ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως) της 1ης Οκτωβρίου 2019
«Προδικαστική
παραπομπή – Οδηγία 95/46/ΕΚ – Οδηγία 2002/58/ΕΚ – Κανονισμός (ΕE)
2016/679 – Επεξεργασία των δεδομένων προσωπικού χαρακτήρα και προστασία
της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών – Cookies –
Έννοια της συγκατάθεσης του υποκειμένου των δεδομένων – Δήλωση
συγκατάθεσης μέσω προσυμπληρωμένου τετραγωνιδίου»
Στην υπόθεση C‑673/17,
με
αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ,
που υπέβαλε το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο,
Γερμανία) με απόφαση της 5ης Οκτωβρίου 2017, η οποία περιήλθε στο
Δικαστήριο στις 30 Νοεμβρίου 2017, στο πλαίσιο της δίκης
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV
κατά
Planet49 GmbH,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),
συγκείμενο
από τους K. Lenaerts, Πρόεδρο, R. Silva de Lapuerta, Αντιπρόεδρο, J.-C.
Bonichot, Μ. Βηλαρά, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe
και Κ. Λυκούργο, προέδρους τμήματος, A. Rosas (εισηγητή), L. Bay Larsen,
M. Safjan και S. Rodin, δικαστές,
γενικός εισαγγελέας: M. Szpunar
γραμματέας: D. Dittert, προϊστάμενος μονάδας,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 13ης Νοεμβρίου 2018,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
–
η Bundesverband der Verbraucherzentralen und Verbraucherverbände –
Verbraucherzentrale Bundesverband eV, εκπροσωπούμενη από τον P.
Wassermann, Rechtsanwalt,
– η Planet49 GmbH, εκπροσωπούμενη από τον M. Jaschinski, τη J. Viniol και τον T. Petersen, Rechtsanwälte,
– η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τον J. Möller,
– η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από τον F. De Luca, avvocato dello Stato,
–
η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τους L. Inez Fernandes και
M. Figueiredo καθώς και από τις L. Medeiros και C. Guerra,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους G. Braun και H. Kranenborg καθώς και από την P. Costa de Oliveira,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 21ης Μαρτίου 2019,
εκδίδει την ακόλουθη
Απόφαση
1
Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 2,
στοιχείο στʹ, και του άρθρου 5, παράγραφος 3, της οδηγίας 2002/58/ΕΚ του
Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002,
σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την
προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
(οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές
επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), όπως τροποποιήθηκε με την οδηγία
2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης
Νοεμβρίου 2009 (ΕΕ 2009, L 337, σ. 11) (στο εξής: οδηγία 2002/58), σε
συνδυασμό με το άρθρο 2, στοιχείο ηʹ, της οδηγίας 95/46/ΕΚ του
Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για
την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
(ΕΕ 1995, L 281, σ. 31), καθώς και του άρθρου 6, παράγραφος 1, στοιχείο
αʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του
Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών
προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και
για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της
οδηγίας 95/46 (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016,
L 119, σ. 1).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο
ένδικης διαφοράς μεταξύ της Bundesverband der Verbraucherzentralen und
Verbraucherverbände – Verbraucherzentrale Bundesverband eV (ομοσπονδίας
των οργανώσεων και ενώσεων καταναλωτών – ομοσπονδία των οργανώσεων
καταναλωτών, Γερμανία) (στο εξής: ομοσπονδία) και της Planet49 GmbH,
εταιρίας η οποία παρέχει υπηρεσίες διαδικτυακών παιχνιδιών, σχετικά με
τη συγκατάθεση των συμμετεχόντων σε διαφημιστικό παιχνίδι διοργανωθέν
από την εταιρία αυτή για τη διαβίβαση των προσωπικών δεδομένων τους σε
χορηγούς και εμπορικούς εταίρους της εν λόγω εταιρίας καθώς και για την
αποθήκευση πληροφοριών και την πρόσβαση σε πληροφορίες αποθηκευμένες
στον τερματικό εξοπλισμό των χρηστών αυτών.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
Η οδηγία 95/46
3 Το άρθρο 1 της οδηγίας 95/46 προβλέπει τα εξής:
«1.
Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας
οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των
φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας
δεδομένων προσωπικού χαρακτήρα.
2. Τα κράτη μέλη δεν μπορούν
να περιορίζουν ή να απαγορεύουν την ελεύθερη κυκλοφορία των δεδομένων
προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους συναφείς με την
προστασία που εξασφαλίζεται δυνάμει της παραγράφου 1.»
4 Το άρθρο 2 της οδηγίας αυτής ορίζει τα εξής:
«Για τους σκοπούς της παρούσας οδηγίας, νοούνται ως:
α)
“δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται σε
φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να
εξακριβωθεί “το πρόσωπο στο οποίο αναφέρονται τα δεδομένα”· ως πρόσωπο
του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο
που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού
ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που
χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική,
οικονομική, πολιτιστική ή κοινωνική άποψη·
β) “επεξεργασία
δεδομένων προσωπικού χαρακτήρα” “επεξεργασία”, κάθε εργασία ή σειρά
εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων
διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η
συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η
τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση
με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η εναρμόνιση ή ο
συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή·
[...]
η)
“συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα”, κάθε
δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρει επιγνώσει, με την οποία
το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν
αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν.»
5 Το άρθρο 7 της εν λόγω οδηγίας έχει ως εξής:
«Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:
α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του
[...]»
6 Κατά το άρθρο 10 της ίδιας οδηγίας:
«Τα
κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός
του πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που
το αφορούν τουλάχιστον τις πληροφορίες που απαριθμούνται κατωτέρω, εκτός
εάν το πρόσωπο αυτό έχει ήδη ενημερωθεί σχετικά:
α) την ταυτότητα του υπευθύνου της επεξεργασίας και, ενδεχομένως, του εκπροσώπου του·
β) τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα·
γ) οποιαδήποτε περαιτέρω πληροφορία, όπως:
– τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων,
–
το κατά πόσον η παροχή των δεδομένων είναι υποχρεωτική ή όχι, καθώς και
τις ενδεχόμενες συνέπειες της άρνησης παροχής τους,
– την ύπαρξη δικαιώματος πρόσβασης στα συγκεκριμένα δεδομένα και δικαιώματος διόρθωσής τους,
εφόσον
οι πληροφορίες αυτές είναι αναγκαίες, λόγω των ειδικών συνθηκών υπό τις
οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται η θεμιτή
επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.»
Η οδηγία 2002/58
7 Οι αιτιολογικές σκέψεις 17 και 24 της οδηγίας 2002/58 έχουν ως εξής:
«(17)
Για τους σκοπούς της παρούσας οδηγίας, η συγκατάθεση του χρήστη ή του
συνδρομητή, ανεξάρτητα αν αυτός είναι φυσικό ή νομικό πρόσωπο, πρέπει να
έχουν την ίδια έννοια με τη συγκατάθεση του προσώπου στο οποίο
αναφέρονται τα δεδομένα, όπως ορίζεται και περαιτέρω προσδιορίζεται στην
οδηγία [95/46]. Η συγκατάθεση δύναται να παρέχεται με κάθε πρόσφορο
τρόπο που επιτρέπει την ελεύθερη και ενημερωμένη έκφραση των επιθυμιών
του χρήστη, όπως με τη συμπλήρωση τετραγωνιδίου κατά την επίσκεψη
ιστοσελίδας του Διαδικτύου.
[...]
(24) Ο τερματικός
εξοπλισμός των χρηστών δικτύων ηλεκτρονικών επικοινωνιών και κάθε
πληροφορία που αποθηκεύεται στον εξοπλισμό αυτόν συνιστούν μέρος της
ιδιωτικής ζωής των χρηστών η οποία χρήζει προστασίας δυνάμει της
ευρωπαϊκής σύμβασης για την προάσπιση των δικαιωμάτων του ανθρώπου και
των θεμελιωδών ελευθεριών[, που υπεγράφη στη Ρώμη στις 4 Νοεμβρίου
1950]. Τα επιλεγόμενα κατασκοπευτικά λογισμικά, δικτυακοί “κοριοί” (web
bugs), κρυφά αναγνωριστικά στοιχεία και άλλες παρόμοιες διατάξεις
μπορούν να εισέλθουν στο τερματικό του χρήστη εν αγνοία του με σκοπό την
πρόσβαση σε πληροφορίες, την αποθήκευση αθέατων πληροφοριών ή την
ανίχνευση των δραστηριοτήτων του χρήστη, και συνιστούν ενδεχόμενη σοβαρή
παραβίαση της ιδιωτικής ζωής του χρήστη. Η χρησιμοποίηση τέτοιων
διατάξεων θα πρέπει να επιτρέπεται μόνο για θεμιτούς σκοπούς και εφόσον
το γνωρίζουν οι αφορώμενοι χρήστες.»
