Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Wyrok Trybunału (wielka izba) z dnia 5 czerwca 2018 r.

Wspólna odpowiedzialność administratora fanpage’a i Facebook

W sprawie C 210/16

11/10/2018

Administrator Danych, Odpowiedzialność Za Przetwarzanie Danych Użytkowników, Fanpage, Obowiązek Informacyjny, Rodo Na Facebook, Marketing,

Trybunał doszedł do wniosku że pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym. Administrator fanpage’a i Facebook mogą wspólnie ponosić odpowiedzialność za przetwarzanie danych użytkowników fanpage’a.


Odesłanie prejudycjalne – Dyrektywa 95/46/WE – Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Nakaz dezaktywacji strony Facebooka (fanpage’a) pozwalającej na gromadzenie i przetwarzanie pewnych danych dotyczących osób odwiedzających tę stronę – Artykuł 2 lit. d) – Administrator danych osobowych – Artykuł 4 – Właściwe prawo krajowe – Artykuł 28 – Krajowe organy nadzorcze – Uprawnienia interwencyjne tych organów

 

W sprawie C‑210/16

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesverwaltungsgericht (federalny sąd administracyjny, Niemcy) postanowieniem z dnia 25 lutego 2016 r., które wpłynęło do Trybunału w dniu 14 kwietnia 2016 r., w postępowaniu:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

przeciwko

Wirtschaftsakademie Schleswig-Holstein GmbH,

przy udziale:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

TRYBUNAŁ (wielka izba),

w składzie: K. Lenaerts, prezes, A. Tizzano (sprawozdawca), wiceprezes, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský i E. Levits, prezesi izb, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras i E. Regan, sędziowie,

rzecznik generalny: Y. Bot,

sekretarz: C. Strömholm, administrator,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 27 czerwca 2017 r.,

rozważywszy uwagi przedstawione:

–        w imieniu Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przez U. Karpensteina i M. Kottmanna, Rechtsanwälte,

–        w imieniu Wirtschaftsakademie Schleswig-Holstein GmbH przez C. Wolffa, Rechtsanwalt,

–        w imieniu Facebook Ireland Ltd przez C. Eggersa, H.G. Kamanna i M. Brauna, Rechtsanwälte, a także I. Perego, avvocato,

–        w imieniu rządu niemieckiego przez J. Möllera, działającego w charakterze pełnomocnika,

–        w imieniu rządu belgijskiego przez L. Van den Broeck, C. Pochet, P. Cottina i J.C. Halleux, działających w charakterze pełnomocników,

–        w imieniu rządu czeskiego przez M. Smolka, J. Vláčila i L. Březinovą, działających w charakterze pełnomocników,

–        w imieniu Irlandii przez M. Browne, L. Williams, E. Creedon, G. Gilmore i A. Joyce’a, działających w charakterze pełnomocników,

–        w imieniu rządu włoskiego przez G. Palmieri, działającą w charakterze pełnomocnika, wspieraną przez P. Gentilego, avvocato dello Stato,

–        w imieniu rządu niderlandzkiego przez C.S. Schillemans i M.K. Bulterman, działające w charakterze pełnomocników,

–        w imieniu rządu fińskiego przez J. Heliskoskiego, działającego w charakterze pełnomocnika,

–        w imieniu Komisji Europejskiej przez H. Krämera i D. Nardiego, działających w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 24 października 2017 r.,

wydaje następujący

Wyrok

        Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).

        Wniosek ten został złożony w ramach sporu między Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (niezależnym regionalnym organem ds. ochrony danych kraju związkowego Schlezwik-Holsztyn, Niemcy) (zwanym dalej „ULD”) a Wirtschaftsakademie Schleswig-Holstein GmbH, spółką prawa prywatnego specjalizującą się w dziedzinie edukacji (zwaną dalej „Wirtschaftsakademie”), w przedmiocie zgodności z prawem wydanego przez ULD wobec Wirtschaftsakademie nakazu dezaktywacji jej fanpage’a prowadzonego na stronie portalu społecznościowego Facebook (zwanego dalej „Facebookiem”).

 Ramy prawne

 Prawo Unii

        Motywy 10, 18, 19 i 26 dyrektywy 95/46 mają następujące brzmienie:

„(10)      Celem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności oraz w zasadach ogólnych prawa [Unii]; z tego powodu zbliżanie przepisów prawa nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony [w Unii].

[…]

(18)      Aby nie dopuścić do pozbawienia jednostek ochrony, do której mają prawo na mocy niniejszej dyrektywy, wszelkie przetwarzanie danych osobowych [w Unii] musi być przeprowadzane zgodnie z ustawodawstwem jednego z państw członkowskich; w związku z tym przetwarzanie danych przeprowadzane na odpowiedzialność administratora danych, który prowadzi działalność gospodarczą na terenie państwa członkowskiego, powinno być regulowane przez ustawodawstwo tego państwa.

(19)      Prowadzenie działalności gospodarczej na terytorium państwa członkowskiego zakłada efektywne i rzeczywiste prowadzenie działań poprzez stabilne rozwiązania; forma prawna prowadzonej działalności gospodarczej, niezależnie, czy jest to oddział lub filia [spółka zależna] posiadająca osobowość prawną, nie jest w tym względzie czynnikiem decydującym; w przypadku ustanowienia jednego administratora danych na terytorium kilku państw członkowskich, szczególnie w postaci filii [spółki zależnej], musi on zapewnić, w celu uniknięcia obejścia przepisów krajowych, że każda z prowadzonych działalności gospodarczych będzie spełniać obowiązki wynikające z prawa krajowego.

[…]

(26)      Zasady ochrony danych muszą odnosić się do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób; w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby; zasady ochrony danych nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że podmiot danych nie będzie mógł być zidentyfikowany; […]”.

        Artykuł 1 dyrektywy 95/46, zatytułowany „Cel dyrektywy”, stanowi:

„1.      Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.

2.      Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.

        Artykuł 2 tej dyrektywy, zatytułowany „Definicje”, brzmi następująco:

„Do celów niniejszej dyrektywy:

[…]

b)      »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;

[…]

d)      »administrator danych« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach [Unii], administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub [Unii];

e)      »przetwarzający« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych;

f)      »osoba trzecia« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ niebędący osobą, której dane dotyczą, ani administratorem danych, ani przetwarzającym lub jedną z osób, które pod bezpośrednim zwierzchnictwem administratora danych lub przetwarzającego upoważnione są do przetwarzania danych;

[…]”.

