РЕШЕНИЕ НА СЪДА (голям състав)
4 юли 2023 година ( *1 )
Съдържание
Правна уредба
Правото на Съюза
Регламент (ЕО) № 1/2003
ОРЗД
Германското право
Спорът в главното производство и преюдициалните въпроси
По преюдициалните въпроси
По първия и седмия въпрос
По втория въпрос
По втория въпрос, буква а)
По втория въпрос, буква б)
По третия, четвъртия и петия въпрос
Предварителни бележки
По третия и четвъртия въпрос
По петия въпрос
По шестия въпрос
По съдебните разноски
„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Социални онлайн мрежи — Злоупотреба с господстващо положение на оператора на такава мрежа — Злоупотреба, която се състои в обработването на лични данни на ползвателите на тази мрежа, предвидено от общите условия за използване на мрежата — Правомощия на орган за защита на конкуренцията на дадена държава членка да констатира несъответствието на това обработване с този регламент — Съчетаване с правомощията на националните надзорни органи за защита на личните данни — Член 4, параграф 3 ДЕС — Принцип на лоялно сътрудничество — Член 6, параграф 1, първа алинея, букви а)—е) от Регламент 2016/679 — Законосъобразност на обработването — Член 9, параграфи 1 и 2 — Обработване на специални категории лични данни — Член 4, точка 11 — Понятието „съгласие“
По дело C‑252/21
с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф, Германия) с акт от 24 март 2021 г., постъпил в Съда на 22 април 2021 г., в рамките на производство по дело
Meta Platforms Inc., по-рано Facebook Inc.,
Meta Platforms Ireland Limited, по-рано Facebook Ireland Ltd.,
Facebook Deutschland GmbH
срещу
Bundeskartellamt,
при участието на:
Verbraucherzentrale Bundesverband eV,
СЪДЪТ (голям състав),
състоящ се от: K. Lenaerts, председател, L. Bay Larsen, заместник-председател, A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L. S. Rossi (докладчик), D. Gratsias и M. L. Arastey Sahún, председатели на състави, J.‑C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi и O. Spineanu-Matei, съдии,
генерален адвокат: A. Rantos,
секретар: D. Dittert, началник на отдел,
предвид изложеното в писмената фаза на производството и в съдебното заседание от 10 май 2022 г.,
като има предвид становищата, представени:
– за Meta Platforms Inc., по-рано Facebook Inc., Meta Platforms Ireland Ltd, по-рано Facebook Ireland Ltd, и Facebook Deutschland GmbH, от M. Braun, M. Esser, L. Hesse, J. Höft и H.‑G. Kamann, Rechtsanwälte,
– за Bundeskartellamt, от J. Nothdurft, K. Ost, J. Nothdurft, I. Sewczyk и J. Topel, в качеството на представители,
– за Verbraucherzentrale Bundesverband eV, от S. Louven, Rechtsanwalt,
– за германското правителство, от J. Möller и P.‑L. Krüger, в качеството на представители,
– за чешкото правителство, от M. Smolek и J. Vláčil, в качеството на представители,
– за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от E. De Bonis и P. Gentili, avvocati dello Stato,
– за австрийското правителство, от A. Posch, J. Schmoll и G. Kunnert, в качеството на представители,
– за Европейската комисия, от F. Erlbacher, H. Kranenborg и G. Meessen, в качеството на представители,
след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 20 септември 2022 г.,
постанови настоящото
Решение
1 Преюдициалното запитване се отнася до тълкуването на член 4, параграф 3 ДЕС и на член 6, параграф 1, член 9, параграфи 1 и 2, член 51, параграф 1 и член 56, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).
2 Запитването е отправено в рамките на спор между Meta Platforms Inc., по-рано Facebook Inc., Meta Platforms Ireland Ltd, по-рано Facebook Ireland Ltd, и Facebook Deutschland GmbH, от една страна, и Bundeskartellamt (Федерален орган за защита на конкуренцията, Германия), от друга, относно решението, с което този орган забранява на посочените дружества да извършват обработването на някои лични данни, предвидено в общите условия за използване на социалната мрежа „Facebook“ (наричани по-нататък „общите условия“).
Правна уредба
Правото на Съюза
Регламент (ЕО) № 1/2003
3 Член 5 („Правомощия на органите по конкуренция на държавите членки“) от Регламент (ЕО) № 1/2003 на Съвета от 16 декември 2002 година относно изпълнението на правилата за конкуренция, предвидени в членове [101 и 102 ДФЕС] (ОВ L 1 2003, г., стр. 1; Специално издание на български език, 2007 г., глава 8, том 1, стр. 167) предвижда:
„Органите по конкуренция на държавите членки имат правомощието да прилагат членове [101 ДФЕС и 102 ДФЕС] в индивидуалните случаи. За тази цел, като действат по собствена инициатива или по внесена жалба, те могат да вземат следните решения:
– да изискат прекратяване на нарушението;
– да постановят временни мерки;
– да приемат поемане на ангажименти;
– да наложат глоби, периодични санкционни плащания или всякакви други санкции, предвидени в тяхното национално законодателство.
Когато въз основа на информацията, с която разполагат, условията за налагане на забрана не са изпълнени, те могат да решат и че няма основания за предприемане на действия от тяхна страна.“
ОРЗД
4 Съображения 1, 4, 38, 42, 43, 46, 47, 49 и 51 от ОРЗД гласят:
„(1)
Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.
[…] (4) Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата, както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.
[…] (38)
На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Съгласието на носещия родителска отговорност не следва да е необходимо в контекста на пряко предлаганите на деца услуги за превенция и консултиране.
[…] (42)
Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. […] За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.
(43)
За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.
[…] (46)
Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.
(47)
Законните интереси на даден администратор, включително на администратор, пред когото може да бъдат разкрити лични данни, или на трета страна могат да предоставят правно основание за обработването, при условие че интересите или основните права и свободи на съответния субект на данни нямат преимущество, като се вземат предвид основателните очаквания на субектите на данни въз основа на техните взаимоотношения с администратора. […]. При всички случаи, за установяването на законен интерес би била необходима внимателна преценка, включително дали субектът на данни може по времето и в контекста на събирането на данни основателно да очаква, че може да се осъществи обработване на личните данни за тази цел. Интересите и основните права на субекта на данни биха могли по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват по-нататъшна обработка. […] Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес.
[…] (49)
Обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, […] представлява законен интерес на съответния администратор на данни. […]
[…] (51)
На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че [Европейският съюз] приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи“.
5 Член 4 от този регламент предвижда:
„За целите на настоящия регламент:
1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]
2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
[…] 11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
[…] 23) „трансгранично обработване“ означава или:
a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или
б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;
[…]“.
6 Член 5 („Принципи, свързани с обработването на лични данни“) от посочения регламент предвижда в параграфи 1 и 2:
„1.„Личните данни са:
a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; […]
в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
[…] 2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).“
7 Съгласно член 6 („Законосъобразност на обработването“) от същия регламент:
„1.Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:
a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
в) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
д) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.
[…] 3.Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:
a) правото на Съюза или
б) правото на държавата членка, което се прилага спрямо администратора.
[…] […] Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел“.
8 Член 7 („Условия за даване на съгласие“) от ОРЗД гласи:
„1.Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.
[…] 4.Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор“.
9 Член 9 („Обработване на специални категории лични данни“) от този регламент предвижда:
„1.Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
2.Параграф 1 не се прилага, ако е налице едно от следните условия:
a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;
[…] д) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;
е) обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;
[…]“.
10 Член 13 от този регламент, предмет на който е „[и]нформация[та], предоставяна при събиране на лични данни от субекта на данните“, предвижда в параграф 1:
„Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:
[…] в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
г) когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
[…]“.
11 Глава VI от ОРЗД, която се отнася до „[н]езависими[те] надзорни органи“, включва членове 51—59 от посочения регламент.
12 Член 51 („Надзорен орган“) от този регламент предвижда в параграфи 1 и 2:
„1.Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза […].
2.Всеки надзорен орган допринася за последователното прилагане на настоящия регламент в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с [Европейската комисия] в съответствие с глава VII“.
13 Съгласно член 55 („Компетентност“) от същия регламент:
„1.Всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка.
2.Когато обработването се извършва от публични органи или частни организации на основание член 6, параграф 1, буква в) или д), компетентен е надзорният орган на съответната държава членка. В тези случаи член 56 не се прилага“.
14 Член 56 („Компетентност на водещия надзорен орган“) от ОРЗД предвижда в параграф 1:
„Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60“.
15 Член 57 („Задачи“) от този регламент предвижда в параграф 1:
„Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:
a) наблюдава и осигурява прилагането на настоящия регламент;
[…] ж) сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;
[…]“.
16 Член 58 от посочения регламент описва в параграф 1 правомощията за разследване, които има всеки надзорен орган, а в параграф 5 уточнява, че „[в]сяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент“.
17 Раздел 1 („Сътрудничество“) от глава VII („Сътрудничество и съгласуваност“) от ОРЗД включва членове 60—62 от този регламент. Член 60, предмет на който е „[с]ътрудничество[то] между водещия надзорен орган и другите засегнати надзорни органи“, предвижда в параграф 1:
„Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си“.
18 Член 61 („Взаимопомощ“) от ОРЗД предвижда в параграф 1:
„Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания“.
19 Член 62 („Съвместни операции на надзорни органи“) от този регламент предвижда в параграфи 1 и 2:
„1.Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.
2.Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции […]“.
20 Раздел 2 („Съгласуваност“) от глава VII от ОРЗД включва членове 63—67 от този регламент. Съгласно член 63 („Механизъм за съгласуваност“):
„С цел да допринесат за съгласуваното прилагане на настоящия регламент в целия Съюз, надзорните органи си сътрудничат помежду си и, ако е целесъобразно, с Комисията чрез механизъм за съгласуваност, както е определено в настоящия раздел“.
21 Член 64, параграф 2 от въпросния регламент гласи:
„Всеки надзорен орган, председателят на [Европейския комитет по защита на данните] или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от [Европейския комитет по защита на данните] с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62“.
22 Член 65 („Разрешаване на спорове от Комитета“) от споменатия регламент предвижда в параграф 1:
„С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, [Европейският комитет по защита на данните] приема решение със задължителен характер в следните случаи:
a) когато в случаи по член 60, параграф 4 засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия орган или водещият орган е отхвърлил възражението като неотносимо или необосновано. Решението със задължителен характер се отнася за всички въпроси, които са предмет на относимото и обосновано възражение, особено когато има нарушение на настоящия регламент;
б) когато има противоречиви виждания за това кой от засегнатите надзорни органи е компетентен за основното място на установяване;
[…]“.