8 Το άρθρο 1 της οδηγίας 2002/58 προβλέπει τα ακόλουθα:
«1.
Η παρούσα οδηγία προβλέπει την εναρμόνιση των εθνικών διατάξεων οι
οποίες απαιτούνται προκειμένου να διασφαλίζεται ισοδύναμο επίπεδο
προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών, και ιδίως του
δικαιώματος στην ιδιωτική ζωή και την εμπιστευτικότητα, όσον αφορά την
επεξεργασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών
επικοινωνιών, καθώς και να διασφαλίζεται η ελεύθερη κυκλοφορία των
δεδομένων αυτών και των εξοπλισμών και υπηρεσιών ηλεκτρονικών
επικοινωνιών στην [Ευρωπαϊκή Ένωση].
2. Οι διατάξεις της
παρούσας οδηγίας εξειδικεύουν και συμπληρώνουν την οδηγία [95/46] για
τους σκοπούς που αναφέρονται στην παράγραφο 1. [...]»
9 Το άρθρο 2 της οδηγίας αυτής ορίζει τα εξής:
«Εκτός
αν άλλως ορίζεται, ισχύουν οι ορισμοί που περιλαμβάνονται στην οδηγία
[95/46] και την οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του
Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο
για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών (οδηγία πλαίσιο) [ΕΕ
2002, L 108, σ. 33].
Επίσης, ισχύουν και οι ακόλουθοι ορισμοί, βάσει των οποίων νοούνται ως:
α)
“χρήστης”, κάθε φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό
υπηρεσία ηλεκτρονικών επικοινωνιών, για προσωπικούς ή επαγγελματικούς
σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας·
[...]
στ)
“συγκατάθεση”, του χρήστη ή του συνδρομητή, η συγκατάθεση του προσώπου
που αφορούν τα δεδομένα, κατά την έννοια της οδηγίας [95/46]·
[...]»
10 Το άρθρο 5, παράγραφος 3, της εν λόγω οδηγίας προβλέπει τα εξής:
«Τα
κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση
πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό
συνδρομητή ή χρήστη [να] επιτρέπεται μόνον εάν ο συγκεκριμένος
συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και
εκτενείς πληροφορίες σύμφωνα με την οδηγία [95/46], μεταξύ άλλων για το
σκοπό της επεξεργασίας. Τούτο δεν εμποδίζει οιαδήποτε τεχνικής φύσεως
αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η
διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών
επικοινωνιών ή που είναι απολύτως αναγκαία για να μπορεί ο πάροχος
υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο
συνδρομητής ή ο χρήστης να παρέχει τη συγκεκριμένη υπηρεσία.»
Ο κανονισμός 2016/679
11 Η αιτιολογική σκέψη 32 του κανονισμού 2016/679 έχει ως εξής:
«Η
συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να
συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της
συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των
δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων
με ηλεκτρονικά μέσα, ή με προφορική δήλωση. Αυτό θα μπορούσε να
περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε
διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων
για υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ή συμπεριφορά
που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των
δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων
προσωπικού χαρακτήρα. Επομένως, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια
ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Η
συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων
επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους
σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να
δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του
υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με
ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην
διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία
παρέχεται.»
12 Το άρθρο 4 του κανονισμού αυτού ορίζει τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1)
“δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά
ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των
δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η
ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε
αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε
δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή
περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική,
γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του
εν λόγω φυσικού προσώπου,
2) “επεξεργασία”: κάθε πράξη ή
σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων
μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων
προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η
διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η
αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή
κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η
διαγραφή ή η καταστροφή,
[...]
11) “συγκατάθεση” του
υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη,
συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο
των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική
ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού
χαρακτήρα που το αφορούν,
[...]»
13 Το άρθρο 6 του εν λόγω κανονισμού προβλέπει τα ακόλουθα:
«1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α)
το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των
δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους
συγκεκριμένους σκοπούς,
[...]»
14 Το άρθρο 7, παράγραφος 4, του ίδιου κανονισμού έχει ως εξής:
«Κατά
την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται
ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης,
συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η
συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν
είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.»
15 Κατά το άρθρο 13, παράγραφοι 1 και 2, του κανονισμού 2016/679:
«1.
Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων
συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας,
κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο
των δεδομένων όλες τις ακόλουθες πληροφορίες:
[...]
ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν [...]
[...]
2.
Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος
επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει
στο υποκείμενο των δεδομένων τις εξής επιπλέον πληροφορίες που είναι
αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:
α)
το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού
χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν
λόγω διάστημα,
[...]»
16 Το άρθρο 94 του κανονισμού αυτού ορίζει τα εξής:
«1. Η οδηγία [95/46] καταργείται από τις 25 Μαΐου 2018.
2.
Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον
παρόντα κανονισμό. Οι παραπομπές στην ομάδα προστασίας των προσώπων
έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με
το άρθρο 29 της οδηγίας [95/46], θεωρούνται παραπομπές στο Ευρωπαϊκό
Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.»
Το γερμανικό δίκαιο
17
Κατά το άρθρο 307, παράγραφος 1, πρώτη περίοδος, του Bürgerliches
Gesetzbuch (αστικού κώδικα, στο εξής: BGB), «οι διατάξεις γενικών όρων
συναλλαγών είναι ανίσχυρες όταν, αντιθέτως προς τις επιταγές της καλής
πίστεως, περιάγουν σε δυσανάλογα μειονεκτική θέση τον αντισυμβαλλόμενο
εκείνου που τους χρησιμοποιεί».
18 Το άρθρο 307, παράγραφος
2, σημείο 1, του BGB ορίζει ότι, σε περίπτωση αμφιβολίας, «δυσανάλογα
μειονεκτική θέση υφίσταται όταν ένας γενικός όρος δεν είναι συμβατός
προς θεμελιώδεις αρχές της νομοθεσίας από την οποία παρεκκλίνει».
19
Το άρθρο 12 του Telemediengesetz (νόμου για τα τηλεμέσα), της 26ης
Φεβρουαρίου 2007 (BGBl. 2007 I, σ. 179), όπως ίσχυε κατά τον κρίσιμο για
τη διαφορά της κύριας δίκης χρόνο (στο εξής: TMG), ορίζει τα εξής:
«(1)
Ο φορέας παροχής υπηρεσιών δύναται να συλλέγει και να χρησιμοποιεί
δεδομένα προσωπικού χαρακτήρα προκειμένου να καταστεί δυνατή η πρόσβαση
σε τηλεμέσα μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως
νόμου που αφορά ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.
(2)
Ο φορέας παροχής υπηρεσιών δύναται να χρησιμοποιεί τα συλλεγόμενα για
τη διάθεση τηλεμέσων δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς
μόνον υπό τους όρους του παρόντος νόμου ή άλλης διατάξεως νόμου που
αφορά ρητώς τα τηλεμέσα ή εφόσον έχει συναινέσει ο χρήστης.
(3)
Εφόσον δεν ορίζεται διαφορετικά, εφαρμόζονται οι εκάστοτε ισχύουσες
διατάξεις για την προστασία δεδομένων προσωπικού χαρακτήρα, ακόμη και αν
τα δεδομένα δεν υπόκεινται σε αυτοματοποιημένη επεξεργασία.»
20
Κατά το άρθρο 13, παράγραφος 1, του TMG, ο φορέας παροχής υπηρεσιών
οφείλει, κατά την έναρξη της χρήσης, να ενημερώνει τον χρήστη, με
γενικώς κατανοητό τρόπο, για το είδος, την έκταση και τους σκοπούς της
συλλογής και της χρήσης δεδομένων προσωπικού χαρακτήρα, εφόσον δεν έχει
ήδη προηγηθεί τέτοια ενημέρωση. Στις περιπτώσεις αυτοματοποιημένων
διαδικασιών, οι οποίες καθιστούν δυνατή τη μεταγενέστερη εξακρίβωση της
ταυτότητας του χρήστη και οι οποίες αποτελούν προπαρασκευαστικό στάδιο
για τη συλλογή ή τη χρήση δεδομένων προσωπικού χαρακτήρα, ο χρήστης
πρέπει να ενημερώνεται κατά την έναρξη της διαδικασίας αυτής.
21
Κατά το άρθρο 15, παράγραφος 3, του TMG, ο φορέας παροχής υπηρεσιών
δύναται να δημιουργεί προφίλ χρηστών με τη χρήση ψευδωνύμων, για σκοπούς
διαφημιστικούς, έρευνας αγοράς ή διαμόρφωσης των τηλεμέσων σύμφωνα με
τη ζήτηση, εφόσον ο χρήστης δεν εναντιώνεται κατόπιν ενημέρωσής του
σχετικά με το δικαίωμά του περί εναντίωσης.