        Artykuł 4 wspomnianej dyrektywy, zatytułowany „Odpowiednie prawo krajowe”, stanowi w ust. 1:

„Każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:

a)      przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw [każdy z jego oddziałów] wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego;

b)      administrator danych nie prowadzi działalności gospodarczej na terytorium państwa członkowskiego, lecz w miejscu, gdzie jego prawo krajowe obowiązuje na mocy międzynarodowego prawa publicznego;

c)      administrator danych nie prowadzi działalności gospodarczej na terytorium [Unii], a do celów przetwarzania danych osobowych wykorzystuje środki, zarówno zautomatyzowane jak i inne, znajdujące się na terytorium wymienionego państwa członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium [Unii]”.

        Artykuł 17 dyrektywy 95/46, zatytułowany „Bezpieczeństwo przetwarzania danych”, stanowi w ust. 1 i 2:

„1.      Państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania.

Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, przyjęte zostaną takie środki, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną.

2.      Państwa członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań”.

        Artykuł 24 tej dyrektywy, zatytułowany „Sankcje”, przewiduje:

„Państwa członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów niniejszej dyrektywy oraz w szczególności określą sankcje, jakie należy nałożyć w przypadku naruszenia przepisów przyjętych zgodnie z niniejszą dyrektywą”.

        Artykuł 28 wspomnianej dyrektywy, zatytułowany „Organ nadzorczy”, ma następujące brzmienie:

„1.      Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.

Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji.

2.      Każde państwo członkowskie wprowadza obowiązek konsultowania się z organami nadzorczymi przy opracowywaniu środków administracyjnych lub przepisów dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych.

3.      Każdy organ jest w szczególności wyposażony w:

–        uprawnienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych,

–        skuteczne uprawnienia interwencyjne, jak np. prawo do wyrażania opinii przed przystąpieniem do operacji przetwarzania danych zgodnie z art. 20, oraz zapewnienia odpowiedniej publikacji swoich opinii, zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych, ostrzegania lub upominania administratora danych, lub też prawo kierowania sprawy do parlamentów narodowych lub innych instytucji politycznych,

–        prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą lub powiadomienie organów sądowych o takim naruszeniu.

Od decyzji organu nadzorczego, co do którego zgłaszane są zastrzeżenia, [Od niekorzystnej decyzji organu nadzorczego] przysługuje odwołanie do właściwego sądu.

[…]

6.      Każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania na terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego państwa członkowskiego [Do każdego organu może się zwrócić z żądaniem wykonania jego uprawnień odpowiedni organ innego państwa członkowskiego].

Organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji.

[…]”.

 Prawo niemieckie

10      Paragraf 3 ust. 7 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych), w wersji mającej zastosowanie do okoliczności faktycznych w postępowaniu głównym (zwanej dalej „BDSG”), ma następujące brzmienie:

„Administrator danych oznacza każdą osobę lub każdy podmiot, który gromadzi, przetwarza lub wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom”.

      Paragraf 11 BDSG, zatytułowany „Gromadzenie, przetwarzanie lub wykorzystywanie danych osobowych zlecone innemu podmiotowi”, ma następujące brzmienie:

„1.      Jeżeli gromadzenie, przetwarzanie lub wykorzystywanie danych osobowych zostaje zlecone innym podmiotom, administrator danych udzielający zlecenia jest odpowiedzialny za przestrzeganie przepisów niniejszej ustawy oraz innych przepisów dotyczących ochrony danych. […]

2.      Przetwarzający na podstawie zlecenia musi zostać starannie wybrany ze szczególnym uwzględnieniem odpowiedniego charakteru podjętych przez niego środków technicznych i organizacyjnych. Zlecenie wymaga formy pisemnej, przy czym należy szczegółowo określić przede wszystkim: […]

Administrator danych udzielający zlecenia musi upewnić się przed rozpoczęciem przetwarzania danych, a następnie w regularnych odstępach czasu, że środki techniczne i organizacyjne podjęte przez przetwarzającego na podstawie zlecenia są przestrzegane. Wynik musi być udokumentowany.

[…]”.

      Paragraf 38 ust. 5 BDSG stanowi:

„W celu zapewnienia przestrzegania przepisów niniejszej ustawy oraz innych przepisów dotyczących ochrony danych organ nadzorczy może zarządzić środki zmierzające do wyeliminowania naruszeń stwierdzonych przy gromadzeniu, przetwarzaniu lub wykorzystywaniu danych osobowych lub uchybień technicznych lub organizacyjnych. W przypadku poważnych naruszeń lub uchybień, w szczególności jeżeli stanowią one szczególne ryzyko naruszenia prawa do prywatności, organ ten może zakazać gromadzenia, przetwarzania lub wykorzystywania danych, a nawet stosowania określonych procedur, jeżeli naruszenia lub uchybienia nie zostaną usunięte w odpowiednim czasie, wbrew nakazowi, o którym mowa w zdaniu pierwszym, i pomimo zastosowania grzywny. Ów organ może żądać odwołania inspektora ochrony danych, jeżeli nie posiada on wiedzy fachowej i rzetelności, niezbędnych do wykonywania jego zadań”.

      Paragraf 12 Telemediengesetz (ustawy o mediach elektronicznych) z dnia 26 lutego 2007 r. (BGBl. 2007 I, s. 179, zwanej dalej „TMG”) ma następujące brzmienie:

„1.      Usługodawca może gromadzić i wykorzystywać dane osobowe w celu udostępniania telemediów, o ile zezwala na to niniejsza ustawa lub inny przepis prawny, który odnosi się wyraźnie do telemediów, lub gdy użytkownik wyraził na to zgodę.

[…]

3.      O ile prawo nie stanowi inaczej, należy stosować przepisy obowiązujące w odniesieniu do ochrony danych osobowych, nawet jeżeli dane nie są przetwarzane w zautomatyzowany sposób”.

 Postępowanie główne i pytania prejudycjalne

      Wirtschaftsakademie świadczy usługi kształcenia przy użyciu fanpage’a prowadzonego na Facebooku.

      Fanpage’e to konta użytkowników, które mogą być skonfigurowane na Facebooku przez osoby fizyczne lub przedsiębiorstwa. W tym celu po zarejestrowaniu się na Facebooku autor fanpage’a może wykorzystywać platformę oferowaną przez Facebook do zaprezentowania się użytkownikom tego portalu społecznościowego, jak również osobom odwiedzającym fanpage’a oraz do zamieszczania informacji wszelkiego rodzaju na rynku mediów i poglądów. Administratorzy fanpage’ów mogą uzyskać anonimowe dane statystyczne dotyczące osób odwiedzających te strony za pomocą funkcji „Facebook Insights” udostępnionej im nieodpłatnie przez Facebook stosownie do niepodlegających zmianie warunków korzystania. Dane te są gromadzone dzięki plikom szpiegującym (zwanym dalej „plikami cookies”), z których każdy zawiera niepowtarzalny kod użytkownika; są one aktywne przez dwa lata i zapisywane przez Facebook na twardym dysku komputera lub na każdym innym nośniku osób odwiedzających fanpage’a. Kod użytkownika, który można powiązać z danymi połączenia użytkowników zarejestrowanych na Facebooku, zostaje pobrany i przetworzony w chwili otwarcia fanpage’ów. W tym względzie z postanowienia odsyłającego wynika, że ani Wirtschaftsakademie, ani Facebook Ireland Ltd nie wspomniały o operacji zapisania i o działaniu tego pliku cookie lub o późniejszym przetwarzaniu danych, przynajmniej w okresie mającym znaczenie dla postępowania głównego.

