РЕШЕНИЕ НА СЪДА (четвърти състав)

4 октомври 2024 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Онлайн социални мрежи — Общи условия за използване по договори между цифрова платформа и ползвател — Персонализирана реклама — Член 5, параграф 1, буква б) — Принцип на ограничаване в рамките на целта — Член 5, параграф 1, буква в) — Принцип на свеждане на данните до минимум — Член 9, параграфи 1 и 2 — Обработване на специални категории лични данни — Данни за сексуалната ориентация — Данни, направени обществено достояние от субекта на данните“

По дело C‑446/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Oberster Gerichtshof (Върховен съд, Австрия) с акт от 23 юни 2021 г., постъпил в Съда на 20 юли 2021 г., в рамките на производство по дело

Maximilian Schrems

срещу

Meta Platforms Ireland Ltd, по-рано Facebook Ireland Ltd,

СЪДЪТ (четвърти състав),

състоящ се от: C. Lycourgos, председател на състава, O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin и L.S. Rossi (докладчик), съдии,

генерален адвокат: A. Rantos,

секретар: N. Mundhenke, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 8 февруари 2024 г.,

като има предвид становищата, представени:

– за г‑н Maximilian Schrems, от A. Egger, Rechtsanwalt, и K. Raabe-Stuppnig, Rechtsanwältin,

– за Meta Platforms Ireland Ltd, от K. Hanschitz, H.‑G. Kamann, S. Khalil, B. Knötzl и A. Natterer, Rechtsanwälte,

– за австрийското правителство, от A. Posch, J. Schmoll, C. Gabauer, G. Kunnert и E. Riedl, в качеството на представители,

– за френското правителство, от R. Bénard и A.‑L. Desjonquères, в качеството на представители,

– за италианското правителство, от G. Palmieri, представител, подпомагана от E. De Bonis, avvocato dello stato,

– за португалското правителство, от P. Barros da Costa, A. Pimenta, M. J. Ramos и C. Vieira Guerra, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar, F. Erlbacher, M. Heller и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 25 април 2024 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 5, параграф 1, букви б) и в), член 6, параграф 1, букви а) и б), и член 9, параграф 1 и параграф 2, буква д) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между г‑н Maximilian Schrems, ползвател на социалната мрежа Facebook, и Meta Platforms Ireland Ltd, по-рано Facebook Ireland Ltd, със седалище в Ирландия, относно твърдение за незаконосъобразно обработване от това дружество на лични данни на този ползвател.

Правна уредба

Правото на Съюза

3 Съображения 1, 4, 39, 42, 43, 50 и 51 от ОРЗД гласят:

„(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[...]

(4) Обработването на лични данни следва да е предназначено да служи на човечеството. Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото и да бъде в равновесие с другите основни права съгласно принципа на пропорционалност. Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от Хартата, както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване на мнение и свободата на информацията, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и културното, религиозното и езиковото многообразие.

[...]

(39)

Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните [...] Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. [...]

[...]

(42)

Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. [...] За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за които са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.

(43)

За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

[...]

(50)

Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. [...]

(51)

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. [...] Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент [...]. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди [...]“.

4 Член 4 от този регламент предвижда:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); [...]

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[...]

7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

[...]

11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

[...]

23) „трансгранично обработване“ означава или:

a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

[...]“.

5 Член 5 от този регламент е озаглавен „Принципи, свързани с обработването на лични данни“ и в параграфи 1 и 2 предвижда:

„1.Личните данни са:

a) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; [...]

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

[...]

д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; [...] („ограничение на съхранението“);

2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

6 Член 6 от същия регламент е озаглавен „Законосъобразност на обработването“ и гласи:

„1.Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

[...]

4.Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

a) всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б) контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в) естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г) възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д) наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация“.

7 Член 7 от ОРЗД е озаглавен „Условия за даване на съгласие“ и предвижда:

„1.Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

[...]

3.Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни бива информиран за това. Оттеглянето на съгласие е също толкова лесно, колкото и даването му.

4.Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор“.

8 Член 9 от този регламент, озаглавен „Обработване на специални категории лични данни“, предвижда:

„1.Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2.Параграф 1 не се прилага, ако е налице едно от следните условия:

a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

[...]

д) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

[...]“.

9 Член 13 от този регламент се отнася до „[и]нформация[та], предоставяна при събиране на лични данни от субекта на данните“, и в параграф 1 предвижда:

„1.Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[...]

в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

[...]

3.Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

[...]“.

10 Член 25, параграф 2 от същия регламент гласи:

„Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица“.

Спорът в главното производство и преюдициалните въпроси

11 Meta Platforms Ireland, което управлява услугите, предлагани от онлайн социалната мрежа Facebook в Съюза, е администратор на лични данни на ползвателите ѝ в Съюза. То няма клон в Австрия. Meta Platforms Ireland предлага по-конкретно на адрес www.facebook.com услуги, предоставяни безплатно на частните ползватели до 5 ноември 2023 г. Считано от 6 ноември 2023 г., тези услуги продължават да бъдат безплатни само за ползвателите, изразили съгласие личните им данни да се събират и използват, за да им се изпраща персонализирана реклама, като на ползвателите се предоставя и възможност да сключат платен абонамент за достъп до версия на посочените услуги без целева реклама.