22 Κατά τον
ορισμό που περιέχεται στο άρθρο 3, παράγραφος 1, του
Bundesdatenschutzgesetz (ομοσπονδιακού νόμου για την προστασία των
δεδομένων), της 20ής Δεκεμβρίου 1990 (BGBl. 1990 I, σ. 2954), όπως ίσχυε
κατά τον κρίσιμο για τη διαφορά της κύριας δίκης χρόνο (στο εξής:
BDSG), «ως δεδομένα προσωπικού χαρακτήρα λογίζονται οι συγκεκριμένες
πληροφορίες που αφορούν προσωπικά ή πραγματικά στοιχεία ενός ορισμένου ή
δυνάμενου να προσδιοριστεί φυσικού προσώπου (υποκείμενο των
δεδομένων)».
23 Κατά τον περιεχόμενο στο άρθρο 3, παράγραφος
3, του BDSG ορισμό, ως συλλογή νοείται η απόκτηση δεδομένων που αφορούν
το ως άνω υποκείμενο.
24 Το άρθρο 4a, παράγραφος 1, πρώτη
περίοδος, του BDSG, το οποίο μεταφέρει στην εθνική έννομη τάξη το άρθρο
2, στοιχείο ηʹ, της οδηγίας 95/46, προβλέπει ότι η συγκατάθεση είναι
έγκυρη μόνον εφόσον αποτελεί προϊόν της ελεύθερης βούλησης του
ενδιαφερομένου.
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
25 Στις 24 Σεπτεμβρίου 2013 η Planet49 διοργάνωσε διαφημιστικό παιχνίδι στον ιστότοπο www.dein-macbook.de.
26
Οι χρήστες του Διαδικτύου που επιθυμούσαν να συμμετάσχουν στο παιχνίδι
αυτό έπρεπε να γνωστοποιήσουν τον ταχυδρομικό τους κώδικα, εν συνεχεία
δε μεταφέρονταν σε ιστοσελίδα στην οποία έπρεπε να συμπληρώσουν το όνομα
και τη διεύθυνσή τους. Κάτω από τα πεδία για την αναγραφή της
διεύθυνσης υπήρχαν δύο κείμενα, συνοδευόμενα από τετραγωνίδια επιλογής.
Το πρώτο κείμενο, του οποίου το τετραγωνίδιο (στο εξής: πρώτο
τετραγωνίδιο επιλογής) δεν ήταν προσυμπληρωμένο, είχε ως εξής:
«Δέχομαι
να μου αποστέλλονται ενημερωτικά μηνύματα από ορισμένους χορηγούς και
εμπορικούς εταίρους, ταχυδρομικώς, τηλεφωνικώς ή μέσω ηλεκτρονικού
ταχυδρομείου ή SMS, σχετικά με προσφορές στον αντίστοιχο τομέα
δραστηριότητάς τους. Μπορώ να τους καθορίσω ο ίδιος/η ίδια εδώ,
διαφορετικά η επιλογή πραγματοποιείται από τον διοργανωτή. Μπορώ να
ανακαλέσω την αποδοχή μου ανά πάσα στιγμή. Περισσότερες σχετικές
πληροφορίες εδώ.»
27 Το δεύτερο κείμενο, του οποίου το
τετραγωνίδιο (στο εξής: δεύτερο τετραγωνίδιο επιλογής) ήταν
προσυμπληρωμένο, είχε ως εξής:
«Δέχομαι να χρησιμοποιηθεί στην
περίπτωσή μου η διαδικτυακή υπηρεσία ανάλυσης Remintrex. Κατά συνέπεια, η
διοργανώτρια του διαφημιστικού παιχνιδιού, [Planet49], θα εγκαταστήσει
cookies μετά την εγγραφή μου στο παιχνίδι, πράγμα το οποίο θα της
παρέχει τη δυνατότητα να αναλύει, μέσω της Remintrex, την πλοήγησή μου
στο Διαδίκτυο και τις επισκέψεις μου στους ιστοτόπους των διαφημιζόμενων
εμπορικών εταίρων καθώς και να απευθύνει διαφημίσεις εστιασμένες στα
ενδιαφέροντά μου. Μπορώ να διαγράψω τα cookies ανά πάσα στιγμή. Διαβάστε
λεπτομέρειες εδώ.»
28 Η συμμετοχή στο διαφημιστικό παιχνίδι
ήταν δυνατή μόνον εφόσον είχε συμπληρωθεί τουλάχιστον το πρώτο
τετραγωνίδιο επιλογής.
29 Ο ηλεκτρονικός σύνδεσμος εντός του
κειμένου που συνόδευε το πρώτο τετραγωνίδιο επιλογής, ο οποίος
συνίστατο στις λέξεις «χορηγούς και εμπορικούς εταίρους» και «εδώ»,
οδηγούσε σε κατάλογο 57 επιχειρήσεων όπου αναγράφονταν η διεύθυνσή τους,
ο προς διαφήμιση τομέας δραστηριότητας και ο χρησιμοποιούμενος για
διαφημιστικούς σκοπούς τρόπος επικοινωνίας (ηλεκτρονική αλληλογραφία,
ταχυδρομείο ή τηλέφωνο). Μετά την επωνυμία κάθε επιχείρησης αναγραφόταν η
υπογραμμισμένη λέξη «διαγραφή». Πριν από τον κατάλογο υπήρχε το
ακόλουθο κείμενο:
«Κάνοντας κλικ στον σύνδεσμο “διαγραφή”,
αποφασίζω ότι δεν μπορεί να δοθεί στον αντίστοιχο εμπορικό εταίρο/χορηγό
συγκατάθεση για διαφημιστικούς σκοπούς. Εάν δεν έχω διαγράψει κανέναν ή
δεν έχω διαγράψει αρκετούς εμπορικούς εταίρους/χορηγούς, η Planet49 θα
επιλέξει για εμένα εμπορικούς εταίρους/χορηγούς κατά τη διακριτική της
ευχέρεια (κατ’ ανώτατο όριο: 30 εμπορικούς εταίρους/χορηγούς).»
30
Με την ενεργοποίηση του συνιστάμενου στη λέξη «εδώ» ηλεκτρονικού
συνδέσμου ο οποίος βρισκόταν στο κείμενο που συνόδευε το δεύτερο
τετραγωνίδιο επιλογής εμφανίζονταν οι ακόλουθες πληροφορίες:
«Τα
εγκατεστημένα cookies με τις ονομασίες ceng_cache, ceng_etag, ceng_png
και gcr αποτελούν μικρά αρχεία τα οποία αποθηκεύονται στον σκληρό σας
δίσκο από τον φυλλομετρητή που χρησιμοποιείτε και μέσω των οποίων
διοχετεύονται ορισμένες πληροφορίες που καθιστούν δυνατή την
αποτελεσματικότερη και καλύτερα προσαρμοσμένη στον χρήστη διαφήμιση. Τα
cookies περιέχουν έναν συγκεκριμένο, τυχαία δημιουργούμενο αριθμό (ID) ο
οποίος συνδέεται ταυτόχρονα με τα δεδομένα καταχώρισής σας. Εάν
επισκεφθείτε ακολούθως τον ιστότοπο ενός διαφημιζόμενου εμπορικού
εταίρου που είναι εγγεγραμμένος για τη Remintrex (για να δείτε αν ο
διαφημιζόμενος συνεργαζόμενος εταίρος είναι εγγεγραμμένος, μπορείτε να
ανατρέξετε στη δήλωσή του περί προστασίας δεδομένων), καταγράφονται
αυτομάτως, μέσω ενός iFrame της Remintrex το οποίο είναι ενσωματωμένο
στη σελίδα, η επίσκεψή σας (δηλαδή η επίσκεψη του χρήστη με τον
αποθηκευμένο ID) στη σελίδα, το προϊόν για το οποίο ενδιαφερθήκατε και η
τυχόν σύναψη σύμβασης.
Εν συνεχεία, βάσει της δοθείσας κατά την
εγγραφή στο παιχνίδι συγκατάθεσης σχετικά με τη διαφήμιση, η [Planet49]
δύναται να σας αποστέλλει διαφημιστικά μηνύματα ανάλογα με τα στοιχεία
για τα οποία εκδηλώσατε ενδιαφέρον στον ιστότοπο του διαφημιζόμενου
εμπορικού εταίρου. Σε περίπτωση ανάκλησης της συγκατάθεσης σχετικά με τη
διαφήμιση, εξυπακούεται ότι δεν θα λαμβάνετε πλέον διαφημιστικά
μηνύματα μέσω ηλεκτρονικού ταχυδρομείου.
