lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Athanasios Rantos föredraget den 20 september 2022

CELEX
62021CC0252
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 Meta Platforms Inc., tidigare Facebook Inc., Meta Platforms Ireland Limited, tidigare Facebook Ireland Ltd, och Facebook Deutschland GmbH (nedan kallade Meta Platforms eller klaganden i det nationella målet).

3 Beslut B6‑22/16 av den 6 februari 2019 (nedan kallat det omtvistade beslutet).

4 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

5 I den lydelse som var i kraft till och med den 18 januari 2021.

6 Meta Platforms samlar för detta ändamål in dels uppgifter som användarna själva lämnar direkt när de registrerar sig för de berörda onlinetjänsterna, dels andra uppgifter om användarna och deras utrustning, på och utanför det sociala nätverket och de onlinetjänster som koncernen tillhandahåller. Dessa uppgifter kopplas sedan ihop med de berörda användarnas olika konton. De insamlade uppgifterna gör det möjligt att dra detaljerade slutsatser om användarnas preferenser och intressen.

7 När det särskilt gäller behandling av personuppgifter hänvisas det i användarvillkoren till en policy för användning av personuppgifter och kakor som fastställts av Meta Platforms. Enligt denna policy samlar Meta Platforms in uppgifter om användarna och deras apparater som rör deras aktivitet på och utanför det sociala nätverket. Dessa uppgifter kopplas sedan till deras Facebookkonton. Aktivitet utanför det sociala nätverket består dels av besök på och användning av webbplatser och appar som tillhör tredje man och som är kopplade till Facebook genom programmeringsgränssnitt (Facebook Business Tools), dels av användning av andra onlinetjänster som tillhör Facebook, däribland Instagram och WhatsApp.

8 Bundeskartellamt menade att denna behandling, som ett utryck för bolagets starka ställning på marknaden, stred mot bestämmelserna i dataskyddsförordningen och inte var motiverad mot bakgrund av artikel 6.1 och artikel 9.2 i denna förordning.

9 Den 31 juli 2019 införde Meta Platforms nya användarvillkor efter ett initiativ av Europeiska kommissionen och medlemsstaternas nationella konsumentskyddsorganisationer. I de nya användarvillkoren anges det uttryckligen att användaren, i stället för att betala för att använda Facebooks produkter, ger sitt samtycke till reklamannonserna. Meta Platforms erbjuder också, sedan den 28 januari 2020, användare i hela världen att ta del av sin aktivitet utanför Facebook (Off-Facebook-Activity). Härigenom kan Facebookanvändarna få en sammanfattning av uppgifter om dem som inhämtats i samband med deras aktivitet på andra webbplatser och i andra appar, och att om de så önskar separera dessa uppgifter från deras Facebookkonto, både vad gäller tidigare och framtida aktivitet.

10 Jag anser att formuleringen fastställer … åsidosätter [dataskyddsförordningen] … samt meddelar ett föreläggande om att överträdelsen ska upphöra i den första tolkningsfrågan ska tolkas på detta vis.

11 Dataskyddsförordningen innebär en fullständig harmonisering av rätten till uppgiftsskydd, vars centrala beståndsdel är en harmoniserad genomförandemekanism grundad på principen om en enda kontaktpunkt enligt artiklarna 51–67 i denna förordning. Därför är det som jag ser det uppenbart att en annan myndighet än tillsynsmyndigheterna enligt nämnda förordning (till exempel en konkurrensmyndighet) varken är behörig att först fastställa en överträdelse av denna förordning eller att tillämpa de påföljder som föreskrivs.

12 Med hänsyn till att en konkurrensmyndighet varken är behörig att först fastställa en överträdelse av förordningen eller att tillämpa de föreskrivna påföljderna, anser jag hursomhelst att ett eventuellt beslut i den riktningen som fattas av en konkurrensmyndighet inte får inkräkta på tillsynsmyndigheternas behörighet enligt dataskyddsförordningen.

13 Det förefaller vara på detta sätt som formuleringen fastställa att företagets avtalsvillkor avseende behandling av personuppgifter och deras genomförande strider mot [dataskyddsförordningen] i tolkningsfråga 7 ska tolkas.

14 Se fotnot 11 i detta förslag till avgörande.

15 Rådets förordning av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna 101 och 102 [FEUF] (EGT L 1, 2003, s. 1).

16 I likhet med artikel 19 GWB, som ligger till grund för det omtvistade beslutet.

17 Se till exempel, dom av den 6 september 2017, Intel/kommissionen ( C‑413/14 P, EU:C:2017:632, punkt 136 och där angiven rättspraxis). Domstolen har klargjort att artikel 102 FEUF har allmän giltighet och inte kan begränsas av till exempel bestämmelser som unionslagstiftaren har antagit, i detta fall regelverket för elektronisk kommunikation (se, för ett liknande resonemang, dom av den 10 juli 2014, Telefónica och Telefónica de España/kommissionen, C‑295/12 P, EU:C:2014:2062, punkt 128).