12 Бизнес моделът на онлайн социалната мрежа Facebook се основава на финансиране чрез онлайн целева реклама до отделните ползватели в зависимост от техните потребителски навици, интереси и лично положение. Такава реклама е технически възможна чрез автоматизирано създаване на подробни профили на ползвателите на мрежата и на предлаганите от групата Meta онлайн услуги.

13 Основание за обработването на лични данни на ползвателите на социалната мрежа Facebook от страна на Meta Platforms Ireland дава договорът, с който тези ползватели са се съгласили чрез натискане на бутона „Регистрация“, приемайки така и установените от това дружество общи условия. Към момента на настъпване на разглежданите в главното производство факти приемането на тези условия е необходимо изискване за използването на социалната мрежа Facebook. По отношение на обработването на лични данни на ползвателите общите условия препращат към определените от дружеството политики за използване на данни и бисквитки. Съгласно тези политики Meta Platforms Ireland събира данни за ползвателите и устройствата им относно извършени във и извън социалната мрежа действия, като свързва тези данни с Facebook профилите им. Данните за дейности извън социалната мрежа (наричани по-нататък „данни извън Facebook“) са, от една страна, за посещения на уебсайтове и приложения на трети страни, свързани с Facebook чрез програмни интерфейси, и от друга страна, за използването на други онлайн услуги, предоставяни от групата Meta, и по-конкретно от Instagram и WhatsApp.

14 Преди влизането в сила на ОРЗД ползвателите на Facebook са дали изрично съгласие данните им да се обработват от ответника в съответствие с приложимите към съответния момент условия за използване. С оглед на предстоящото на 25 май 2018 г. влизане в сила на ОРЗД, на 19 април 2018 г. Meta Platforms Ireland приема нови условия за използване и предлага на ползвателите си да ги одобрят. Г‑н Schrems е приел тези нови условия, тъй като профилът му е бил блокиран, а е искал да продължи да използва Facebook. Той е трябвало да изрази съгласието си с тези условия, за да може да продължи да има достъп до акаунта си и да използва съответните услуги.

15 Meta Platforms Ireland въвежда редица „инструменти“ (tools), предоставящи на ползвателите възможност да се запознават със съхраняваните за тях данни и да ги контролират. Тези инструменти позволяват да се видят не всички обработвани данни, а само онези, които според дружеството са от интерес и значение за ползвателите. При поискване ползвател би могъл да види например кои приложения е отварял чрез Facebook профила си, кои уебсайтове е посещавал, какви търсения, покупки или кликвания върху реклами е извършвал.

16 Условията за ползване и насоките на Meta Platforms Ireland предвиждат прилагане на „cookies“ (бисквитки), „social plug‑ins“ (социални модули) и „pixels“ (пиксели). Чрез „cookies“ се разпознава посещаващият уебсайта. Ако „cookies“ не са активирани, много от предоставяните от Meta Platforms Ireland услуги не могат да се използват. „Social plug ins“ на Facebook се „добавят“ на други уебсайтове от самите оператори на тези уебсайтове. Най-разпространен е Facebook бутонът „харесва ми“. При всяко посещение на съдържащ този бутон уебсайт „cookies“ на използваното устройство, URL адресът на посетения уебсайт и други данни, като например IP адресът или часът, се предават на Meta Platforms Ireland. За тази цел не е необходимо ползвателят да е натиснал бутона „харесва ми“, тъй като самото визуализиране на уебсайт, съдържаща такъв „plugin“, е достатъчно, за да бъдат споменатите данни предадени на това дружество.

17 Съгласно акта за преюдициално запитване г‑н Schrems е посещавал имащи такива „plugins“ уебсайтове на политически партии и уебсайтове за хомосексуални ползватели. Поради тези „plugins“ Meta Platforms Ireland е можело да следи действията в интернет на г‑н Schrems и да събира чувствителни лични данни за него.

18 Също както „social plugins“ и „pixels“ могат да се добавят на уебсайтовете и да се използват за събиране на информация за посетилите ги ползватели с цел по-специално анализ и оптимизиране на поместената там реклама. Например чрез добавяне на „pixel“ на Facebook на уебстраниците си операторите могат да получават от Meta Platforms Ireland информация за броя на лицата, които са видели техни реклами във Facebook, след което са посетили уебстраницата им, за да я разгледат или за да пазаруват.

19 Така „social plugins“ и „pixels“, съчетани с „cookies“, са от съществено значение за интернет рекламата, а по-голямата част от съдържанието в интернет се финансира от реклама. По-специално „plugins“ позволяват представянето на подходящи реклами на ползвателите, а „pixels“ се използват от рекламодателите за измерване на ефективността на рекламните кампании и за получаване на информация за целеви групи ползватели.