Οι πληροφορίες που
μεταδίδονται μέσω των cookies χρησιμοποιούνται αποκλειστικά για
διαφήμιση με την οποία παρουσιάζονται προϊόντα του διαφημιζόμενου
εμπορικού εταίρου. Οι πληροφορίες συλλέγονται, αποθηκεύονται και
χρησιμοποιούνται χωριστά για κάθε διαφημιζόμενο εμπορικό εταίρο. Σε
καμία περίπτωση δεν δημιουργούνται προφίλ χρηστών για περισσότερους του
ενός διαφημιζόμενους εμπορικούς εταίρους. Οι διάφοροι διαφημιζόμενοι
εμπορικοί εταίροι δεν λαμβάνουν κανένα δεδομένο προσωπικού χαρακτήρα.
Εάν
παύσει να σας ενδιαφέρει η χρήση των cookies, μπορείτε να την
καταργήσετε ανά πάσα στιγμή μέσω του φυλλομετρητή σας. Για οδηγίες,
μπορείτε να ανατρέξτε στο μενού [“βοήθεια”] του φυλλομετρητή σας.
Μέσω των cookies δεν είναι δυνατή η εκτέλεση προγραμμάτων ούτε η μετάδοση ιών.
Εξυπακούεται
ότι έχετε τη δυνατότητα να ανακαλέσετε ανά πάσα στιγμή τη συγκατάθεση
αυτή. Μπορείτε να απευθύνετε την ανάκληση γραπτώς στην [Planet49]
[διεύθυνση]. Αρκεί πάντως και ένα απλό μήνυμα ηλεκτρονικού ταχυδρομείου
προς το τμήμα εξυπηρέτησης πελατών μας [διεύθυνση ηλεκτρονικού
ταχυδρομείου].»
31 Από την απόφαση περί παραπομπής προκύπτει
ότι τα cookies είναι αρχεία τα οποία ο πάροχος ιστοτόπου αποθηκεύει
στον υπολογιστή του χρήστη του ιστοτόπου αυτού και στα οποία μπορεί να
έχει εκ νέου πρόσβαση κατά τη διάρκεια νέας επίσκεψης του χρήστη στον
ιστότοπο, προκειμένου να διευκολύνει την πλοήγηση στο Διαδίκτυο ή την
εκτέλεση συναλλαγών ή να αποκτήσει πληροφορίες για τη συμπεριφορά του
χρήστη.
32 Στο πλαίσιο όχλησης στην οποία δεν δόθηκε
συνέχεια, η ομοσπονδία, η οποία είναι εγγεγραμμένη στον κατάλογο των
οργανισμών που νομιμοποιούνται ενεργητικώς δυνάμει του άρθρου 4 του
Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen
Verstößen (Unterlassungsklagengesetz – UKlaG) (νόμου για τις αγωγές
παραλείψεως σε περιπτώσεις παράβασης διατάξεων του δικαίου προστασίας
καταναλωτή και άλλων διατάξεων), της 26ης Νοεμβρίου 2001 (BGBl. 2001 I,
σ. 3138), υποστήριξε ότι οι ζητούμενες από την Planet49 δηλώσεις
συγκατάθεσης μέσω του πρώτου και του δεύτερου τετραγωνιδίου επιλογής δεν
πληρούσαν τις προϋποθέσεις που απαιτούνταν από τον συνδυασμό των
διατάξεων του άρθρου 307 του BGB, του άρθρου 7, παράγραφος 2, σημείο 2,
του Gesetz gegen den unlauteren Wettbewerb (νόμου κατά του αθέμιτου
ανταγωνισμού), της 3ης Ιουλίου 2004 (BGBl. 2004 I, σ. 1414), όπως ίσχυε
κατά τον κρίσιμο για τη διαφορά της κύριας δίκης χρόνο, και των άρθρων
12 επ. του TMG.
33 Η ομοσπονδία άσκησε ενώπιον του
Landgericht Frankfurt am Main (πρωτοδικείου Φρανκφούρτης επί του Μάιν,
Γερμανία) αγωγή με αίτημα, κατ’ ουσίαν, να παύσει η Planet49 να ζητεί
τέτοιες δηλώσεις συγκατάθεσης και να υποχρεωθεί να της καταβάλει το ποσό
των 214 ευρώ, πλέον τόκων από τις 15 Μαρτίου 2014.
34 Το Landgericht Frankfurt am Main (πρωτοδικείο Φρανκφούρτης επί του Μάιν) δέχθηκε εν μέρει την αγωγή αυτή.
35
Κατόπιν έφεσης ασκηθείσας από την Planet49 ενώπιον του
Oberlandesgericht Frankfurt am Main (εφετείου Φρανκφούρτης επί του Μάιν,
Γερμανία), το δικαστήριο αυτό έκρινε ότι το αίτημα με το οποίο η
ομοσπονδία ζητούσε να παύσει η Planet49 να περιλαμβάνει, σε συμβάσεις
συμμετοχής σε διαφημιστικά παιχνίδια συναπτόμενες με καταναλωτές, το
κείμενο που παρατίθεται στη σκέψη 27 της παρούσας απόφασης, του οποίου
το δεύτερο τετραγωνίδιο επιλογής ήταν προσυμπληρωμένο, δεν ήταν βάσιμο
καθόσον, αφενός, ο χρήστης είχε γνώση της δυνατότητας αποεπιλογής του
τετραγωνιδίου αυτού και, αφετέρου, το τετραγωνίδιο απεικονιζόταν με
επαρκή σαφήνεια από τυπογραφική άποψη και παρείχε πληροφορίες για τον
τρόπο χρήσης των cookies, χωρίς να είναι αναγκαία η γνωστοποίηση της
ταυτότητας των τρίτων που θα μπορούσαν να έχουν πρόσβαση στις
συλλεγόμενες πληροφορίες.
36 Το Bundesgerichtshof (Ανώτατο
Ομοσπονδιακό Δικαστήριο, Γερμανία), ενώπιον του οποίου η ομοσπονδία
άσκησε αναίρεση («Revision»), εκτιμά ότι η έκβαση της διαφοράς της
κύριας δίκης εξαρτάται από την ερμηνεία του άρθρου 5, παράγραφος 3, και
του άρθρου 2, στοιχείο στʹ, της οδηγίας 2002/58, σε συνδυασμό με το
άρθρο 2, στοιχείο ηʹ, της οδηγίας 95/46 καθώς και το άρθρο 6, παράγραφος
1, στοιχείο αʹ, του κανονισμού 2016/679.
37 Δεδομένου ότι
έχει αμφιβολίες ως προς το κύρος, υπό το πρίσμα των διατάξεων αυτών, της
λήψης εκ μέρους της Planet49 της συγκατάθεσης των χρηστών του ιστοτόπου
www.dein-macbook.de μέσω του δεύτερου τετραγωνιδίου επιλογής καθώς και
ως προς την έκταση της υποχρέωσης ενημέρωσης που προβλέπει το άρθρο 5,
παράγραφος 3, της οδηγίας 2002/58, το Bundesgerichtshof (Ανώτατο
Ομοσπονδιακό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του
διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά
ερωτήματα:
«1) α) Υφίσταται έγκυρη συγκατάθεση κατά την
έννοια του άρθρου 5, παράγραφος 3, και του άρθρου 2, στοιχείο στʹ, της
οδηγίας [2002/58], σε συνδυασμό με το άρθρο 2, στοιχείο ηʹ, της οδηγίας
[95/46], όταν η αποθήκευση πληροφοριών ή η πρόσβαση σε πληροφορίες ήδη
αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη επιτρέπεται βάσει
προσυμπληρωμένου τετραγωνιδίου, το οποίο ο χρήστης πρέπει να αποεπιλέξει
προκειμένου να αρνηθεί να παράσχει τη συγκατάθεσή του;
β)
Ασκεί επιρροή, για την εφαρμογή του άρθρου 5, παράγραφος 3, και του
άρθρου 2, στοιχείο στʹ, της οδηγίας [2002/58], σε συνδυασμό με το άρθρο
2, στοιχείο ηʹ, της οδηγίας [95/46], το ζήτημα αν οι πληροφορίες που
αποθηκεύονται ή στις οποίες υπάρχει πρόσβαση αποτελούν δεδομένα
προσωπικού χαρακτήρα;
γ) Υφίσταται έγκυρη συγκατάθεση κατά
την έννοια του άρθρου 6, παράγραφος 1, στοιχείο αʹ, του κανονισμού
[2016/679] όταν συντρέχουν οι περιστάσεις του πρώτου προδικαστικού
ερωτήματος, υπό α);
2) Ποιες πληροφορίες οφείλει να δίδει
στον χρήστη ο φορέας παροχής υπηρεσιών στο πλαίσιο της επιτασσόμενης από
το άρθρο 5, παράγραφος 3, της οδηγίας [2002/58] παροχής σαφών και
εκτενών πληροφοριών; Συγκαταλέγονται στις εν λόγω πληροφορίες η διάρκεια
λειτουργίας των cookies και το ζήτημα αν τρίτοι έχουν πρόσβαση στα
cookies;»
Επί των προδικαστικών ερωτημάτων
Προκαταρκτικές παρατηρήσεις
38
Προκαταρκτικώς, πρέπει να εξεταστεί η δυνατότητα εφαρμογής της οδηγίας
95/46 και του κανονισμού 2016/679 στα πραγματικά περιστατικά της
υπόθεσης της κύριας δίκης.