18 Mot bakgrund av att de två kategorierna av bestämmelser har olika syften, är det nämligen uppenbart att ett beteende som rör behandling av uppgifter kan utgöra åsidosättande av konkurrensregler även om detta beteende är förenligt med dataskyddsförordningen och, tvärtom, ett beteende som är rättsstridigt enligt dataskyddsförordningen behöver inte föranleda slutsatsen att det innebär åsidosättande av konkurrensreglerna. Domstolen har i detta avseende klargjort att ett beteendes förenlighet med en särskild lagstiftning inte utesluter att artiklarna 101 FEUF och 102 FEUF är tillämpliga på samma beteende (se, bland annat, dom av den 6 december 2012, AstraZeneca/kommissionen ( C‑457/10 P, EU:C:2012:770, punkt 132), i vilken domstolen även erinrade om att missbruk av dominerande ställning i de flesta fall utgörs av beteenden som i övrigt är lagenliga mot bakgrund av andra rättsordningar än konkurrensrätten). Om det endast var förfaranden som på samma gång är objektivt konkurrensbegränsande och rättsligt sett rättsstridiga som betraktades som missbruk i den mening som avses i artikel 102 FEUF, skulle det innebära att ett beteende, av det enda skälet att det är lagenligt, trots att det kan inverka menligt på konkurrensen, inte skulle kunna beivras enligt artikel 102 FEUF. Det skulle undergräva syftet med denna bestämmelse, vilket är att fastställa en ordning som säkerställer att konkurrensen inte snedvrids på den inre marknaden (se, för ett liknande resonemang, mitt förslag till avgörande i målet Servizio Elettrico Nazionale m.fl., C‑377/20, EU:C:2021:998, punkt 37). Enligt domstolens praxis är det endast om företagen åläggs att agera på ett konkurrensbegränsande sätt i nationell lagstiftning, eller om denna lagstiftning ger upphov till ett rättsligt ramverk som omöjliggör ett konkurrensmässigt beteende från företagens sida, som artiklarna 101 FEUF och 102 FEUF inte är tillämpliga, medan dessa artiklar kan vara tillämpliga om det visar sig att den nationella lagstiftningen ger utrymme för en konkurrens som kan hindras, begränsas eller snedvridas genom företagens självständiga beteende (se, för ett liknande resonemang, dom av den 14 oktober 2010, Deutsche Telekom/kommissionen, C‑280/08 P, EU:C:2010:603, punkt 80 och där angiven rättspraxis).

19 Att göra en tolkning som innebär att konkurrensmyndigheterna inom ramen för sin behörighet inte skulle få tolka bestämmelserna i dataskyddsförordningen vore i själva verket att undergräva den faktiska tillämpningen av unionens konkurrensrätt.

20 Den omständigheten att konkurrensmyndighetens tolkning av dataskyddsförordningen sker i anslutning till en annan granskning hindrar inte heller att denna tolkning kan bli föremål för en domstolsprövning vid en nationell domstol som är behörig i konkurrensfrågor, vilken i händelse av tolkningssvårigheter kan behöva begära ett förhandsavgörande av EU-domstolen, som i det nu aktuella fallet vad beträffar tolkningsfrågorna 2–6.

21 Konkurrensmyndighetens tolkning av dataskyddsförordningen i det enda syftet att tillämpa bestämmelser (och eventuellt besluta om påföljder) som föreskrivs i konkurrensrätten kan inte frånta tillsynsmyndigheterna de behörigheter och befogenheter som de har inom ramen för denna förordning. Konkurrensmyndighetens möjlighet att i anslutning till en annan granskning tolka nämnda förordning vållar inte heller några problem när det gäller tillämpningen av förordningen, som är förbehållen tillsynsmyndigheterna, eller när det gäller korrigerande åtgärder eller påföljder, eftersom de åtgärder eller påföljder som en konkurrensmyndighet eventuellt beslutar om grundas på andra berättigade regler, syften och intressen än dem som skyddas av dataskyddsförordningen (för övrigt är detta skälet till att påföljder som en konkurrensmyndighet i en sådan situation beslutar om och påföljder som tillsynsmyndigheten enligt dataskyddsförordningen beslutar om enligt min mening inte faller under principen ne bis in idem (se, analogt, dom av den 22 mars 2022, bpost, C‑117/20, EU:C:2022:202, punkterna 42–50).

22 Det finns en risk för olika tolkningar på alla områden som regleras genom bestämmelser som konkurrensmyndigheten ska eller får beakta för att avgöra om ett visst beteende är lagenligt mot bakgrund av konkurrensrätten.

23 I kapitel VI och kapitel VII i dataskyddsförordningen inrättas bland annat mekanismer för en enda kontaktpunkt för informationsutbyte och bistånd mellan tillsynsmyndigheterna.

24 Se rådets förordning nr 1/2003 och Europaparlamentets och rådets direktiv (EU) 2019/1 av den 11 december 2018 om att ge medlemsstaternas konkurrensmyndigheter befogenhet att mer effektivt kontrollera efterlevnaden av konkurrensreglerna och om att säkerställa en väl fungerande inre marknad (EUT L 11, 2019, s. 3).

25 Se bland annat, för ett liknande resonemang, dom av den 14 november 1989, Italien/kommissionen ( 14/88, EU:C:1989:421, punkt 20), och dom av den 11 juni 1991, Athanasopoulos m.fl. ( C‑251/89, EU:C:1991:242, punkt 57).

26 Den samarbetsmekanism som genom dataskyddsförordningen inrättades mellan tillsynsmyndigheterna kan i sig betraktas som en lex specialis som kompletterar och preciserar den allmänna principen om lojalt samarbete i artikel 4.3 FEU (se bland annat, i doktrinen, Hijmans, H., Article 51 Supervisory authority, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, s. 869). Samma sak gäller de andra samarbetsinstrument som fanns före det system som föreskrivs i dataskyddsförordningen, exempelvis systemet för samarbete mellan konkurrensmyndigheter (se bland annat kapitel IV i förordning 1/2003).

