Генералният адвокат на Европейския съд М. BOBEK излезе съ становище по дело C‑40/17 Fashion ID GmbH & Co.KG срещу Verbraucherzentrale NRW e.V. встъпили страни: Facebook Ireland Limited, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
Делото касае следният казус:
Fashion ID (наричано по-нататък „ответникът“) е онлайн търговец, който продава модни артикули на своя уебсайт. Ответникът е интегрирал софтуерната приставка „харесва ми“, предоставена от Facebook Ireland Limited (наричано по-нататък „Facebook Ireland“)(4), в уебсайта си. В резултат на това така нареченият бутон „харесва ми“ на Facebook се появява на уебсайта на ответника.
По-нататък, в акта за преюдициално запитване се обяснява как функционира (невидимата) част на софтуерната приставка: когато посетител влезе в уебсайта на ответника, на който е поставен бутонът „харесва ми“ на Facebook, неговият браузър автоматично изпраща на Facebook Ireland информация за IP адреса му и стринга на браузъра му. Предаването на тази информация се осъществява, без да е необходимо натискане на бутона „харесва ми“ на Facebook. От акта за преюдициално запитване също така следва, че при посещение на уебсайта на ответника Facebook Ireland поставя на устройството на ползвателя различни видове т.нар. „бисквитки“ („cookies“) (бисквитка от сесията, datr-бисквитка и fr-бисквитка).
Verbraucherzentrale NRW (наричано по-нататък „жалбоподателят“) — сдружение за защита на потребителите — предявява съдебен иск срещу ответника пред Landgericht (областен съд, Германия). Ищецът иска ответникът да бъде осъден да преустанови интегрирането на софтуерната приставка за споделяне в социална мрежа „харесва ми“ на Facebook, поради това че ответникът:
– „не е информирал предварително, изрично и ясно потребителите на интернет сайта — до момента, в който доставчикът на софтуерната приставка започва да осъществява достъп до IP адреса на потребителя и до стринга на неговия браузър с цел събиране и използване на разкритите по този начин данни, и/или
– не e получил предварително съгласието на потребителите на интернет сайта за достъп до IP адреса и до изпращания от браузъра стринг чрез доставчика на софтуерната приставка и за използването на данните, всеки път преди да бъде осъществен съответния достъп, и/или
– не е информирал предварително потребителите, дали съгласието си по смисъла на второто искане в исковата молба, че могат да оттеглят това съгласие по всяко време с действие за в бъдеще, и/или
– не е декларирал следното: „[а]ко сте потребител на социална мрежа и не желаете социалната мрежа да събира данни за Вас чрез нашия уебсайт и да ги свързва с Вашите потребителски данни, съхранявани от социалната мрежа, трябва да излезете от тази социална мрежа, преди да посетите нашия уебсайт“.
Ищецът твърди, че Facebook Inc. или Facebook Ireland съхраняват IP адреса и стринга на браузъра и ги свързват с определен потребител (член или не). В отговор ответникът заявява, че не е знаел за това. Facebook Ireland твърди, че IP адресът се преобразува в генеричен IP адрес и се съхранява само в тази форма, както и че не се извършва съпоставяне на IP адреса и на стринга на браузърите с потребителски профили.
Landgericht (Областният съд) се произнася в полза на ищеца по първите три основания. Ответникът обжалва решението. Ищецът подава насрещна въззивна жалба по отношение на четвъртото основание.
В този фактически и правен контекст Oberlandesgericht Düsseldorf (Върховен областен съд Дюселдорф) решава да спре производството и да постави на Съда следните преюдициални въпроси:
„(1) Допускат ли разпоредбите на членове 22, 23 и 24 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) национална правна уредба, която наред с правомощията за намеса, с които разполагат органите за защита на данните, и със средствата за правна защита на разположение на заинтересованите лица, предоставя на сдружения с нестопанска цел за защита на интересите на потребителите правомощието да предприемат правни действия срещу нарушителя в случай на нарушения?
При отрицателен отговор на първия въпрос:
(2) В случай като настоящия, в който лице интегрира в своя уебсайт програмен код, чрез който браузърът на потребителя изисква данни с определено съдържание от трето лице, като за целта предава лични данни на третото лице, следва ли лицето, интегрирало посочения програмен код, да се счита за „администратор“ по смисъла член 2, буква г) от [Директива 95/46], когато това лице няма възможност да влияе върху тази операция по обработване на данни?
(3) При отрицателен отговор на втория въпрос: трябва ли член 2, буква г) от [Директива 95/46] да се тълкува в смисъл, че урежда изчерпателно отговорността на администратора и нейните основания така, че не допуска ангажирането на гражданската отговорност на трето лице, което, макар да не е „администратор“, създава предпоставките за започване на операцията по обработване на данни, без да има възможност да влияе върху тази операция?
(4) Чии „законни интереси“ трябва да бъдат взети предвид в положение като разглежданото в случая, когато следва да се извърши претегляне съгласно член 7, буква е) от [Директива 95/46]? Интересът от интегрирането на съдържание на трети лица или интересът на третото лице?
(5) Пред кого трябва да бъде изразено съгласието, което следва да бъде дадено съгласно член 7, буква а) и член 2, буква з) от [Директива 95/46] в положение като разглежданото в случая?
(6) В положение като настоящото длъжен ли е операторът на уебсайт, интегрирал в него предоставени от трето лице данни с определено съдържание, с което се създават предпоставки за обработване на лични данни, да предоставя информация в съответствие с член 10 от [Директива 95/46]?“.
Мнението на Генералният адвокат:
„– Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни допуска национална правна уредба, която предоставя на сдружения с нестопанска цел за защита на потребителите процесуална легитимация да предприемат производства срещу предполагаемия нарушител на законодателството в областта на защитата на данните, за да се защитят интересите на потребителите.
– Лице, което е интегрирало в своя уебсайт софтуерна приставка на трето лице, чрез която се осъществява събирането и предаването на личните данни на ползвателя (като софтуерната приставка е предоставена от третото лице), следва да се счита за администратор по смисъла на член 2, буква г) от Директива 95/46. Въпреки това (съвместната) отговорност на този администратор се ограничава до операциите, за които той реално е участвал в съвместно вземане на решения относно средствата и целите на обработването на личните данни.
– За целите на преценката на възможността да се обработват лични данни при спазване на условията, определени в член 7, буква е) от Директива 95/46, законните интереси и на двамата съвместни администратори трябва да бъдат взети предвид и претеглени спрямо правата на субектите на данни.
– Съгласието на субекта на данни, получено в съответствие с член 7, буква а) от Директива 95/46, трябва да бъде предоставено на оператор на уебсайт, който е интегрирал съдържанието на трето лице. Член 10 от Директива 95/46 трябва се тълкува в смисъл, че задължението за предоставяне на информация съгласно тази разпоредба се прилага и по отношение на този оператор на уебсайт. Съгласието на субекта на данни по член 7, буква а) от Директива 95/46 трябва да бъде дадено и информацията по смисъла на член 10 от същата директива трябва да бъде предоставена преди събирането и предаването на данните. Въпреки това обхватът на тези задължения трябва да съответства на съвместната отговорност на този оператор за събирането и предаването на личните данни“.
