–

M. Schrems, atstovaujamo Rechtsanwältin K. Raabe-Stuppnig,

–

Meta Platforms Ireland Ltd, atstovaujamos Rechtsanwälte K. Hanschitz, H.-G. Kamann, S. Khalil, B. Knötzl ir M. A. Natterer,

–

Austrijos vyriausybės, atstovaujamos A. Posch, J. Schmoll, C. Gabauer, G. Kunnert ir E. Riedl,

–

Prancūzijos vyriausybės, atstovaujamos R. Bénard ir A.-L. Desjonquères,

–

Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello stato E. De Bonis,

–

Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, J. Ramos ir C. Vieira Guerra,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, F. Erlbacher, M. Heller ir H. Kranenborg,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1) (toliau – BDAR) 5 straipsnio 1 dalies b ir c punktų, 6 straipsnio 1 dalies a ir b punktų, taip pat 9 straipsnio 1 dalies ir 2 dalies e punkto išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant socialinio tinklo Facebook naudotojo Maximilian Schrems ir Meta Platforms Ireland Ltd, anksčiau – Facebook Ireland Ltd, kurios registruota buveinė yra Airijoje, ginčą dėl tariamai neteisėto šio naudotojo asmens duomenų tvarkymo, kurį vykdė ši bendrovė.

3

BDAR 1, 4, 39, 42, 43, 50 ir 51 konstatuojamosiose dalyse nurodyta:

<…>

<…>

<…>

<…>

4

Šio reglamento 4 straipsnyje numatyta:

„Šiame reglamente:

<…>

<…>

<…>

<…>“

5

Minėto reglamento 5 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 ir 2 dalyse nustatyta:

„1.   Asmens duomenys turi būti:

<…>

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

6

Šio reglamento 6 straipsnis „Tvarkymo teisėtumas“ suformuluotas taip:

„1.   Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

<…>

4.   Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

7

BDAR 7 straipsnyje „Sutikimo sąlygos“ nustatyta:

„1.   Kai duomenys tvarkomi remiantis sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą, kad būtų tvarkomi jo asmens duomenys.

<…>

3.   Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti.

4.   Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.“

8

Šio reglamento 9 straipsnyje „Specialių kategorijų asmens duomenų tvarkymas“ nustatyta:

„1.   Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2.   1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

<…>

<…>“

9

Minėto reglamento 13 straipsnyje dėl „[i]nformacijos, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“, numatyta:

„1.   Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

<…>

<…>

3.   Jeigu duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami, prieš taip toliau tvarkydamas duomenis duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją, kaip nurodyta 2 dalyje.

<…>“

10

To paties reglamento 25 straipsnio 2 dalyje nustatyta:

„Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.“

11

Meta Platforms Ireland, kuri Sąjungoje valdo socialinio tinklo Facebook paslaugų pasiūlą, yra šio socialinio tinklo naudotojų asmens duomenų valdytoja Sąjungoje. Ji neturi filialo Austrijoje. Meta Platforms Ireland reklamuoja, be kita ko, adresu www.facebook.com, paslaugas, kurios iki 2023 m. lapkričio 5 d. buvo teikiamos nemokamai privatiems naudotojams. Nuo 2023 m. lapkričio 6 d. šios paslaugos ir toliau buvo nemokamos tik tiems naudotojams, kurie sutiko, kad jų asmens duomenys būtų renkami ir naudojami suasmenintai reklamai siųsti, o naudotojai turėjo galimybę užsisakyti mokamą abonementą, kad galėtų prisijungti prie šių paslaugų versijos, negaudami tikslinės reklamos.

12

Internetinio socialinio tinklo Facebook ekonominis modelis grindžiamas finansavimu iš internetinės reklamos, kuri tikslingai skirta individualiems socialinio tinklo naudotojams, atsižvelgiant, be kita ko, į jų vartojimo įpročius, interesus ir asmenines aplinkybes. Tokia reklama techniškai įmanoma automatiškai parengiant išsamius tinklo ir internetinių paslaugų, siūlomų Meta grupės lygmeniu, naudotojų profilius.

