie a prenos osobných údajov používateľa (pričom táto tretia strana tento zásuvný modul poskytla), sa považuje za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. (Spoločná) zodpovednosť tohto prevádzkovateľa je však obmedzená na tie operácie, pri ktorých reálne spolurozhoduje o prostriedkoch a účeloch spracovania osobných údajov.

109.

Je potrebné dodať, že tento záver je zároveň odpoveďou na tretiu položenú otázku. V uvedenej otázke vnútroštátny súd chce v podstate zistiť, či smernica 95/46 bráni uplatňovaniu vnútroštátneho konceptu Störer (narušiteľ) na žalovanú v prípade, že bude konštatované, že žalovaná nemôže byť považovaná za prevádzkovateľa. Podľa návrhu na začatie prejudiciálneho konania sa v zmysle konceptu Störer od osoby, ktorá sama neporušila právo, ale ktorá vyvolala alebo zvýšila riziko, že právo poruší tretia strana, vyžaduje, aby vykonala všetko, čo je pre ňu primerané a možné, aby zabránila tomuto porušeniu práva. Ak žalovaná nemôže byť považovaná za prevádzkovateľa, vnútroštátny súd navrhuje, že predpoklady na uplatnenie konceptu Störer boli splnené, keďže umiestnením zásuvného modulu pre ikonu „Páči sa mi to“ spoločnosti Facebook žalovaná prinajmenšom vyvolala riziko porušenia práva zo strany spoločnosti Facebook.

110.

Vzhľadom na odpoveď na druhú prejudiciálnu otázku vnútroštátneho súdu nie je potrebné odpovedať na tretiu prejudiciálnu otázku. Po stanovení toho, že určitá osoba sa má považovať za prevádzkovateľa v pôsobnosti smernice 95/46, je potrebné jej povinnosti posúdiť z hľadiska povinností stanovených v uvedenej smernici. Opačný záver by viedol k rozdielnej zodpovednosti prevádzkovateľov za konkrétne porušenie práva v rôznych členských štátoch. V tomto zmysle a vzhľadom na vymedzenie pojmu prevádzkovateľ smernica 95/46 naozaj má za cieľ úplnú harmonizáciu vo vzťahu k adresátom vymedzených povinností. ( 49 )

C.   Legitímne záujmy, ktoré je potrebné zohľadniť podľa článku 7 písm. f) smernice 95/46

111.

Štvrtá prejudiciálna otázka v prejednávanej veci sa týka legitímnosti spracovania osobných údajov v prípade chýbajúceho súhlasu dotknutej osoby v zmysle článku 7 písm. a) smernice 95/46.

112.

V tomto zmysle vnútroštátny súd poukazuje na článok 7 písm. f) smernice 95/46, v ktorom sa stanovuje, že osobné údaje môžu byť spracované, ak je to „nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór [prevádzkovateľ – neoficiálny preklad], alebo tretia strana alebo strany, ktorým sú údaje odhalené [prenesené – neoficiálny preklad], s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi [s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu podľa článku 1 ods. 1 – neoficiálny preklad]…“. Vnútroštátny súd konkrétnejšie chce zistiť, koho legitímne záujmy by mali byť zohľadňované v kontexte prejednávanej veci: žalovanej, ktorá umiestnila obsah tretej strany, alebo tretej strany (konkrétne spoločnosti Facebook Ireland). ( 50 )

113.

Na úvod je potrebné poznamenať, že Komisia sa domnieva, že štvrtá otázka nie je relevantná, pretože v tomto prípade používateľ musel súhlas poskytnúť aj tak na základe uplatnenia právnych predpisov, ktorými sa vykonáva smernica 2002/58/ES týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (ďalej len „smernica o súkromí a elektronických komunikáciách“) ( 51 ).

114.

Súhlasím s Komisiou, že smernica o súkromí a elektronických komunikáciách (v ktorej sa podľa jej článku 1 ods. 2 objasňuje a doplňuje smernica 95/46 v sektore elektronických komunikácií) ( 52 ) sa podľa všetkého vzťahuje na predmetnú situáciu v prípade, že dochádza k vkladaniu súborov cookie do zariadenia používateľa. ( 53 ) Okrem toho sa v článku 2 písm. f) a odôvodnení 17 smernice o súkromí a elektronických komunikáciách súhlas vymedzuje odkazom na pojem súhlas v smernici 95/46/ES.

115.