20 В случая, видно от акта за преюдициално запитване, г‑н Schrems не е разрешавал на Meta Platforms Ireland да обработва за нуждите на персонализираната реклама получените от рекламодатели и други партньори лични данни за действията му извън Facebook. Meta Platforms Ireland получавало някои от тези данни за г‑н Schrems чрез добавени в уебсайтове на трети страни „cookies“, „social plugins“ и други подобни технологии, като ги използвало за подобряване на продуктите на Facebook и за изпращане на персонализирана реклама на г‑н Schrems.

21 Освен това от акта за преюдициално запитване се установява, че г‑н Schrems не е въвеждал каквито и да било чувствителни данни във Facebook профила си и че само неговите „приятели“ могат да разглеждат действията му или информацията му в „timeline“ [дневник], както и че „списъкът с приятели“ не е публичен. Освен това г‑н Schrems е избрал да не разрешава на Meta Platforms Ireland да използва за нуждите на целевата реклама полетата в профила му, свързани със статус на връзката, работодател, работа и образование.

22 Предвид данните, с които разполага, Meta Platforms Ireland би могло обаче да установи интерес у г‑н Schrems към чувствителни теми, като например здраве, сексуална ориентация, етнически групи и политически партии, което позволява да му бъде отправяна целева реклама, свързана с определена сексуална ориентация или политически убеждения.

23 Поради това, от една страна, въз основа на анализа на Meta Platforms Ireland, че има нещо общо с ползватели, отбелязали австрийски политик с бутона „харесва ми“, г‑н Schrems е получил реклама за този политик. От друга страна, г‑н Schrems редовно получава и реклами, насочени към лица с хомосексуална ориентация, както и покани за съответни събития, въпреки че преди това никога не е проявявал интерес към такива събития и не познава мястото на провеждането им. Тези реклами и покани не се основават пряко на сексуалната ориентация на ищеца в главното производство и на неговите „приятели“, а на анализ на центровете им на интереси, а в случая конкретно на факта, че един от приятелите на г‑н Schrems е натиснал бутона „харесва ли“ за определен продукт.

24 Г‑н Schrems е поискал анализ какви изводи могат да се направят от списъка с приятелите му и този анализ е показал, че е полагал доброволчески труд към Червения кръст в Залцбург (Австрия) и че има хомосексуална ориентация. Освен това в поддържания от Meta Platforms Ireland списък на действия на г‑н Schrems извън Facebook са включени по-специално приложения и уебсайтове за хомосексуални срещи, както и уебсайт на австрийска политическа партия. Съхраняваните данни за ищеца в главното производство включват и имейл адрес, който не е посочен във Facebook профила на ищеца, но е използван от същия за отправяне на искания до Meta Platforms Ireland.

25 Освен това, видно от акта за преюдициално запитване, г‑н Schrems публично е обявил, че е хомосексуалист. Той обаче никога не е споменавал сексуалната си ориентация във Facebook профила си.

26 В производството пред Landesgericht für Zivilrechtssachen Wien (Областен съд по граждански дела Виена, Австрия) г‑н Schrems твърди, че обработването на личните му данни от Meta Platforms Ireland нарушава няколко разпоредби на ОРЗД. В това отношение той приема, че съгласието му за условията за използване на цифровата платформа на ответника в главното производство не отговаря на изискванията по член 6, параграф 1 и член 7 от този регламент. Освен това Meta Platforms Ireland обработвало чувствителни данни на ищеца в главното производство по смисъла на член 9 от посочения регламент при липса на необходимото за тази цел съгласие по член 7 от същия регламент. Meta Platforms Ireland не било получило валидно съгласие за обработване на лични данни за г‑н Schrems и от страна на трети лица. В този контекст г‑н Schrems иска по-специално ответникът да бъде осъден да преустанови да обработва личните му данни за нуждите на персонализираната реклама и да използва получените от трети лица данни за други посетени уебсайтове.

27 Meta Platforms Ireland обаче твърди, че обработването на данните на г‑н Schrems е извършено в съответствие с условията за използване на онлайн социалната мрежа и че тези условия са съвместими с изискванията на ОРЗД. Такова обработване на данни било законосъобразно, тъй като било основано не на изискваното от член 6, параграф 1, буква а) от този регламент съгласие на ищеца в главното производство, а най-вече на обстоятелството, че е необходимо за изпълнението на договора, сключен между ищеца и ответника в главното производство, по смисъла на член 6, параграф 1, буква б) от посочения регламент.

28 В хода на главното производство Съдът вече е сезиран с преюдициално запитване, по което е постановено решение от 25 януари 2018 г., Schrems, C‑498/16, EU:C:2018:37. Въз основа на него на 30 юни 2020 г. Landesgericht für Zivilrechtssachen Wien (Областен съд по граждански дела Виена, Австрия) постановява решение, с което отхвърля исканията на г‑н Schrems. Г‑н Schrems обжалва последното решение пред Oberlandesgericht Wien (Висш областен съд Виена, Австрия), който отхвърля жалбата му по-специално с мотива, че обработването на личните му данни като ползвател на онлайн платформата, в това число за нуждите на персонализираната реклама, е неразделна част от сключения между страните договор за използване на тази платформа. Следователно обработването на тези данни било необходимо за изпълнението на този договор по смисъла на член 6, параграф 1, буква б) от ОРЗД.