Германското право
23 Член 19, параграф 1 от Gesetz gegen Wettbewerbsbeschränkungen (Закон срещу ограниченията на конкуренцията, наричан по-нататък „GWB“), в обнародваната си на 26 юни 2013 г. редакция (BGBl. 2013 I, p. 1750, 3245), последно изменена с член 2 от Закона от 16 юли 2021 г. (BGBl. 2021 I, p. 2959) (наричан по-нататък „GWB“), гласи:
„Забранено е използването от страна на едно или повече предприятия на господстващо положение с цел злоупотреба“.
24 Съгласно член 32, параграф 1 от GWB:
„Органът за защита на конкуренцията може да задължи предприятия или сдружения на предприятия да преустановят нарушение на разпоредба от тази част или на член 101 или член 102 от Договора за функционирането на Европейския съюз“.
25 Член 50f, параграф 1 от GWB предвижда:
„Органите за защита на конкуренцията, регулаторните органи, Федералната служба за защита на данните и свободата на информацията, регионалните администратори за защита на данните и компетентните органи по смисъла на член 2 от EU-Verbraucherschutzdurchführungsgesetz [Закон за прилагане на правото на защита на потребителите на Европейския съюз] могат, независимо от избраната процедура, да обменят помежду си информация, включително лични данни и търговски тайни, доколкото това е необходимо за изпълнението на съответните им задължения, както и да използват тази информация в рамките на техните процедури […]“.
Спорът в главното производство и преюдициалните въпроси
26 Meta Platforms Ireland управлява социалната онлайн мрежа Facebook в Съюза и рекламира, по-специално на адрес www.facebook.com, услуги, които са безплатни за частните ползватели. Други дружества от група Meta предлагат в Съюза други онлайн услуги, сред които са „Instagram“, „WhatsApp“, „Oculus“ и — до 13 март 2020 г. — „Masquerade“.
27 Икономическият модел на социалната онлайн мрежа „Facebook“ се базира на финансиране чрез онлайн реклама, която е съобразена с индивидуалния ползвател на социалната мрежа по-специално с оглед на потребителското му поведение, интереси, покупателна способност и личното му положение. Такава реклама е технически възможна благодарение на автоматизираното създаване на подробни профили на ползвателите на мрежата и на онлайн услугите, предлагани на равнището на групата Meta. За целта наред с данните, които тези ползватели предоставят пряко при регистрирането си за съответните онлайн услуги, се събират и други данни за тези ползватели и техните устройства, в рамките на и извън тази социална мрежа и онлайн услугите, предоставяни от група Meta, и тези данни се свързват с различните им потребителски акаунти. Общият преглед на споменатите данни позволява да се направят подробни изводи за предпочитанията и интересите на същите ползватели.
28 За обработването на посочените данни Meta Platforms Ireland се основава на договора за използване, който ползвателите на социалната мрежа Facebook сключват с натискането на бутон „Регистрация“ и с който те приемат установените от това дружество общи условия. Приемането на тези условия е необходимо, за да може да се използва социалната мрежа„Facebook“. Що се отнася до обработването на лични данни, общите условия препращат към определените от това дружество политики за използване на данни и бисквитки. Съгласно последните Meta Platforms Ireland събира свързани с ползвателите и устройствата данни относно действията на ползвателите във и извън социалната мрежа и свързва тези данни с акаунтите на съответните ползватели във Facebook. Колкото до последните данни за дейностите извън социалната мрежа (наричани по-нататък и „данните off Facebook“), става дума, от една страна, за данните за посещения на уебсайтове и приложения на трети лица, които са свързани с Facebook чрез програмни интерфейси — „Facebook Business Tools“, и от друга, за данните за използването на други онлайн услуги, собственост на групата Meta, сред които са „Instagram“, „WhatsApp“, „Oculus“ и — до 13 март 2020 г. — „Masquerade“.
29 Федералният орган за защита на конкуренцията образува производство срещу Meta Platforms, Meta Platforms Ireland и Facebook Deutschland, вследствие от което с решение от 6 февруари 2019 г. на основание член 19, параграф 1 и член 32 от GWB по същество им се забранява да обвързват в общите условия използването на социалната мрежа Facebook от частни ползватели, които живеят в Германия, с обработването на техните данни off Facebook и да обработват тези данни без съгласието на тези ползватели въз основа на действащите към тогавашния момент общи условия. Освен това Bundeskartellamt ги задължава да изменят тези общи условия така, че от тях ясно да следва, че посочените данни няма да бъдат нито събирани, нито свързвани с потребителските акаунти във Facebook, нито използвани без съгласието на съответния ползвател, и пояснява, че такова съгласие не е валидно, когато то представлява условие за използването на социалната мрежа.
30 Федералният орган за защита на конкуренцията мотивира решението си с това, че обработването на данните на съответните ползватели, както е предвидено в общите условия и извършвано от Meta Platforms Ireland, представлява злоупотреба с господстващото положение на това дружество на пазара на социални онлайн мрежи за частните ползватели в Германия по смисъла на член 19, параграф 1 от GWB. По-специално според федералния орган за защита на конкуренцията тези общи условия, като проявление на това господстващо положение, представляват злоупотреба, защото предвиденото в тях обработване на данни off Facebook не било в съответствие с ценностите, залегнали в основата на ОРЗД, и по-специално не можело да бъде оправдано с оглед на член 6, параграф 1 и член 9, параграф 2 от този регламент.
31 На 11 февруари 2019 г. Meta Platforms, Meta Platforms Ireland и Facebook Deutschland подават жалба срещу решението на федералния орган за защита на конкуренцията пред Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф, Германия).
32 На 31 юли 2019 г. Meta Platforms въвежда нови общи условия, в които изрично посочва, че ползвателят, вместо да плаща за използването на продуктите на Facebook, декларира, че е съгласен с показването на реклами.
33 Освен това от 28 януари 2020 г. Meta Platforms предлага навсякъде по света „Off-Facebook-Activity“, която позволява на ползвателите на социалната мрежа Facebook да получат резюме на отнасящата се до тях информация, която дружествата от група Meta получават във връзка с действията на тези лица на други уебсайтове и приложения, и ако желаят, да преустановят свързването на тези данни със своя Facebook.com акаунт както за миналото, така и за в бъдеще.
34 Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф) има съмнения, на първо място, относно възможността при упражняването на правомощията си националните органи за защита на конкуренцията да проверяват дали обработването на лични данни е в съответствие със залегналите в ОРЗД изисквания, на второ място, относно възможността оператор на социална онлайн мрежа да обработва чувствителни лични данни на субекта на данни по смисъла на член 9, параграфи 1 и 2 от този регламент, на трето място, относно законосъобразността на обработването от такъв оператор на личните данни на съответния ползвател съгласно член 6, параграф 1 от посочения регламент, и на четвърто място, относно валидността от гледна точка на член 6, параграф 1, първа алинея, буква а) и на член 9, параграф 2, буква а) от същия регламент на съгласието, дадено на предприятие с господстващо положение на националния пазар на социални онлайн мрежи, за целите на такова обработване.
35 При тези обстоятелства, тъй като счита, че решаването на спора в главното производство зависи от отговора на тези въпроси, Oberlandesgericht Düsseldorf (Висш областен съд Дюселдорф) решава да спре производството и да постави на Съда следните преюдициални въпроси:
„1) а) Съвместимо ли е с член 51 и сл. от ОРЗД национален орган за защита на конкуренцията на държава членка като федералния орган за защита на конкуренцията, който не е надзорен орган по смисъла на член 51 и сл. от ОРЗД и в държавата членка на който предприятие със седалище извън Европейския съюз има място на установяване, оказващо на своето основно място на установяване, което се намира в друга държава членка и носи изключителната отговорност за обработването на лични данни за цялата територия на Европейския съюз, съдействие в областта на рекламата, комуникацията и връзките с обществеността, да установи за целите на контрола върху злоупотребите в областта на конкурентното право, че договорните условия на основното място на установяване досежно обработването на данни и тяхното прилагане нарушават ОРЗД, и да разпореди това нарушение да бъде преустановено?
б) При утвърдителен отговор: съвместимо ли е това с член 4, параграф 3 ДЕС, когато в същото време водещият надзорен орган в държавата членка на основното място на установяване по смисъла на член 56, параграф 1 от ОРЗД провежда процедура по разследване на договорните му условия досежно обработването на данни?
Ако отговорът на първия въпрос е утвърдителен:
2) a) Когато интернет потребител или само посещава уебсайтове, съответно приложения, за които са приложими критериите по член 9, параграф 1 от ОРЗД, като приложения за флирт, уебсайтове за хомосексуални запознанства, на политически партии или със здравна насоченост, или въвежда в тях и информация, например при регистрация или поръчки, а […] предприятие, като [Meta Platforms Ireland], събира данни относно посетените от потребителя уебсайтове и приложения чрез интегрирани в тях интерфейси, като „Facebook Business Tools“ („Бизнес инструменти на Facebook“), или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, или чрез подобни технологии за записване, и относно въведената там от него информация, свързва тези данни с данните от акаунта на потребителя във Facebook.com и ги използва, представлява ли събирането и/или свързването, и/или използването обработване на чувствителни лични данни по смисъла на разпоредбата?
б) При утвърдителен отговор: посещението на тези уебсайтове и приложения и/или въвеждането на информация там, и/или натискането на интегрираните в тези уебсайтове, съответно приложения, бутони („социални плъгини“, като „Харесвам“, „Споделяне“, съответно „Facebook Login“ [„Вход във Facebook“], или „Account Kit“ [„Комплект акаунти“]) на доставчик като [Meta Platforms Ireland], представлява ли явно правене на обществено достояние на данните относно посещението като такова и/или относно въвеждането на информация от потребителя по смисъла на член 9, параграф 2, буква д) от ОРЗД?
3) Може ли предприятие като [Meta Platforms Ireland], което е оператор на финансирана от реклами социална мрежа и в своите условия за ползване предлага персонализиране на съдържанието и рекламата, сигурност на мрежата, подобряване на продуктите и хомогенно и безпроблемно използване на всички продукти — собственост на групата, да се позове на необходимостта от изпълнението на договора съгласно член 6, параграф 1, буква б) от ОРЗД или на зачитането на легитимните интереси съгласно член 6, параграф 1, буква е) от ОРЗД, за да обоснове събирането за тези цели на данни от други услуги — собственост на групата, и от уебсайтове и приложения на трети лица чрез интегрирани в тях интерфейси, като „Facebook Business Tools“, или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, или чрез подобни технологии за записване, свързването на тези данни с акаунта на потребителя във Facebook.com и използването им?