To, či došlo k vkladaniu súborov cookie v spore vo veci samej, bolo predmetom rozsiahlej diskusie počas pojednávania. Overenie týchto skutkových okolností prináleží vnútroštátnemu súdu. V každom prípade však, ako sa uvádza v návrhu na začatie prejudiciálneho konania, tento súd zastáva názor, že prenášané údaje predstavujú osobné údaje. ( 54 ) Otázka súborov cookie preto podľa všetkého neposkytuje odpoveď na všetky problémy, ktoré v prejednávanej veci vznikajú vo vzťahu k spracovaniu údajov. ( 55 )

116.

Domnievam sa preto, že štvrtá otázka si vyžaduje ďalšie zváženie.

117.

Žalobca tvrdí, že legitímne záujmy, ktoré je potrebné zohľadniť, sú záujmy žalovanej. Dodáva, že ani žalovaná, ani Facebook Ireland sa nemôžu v prejednávanej veci domáhať legitímneho záujmu.

118.

Žalovaná a Facebook Ireland v podstate tvrdia, že legitímne záujmy, ktoré je potrebné zohľadňovať, sú záujmy osoby, ktorá zapracuje obsah tretej strany, ako aj záujmy tretej strany pri zohľadnení záujmov návštevníkov internetovej stránky, ktorých základné práva môžu byť dotknuté.

119.

LDI NW, Poľsko, Nemecko a Taliansko sa domnievajú, že by sa mali zohľadňovať legitímne záujmy žalovanej, ako aj spoločnosti Facebook Ireland, keďže obe z nich umožnili predmetné spracovanie. Rakúsko má podobný názor. Podobne a s odkazom na rozhodnutie Súdneho dvora vo veci Google Spain Belgicko zdôrazňuje, že legitímne záujmy, ktoré je potrebné zohľadniť, sú záujmy prevádzkovateľa, ako aj tretích strán, ktorým sa dotknuté osobné údaje poskytujú.

120.

Na úvod je potrebné pripomenúť, že akékoľvek spracovanie osobných údajov musí okrem iného v zásade zodpovedať jednej zo zásad týkajúcich sa zákonnosti spracovania údajov podľa článku 7 smernice 95/46. ( 56 )

121.

Konkrétne pokiaľ ide o článok 7 písm. f), Súdny dvor pripomenul, že toto ustanovenie „stanovuje na to, aby spracovanie osobných údajov bolo zákonné, tri kumulatívne podmienky, a to po prvé sledovanie legitímneho záujmu osobou zodpovednou za spracovanie alebo tretími osobami, ktorým sú údaje oznámené, po druhé nevyhnutnosť spracovania osobných údajov na realizáciu sledovaného legitímneho záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka“ ( 57 ).

122.

V smernici 95/46 sa nevymedzujú ani nevymenúvajú „legitímne záujmy“. Tento pojem je podľa všetkého pomerne elastický a otvorený. ( 58 ) Neexistuje druh záujmu, ktorý by bol ako taký vylúčený, pokiaľ je sám osebe zákonný. Ako sa v podstate diskutovalo na pojednávaní a ako je uvedené vyššie, ( 59 ) problémom v prejednávanej veci je podľa všetkého získavanie a prenos osobných údajov na účely optimalizácie reklamy, hoci konkrétne konečné komerčné ciele žalovanej a spoločnosti Facebook Ireland nemusia byť úplne presne rovnaké.

123.

Vzhľadom na tieto úvahy by som súhlasil, že marketing alebo reklama ako také môžu predstavovať takýto legitímny záujem. ( 60 ) V kontexte prejednávanej veci je pomerne náročné uviesť viac ako toto tvrdenie, keďže okrem týchto všeobecných vyhlásení nie je známe nič viac o presnom spôsobe, akým sa prenášané a získavané údaje používajú.

124.

Vnútroštátny súd sa pritom nezaoberá otázkou posúdenia, ktoré je potrebné vykonať vzhľadom na konkrétne legitímne záujmy, ktoré sú predmetom prejednávanej veci, a ani k nemu nepožaduje usmernenie. Svojou štvrtou otázkou vnútroštátny súd chce zistiť len to, koho legitímne záujmy sa majú zohľadňovať pri zvažovaní záujmov podľa článku 7 písm. f) smernice 95/46.

125.

Vzhľadom na moju vyššie navrhovanú odpoveď na druhú otázku sa domnievam, že je potrebné zohľadniť legitímne záujmy oboch spoločností, žalovanej aj spoločnosti Facebook Ireland, pretože obe konajú ako spoloční prevádzkovatelia vo vzťahu k príslušnej operácii spracovania osobných údajov.

126.