      Decyzją z dnia 3 listopada 2011 r. (zwaną dalej „zaskarżoną decyzją”) ULD, jako organ nadzorczy w rozumieniu art. 28 dyrektywy 95/46, odpowiedzialny za monitorowanie stosowania na terytorium kraju związkowego Szlezwik-Holsztyn (Niemcy) przepisów przyjętych przez Republikę Federalną Niemiec na podstawie tej dyrektywy, nakazał Wirtschaftsakademie, zgodnie z § 38 ust. 5 zdanie pierwsze BDSG, dezaktywację fanpage’a stworzonego przez nią na Facebooku pod adresem: www.facebook.com/wirtschaftsakademie pod groźbą grzywny w przypadku niewykonania decyzji w wyznaczonym terminie ze względu na to, iż ani Wirtschaftsakademie, ani Facebook nie informowali osób odwiedzających fanpage’a o tym, że Facebook gromadził za pomocą plików cookies dotyczące ich dane osobowe oraz że następnie przetwarzali te informacje. Wirtschaftsakademie wniosła odwołanie od tej decyzji, w którym podniosła w istocie, że nie była odpowiedzialna z punktu widzenia prawa mającego zastosowanie do ochrony danych ani za przetwarzanie danych dokonywane przez Facebook, ani za zainstalowane przez niego pliki cookies.

      Decyzją z dnia 16 grudnia 2011 r. ULD oddalił to odwołanie, uznając, że odpowiedzialność Wirtschaftsakademie jako usługodawcy została ustalona na podstawie § 3 ust. 3 pkt 4 i § 12 ust. 1 TMG w związku z § 3 ust. 7 BDSG. ULD wskazał, że stworzywszy swój fanpage, Wirtschaftsakademie wniosła aktywny i dobrowolny wkład w gromadzenie przez Facebook danych osobowych dotyczących osób odwiedzających tego fanpage’a, z których to danych korzystała dzięki statystykom udostępnianym przez ten portal społecznościowy.

      Wirtschaftsakademie wniosła skargę na tę decyzję do Verwaltungsgericht (sądu administracyjnego, Niemcy), podnosząc, że nie można jej przypisać przetwarzania danych osobowych dokonywanego przez Facebook oraz że nie powierzyła ona również Facebookowi przetwarzania danych, w rozumieniu § 11 BDSG, które byłoby przez nią kontrolowane lub na które mogłaby wywierać wpływ. Wirtschaftsakademie doszła na tej podstawie do wniosku, że ULD powinien był podjąć działania bezpośrednio przeciwko Facebookowi i nie powinien był przyjmować przeciwko niej zaskarżonej decyzji.

      Wyrokiem z dnia 9 października 2013 r. Verwaltungsgericht (sąd administracyjny) uchylił zaskarżoną decyzję, wskazując w istocie, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG, w związku z czym Wirtschaftsakademie nie mogła być adresatem środka podjętego na podstawie § 38 ust. 5 BDSG.

      Oberverwaltungsgericht (wyższy sąd administracyjny, Niemcy) oddalił apelację wniesioną od tego wyroku przez ULD jako bezzasadną. Ów sąd uznał w istocie, że zakaz przetwarzania danych nałożony zaskarżoną decyzją był niezgodny z prawem, ponieważ w § 38 ust. 5 zdanie drugie BDSG przewidziano postępowanie progresywne, którego pierwszy etap umożliwia jedynie przyjęcie środków zmierzających do usunięcia stwierdzonych naruszeń przy przetwarzaniu danych. Natychmiastowy zakaz przetwarzania danych jest możliwy tylko wtedy, gdy proces przetwarzania danych jest w całości niezgodny z prawem i tylko wstrzymanie tego procesu może naprawić to naruszenie. Zdaniem Oberverwaltungsgericht (wyższego sądu administracyjnego) nie jest tak w niniejszej sprawie, ponieważ Facebook miał możliwość położenia kresu naruszeniom zarzucanym przez ULD.

      Oberverwaltungsgericht (wyższy sąd administracyjny) dodał, że zaskarżona decyzja jest niezgodna z prawem również z tego powodu, że nakaz na podstawie § 38 ust. 5 BDSG może zostać wydany jedynie wobec administratora danych w rozumieniu § 3 ust. 7 BDSG, zaś Wirtschaftsakademie nim nie jest w odniesieniu do danych zgromadzonych przez Facebook. Wyłącznie Facebook decyduje bowiem o celu i sposobach związanych z gromadzeniem i przetwarzaniem danych osobowych wykorzystywanych w ramach funkcji „Facebook Insights”, zaś Wirtschaftsakademie otrzymuje jedynie zanonimizowane informacje statystyczne.

      ULD wniósł skargę rewizyjną (Revision) do Bundesverwaltungsgericht (federalnego sądu administracyjnego, Niemcy), podnosząc między innymi naruszenie § 38 ust. 5 BDSG oraz szereg błędów proceduralnych popełnionych przy wydaniu orzeczenia przez sąd apelacyjny. ULD uważa, że naruszenie popełnione przez Wirtschaftsakademie polega na tym, iż powierzyła ona niewłaściwemu dostawcy – ponieważ nieprzestrzegającemu prawa właściwego w zakresie ochrony danych, w niniejszym przypadku Facebook Ireland – realizację, hosting i prowadzenie strony internetowej. Skierowany do Wirtschaftsakademie w zaskarżonej decyzji nakaz dezaktywacji jej fanpage’a zmierza więc do naprawienia tego naruszenia, ponieważ zakazuje jej dalszego używania infrastruktury Facebooka jako technicznej bazy dla jej strony internetowej.

      Podobnie jak Oberverwaltungsgericht (wyższy sąd administracyjny) Bundesverwaltungsgericht (federalny sąd administracyjny) jest zdania, że Wirtschaftsakademie nie może zostać uznana za administratora danych w rozumieniu § 3 ust. 7 BDSG lub art. 2 lit. d) dyrektywy 95/46. Bundesverwaltungsgericht (federalny sąd administracyjny) uważa jednak, że pojęcie to należy co do zasady interpretować w sposób rozszerzający w interesie skutecznej ochrony prawa do prywatności, jak Trybunał przyznał w swoim najnowszym orzecznictwie dotyczącym tej dziedziny. Ów sąd ma również wątpliwości co do uprawnień, jakimi ULD dysponuje w niniejszym przypadku wobec Facebook Germany, zważywszy na fakt, iż podmiotem odpowiedzialnym za gromadzenie i przetwarzanie danych osobowych w ramach grupy Facebook jest na poziomie Unii Facebook Ireland. Wreszcie sąd ten zastanawia się, dla celów wykonywania uprawnień interwencyjnych ULD, nad wpływem ocen dokonanych przez organ nadzorczy, któremu podlega Facebook Ireland, w zakresie zgodności z prawem przetwarzania danych osobowych, o których mowa.