13

Siekdama tvarkyti socialinio tinklo Facebook naudotojų asmens duomenis Meta Platforms Ireland rėmėsi naudojimo sutartimi, prie kurios naudotojai prisijungia aktyvuodami mygtuką „užsiregistruoti“ ir pagal kurią jie sutinka su šios bendrovės nustatytomis bendrosiomis sąlygomis. Tuomet, kai klostėsi pagrindinės bylos faktinės aplinkybės, buvo būtina sutikti su šiomis sąlygomis, kad būtų galima naudotis socialiniu tinklu Facebook. Dėl naudotojų asmens duomenų tvarkymo bendrosiose sąlygose daroma nuoroda į minėtos bendrovės nustatytą duomenų ir slapukų politiką. Vadovaudamasi šia politika Meta Platforms Ireland rinko naudotojų ir jų prietaisų duomenis, susijusius su šių naudotojų veikla socialiniame tinkle ir už jo ribų, ir juos susiejo su atitinkamų naudotojų Facebook paskyromis. Duomenys, susiję su veikla, vykdoma už socialinio tinklo ribų (toliau taip pat – Off Facebook duomenys), pirma, buvo gaunami naudojantis trečiųjų šalių interneto tinklalapiais ir taikomosiomis programėlėmis, kurios programavimo sąsajomis yra susietos su Facebook, ir, antra, naudojantis kitomis Meta grupei priklausančiomis internetinėmis paslaugomis, visų pirma įskaitant Instagram ir Whats‘App.

14

Prieš įsigaliojant BDAR Facebook naudotojai davė aiškų sutikimą tvarkyti jų duomenis pagal tuo laikotarpiu taikomas atsakovės naudojimo sąlygas. Atsižvelgdama į tai, kad 2018 m. gegužės 25 d. įsigaliojo BDAR, Meta Platforms Ireland2018 m. balandžio 19 d. patvirtino naujas naudojimo sąlygas ir pateikė jas savo naudotojams patvirtinti. Kadangi M. Schrems paskyra buvo užblokuota, jis sutiko su šiomis naujomis naudojimo sąlygomis, kad galėtų toliau naudotis Facebook. Šis jo sutikimas buvo būtinas, siekiant išsaugoti prieigą prie savo paskyros ir naudotis atitinkamomis paslaugomis.

15

Meta Platforms Ireland įdiegė keletą „įrankių“ (angl. tools), kad naudotojai galėtų stebėti ir kontroliuoti savo saugomus duomenis. Šiuose įrankiuose matomi ne visi tvarkomi duomenys, o tik tie, kurie, pasak šios bendrovės, domina naudotojus ir yra jiems svarbūs. Taigi naudotojas, kuris to prašo, gali pamatyti, pavyzdžiui, kad jis atidarė taikomąją programėlę per savo Facebook profilį, apsilankė interneto svetainėje, atliko konkrečią paiešką ar pirkimą arba paspaudė ant reklamos.

16

Meta Platforms Ireland naudoja „cookies“ (slapukai), „social plugins“ (socialiniai papildiniai) ir „pixels“, kaip nustatyta naudojimo sąlygose ir gairėse. Naudodama slapukus ji gali nustatyti lankymosi šaltinį. Neaktyvavus slapukų, negalima naudotis daugeliu Meta Platforms Ireland teikiamų paslaugų. Facebook socialiniai papildiniai „įterpiami“ per trečiuosius interneto svetainių valdytojus į jų tinklalapius. Labiausiai paplitęs Facebook mygtukas „Patinka“. Kiekvieną kartą, kai apsilankoma tinklalapiuose, kuriuose yra šis mygtukas, naudojamame prietaise įdiegti slapukai, lankomo tinklalapio URL ir kiti duomenys, pavyzdžiui, IP adresas arba laikas, perduodami Meta Platforms Ireland. Šiuo tikslu nebūtina, kad naudotojas spustelėtų mygtuką „Patinka“, nes vien to, kad jis peržiūrėjo tinklalapį, kuriame yra toks slapukas, pakanka, kad šie duomenys vėliau būtų perduoti šiai bendrovei.

17

Iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad papildiniai taip pat yra politinių partijų ir homoseksualiai auditorijai skirtuose tinklalapiuose, kuriuose lankėsi M. Schrems. Dėl šių papildinių Meta Platforms Ireland galėjo sekti M. Schrems veiksmus internete, todėl buvo pradėti rinkti tam tikri neskelbtini asmens duomenys.