Keďže z ich postavenia ako spoločných prevádzkovateľov takisto vyplýva, že majú spoločné ciele pri spracovaní osobných údajov, je potrebné konštatovať existenciu legitímneho záujmu oboch spoločností, a to aspoň na všeobecnej úrovni, ako sa uvádza vyššie. Tento záujem je potom potrebné zvážiť vo vzťahu k právam dotknutých osôb, stanoveným v poslednej časti článku 7 písm. f) smernice 95/46, ( 61 ) pričom toto zváženie „v zásade závisí od konkrétnych okolností jednotlivého prípadu“ ( 62 ). Pripomínam, že spracovanie údajov za takýchto okolností musí podliehať aj podmienke nevyhnutnosti. ( 63 )

127.

Vzhľadom na vyššie uvedené je mojím tretím predbežným návrhom to, že na účely posúdenia možnosti spracovať osobné údaje za podmienok stanovených v článku 7 písm. f) smernice 95/46, je potrebné zohľadniť legitímne záujmy oboch spoločných prevádzkovateľov a zvážiť ich vo vzťahu k právam dotknutých osôb.

D.   Povinnosti žalovanej týkajúce sa súhlasu dotknutej osoby a informácií poskytovaných dotknutej osobe

128.

Piatou otázkou chce vnútroštátny súd zistiť, komu sa má za okolností prejednávanej veci poskytovať súhlas, ktorý má byť vyjadrený podľa článku 7 písm. a) a článku 2 písm. h) smernice 95/46.

129.

Šiestou otázkou chce vnútroštátny súd zistiť, či sa povinnosť informovať podľa článku 10 smernice 95/46 uplatňuje v prejednávanej situácii na prevádzkovateľa internetovej stránky (akým je žalovaná), ktorý umiestnil obsah tretej strany a spôsobil tým spracovanie osobných údajov touto treťou stranou.

130.

Ako sa uvádza vyššie, ( 64 ) na tieto otázky existuje mnoho navrhovaných odpovedí. Po stanovení presnej povahy povinnosti uvádzanej v druhej otázke, a to vo vzťahu k nositeľovi (kto), ako aj k povahe tejto povinnosti (v súvislosti s čím), a po objasnení tejto záležitosti pre predchádzajúce fázy sa však odpoveď na piatu a šiestu otázku, ktoré sa týkajú určitých povinností v nasledujúcej fáze, stáva jasnejšou.

131.

Po prvé sa domnievam, že poskytnutý súhlas, ako aj poskytnuté informácie sa musia týkať všetkých aspektov operácie spracovania údajov, za ktoré sú spoloční prevádzkovatelia spoločne zodpovední, konkrétne získavania a prenosu. Naopak, tieto povinnosti vo vzťahu k súhlasu a informovaniu sa nerozširujú na nasledujúce fázy spracovania údajov, na ktorých sa žalovaná nepodieľa a pri ktorých logicky neurčuje ani prostriedky, ani účely.

132.

Po druhé by za týchto podmienok bolo možné navrhnúť, že súhlas sa má poskytnúť ktorémukoľvek zo spoločných prevádzkovateľov. No vzhľadom na konkrétnu prejednávanú situáciu musí byť tento súhlas poskytnutý žalovanej, pretože fakticky pri návšteve jej internetovej stránky sa spúšťa spracovateľská operácia. Je jasné, že efektívnej a včasnej ochrane práv dotknutých osôb by nezodpovedal stav, pri ktorom by sa súhlas poskytoval len spoločnému prevádzkovateľovi, ktorý sa podieľa na neskoršej fáze (ak vôbec), po uskutočnení získavania a prenosu údajov.

133.

Podobnú odpoveď je potrebné poskytnúť aj vo vzťahu k informačnej povinnosti, ktorú má žalovaná podľa článku 10 smernice 95/46. V tomto ustanovení sa vymedzuje zoznam minimálnych informácií, ktoré musí prevádzkovateľ (alebo jeho zástupca) dotknutej osobe poskytnúť. Obsahuje tieto prvky: identita prevádzkovateľa (alebo jeho zástupcu); účely spracovania, pre ktoré sú údaje potrebné a akékoľvek ďalšie informácie, či už sú takéto ďalšie informácie „potrebné, so zreteľom na špecifické okolnosti za ktorých sa údaje zhromažďujú, zaručenie správneho spracovania vzhľadom na osobu pracujúcu s údajmi [dotknutú osobu – neoficiálny preklad]“. V článku 10 sa uvádzajú príklady takýchto ďalších informácií, ktoré z hľadiska relevantnosti pre prejednávanú vec zahŕňajú informácie o príjemcovi údajov alebo o existencii práva prístupu a práva skorigovania údajov, ktoré sa dotknutej osoby týkajú.