27 Se, för ett liknande resonemang, förslag till avgörande av generaladvokaten Trstenjak i målet Gorostiaga Atxalandabaso/parlamentet ( C‑308/07 P, EU:C:2008:498, punkt 89).

28 Se, bland annat, dom av den 2 juni 2022, Skeyes ( C‑353/20, EU:C:2022:423, punkt 52 och där angiven rättspraxis). Vägledning om tillvägagångssätt skulle vid behov kunna hämtas från det samarbetssystem som inrättats genom dataskyddsförordningen och från samarbetssystemet på konkurrensområdet. I avsaknad av särskilda bestämmelser ska det samtidigt påpekas att konkurrensmyndighetens omsorgsplikt inte år så långtgående att den omfattas av sådana ingående skyldigheter som dem som föreskrivs inom ramen för det förfarande för samarbete och kontroll av enhetlighet som regleras i kapitel VII i dataskyddsförordningen (en konkurrensmyndighet kan till exempel inte förväntas skicka ett förslag till beslut till den behöriga tillsynsmyndigheten enligt denna förordning för att inhämta dess yttrande).

29 Se bland annat, analogt, på ett område som omfattas av unionens läkemedelslagstiftning, dom av den 23 januari 2018, F. Hoffmann-La Roche m.fl. ( C‑179/16, EU:C:2018:25, punkterna 58–64).

30 Det beslut är med andra ord i sig en del av den rättsliga och faktiska ram som konkurrensmyndigheten ska granska, samtidigt som det står den fritt att dra sina slutsatser utifrån tillämpningen av konkurrensrätten (se fotnot 18 i detta förslag till avgörande).

31 I och med de nationella tillsynsmyndigheternas roll och uppgifter i det samarbetssystem som inrättats genom dataskyddsförordningen, anser jag att en interaktion med den nationella tillsynsmyndigheten i sig kan vara tillräcklig för att konkurrensmyndigheten ska anses ha uppfyllt sin omsorgsplikt och skyldigheten till lojalt samarbete, i synnerhet om konkurrensmyndigheten inte har möjlighet (med hänsyn till tillämpliga förfaranden enligt nationell rätt) eller medel (i synnerhet språkliga) för att interagera på ett tillfredsställande sätt med ansvarig tillsynsmyndighet i en annan medlemsstat.

32 Eller eventuellt, om denna myndighet finns i en annan medlemsstat, den nationella tillsynsmyndigheten (se fotnot 31 i detta förslag till avgörande).

33 Samtidigt vill jag erinra om att en tolkning som en konkurrensmyndighet gör av vissa bestämmelser i dataskyddsförordningen när den utövar sina befogenheter inte påverkar den tolkning och tillämpning av dessa bestämmelser som görs av de enligt förordningen behöriga tillsynsmyndigheterna (se fotnot 21 i detta förslag till avgörande).

34 Bundeskartellamt har i detta avseende grundat sig på tysk konkurrensrätt, enligt vilken myndigheten kan ha kontakter med de nationella tillsynsmyndigheterna enligt dataskyddsförordningen.

35 I synnerhet om den tyska förbundstillsynsmyndigheten och den irländska ansvariga tillsynsmyndigheten, såsom Bundeskartellamt har gjort gällande, bekräftat för Bundeskartellamt att den sistnämnda inte hade inlett något förfarande med avseende på samma tillvägagångssätt som Bundeskartellamt granskade.

36 Den hänskjutande domstolen har bland annat berört användarens besök på webbplatser eller appar och ifyllnad av uppgifter på dessa webbplatser och i dessa appar (till exempel flört- eller dejtingappar för homosexuella, eller webbplatser som tillhör politiska partier eller rör människors hälsa) som ger upphov till uppgifter som skyddas genom den aktuella bestämmelsen.

37 Nedan kallade känsliga personuppgifter. Det rör sig om behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

38 Jag vill i förbigående framhålla att Bundeskartellamt hyser tvivel i frågan om denna fråga är relevant för utgången av målet, eftersom den i sitt beslut beaktat ett samtycke enligt artikel 6.1 a i dataskyddsförordningen, inte ett samtycke enligt artikel 9.2 a i förordningen.

39 Den hänskjutande domstolen har i detta avseende hänfört sig till sociala insticksprogram, såsom fälten gilla eller dela, inloggning med Facebook (det vill säga möjligheten att identifiera sig med hjälp av inloggningsuppgifterna till sitt Facebookkonto) och Account kit (det vill säga en möjlighet, som inte behöver vara kopplad till Facebook, att identifiera sig i en app eller på en webbplats med ett telefonnummer eller en e-postadress, utan att behöva något lösenord).