4) Възможно ли е в такъв случай легитимни интереси по смисъла на член 6, параграф 1, буква е) от ОРЗД да са и
– малолетието/непълнолетието на ползвателите за персонализирането на съдържание и реклама, подобряването на продуктите, сигурността на мрежата и нетърговската комуникация с ползвателя,
– предоставянето на измервания, анализи и други бизнес услуги на рекламодатели, разработчици и други партньори с цел те да могат да оценяват и подобряват своята дейност,
– предоставянето на търговска комуникация с ползвателя с цел предприятието да подобрява своите продукти и да осъществява директен маркетинг,
– проучвания и иновации за социални цели, за да се подпомогне техническият прогрес и научното разбиране на важни социални проблеми, и за да се окаже положително влияние върху обществото и света,
– споделянето на информация с органите, компетентни за осъществяване на наказателно преследване и изпълнение на наказанията и в отговор на законни искания с цел предотвратяване, разкриване и преследване на престъпления, на нарушения на условията и правилата за използване и на други вредоносни практики,
когато за тези цели предприятието събира данни от други услуги — собственост на групата, и от уебсайтове и приложения на трети лица чрез интегрирани в тях интерфейси, като „Facebook Business Tools“, или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, или чрез подобни технологии за записване, свързва тези данни с акаунта на ползвателя във Facebook.com и ги използва?
5) Възможно ли е в такъв случай събирането на данни от други услуги — собственост на групата, и от уебсайтове и приложения на трети лица чрез интегрирани в тях интерфейси, като „Facebook Business Tools“, или чрез бисквитки, записани в компютъра или мобилното устройство на интернет ползвателя, свързването на тези данни с акаунта на ползвателя във Facebook.com и използването им, или използването съответно на данни, които вече са събрани и свързани по друг законосъобразен начин, да е обосновано и съгласно член 6, параграф 1, букви в), г) и д) от ОРЗД, в отговор например на законни искания относно определени данни (буква в), за борба с вредоносни практики и насърчаване на сигурността (буква г), за проучвания в полза на обществото и за подпомагане на защитата, интегритета и сигурността (буква д)?
6) Възможно ли е валидно и свободно изразено съгласие, по-специално по смисъла на член 4, точка 11 от ОРЗД, да се даде на предприятие в господстващо положение на пазара, като [Meta Platforms Ireland], в съответствие с член 6, параграф 1, буква a) и член 9, параграф 2, буква a) от ОРЗД?
При отрицателен отговор на първия въпрос:
7) a) Може ли национален орган за защита на конкуренцията на държава членка, като федералния орган за защита на конкуренцията, който не е надзорен орган по смисъла на член 51 и сл. от ОРЗД и проверява предприятие в господстващо положение за нарушение на забраната за злоупотреби в областта на конкурентното право, което нарушение не се състои в това, че условията на това предприятие за обработване на данни и тяхното прилагане нарушават ОРЗД, да установява, например при претеглянето на интересите, дали условията на същото предприятие за обработването на данни и тяхното прилагане са съобразени с ОРЗД?
б) При утвърдителен отговор: важи ли това, предвид член 4, параграф 3 ДЕС, и когато в същото време компетентният съгласно член 56, параграф 1 от ОРЗД водещ надзорен орган провежда процедура по разследване на условията на това предприятие за обработването на данни?
При утвърдителен отговор на седмия въпрос е необходимо да се даде отговор на третия, четвъртия и петия въпрос, що се отнася до данните от използването на притежаваната от групата услуга Instagram“.
По преюдициалните въпроси
По първия и седмия въпрос
36 С първия и седмия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали член 51 и сл. от ОРЗД трябва да се тълкуват в смисъл, че когато проверява дали дадено предприятие е извършило злоупотреба с господстващо положение по смисъла на член 102 ДФЕС, органът за защита на конкуренцията на държава членка може да констатира, че общите условия за използване на това предприятие относно обработването на лични данни и прилагането на тези условия не са в съответствие с ОРЗД, и при утвърдителен отговор, дали член 4, параграф 3 ДЕС трябва да се тълкува в смисъл, че органът за защита на конкуренцията може да направи такава инцидентна констатация и когато тези условия същевременно подлежат на процедура по разглеждане от компетентния водещ надзорен орган съгласно член 56, параграф 1 от ОРЗД.
37 За да се отговори на този въпрос, най-напред следва да се припомни, че член 55, параграф 1 от ОРЗД установява принципната компетентност на всеки надзорен орган да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с този регламент, на територията на своята държава членка (решение от 15 юни 2021 г., Facebook Ireland и др., C‑645/19, EU:C:2021:483, т. 47 и цитираната съдебна практика).
38 Сред задачите, възложени на тези надзорни органи, е да наблюдават и осигуряват прилагането на ОРЗД, както е предвидено в член 51, параграф 1 и член 57, параграф 1, буква а) от този регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни и да се улесни свободното движение на тези данни в рамките на Съюза. Освен това, съгласно член 51, параграф 2 и член 57, параграф 1, буква ж) от този регламент посочените надзорни органи си сътрудничат помежду си, включително чрез обмен на информация и взаимопомощ, с оглед на осигуряване на съгласувано прилагане и изпълнение на същия регламент.
39 За изпълнението на тези задачи член 58, параграф 1 от ОРЗД предоставя на надзорните органи правомощия за разследване, параграф 2 — корективни правомощия, а параграф 5 — правомощието да довеждат нарушенията на този регламент до знанието на съдебните органи и по целесъобразност да инициират съдебни производства с цел осигуряване на изпълнението на този регламент.
40 Без да се засяга правилото за компетентност по член 55, параграф 1 от ОРЗД, за трансграничното обработване по смисъла на член 4, точка 23 от ОРЗД член 56, параграф 1 от този регламент предвижда механизъм за „обслужване на едно гише“, който се основава на разпределение на правомощията между „водещ надзорен орган“ и другите засегнати надзорни органи, както и на сътрудничество между всички тези органи в съответствие с процедурата за сътрудничество, предвидена в член 60 от посочения регламент.
41 Освен това член 61, параграф 1 от ОРЗД задължава надзорните органи по-специално да си предоставят взаимно значима информация, както и помощ, за да изпълняват и прилагат този регламент по съгласуван начин в целия Съюз. В член 63 от споменатия регламент е уточнено, че механизмът за съгласуваност, установен в членове 64 и 65, е предвиден именно с тази цел (решение от 15 юни 2021 г., Facebook Ireland и др., C‑645/19, EU:C:2021:483, т. 52 и цитираната съдебна практика).
42 Важно е обаче да се отбележи, че залегналите в ОРЗД правила за сътрудничество не са адресирани до националните органи за защита на конкуренцията, а уреждат сътрудничеството между съответните национални надзорни органи и водещия надзорен орган, както и евентуално сътрудничеството на тези органи с Европейския комитет по защита на данните и Комисията.
43 Всъщност нито ОРЗД, нито друг акт от правото на Съюза предвижда особени правила относно сътрудничеството между даден национален орган за защита на конкуренцията и съответните национални надзорни органи или водещия надзорен орган. Освен това няма разпоредба от цитирания регламент, която да забранява на националните органи за защита на конкуренцията при изпълнението на функциите си да констатират несъответствието с този регламент на обработване на данни, което е извършено от предприятие с господстващо положение и може да представлява злоупотреба с това положение.
44 В тази насока следва да се уточни, на първо място, че надзорните органи, от една страна, и националните органи за защита на конкуренцията, от друга, имат различни функции и преследват свои собствени цели и задачи.
45 Всъщност, от една страна, както бе посочено в точка 38 от настоящото решение, по силата на член 51, параграфи 1 и 2 и на член 57, параграф 1, букви а) и ж) от ОРЗД основната задача на надзорния орган е да наблюдава и осигурява прилагането на този регламент, като същевременно допринася за неговото съгласувано прилагане в Съюза, за да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни и да се улесни свободното движение на тези данни в рамките на Съюза. Както бе припомнено в точка 39 от настоящото решение, за целта надзорният орган разполага с различните правомощия, предоставени му съгласно член 58 от ОРЗД.
46 От друга страна, съгласно член 5 от Регламент № 1/2003 националните органи за защита на конкуренцията имат правомощието да приемат по-специално решения за установяване на злоупотреба с господстващо положение от страна на предприятие по смисъла на член 102 ДФЕС, целта на който е да се създаде система, която да гарантира ненарушаването на конкуренцията в рамките на вътрешния пазар, с оглед и на последиците от такава злоупотреба за потребителите на този пазар.
47 Както по същество отбелязва генералният адвокат в точка 23 от заключението си, при приемането на такова решение органът за защита на конкуренцията трябва, въз основа на всички конкретни обстоятелства по делото, да прецени дали поведението на предприятието с господстващо положение води, чрез методи, различни от тези, които ръководят нормалната конкуренция между стоките или услугите, до създаването на пречка за запазването на съществуващото равнище на конкуренция на пазара или за развитието на тази конкуренция (вж. в този смисъл решение от 25 март 2021 г., Deutsche Telekom/Комисия, C‑152/19 P, EU:C:2021:238, т. 41 и 42). В тази насока съответствието или несъответствието на такова поведение с разпоредбите на ОРЗД може евентуално да представлява важна индиция сред релевантните за делото обстоятелства, за да се установи дали това поведение се изразява в използване на методи, които ръководят нормалната конкуренция, както и за да се оценят последиците от определена практика на пазара или за потребителите.
48 Ето защо при разглеждането на злоупотреба с господстващо положение, извършена от предприятие на определен пазар, може да се окаже необходимо органът за защита на конкуренцията на съответната държава членка да провери и дали поведението на това предприятие е в съответствие с правила, различни от правилата в областта на правото на конкуренция, като предвидените от ОРЗД правила относно защитата на личните данни.
49 Всъщност с оглед на различните цели, които се преследват с установените в областта на конкуренцията правила, в частност член 102 ДФЕС, от една страна, и предвидените в областта на защитата на личните данни съгласно ОРЗД, от друга, се налага изводът, че когато при констатирането на злоупотреба с господстващо положение установи наличие на нарушение на същия регламент, националният орган за защита на конкуренцията не замества надзорните органи. По-специално този национален орган за защита на конкуренцията нито наблюдава, нито осигурява прилагането на същия регламент за упоменатите в член 51, параграф 1 от Регламента цели, а именно да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза. Освен това, като просто отбелязва несъответствието на обработване на данни с ОРЗД единствено за да установи злоупотреба с господстващо положение и като налага мерки за преустановяването на тази злоупотреба на правно основание, което следва от правото в областта на конкуренцията, този орган не изпълнява нито една от задачите по член 57 от цитирания регламент, нито пък упражнява правомощията, запазени за надзорния орган съгласно член 58 от Регламента.