134.

Pokiaľ ide o tento zoznam, žalovaná je podľa všetkého jednoznačne schopná poskytovať informácie o identite spoločných prevádzkovateľov, o účele príslušnej fázy spracovania (operácie/operácií, pri ktorých vykonáva spoločné prevádzkovanie) a o skutočnosti, že tieto údaje budú poskytované ďalej.

135.

Naopak, pokiaľ ide o právo prístupu a právo skorigovať údaje, domnievam sa, že žalovaná sama nemá takýto prístup k údajom, ktoré sa prenášajú spoločnosti Facebook Ireland, keďže sa nijako nezúčastňuje na uchovávaní údajov. Preto by bolo možné napríklad navrhnúť, že táto záležitosť by bola predmetom dohody so spoločnosťou Facebook Ireland.

136.

Takýmito návrhmi by sa však, okrem už uvedených tvrdení, ( 65 ) opäť smerovalo k rozšíreniu povinností a zodpovednosti (spoločného) prevádzkovateľa na operácie, za ktoré zodpovedný nie je. Ak spoločné prevádzkovanie znamená zodpovednosť za tie operácie, pri ktorých existuje jednotnosť účelov a prostriedkov medzi prevádzkovateľmi, potom by logicky ostatné povinnosti vyplývajúce zo smernice, ako sú povinnosti vo vzťahu k súhlasu, informovaniu a úprave, mali zodpovedať rozsahu tejto pôvodnej povinnosti. ( 66 )

137.

Komisia takisto na pojednávaní poznamenala, že tí návštevníci, ktorí majú konto Facebook, mohli už predtým poskytnúť súhlas s vykonaním takéhoto prenosu. To by mohlo viesť k diferencovanej povinnosti žalovanej, keďže Komisia podľa všetkého navrhuje, že informačná povinnosť žalovanej a povinnosť vyžadovať súhlas by sa vzťahovali len na používateľov, ktorí nie sú používateľmi spoločnosti Facebook a navštívia internetovú stránku žalovanej.

138.

S tým nesúhlasím. Je ťažké akceptovať myšlienku, že s „používateľmi spoločnosti Facebook“ by sa malo zaobchádzať odlišne (poskytovať im menej ochrany) za okolností prejednávanej veci, pretože už akceptovali možnosť spracovania (každého druhu) ich osobných údajov zo strany spoločnosti Facebook. Z takéhoto tvrdenia skutočne vyplýva, že zriadením konta Facebook dochádza už vopred k akceptovaniu akéhokoľvek spracovania údajov vo vzťahu k akejkoľvek on‑line činnosti takýchto „používateľov siete Facebook“ zo strany akejkoľvek tretej strany, ktorá je v ľubovoľnom vzťahu k spoločnosti Facebook. Je to tak aj v prípade, že neexistujú žiadne viditeľné známky takéhoto spracovania údajov (ako je to podľa všetkého v prípade návštevy internetovej stránky žalovanej). Inak povedané, akceptovanie návrhu Komisie by v podstate znamenalo, že zriadením konta Facebook sa používateľ v skutočnosti vzdal akejkoľvek ochrany osobných údajov on‑line vo vzťahu k spoločnosti Facebook.

139.

Domnievam sa preto, že zodpovednosť žalovanej a jej príslušné povinnosti získavať súhlas a informovať by mali byť rovnaké vo vzťahu k dotknutým osobám bez ohľadu na to, či majú alebo nemajú konto Facebook.

140.

Okrem toho je znovu jasné, že súhlas je potrebné získať a informácie poskytnúť pred získavaním a prenosom údajov. ( 67 )

141.

Preto vzhľadom na vyššie uvedené je mojím záverečným predbežným návrhom v reakcii na piatu a šiestu otázku to, že v takej situácii, aká je predmetom prejednávanej veci, sa súhlas dotknutej osoby získaný podľa článku 7 písm. a) smernice 95/46 musí poskytovať prevádzkovateľovi internetovej stránky, akým je žalovaná, ktorá umiestnila obsah tretej strany. Článok 10 smernice 95/46 sa má vykladať v tom zmysle, že informačná povinnosť podľa tohto ustanovenia sa vzťahuje aj na takéhoto prevádzkovateľa internetovej stránky. Súhlas dotknutej osoby podľa článku 7 písm. a) smernice 95/46 a informácie v zmysle článku 10 tej istej smernice je potrebné poskytnúť pred získavaním a prenosom údajov. Rozsah týchto povinností však má zodpovedať spoločnej zodpovednosti tohto prevádzkovateľa za získavanie a prenos osobných údajov.