29 Г‑н Schrems подава ревизионна жалба пред Oberster Gerichtshof (Върховен съд, Австрия), който приема, че бизнес моделът на Meta Platforms Ireland е да генерира приходи чрез целева реклама и търговско съдържание, основани на предпочитания и интереси, които установява чрез обработване на личните данни на ползвателите на Facebook. Тъй като обаче позволява на Facebook да предлага безплатни услуги на ползвателите си, това обработване би могло да се счита за необходимо за изпълнението на сключения с тях договор по смисъла на член 6, параграф 1, буква б) от ОРЗД.

30 Според този съд посочената разпоредба, която трябва да се тълкува ограничително, не би трябвало все пак да допуска такова обработване без съгласието на субекта на данните.

31 Освен това този съд отбелязва, че Meta Platforms Ireland обработва лични данни по член 9, параграф 1 от ОРЗД, които могат да се класифицират като „чувствителни“.

32 В случая Meta Plaforms Ireland обработва данните относно политическите убеждения и сексуалната ориентация на г‑н Schrems. Oberster Gerichtshof (Върховен съд, Австрия) установява, че г‑н Schrems публично е обявил сексуалната си ориентация. По-специално при участие в дискусия на кръгла маса във Виена на 12 февруари 2019 г. по покана на представителството на Европейската комисия в Австрия г‑н Schrems се позовава на сексуалната си ориентация, за да изрази несъгласие с извършваното от Facebook обработване на лични данни, и по‑специално на собствените му лични данни. Както обаче заявява и на това събитие, г‑н Schrems никога не е споменавал този аспект от личния си живот в своя Facebook профил.

33 Това според този съд повдига въпроса дали съответният ползвател не е направил обществено достояние отнасящи се до него чувствителни лични данни и дали не е разрешил така обработването им по силата на член 9, параграф 2, буква д) от ОРЗД.

34 При тези обстоятелства Oberster Gerichtshof (Върховен съд, Австрия) решава да спре производството по делото и да постави на Съда следните преюдициални въпроси:

„1. Трябва ли разпоредбите на член 6, параграф 1, букви а) и б) от ОРЗД да се тълкуват в смисъл, че законосъобразността на договорни разпоредби в общи условия за ползване, отнасящи се до договори за платформа, като тези в главното производство (по-специално договорни разпоредби като: „Вместо да [плащате за услугата] […] чрез използването на продуктите на Facebook, обхванати от тези условия, Вие се съгласявате, че можем да Ви показваме реклами […]. Ние използваме Вашите лични данни […], за да Ви показваме реклами, които са по-подходящи за Вас“), които съдържат обработването на лични данни за събиране и анализиране на данни за целите на персонализираната реклама, следва да се преценяват в съответствие с изискванията на член 6, параграф 1, буква а) във връзка с член 7 от ОРЗД, които не могат да бъдат заменени с позоваване на член 6, параграф 1, буква б) от ОРЗД?

2. Трябва ли член 5, параграф 1, буква в) от ОРЗД (свеждане на данните до минимум) да се тълкува в смисъл, че всички лични данни, с които разполага платформа, като тази в главното производство (по-специално от субекта на данни или от трети страни на и извън платформата), могат да се събират, анализират и обработват за целите на целевата реклама без ограничение в зависимост от време или вид на данните?

3. Трябва ли член 9, параграф 1 от ОРЗД да се тълкува в смисъл, че следва да се прилага за обработването на данни, което позволява целево филтриране на специални категории лични данни, като политическо убеждение или сексуална ориентация (например за реклама), дори когато администраторът не прави разлика между тези данни?

4. Трябва ли член 5, параграф 1, буква б) във връзка с член 9, параграф 2, буква д) от ОРЗД да се тълкува в смисъл, че изразяване на собствената сексуална ориентация за целите на дискусионна група позволява обработването на други данни за сексуалната ориентация с оглед на събирането и анализирането на данни за целите на персонализираната реклама?“.

Производството пред Съда

35 С решение от 7 април 2022 г. председателят на Съда спира настоящото производство до произнасянето на решението, с което се слага край на производството по дело C‑252/21, Meta Platforms и др.

36 С решение от 7 юли 2023 г. председателят на Съда уведомява запитващата юрисдикция по настоящото дело за решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа) (C‑252/21, EU:C:2023:537), като я пита дали с оглед на това решение поддържа преюдициалното си запитване, изцяло или частично, и в случай на частично оттегляне на това искане — да изложи причините за запазването на част от него.

37 С определение от 19 юли 2023 г., постъпило в секретариата на Съда на 9 август 2023 г., запитващата юрисдикция оттегля първия и третия си преюдициален въпрос, като посочва, че със споменатото решение им е отговорено. Тя обаче поддържа втория и четвъртия преюдициален въпрос, тъй като счита, че с това решение не им е отговорено напълно.

По втория въпрос

38 С втория си въпрос запитващата юрисдикция иска по същество да се установи дали член 5, параграф 1, буква в) от ОРЗД трябва да се тълкува в смисъл, че предвиденият в него принцип на „свеждане на данните до минимум“ не допуска всички лични данни — получавани от администратор на данни, какъвто е операторът на онлайн платформа на социална мрежа, от субектите на данните или от трети лица и събирани както на тази платформа, така и извън нея — да бъдат обобщавани, анализирани и обработвани за нуждите на целевата реклама без ограничение във времето и без разграничение според естеството им.