50 Освен това е важно да се отбележи, че достъпът до личните данни, както и тяхното използване, имат голямо значение в рамките на цифровата икономика. В спора по главното производство това значение се илюстрира от икономическия модел, който се използва от социалната мрежа Facebook и който — както бе припомнено в точка 27 от настоящото решение — предвижда финансирането чрез показване с търговска цел на рекламни съобщения, персонализирани съобразно потребителските профили, които са създадени въз основа на събрани от Meta Platforms Ireland лични данни.
51 Както подчертава в частност Комисията, достъпът до личните данни и възможността за обработване на тези данни са се превърнали във важен параметър за конкуренцията между предприятията от цифровата икономика. Ето защо изключването на правилата относно защитата на личните данни от правната уредба, която органите за защита на конкуренцията следва да вземат предвид при разглеждането на злоупотреба с господстващо положение, би било в разрез с действителността на това икономическо развитие и би могло да накърни ефективността на правото на конкуренция в рамките на Съюза.
52 На второ място, важно е обаче да се отбележи — в случай че в рамките на решение относно злоупотреба с господстващо положение национален орган за защита на конкуренцията счете за необходимо да се произнесе по съответствието или несъответствието с ОРЗД на извършено от въпросното предприятие обработване на лични данни — че този орган и съответният надзорен орган или евентуално компетентният водещ надзорен орган по смисъла на този регламент трябва да си сътрудничат помежду си, за да се осигури съгласуваното прилагане на този регламент.
53 Както бе изтъкнато в точки 42 и 43 от настоящото решение, всъщност, въпреки че нито ОРЗД, нито друг акт от правото на Съюза предвижда особени правила в тази насока, това не променя факта — както по същество отбелязва генералният адвокат в точка 28 от заключението си — че когато прилагат ОРЗД, различните участващи национални органи са обвързани от принципа на лоялно сътрудничество, закрепен в член 4, параграф 3 ДЕС. Видно от постоянната съдебна практика, съгласно този принцип в областите на правото на Съюза държавите членки, включително техните административни органи, си дължат взаимно зачитане и взаимопомощ при изпълнението на задачите, произтичащи от Договорите, трябва да вземат всички мерки, годни да гарантират изпълнението на задълженията, произтичащи по-специално от актовете на институциите на Съюза, както и да се въздържат от всякакви мерки, които биха могли да застрашат постигането на целите на Съюза (вж. в този смисъл решения от 7 ноември 2013 г., UPC Nederland, C‑518/11, EU:C:2013:709, т. 59, и от 1 август 2022 г., Sea Watch, C‑14/21 и C‑15/21, EU:C:2022:604, т. 156).
54 Така предвид този принцип, когато при упражняване на правомощията си трябва да проверят дали дадено поведение на предприятие е в съответствие с разпоредбите на ОРЗД, националните органи за защита на конкуренцията трябва да се съгласуват и да си сътрудничат лоялно със съответните национални надзорни органи или с водещия надзорен орган, като в посочения случай всички тези органи са длъжни да се съобразят със съответните си правомощия и компетентности, за да се спазят задълженията, произтичащи от ОРЗД, и целите на този регламент, както и за да се запази полезният им ефект.
55 Всъщност, когато орган за защита на конкуренцията разглежда поведението на предприятие през призмата на правилата на ОРЗД, това може да породи риск този орган и надзорните органи да имат различия относно тълкуването на този регламент.
56 Ето защо, когато при проверката дали предприятие е извършило злоупотреба с господстващо положение по смисъла на член 102 ДФЕС националният орган за защита на конкуренцията счита, че е необходимо да провери дали поведението на това предприятие е в съответствие с разпоредбите на ОРЗД, той трябва да провери дали това поведение или сходно поведение вече е било предмет на решение на компетентния национален надзорен орган или на водещия надзорен орган или пък на Съда. Ако е така, националният орган за защита на конкуренцията не може да дерогира това решение, но същевременно има свободата да направи собствените си изводи от гледна точка на прилагането на правото на конкуренция.
57 Когато има съмнения за обхвата на преценката, извършена от компетентния национален надзорен орган или от водещия надзорен орган, когато съответното или сходно поведение същевременно е предмет на разглеждане от тези органи или пък когато при липсата на разследване на посочените органи счита, че поведението на дадено предприятие не е в съответствие с разпоредбите на ОРЗД, националният орган за защита на конкуренцията трябва да се консултира с тези органи и да потърси сътрудничество с тях, за да разсее съмненията си или да изясни дали следва да изчака приемането на решение от съответния надзорен орган, преди сам да пристъпи към преценка.
58 Когато е запитан от национален орган за защита на конкуренцията, надзорният орган трябва от своя страна да отговори в разумен срок на това искане за информация или за сътрудничество, като му предостави сведенията, с които разполага и които могат да разсеят съмненията на този орган за обхвата на извършената от надзорния орган преценка, или евентуално като уведоми националния орган за защита на конкуренцията дали планира да задейства процедурата за сътрудничество с другите засегнати надзорни органи или с водещия надзорен орган съгласно член 60 и сл. от ОРЗД, за да стигне до решение, с което се установява дали въпросното поведение е в съответствие или не с този регламент.
59 Ако запитаният надзорен орган не отговори в разумен срок, националният орган за защита на конкуренцията може да продължи своето разследване. Същото важи и когато компетентният национален надзорен орган и водещият надзорен орган не възразят срещу продължаването на такова разследване, без да се изчаква приемането от тях на решение.
60 В случая от преписката на разположение на Съда е видно, че през октомври и ноември 2018 г., т.е. преди да бъде прието решението от 6 февруари 2019 г., федералният орган за защита на конкуренцията се е свързал с Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (федерален комисар за защита на данните и свободата на информация, Германия), с Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (комисар за защита на данните и свободата на информация в Хамбург, Германия), компетентен по отношение на Facebook Deutschland, и с Data Protection Commission (DPC) (Комисия за защита на данните, Ирландия), за да уведоми тези органи за своите действия. Също така става ясно, че федералният орган за защита на конкуренцията е получил потвърждение, че към тогавашния момент тези органи не са провеждали никакво разследване досежно деяния, сходни на разглежданите в главното производство, и че не са повдигнали никакво възражение срещу действията на федералния орган за защита на конкуренцията. Накрая, в точки 555 и 556 от решението си от 6 февруари 2019 г. федералният орган за защита на конкуренцията изрично посочва това сътрудничество.
61 При тези условия и без да се засягат проверките, които следва да бъдат извършени от запитващата юрисдикция, Bundeskartellamt, изглежда, е изпълнил задълженията си за лоялно сътрудничество със съответните национални надзорни органи, както и с водещия надзорен орган.
62 С оглед на изложеното дотук на първия и седмия въпрос следва да се отговори, че член 51 и сл. от ОРЗД и член 4, параграф 3 ДЕС трябва да се тълкуват в смисъл, че когато проверява дали дадено предприятие е извършило злоупотреба с господстващо положение по смисъла на член 102 ДФЕС, органът за защита на конкуренцията на държава членка може — при спазване на задължението си за лоялно сътрудничество с надзорните органи — да констатира, че общите условия за използване на това предприятие относно обработването на лични данни и прилагането на тези условия не са в съответствие с този регламент, щом тази констатация е необходима, за да се установи наличието на такава злоупотреба.
63 С оглед на това задължение за лоялно сътрудничество националният орган за защита на конкуренцията не може да дерогира решение на компетентния национален надзорен орган или на компетентния водещ надзорен орган относно тези или сходни общи условия. Когато има съмнения за обхвата на такова решение, когато посочените или сходни условия същевременно са предмет на разглеждане от тези органи или пък, когато при липсата на разследване или на решение на посочените органи счита, че съответните условия не са в съответствие с разпоредбите на ОРЗД, органът за защита на конкуренцията трябва да се консултира с тези надзорни органи и да потърси сътрудничество с тях, за да разсее съмненията си или да изясни дали следва да изчака приемането на решение от надзорните органи, преди сам да пристъпи към преценка. Ако те не възразят или не дадат отговор в разумен срок, националният орган за защита на конкуренцията може да продължи своето разследване.
По втория въпрос
64 С втория си въпрос, буква а) запитващата юрисдикция по същество иска да се установи дали член 9, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че в случай че ползвател на социална онлайн мрежа посещава уебсайтове или приложения във връзка с една или повече от упоменатите в тази разпоредба категории и евентуално въвежда данни в тях, когато се регистрира или прави онлайн поръчки, обработването на лични данни от оператора на тази социална онлайн мрежа, което се състои в събирането — чрез интегрирани интерфейси, бисквитки или подобни технологии за записване — на данните, резултат от посещаването на тези сайтове и приложения, както и на въведените от ползвателя данни, в свързването на всички тези данни с акаунта в социалната мрежа на този ползвател и в използването на посочените данни от този оператор, следва да се счита за „обработване на специални категории лични данни“ по смисъла на посочената разпоредба, което по принцип е забранено, освен при предвидените в член 9, параграф 2 изключения.
65 При утвърдителен отговор, с втория си въпрос, буква б) запитващата юрисдикция по същество иска да се установи дали член 9, параграф 2, буква д) от ОРЗД трябва да се тълкува в смисъл, че когато ползвател на социална онлайн мрежа посещава уебсайтове или приложения, които имат връзка с упоменатите в член 9, параграф 1 от ОРЗД категории, въвежда данни в тези уебсайтове или приложения или натиска вградени в тях бутони, като бутоните „Харесвам“ или „Споделяне“, или бутоните, които позволяват на ползвателя да се идентифицира на тези сайтове или приложения, като използва идентификационните данни за връзка, свързани с потребителския му акаунт в социалната онлайн мрежа, телефонния му номер или имейла му, се счита, че той явно е направил обществено достояние по смисъла на първата от тези разпоредби данните, събрани по този повод от оператора на тази социална онлайн мрежа чрез бисквитки или подобни технологии за записване.
По втория въпрос, буква а)
66 Съгласно съображение 51 от ОРЗД на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за тези права и свободи. В цитираното съображение се уточнява, че такива лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в посочения регламент.
67 В този контекст член 9, параграф 1 от ОРЗД установява принципа на забрана за обработване на посочените там специални категории лични данни. Става дума по-специално за данни, разкриващи расов или етнически произход, политически възгледи, религиозни убеждения, както и данни за здравословното състояние, сексуалния живот или сексуалната ориентация на дадено физическо лице.