40 Jag vill även påpeka en betydande brist på överensstämmelse mellan den franska versionen av dataskyddsförordningen, vilken i bestämmelsens första mening hänför sig till en behandling av personuppgifter vilken avslöjar vissa känsliga situationer, och den tyska versionen (liksom bland annat den grekiska och den italienska versionen), vilken hänför sig till en behandling av personuppgifter vilka avslöjar dessa situationer. Om jag inte misstar mig är det den franska versionen av bestämmelsen som inte stämmer överens med flertalet av de andra språkversionerna. I det sammanhang som bestämmelsen ingår i förefaller det för övrigt mer logiskt att koppla verbet avslöja till uppgifterna, eftersom det i fortsättningen av bestämmelsen anges att det är uppgifterna som ska bedömas, inte behandlingen. Detta framgår även av den franska texten i skäl 51 i dataskyddsförordningen, där det anges att känsliga personuppgifter bör inbegripa personuppgifter som avslöjar ras eller etniskt ursprung (min kursivering).

41 Jag anser att det skulle strida mot andan i artikel 9.1 i dataskyddsförordningen bestämmelsens (och i denna förordning) – som är att skydda vissa känsliga uppgifter om en person – att till exempel göra skillnad mellan, å ena sidan, ras eller etniskt ursprung, vilket skulle omfatta ett förbud mot att behandla inte bara uppgifter som anger detta direkt, utan även uppgifter som avslöjar denna situation, och, å andra sidan, genetiska uppgifter, där förbudet mot behandling inte skulle sträcka sig till uppgifter som avslöjar denna situation. Det är inte alltid lätt att skilja mellan, å ena sidan, uppgifter som avslöjar vissa situationer (till exempel ras eller etniskt ursprung) och, å andra sidan, uppgifter som rör andra situationer (till exempel hälsa). Artikel 9.1 i dataskyddsförordningen hänför sig visserligen till bland annat uppgifter om hälsa, men i artikel 4 led 15 i förordningen definieras uppgifter om hälsa som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (min kursivering). Såsom den tyska regeringen har låtit förstå kan det vara så att den bristande överensstämmelse i den aktuella bestämmelsens lydelse endast är ett mindre lyckat försök att skilja mellan rena uppgifter med ett direkt informativt värde och metauppgifter vars motsvarande informativa värde endast framträder i ett konkret sammanhang, genom en bedömning eller en sammankoppling.

42 Såsom klaganden i det nationella målet har gjort gällande rör det sig i princip om två olika aspekter. Den enda omständigheten att en användare har gått in på en webbplats eller interagerat med den behöver nämligen inte i sig avslöja uppgifter om vederbörandes övertygelse, hälsa, politiska åsikter etcetera, eftersom intresset för en webbplats inte automatiskt avslöjar att man ansluter sig till de idéer som sprids eller hör till de kategorier som webbplatsen företräder. Så är bland annat fallet när det gäller ett besök på en webbplats som tillhör ett politiskt parti eller som företräder en viss politisk ideologi. Besöket behöver inte nödvändigtvis innebära att man delar denna ideologi, utan kan göras av nyfikenhet eller till och med på grund av ett kritiskt förhållningssätt till denna ideologi.

43 Meta Platforms menar att den omständigheten att en användare har gått in på en webbplats eller interagerat med den inte i sig behöver avslöja känsliga uppgifter, eftersom även om ett intresse för en webbplats observerades eller användes, skulle det inte utgöra en behandling av känsliga personuppgifter. Så skulle endast vara fallet om användarna kategoriserades med hjälp av dessa uppgifter. De uppgifter som är föremål för det omtvistade tillvägagångssättet omfattas därmed endast av skyddet i artikel 9.1 i dataskyddsförordningen om de hänför sig till någon av de kategorier som avses i denna bestämmelse och medvetet behandlas subjektivt i avsikt att inhämta denna typ av information utifrån dessa uppgifter. Enligt Bundeskartellamts tolkning däremot, som enligt min mening är alltför rigid, blir artikel 9.1 i dataskyddsförordningen tillämplig så snart den registrerade besöker en viss webbplats eller använder en viss app vars huvudsakliga föremål hör till de områden som anges i denna bestämmelse. Skyddet för känsliga personuppgifter beror inte på den personuppgiftsansvariges avsikt att använda dessa uppgifter, eftersom den registrerades rättigheter redan har påverkats av den omständigheten att uppgifter ligger utanför den registrerades inflytande.

44 Såsom Europeiska dataskyddsstyrelsen har medgett innebär enbart det faktum att en leverantör av sociala medier behandlar stora mängder uppgifter som potentiellt skulle kunna användas för att härleda särskilda kategorier av uppgifter inte automatiskt att artikel 9 i dataskyddsförordningen är tillämplig på behandlingen (se EDPB, riktlinjer 8/2020 av den 13 april 2021 om riktad marknadsföring mot användare av sociala medier (nedan kallade EDPB:s riktlinjer 8/2020), punkt 124).

45 Genom en sådan tolkning skulle man enligt min mening kunna undvika den situation som klaganden i det nationella målet har beklagat, där en personuppgiftsansvarig ofrånkomligen bryter mot dataskyddsförordningen på grund av att vederbörande inte kan förhindra att uppgifter med en indirekt koppling till känsliga uppgifter eventuellt tas emot (inte minst på automatisk väg), utan att det påverkar den personuppgiftsansvariges skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i dataskyddsförordningen.

46 Se, för ett liknande resonemang, EDPB:s riktlinjer 8/2020, punkt 125.

47 Den hänskjutande domstolen har i detta avseende nämnt personalisering av det sociala nätverket och av reklamen, nätverkets säkerhet, produktförbättring, tillhandahållande av mät- och analystjänster till annonsörer, samhällsnyttig forskning, svar på rättsliga förfrågningar, fullgörande av lagstadgade förpliktelser, skydd för användares och tredje mans grundläggande intressen och uppgifter som utförs för allmänhetens bästa.