По допустимостта

39 Ответникът в главното производство поддържа, че този въпрос е недопустим, тъй като, от една страна, запитващата юрисдикция не е обяснила причините, поради които отговорът на него би бил полезен за разрешаването на спора в главното производство, и от друга страна, тази юрисдикция се е основала на неточно фактическо предположение, като неправилно е приела, че ответникът в главното производство използва за рекламни цели всички лични данни, с които разполага, без ограничение във времето и без разграничение според естеството им.

40 Що се отнася, на първо място, до довода, че запитващата юрисдикция не е изложила причините, поради които счита, че отговорът на втория ѝ въпрос е от полза за решаването на спора в главното производство, следва да се подчертае значението на посочването от страна на запитващата юрисдикция на точните причини, които са я накарали да си постави въпроси относно тълкуването на правото на Съюза и да счете за необходимо да постави преюдициални въпроси на Съда (решения от 6 декември 2005 г., ABNA и др., C‑453/03, C‑11/04, C‑12/04 и C‑194/04, EU:C:2005:741, т. 46, и от 29 февруари 2024 г., Staatssecretaris van Justitie en Veiligheid (Взаимно доверие при прехвърляне), C‑392/22, EU:C:2024:195, т. 85). В случая обаче, видно от акта за преюдициално запитване, запитващата юрисдикция иска да се установи дали, дори да се предположи, че разглежданото в главното производство обработване за нуждите на рекламата е обосновано с оглед на член 6, параграф 1, първа алинея, буква б) от ОРЗД, обхватът на така обработваните от ответника в главното производство данни зачита принципа на свеждане на данните до минимум, или, напротив, толкова широко обработване нарушава задълженията на администратора по член 5 от ОРЗД. Ето защо причините, поради които отговорът на този въпрос е полезен за решаването на спора в главното производство, се установява достатъчно ясно от акта за преюдициално запитване.

41 Що се отнася, на второ място, до довода, че запитващата юрисдикция се основава на неправилно фактическо предположение, вярно е, че вторият преюдициален въпрос се основава на предположението, от една страна, както бе посочено в точка 20 от настоящото решение, че г‑н Schrems не е разрешавал на Meta Platforms Ireland да обработва личните му данни, свързани с действията му извън Facebook, но че това дружество все пак е обработвало някои такива данни, получавани от трети лица, партньори, на основание на приетите от г‑н Schrems общи условия за използване на социалната мрежа, и по-специално благодарение на „cookies“ и „social plugins“ на Facebook, добавени в уебсайтовете на тези трети лица, и от друга страна, че Meta Platforms Ireland обработва тези лични данни без ограничение във времето и без разграничение според естеството им.

42 В това отношение следва да се припомни, че съгласно постоянната практика на Съда член 267 ДФЕС въвежда производство за пряко сътрудничество между Съда и юрисдикциите на държавите членки. В рамките на това производство, основано на ясно разделение на правомощията между националните юрисдикции и Съда, всяка преценка на обстоятелствата по делото е от компетентността на националния съд, който следва да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда, докато Съдът е оправомощен единствено да се произнася по тълкуването или валидността на дадена разпоредба от правото на Съюза с оглед на фактите, които са му посочени от националния съд (решение от 25 октомври 2017 г., Polbud–Wykonawstwo, C‑106/16, EU:C:2017:804, т. 27 и цитираната съдебна практика).

43 Ето защо на поставения въпрос трябва да се отговори, като се изхожда от посоченото фактическо предположение, като обаче запитващата юрисдикция следва да провери правилността му.

44 С оглед на това преюдициалното запитване е допустимо.

По същество

45 На първо място е важно да се припомни, че преследваната с ОРЗД цел, която произтича от член 1 и от съображения 1 и 10 от него, е да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на личен живот при обработването на лични данни, закрепено в член 8, параграф 1 от Хартата и в член 16, параграф 1 ДФЕС (решение от 7 март 2024 г., IAB Europe, C‑604/22, EU:C:2024:214, т. 53 и цитираната съдебна практика).

46 За тази цел глави II и III от Регламента закрепват съответно принципите, уреждащи обработването на лични данни, както и правата на субекта на данни, които всяко обработване на лични данни трябва да зачита. По-конкретно освен в случаите на предвидените в член 23 от Регламента дерогации всяко обработване на лични данни, от една страна, трябва да е в съответствие с принципите за обработване на тези данни, прогласени в член 5 от посочения регламент, и да отговаря на изискванията за законосъобразност, изброени в член 6 от същия, и от друга страна, да зачита правата на съответното лице, установени в членове 12—22 от ОРЗД (решение от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск), C‑757/22, EU:C:2024:598, т. 49 и цитираната съдебна практика).

47 Както Съдът вече е уточнил, закрепените в член 5 от ОРЗД принципи във връзка с обработването на лични данни са кумулативно приложими (решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 47).