V. Návrh

142.

Vzhľadom na vyššie uvedené úvahy navrhujem, aby Súdny dvor na otázky, ktoré mu položil Oberlandesgericht Düsseldorf (Vyšší krajinský súd Düsseldorf, Nemecko), odpovedal takto:

Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov nebráni vnútroštátnej právnej úprave, ktorá verejnoprospešným združeniam priznáva aktívnu legitimáciu na podanie žaloby proti údajnému porušovateľovi právnych predpisov na ochranu osobných údajov s cieľom chrániť záujmy spotrebiteľov.

Osoba, ktorá vložila do svojej internetovej stránky zásuvný modul tretej strany, ktorý umožní získavanie a prenos osobných údajov používateľa (pričom táto tretia strana tento zásuvný modul poskytla), sa považuje za prevádzkovateľa v zmysle článku 2 písm. d) smernice 95/46. (Spoločná) zodpovednosť tohto prevádzkovateľa je však obmedzená na tie operácie, pri ktorých reálne spolurozhoduje o prostriedkoch a účeloch spracovania osobných údajov.

Na účely posúdenia možnosti spracovať osobné údaje za podmienok stanovených v článku 7 písm. f) smernice 95/46 je potrebné zohľadniť legitímne záujmy oboch spoločných prevádzkovateľov a zvážiť ich vo vzťahu k právam dotknutých osôb.

Súhlas dotknutej osoby získaný podľa článku 7 písm. a) smernice 95/46 sa musí poskytovať prevádzkovateľovi internetovej stránky, ktorý umiestnil obsah tretej strany. Článok 10 smernice 95/46 sa má vykladať v tom zmysle, že informačná povinnosť podľa tohto ustanovenia sa vzťahuje aj na takéhoto prevádzkovateľa internetovej stránky. Súhlas dotknutej osoby podľa článku 7 písm. a) smernice 95/46 a informácie v zmysle článku 10 tej istej smernice je potrebné poskytnúť pred získavaním a prenosom údajov. Rozsah týchto povinností však má zodpovedať spoločnej zodpovednosti tohto prevádzkovateľa za získavanie a prenos osobných údajov.


( 1 ) Jazyk prednesu: angličtina.

( 2 ) Smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).

( 3 ) Smernica Európskeho parlamentu a Rady z 23. apríla 2009 (Ú. v. EÚ L 110, 2009, s. 30).

( 4 ) Poznamenávam, že v návrhu na začatie prejudiciálneho konania sa uvádza, že zásuvný modul bol žalovanej poskytnutý spoločnosťou Facebook Ireland alebo jej materskou spoločnosťou Facebook Inc., založenou v Spojených štátoch amerických. Podľa všetkého však aj pred vnútroštátnym súdom aj v konaní pred týmto súdom Facebook Ireland preberá možnú zodpovednosť podľa smernice 95/46 v kontexte prejednávanej veci. Nevidím dôvod, prečo by sa možná uplatniteľnosť smernice 95/46 mala rozoberať v súvislosti s materskou spoločnosťou spoločnosti Facebook Ireland.

( 5 ) Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46 (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).

( 6 )

( 7 ) Pričom pre úplnosť dodávam, že hoci sa rozsudok z 28. júla 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), týkal otázky výkladu smernice 95/46, ktorá vyplývala z vnútroštátnej žaloby, ktorú podalo združenie, Súdny dvor sa v danej veci nezaoberal otázkou aktívnej legitimácie, a to z toho dôvodu, že táto konkrétna otázka nebola nastolená.

( 8 ) Ako bolo uvedené napríklad v rozsudkoch z 23. mája 1985, Komisia/Nemecko (C‑29/84, EU:C:1985:229, bod 22); zo 14. februára 2012, Flachglas Torgau (C‑204/09, EU:C:2012:71, bod 60), a z 19. apríla 2018, CMR (C‑645/16, EU:C:2018:262, bod 19).

( 9 ) Rozsudok z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 53).

( 10 ) Pozri tiež rozsudok zo 16. decembra 2008, Huber (C‑524/06, EU:C:2008:724, bod 50).

( 11 ) Na rozdiel od rozsudku z 25. januára 2018, Schrems (C‑498/16, EU:C:2018:37), nejde o žiadne postúpenie nárokov konkrétnej osobe, pričom existuje jednoznačný právny základ vo vnútroštátnej právnej úprave pre, podľa všetkého, istý druh zastupovania kolektívnych záujmov spotrebiteľov.