39 Η οδηγία 95/46 καταργήθηκε και
αντικαταστάθηκε, από τις 25 Μαΐου 2018, από τον κανονισμό 2016/679,
δυνάμει του άρθρου 94, παράγραφος 1, του τελευταίου.
40 Η
ημερομηνία αυτή είναι, βεβαίως, μεταγενέστερη της ημερομηνίας διεξαγωγής
της τελευταίας επ’ ακροατηρίου συζήτησης ενώπιον του αιτούντος
δικαστηρίου, η οποία πραγματοποιήθηκε στις 14 Ιουλίου 2017, καθώς και
της ημερομηνίας υποβολής στο Δικαστήριο της αίτησης του εν λόγω
δικαστηρίου για την έκδοση προδικαστικής αποφάσεως.
41
Ωστόσο, το αιτούν δικαστήριο επισήμανε ότι, λαμβανομένης υπόψη της
έναρξης ισχύος, στις 25 Μαΐου 2018, του κανονισμού 2016/679, τον οποίο
αφορά εξάλλου ένα μέρος του πρώτου προδικαστικού ερωτήματος, πιθανώς θα
πρέπει να ληφθεί υπόψη ο κανονισμός αυτός κατά τον χρόνο επίλυσης της
διαφοράς της κύριας δίκης. Επιπλέον, όπως ανέφερε η Γερμανική Κυβέρνηση
κατά την επ’ ακροατηρίου συζήτηση ενώπιον του Δικαστηρίου, δεν
αποκλείεται, καθόσον σκοπός της κινηθείσας από την ομοσπονδία
διαδικασίας είναι να παύσει η συμπεριφορά της Planet49 για το μέλλον, να
έχει ο κανονισμός 2016/679 εφαρμογή ratione temporis στο πλαίσιο της
διαφοράς της κύριας δίκης λόγω της εθνικής νομολογίας σχετικά με την
έννομη κατάσταση που ασκεί επιρροή σε περίπτωση αγωγής παραλείψεως,
πράγμα το οποίο εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει (βλ.,
όσον αφορά ένδικο βοήθημα αναγνωριστικού χαρακτήρα, απόφαση της 16ης
Ιανουαρίου 2019, Deutsche Post, C‑496/17, EU:C:2019:26, σκέψη 38).
42
Υπό τις συνθήκες αυτές, και δεδομένου ότι, κατά το άρθρο 94, παράγραφος
2, του κανονισμού 2016/679, οι παραπομπές της οδηγίας 2002/58 στην
οδηγία 95/46 θεωρούνται παραπομπές στον εν λόγω κανονισμό, δεν
αποκλείεται, εν προκειμένω, η οδηγία 2002/58 να εφαρμόζεται από κοινού
είτε με την οδηγία 95/46 είτε με τον κανονισμό 2016/679, ανάλογα με τη
φύση των αιτημάτων της ομοσπονδίας και το σχετικό χρονικό διάστημα.
43
Επομένως, απάντηση στα υποβληθέντα προδικαστικά ερωτήματα πρέπει να
δοθεί τόσο βάσει της οδηγίας 95/46 όσο και βάσει του κανονισμού
2016/679.
Επί του πρώτου προδικαστικού ερωτήματος, υπό α) και υπό γ)
44
Με το πρώτο προδικαστικό ερώτημα, υπό α) και υπό γ), το αιτούν
δικαστήριο ερωτά, κατ’ ουσίαν, αν το άρθρο 2, στοιχείο στʹ, και το άρθρο
5, παράγραφος 3, της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 2,
στοιχείο ηʹ, της οδηγίας 95/46 καθώς και με το άρθρο 6, παράγραφος 1,
στοιχείο αʹ, του κανονισμού 2016/679, έχουν την έννοια ότι η κατά τις εν
λόγω διατάξεις συγκατάθεση δίδεται εγκύρως όταν η αποθήκευση
πληροφοριών ή η πρόσβαση σε πληροφορίες ήδη αποθηκευμένες στον τερματικό
εξοπλισμό του χρήστη ιστοτόπου, μέσω cookies, επιτρέπεται βάσει
προσυμπληρωμένου τετραγωνιδίου το οποίο ο χρήστης πρέπει να αποεπιλέξει
προκειμένου να αρνηθεί να δώσει τη συγκατάθεσή του.
45
Προκαταρκτικώς, διευκρινίζεται ότι, βάσει των περιεχόμενων στην απόφαση
περί παραπομπής πληροφοριών, τα cookies που δύνανται να αποθηκευθούν
στον τερματικό εξοπλισμό χρήστη συμμετέχοντος στο διοργανωθέν από την
Planet49 διαφημιστικό παιχνίδι περιέχουν έναν αριθμό που αποδίδεται στα
δεδομένα καταχώρισης του χρήστη αυτού, ο οποίος πρέπει να συμπληρώσει το
όνομα και τη διεύθυνσή του επί του εντύπου συμμετοχής στο εν λόγω
παιχνίδι. Το αιτούν δικαστήριο προσθέτει ότι η σύνδεση του αριθμού με τα
δεδομένα αυτά προσδίδει προσωπικό χαρακτήρα στα αποθηκευόμενα μέσω των
cookies δεδομένα όταν ο χρήστης χρησιμοποιεί το Διαδίκτυο, οπότε η
συλλογή των εν λόγω δεδομένων με τη χρήση cookies συνιστά επεξεργασία
δεδομένων προσωπικού χαρακτήρα. Οι πληροφορίες αυτές επιβεβαιώθηκαν από
την Planet49, η οποία τόνισε με τις γραπτές παρατηρήσεις της ότι η
συγκατάθεση που αντιστοιχεί στο δεύτερο τετραγωνίδιο επιλογής επιτρέπει
τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα, και όχι
ανώνυμων πληροφοριών.
46 Κατόπιν της ως άνω διευκρίνισης,
επισημαίνεται ότι, κατά το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58,
τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση
πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό
χρήστη να επιτρέπεται μόνον εάν ο συγκεκριμένος χρήστης έχει δώσει τη
συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την
οδηγία 95/46, μεταξύ άλλων για τον σκοπό της επεξεργασίας.
47
Συναφώς, υπενθυμίζεται ότι από τις επιταγές τόσο της ομοιόμορφης
εφαρμογής του δικαίου της Ένωσης όσο και της αρχής της ισότητας
προκύπτει ότι το γράμμα διάταξης του δικαίου της Ένωσης που δεν περιέχει
ρητή παραπομπή στο δίκαιο των κρατών μελών για τον προσδιορισμό της
έννοιας και του περιεχομένου της πρέπει κανονικά να ερμηνεύεται, σε
ολόκληρη την Ένωση, κατά τρόπο αυτοτελή και ομοιόμορφο [αποφάσεις της
26ης Μαρτίου 2019, SM (Παιδί που τελεί υπό το αλγερινό σύστημα kafala),
C‑129/18, EU:C:2019:248, σκέψη 50, και της 11ης Απριλίου 2019, Tarola,
C‑483/17, EU:C:2019:309, σκέψη 36].
48 Επιπλέον, κατά πάγια
νομολογία του Δικαστηρίου, όταν ερμηνεύεται διάταξη του δικαίου της
Ένωσης, πρέπει να λαμβάνονται υπόψη όχι μόνο το γράμμα της και οι σκοποί
που επιδιώκει, αλλά και το πλαίσιο στο οποίο εντάσσεται καθώς και το
σύνολο των ρυθμίσεων του δικαίου της Ένωσης. Το ιστορικό της θέσπισης
μιας διάταξης του δικαίου της Ένωσης μπορεί επίσης να προσφέρει στοιχεία
χρήσιμα για την ερμηνεία της (απόφαση της 10ης Δεκεμβρίου 2018,
Wightman κ.λπ., C‑621/18, EU:C:2018:999, σκέψη 47 καθώς και εκεί
μνημονευόμενη νομολογία).