48 В това отношение следва да се отбележи, че съгласно член 5, параграф 1, буква а) от ОРЗД личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните, а съгласно член 5, параграф 1, буква б) тези данни трябва да се събират за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели.

49 Освен това член 5, параграф 1, буква в) от този регламент, в който е закрепен принципът на „свеждане на данните до минимум“, предвижда, че личните данни трябва да бъдат „подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват“ (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 109 и цитираната съдебна практика).

50 Както Съдът вече е постановил, този принцип дава израз на принципа на пропорционалност (вж. в този смисъл решения от 22 юни 2021 г., Latvijas Republikas Saeima (Точки на пътнотранспортни нарушения), C‑439/19, EU:C:2021:504, т. 98 и цитираната съдебна практика, и от 30 януари 2024 г., Директор на Главна дирекция Национална полиция при МВР — София, C‑118/22, EU:C:2024:97, т. 41).

51 Принципът на отчетност, закрепен в член 5, параграф 2 от ОРЗД, изисква администраторът да е в състояние да докаже, че личните данни се събират и обработват в съответствие с посочените в параграф 1 от същия член принципи (вж. в този смисъл решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 24). Освен това, съгласно член 13, параграф 1, буква в) от този регламент, когато лични данни се събират от субекта на данните, администраторът трябва да го информира за целите на обработването, за което личните данни са предназначени, както и за правното основание за обработването (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 95).

52 На второ място, що се отнася до времевото ограничение на обработването на лични данни като разглежданото в главното производство, следва да се припомни, че Съдът вече е постановил, че с оглед на принципа на свеждане на данните до минимум администраторът също така е длъжен да ограничи съответния период на събиране на лични данни до строго необходимото с оглед на целта на предвиденото обработване (решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 79).

53 Всъщност, колкото по-дълго е съхраняването на данните, толкова по-значителни са последиците му за интересите и личния живот на субекта на данни и толкова по-високи са изискванията за законосъобразността му (вж. в този смисъл решение от 7 декември 2023 г., SCHUFA Holding (Освобождаване от остатъка по задълженията), C‑26/22 и C‑64/22, EU:C:2023:958, т. 95).

54 Освен това следва да се отбележи, че съгласно член 5, параграф 1, буква д) от ОРЗД личните данни трябва да се съхраняват във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимия за осъществяването на целите, за които се обработват данните.

55 Така от текста на този член недвусмислено личи, че принципът на „ограничение на съхранението“ изисква администраторът да е в състояние да докаже, в съответствие с припомнения в точка 51 от настоящото решение принцип на отчетност, че личните данни се съхраняват единствено през периода, необходим за осъществяването на целите, за които са били събирани или за които са били обработвани по-нататък (вж. в този смисъл решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 53).

56 От това следва, както Съдът вече е постановил, че дори обработване на данни, което първоначално е законосъобразно, може с течение на времето да започне да противоречи на разпоредбите на ОРЗД, ако съответните данни вече не са необходими за целите, за които са били събрани или впоследствие обработени, и ако е трябвало да бъдат заличени след постигането на тези цели (вж. в този смисъл решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 54).

57 При тези условия, както по същество отбелязва генералният адвокат в точка 22 от заключението си, националната юрисдикция следва да прецени, предвид всички релевантни обстоятелства и като приложи принципа на пропорционалност, припомнен в член 5, параграф 1, буква в) от ОРЗД, дали срокът на съхранение на личните данни от администратора е разумно обоснован с оглед на целта да се позволи персонализиране на рекламата.

58 Във всички случаи съхраняването за неопределен период на лични данни на ползватели на платформа на социална мрежа за нуждите на целевата реклама трябва да се счита за непропорционална намеса в гарантираните с ОРЗД права на тези ползватели.

59 На трето място, що се отнася до обстоятелството, че разглежданите в главното производство лични данни се събират, обобщават, анализират и обработват за нуждите на целевата реклама, без да се прави разграничение в зависимост от естеството на тези данни, важно е да се припомни, че съгласно практиката на Съда принципът на свеждане на данните до минимум, предвиден в член 5, параграф 1, буква в) от ОРЗД, не допуска общо и недиференцирано събиране на лични данни от администратор, като му налага да се въздържа от събиране на данни, които не са строго необходими с оглед на целите на обработването (решение от 24 февруари 2022 г., Valsts ieņēmumu dienests (Обработка на лични данни за данъчни цели), C‑175/20, EU:C:2022:124, т. 74).

60 Следва също да се отбележи, че член 25, параграф 2 от този регламент изисква от администратора да въвежда подходящи мерки, за да гарантира, че по подразбиране се обработват само личните данни, които са необходими за всяка конкретна цел на обработването. Съгласно тази разпоредба посоченото задължение се отнася до обема на събраните лични данни, степента на обработването и периода на съхраняването им.

61 В случая от акта за преюдициално запитване се установява, че Meta Platforms Ireland събира лични данни на ползвателите на Facebook, сред които е и г‑н Schrems, за действията им в тази социална мрежа и извън нея, като по-конкретно събира данни за посещенията им на онлайн платформата и на уебсайтове и приложения на трети лица, следвайки действията им чрез добавени там „social plugins“ и „pixels“.