48 Se, analogt, dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. ( C‑203/15 och C‑698/15, EU:C:2016:970, punkt 89 och där angiven rättspraxis), angående tolkningen av artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11).

49 Se även utlåtande 6/2014, s. 10 och 11, från artikel 29-gruppen, ett oberoende rådgivande organ som inrättades enligt artikel 29 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), vilken efter dataskyddsförordningens antagande har ersatts av Europeiska dataskyddsstyrelsen.

50 Jag anser att detta villkor ligger mycket nära villkoret om den registrerades samtycke.

51 Enligt artikel 5.2 i dataskyddsförordningen är det den personuppgiftsansvarige som har bevisbördan för att personuppgifterna behandlas i enlighet med dataskyddsförordningens bestämmelser.

52 Även om en uppmärksam användare sannolikt är medveten om att uppgifterna om uppkopplingen är tillgängliga för den som hanterar webbplatsen eller appen i fråga, anser jag inte att det är uppenbart att användaren även är medveten om att dessa uppgifter även är tillgängliga för den som hanterar hans eller hennes Facebookkonto.

53 Användaren är på sin höjd medveten om sin relation med förvaltaren av webbplatsen eller appen och till den tredje man till vilken denne vidarebefordrar informationen, men det kan också vara så att användaren inte ens är medveten om denna relation, eftersom han eller hon, beroende på omständigheterna, skulle kunna föreställa sig att uppgifterna endast avslöjas, eventuellt anonymt, för en apparat.

54 Sådana knappar som gilla, dela etcetera (se fotnot 39 i detta förslag till avgörande).

55 Facebook erbjuder till exempel användaren flera möjligheter att i sina inställningar välja hur informationen i hans eller hennes Facebookkonto ska delas.

56 Det kan visserligen inte uteslutas att användaren i sådana särskilda fall, genom dessa handlingar, faktiskt vill vidarebefordra information om honom eller henne till ett obestämt antal personer. Det är till exempel möjligt att användaren har ställt in delningsalternativen i sitt Facebookkonto så att innehåll som finns i användarens profil är tillgängligt för alla användare av detta sociala nätverk och är medveten om detta. Inte ens under sådana omständigheter är det emellertid självklart att användaren, genom ett sådant beteende, säkert har velat uttrycka sin avsikt att på ett tydligt sätt offentliggöra de aktuella personuppgifterna, med beaktande av det aktuella undantagets strikta karaktär (se ovan punkt 42).

57 Se, för ett liknande resonemang, dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629, punkterna 87–89).

58 I synnerhet kakor (se skäl 25 i direktiv 2002/58).

59 Detta samtycke kan inte heller likställas med ett uttryckligt samtycke till behandling av dessa uppgifter i den mening som avses i artikel 9.2 a i dataskyddsförordningen. Ett samtycke till profilering i den mening som avses i artikel 22.1 c i dataskyddsförordningen, vars föremål uppenbarligen är begränsat till profileringsbehandling, kan inte heller vara relevant.

60 I fråga 5 har den hänskjutande domstolen förutsatt att det omtvistade tillvägagångssättet – utöver insamling, sammankoppling med användarens Facebookkonto och användning av uppgifter från andra koncerntjänster och från tredje mans webbplatser och appar (se ovan punkt 10) – även inbegriper användandet av uppgifter som redan har samlats in och sammanknutits [med användarens Facebookkonto] på annat lagligt sätt.

61 Artikel 6.1 b i dataskyddsförordningen.

62 Artikel 6.1 f i dataskyddsförordningen.

63 Artikel 6.1 f i dataskyddsförordningen.

64 Det vill säga att minderåriga användare, mät- och analystjänster och affärstjänster, marknadsföringskommunikation mot användarna, samhällsnyttig forskning och innovation samt utbyte av information med brottsbekämpande myndigheter och svar på rättsliga framställningar.

65 Artikel 6.1 c i dataskyddsförordningen.

66 Artikel 6.1 d i dataskyddsförordningen.

67 Artikel 6.1 e i dataskyddsförordningen.

68 Tolkningsfråga 4 tycks nämligen vara en anmodan till domstolen att uttala sig om tillämpningen, snarare än tolkningen, av artikel 6.1 f i dataskyddsförordningen, och vad gäller tolkningsfråga 5 har den hänskjutande domstolen inte angett skälen till att den hyser tvivel i fråga om tolkningen av artikel 6.1 c, d och e i förordningen.

69 Se EDPB:s riktlinjer 2/2019 av den 8 oktober 2019 om behandling av personuppgifter enligt artikel 6.1 b i dataskyddsförordningen inom ramen för tillhandahållande av onlinetjänster till de registrerade (nedan kallade EDPB:s riktlinjer 2/2019), punkt 1.

70 Även om parterna i det nationella målet i saken är ense om premissen att det för tillämpningen av grunderna i fråga krävs en bedömning av varje enskilt fall, har de intagit olika ståndpunkter i frågan om de praktiska konsekvenserna av denna premiss. Bundeskartellamt har understrukit att det ankommer på den personuppgiftsansvarige att på ett utförligt sätt fastställa vilka uppgifter som konkret kommer att behandlas i vilket användningsscenario och har i synnerhet gjort gällande att klaganden i det nationella målet endast har angett att all behandling av uppgifter som härrör från källor utanför Facebook är nödvändig för vart och ett av de ändamål med behandlingen av uppgifter som anges i användarvillkoren. Meta Platforms Ireland anser däremot att Bundeskartellamt inte utan att granska särdragen i varje behandling kunde utesluta att det omtvistade tillvägagångssättet kunde grundas på de aktuella grunderna och alltså inte kunde dra slutsatsen att tillvägagångssättet var oförenligt med dataskyddsförordningen.