18

Kaip ir socialiniai papildiniai, „pixels“ gali būti įtraukti į interneto svetainių tinklalapius ir leidžia rinkti informaciją apie šiuose tinklalapiuose apsilankiusius naudotojus, be kita ko, siekiant įvertinti ir optimizuoti juose esančią reklamą. Pavyzdžiui, įdiegę Facebook„pixel“ į savo interneto tinklalapius valdytojai gali gauti iš Meta Platforms Ireland ataskaitas apie tai, kiek žmonių matė jų reklamą Facebook ir vėliau prisijungė prie savo interneto tinklalapio, kad galėtų ją peržiūrėti arba atlikti pirkimą.

19

Taigi socialiniai papildiniai ir „pixels“ kartu su slapukais yra esminis reklamos internete elementas, nes didžioji dalis internete prieinamo turinio yra finansuojama iš reklamos. Konkrečiai kalbant, papildiniai leidžia naudotojams pateikti atitinkamus skelbimus, o „pixels“ skirti reklamuotojams, kad jie galėtų įvertinti reklamos veiksmingumą ir gauti informacijos apie tikslines naudotojų grupes.

20

Nagrinėjamu atveju iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad M. Schrems nesuteikė Meta Platforms Ireland leidimo tvarkyti jo asmens duomenis, gautus iš reklamuotojų ir kitų partnerių, apie M. Schrems veiklą už Facebook ribų suasmenintos reklamos tikslais. Vis dėlto tam tikrus duomenis, susijusius su M. Schrems, Meta Platforms Ireland gavo naudodama slapukus, socialinius papildinius ir panašias technologijas, įdiegtas į trečiųjų asmenų interneto svetaines, ir ši bendrovė juos naudojo siekdama pagerinti Facebook produktus ir siųsti M. Schrems skirtą suasmenintą reklamą.

21

Be to, iš tos nutarties taip pat matyti, kad savo Facebook profilyje M. Schrems nenurodė jokių neskelbtinų duomenų, kad tik jo „draugai“ galėjo matyti jo veiklą ar jo sklaidos kanale esančią informaciją ir kad jo „draugų sąrašas“ nebuvo viešas. M. Schrems taip pat nusprendė nesuteikti Meta Platforms Ireland leidimo tikslinės reklamos tikslais naudoti jo profilio skilčių, susijusių su jo santykiais, darbdaviu, darbu ir išsilavinimu.

22

Vis dėlto atsižvelgdama į turimus duomenis Meta Platforms Ireland taip pat galėjo nustatyti tokius M. Schrems interesus jautriais klausimais, kaip sveikata, lytinė orientacija, etninės grupės ir politinės partijos, o tai leido siųsti jam tikslinę reklamą, pavyzdžiui, apie tokią lytinę orientaciją ar tokius politinius įsitikinimus.

23

Taigi, pirma, M. Schrems gaudavo reklamą, susijusią su Austrijos politike ir grindžiamą Meta Platforms Ireland atlikta analize, pagal kurią jis turėjo bendrų aspektų su kitais naudotojais, pažymėjusiais šią politikę žodžiu „Patinka“. Antra, M. Schrems taip pat reguliariai gaudavo reklamą, skirtą homoseksualiai auditorijai, ir kvietimus į atitinkamus renginius, nors anksčiau niekada nesidomėjo šiais renginiais ir nežinojo, kur jie vyksta. Ši reklama ir kvietimai buvo grindžiami ne tiesiogiai ieškovo pagrindinėje byloje ir jo „draugų“ lytine orientacija, bet jų interesų centrų analize, šiuo atveju tuo, kad vienas iš M. Schrems draugų pažymėjo prekę, paspausdamas mygtuką „Patinka“.

24

M. Schrems atliko analizę, susijusią su išvadomis, kurias buvo galima padaryti iš jo draugų sąrašo, ir iš jos paaiškėjo, kad jis atliko civilinę tarnybą Raudonajame Kryžiuje Zalcburge (Austrija) ir kad yra homoseksualus. Be to, jo veiklos už Facebook ribų sąraše, kurį sudarė Meta Platforms Ireland, buvo, be kita ko, nurodytos gėjų pažinčių taikomosios programėlės ir interneto svetainės, taip pat Austrijos politinės partijos interneto svetainė. Tarp ieškovo pagrindinėje byloje saugomų duomenų taip pat buvo e. pašto adresas, nenurodytas jo Facebook profilyje, tačiau kuriuo jis naudojosi teikdamas užklausas Meta Platforms Ireland.