49 Όσον αφορά το γράμμα του άρθρου
5, παράγραφος 3, της οδηγίας 2002/58, επισημαίνεται ότι η εν λόγω
διάταξη, μολονότι προβλέπει ρητώς ότι ο χρήστης πρέπει να έχει «δώσει τη
συγκατάθεσή του» για την αποθήκευση cookies στον τερματικό εξοπλισμό
του και την απόκτηση πρόσβασης σε αυτά, εντούτοις δεν περιέχει
πληροφορίες για τον τρόπο με τον οποίο πρέπει να δοθεί η συγκατάθεση
αυτή. Η φράση «δώσει τη συγκατάθεσή του» επιδέχεται πάντως γραμματική
ερμηνεία κατά την οποία είναι αναγκαίο να ενεργήσει ο χρήστης
προκειμένου να εκδηλώσει τη συγκατάθεσή του. Συναφώς, από την
αιτιολογική σκέψη 17 της οδηγίας 2002/58 προκύπτει ότι η συγκατάθεση
ενός χρήστη, για τους σκοπούς της οδηγίας αυτής, δύναται να παρέχεται με
κάθε πρόσφορο τρόπο που επιτρέπει την ελεύθερη και ενημερωμένη έκφραση
των επιθυμιών του χρήστη, μεταξύ άλλων «με τη συμπλήρωση τετραγωνιδίου
κατά την επίσκεψη ιστοσελίδας του Διαδικτύου».
50 Όσον αφορά
το πλαίσιο στο οποίο εντάσσεται το άρθρο 5, παράγραφος 3, της οδηγίας
2002/58, τονίζεται ότι το άρθρο 2, στοιχείο στʹ, της οδηγίας, το οποίο
ορίζει τη «συγκατάθεση» κατά την έννοια της εν λόγω οδηγίας, παραπέμπει
συναφώς στη «συγκατάθεση του προσώπου που αφορούν τα δεδομένα» κατά την
έννοια της οδηγίας 95/46. Η αιτιολογική σκέψη 17 της οδηγίας 2002/58
διευκρινίζει ότι η συγκατάθεση του χρήστη, για τους σκοπούς της οδηγίας
αυτής, πρέπει να έχει την ίδια έννοια με τη συγκατάθεση του προσώπου στο
οποίο αναφέρονται τα δεδομένα, όπως ορίζεται και περαιτέρω
προσδιορίζεται στην οδηγία 95/46.
51 Κατά το άρθρο 2,
στοιχείο ηʹ, της τελευταίας αυτής οδηγίας, ως «συγκατάθεση του προσώπου
στο οποίο αναφέρονται τα δεδομένα» νοείται «κάθε δήλωση βουλήσεως,
ελευθέρας, ρητής και εν πλήρει επιγνώσει, με την οποία το πρόσωπο στο
οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο
επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν».
52
Επομένως, όπως τόνισε ο γενικός εισαγγελέας στο σημείο 60 των προτάσεών
του, η απαίτηση περί «δήλωσης» βούλησης του υποκειμένου των δεδομένων
αναφέρεται σαφώς σε ενεργή και όχι παθητική συμπεριφορά. Η παροχή
συγκατάθεσης, όμως, μέσω προσυμπληρωμένου τετραγωνιδίου δεν προϋποθέτει
ενεργή συμπεριφορά εκ μέρους του χρήστη ιστοτόπου.
53 Η
ερμηνεία αυτή επιβεβαιώνεται από το άρθρο 7 της οδηγίας 95/46, το οποίο
προβλέπει εξαντλητικό κατάλογο των περιπτώσεων στις οποίες η επεξεργασία
δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί νόμιμη (πρβλ.
αποφάσεις της 24ης Νοεμβρίου 2011, Asociación Nacional de
Establecimientos Financieros de Crédito, C‑468/10 και C‑469/10,
EU:C:2011:777, σκέψη 30, καθώς και της 19ης Οκτωβρίου 2016, Breyer,
C‑582/14, EU:C:2016:779, σκέψη 57).
54 Ειδικότερα, το άρθρο
7, στοιχείο αʹ, της οδηγίας 95/46 προβλέπει ότι η συγκατάθεση του
προσώπου στο οποίο αναφέρονται τα δεδομένα μπορεί να καταστήσει νόμιμη
την ως άνω επεξεργασία εφόσον η συγκατάθεση του εν λόγω προσώπου είναι
«ρητή». Μόνον, όμως, η ενεργή συμπεριφορά εκ μέρους του προσώπου αυτού
με σκοπό τη δήλωση της συγκατάθεσής του δύναται να πληροί την εν λόγω
απαίτηση.
55 Συναφώς, είναι πρακτικώς αδύνατον να κριθεί με
αντικειμενικό τρόπο αν ο χρήστης ιστοτόπου, μη αποεπιλέγοντας
προσυμπληρωμένο τετραγωνίδιο, έδωσε πράγματι τη συγκατάθεσή του για την
επεξεργασία των προσωπικών του δεδομένων καθώς και, εν πάση περιπτώσει,
αν η συγκατάθεση αυτή δόθηκε κατόπιν ενημέρωσης του χρήστη.
Συγκεκριμένα, δεν μπορεί να αποκλειστεί το ενδεχόμενο ο εν λόγω χρήστης
να μην διάβασε τις πληροφορίες που συνοδεύουν το προσυμπληρωμένο
τετραγωνίδιο, ή ακόμη και να μην αντιλήφθηκε το τετραγωνίδιο αυτό,
προτού συνεχίσει τη δραστηριότητά του στον ιστότοπο τον οποίο
επισκέπτεται.
56 Τέλος, όσον αφορά το ιστορικό της θέσπισης
του άρθρου 5, παράγραφος 3, της οδηγίας 2002/58, διαπιστώνεται ότι το
αρχικό κείμενο της διάταξης αυτής προέβλεπε μόνον την απαίτηση να
διαθέτει ο χρήστης το «δικαίωμα να αρνείται» την αποθήκευση cookies,
αφότου είχε λάβει, σύμφωνα με την οδηγία 95/46, σαφείς και εκτεταμένες
πληροφορίες, μεταξύ άλλων για τον σκοπό της επεξεργασίας. Η οδηγία
2009/136 επέφερε ουσιαστική τροποποίηση στη διατύπωση της διάταξης
αυτής, αντικαθιστώντας την ως άνω φράση με τη φράση «δώσει τη
συγκατάθεσή του». Το ιστορικό της θέσπισης του άρθρου 5, παράγραφος 3,
της οδηγίας 2002/58 υποδηλώνει, επομένως, ότι η συγκατάθεση του χρήστη
δεν μπορεί πλέον να τεκμαίρεται και πρέπει να προκύπτει από ενεργή
συμπεριφορά του τελευταίου.
57 Συνεπώς, υπό το πρίσμα των
ανωτέρω στοιχείων, η συγκατάθεση του άρθρου 2, στοιχείο στʹ, και του
άρθρου 5, παράγραφος 3, της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 2,
στοιχείο ηʹ, της οδηγίας 95/46, δεν δίδεται εγκύρως όταν η αποθήκευση
πληροφοριών ή η πρόσβαση σε πληροφορίες ήδη αποθηκευμένες στον τερματικό
εξοπλισμό του χρήστη ιστοτόπου επιτρέπεται βάσει τετραγωνιδίου
προσυμπληρωμένου από τον πάροχο της υπηρεσίας, το οποίο ο χρήστης πρέπει
να αποεπιλέξει προκειμένου να αρνηθεί να δώσει τη συγκατάθεσή του.
58
Επιπροσθέτως, η δήλωση βούλησης του άρθρου 2, στοιχείο ηʹ, της οδηγίας
95/46 πρέπει, μεταξύ άλλων, να είναι «ρητή», υπό την έννοια ότι πρέπει
να αφορά συγκεκριμένα την εν λόγω επεξεργασία δεδομένων και δεν μπορεί
να συνάγεται από δήλωση βούλησης η οποία έχει διαφορετικό αντικείμενο.
59
Συνεπώς, εν προκειμένω, αντιθέτως προς όσα υποστήριξε η Planet49, το
γεγονός ότι ένας χρήστης ενεργοποιεί την επιλογή συμμετοχής στο
διοργανωθέν από την εταιρία αυτή διαφημιστικό παιχνίδι δεν αρκεί για να
γίνει δεκτό ότι ο χρήστης δίδει εγκύρως τη συγκατάθεσή του για την
αποθήκευση cookies.
60 Η ανωτέρω ερμηνεία επιβάλλεται, κατά μείζονα λόγο, υπό το πρίσμα του κανονισμού 2016/679.
61
Συγκεκριμένα, όπως διαπίστωσε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο
σημείο 70 των προτάσεών του, η διατύπωση του άρθρου 4, σημείο 11, του
κανονισμού 2016/679, όπου ορίζεται η «συγκατάθεση του υποκειμένου των
δεδομένων» για τους σκοπούς του κανονισμού αυτού και, ειδικότερα, του
άρθρου 6, παράγραφος 1, στοιχείο αʹ, στο οποίο αναφέρεται το πρώτο
προδικαστικό ερώτημα, υπό γ), είναι ακόμη αυστηρότερη από τη διατύπωση
του άρθρου 2, στοιχείο ηʹ, της οδηγίας 95/46, καθόσον απαιτεί «ελεύθερη,
συγκεκριμένη, ρητή και εν πλήρει επιγνώσει» ένδειξη βούλησης, υπό μορφή
δήλωσης ή «σαφ[ούς] θετική[ς] ενέργεια[ς]» με την οποία το υποκείμενο
των δεδομένων εκδηλώνει τη συμφωνία του για την επεξεργασία των
δεδομένων προσωπικού χαρακτήρα που το αφορούν.