68 За целите на прилагането на член 9, параграф 1 от ОРЗД, в случай на обработване на лични данни, извършено от оператор на социална онлайн мрежа, е необходимо да се провери дали тези данни правят възможно разкриването на информация, която попада в някоя от упоменатите в тази разпоредба категории, независимо дали тази информация се отнася до ползвател на тази мрежа или до друго физическо лице. Ако е така, подобно обработване на лични данни е забранено, при спазване на изключенията, предвидени в член 9, параграф 2 от ОРЗД.
69 Както по същество отбелязва генералният адвокат в точки 40 и 41 от заключението си, тази принципна забрана, предвидена в член 9, параграф 1 от ОРЗД, не зависи от това дали разкритата от разглежданото обработване информация е вярна или не и дали администраторът действа с цел да получи информация, попадаща в някоя от визираните в тази разпоредба специални категории.
70 Всъщност предвид значителните рискове за основните права и основните свободи на субектите на данни, породени от всяко обработване на лични данни, които попадат в категориите, посочени в член 9, параграф 1 от ОРЗД, предметът на последната разпоредба е да се забрани това обработване, независимо от обявената цел на обработването.
71 В случая разглежданото по главното производство обработване, извършвано от Meta Platforms Ireland, се състои, първо, в събирането на лични данни на ползвателите на социалната мрежа Facebook, когато те посещават уебсайтове или приложения — включително такива, които могат да разкрият информация, попадаща в една или повече от упоменатите в член 9, параграф 1 от ОРЗД категории — и евентуално въвеждат в тях информация, когато се регистрират или правят онлайн поръчки, второ, в свързването на тези данни с акаунта в социалната мрежа на тези ползватели, и трето, в използването на посочените данни.
72 В тази насока запитващата юрисдикция ще трябва да прецени дали така събраните данни сами по себе си или чрез свързването им с акаунтите на съответните ползватели във Facebook реално позволяват разкриването на такава информация, независимо дали тази информация се отнася до ползвател на тази мрежа или до друго физическо лице. Предвид въпросите на тази юрисдикция обаче следва да се уточни — без да се засягат проверките, които тя трябва да направи — че обработването на данните от посещаването на въпросните уебсайтове или приложения явно може в някои случаи да разкрие такава информация, без да е необходимо посочените потребители да въвеждат там информация, когато се регистрират или правят онлайн поръчки.
73 С оглед на изложеното дотук на втория въпрос, буква а) следва да се отговори, че член 9, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че в случай че ползвател на социална онлайн мрежа посещава уебсайтове или приложения, свързани с една или повече от посочените в тази разпоредба категории, и евентуално въвежда данни в тях, когато се регистрира или прави онлайн поръчки, обработването на лични данни от оператора на тази социална онлайн мрежа, което се състои в събирането — чрез интегрирани интерфейси, бисквитки или подобни технологии за записване — на данни, резултат от посещаването на тези сайтове и приложения, както и на въведените от ползвателя данни, в свързването на всички тези данни с акаунта в социалната мрежа на този ползвател и в използването на посочените данни от този оператор, следва да се счита за „обработване на специални категории лични данни“ по смисъла на посочената разпоредба, което по принцип е забранено, освен в случаите на предвидените в член 9, параграф 2 изключения, когато това обработване на данни позволява да се разкрие информация, попадаща в някоя от споменатите категории, независимо дали тази информация се отнася до ползвател на тази мрежа или до друго физическо лице.
По втория въпрос, буква б)
74 По отношение на втория въпрос, буква б), който е преформулиран в точка 65 от настоящото решение и се отнася до предвиденото в член 9, параграф 2, буква д) от ОРЗД изключение, следва да се припомни, че съгласно тази разпоредба въведената с член 9, параграф 1 принципна забрана за каквото и да било обработване на специални категории лични данни не се прилага, когато обработването е свързано с лични данни, които „явно са направени обществено достояние от субекта на данните“.
75 Като начало следва да се отбележи, от една страна, че това изключение се прилага само за данните, които явно са направени обществено достояние „от субекта на данните“. Ето защо то не се прилага за данните относно лица, различни от лицето, което е направило тези данни обществено достояние.
76 От друга страна, доколкото предвижда изключение от принципа на забрана на обработването на специални категории лични данни, член 9, параграф 2 от ОРЗД подлежи на стриктно тълкуване (вж. в този смисъл решения от 17 септември 2014 г., Baltic Agro, C‑3/13, EU:C:2014:2227, т. 24 и цитираната съдебна практика, както и от 6 юни 2019 г., Weil, C‑361/18, EU:C:2019:473, т. 43 и цитираната съдебна практика).
77 Оттук следва, че за целите на прилагането на изключението, предвидено в член 9, параграф 2, буква д) от ОРЗД, е нужно да се провери дали субектът на данни е възнамерявал изрично и чрез ясно потвърждаващо действие да направи въпросните лични данни достояние за широката общественост.
78 В тази насока по отношение, от една страна, на посещаването на уебсайтовете или приложенията, свързани с една или повече от категориите, упоменати в член 9, параграф 1 от ОРЗД, се налага изводът, че с това посещаване съответният ползвател изобщо не възнамерява да направи обществено достояние факта, че е посещавал тези сайтове или приложения, и свързаните с това посещаване данни, които могат да бъдат свързани с неговата личност. Всъщност същият може най-много да очаква, че операторът на сайта или приложението има достъп до тези данни и че ги споделя — когато е приложимо и при условие че този ползвател е дал изричното си съгласие — с определени трети лица, а не с широката общественост.
79 Ето защо от самото посещаване на такива уебсайтове или приложения от даден ползвател няма как да се заключи, че посочените лични данни явно са били направени обществено достояние от този ползвател по смисъла на член 9, параграф 2, буква д) от ОРЗД.
80 От друга страна, досежно дейностите, състоящи се във въвеждането на данни на споменатите уебсайтове или приложения, и в натискането на вградени в тях бутони, като бутоните „Харесвам“ или „Споделяне“, или бутоните, които позволяват на ползвателя да се идентифицира на даден уебсайт или приложение, като използва идентификационните данни за връзка, свързани с потребителския му акаунт във Facebook, телефонния му номер или имейла му, следва да се отбележи, че при тези дейности се осъществява взаимодействие между този ползвател и въпросния уебсайт или приложение и евентуално уебсайта на социалната онлайн мрежа — взаимодействие, при което формите на реклама е възможно да варират, защото могат да бъдат индивидуално настроени от посочения ползвател.
81 При тези условия запитващата юрисдикция следва да провери дали съответните ползватели имат възможността, чрез информирано извършване на настройки, да направят въведените във въпросните уебсайтове или приложения данни и данните — резултат от натискането на вградените в тези уебсайтове или приложения бутони — достъпни за широката общественост, или напротив, за повече или по-малко ограничен кръг подбрани лица.
82 Когато съответните ползватели реално имат подобен избор, в случай че те доброволно въвеждат данни в уебсайт или приложение или натискат вградените там бутони, може да се счита, че тези лица явно правят свързаните с тях данни обществено достояние по смисъла на член 9, параграф 2, буква д) от ОРЗД единствено ако чрез напълно информирано извършване на индивидуални настройки ясно са изразили решението си достъп до тези данни да бъде предоставен на неограничен брой лица — което запитващата юрисдикция следва да провери.
83 Ако пък не е възможно такова индивидуално извършване на настройки, с оглед на изложеното в точка 77 от настоящото решение следва да се приеме, че когато ползватели доброволно въвеждат данни в уебсайт или приложение или натискат вградените там бутони, за да се счита, че същите лица явно са направили обществено достояние тези данни, е необходимо те да са се съгласили изрично — въз основа на изрична предоставена от уебсайта или от приложението информация преди такова въвеждане на данни или натискане на бутони — че споменатите данни могат да бъдат видени от всяко лице, което има достъп до посочения сайт или приложение.
84 С оглед на изложеното дотук на втория въпрос, буква б) следва да се отговори, че член 9, параграф 2, буква д) от ОРЗД трябва да се тълкува в смисъл, че когато ползвател на социална онлайн мрежа посещава уебсайтове или приложения, свързани с една или повече от упоменатите в член 9, параграф 1 от ОРЗД категории, той не прави явно обществено достояние по смисъла на първата от тези разпоредби данните за това посещаване, събрани от оператора на тази социална онлайн мрежа чрез бисквитки или подобни технологии за записване.
85 Когато въвежда данни в такива уебсайтове или приложения или натиска вградени в тези сайтове или приложения бутони, като бутоните „Харесвам“ или „Споделяне“, или бутоните, които позволяват на ползвателя да се идентифицира на тези сайтове или приложения, като използва идентификаторите за връзка, свързани с потребителския му акаунт в социалната мрежа, телефонния му номер или имейла му, такъв ползвател явно прави обществено достояние по смисъла на член 9, параграф 2, буква д) така въведените данни или данните, резултат от натискането на тези бутони, само в случай че изрично е изразил предварително решението си, евентуално след напълно информирано извършване на индивидуални настройки, да направи свързаните с него данни публично достъпни за неограничен брой лица.
По третия, четвъртия и петия въпрос
86 С третия и четвъртия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали и при какви условия член 6, параграф 1, първа алинея, букви б) и е) от ОРЗД трябва да се тълкува в смисъл, че обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, може да се счита за необходимо за изпълнението на договор, по който субектите на данни са страни, по смисъла на буква б), или за целите на легитимните интереси на администратора или на трета страна, по смисъла на буква е). Тази юрисдикция по-специално иска да се установи дали за целта някои интереси, които цитира изрично, представляват „легитимен интерес“ по смисъла на последната разпоредба.
87 С петия си въпрос запитващата юрисдикция по същество иска да се установи дали член 6, параграф 1, първа алинея, букви в)—д) от ОРЗД трябва да се тълкува в смисъл, че такова обработване на лични данни може да се счита за необходимо за спазването на законово задължение, което се прилага спрямо администратора, по смисъла на буква в), за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, по смисъла на буква г), или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, по смисъла на буква д), когато това обработване се извършва съответно за отговор на законно искане за предоставяне на определени данни, за борба с вредоносни практики и насърчаване на сигурността, и за проучвания в полза на обществото и за подпомагане на защитата, интегритета и сигурността.
Предварителни бележки
88 Като начало следва да се отбележи, първо, че третият, четвъртият и петият въпрос са отправени, поради факта че съгласно констатациите на федералния орган за защита на конкуренцията в решението му от 6 февруари 2019 г. няма как да се приеме, че ползвателите на социалната мрежа Facebook са дали съгласие за разглежданото в главното производство обработване на данните им по смисъла на член 6, параграф 1, първа алинея, буква а) и член 9, параграф 2, буква а) от ОРЗД. Ето защо именно в този контекст, макар шестият ѝ въпрос до Съда да е свързан с тази постановка, запитващата юрисдикция счита, че трябва да провери дали това обработване отговаря на някое от другите условия за законосъобразност по член 6, параграф 1, букви б)—е) от цитирания регламент.
