Förslag till avgörande av generaladvokat Yves Bot föredraget den 24 oktober 2017
1 Originalspråk: franska.
2 EGT L 281, 1995, s. 31.
3 EUT L 284, 2003, s. 1, nedan kallat direktiv 95/46.
4 Nedan kallad artikel 29-arbetsgruppen.
5 Nedan kallat yttrande 2/2010.
6 Yttrande 2/2010, s. 5.
7 Yttrande 2/2010, s. 7. Enligt de förklaringar som artikel 29-arbetsgruppen lämnat i detta yttrande fungerar denna teknik i allmänhet på följande sätt. Annonsnätverket placerar normalt en cookie på den berörda personens terminalutrustning … när han eller hon första gången besöker en webbplats som innehåller reklam i samma nätverk. En cookie är en kort alfanumerisk kombination som lagras (och senare hämtas) på den berörda personens terminalutrustning av nätverket …. Inom ramen för beteendestyrd annonsering kommer cookien att göra det möjligt för sistnämnda att känna igen en tidigare besökare som återvänder till webbplatsen eller besöker en webbplats som är en partner till annonsnätverket. Sådana upprepade besök kommer att göra det möjligt för annonsnätverket att skapa en profil över besökaren.
8 Yttrande 1/2010 från artikel 29-arbetsgruppen lämnat den 16 februari 2010 om begreppen registeransvarig och underleverantör, nedan kallat yttrande 1/2010, s. 25.
9 Agencia española de protección de datos (spanska myndigheten för skydd av personuppgifter) meddelade den 11 september 2017 att den hade ålagt Facebook Inc böter om 1,2 miljoner euro. Tidigare beslutade Commission nationale de l’informatique et des libertés (CNIL) (datainspektionen, Frankrike) den 27 april 2017 att ålägga bolagen Facebook Inc. och Facebook Ireland som hölls solidariskt betalningsansvariga en straffavgift om 150000 euro.
10 I 38 § femte stycket BDSG föreskrivs följande:För att säkerställa efterlevnaden av denna lag och andra bestämmelser om skydd för uppgifter kan tillsynsmyndigheten förordna om åtgärder för att avhjälpa konstaterade överträdelser vid insamling, bearbetning eller användning av personuppgifter eller tekniska eller organisatoriska brister. Vid allvarliga överträdelser eller brister, särskilt sådana som utgör en särskild risk för intrång i privatlivet, kan den förbjuda insamling, bearbetning eller användning eller vissa förfaranden när överträdelserna eller bristerna inte åtgärdas inom rimlig tid i strid med föreläggandet i första meningen trots att vite utdömts. Den kan även begära att ombudsmannen för dataskydd ska avsättas om vederbörande saknar det yrkeskunnande och den tillförlitlighet som krävs för att fullgöra sina uppgifter.
11 I 12 § lagen om elektronisk media föreskrivs följande:1. Tjänsteleverantören får samla in och behandla personuppgifter för att tillhandahålla elektroniska informations- eller kommunikationstjänster endast om detta är tillåtet enligt denna lag eller annan föreskrift som uttryckligen avser sådana tjänster, eller om användaren har gett sitt samtycke. … 3. Om inte annat föreskrivs ska gällande bestämmelser om skydd för personuppgifter tillämpas även när uppgifterna inte behandlas genom automatisk databehandling.
12 Denna bestämmelse avser behandling av personuppgifter för den registeransvariges räkning.
13 Enligt denna bestämmelse avses med ett ansvarigt organ en person eller ett organ som samlar in, behandlar eller använder personuppgifter för egen räkning eller ger i uppdrag åt en annan att göra det.
14 C-131/12, EU:C:2014:317.
15 Punkt 60 i nämnda dom.
16 Enligt de definitioner som används i yttrande 1/2010 avses med begreppet ändamål ett förväntat resultat som eftersträvas eller som ligger till grund för de åtgärder som föreskrivs och begreppet medel det sätt på vilket ett resultat ska uppnås eller ett mål ska nås (s. 13).