( 12 ) Alebo, povedané inými slovami, členské štáty musia upraviť, najmä čo sa týka inštitucionálnej štruktúry alebo postupov, aj mnohé ďalšie otázky, ktoré sa tiež výslovne nespomínajú v smernici (napr. pokiaľ ide o súdne vymáhanie práva, nielen otázky aktívnej legitimácie, ale aj napríklad lehoty na podanie žaloby, prípadné súdne poplatky, súdnu príslušnosť, atď.). Bolo by potom možné tvrdiť, že keďže ani v článku 22, ani v článku 24 smernice 95/46 žiadna z týchto otázok nie je spomenutá, členský štát nemôže vo vnútroštátnych právnych predpisoch tieto záležitosti upraviť?

( 13 ) Ako je definované v článku 3 smernice 2009/22.

( 14 ) Pozri napríklad rozsudky zo 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 96); zo 16. decembra 2008, Huber (C‑524/06, EU:C:2008:724, bod 51); z 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 a C‑469/10, EU:C:2011:777, bod 29), a zo 7. novembra 2013, IPI (C‑473/12, EU:C:2013:715, bod 31).

( 15 ) Rozsudok zo 6. novembra 2003, Lindqvist (C‑101/01, EU:C:2003:596, bod 97).

( 16 ) Pozri návrhy, ktoré som predniesol vo veci Dzivev (C‑310/16, EU:C:2018:623, body 7274).

( 17 ) Uvedené vyššie v bode 8.

( 18 ) Pozri opäť príklady uvedené vyššie, poznámka pod čiarou 12.

( 19 ) Ktoré sú podľa článku 28 smernice 95/46 zodpovedné za monitorovanie uplatňovania ustanovení prijatých v súlade s uvedenou smernicou.

( 20 ) K úrovni požadovanej podľa článku 28 ods. 1 smernice 95/46 pozri rozsudky z 9. marca 2010, Komisia/Nemecko (C‑518/07, EU:C:2010:125, body 1830), a zo 16. októbra 2012, Komisia/Rakúsko (C‑614/10, EU:C:2012:631, body 4166).

( 21 ) Analogicky s inou oblasťou práva, ohrozovalo by teda napríklad súkromnoprávne presadzovanie práva hospodárskej súťaže nezávislosť (vnútroštátnych) orgánov na ochranu hospodárskej súťaže? Pozri rozsudky z 20. septembra 2001, Courage a Crehan (C‑453/99, EU:C:2001:465, body 262729), a z 13. júla 2006, Manfredi a i. (C‑295/04 až C‑298/04, EU:C:2006:461, body 5960). Pozri aj odôvodnenie 5 smernice Európskeho parlamentu a Rady 2014/104/EÚ z 26. novembra 2014 o určitých pravidlách upravujúcich žaloby podľa vnútroštátneho práva o náhradu škody utrpenej v dôsledku porušenia ustanovení práva hospodárskej súťaže členských štátov a Európskej únie (Ú. v. EÚ L 349, 2014, s. 1).

( 22 ) Čo vo všeobecnosti (bez ohľadu na konkrétnu otázku zmenenej právnej formy) znamená skutočnosť, že zákonodarca vložil do následného právneho predpisu niečo, čo nebolo prítomné v predošlých verziách tohto predpisu, pre výklad predchádzajúceho právneho predpisu? Je možné, že táto zásada skutočne bola „v podstate prítomná“ v predošlej verzii a teraz bola len objasnená. Môže to však znamenať aj to, že práve preto, že takéto ustanovenie nebolo predtým prítomné, nové ustanovenie je zmenou. Vzhľadom na časté a pochybné (zne)užívanie argumentu „vždy to tam bolo, teraz je to len výslovne uvedené“, ktorý v podstate vedie k rozšíreniu nového pravidla ešte pred časovou pôsobnosťou jeho uplatňovania, by takýto typ argumentu mal byť predkladaný len opatrne, ak vôbec.

( 23 ) K otázke dynamických adries IP pozri rozsudok z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779, bod 33 a nasl.). Pozri tiež rozsudok z 24. novembra 2011, Scarlet Extended (C‑70/10, EU:C:2011:771, bod 51).

( 24 ) Rozsudok z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779, body 4145).

( 25 ) Bod 19 vyššie.

( 26 ) Kurzívou zvýraznil generálny advokát.

( 27 ) Rozsudky z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 29), a z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 65).

( 28 ) Pozri rozsudky z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 34), ako aj z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, bod 66).