25

Iš nutarties dėl prašymo priimti prejudicinį sprendimą taip pat matyti, kad M. Schrems viešai pranešė, jog yra homoseksualus. Tačiau apie savo lytinę orientaciją jis niekada neminėjo savo Facebook profilyje.

26

M. Schrems Landesgericht für Zivilrechtssachen Wien (Vienos apygardos civilinių bylų teismas, Austrija) teigė, kad Meta Platforms Ireland, tvarkydama jo asmens duomenis, pažeidė kelias BDAR nuostatas. Šiuo klausimu jis tvirtino, kad jo sutikimas su atsakovės pagrindinėje byloje skaitmeninės platformos naudojimo sąlygomis neatitiko šio reglamento 6 straipsnio 1 dalies ir 7 straipsnio reikalavimų. Be to, Meta Platforms Ireland tvarkė neskelbtinus ieškovo pagrindinėje byloje duomenis, kaip tai suprantama pagal minėto reglamento 9 straipsnį, neturėdama tam būtino sutikimo, kaip apibrėžta pagal to paties reglamento 7 straipsnį. Taip pat nebuvo jokio galiojančio sutikimo tvarkyti M. Schrems asmens duomenis, kurį Meta Platforms Ireland gavo iš trečiųjų asmenų. Šiomis aplinkybėmis M. Schrems, be kita ko, prašė įpareigoti atsakovę nutraukti jo asmens duomenų tvarkymą suasmenintos reklamos tikslais, taip pat naudoti šiuos duomenis, gautus naudojantis trečiųjų asmenų interneto svetainėmis ir iš trečiųjų asmenų.

27

Vis dėlto Meta Platforms Ireland laikėsi nuomonės, kad M. Schrems duomenys buvo tvarkomi laikantis internetinio socialinio tinklo naudojimo sąlygų, kurios atitinka BDAR reikalavimus. Šis duomenų tvarkymas yra teisėtas ir grindžiamas ne ieškovo pagrindinėje byloje sutikimu, kurio reikalaujama pagal šio reglamento 6 straipsnio 1 dalies a punktą, o kitais pateisinimais, tarp kurių iš esmės yra tokio tvarkymo būtinybė siekiant įvykdyti jo ir atsakovės pagrindinėje byloje sudarytą sutartį, kaip tai suprantama pagal šio reglamento 6 straipsnio 1 dalies b punktą.

28

Šioje byloje Teisingumo Teismui jau buvo pateiktas prašymas priimti prejudicinį sprendimą ir dėl jo buvo priimtas 2018 m. sausio 25 d. Sprendimas Schrems (C‑498/16, EU:C:2018:37). Priėmus tą sprendimą, 2020 m. birželio 30 d. sprendimu Landesgericht für Zivilrechtssachen Wien (Vienos apygardos civilinių bylų teismas, Austrija) atmetė M. Schrems reikalavimus. Taip pat Oberlandesgericht Wien (Vienos aukštesnysis apygardos teismas, Austrija), gavęs apeliacinį skundą, atmetė M. Schrems skundą dėl minėto sprendimo, motyvuodamas, be kita ko, tuo, kad jo, kaip interneto platformos naudotojo, asmens duomenų tvarkymas, įskaitant suasmenintą reklamą, yra šalių sudarytos šios platformos naudojimo sutarties sudedamoji dalis. Taigi šių duomenų tvarkymas yra būtinas šiai sutarčiai vykdyti, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies b punktą.

29

Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija), gavęs M. Schrems kasacinį skundą, pažymėjo, kad Meta Platforms Ireland verslo modelį sudaro pajamų gavimas iš tikslinės reklamos ir komercinio turinio, kuris grindžiamas Facebook naudotojų pageidavimais ir interesais, tvarkant šių naudotojų asmens duomenis. Kadangi Facebook leidžia savo naudotojams nemokamai siūlyti paslaugas, toks tvarkymas gali būti laikomas būtinu su šiais naudotojais sudarytai sutarčiai vykdyti, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies b punktą.

30

Vis dėlto, to teismo teigimu, pagal šią nuostatą, kuri turi būti aiškinama siaurai, taip tvarkyti duomenų neturėtų būti leidžiama be duomenų subjekto sutikimo.