62 Συνεπώς,
με τον κανονισμό 2016/679 προβλέπεται πλέον ρητώς η με θετική ενέργεια
παροχή συγκατάθεσης. Επισημαίνεται συναφώς ότι, κατά την αιτιολογική
σκέψη 32 του κανονισμού αυτού, η εκδήλωση της συγκατάθεσης θα μπορούσε,
μεταξύ άλλων, να γίνει με την επιλογή τετραγωνιδίου κατά την επίσκεψη σε
ιστότοπο. Αντιθέτως, η εν λόγω αιτιολογική σκέψη εξαιρεί ρητώς τη
«σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή [την] αδράνεια» από τις
περιπτώσεις παροχής συγκατάθεσης.
63 Επομένως, η συγκατάθεση
του άρθρου 2, στοιχείο στʹ, και του άρθρου 5, παράγραφος 3, της οδηγίας
2002/58, σε συνδυασμό με το άρθρο 4, σημείο 11, και το άρθρο 6,
παράγραφος 1, στοιχείο αʹ, του κανονισμού 2016/679, δεν δίδεται εγκύρως
όταν η αποθήκευση πληροφοριών ή η πρόσβαση σε πληροφορίες ήδη
αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη ιστοτόπου επιτρέπεται
βάσει προσυμπληρωμένου τετραγωνιδίου το οποίο ο χρήστης πρέπει να
αποεπιλέξει προκειμένου να αρνηθεί να δώσει τη συγκατάθεσή του.
64
Τονίζεται, τέλος, ότι το αιτούν δικαστήριο δεν υπέβαλε στο Δικαστήριο
το ερώτημα αν το γεγονός ότι η δυνατότητα ενός χρήστη να συμμετάσχει σε
διαφημιστικό παιχνίδι εξαρτάται από τη συγκατάθεσή του στην επεξεργασία
των προσωπικών του δεδομένων για διαφημιστικούς σκοπούς, περίπτωση η
οποία φαίνεται να συντρέχει εν προκειμένω, βάσει των περιεχόμενων στην
απόφαση περί παραπομπής πληροφοριών, τουλάχιστον ως προς το πρώτο
τετραγωνίδιο επιλογής, είναι συμβατό με την απαίτηση περί «ελεύθερης»
συγκατάθεσης, κατά την έννοια του άρθρου 2, στοιχείο ηʹ, της οδηγίας
95/46 καθώς και του άρθρου 4, σημείο 11, και του άρθρου 7, παράγραφος 4,
του κανονισμού 2016/679. Υπό τις συνθήκες αυτές, παρέλκει η εξέταση από
το Δικαστήριο του εν λόγω ζητήματος.
65 Κατόπιν όλων των
ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα, υπό α) και υπό γ),
πρέπει να δοθεί η απάντηση ότι το άρθρο 2, στοιχείο στʹ, και το άρθρο 5,
παράγραφος 3, της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 2, στοιχείο
ηʹ, της οδηγίας 95/46 καθώς και με το άρθρο 4, σημείο 11, και το άρθρο
6, παράγραφος 1, στοιχείο αʹ, του κανονισμού 2016/679, έχουν την έννοια
ότι η κατά τις εν λόγω διατάξεις συγκατάθεση δεν δίδεται εγκύρως όταν η
αποθήκευση πληροφοριών ή η πρόσβαση σε πληροφορίες ήδη αποθηκευμένες
στον τερματικό εξοπλισμό του χρήστη ιστοτόπου, μέσω cookies, επιτρέπεται
βάσει προσυμπληρωμένου τετραγωνιδίου το οποίο ο χρήστης αυτός πρέπει να
αποεπιλέξει προκειμένου να αρνηθεί να δώσει τη συγκατάθεσή του.
Επί του πρώτου προδικαστικού ερωτήματος, υπό β)
66
Με το πρώτο προδικαστικό ερώτημα, υπό β), το αιτούν δικαστήριο ζητεί,
κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 2, στοιχείο στʹ, και το άρθρο
5, παράγραφος 3, της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 2,
στοιχείο ηʹ, της οδηγίας 95/46 καθώς και με το άρθρο 6, παράγραφος 1,
στοιχείο αʹ, του κανονισμού 2016/679, πρέπει να ερμηνεύονται διαφορετικά
ανάλογα με το αν οι πληροφορίες που αποθηκεύονται, ή στις οποίες
υπάρχει πρόσβαση, στον τερματικό εξοπλισμό του χρήστη ιστοτόπου
αποτελούν ή όχι δεδομένα προσωπικού χαρακτήρα, κατά την έννοια της
οδηγίας 95/46 και του κανονισμού 2016/679.
67 Όπως
επισημάνθηκε με τη σκέψη 45 της παρούσας απόφασης, από την απόφαση περί
παραπομπής προκύπτει ότι η αποθήκευση των επίμαχων στην υπόθεση της
κύριας δίκης cookies συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα.
68
Κατόπιν της ανωτέρω διευκρίνισης, διαπιστώνεται, εν πάση περιπτώσει,
ότι το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58 αναφέρεται στην
«αποθήκευση πληροφοριών» και στην «απόκτηση πρόσβασης σε ήδη
αποθηκευμένες πληροφορίες», χωρίς να χαρακτηρίζει τις εν λόγω
πληροφορίες ούτε να διευκρινίζει ότι αυτές πρέπει να αποτελούν δεδομένα
προσωπικού χαρακτήρα.
69 Όπως διαπίστωσε ο γενικός
εισαγγελέας στο σημείο 107 των προτάσεών του, η διάταξη αυτή αποσκοπεί,
επομένως, στην προστασία του χρήστη από κάθε επέμβαση στην ιδιωτική του
ζωή, ανεξαρτήτως του αν η εν λόγω επέμβαση αφορά δεδομένα προσωπικού
χαρακτήρα ή όχι.
70 Η ερμηνεία αυτή επιβεβαιώνεται από την
αιτιολογική σκέψη 24 της οδηγίας 2002/58, κατά την οποία κάθε πληροφορία
που αποθηκεύεται στον τερματικό εξοπλισμό των χρηστών δικτύων
ηλεκτρονικών επικοινωνιών συνιστά μέρος της ιδιωτικής ζωής των χρηστών, η
οποία χρήζει προστασίας δυνάμει της Ευρωπαϊκής Σύμβασης για την
Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών. Η
ως άνω προστασία αφορά κάθε πληροφορία που αποθηκεύεται στον τερματικό
αυτό εξοπλισμό, ανεξαρτήτως του αν πρόκειται για δεδομένα προσωπικού
χαρακτήρα ή όχι, και αποσκοπεί μεταξύ άλλων, όπως προκύπτει από την ίδια
αυτή αιτιολογική σκέψη, στην προστασία των χρηστών από τον κίνδυνο να
εισέλθουν κρυφά αναγνωριστικά στοιχεία ή άλλες παρόμοιες διατάξεις στον
τερματικό εξοπλισμό των εν λόγω χρηστών εν αγνοία τους.
71
Κατόπιν των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα, υπό β),
πρέπει να δοθεί η απάντηση ότι το άρθρο 2, στοιχείο στʹ, και το άρθρο 5,
παράγραφος 3, της οδηγίας 2002/58, σε συνδυασμό με το άρθρο 2, στοιχείο
ηʹ, της οδηγίας 95/46 καθώς και με το άρθρο 4, σημείο 11, και το άρθρο
6, παράγραφος 1, στοιχείο αʹ, του κανονισμού 2016/679, δεν πρέπει να
ερμηνεύονται διαφορετικά ανάλογα με το αν οι πληροφορίες που
αποθηκεύονται, ή στις οποίες υπάρχει πρόσβαση, στον τερματικό εξοπλισμό
του χρήστη ιστοτόπου αποτελούν ή όχι δεδομένα προσωπικού χαρακτήρα, κατά
την έννοια της οδηγίας 95/46 και του κανονισμού 2016/679.
Επί του δεύτερου προδικαστικού ερωτήματος
72
Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά, κατ’
ουσίαν, αν το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58 έχει την έννοια
ότι οι πληροφορίες τις οποίες ο πάροχος υπηρεσιών πρέπει να δίδει στον
χρήστη ιστοτόπου περιλαμβάνουν τη διάρκεια λειτουργίας των cookies καθώς
και το ζήτημα αν τρίτοι μπορούν ή όχι να έχουν πρόσβαση στα cookies
αυτά.