71 I artikel 6.1 a i dataskyddsförordningen anges att användaren ska ha lämnat sitt samtycke.

72 I detta avseende, Europeiska datatillsynsmannens riktlinjer 2/2019, i punkt 16, preciserar bland annat att principerna om begränsning av syftet (artikel 5.1 b i dataskyddsförordningen] och minimering av uppgifterna (artikel 5.1 c i dataskyddsförordningen) är särskilt viktiga i avtal om onlinetjänster, vilka i allmänhet inte är föremål för individuell förhandling, enligt den ökade risken för att de personuppgiftsansvariga försöker föra in villkor som syftar till att maximera insamlingen och den möjliga användningen av uppgifterna, utan att precisera ändamålen på ett adekvat sätt och utan att föreskriva några skyldigheter att minimera uppgifterna.

73 Enligt punkt 2 i EDPB:s riktlinjer 2/2019 stöder denna bestämmelse näringsfriheten, vilken garanteras i artikel 16 i stadgan, och speglar det faktum att de avtalsenliga skyldigheterna gentemot den registrerade ibland inte kan uppfyllas utan att den registrerade tillhandahåller vissa personuppgifter. Det andra exemplet i denna bestämmelse, att behandlingen ska vara nödvändig för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, är inte relevant i det nu aktuella fallet. Samma sak gäller frågan om förekomsten av ett giltigt avtal mot bakgrund av såväl tillämplig avtalsrätt som andra lagstadgade krav, däribland kraven avseende konsumentavtal (se bland annat rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 1993, s. 29)) som inte berörs av begäran om förhandsavgörande.

74 Se, beträffande artikel 7 e i direktiv 95/46 som motsvarade artikel 6.1 b i dataskyddsförordningen, dom av den 16 december 2008, Huber ( C‑524/06, EU:C:2008:724, punkt 52).

75 För övrigt räcker det inte att endast hänvisa till eller nämna uppgiftsbehandling i ett avtal för att behandlingen i fråga ska omfattas av artikel 6.1 b men samtidigt kan behandlingen objektivt sett vara nödvändig även om den inte särskilt nämns i avtalet, utan att det påverkar den personuppgiftsansvariges skyldigheter i fråga om öppenhet (se EDPB:s riktlinjer 2/2019, punkt 27).

76 Se EDPB:s riktlinjer 2/2019, punkt 25.

77 Se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert ( C‑92/09 och C‑93/09, EU:C:2010:662, punkt 86) och EDPB:s riktlinjer 2/2019, punkt 25. Punkterna 27–32 i dessa riktlinjer hänför sig bland annat till att behandlingen ska vara objektivt sett nödvändig för ett ändamål som är väsentligt för tillhandahållandet av denna tjänst på avtalsbasis till den registrerade, varvid den personuppgiftsansvarige bör kunna visa hur huvudföremålet i det angivna avtalet med den registrerade rent faktiskt inte kan fullgöras om den särskilda behandlingen av personuppgifterna i fråga inte äger rum. Punkt 33 i riktlinjerna innehåller vägledande frågor i detta avseende.

78 Se EDPB:s riktlinjer 2/2019, punkt 32.

79 Se EDPB:s riktlinjer 2/2019, punkt 37.

80 Den österrikiska regeringen har gjort det relevanta påpekandet att klaganden i det nationella målet tidigare gjorde det möjligt för Facebookanvändare att välja mellan en kronologisk presentation eller en personaliserad presentation av innehållet i nyhetsflödet, vilket visar att man kan tänka sig ett alternativt sätt.

81 Jag tror inte, med förbehåll för den hänskjutande domstolens bedömning, att det kan vara nödvändigt att samla in och använda personuppgifter utanför Facebook för att tillhandahålla de tjänster som erbjuds inom ramen för en Facebookprofil, så att det samtycke som en användare lämnar för att kunna gå med i det sociala nätverket (det vill säga skapa en Facebookprofil) på ett giltigt sätt kan omfatta behandling av användarens personuppgifter utanför Facebook. Användningen av de aktuella tjänsterna skulle nämligen under den omständigheten ha gjorts beroende av ett samtycke som inte är nödvändigt för avtalets fullgörande och denna omständighet måste den hänskjutande domstolen i enlighet med artikel 7.4 i dataskyddsförordningen ta största möjliga hänsyn till (denna omständighet utgör i enlighet med skäl 43 i dataskyddsförordningen en presumtion om att samtycket inte är giltigt som den personuppgiftsansvarige ska motbevisa enligt artikel 7.1 i dataskyddsförordningen). Jag anser inte heller att ett sådant samtycke uppfyller kravet på ett särskilt samtycke till olika former av behandling av personuppgifter (se den tredje delen av punkt 74 ovan), eftersom det inte finns någon koppling mellan användarens ursprungliga samtycke vid öppnandet av Facebookkontot och ett eventuellt samtycke från användaren till behandling av personuppgifter utanför Facebook. Även för det fall att samtycke eventuellt lämnas senare, specifikt för användning av uppgifter utanför Facebook, är det också viktigt att undersöka huruvida personuppgiftsansvarig erbjuder en likvärdig tjänst som inte inkluderar samtycke till användning av uppgifter för andra ändamål (se punkt 37 i Europeiska dataskyddsstyrelsens riktlinjer 5/2020 av den 4 maj 2020, om samtycke i den mening som avses i förordning (EU) 2016/679 (nedan kallade EDPB:s riktlinjer 5/2020) där även anges, i punkt 38, att personuppgiftsansvarig inte får hänvisa till en likvärdig tjänst från en annan operatör).