62 Както обаче Съдът вече е постановил, посоченото обработване е особено широко, тъй като се отнася до потенциално неограничени данни и има значителни последици за ползвателя, голяма част и дори почти всички онлайн дейности на когото се следят от Meta Platforms Ireland, което може да породи у него усещане за непрестанно наблюдение на личния му живот (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 118).

63 При тези обстоятелства разглежданото в главното производство обработване на данни се характеризира със сериозна намеса в основните права на субектите на данните, и по-специално в правото им на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата на основните права на Европейския съюз, която — освен ако не се установи друго при проверките, които запитващата юрисдикция трябва да извърши — не изглежда разумно обоснована с оглед на целта да се позволи целево рекламиране.

64 Във всеки случай недиференцирано използване за рекламни цели на всички събрани от платформа на социална мрежа лични данни, независимо от степента на чувствителност на тези данни, не изглежда пропорционална намеса в гарантираните с ОРЗД права на ползвателите на тази платформа.

65 С оглед на изложеното на втория въпрос на запитващата юрисдикция следва да се отговори, че член 5, параграф 1, буква в) от ОРЗД трябва да се тълкува в смисъл, че предвиденият в него принцип на „свеждане на данните до минимум“ не допуска всички лични данни — получавани от администратор на данни, какъвто е операторът на онлайн платформа на социална мрежа, от субектите на данните или от трети лица и събирани както на тази платформа, така и извън нея — да бъдат обобщавани, анализирани и обработвани за нуждите на целевата реклама без ограничение във времето и без разграничение според естеството им.

По четвъртия въпрос

66 С този въпрос запитващата юрисдикция иска по същество да се установи дали член 9, параграф 2, буква д) от ОРЗД трябва да се тълкува в смисъл, че обстоятелството, че лице е обявило сексуалната си ориентация по време на публично достъпна дискусия на кръгла маса, дава право на оператора на онлайн платформа на социална мрежа да обработва и други свързани със сексуалната ориентация на това лице данни, получени и извън тази платформа, от приложения и уебсайтове на трети партньори, и да ги обобщава и анализира, за да му предлага персонализирана реклама.

67 По-конкретно запитващата юрисдикция иска да се установи дали като е направил споменатото обявяване по време на дискусия на кръгла маса, г‑н Schrems е загубил защитата си по член 9, параграф 1 от ОРЗД и дали следователно Facebook има право да обработва и други свързани със сексуалната му ориентация данни.

68 Най-напред следва да се отбележи, че посочената от запитващата юрисдикция дискусия на кръгла маса, по време на която г‑н Schrems обявява сексуалната си ориентация, е проведена на 12 февруари 2019 г. и че съгласно акта за преюдициално запитване към тази дата Meta Platforms Ireland вече е обработвало лични данни за сексуалната ориентация на г‑н Schrems, така че обявяването се явява последващо спрямо момента, от който е започнало обработването.

69 Поради това четвъртият въпрос на запитващата юрисдикция следва да се разбира като отнасящ се само до извършвано евентуално след 12 февруари 2019 г. от Meta Platforms Ireland обработване на данни за сексуалната ориентация на г‑н Schrems. Запитващата юрисдикция следва все пак да провери дали с оглед на припомнена в точка 42 от настоящото решение съдебна практика такова обработване действително е било извършвано и след посочената дата.

70 За да се отговори на този въпрос, следва на първо място да се припомни, че съгласно съображение 51 от ОРЗД на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за тези права и свободи. В цитираното съображение се уточнява, че такива лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в посочения регламент.

71 В този контекст член 9, параграф 1 от ОРЗД установява принципа на забрана за обработване на посочените там специални категории лични данни. Става дума по-специално за данни, разкриващи расов или етнически произход, политически възгледи, религиозни убеждения, както и данни за здравословното състояние, сексуалния живот или сексуалната ориентация на дадено физическо лице.

72 За целите на прилагането на член 9, параграф 1 от ОРЗД, в случай на обработване на лични данни, извършено от оператор на онлайн социална мрежа, е необходимо да се провери дали тези данни правят възможно разкриването на информация, която попада в някоя от упоменатите в тази разпоредба категории, независимо дали тази информация се отнася до ползвател на тази мрежа или до друго физическо лице. Ако е така, подобно обработване на лични данни е забранено с изключение на случаите, предвидени в член 9, параграф 2 от ОРЗД.

73 Съдът вече е постановил, че принципната забрана по член 9, параграф 1 от ОРЗД не зависи от това дали разкритата от разглежданото обработване информация е вярна или не и дали администраторът действа с цел да получи информация, попадаща в някоя от визираните в тази разпоредба специални категории. Всъщност предвид значителните рискове за основните права и основните свободи на субектите на данни, породени от всяко обработване на лични данни, които попадат в категориите, посочени в член 9, параграф 1 от ОРЗД, предметът на последната разпоредба е да се забрани това обработване, независимо от обявената цел на обработването (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 69 и 70).