73 Όπως προκύπτει από τη σκέψη 46 της παρούσας
απόφασης, το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58 απαιτεί να έχει
δώσει ο χρήστης τη συγκατάθεσή του με βάση σαφείς και εκτενείς
πληροφορίες «σύμφωνα με την οδηγία [95/46]», μεταξύ άλλων για τον σκοπό
της επεξεργασίας.
74 Όπως τόνισε ο γενικός εισαγγελέας στο
σημείο 115 των προτάσεών του, οι σαφείς και εκτενείς πληροφορίες πρέπει
να παρέχουν στον χρήστη τη δυνατότητα να προσδιορίζει εύκολα τις
συνέπειες της συγκατάθεσης που μπορεί να δώσει και να εξασφαλίζουν ότι η
συγκατάθεση αυτή δίδεται εν πλήρει γνώσει της κατάστασης. Πρέπει να
είναι ευνόητες και αρκούντως λεπτομερείς ώστε να παρέχουν στον χρήστη τη
δυνατότητα να κατανοεί τη λειτουργία των χρησιμοποιούμενων cookies.
75
Σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας δίκης, στην οποία,
βάσει των στοιχείων της υποβληθείσας στο Δικαστήριο δικογραφίας, τα
cookies αποσκοπούν στη συλλογή πληροφοριών προκειμένου να διαφημιστούν
προϊόντα των εμπορικών εταίρων του διοργανωτή διαφημιστικού παιχνιδιού, η
διάρκεια λειτουργίας των cookies καθώς και το ζήτημα αν τρίτοι μπορούν ή
όχι να έχουν πρόσβαση στα cookies αυτά συγκαταλέγονται στις σαφείς και
εκτενείς πληροφορίες που πρέπει να παρέχονται στον χρήστη σύμφωνα με το
άρθρο 5, παράγραφος 3, της οδηγίας 2002/58.
76 Συναφώς,
επισημαίνεται ότι το άρθρο 10 της οδηγίας 95/46, στην οποία παραπέμπει
το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58, καθώς και το άρθρο 13 του
κανονισμού 2016/679 καθορίζουν τις πληροφορίες που ο υπεύθυνος της
επεξεργασίας πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται
δεδομένα που το αφορούν.
77 Οι πληροφορίες αυτές
περιλαμβάνουν μεταξύ άλλων, δυνάμει του άρθρου 10 της οδηγίας 95/46,
εκτός από την ταυτότητα του υπευθύνου της επεξεργασίας και τους σκοπούς
της επεξεργασίας για την οποία προορίζονται τα δεδομένα, οποιαδήποτε
περαιτέρω πληροφορία, όπως τους αποδέκτες ή τις κατηγορίες αποδεκτών των
δεδομένων, εφόσον οι εν λόγω περαιτέρω πληροφορίες είναι αναγκαίες,
λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα,
προκειμένου να εξασφαλίζεται η θεμιτή επεξεργασία των δεδομένων έναντι
του υποκειμένου των τελευταίων.
78 Μολονότι η διάρκεια της
επεξεργασίας των δεδομένων δεν συγκαταλέγεται μεταξύ των ως άνω
πληροφοριών, εντούτοις από τη λέξη «τουλάχιστον» που περιέχεται στο
άρθρο 10 της οδηγίας 95/46 προκύπτει ότι οι πληροφορίες αυτές δεν
απαριθμούνται εξαντλητικά. Ειδικότερα, η πληροφορία σχετικά με τη
διάρκεια λειτουργίας των cookies πρέπει να θεωρηθεί ως ανταποκρινόμενη
στην κατά το εν λόγω άρθρο απαίτηση περί θεμιτής επεξεργασίας των
δεδομένων, καθόσον, σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας
δίκης, η μεγάλη, ή ακόμη και απεριόριστη, διάρκεια συνεπάγεται τη
συλλογή πολυάριθμων πληροφοριών σχετικά με τις συνήθειες πλοήγησης και
τη συχνότητα των τυχόν επισκέψεων του χρήστη στους ιστοτόπους των
διαφημιζόμενων εμπορικών εταίρων του διοργανωτή του διαφημιστικού
παιχνιδιού.
79 Η ερμηνεία αυτή επιβεβαιώνεται από το άρθρο
13, παράγραφος 2, στοιχείο αʹ, του κανονισμού 2016/679, το οποίο
προβλέπει ότι ο υπεύθυνος επεξεργασίας πρέπει να παρέχει στο υποκείμενο
των δεδομένων, προς εξασφάλιση θεμιτής και διαφανούς επεξεργασίας,
πληροφορίες που αφορούν, μεταξύ άλλων, το χρονικό διάστημα για το οποίο
θα αποθηκευθούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι
αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα.
80
Όσον αφορά το ζήτημα αν τρίτοι μπορούν ή όχι να έχουν πρόσβαση στα
cookies, πρόκειται για πληροφορία συμπεριλαμβανόμενη στις πληροφορίες
που μνημονεύονται στο άρθρο 10, στοιχείο γʹ, της οδηγίας 95/46 και στο
άρθρο 13, παράγραφος 1, στοιχείο εʹ, του κανονισμού 2016/679, καθώς οι
διατάξεις αυτές αναφέρονται ρητώς στους αποδέκτες ή τις κατηγορίες
αποδεκτών των δεδομένων.
81 Κατόπιν των ανωτέρω σκέψεων, στο
δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 5,
παράγραφος 3, της οδηγίας 2002/58 έχει την έννοια ότι οι πληροφορίες
τις οποίες ο πάροχος υπηρεσιών πρέπει να δίδει στον χρήστη ιστοτόπου
περιλαμβάνουν τη διάρκεια λειτουργίας των cookies καθώς και το ζήτημα αν
τρίτοι μπορούν ή όχι να έχουν πρόσβαση στα cookies αυτά.
Επί των δικαστικών εξόδων
82
Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της
κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του
αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των
δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν
παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:
1)
Το άρθρο 2, στοιχείο στʹ, και το άρθρο 5, παράγραφος 3, της οδηγίας
2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης
Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού
χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των
ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής
στις ηλεκτρονικές επικοινωνίες), όπως τροποποιήθηκε με την οδηγία
2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης
Νοεμβρίου 2009, σε συνδυασμό με το άρθρο 2, στοιχείο ηʹ, της οδηγίας
95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης
Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη
κυκλοφορία των δεδομένων αυτών καθώς και με το άρθρο 4, σημείο 11, και
το άρθρο 6, παράγραφος 1, στοιχείο αʹ, του κανονισμού (ΕΕ) 2016/679 του
Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για
την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων
προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
αυτών και την κατάργηση της οδηγίας 95/46 (Γενικός Κανονισμός για την
Προστασία Δεδομένων), έχουν την έννοια ότι η κατά τις εν λόγω διατάξεις
συγκατάθεση δεν δίδεται εγκύρως όταν η αποθήκευση πληροφοριών ή η
πρόσβαση σε πληροφορίες ήδη αποθηκευμένες στον τερματικό εξοπλισμό του
χρήστη ιστοτόπου, μέσω cookies, επιτρέπεται βάσει προσυμπληρωμένου
τετραγωνιδίου το οποίο ο χρήστης αυτός πρέπει να αποεπιλέξει προκειμένου
να αρνηθεί να δώσει τη συγκατάθεσή του.
2) Το άρθρο 2,
στοιχείο στʹ, και το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58, όπως
τροποποιήθηκε με την οδηγία 2009/136, σε συνδυασμό με το άρθρο 2,
στοιχείο ηʹ, της οδηγίας 95/46 καθώς και με το άρθρο 4, σημείο 11, και
το άρθρο 6, παράγραφος 1, στοιχείο αʹ, του κανονισμού 2016/679, δεν
πρέπει να ερμηνεύονται διαφορετικά ανάλογα με το αν οι πληροφορίες που
αποθηκεύονται, ή στις οποίες υπάρχει πρόσβαση, στον τερματικό εξοπλισμό
του χρήστη ιστοτόπου αποτελούν ή όχι δεδομένα προσωπικού χαρακτήρα, κατά
την έννοια της οδηγίας 95/46 και του κανονισμού 2016/679.
3)
Το άρθρο 5, παράγραφος 3, της οδηγίας 2002/58, όπως τροποποιήθηκε με
την οδηγία 2009/136, έχει την έννοια ότι οι πληροφορίες τις οποίες ο
πάροχος υπηρεσιών πρέπει να δίδει στον χρήστη ιστοτόπου περιλαμβάνουν τη
διάρκεια λειτουργίας των cookies καθώς και το ζήτημα αν τρίτοι μπορούν ή
όχι να έχουν πρόσβαση στα cookies αυτά.
(υπογραφές)Πηγή: Taxheaven
1 Oct, 2019