31

Be to, minėtas teismas pažymėjo, kad Meta Platforms Ireland tvarko asmens duomenis, kurie pagal BDAR 9 straipsnio 1 dalį gali būti laikomi „neskelbtinais“.

32

Nagrinėjamu atveju Meta Plaforms Ireland tvarkė duomenis, susijusius su M. Schrems politiniais įsitikinimais ir lytine orientacija. Kaip konstatavo Oberster Gerichtshof (Austrija), M. Schrems viešai pranešė apie savo lytinę orientaciją. Konkrečiai kalbant, 2019 m. vasario 12 d. Vienoje vykusio podiumo diskusijoje Europos Komisijos atstovybės Austrijoje kvietimu M. Schrems nurodė savo lytinę orientaciją, siekdamas pareikšti kritiką Facebook atliekamam asmens duomenų tvarkymui, įskaitant jo paties duomenų tvarkymą. Vis dėlto, kaip nurodė M. Schrems šiuo klausimu, jis niekada nepaminėjo šio savo privataus gyvenimo aspekto Facebook profilyje.

33

Taigi, to teismo teigimu, kyla klausimas, ar atitinkamas naudotojas akivaizdžiai viešai paskelbė su juo susijusius neskelbtinus asmens duomenis ir taip leido juos tvarkyti pagal BDAR 9 straipsnio 2 dalies e punktą.

34

Šiomis aplinkybėmis Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1. Ar BDAR 6 straipsnio 1 dalies a ir b punktus reikia aiškinti taip, kad bendrosiose paslaugų teikimo sąlygose įtvirtintų sutarties nuostatų dėl platformų sutarčių, kaip antai nagrinėjamų pagrindinėje byloje (visų pirma tokių sutarties nuostatų, kaip: „Užuot mokėję už [paslaugą], <…> naudodami Facebook produktus, kuriems taikomos šios taisyklės, jūs sutinkate, kad rodytume jums reklamas <…>. Mes naudojame jūsų asmeninius duomenis <…>, kad būtų rodomos jums aktualesnės reklamos“), kuriose apibrėžiamas asmens duomenų tvarkymas siekiant juos kaupti ir analizuoti suasmenintos reklamos tikslais, teisėtumą reikia vertinti atsižvelgiant į BDAR 6 straipsnio 1 dalies a punkto, siejamo su 7 straipsniu, reikalavimus, kurie negali būti pakeisti remiantis BDAR 6 straipsnio 1 dalies b punktu?

2. Ar BDAR 5 straipsnio 1 dalies c punktą (duomenų kiekio mažinimas) reikia aiškinti taip, kad visi tokioje platformoje, kokia nagrinėjama pagrindinėje byloje, esantys (visų pirma atsiradę dėl duomenų subjekto ar trečiųjų asmenų veiklos platformoje ir už platformos ribų) asmens duomenys gali būti be laiko ar duomenų pobūdžio apribojimų kaupiami, analizuojami ir tvarkomi tikslinės reklamos tikslais?

3. Ar BDAR 9 straipsnio 1 dalis turi būti aiškinama taip, kad ji turi būti taikoma duomenų, leidžiančių tikslingai filtruoti (pavyzdžiui, reklamai) tokius specialių kategorijų asmens duomenis, kaip politiniai įsitikinimai ar lytinė orientacija, tvarkymui, net jei duomenų valdytojas neskirsto šių duomenų?

4. Ar BDAR 5 straipsnio 1 dalies b punktą, siejamą su 9 straipsnio 2 dalies e punktu, reikia aiškinti taip, kad pasisakymas apie savo lytinę orientaciją per podiumo diskusiją suteikia galimybę tvarkyti kitus duomenis apie lytinę orientaciją, siekiant kaupti ir analizuoti duomenis suasmenintos reklamos tikslais?“

35

2022 m. balandžio 7 d. sprendimu Teisingumo Teismo pirmininkas sustabdė šios bylos nagrinėjimą, kol bus priimtas galutinis sprendimas byloje Meta Platforms ir kt. (C‑252/21).