      W tych okolicznościach Bundesverwaltungsgericht (federalny sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Czy art. 2 lit. d) dyrektywy [95/46] należy interpretować w ten sposób, że reguluje on w sposób wyczerpujący odpowiedzialność za naruszenia ochrony danych, czy też w ramach »odpowiednich środków«, o których mowa w art. 24 [tej dyrektywy], i »skutecznych uprawnień interwencyjnych«, o których mowa w [jej] art. 28 ust. 3 tiret trzecie, w wielostopniowych stosunkach między zamieszczającymi [udostępniającymi] informacje pozostaje miejsce na odpowiedzialność podmiotu, który nie jest administratorem danych w rozumieniu art. 2 lit. d) [omawianej dyrektywy], w przypadku wyboru operatora udostępnianych przez ten podmiot informacji?

2)      Czy z przewidzianego w art. 17 ust. 2 dyrektywy [95/46] obowiązku państw członkowskich zobowiązania administratora danych, w przypadku przetwarzania danych w jego imieniu, »do wybrania przetwarzającego o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa« wynika a contrario, że w przypadku innych stosunków użytkowania, które nie są związane z przetwarzaniem danych w imieniu administratora danych w rozumieniu art. 2 lit. e) [tej dyrektywy], nie istnieje obowiązek starannego wyboru i nie może on zostać ustanowiony również na podstawie prawa krajowego?

3)      Czy w przypadkach, w których spółka dominująca mająca siedzibę poza Unią Europejską utrzymuje w różnych państwach członkowskich prawnie samodzielne przedsiębiorstwa (spółki zależne), organ nadzorczy państwa członkowskiego (tutaj: Niemiec) jest uprawniony zgodnie z art. 4 i art. 28 ust. 6 dyrektywy [95/46] do wykonywania uprawnień powierzonych mu zgodnie z art. 28 ust. 3 [tej dyrektywy] wobec przedsiębiorstwa położonego na jej terytorium również wtedy, jeżeli przedsiębiorstwo to jest odpowiedzialne wyłącznie za promocję sprzedaży reklam i inne działania marketingowe skierowane do mieszkańców tego państwa członkowskiego, podczas gdy zgodnie z podziałem zadań wewnątrz koncernu wyłączna odpowiedzialność za gromadzenie i przetwarzanie danych osobowych na całym terytorium Unii Europejskiej i tym samym również w innym państwie członkowskim (tutaj: Niemczech) spoczywa na położonym w innym państwie członkowskim (tutaj: Irlandii) samodzielnym przedsiębiorstwie (spółce zależnej), jeżeli decyzja o przetwarzaniu danych jest faktycznie podejmowana przez spółkę dominującą?

4)      Czy art. 4 ust. 1 i art. 28 ust. 3 dyrektywy [95/46] należy interpretować w ten sposób, że w przypadkach, w których administrator danych prowadzi przedsiębiorstwo na terytorium jednego państwa członkowskiego (tutaj: Irlandii) i na terytorium innego państwa członkowskiego (tutaj: Niemiec) istnieje kolejne, prawnie samodzielne przedsiębiorstwo, które w szczególności jest odpowiedzialne za sprzedaż powierzchni reklamowych, i którego działalność jest skierowana do mieszkańców tego państwa, właściwy w tym innym państwie członkowskim (tutaj: Niemczech) organ nadzorczy może skierować środki i nakazy w celu egzekwowania ochrony danych również wobec kolejnego przedsiębiorstwa (tutaj: w Niemczech), do którego zgodnie z podziałem zadań wewnątrz koncernu nie należy administrowanie danymi, czy też rzeczone środki i nakazy może stosować jedynie organ nadzorczy państwa członkowskiego (tutaj: Irlandii), na terytorium którego ma swoją siedzibę przedsiębiorstwo administrujące danymi zgodnie z podziałem zadań wewnątrz koncernu?

5)      Czy art. 4 ust. 1 lit. a) oraz art. 28 ust. 3 i 6 dyrektywy [95/46] należy interpretować w ten sposób, że w przypadkach, w których organ nadzorczy państwa członkowskiego (tutaj: Niemiec) występuje przeciwko działającej na jego terytorium osobie lub jednostce zgodnie z art. 28 ust. 3 [tej dyrektywy] w związku z niestarannym wyborem osoby trzeciej włączonej w proces przetwarzania danych (tutaj: przedsiębiorstwa Facebook) z uwagi na to, że ta osoba trzecia narusza przepisy dotyczące ochrony danych, działający organ nadzorczy (tutaj: Niemcy) jest włączony w ocenę dokonywaną przez organ nadzorczy innego państwa członkowskiego, w którym administrująca danymi osoba trzecia ma swoją siedzibę (tutaj: Irlandii) w tym znaczeniu, że nie może dokonać odmiennej oceny prawnej, czy też podejmujący działanie organ nadzorczy (tutaj: Niemcy) może samodzielnie zbadać zgodność z prawem przetwarzania danych przez mającą siedzibę w innym państwie członkowskim (tutaj: Irlandii) osobę trzecią jako kwestię wstępną, zanim organ ten podejmie działania we własnym zakresie?

6)      Jeżeli podejmujący działanie organ nadzorczy (tutaj: w Niemczech) może dokonać samodzielnej weryfikacji: czy art. 28 ust. 6 zdanie drugie dyrektywy [95/46] należy interpretować w ten sposób, że organ ten może wykonywać powierzone mu zgodnie z art. 28 ust. 3 [tej dyrektywy] skuteczne uprawnienia interwencyjne wobec mającej siedzibę na jego terytorium osoby lub jednostki w związku ze współodpowiedzialnością mającej siedzibę w innym państwie członkowskim osoby trzeciej za naruszenia przepisów dotyczących ochrony danych wyłącznie wtedy, jeżeli wcześniej organ nadzorczy tego innego państwa członkowskiego (tutaj: Irlandii) zwrócił się z żądaniem wykonania jego uprawnień?”.