17 Exempelvis åligger det enligt artikel 6.2 i det direktivet den registeransvarige att säkerställa att de principer om uppgifternas kvalitet som anges i artikel 6.1 i nämnda direktiv efterlevs. Enligt artiklarna 10 och 11 i direktiv 95/46 ska den registeransvarige ge den person som berörs av behandlingen av personuppgifter information. Enligt artikel 12 i direktivet ska rätten till tillgång till uppgifter för berörda personer utövas hos den registeransvarige. Detsamma gäller med avseende på rätten att göra invändningar som föreskrivs i artikel 14 i nämnda direktiv. Enligt artikel 23.1 i direktiv 95/46 ska medlemsstaterna föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit. Slutligen ska tillsynsmyndigheternas effektiva befogenheter att ingripa som föreskrivs i artikel 28.3 i direktivet utövas mot registeransvariga.
18 C‑131/12, EU:C:2014:317.
19 Se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkterna 38 och 83).
20 Se, särskilt, dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 34).
21 Yttrande 1/2010, s. 109.
22 Facebook Ireland har således förklarat att den regelbundet har infört funktioner som enbart ställs till de berörda personernas förfogande inom unionen och som är anpassade för dessa personer. I övriga fall väljer Facebook Ireland att inte erbjuda sådana produkter inom unionen som Facebook Inc. ställt till förfogande i Förenta staterna.
23 Se dom av den 6 oktober 2015, Schrems ( C‑362/14, EU:C:2015:650, punkt 27).
24 Se beslutet om hänskjutande, punkt 39.
25 Avgörande i förevarande mål är inte att bestämma de ändamål och medel för behandling som sker efter överföringen till Facebook av personuppgifter för de personer som besöker en fanpage. Fokus ska läggas på det skede i behandlingen som det rör sig om här, nämligen det skede där uppgifter insamlas avseende de personer som besöker en fanpage, utan att sistnämnda har underrättats om detta och utan att samtycke har erhållits från dem i vederbörlig ordning.
26 Av användarvillkoren för Facebook framgår att användarstatistiken möjliggör för den som driver en fanpage att ta del av information om sina användare för att kunna skapa ett innehåll som är mer relevant för dessa. Användarstatistiken ger den som driver en fanpage tillgång till demografiska uppgifter avseende dess målgrupp, särskilt om tendenser i fråga om målgruppens ålder, kön, kärleks- och yrkessituationer, information om livsstil och intressen, och information om målgruppens inköp, särskilt dess köpbeteende online, de kategorier av varor och tjänster som intresserar den mest och de geografiska uppgifter som möjliggör för den som driver fanpagen att få kännedom om eller genomföra särskild marknadsföring och anordna evenemang.
27 Se, för ett liknande resonemang, yttrande 1/2010, s. 28.
28 Ibidem, s. 28: en obetydlig aktör som ansvarar för behandlingen får inte åberopa det begränsade inflytande som vederbörande har i avtalet i förhållande till viktiga tjänsteleverantörer som motivering för att godta avtalsbestämmelser och avtalsvillkor som strider mot lagstiftningen om skydd av uppgifter.
29 C‑131/12, EU:C:2014:317.
30 Dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 38, och, för ett liknande resonemang, punkt 83).
31 Dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 40).
32 Se beslutet om hänskjutande, punkt 35.
33 Målet är fortfarande anhängigt vid domstolen.
34 Såsom den schweiziska dataskyddsmyndigheten anfört: Trots att registreringen och analysen av uppgifter i egentlig mening i de flesta fall genomförs av tjänsteleverantören av webtracking med diskretion, är även det företag som driver webbplatsen ansvarigt. Det integrerar webtrackingleverantörens kod på sin webbplats och främjar således, utan Internetanvändarens vetskap, överföring av uppgifter, skapande av cookies och insamling av uppgifter till förmån för webtrackingleverantören. Se Explications concernant le webtracking som lämnats av Préposé fédéral à la protection des données et à la transparence (PFPDT), tillgängliga på följande webbplats: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr.