( 29 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388).

( 30 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 39).

( 31 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 35).

( 32 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 36).

( 33 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, body 3438).

( 34 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, body 3941).

( 35 ) Rozsudok z 10. júla 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, body 6872).

( 36 ) Ako navrhuje generálny advokát Bot vo svojich návrhoch vo veci Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, body 6672).

( 37 ) Pričom podľa všetkého v tomto kontexte nie je možné uplatniť analógiu s ochranou spotrebiteľov, tzn. že „neprofesionálna“ strana by sa mala rovnako skutočne podieľať na stanovovaní podmienok. Je preto diskutabilné, do akej miery je skutočne možné „stanovenie parametrov“ v prípade správcu fanúšikovskej stránky (a koľko z toho tvorí len mechanické odklikávanie a výber z predpripravených možností, ako je to u každého iného „spotrebiteľa“).

( 38 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 35).

( 39 ) Viacero programov a aplikácií v súčasnosti, v niektorých prípadoch s výslovným, v niektorých prípadoch s možno menej výslovným, súhlasom používateľa prenáša analytické informácie, ktoré obsahujú osobné údaje, tvorcovi alebo predajcovi softvéru.

( 40 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 38).

( 41 ) Opäť by bolo diskutabilné, za akých presných podmienok a s akou vyjednávacou pozíciou (pozri aj vyššie poznámku pod čiarou 37).

( 42 ) Alebo, ako sa obozretnejšie vyjadril sir Humphrey Appleby (ktorý sa očividne sám odvolával na starší, anonymný citát): „Zodpovednosť bez moci je odjakživa výsadou eunuchov“ (v seriáli „Yes, Prime Minister“, séria 2, epizóda 7 „The National Education Service“, v premiére vysielaná 21. januára 1988).

( 43 ) Aj v zmysle uvedenom v bode 73 a poznámkach pod čiarou 38 a 42.

( 44 ) Rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, bod 43).

( 45 ) Pozri body 87 až 88 vyššie.

( 46 ) Pozri tiež stanovisko 4/2007 k pojmu osobné údaje, pracovná skupina pre ochranu údajov zriadená podľa článku 29 (poradný orgán zriadený podľa článku 29 smernice 95/46, ktorý v súčasnosti nahradil Európsky výbor pre ochranu údajov, zriadený podľa článku 68 všeobecného nariadenia o ochrane údajov), 01248/07/EN WP 136, 20. júna 2007, s. 4.

( 47 ) Taktiež vzhľadom na jednoduchú skutočnosť, že spracovanie sotva niekedy bude lineárne a sotva niekedy bude postupovať cez všetky operácie uvedené v článku 2 písm. b) postupne, zaradom a pri jednej osobe. Skôr je pravdepodobné, že životnosť osobných údajov bude cyklická, bude sa točiť v kruhoch, s občasným rozvetvením, pričom súbory údajov sa budú získavať na rôznych koncoch, potom do nich bude nahliadať iná osoba, potom budú zlúčené a bude sa do nich nahliadať, potom budú možno opäť skombinované a preposlané iným osobám a tak ďalej.

( 48 ) Pracovná skupina na ochranu údajov zriadená podľa článku 29 tvrdí, že „spoločné prevádzkovanie vzniká vtedy, keď rôzne strany v súvislosti s konkrétnymi operáciami spracovania určujú účel alebo tie základné prvky prostriedkov“. Pozri stanovisko 1/2010 k pojmom „prevádzkovateľ“ a „spracovateľ“, prijaté 16. februára 2010, pracovná skupina pre ochranu údajov zriadená podľa článku 29, dokument 00264/10/EN WP 169, s. 19.

( 49 ) Na rozdiel od situácie rozoberanej vo vzťahu k prvej otázke v bodoch 39 až 42 vyššie.

( 50 ) Po prečítaní pôvodnej nemeckej verzie štvrtej otázky chápem rozsah otázky, ktorú položil vnútroštátny súd ako obmedzený na identifikáciu záujmov, ktoré je potrebné zohľadniť, a nie, ako by vyplývalo z anglického prekladu nemeckej otázky, ktoré sú rozhodujúce (v zmysle toho, že potenciálne majú väčšiu váhu) pri zvažovaní záujmov. Otázka sa preto podľa všetkého vzťahuje na východiská pre toto zvažovanie záujmov, a nie na jeho výsledky.

( 51 ) Smernica Európskeho parlamentu a Rady z 12. júla 2002 (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514).