 W przedmiocie pytań prejudycjalnych

 W przedmiocie pytań pierwszego i drugiego

      W swoich pytaniach pierwszym i drugim, które należy zbadać łącznie, sąd odsyłający zmierza w istocie do ustalenia, czy art. 2 lit. d), art. 17 ust. 2, art. 24 i art. 28 ust. 3 tiret drugie dyrektywy 95/46 należy interpretować w ten sposób, że umożliwiają one uwzględnienie odpowiedzialności podmiotu, jako administratora fanpage’a prowadzonego na stronie portalu społecznościowego, w przypadku naruszenia przepisów dotyczących ochrony danych osobowych ze względu na decyzję tego podmiotu o korzystaniu z tego portalu społecznościowego w celu upowszechniania swojej oferty informacyjnej.

26      Aby udzielić odpowiedzi na te pytania, należy przypomnieć, że – jak wynika z art. 1 ust. 1 i z motywu 10 dyrektywy 95/46 – jej celem jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania danych osobowych (wyrok z dnia 11 grudnia 2014 r., Ryneš, C‑212/13, EU:C:2014:2428, pkt 27 i przytoczone tam orzecznictwo).

      Zgodnie z owym celem art. 2 lit. d) tej dyrektywy definiuje w sposób szeroki pojęcie „administratora danych” jako oznaczające osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych.

      Jak orzekł już bowiem Trybunał, celem tego przepisu jest zapewnienie, poprzez przyjęcie szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 34).

      Ponadto, zważywszy, że – jak wyraźnie stanowi art. 2 lit. d) dyrektywy 95/46 – pojęcie „administratora danych” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi podmiotami” określa cele i sposoby przetwarzania danych osobowych, pojęcie to nie odsyła koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych.

      W niniejszym przypadku Facebook Inc. oraz, jeśli chodzi o Unię, Facebook Ireland muszą zostać uznane za podmioty określające w pierwszej kolejności cele i sposoby przetwarzania danych osobowych użytkowników Facebooka, a także osób, które odwiedziły fanpage’e prowadzone na Facebooku, w związku z czym objęte są one pojęciem „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46, co nie zostało podane w wątpliwość w niniejszej sprawie.

      W związku z tym, aby odpowiedzieć na zadane pytania, należy zbadać, czy i w jakim zakresie administrator fanpage’a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, przyczynia się w ramach tego fanpage’a do określenia, wspólnie z Facebook Ireland i Facebook Inc., celów i sposobów przetwarzania danych osobowych osób odwiedzających ów fanpage i może też zatem zostać uznany za „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46.

      W tym względzie jest jasne, że każda osoba, która chce utworzyć fanpage’a na Facebooku, zawiera z Facebook Ireland szczególną umowę w sprawie otwarcia takiej strony i akceptuje w związku z tym warunki korzystania z tej strony, w tym odnośną politykę w dziedzinie plików cookies, co powinien ustalić sąd krajowy.

      Jak wynika z akt sprawy przedłożonych Trybunałowi, przetwarzanie danych, o którym mowa w postępowaniu głównym, jest zasadniczo dokonywane poprzez zapisanie przez Facebook na komputerze lub na każdym innym urządzeniu osób odwiedzających fanpage’a plików cookies, które mają na celu przechowywanie informacji w przeglądarkach internetowych i pozostają aktywne przez okres dwóch lat, jeśli nie zostaną usunięte. Z akt sprawy wynika też, że w praktyce Facebook otrzymuje, zapisuje i przetwarza informacje przechowywane w plikach cookies w szczególności, gdy osoba korzysta z „usług Facebooka, usług świadczonych przez inne spółki Facebooka oraz usług świadczonych przez inne przedsiębiorstwa, które korzystają z usług Facebooka”. Ponadto inne podmioty, takie jak partnerzy Facebooka, a nawet osoby trzecie, „mogą korzystać z plików cookies w produktach Facebooka, aby [świadczyć usługi bezpośrednio temu portalowi społecznościowemu], a także przedsiębiorstwom reklamującym się na Facebooku”.

      Takie przetwarzanie danych osobowych ma w szczególności pozwolić, po pierwsze, Facebookowi na poprawę jego systemu reklam, jakie emituje on za pośrednictwem swego portalu, a po drugie, administratorowi fanpage’a na uzyskanie statystyk sporządzonych przez Facebook w oparciu o liczbę odwiedzających tę stronę, do celów zarządzania promocją jego działalności, które to statystyki umożliwiają temu administratorowi poznanie na przykład profilu odwiedzających, którzy oceniają jego fanpage’a lub korzystają z jego aplikacji, tak aby mógł im zaproponować bardziej odpowiednie treści i rozwinąć funkcje, które mogłyby ich zainteresować w większym stopniu.

      Tymczasem wprawdzie sam fakt korzystania z portalu społecznościowego, takiego jak Facebook, nie sprawia, że użytkownik Facebooka staje się współodpowiedzialny za przetwarzanie danych osobowych dokonywane przez ów portal, należy jednak zaznaczyć, że administrator fanpage’a prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage’a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie.

      W tym kontekście z informacji przedstawionych Trybunałowi wynika, że utworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. Ów administrator może za pomocą filtrów udostępnionych przez Facebook zdefiniować kryteria, na podstawie których statystyki te muszą być sporządzane, a nawet określić kategorie osób, których dane osobowe będą wykorzystywane przez Facebook. W konsekwencji administrator fanpage’a prowadzonego na Facebooku przyczynia się do przetwarzania danych osobowych osób odwiedzających jego stronę.

      W szczególności administrator fanpage’a może zwrócić się o udzielenie – a zatem o przetworzenie – danych demograficznych dotyczących jego użytkowników docelowych, a w szczególności tendencji w zakresie wieku, płci, stanu cywilnego i statusu zawodowego; informacji na temat stylu życia i zainteresowań jego użytkowników docelowych, a także informacji dotyczących zakupów i zachowań w zakresie zakupów w sieci osób odwiedzających jego stronę, kategorii produktów lub usług, które najbardziej ich interesują, jak również danych geograficznych, które pozwalają administratorowi fanpage’a ustalić, gdzie należy przeprowadzić specjalne promocje lub zorganizować wydarzenia, a bardziej ogólnie, jak najlepiej ukierunkować swą ofertę informacyjną.

      Wprawdzie statystyki dotyczące użytkowników sporządzone przez Facebook są przekazywane wyłącznie administratorowi fanpage’a w formie zanonimizowanej, nie zmienia to jednak faktu, że sporządzanie tych statystyk opiera się na wcześniejszym gromadzeniu, za pomocą plików cookies instalowanych przez Facebook na komputerach lub na wszelkich innych urządzeniach osób odwiedzających tę stronę, i na przetwarzaniu danych osobowych tych osób w celach statystycznych. Dyrektywa 95/46 nie wymaga w żadnym razie, by w przypadku wspólnej odpowiedzialności kilku podmiotów w zakresie tego samego przetwarzania każdy miał dostęp do odnośnych danych osobowych.