35 Se, för ett liknande resonemang, yttrande 1/2010, s. 24.
36 Yttrande 1/2010, s. 35.
37 Yttrande 1/2010, sidorna 20 och 21.
38 Se beslutet om hänskjutande, punkt 40.
39 Se, särskilt, dom av den 31 januari 2017, Lounani ( C‑573/14, EU:C:2017:71, punkt 56 och där angiven rättspraxis).
40 Nedan kallat yttrande 8/2010.
41 Sidan 31 i yttrandet.
42 Sidan 32 i yttrandet.
43 Den struktur som antagits av sådana grupper som Google och Facebook för att utveckla deras verksamhet världen över gör det svårt att fastställa tillämplig nationell rätt och det etableringsställe mot vilket enskilda som har lidit skada och tillsynsmyndigheter kan vidta åtgärder. Se avseende dessa frågor Svantesson D., ”Enforcing Privacy Across Different Jurisdictions, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin 2016, s. 195–222, särskilt sidorna 216–218.
44 Se, bland annat, dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 25 och där angiven rättspraxis).
45 Se, bland annat, dom av den 28 juli 2016, Verein für Konsumenteninformation ( C‑191/15, EU:C:2016:612, punkt 75 och där angiven rättspraxis).
46 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 29).
47 Se, bland annat, dom av den 28 juli 2016, Verein für Konsumenteninformation ( C‑191/15, EU:C:2016:612, punkt 77 och där angiven rättspraxis).
48 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 29).
49 Se, bland annat, dom av den 28 juli 2016, Verein für Konsumenteninformation ( C‑191/15, EU:C:2016:612, punkt 78 och där angiven rättspraxis).
50 Sidan 33 i yttrande 8/2010. Se även, för ett liknande resonemang, s. 15 i yttrandet..
51 C‑131/12, EU:C:2014:317.
52 Punkt 55 i domen.
53 Punkt 56 i domen.
54 Punkt 57 i domen.
55 Se, för ett liknande resonemang, artikel 29-arbetsgruppens yttrande 5/2009 av den 12 juni 2008 om sociala nätverk, s. 5.
56 C‑131/12, EU:C:2014:317.
57 Se, bland annat, artikel 29-arbetsgruppens Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain, av den 16 december 2015, s. 6 och 7.
58 Se, avseende en eventuell tillämpning av flera nationella lagstiftningar, yttrande 8/2010. Hänvisningen till 'ett’ etableringsställe innebär att den omständigheten att förekomsten av ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium innebär att lagstiftningen i den medlemsstaten kommer att vara tillämplig och att förekomsten av andra etableringsställen tillhörande den registeransvarige på andra medlemsstats territorium kan innebära att lagstiftningen i dessa medlemsstater kommer att bli tillämplig (s. 33).
59 C‑191/15, EU:C:2016:612.
60 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46 (EUT L 119, 2016, s. 1).
61 Se i detta avseende Hawkes B., The Irish DPA and Its Approach to Data Protection, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin 2016, sidorna 441–454, särskilt sidan 450, fotnot 11. Författaren har anfört att [t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland but that this should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU.
62 C‑131/12, EU:C:2014:317.
63 Se, enligt en jämförbar logik, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, där dessa myndigheter anförde följande: … the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice …, the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are 'inextricably linked’ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC.
64 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 49).
65 C‑230/14, EU:C:2015:639.
66 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 42).
67 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 43).
68 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 55).
69 Se dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 57).
70 C‑230/14, EU:C:2015:639.
71 C‑230/14, EU:C:2015:639.
72 Se, i detta avseende, punkt 44 i förevarande förslag till avgörande.
73 Se även punkterna 73–77 i detta förslag till avgörande.
74 C‑230/14, EU:C:2015:639.
75 Dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 60).
76 Dom av den 1 oktober 2015, Weltimmo ( C‑230/14, EU:C:2015:639, punkt 57).