89 Във връзка с това следва да се отбележи, че посочените в третия, четвъртия и петия въпрос операции по събиране, свързване и използване на данните могат да включват както чувствителни данни по смисъла на член 9, параграф 1 от ОРЗД, така и нечувствителни данни. Уместно е обаче да се уточни, че когато съвкупност от данни, която включва едновременно чувствителни и нечувствителни данни, е предмет на такива операции, и по-специално се събира като цяло, без данните да могат да бъдат отделени едни от други към момента на това събиране, обработването на тази съвкупност от данни трябва да се счита за забранено по смисъла на член 9, параграф 1 от ОРЗД, щом съдържа поне една чувствителна данна и не е приложимо нито едно от изключенията, упоменати в член 9, параграф 2 от Регламента.
90 Второ, за да се отговори на третия, четвъртия и петия въпрос, следва да се припомни, че член 6, параграф 1, първа алинея от ОРЗД съдържа изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законосъобразно. Ето защо, за да се счита за законосъобразно, обработването трябва да попада в някой от случаите, предвидени в тази разпоредба (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 99 и цитираната съдебна практика).
91 Съгласно член 6, параграф 1, първа алинея, буква а) от този регламент обработването на лични данни е законосъобразно, ако и доколкото субектът на данните е дал съгласие за това за една или повече конкретни цели.
92 Когато липсва такова съгласие или когато съгласието не е свободно изразено, конкретно, информирано и недвусмислено по смисъла на член 4, точка 11 от ОРЗД, подобно обработване все пак е обосновано, ако отговаря на някое от изискванията за необходимост, упоменати в член 6, параграф 1, първа алинея, букви б)—е) от този регламент.
93 Във връзка с това, доколкото могат да доведат до законосъобразност на обработването на лични данни, извършено без съгласието на субекта на данни, предвидените в последната разпоредба основания трябва да са предмет на стриктно тълкуване (вж. в този смисъл решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработване на лични данни за данъчни цели, C‑175/20, EU:C:2022:124, т. 73 и цитираната съдебна практика).
94 По-нататък, както е постановил Съдът, когато е възможно да се констатира, че дадено обработване на лични данни е необходимо от гледна точка на едно от основанията, предвидени в член 6, параграф 1, първа алинея, букви б)—е) от ОРЗД, не се налага да се проверява дали това обработване попада в обхвата и на друго от тези основания (вж. в този смисъл решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 71).
95 Уместно е накрая да се уточни, че съгласно член 5 от ОРЗД администраторът носи тежестта да докаже, че тези данни се събират по-специално за конкретни, изрично указани и легитимни цели и се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните. Освен това, съгласно член 13, параграф 1, буква в) от този регламент, когато лични данни се събират от субекта на данните, администраторът трябва да го информира за целите на обработването, за което личните данни са предназначени, както и за правното основание за обработването.
96 Действително запитващата юрисдикция е тази, която трябва да прецени дали различните елементи на обработването по главното производство са обосновани от някое от изискванията, упоменати в член 6, параграф 1, първа алинея, букви б)—е) от ОРЗД, но Съдът може да ѝ даде полезни насоки за решаването на спора, поставен за разглеждане пред нея.
По третия и четвъртия въпрос
97 Що се отнася, на първо място, до член 6, параграф 1, първа алинея, буква б) от ОРЗД, той предвижда, че обработването на лични данни е законосъобразно, ако е „необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор“.
98 В тази насока, за да се счита за необходимо за изпълнението на договор по смисъла на тази разпоредба, обработването на лични данни трябва да е обективно необходимо за постигането на цел, която е неразделна част от предназначената за субекта на данни договорна престация. Ето защо администраторът трябва да може да докаже доколко основната цел на договора не би могла да бъде постигната без разглежданото обработване.
99 В този аспект фактът, че такова обработване е споменато в договора или че е от полза единствено за изпълнението му, сам по себе си е ирелевантен. Всъщност определящо за прилагането на основанието по член 6, параграф 1, първа алинея, буква б) от ОРЗД е, че обработването на лични данни от администратора е основополагащо за точното изпълнение на договора, сключен между него и субекта на данни, и че следователно не съществуват възможни алтернативни варианти, при които намесата е по-слаба.
100 Както отбелязва генералният адвокат в точка 54 от заключението си, в тази насока, когато предмет на договора са няколко услуги или няколко отделни елемента от една и съща услуга, които могат да бъдат изпълнени независимо едни от други, приложимостта на член 6, параграф 1, първа алинея, буква б) от ОРЗД трябва да се преценява за всяка от тези услуги поотделно.
101 В случая във връзка с основанията, които могат да попаднат в приложното поле на тази разпоредба, запитващата юрисдикция посочва като елементи, с които трябва да се гарантира надлежното изпълнение на сключения между Meta Platforms Ireland и неговите ползватели договор, персонализирането на съдържанието и хомогенното и безпроблемно използване на услугите на групата Meta.
102 Първо, досежно основанието, с което се твърди персонализиране на съдържанието, е важно да се отбележи, че такова персонализиране действително е полезно за ползвателя, защото му позволява по-специално да види съдържание, което до голяма степен съответства на интересите му, но това не променя факта, че персонализирането на съдържанието не се оказва — което запитващата юрисдикция следва да провери — необходимо за предлагането на този ползвател на услугите на социалната онлайн мрежа. Тези услуги евентуално могат да му бъдат предоставени под формата на равностойна алтернатива, която не включва такова персонализиране, така че последното не е обективно необходимо за постигането на цел, която е неразделна част от същите услуги.
103 Второ, що се отнася до основанието, с което се твърди хомогенно и безпроблемно използване на услугите на групата Meta, от преписката на разположение на Съда е видно, че за създаването на потребителски профил в социалната мрежа Meta не съществува задължение за регистрация за различните услуги, предлагани от групата Meta. Всъщност различните предлагани от тази група продукти и услуги могат да се използват независимо едни от други и използването на всеки продукт или услуга се базира на сключването на отделен договор за използване.
104 Следователно обработването на лични данни с източник услуги, които са различни от услугата на социалната онлайн мрежа и се предлагат от групата Meta, не изглежда необходимо, за да бъде възможно предоставянето на последната услуга — което следва да бъде проверено от запитващата юрисдикция.
105 На второ място, колкото до член 6, параграф 1, буква е) от ОРЗД, той предвижда, че обработването е законосъобразно, ако е „необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете“.
106 Както Съдът вече е постановил, тази разпоредба предвижда три кумулативни условия, за да бъде обработването на лични данни законосъобразно, а именно, първо, администраторът или третата страна да преследва законни интереси, второ, обработването на личните данни да е необходимо за целите на преследваните законни интереси, и трето, интересите, основните свободи или права на лицето, ползващо се от защитата на данните, да нямат преимущество пред законния интерес на администратора или на трета страна (решение от 17 юни 2021 г., M.I.C.M., C‑597/19, EU:C:2021:492, т. 106 и цитираната съдебна практика).
107 На първо място, досежно условието за преследване на законен интерес следва да се уточни, че съгласно член 13, параграф 1, буква г) от ОРЗД, щом лични данни, свързани с даден субект на данни, се събират от субекта на данните, администраторът трябва да му посочи преследваните законни интереси, когато това обработване се основава на член 6, параграф 1, първа алинея, буква е) от този регламент.
108 На второ място, що се отнася до условието обработването на лични данни да е необходимо за целите на преследваните законни интереси, то изисква запитващата юрисдикция да провери дали законният интерес от обработването на данните не може логично да се постигне също толкова ефикасно с други средства, които засягат в по-малка степен основните права и свободи на субектите на данни, и по-специално правата на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата (вж. в този смисъл решение от 22 юни 2021 г., Latvijas Republikas Saeima (Точки за пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 110 и цитираната съдебна практика).
109 Във връзка с това следва да се припомни също, че условието обработването да е необходимо трябва да се разглежда заедно с т.нар. принцип за „свеждане на данните до минимум“, прогласен в член 5, параграф 1, буква в) от ОРЗД, съгласно който личните данни трябва да бъдат „подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват“ (вж. в този смисъл решение от 11 декември 2019 г., Asociația de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, т. 48).
110 На трето място, що се отнася до условието интересите или основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество пред законния интерес на администратора или на трета страна, Съдът вече е постановил, че това условие предполага претегляне на съответните противоположни права и интереси, което по принцип зависи от конкретните обстоятелства в отделния случай, и че следователно запитващата юрисдикция следва да направи такова претегляне, като отчете тези специфични обстоятелства (решение от 17 юни 2021 г., M.I.C.M., C‑597/19, EU:C:2021:492, т. 111 и цитираната съдебна практика).
111 В тази насока от самия текст на член 6, параграф 1, първа алинея, буква е) от ОРЗД е видно, че при такова претегляне е необходимо да се обърне особено внимание на случая, когато субектът на данни е дете. Всъщност съгласно съображение 38 от този регламент на децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Ето защо тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили, или пък за предлагането на услуги, пряко насочени към деца.
112 Освен това, както следва от съображение 47 от ОРЗД, интересите и основните права на субекта на данни могат по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват такова обработване.
113 В настоящия случай във връзка с основанията, които могат да попаднат в приложното поле на член 6, параграф 1, първа алинея, буква е) от ОРЗД, запитващата юрисдикция изтъква персонализирането на рекламата, сигурността на мрежата, подобряването на продукта, информирането на органите, компетентни за осъществяване на наказателно преследване и изпълнение на наказанията, малолетието или непълнолетието на ползвателя, проучванията и иновациите за социални цели, както и предлагането на рекламодателите и други професионални партньори на услуги за търговска комуникация с ползвателя и на инструменти за анализ, които им позволяват да оценят своята дейност.
114 В тази насока най-напред следва да се отбележи, че в преюдициалното запитване не е изяснено доколко проучванията и иновациите за социални цели или фактът, че ползвателят е малолетен или непълнолетен, биха могли като легитимни интереси по смисъла на член 6, параграф 1, първа алинея, буква е) от ОРЗД да обосноват събирането и използването на въпросните данни. Ето защо Съдът не може да се произнесе по този въпрос.
115 Що се отнася, първо, до персонализирането на рекламата, следва да се отбележи, че съгласно съображение 47 от този регламент обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес на администратора.