      W tych okolicznościach należy uznać, że administrator fanpage’a prowadzonego na Facebooku, taki jak Wirtschaftsakademie, uczestniczy, podejmując działania polegające na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, w określeniu celów i sposobów przetwarzania danych osobowych osób odwiedzających jego fanpage’a. Z tego względu w niniejszym przypadku należy uznać, że ów administrator fanpage’a ponosi na poziomie Unii wspólną odpowiedzialność z Facebook Ireland za przetwarzanie danych w rozumieniu art. 2 lit. d) dyrektywy 95/46.

      Okoliczność, iż administrator fanpage’a korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych, nie zwalnia go bowiem z jego obowiązków w dziedzinie ochrony danych osobowych.

      Ponadto należy podkreślić, że fanpage’e prowadzone na Facebooku mogą być odwiedzane również przez osoby, które nie są użytkownikami Facebooka i które w związku z tym nie posiadają konta użytkownika na tym portalu społecznościowym. W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.

      W tych okolicznościach uwzględnienie wspólnej odpowiedzialności operatora portalu społecznościowego i administratora fanpage’a prowadzonego na tym portalu w związku z przetwarzaniem danych osobowych osób odwiedzających ów fanpage przyczynia się do zapewnienia bardziej kompleksowej ochrony praw przysługujących osobom, które odwiedzają fanpage’a, zgodnie z wymogami dyrektywy 95/46.

      Mając powyższe na względzie, należy wyjaśnić, że – jak wskazał rzecznik generalny w pkt 75 i 76 swej opinii – istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy.

      W świetle powyższych rozważań na pytania pierwsze i drugie należy odpowiedzieć, że art. 2 lit. d) dyrektywy 95/46 powinien być interpretowany w ten sposób, iż pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.

 W przedmiocie pytań trzeciego i czwartego

      W pytaniach trzecim i czwartym, które należy zbadać łącznie, sąd odsyłający zmierza w istocie do ustalenia, czy artykuły 4 i 28 dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy przedsiębiorstwo z siedzibą poza Unią ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału znajdującego się na terytorium tego państwa członkowskiego, nawet jeżeli zgodnie z podziałem zadań w obrębie grupy, po pierwsze, ów oddział jest wyłącznie odpowiedzialny za sprzedaż przestrzeni reklamowej i inne działania marketingowe na terytorium rzeczonego państwa członkowskiego, a po drugie, wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych ponosi w zakresie całego terytorium Unii oddział położony w innym państwie członkowskim, lub czy do organu nadzorczego tego ostatniego państwa członkowskiego należy wykonywanie tych uprawnień w stosunku do drugiego oddziału.

      ULD i rząd włoski wyrażają wątpliwości co do dopuszczalności tych pytań z uwagi na fakt, iż nie są one istotne dla rozstrzygnięcia sporu w postępowaniu głównym. W istocie adresatem zaskarżonej decyzji jest Wirtschaftsakademie, w związku z czym nie dotyczy ona ani Facebook Inc., ani żadnej z jego spółek zależnych mających siedzibę na terytorium Unii.

      W tym względzie należy przypomnieć, że w ramach ustanowionej w art. 267 TFUE współpracy między Trybunałem i sądami krajowymi wyłącznie do sądu krajowego, który rozstrzyga spór i musi przyjąć odpowiedzialność za mające zapaść orzeczenie sądowe, należy ocena – w świetle szczególnych okoliczności sprawy – zarówno konieczności uzyskania orzeczenia w trybie prejudycjalnym dla wydania wyroku, jak i znaczenia przedstawionych Trybunałowi pytań. W konsekwencji, jeśli przedstawione pytania dotyczą wykładni prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia (wyrok z dnia 6 września 2016 r., Petruhhin, C‑182/15, EU:C:2016:630, pkt 19 i przytoczone tam orzecznictwo).

      W niniejszym przypadku należy wskazać, że sąd odsyłający twierdzi, iż odpowiedź Trybunału na pytania prejudycjalne trzecie i czwarte jest mu potrzebna do rozstrzygnięcia sporu w postępowaniu głównym. Wyjaśnia on bowiem, że w przypadku gdyby zostało stwierdzone w świetle tej odpowiedzi, iż ULD mógł wyeliminować podnoszone naruszenia prawa do ochrony danych osobowych, przyjmując środek przeciwko Facebook Germany, taka okoliczność mogłaby wskazywać na istnienie błędu w ocenie popełnionego przy wydaniu zaskarżonej decyzji w zakresie, w jakim została ona błędnie wydana przeciwko Wirtschaftsakademie.

      W tej sytuacji pytania trzecie i czwarte są dopuszczalne.

      Aby odpowiedzieć na te pytania, należy przypomnieć na wstępie, że zgodnie z art. 28 ust. 1 i 3 dyrektywy 95/46 każdy organ nadzorczy wykonuje wszelkie uprawnienia nadane mu przez prawo krajowe na terytorium państwa członkowskiego, któremu podlega, w celu zapewnienia na tym terytorium przestrzegania norm prawnych z dziedziny ochrony danych (zob. podobnie wyrok z dnia 1 października 2015 r., Weltimmo, C‑230/14, EU:C:2015:639, pkt 51).

      Kwestia, jakie prawo krajowe ma zastosowanie do przetwarzania danych osobowych, jest regulowana w art. 4 dyrektywy 95/46. Zgodnie z art. 4 ust. 1 lit. a) tej dyrektywy każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy tej dyrektywy, wówczas gdy przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium tego państwa członkowskiego. W przepisie tym dodano, że jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każdy z jego oddziałów wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego.

      Z lektury tego przepisu w związku z art. 28 ust. 1 i 3 dyrektywy 95/46 wynika, że w sytuacji gdy prawo krajowe państwa członkowskiego, któremu podlega organ nadzorczy, ma zastosowanie na podstawie art. 4 ust. 1 lit. a) tej dyrektywy ze względu na fakt, iż przetwarzanie to jest dokonywane w kontekście działalności gospodarczej prowadzonej przez oddział administratora danych na terytorium tego państwa członkowskiego, ów organ nadzorczy może wykonywać wszelkie uprawnienia nadane mu przez to prawo w stosunku do tego oddziału i to niezależnie od kwestii, czy administrator danych posiada oddziały również w innych państwach członkowskich.

      Tak więc, aby ustalić, czy w okolicznościach takich jak te w postępowaniu głównym organ nadzorczy może wykonywać w stosunku do oddziału znajdującego się na terytorium państwa członkowskiego, któremu ów organ podlega, uprawnienia przyznane mu przez prawo krajowe, należy zbadać, czy zostały spełnione dwie przesłanki określone w art. 4 ust. 1 lit. a) dyrektywy 95/46, a mianowicie, po pierwsze, czy chodzi o „[oddział] administratora danych” w rozumieniu tego przepisu, a po drugie, czy owo przetwarzanie danych odbywa się „w kontekście prowadzenia […] działalności gospodarczej” tego oddziału w rozumieniu tego samego przepisu.