82 Såsom den österrikiska regeringen har påpekat är det i detta avseende avgörande att koncernens olika produkter kan användas oberoende av varandra och att användningen av varje tjänst grundar sig på ett separat användaravtal. Såsom Bundeskartellamt har påpekat bör en kontinuerlig och sömlös användning av koncernens tjänster anses ligga i användarens intresse, snarare än vara nödvändig för att tjänsternas funktion, och att det därför i princip skulle vara lämpligare om det var användarens val.

83 Se, analogt, dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 28), om artikel 7 f i direktiv 95/46, bestämmelse som motsvarade artikel 6.1 f i dataskyddsförordningen.

84 I direktiv 95/46 framstod begreppet berättigat intresse, som generaladvokaten Bobek påpekade i förslaget till avgörande i målet Fashion ID ( C‑40/17, EU:C:2018:1039, punkt 122) som relativt flexibelt och öppet. Domstolen har nämligen, såsom klaganden i det nationella målet har gjort gällande, erkänt flera intressen som berättigade (se bland annat dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 81), dom av den 19 oktober 2016, Breyer ( C‑582/14, EU:C:2016:779, punkt 55), dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 29), dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) ( C‑136/17, EU:C:2019:773, punkt 53), dom av den 11 december 2019, Asociaţia de Proprietari bloc M5A-ScaraA ( C‑708/18, EU:C:2019:1064, punkt 59), och dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkterna 108 och 109). Jag anser att samma slutsats kan dras utifrån dataskyddsförordningen, där det som exempel bland annat anges i skäl 47 en situation där den registrerade är kund hos eller arbetar för den personuppgiftsansvarige och behandling av personuppgifter för att förhindra bedrägerier eller för direktmarknadsföring, och i skäl 49, nät- och informationssäkerhet och säkerheten hos de tjänster som tillhandahålls.

85 Vilket enligt min mening innebär att det måste anges vilken behandling som grundar sig på vilket berättigat intresse.

86 Se dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 30), och dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 110).

87 Se, för ett liknande resonemang, dom av den 4 maj 2017, Rīgas satiksme ( C‑13/16, EU:C:2017:336, punkt 31), och dom av den 17 juni 2021, M.I.C.M. ( C‑597/19, EU:C:2021:492, punkt 111). Domstolen har i detta avseende erinrat om att artikel 7 f i direktiv 95/46 (som motsvarade artikel 6.1 f i dataskyddsförordningen) utgjorde hinder för att en medlemsstat kategoriskt och generellt uteslöt möjligheten att behandla vissa typer av personuppgifter, utan att tillåta en avvägning mellan de motstående rättigheterna och intressena i det enskilda fallet. Domstolen klargjorde att en medlemsstat inte, för dessa typer av personuppgifter, slutgiltigt fick ange vad resultatet av avvägningen mellan de motstående rättigheterna och intressena skulle bli, utan att tillåta ett annat resultat med hänsyn till de särskilda omständigheterna i det enskilda fallet (dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 62 och där angiven rättspraxis).

88 I punkt III.3.4 i artikel 29-gruppens utlåtande 6/2014 görs några intressanta överväganden i detta avseende.

89 Enligt skäl 49 i dataskyddsförordningen utgör nämligen behandling av personuppgifter ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet. Detta skulle till exempel kunna innefatta att förhindra obehörigt tillträde till elektroniska kommunikationsnät och felaktig kodfördelning. Jag vill även framhålla att den personuppgiftsansvarige, i enlighet med artikel 32 i dataskyddsförordningen, bland annat ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och att personuppgifter enligt artikel 5.1 f i förordningen ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifter.

90 Det ska således prövas i vilken utsträckning behandling av personuppgifter som härrör från källor utanför Facebooks webbplats eller Facebookappen är nödvändig för Facebooks säkerhet. I detta avseende har den hänskjutande domstolen visserligen framhållit möjligheten att använda WhatsApp-uppgifter till antispamfunktionen (genom att använda information från WhatsApp-konton som skickar spam för att vidta åtgärder mot motsvarande Facebookkonton) och Instagram-uppgifter för att hitta tvivelaktiga eller olagliga beteenden. Jag har emellertid svårt att tro att klaganden i det nationella målet kan ge sig själv rätten att behandla personuppgifter för polisändamål i vid bemärkelse, med beaktande av att det är utrett i domstolens praxis, på (ett annat men närbesläktat) område som rör uppgifter om elektronisk kommunikation, att till och med lagstiftning som föreskriver generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter i förebyggande syfte är oförenlig med direktiv 2002/58 (se dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 168). För det fall att det är nödvändigt att säkerställa nätsäkerheten till följd av ett lagstadgat krav, kan den personuppgiftsansvarige dessutom åberopa den särskilda grunden i artikel 6.1 c i dataskyddsförordningen.