116 Такова обработване обаче трябва и да е необходимо за постигането на този интерес и интересите или основните права и свободи на субекта на данни да нямат преимущество пред него. При това претегляне на съответните противоположни права и интереси, а именно на администратора, от една страна, и на субекта на данните, от друга, е важно да се отчетат, както бе посочено в точка 112 от настоящото решение, по-специално основателните очаквания на субекта на данни, както и обхватът на съответното обработване и отражението му върху този субект.
117 В тази насока е уместно да се отбележи, че макар услугите на социална онлайн мрежа като Facebook да са безплатни, ползвателят ѝ няма основание да очаква, че без негово съгласие операторът на тази социална мрежа ще обработва личните данни на този ползвател с цел персонализиране на рекламата. При тези условия се налага изводът, че интересите и основните права на такъв ползвател имат преимущество пред интереса на този оператор от подобно персонализиране на рекламата, с която той финансира дейността си, така че извършваното от него обработване за такива цели няма как да попада в обхвата на член 6, параграф 1, първа алинея, буква е) от ОРЗД.
118 Освен това разглежданото по главното производство обработване е особено широко, тъй като се отнася до потенциално неограничени данни и има значителни последици за ползвателя, голяма част и дори почти всички онлайн дейности на когото се следят от Meta Platforms Ireland, което може да породи у него усещане за непрестанно наблюдение на личния му живот.
119 Второ, колкото до целта за гарантиране на мрежовата сигурност, както се посочва в съображение 49 от ОРЗД, тя представлява законен интерес на Meta Platforms Ireland, който може да обоснове разглежданото по главното производство обработване.
120 Що се отнася обаче до необходимостта от това обработване за постигането на този законен интерес, запитващата юрисдикция ще трябва да провери дали и в каква степен обработването на лични данни, събрани от източници извън социалната мрежа Facebook, действително се оказва необходимо, за да се гарантира, че не е застрашена вътрешната сигурност на тази мрежа.
121 Както бе посочено в точки 108 и 109 от настоящото решение, в този аспект тя ще трябва също така да провери, от една страна, дали законният интерес от обработването на данните не може логично да се постигне също толкова ефикасно с други средства, които засягат в по-малка степен основните права и свободи на субектите на данни, и по-специално правата на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата, и от друга страна, дали е спазен т.нар. принцип на „свеждане на данните до минимум“, прогласен в член 5, параграф 1, буква в) от ОРЗД.
122 Трето, досежно целта за подобряване на продукта, няма как изначално да се изключи, че интересът на администратора да подобри продукта или услугата си, за да ги направи по-ефективни, а оттам и по-привлекателни, може да представлява законен интерес, който позволява да се обоснове обработването на лични данни, и че такова обработване може да е необходимо за преследването на този интерес.
123 При все това, без да се засяга окончателната преценка, която запитващата юрисдикция трябва да направи в тази насока, изглежда съмнително, що се отнася до разглежданото в главното производство обработване на данни, дали целта за подобряване на продукта може — предвид обхвата на това обработване и значителните му последици за ползвателя, както и факта, че няма основание последният да очаква тези данни да бъдат обработени от Meta Platforms Ireland — да има преимущество пред интересите и основните права на такъв ползвател, още повече когато ползвателят е дете.
124 Четвърто, по отношение на посочената от запитващата юрисдикция цел за информиране на органите, компетентни за осъществяване на наказателно преследване и изпълнение на наказанията с цел предотвратяване, разкриване и преследване на престъпления, следва да се констатира, че поначало тази цел не може да представлява легитимен интерес на администратора по смисъла на член 6, параграф 1, първа алинея, буква е) от ОРЗД. Всъщност частен оператор като Meta Platforms Ireland не може да се позовава на такъв легитимен интерес, несвойствен за неговата икономическа и търговска дейност. За сметка на това посочената цел може да обоснове обработването, извършено от такъв оператор, когато то е обективно необходимо за спазването на законово задължение, което се прилага спрямо този оператор.
125 С оглед на изложеното дотук на третия и четвъртия въпрос следва да се отговори, че член 6, параграф 1, първа алинея, буква б) от ОРЗД трябва да се тълкува в смисъл, че обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, може да се счита за необходимо за изпълнението на договор, по който субектите на данни са страни, по смисъла на тази разпоредба, само ако това обработване е обективно необходимо за постигането на цел, която е неразделна част от предназначената за същите ползватели договорна престация, така че основната цел на договора не би могла да бъде постигната без това обработване.
126 Член 6, параграф 1, първа алинея, буква е) от ОРЗД трябва да се тълкува в смисъл, че такова обработване може да се счита за необходимо за целите на легитимните интереси на администратора или на трета страна, по смисъла на тази разпоредба, само ако посоченият оператор е уведомил ползвателите, от които са били събрани данните, за преследван с обработването им легитимен интерес, това обработване се извършва в границите на строго необходимото за постигането на този легитимен интерес и от претеглянето на противоположните интереси, през призмата на всички релевантни обстоятелства, е видно, че интересите и основните права или свободи на тези ползватели нямат преимущество пред легитимния интерес на администратора или на трета страна.
По петия въпрос
127 На първо място, доколкото този въпрос се отнася до член 6, параграф 1, първа алинея, букви в) и д) от ОРЗД, следва да се припомни, че съгласно буква в) обработването на лични данни е законосъобразно, ако е необходимо за спазването на законово задължение, което се прилага спрямо администратора. В допълнение, съгласно буква д) обработването е законосъобразно и когато е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.
128 За тези две хипотези на законосъобразност член 6, параграф 3 от ОРЗД уточнява, че обработването трябва да се основава на правото на Съюза или на правото на държавата членка, което се прилага спрямо администратора, и че това правно основание трябва да е съобразено с обществения интерес и да е пропорционално на преследваната легитимна цел.
129 В случая запитващата юрисдикция иска да се установи дали обработване на лични данни като разглежданото в главното производство може да се счита за обосновано от гледна точка на член 6, параграф 1, първа алинея, буква в) от ОРЗД, когато то е „в отговор на законни искания относно определени данни“, и от гледна точка на член 6, параграф 1, първа алинея, буква д) от този регламент, когато то има за предмет „проучвания в полза на обществото“ и цели „подпомагане на защитата, интегритета и сигурността“.
130 Налага се обаче изводът, че тази юрисдикция не е предоставила на Съда сведенията, които да му позволят да се произнесе конкретно в тази насока.
131 Ето защо посочената юрисдикция трябва да провери с оглед на условията, упоменати в точка 128 от настоящото решение, дали посоченото обработване може да се счита за обосновано от изтъкнатите цели.
132 В частност, с оглед на отбелязаното в точка 124 от настоящото решение тази юрисдикция следва да провери за целите на прилагането на член 6, параграф 1, първа алинея, буква в) от ОРЗД дали Meta Platforms Ireland има законово задължение за превантивно събиране и съхраняване на лични данни, за да може да отговори на всяко искане на национален орган за получаване на определени данни относно неговите ползватели.
133 Освен това посочената юрисдикция следва да прецени с оглед на член 6, параграф 1, първа алинея, буква д) от ОРЗД дали на Meta Platforms Ireland е възложена задача, която е от обществен интерес или попада в рамките на упражняването на официални правомощия, по-специално с оглед на проучванията в полза на обществото или на подпомагането на защитата, интегритета и сигурността, като следва да се уточни, че предвид естеството и по същество икономическия и търговски характер на дейността на този частен оператор изглежда малко вероятно той да е натоварен с такава задача.
134 Освен това запитващата юрисдикция ще трябва евентуално да провери дали предвид обхвата на обработването на данни, извършвано от Meta Platforms Ireland, и значителните последици от това обработване за ползвателите на социалната мрежа Facebook, то се извършва в границите на строго необходимото.
135 На второ място, досежно член 6, параграф 1, първа алинея, буква г) от ОРЗД, съгласно тази разпоредба обработването на лични данни е законосъобразно, когато е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
136 Видно от съображение 46 от въпросния регламент, тази разпоредба визира особения случай, когато обработването на лични данни е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. В тази насока посоченото съображение цитира по-специално като пример хуманитарните цели, като наблюдението на епидемии и тяхното разпространение, както и спешните хуманитарни ситуации, като природни или причинени от човека бедствия.
137 От тези примери и от стриктното тълкуване на член 6, параграф 1, първа алинея, буква г) от ОРЗД, което трябва да бъде възприето, следва, че с оглед на естеството на доставяните от оператора на социална онлайн мрежа услуги такъв оператор, чиято дейност по същество има икономически и търговски характер, не може да се позове на защитата на интерес от първостепенно значение за живота на неговите ползватели или на друго лице, за да обоснове — абсолютно и чисто абстрактно и превантивно — законосъобразността на обработване на данни като разглежданото в главното производство.
138 С оглед на изложеното дотук на петия въпрос следва да се отговори, че член 6, параграф 1, първа алинея, буква в) от ОРЗД трябва да се тълкува в смисъл, че обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, е обосновано съгласно тази разпоредба, когато действително е необходимо за спазването на законово задължение, което се прилага спрямо администратора по силата на разпоредба от правото на Съюза или на съответната държава членка, това правно основание е съобразено с обществения интерес и е пропорционално на преследваната легитимна цел и това обработване се извършва в границите на строго необходимото.
139 Член 6, параграф 1, първа алинея, букви г) и д) от ОРЗД трябва да се тълкува в смисъл, че такова обработване на лични данни не може — по принцип и без да се засяга проверката, която трябва да извърши запитващата юрисдикция — да се счита за необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, по смисъла на буква г), или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, по смисъла на буква д).
По шестия въпрос
140 С шестия си въпрос запитващата юрисдикция по същество иска да се установи дали член 6, параграф 1, първа алинея, буква а) и член 9, параграф 2, буква а) от ОРЗД трябва да се тълкуват в смисъл, че за съгласието, което ползвателят на социална онлайн мрежа е дал на оператора на такава мрежа, може да се счита, че отговаря на условията за валидност, предвидени в член 4, точка 11 от този регламент, и по-специално на условието това съгласие да е дадено свободно, когато този оператор има господстващо положение на пазара на социални онлайн мрежи.
141 Член 6, параграф 1, първа алинея, буква а) и член 9, параграф 2, буква а) от ОРЗД изискват съгласието на субекта на данните съответно с оглед на обработването за една или повече конкретни цели на личните му данни, както и за обработването на специални категории данни, посочени в член 9, параграф 1.
142 Съгласно член 4, точка 11 от ОРЗД „съгласие на субекта на данните“ означава „всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени“.
143 С оглед на въпросите на запитващата юрисдикция е уместно да се припомни, на първо място, че съгласно съображение 42 от ОРЗД съгласието не може да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.