36

2023 m. liepos 7 d. sprendimu Teisingumo Teismo pirmininkas pranešė prašymą priimti prejudicinį sprendimą pateikusiam teismui apie 2023 m. liepos 4 d. Sprendimą Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos) (C‑252/21, EU:C:2023:537) ir pasiteiravo, ar, atsižvelgdamas į šį sprendimą, jis norėtų atsiimti visą savo prašymą priimti prejudicinį sprendimą, ar jo dalį, ir, jei tas prašymas iš dalies būtų atsiimtas, nurodyti priežastis, dėl kurių jis iš dalies yra paliktas galioti.

37

2023 m. liepos 19 d. nutartimi (ją Teisingumo Teismo kanceliarija gavo 2023 m. rugpjūčio 9 d.) minėtas teismas atsiėmė pirmąjį ir trečiąjį prejudicinius klausimus, teigdamas, kad minėtame sprendime atsakyta į šiuos klausimus. Tačiau minėtas teismas neatsisakė savo antrojo ir ketvirtojo prejudicinių klausimų ir nurodė, kad tame pačiame sprendime į juos nebuvo išsamiai atsakyta.

38

Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 5 straipsnio 1 dalies c punktas turi būti aiškinamas taip, kad pagal jame numatytą „duomenų kiekio mažinimo“ principą draudžiama visus asmens duomenis, kuriuos toks duomenų valdytojas, kaip internetinio socialinio tinklo platformos valdytojas, gavo iš duomenų subjekto ar trečiųjų asmenų ir kurie buvo surinkti tiek šioje platformoje, tiek už jos ribų, kaupti, analizuoti ir tvarkyti tikslinės reklamos tikslais, netaikant jokių laiko apribojimų ir nedarant skirtumo pagal šių duomenų pobūdį.

39

Atsakovė pagrindinėje byloje teigia, kad šis klausimas nepriimtinas, nes, pirma, prašymą priimti prejudicinį sprendimą pateikęs teismas nepaaiškino priežasčių, dėl kurių atsakymas į šį klausimą būtų naudingas sprendimui pagrindinėje byloje priimti, ir, antra, tas teismas rėmėsi netikslia faktine prielaida, klaidingai manydamas, kad atsakovė pagrindinėje byloje reklamos tikslais naudoja visus turimus asmens duomenis, netaikydama jokių laiko apribojimų ir nedarydama skirtumo pagal šių duomenų pobūdį.

40

Pirma, dėl argumento, kad prašymą priimti prejudicinį sprendimą pateikęs teismas nenurodė priežasčių, dėl kurių mano, jog atsakymas į antrąjį klausimą yra naudingas sprendimui pagrindinėje byloje priimti, reikia pabrėžti, jog svarbu, kad nacionalinis teismas nurodytų tikslias priežastis, dėl kurių jam kilo abejonių dėl Sąjungos teisės aiškinimo ir būtinybės pateikti prejudicinius klausimus Teisingumo Teismui (2005 m. gruodžio 6 d. sprendimo ABNA ir kt., C‑453/03, C‑11/04, C‑12/04 ir C‑194/04, EU:C:2005:741, 46 punktas ir 2024 m. vasario 29 d. Sprendimo Staatssecretaris van Justitie en Veiligheid (Tarpusavio pasitikėjimas perdavimo atveju), C‑392/22, EU:C:2024:195, 85 punktas). Vis dėlto nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą analizės matyti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas siekia nustatyti, ar darant prielaidą, kad pagrindinėje byloje nagrinėjamas duomenų tvarkymas reklamos tikslais yra pateisinamas pagal BDAR 6 straipsnio 1 dalies pirmos pastraipos b punktą, taip atsakovės pagrindinėje byloje tvarkomų duomenų apimtis atitinka duomenų kiekio mažinimo principą, ar, priešingai, toks platus duomenų tvarkymas pažeidžia duomenų valdytojui pagal BDAR 5 straipsnį tenkančias pareigas. Taigi priežastys, dėl kurių atsakymas į šį klausimą yra naudingas ginčui pagrindinėje byloje išspręsti, yra pakankamai aiškios iš prašymo priimti prejudicinį sprendimą.