      W pierwszej kolejności, jeśli chodzi o przesłankę, zgodnie z którą administrator danych osobowych powinien dysponować oddziałem na terytorium państwa członkowskiego, któremu podlega odnośny organ nadzorczy, należy przypomnieć, iż motyw 19 dyrektywy 95/46 stanowi, że prowadzenie działalności gospodarczej na terytorium państwa członkowskiego zakłada efektywne i rzeczywiste prowadzenie działań poprzez stabilne rozwiązania organizacyjne i że forma prawna prowadzonej działalności gospodarczej – niezależnie od tego, czy jest to oddział lub spółka zależna posiadająca osobowość prawną – nie jest w tym względzie czynnikiem decydującym (wyrok z dnia 1 października 2015 r., Weltimmo, C‑230/14, EU:C:2015:639, pkt 28 i przytoczone tam orzecznictwo).

      W niniejszej sprawie jest bezsporne, że Facebook Inc., jako administrator danych osobowych, wspólnie z Facebook Ireland, posiada stały oddział w Niemczech, mianowicie Facebook Germany, znajdujący się w Hamburgu, i że ta ostatnia spółka efektywnie i rzeczywiście prowadzi działalność w rzeczonym państwie członkowskim. Z tego względu jest ona oddziałem w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46.

      W drugiej kolejności, jeśli chodzi o przesłankę, zgodnie z którą przetwarzanie danych osobowych powinno odbywać się „w kontekście prowadzenia […] działalności gospodarczej” odnośnego oddziału, należy przypomnieć przede wszystkim, że zważywszy na cel dyrektywy 95/46 polegający na zapewnieniu skutecznej i pełnej ochrony swobód i praw podstawowych osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych, w odniesieniu do wyrażenia „w kontekście prowadzenia […] działalności gospodarczej” nie można przyjmować wykładni zawężającej (wyrok z dnia 1 października 2015 r., Weltimmo, C‑230/14, EU:C:2015:639, pkt 25 i przytoczone tam orzecznictwo).

      Następnie należy podkreślić, że art. 4 ust. 1 lit. a) dyrektywy 95/46 nie ustanawia wymogu, aby przetwarzanie danych osobowych było dokonywane „przez” sam podmiot prowadzący działalność gospodarczą, lecz jedynie „w kontekście prowadzenia przez” niego działalności gospodarczej (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 52).

      W niniejszej sprawie z postanowienia odsyłającego oraz z uwag przedstawionych na piśmie przez Facebook Ireland wynika, że Facebook Germany jest odpowiedzialny za promocję i sprzedaż przestrzeni reklamowej i że prowadzi on działania skierowane do osób mieszkających w Niemczech.

      Jak zostało przypomniane w pkt 33 i 34 niniejszego wyroku, rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych, które jest dokonywane przez Facebook Inc. wspólnie z Facebook Ireland i które polega na gromadzeniu takich danych za pomocą plików cookies instalowanych na komputerach lub na każdym innym urządzeniu osób odwiedzających fanpage’e prowadzone na Facebooku, ma w szczególności na celu umożliwić temu portalowi społecznościowemu poprawę jego systemu reklamowego, aby lepiej ukierunkować emitowane przez niego reklamy.

      Jak wskazał rzecznik generalny w pkt 94 swej opinii, zważywszy po pierwsze, że portal społecznościowy taki jak Facebook generuje większą część swoich przychodów w szczególności dzięki reklamom emitowanym na stronach internetowych tworzonych i odwiedzanych przez użytkowników, a po drugie, że oddział Facebooka znajdujący się w Niemczech ma zapewniać w tym państwie członkowskim promocję i sprzedaż powierzchni reklamowej, tak aby osiągnąć rentowność usług oferowanych przez Facebook, działalność tego oddziału należy uznać za nierozerwalnie związaną z rozpatrywanym w postępowaniu głównym przetwarzaniem danych osobowych, za które Facebook Inc. jest odpowiedzialny wspólnie z Facebook Ireland. W konsekwencji takie przetwarzanie należy traktować jako dokonywane w kontekście działalności gospodarczej prowadzonej przez oddział administratora danych w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46 (zob. podobnie wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 55, 56).

      Wynika stąd, że skoro zgodnie z art. 4 ust. 1 lit. a) dyrektywy 95/46 prawo niemieckie ma zastosowanie do rozpatrywanego w postępowaniu głównym przetwarzania danych osobowych, niemiecki organ nadzorczy był uprawniony do zastosowania tego prawa w odniesieniu do rzeczonego przetwarzania stosownie do art. 28 ust. 1 tej dyrektywy.

      W konsekwencji w celu zapewnienia przestrzegania na terytorium Niemiec przepisów w dziedzinie ochrony danych osobowych ów organ nadzorczy był uprawniony do wykonania w stosunku do Facebook Germany wszystkich uprawnień, jakimi dysponuje on zgodnie z krajowymi przepisami transponującymi art. 28 ust. 3 dyrektywy 95/46.

      Należy jeszcze dodać, że podkreślona w pytaniu trzecim przez sąd odsyłający okoliczność, że strategie decyzyjne w zakresie gromadzenia i przetwarzania danych osobowych dotyczących osób mieszkających na terytorium Unii zostają przyjęte przez spółkę dominującą z siedzibą w państwie trzecim, taką jak w tym przypadku Facebook Inc., nie jest w stanie podważyć właściwości organu nadzorczego podlegającego prawu państwa członkowskiego w odniesieniu do znajdującego się na terytorium tego samego państwa oddziału administratora tych danych.

      W świetle powyższych rozważań na pytania trzecie i czwarte należy odpowiedzieć, że art. 4 i 28 dyrektywy 95/46 trzeba interpretować w ten sposób, iż w przypadku gdy przedsiębiorstwo z siedzibą poza Unią ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa członkowskiego, nawet jeżeli zgodnie z podziałem zadań w obrębie grupy, po pierwsze, ów oddział jest wyłącznie odpowiedzialny za sprzedaż przestrzeni reklamowej i inne działania marketingowe na terytorium rzeczonego państwa członkowskiego, a po drugie, wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych ponosi w zakresie całego terytorium Unii oddział położony w innym państwie członkowskim.

 W przedmiocie pytań piątego i szóstego

      W pytaniach piątym i szóstym, które należy zbadać łącznie, sąd odsyłający zmierza w istocie do ustalenia, czy art. 4 ust. 1 lit. a) i art. 28 ust. 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa członkowskiego o podjęcie działań.