74 Предвид това, макар член 9, параграф 1 по принцип да забранява обработването на данни, отнасящи се по-конкретно до сексуалната ориентация, параграф 2 от същия член предвижда в букви а)—й) десет дерогации, които са независими една от друга и следователно трябва да се преценяват самостоятелно. Следователно фактът, че условията за прилагане на някоя от предвидените в този параграф 2 дерогации не са изпълнени, не може да е пречка администраторът да се позове на друга дерогация, посочена в тази разпоредба (решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 47).

75 По отношение по-конкретно на предвиденото в член 9, параграф 2, буква д) от ОРЗД изключение, следва да се припомни, че съгласно тази разпоредба въведената с член 9, параграф 1 принципна забрана за каквото и да било обработване на специални категории лични данни не се прилага, когато обработването е свързано с лични данни, които „явно са направени обществено достояние от субекта на данните“.

76 Доколкото предвижда изключение от принципа на забрана на обработването на специални категории лични данни, член 9, параграф 2, буква д) от ОРЗД трябва да се тълкува ограничително (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 76 и цитираната съдебна практика).

77 Оттук следва, че за целите на прилагането на изключението, предвидено в член 9, параграф 2, буква д) от ОРЗД, е нужно да се провери дали субектът на данни е възнамерявал изрично и чрез ясно потвърждаващо действие да направи въпросните лични данни достояние за широката общественост (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 77).

78 В случая от акта за преюдициално запитване се установява, че проведената във Виена на 12 февруари 2019 г. дискусия на кръгла маса, по време на която г‑н Schrems обявява сексуалната си ориентация, е била публично достъпна, като в рамките на наличните места всеки е можел да получи билет за събитието и то е било пряко излъчвано по интернет. Освен това след провеждането е публикуван запис от дискусията като подкаст и в YouTube канала на Комисията.

79 При тези обстоятелства и без да отпада необходимостта от проверка в това отношение от страна на националната юрисдикция, не може да се изключи, че макар да е част от по‑широка дискусия и да е направено единствено с цел оспорване на обработването на лични данни от Facebook, споменатото обявяване представлява акт, с който заинтересованото лице напълно съзнателно е направило обществено достояние сексуалната си ориентация по смисъла на член 9, параграф 2, буква д) от ОРЗД.

80 На второ място, обстоятелството, че субектът на данни явно е направил обществено достояние данни за сексуалната си ориентация, макар да означава, че тези данни могат да бъдат обработвани в отклонение от забраната по член 9, параграф 1 от ОРЗД и в съответствие с изискванията, произтичащи от другите разпоредби на този регламент (вж. в този смисъл решение от 24 септември 2019 г., GC и др. (Премахване на чувствителни данни от резултатите при търсене), C‑136/17, EU:C:2019:773, т. 64), само по себе си не допуска, противно на твърденията на Meta Platforms Ireland, обработването на други свързани със сексуалната ориентация на това лице лични данни.

81 Така, от една страна, извод в смисъл, че ако субект на данни явно е направил обществено достояние лични данни, свързани със сексуалната си ориентация, то за всички отнасящи се до тази му ориентация данни отпада защитата по параграф 1 от посочения член, би противоречал с изискването за ограничително тълкуване на член 9, параграф 2, буква д) от ОРЗД.

82 От друга страна, фактът, че лице явно е направило обществено достояние данни, свързани със сексуалната си ориентация, не позволява да се счита, че това лице е изразило съгласие по смисъла на член 9, параграф 2, буква а) от ОРЗД оператор на онлайн платформа за социална мрежа да обработва и други свързани с тази ориентация данни.

83 С оглед на изложеното на четвъртия въпрос следва да се отговори, че член 9, параграф 2, буква д) от ОРЗД трябва да се тълкува в смисъл, че обстоятелството, че лице е обявило сексуалната си ориентация по време на публично достъпна дискусия на кръгла маса, не дава право на оператора на онлайн платформа на социална мрежа да обработва и други свързани със сексуалната ориентация на това лице данни, получени и извън тази платформа, от приложения и уебсайтове на трети партньори, и да ги обобщава и анализира, за да му предлага персонализирана реклама.

По съдебните разноски

84 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (четвърти състав) реши:

1) Член 5, параграф 1, буква в) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

предвиденият в него принцип на „свеждане на данните до минимум“ не допуска всички лични данни — получавани от администратор на данни, какъвто е операторът на онлайн платформа на социална мрежа, от субектите на данните или от трети лица и събирани както на тази платформа, така и извън нея — да бъдат обобщавани, анализирани и обработвани за нуждите на целевата реклама без ограничение във времето и без разграничение според естеството им.

2) Член 9, параграф 2, буква д) от Регламент 2016/679

трябва да се тълкува в смисъл, че

обстоятелството, че лице е обявило сексуалната си ориентация по време на публично достъпна дискусия на кръгла маса, не дава право на оператора на онлайн платформа на социална мрежа да обработва и други свързани със сексуалната ориентация на това лице данни, получени и извън тази платформа, от приложения и уебсайтове на трети партньори, и да ги обобщава и анализира, за да му предлага персонализирана реклама.

Подписи

( *1 ) Език на производството: немски.