144 На второ място, в съображение 43 от този регламент се посочва, че за да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни, когато е налице очевидна неравнопоставеност между субекта на данните и администратора. В това съображение се уточнява също, че се смята, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай.
145 На трето място, съгласно член 7, параграф 4 от ОРЗД, когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.
146 На шестия въпрос следва да се отговори през призмата именно на тези съображения.
147 В тази насока е важно да се отбележи, че действително обстоятелството, че в качеството си на администратор операторът на социална онлайн мрежа има господстващо положение на пазара на социалните мрежи, само по себе си не изключва възможността ползвателите на тази социална мрежа да дадат валидно съгласие, по смисъла на член 4, точка 11 от ОРЗД, за извършваното от този оператор обработване на личните им данни.
148 Както по същество отбелязва генералният адвокат в точка 75 от заключението си, същевременно обаче подобен факт трябва да се вземе предвид при преценката дали даденото от ползвателя на посочената мрежа съгласие е валидно, и по-специално свободно, защото той може да засегне свободата на избор на този ползвател, който може да не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него, както се посочва в съображение 42 от ОРЗД.
149 В допълнение, наличието на такова господстващо положение може да доведе до очевидна неравнопоставеност по смисъла на съображение 43 от ОРЗД между субекта на данните и администратора, като тази неравнопоставеност благоприятства по-специално налагането на условия, които не са строго необходими за изпълнението на договора, което в съответствие с член 7, параграф 4 от този регламент трябва да бъде отчетено. В този смисъл следва да се припомни, че както бе отбелязано в точки 102—104 от настоящото решение, не е видно — без да се засяга проверката, която трябва да направи запитващата юрисдикция — че обработването в главното производство е строго необходимо за изпълнението на договора между Meta Platforms Ireland и ползвателите на социалната мрежа Facebook.
150 Ето защо тези ползватели трябва да имат свободата да откажат индивидуално, в хода на процеса по сключване на договора, да дадат съгласието си за специални операции по обработване на данни, които не са необходими за изпълнението на договора, без обаче да са принудени да се откажат изцяло от ползването на предлаганата от оператора на социалната онлайн мрежа услуга, което предполага на посочените ползватели, евентуално срещу подходящо възнаграждение, да се предложи равностойна алтернатива, която не се съпътства от такива операции по обработване на данни.
151 Освен това, предвид обхвата на въпросното обработване на данни и значителните му последици за ползвателите на тази мрежа, както и обстоятелството, че няма основание тези ползватели да очакват, че данни, различни от свързаните с поведението им в рамките на социалната мрежа, се обработват от оператора на тази мрежа, по смисъла на съображение 43 е целесъобразно да може да се даде отделно съгласие за обработването на последните данни, от една страна, и за данните off Facebook, от друга. Запитващата юрисдикция следва да провери дали е налице такава възможност; ако не е така, трябва да се презумира, че съгласието на посочените ползватели за обработването на данните off Facebook не е било дадено свободно.
152 Накрая, уместно е да се припомни, че съгласно член 7, параграф 1 от ОРЗД, когато обработването се извършва въз основа на съгласие, администраторът носи тежестта да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.
153 Именно през призмата на тези критерии и на подробен анализ на всички обстоятелства по случая запитващата юрисдикция следва да прецени дали ползвателите на социалната мрежа Facebook валидно, и по-специално свободно, са дали съгласието си за обработването по главното производство.
154 С оглед на изложеното дотук на шестия въпрос следва да се отговори, че член 6, параграф 1, първа алинея, буква а) и член 9, параграф 2, буква а) от ОРЗД трябва да се тълкуват в смисъл, че обстоятелството, че операторът на социална онлайн мрежа има господстващо положение на пазара на социалните онлайн мрежи, само по себе си не изключва възможността ползвателите на такава мрежа да дадат валидно съгласие, по смисъла на член 4, точка 11 от този регламент, за извършваното от този оператор обработване на личните им данни. Това обстоятелство обаче е важен фактор за преценката дали съгласието действително е било дадено валидно, и по-специално свободно, което посоченият оператор носи тежестта да докаже.
По съдебните разноски
155 Тъй като за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.
По изложените съображения Съдът (голям състав) реши:
1) Член 51 и сл. от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) и член 4, параграф 3 ДЕС
трябва да се тълкуват в смисъл, че
когато проверява дали дадено предприятие е извършило злоупотреба с господстващо положение по смисъла на член 102 ДФЕС, органът за защита на конкуренцията на държава членка може — при спазване на задължението си за лоялно сътрудничество с надзорните органи — да констатира, че общите условия за използване на това предприятие относно обработването на лични данни и прилагането на тези условия не са в съответствие с този регламент, щом тази констатация е необходима, за да се установи наличието на такава злоупотреба.
С оглед на това задължение за лоялно сътрудничество националният орган за защита на конкуренцията не може да дерогира решение на компетентния национален надзорен орган или на компетентния водещ надзорен орган относно тези или сходни общи условия. Когато има съмнения за обхвата на такова решение, когато посочените или сходни условия същевременно са предмет на разглеждане от тези органи или пък когато при липсата на разследване или на решение на посочените органи счита, че съответните условия не са в съответствие с разпоредбите на Регламент 2016/679, органът за защита на конкуренцията трябва да се консултира с тези надзорни органи и да потърси сътрудничество с тях, за да разсее съмненията си или да изясни дали следва да изчака приемането на решение от надзорните органи, преди сам да пристъпи към преценка. Ако те не възразят или не дадат отговор в разумен срок, националният орган за защита на конкуренцията може да продължи своето разследване.
2) Член 9, параграф 1 от Регламент 2016/679
трябва да се тълкува в смисъл, че
в случай че ползвател на социална онлайн мрежа посещава уебсайтове или приложения, свързани с една или повече от посочените в тази разпоредба категории, и евентуално въвежда данни в тях, когато се регистрира или прави онлайн поръчки, обработването на лични данни от оператора на тази социална онлайн мрежа, което се състои в събирането — чрез интегрирани интерфейси, бисквитки или подобни технологии за записване — на данни, резултат от посещаването на тези сайтове и приложения, както и на въведените от ползвателя данни, в свързването на всички тези данни с акаунта в социалната мрежа на този ползвател и в използването на посочените данни от този оператор, следва да се счита за „обработване на специални категории лични данни“ по смисъла на посочената разпоредба, което по принцип е забранено, освен в случаите на предвидените в член 9, параграф 2 изключения, когато това обработване на данни позволява да се разкрие информация, попадаща в някоя от споменатите категории, независимо дали тази информация се отнася до ползвател на тази мрежа или до друго физическо лице.
3) Член 9, параграф 2, буква д) от Регламент 2016/679
трябва да се тълкува в смисъл, че
когато ползвател на социална онлайн мрежа посещава уебсайтове или приложения, свързани с една или повече от упоменатите в член 9, параграф 1 от този регламент категории, той не прави явно обществено достояние по смисъла на първата от тези разпоредби данните за това посещаване, събрани от оператора на тази социална онлайн мрежа чрез бисквитки или подобни технологии за записване.
Когато въвежда данни в такива уебсайтове или приложения или натиска вградени в тези сайтове или приложения бутони, като бутоните „Харесвам“ или „Споделяне“, или бутоните, които позволяват на ползвателя да се идентифицира на тези сайтове или приложения, като използва идентификаторите за връзка, свързани с потребителския му акаунт в социалната мрежа, телефонния му номер или имейла му, такъв ползвател явно прави обществено достояние по смисъла на член 9, параграф 2, буква д) така въведените данни или данните, резултат от натискането на тези бутони, само в случай че изрично е изразил предварително решението си, евентуално след напълно информирано извършване на индивидуални настройки, да направи свързаните с него данни публично достъпни за неограничен брой лица.
4) Член 6, параграф 1, първа алинея, буква б) от Регламент 2016/679
трябва да се тълкува в смисъл, че
обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, може да се счита за необходимо за изпълнението на договор, по който субектите на данни са страни, по смисъла на тази разпоредба, само ако това обработване е обективно необходимо за постигането на цел, която е неразделна част от предназначената за същите ползватели договорна престация, така че основната цел на договора не би могла да бъде постигната без това обработване.
5) Член 6, параграф 1, първа алинея, буква е) от Регламент 2016/679
трябва да се тълкува в смисъл, че
обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, може да се счита за необходимо за целите на легитимните интереси на администратора или на трета страна, по смисъла на тази разпоредба, само ако посоченият оператор е уведомил ползвателите, от които са били събрани данните, за преследван с обработването им легитимен интерес, това обработване се извършва в границите на строго необходимото за постигането на този легитимен интерес и от претеглянето на противоположните интереси, през призмата на всички релевантни обстоятелства, е видно, че интересите и основните права или свободи на тези ползватели нямат преимущество пред легитимния интерес на администратора или на трета страна.
6) Член 6, параграф 1, първа алинея, буква в) от Регламент 2016/679
трябва да се тълкува в смисъл, че
обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, е обосновано съгласно тази разпоредба, когато действително е необходимо за спазването на законово задължение, което се прилага спрямо администратора по силата на разпоредба от правото на Съюза или на съответната държава членка, това правно основание е съобразено с обществения интерес и е пропорционално на преследваната легитимна цел и това обработване се извършва в границите на строго необходимото.
7) Член 6, параграф 1, първа алинея, букви г) и д) от Регламент 2016/679
трябва да се тълкува в смисъл, че
обработването на лични данни, което се извършва от оператор на социална онлайн мрежа и се състои в събирането на данни на ползвателите на такава мрежа, получени от други услуги на групата, от която е част този оператор, или от посещаването от тези ползватели на уебсайтове или приложения на трети лица, в свързването на тези данни с акаунта в социалната мрежа на ползвателите и в използването на тези данни, не може — по принцип и без да се засяга проверката, която трябва да извърши запитващата юрисдикция — да се счита за необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, по смисъла на буква г), или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора, по смисъла на буква д).
8) Член 6, параграф 1, първа алинея, буква а) и член 9, параграф 2, буква а) от Регламент 2016/679
трябва да се тълкуват в смисъл, че
обстоятелството, че операторът на социална онлайн мрежа има господстващо положение на пазара на социалните онлайн мрежи, само по себе си не изключва възможността ползвателите на такава мрежа да дадат валидно съгласие, по смисъла на член 4, точка 11 от този регламент, за извършваното от този оператор обработване на личните им данни. Това обстоятелство обаче е важен фактор за преценката дали съгласието действително е било дадено валидно, и по-специално свободно, което посоченият оператор носи тежестта да докаже.
Подписи
( *1 ) Език на производството: немски.