      Aby udzielić odpowiedzi na te pytania, należy przypomnieć, że – jak wynika z odpowiedzi udzielonej na pytania prejudycjalne pierwsze i drugie – art. 2 lit. d) dyrektywy 95/46 należy interpretować w ten sposób, iż w okolicznościach takich jak te w postępowaniu głównym przepis ten umożliwia uwzględnienie odpowiedzialności podmiotu, takiego jak Wirtschaftsakademie, jako administratora fanpage’a prowadzonego na Facebooku, w przypadku naruszenia przepisów dotyczących ochrony danych osobowych.

      Wynika stąd, że zgodnie z art. 4 ust. 1 lit. a) oraz art. 28 ust. 1 i 3 dyrektywy 95/46 organ nadzorczy państwa członkowskiego, na którego terytorium ów podmiot ma siedzibę, jest właściwy do stosowania jego prawa krajowego i tym samym do wykonania w stosunku do rzeczonego podmiotu wszystkich uprawnień przysługujących mu na podstawie tego prawa krajowego zgodnie z art. 28 ust. 3 tej dyrektywy.

      Jak stanowi art. 28 ust. 1 akapit drugi rzeczonej dyrektywy, organy nadzorcze odpowiedzialne za kontrolę stosowania na terytorium państw członkowskich, którym podlegają, przepisów przyjętych przez te państwa na podstawie tej dyrektywy, postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji. Wymóg ten wynika również z prawa pierwotnego Unii, w szczególności z art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej i z art. 16 ust. 2 TFUE (zob. podobnie wyrok z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 40).

      Ponadto, o ile zgodnie z art. 28 ust. 6 akapit drugi dyrektywy 95/46 organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania powierzonych im obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji, o tyle dyrektywa ta nie przewiduje żadnego kryterium określającego pierwszeństwo interwencji jednych organów nadzorczych przed innymi organami nadzorczymi ani nie nakłada na organ nadzorczy państwa członkowskiego obowiązku zastosowania się do stanowiska wyrażonego ewentualnie przez organ nadzorczy innego państwa członkowskiego.

      Tym samym nic nie zobowiązuje organu nadzorczego, którego właściwość jest uznana na gruncie jego prawa krajowego, do uwzględnienia rozwiązania przyjętego przez inny organ nadzorczy w podobnej sytuacji.

      W tym względzie należy przypomnieć, że zgodnie z art. 8 ust. 3 Karty praw podstawowych i z art. 28 dyrektywy 95/46 krajowe organy nadzorcze są zobowiązane kontrolować przestrzeganie unijnych zasad dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych, w związku z czym każdy z nich jest wyposażony w kompetencję do zbadania, czy przetwarzanie danych osobowych na terytorium państwa członkowskiego, któremu on podlega, następuje z poszanowaniem wymogów przewidzianych w dyrektywie 95/46 (zob. podobnie wyrok z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 47).

      Zważywszy, że art. 28 dyrektywy 95/46 ma zastosowanie – z samej swojej natury – do wszelkiego przetwarzania danych osobowych, nawet jeśli istnieje decyzja organu nadzorczego innego państwa członkowskiego, organ nadzorczy, do którego osoba wniosła skargę dotyczącą ochrony jej praw i wolności w zakresie przetwarzania dotyczących jej danych osobowych, powinien zbadać w sposób całkowicie niezależny, czy przetwarzanie tych danych następuje z poszanowaniem wymogów przewidzianych w rzeczonej dyrektywie (zob. podobnie wyrok z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 57).

      Wynika stąd, że w niniejszym przypadku zgodnie z systemem ustanowionym przez dyrektywę 95/46 ULD był uprawniony do dokonania oceny, w sposób niezależny od ocen przeprowadzonych przez irlandzki organ nadzorczy, zgodności z prawem przetwarzania danych, którego dotyczy postępowanie główne.

      W związku z tym na pytania piąte i szóste należy odpowiedzieć, że art. 4 ust. 1 lit. a) i art. 28 ust. 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, iż w przypadku gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa członkowskiego o podjęcie działań.

 W przedmiocie kosztów

      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

1)      Artykuł 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że pojęcie „administratora danych” w rozumieniu tego przepisu obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.

2)      Artykuły 4 i 28 dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy przedsiębiorstwo z siedzibą poza Unią Europejską ma kilka oddziałów w różnych państwach członkowskich, organ nadzorczy państwa członkowskiego może wykonywać uprawnienia przyznane mu przez art. 28 ust. 3 tej dyrektywy w stosunku do oddziału tego przedsiębiorstwa, znajdującego się na terytorium tego państwa członkowskiego, nawet jeżeli zgodnie z podziałem zadań w obrębie grupy, po pierwsze, ów oddział jest wyłącznie odpowiedzialny za sprzedaż przestrzeni reklamowej i inne działania marketingowe na terytorium rzeczonego państwa członkowskiego, a po drugie, wyłączną odpowiedzialność za gromadzenie i przetwarzanie danych osobowych ponosi w zakresie całego terytorium Unii Europejskiej oddział położony w innym państwie członkowskim.

3)      Artykuł 4 ust. 1 lit. a) i art. 28 ust. 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że w przypadku gdy organ nadzorczy państwa członkowskiego zamierza wykonać w stosunku do podmiotu mającego siedzibę na terytorium tego państwa członkowskiego uprawnienia interwencyjne, o których mowa w art. 28 ust. 3 tej dyrektywy, z powodu naruszeń przepisów o ochronie danych osobowych popełnionych przez administrującą tymi danymi osobę trzecią mającą siedzibę w innym państwie członkowskim, ów organ nadzorczy jest właściwy do dokonania oceny, w sposób niezależny od organu nadzorczego tego ostatniego państwa członkowskiego, zgodności z prawem takiego przetwarzania danych i może wykonywać przysługujące mu uprawnienia interwencyjne w stosunku do podmiotu mającego siedzibę na jego terytorium bez uprzedniego zwrócenia się do organu nadzorczego drugiego państwa członkowskiego o podjęcie działań.

Podpisy

źródło http://curia.europa.eu

Administrator Danych, Odpowiedzialność Za Przetwarzanie Danych Użytkowników, Fanpage, Obowiązek Informacyjny, Rodo Na Facebook, Marketing,
WYROK TSUE z dnia 7 marca 2024 r. w sprawie C‑604/22
WYROK TSUE z dnia 7 marca 2024 r. w sprawie C‑604/22
OPINIA RZECZNIKA GENERALNEGO  TSUE (MACIEJA SZPUNARA) z dnia 27 października 2022 r.
OPINIA RZECZNIKA GENERALNEGO TSUE (MACIEJA SZPUNARA) z dnia 27 października 2022 r.
Wyrok TSUE z dnia 20 października 2022 r.
Wyrok TSUE z dnia 20 października 2022 r.