91 I enlighet med artikel 6.1 c, d och e i dataskyddsförordningen.

92 Se ovan punkt 48

93 Med hänsyn till den långa raden av berättigade intressen som erkänts i rättspraxis (se ovan punkt 60 Till exempel förefaller det i princip uppenbart att skyddet för minderåriga kan motivera lämpliga skyddsåtgärder för att hindra minderåriga från att få åtkomst till olämpligt eller farligt innehåll.

94 Det följer nämligen av artikel 13.1 c och d i dataskyddsförordningen att det bland annat ankommer på den personuppgiftsansvarige att för varje behandling ange vilka berättigade intressen som eftersträvas av personuppgiftsansvarig eller av tredje man.

95 I dom av den 11 november 2020, Orange Romania ( C‑61/19, EU:C:2020:901, punkterna 35 och 36 samt där angiven rättspraxis), klargjorde domstolen att ordalydelsen i artikel 4 led 11 i dataskyddsförordningen, där samtycke av den registrerade definieras, är striktare än den i artikel 2 h i direktiv 95/46, eftersom det krävs en frivillig, specifik, informerad och otvetydig viljeyttring av den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling genom vilken behandling av den registrerades personuppgifter godtas.

96 Såsom Europeiska dataskyddsstyrelsen har understrukit innebär adjektivet frivilligt ett val och en faktisk kontroll för de registrerade (EDPB:s riktlinjer 5/2020, punkt 13). I samma punkt preciseras bland annat att samtycket inte har lämnats frivilligt om den registrerade känner sig tvingad att samtycka till eller drabbas av betydande negativa konsekvenser om han eller hon inte ger sitt samtycke eller om samtycket presenteras som en icke förhandlingsbar del av de allmänna avtalsvillkoren. Samtycket ska således inte anses ha lämnats frivilligt om denna person inte kan vägra eller dra tillbaka det utan att lida skada. Den enda olägenhet som den registrerade i så fall måste acceptera, såsom klaganden i det nationella målet har understrukit, är att tjänsten i förekommande fall kanske inte har samma funktion eller kvalitet, i den mån behandlingen av uppgifter för vilka samtycke inte har lämnats är tekniskt nödvändig för detta.

97 I EDPB:s riktlinjer 5/2020 anges bedrägeri, trakasserier, tvång eller betydande negativa konsekvenser om den registrerade vägrar att ge sitt samtycke. Det erinras om att bevisbördan ligger på den personuppgiftsansvarige som bör kunna bevisa att den registrerade har haft en fri eller genuin valmöjlighet att samtycka eller inte samtycka och att den registrerade utan problem har kunnat återkalla samtycket (punkt 47).

98 Utöver de situationer som rör förbindelser med offentliga myndigheter och anställningsförhållanden, vilka berörs i skäl 43 och inte är relevanta i det aktuella fallet, anges i punkt 24 i EPDB:s riktlinjer 5/2020 bland annat situationer där den registrerade inte har något egentligt val eller i vilka det finns risk för bedrägeri, trakasserier, tvång eller betydande negativa konsekvenser (till exempel betydande tilläggskostnader) om inget samtycke ges.

99 Denna fråga sammanfaller delvis med föremålet för den första delen av tolkningsfråga 3 (se ovan punkterna 53–57). I skäl 43 andra meningen i dataskyddsförordningen anges att samtycke i en sådan situation inte antas vara frivilligt (enligt punkt 26 i EDPB:s riktlinjer 5/2020 ser dataskyddsförordning härigenom till att behandling av personuppgifter för vilken samtycke krävs inte direkt eller indirekt får ställas som krav för genomförandet av ett avtal), och ordvalet antas visar tydligt att det är mycket sällsynt med sådana fall där samtycke är giltigt (se punkt 35 i riktlinjerna). Artikel 7.4 i dataskyddsförordningen är också formulerad på ett icke uttömmande sätt genom användningen av orden bland annat. Det betyder att en rad andra situationer kan omfattas av denna bestämmelse, däribland alla former av påtryckningar eller otillbörlig påverkan på den registrerade som hindrar honom eller henne från att utöva sin fria vilja (EDPB:s riktlinjer 5/2020, punkt 14).

100 I skäl 32 i dataskyddsförordningen anges bland annat att samtycket bör gälla all behandling som utförs för samma ändamål och att om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. EPDB:s riktlinjer 5/2020 hänför sig i detta avseende till samtyckets granularitet som ett hinder för valfrihet (punkt 44).

101 En sådan situation gynnar bland annat uppställandet av villkor som inte är nödvändiga för avtalets fullgörande (se ovan punkterna 53–57).

102 Den grad av företagets relativa marknadsstyrka som är kritisk för att ett samtycke enligt dataskyddsförordningen ska vara giltigt kan med andra ord, såsom kommissionen har framhållit, inte nödvändigtvis likställas med tröskeln för dominerande ställning på marknaden i den mening som avses i artikel 102 FEUF.

103 Även om en dominerande ställning inte i sig hindrar att det kan vara möjligt att lämna ett frivilligt samtycke till behandling av personuppgifter, är avsaknaden av en sådan ställning naturligtvis inte heller i sig tillräcklig för att garantera att ett sådant samtycke är giltigt under alla omständigheter.