( 52 ) Pozri aj rozsudok z 5. mája 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, bod 50). Podľa odôvodnenia 10 smernice o súkromí a elektronických komunikáciách sa „v elektronickom komunikačnom sektore smernica [95/46] uplatňuje najmä na všetky záležitosti týkajúce sa ochrany základných práv a slobôd, ktoré nie sú predmetom ustanovení tejto smernice, vrátane povinností spracovávateľov a práv jednotlivcov. Smernica [95/46] sa uplatňuje na neverejné komunikačné služby“.

( 53 ) V tomto kontexte pozri článok 5 ods. 3 smernice o súkromí a elektronických komunikáciách, v ktorom sa uvádza, že „členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou 95/46/ES, okrem iného aj o účeloch spracovania,…“.

( 54 ) V tomto kontexte opäť s odkazom na úvodnú časť B.1. (body 55 až 58 vyššie) a potrebu overenia skutkových okolností toho, čo presne sa prenáša a či sú tieto informácie v skutočnosti vôbec osobnými údajmi.

( 55 ) Pozri tiež dokument 02/2013 pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29, v ktorom sa poskytujú usmernenia k získavaniu súhlasu pre využitie súborov cookie, 1676/13/EN WP 208, 2. októbra 2013, s. 5 – 6, v ktorom sa uvádza, že keďže uchovávanie informácií alebo získavanie informácií už uložených v zariadeniach používateľov na základe súborov cookie môže zahŕňať spracovanie osobných údajov, na tento prípad sa pravidlá ochrany údajov jednoznačne vzťahujú.

( 56 ) Pozri v tomto zmysle rozsudky z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 71 a citovaná judikatúra), a zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 25).

( 57 ) Rozsudok zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 28). Pozri aj rozsudok z 24. novembra 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 a C‑469/10, EU:C:2011:777, bod 38).

( 58 ) Pozri návrhy, ktoré som predniesol vo veci Rīgas satiksme (C‑13/16, EU:C:2017:43, body 6465). Ako som uviedol tam, Súdny dvor za takéto záujmy uznal transparentnosť [rozsudok z 9. novembra 2010, Volker und Markus Schecke a Eifert (C‑92/09 a C‑93/09, EU:C:2010:662, bod 77)], ochranu majetku, zdravia a života rodiny [rozsudok z 11. decembra 2014, Ryneš (C‑212/13, EU:C:2014:2428, bod 34)]. Pozri tiež rozsudky z 29. januára 2008, Promusicae, C‑275/06, (EU:C:2008:54, bod 53), a zo 4. mája 2017, Rīgas satiksme, (C‑13/16, EU:C:2017:336, bod 29).

( 59 ) Pozri body 104 až 105 vyššie.

( 60 ) Pozri tiež stanovisko 06/2014 k pojmu legitímne záujmy prevádzkovateľa podľa článku 7 smernice 95/46/ES, ktoré vypracovala pracovná skupina pre ochranu údajov zriadená podľa článku 29 (844/14/EN WP 217), s. 25.

( 61 ) Ako som už navrhol inde, príslušné „konkurenčné legitímne záujmy netreba len preukázať, ale aj prevažujú nad záujmami alebo právami a slobodami dotknutej osoby“, ktoré vyplývajú z článkov 7 a 8 Charty. Pozri návrhy, ktoré som predniesol vo veci Rīgas satiksme (C‑13/16, EU:C:2017:43, bod 56 a body 66 až 69 a citovaná judikatúra).

( 62 ) Rozsudok zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 31 a citovaná judikatúra).

( 63 ) Musí preto existovať primeraný vzťah medzi cieľmi (údajným legitímnym záujmom) a zvolenými prostriedkami (spracovanými osobnými údajmi). Pozri v tomto zmysle rozsudok zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 30 a citovaná judikatúra).

( 64 ) Pozri body 76 až 82 vyššie.

( 65 ) Body 84 až 88 vyššie.

( 66 ) Čo samozrejme nebráni tomu, aby sa na potenciálnych iných (a nasledujúcich) prevádzkovateľov nevzťahovala táto povinnosť vo vzťahu k ich príslušným operáciám spracovania údajov.

( 67 ) Bod 132 vyššie. Pozri dokument 02/2013 pracovnej skupiny zriadenej podľa článku 29, v ktorom sa poskytujú usmernenia k získavaniu súhlasu pre využitie súborov cookie, 1676/13/EN WP 208, 2. október 2013, s. 4. Pozri tiež dokument pracovnej skupiny zriadenej podľa článku 29 so stanoviskom 15/2011 k definícii súhlasu 1197/11/EN WP187, 13. júla 2011, s. 9.