41

Antra, dėl argumento, kad prašymą priimti prejudicinį sprendimą pateikęs teismas rėmėsi netikslia faktine prielaida, pasakytina, jog antrasis prejudicinis klausimas grindžiamas prielaida, kad, viena vertus, kaip nurodyta šio sprendimo 20 punkte, nors M. Schrems neleido Meta Platforms Ireland tvarkyti savo asmens duomenų, susijusių su jo veikla už Facebook ribų, vis dėlto ši bendrovė tvarkė kai kuriuos šių duomenų, kuriuos gavo iš trečiųjų asmenų partnerių, remdamasi tuo, kad M. Schrems sutiko su bendrosiomis socialinio tinklo naudojimo sąlygomis, visų pirma per Facebook slapukus ir socialinius papildinius, įdiegtus į šių trečiųjų asmenų interneto svetaines, ir, kita vertus, šiuos asmens duomenis Meta Platforms Ireland tvarkė netaikydama jokių laiko apribojimų ir nedarydama skirtumo pagal minėtų duomenų pobūdį.

42

Vis dėlto reikia priminti, kad pagal suformuotą jurisprudenciją SESV 267 straipsnyje yra įtvirtinta tiesioginio Teisingumo Teismo ir valstybių narių teismų bendradarbiavimo procedūra. Vykstant šiai procedūrai, kuri grindžiama aiškiu nacionalinių teismų ir Teisingumo Teismo kompetencijos atskyrimu, bet koks bylos faktinių aplinkybių vertinimas priskirtinas nacionalinio teismo kompetencijai, kuris, atsižvelgdamas į konkrečias bylos aplinkybes, vertina ir prejudicinio sprendimo reikalingumą savo sprendimui priimti, ir Teisingumo Teismui pateikiamų klausimų reikšmingumą, o Teisingumo Teismas turi teisę aiškinti Sąjungos nuostatas ar spręsti dėl jų galiojimo tik remdamasis nacionalinio teismo nurodytomis faktinėmis aplinkybėmis (2017 m. spalio 25 d. Sprendimo Polbud – Wykonawstwo, C‑106/16, EU:C:2017:804, 27 punktą ir jame nurodytą jurisprudenciją).

43

Vadinasi, į pateiktą klausimą reikia atsakyti remiantis šia prielaida, kurios pagrįstumą prašymą priimti prejudicinį sprendimą pateikęs teismas vis dėlto turi patikrinti.

44

Taigi antrasis prejudicinis klausimas yra priimtinas.

45

Pirma, svarbu priminti, kad šiuo reglamentu siekiamas tikslas, kuris išplaukia iš jo 1 straipsnio ir 1 bei 10 konstatuojamųjų dalių, yra, be kita ko, užtikrinti aukštą fizinių asmenų pagrindinių laisvių ir teisių, visų pirma jų teisės į privatų gyvenimą tvarkant asmens duomenis, įtvirtintos Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje, apsaugos lygį (2024 m. kovo 7 d. Sprendimo IAB Europe, C‑604/22, EU:C:2024:214, 53 punktas ir jame nurodyta jurisprudencija).

46

Šiuo tikslu šio reglamento II skyriuje yra nustatyti asmens duomenų tvarkymo principai, o III skyriuje numatytos duomenų subjekto teisės, kurių turi būti paisoma tvarkant asmens duomenis. Konkrečiai kalbant, nepažeidžiant minėto reglamento 23 straipsnyje numatytų išimčių, bet koks asmens duomenų tvarkymas turi, pirma, atitikti to paties reglamento 5 straipsnyje įtvirtintus su tokių duomenų tvarkymu susijusius principus ir 6 straipsnyje išvardytas teisėtumo sąlygas ir, antra, būti atliekamas paisant šio reglamento 12–22 straipsniuose numatytų duomenų subjekto teisių (2024 m. liepos 11 d. Sprendimo Meta Platforms Ireland (Atstovaujamasis ieškinys), C‑757/22, EU:C:2024:598, 49 punktas ir jame nurodyta jurisprudencija).

47

Kaip Teisingumo Teismas jau yra pažymėjęs, BDAR 5 straipsnyje įtvirtinti asmens duomenų tvarkymo principai yra taikomi kartu (2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 47 punktas).

48

Šiuo klausimu reikia pažymėti, kad pagal BDAR 5 straipsnio 1 dalies a punktą asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu ir kad pagal šio 5 straipsnio 1 dalies b punktą šie duomenys turi būti renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau netvarkomi su šiais tikslais nesuderinamu būdu.

49

Be to, šio reglamento 5 straipsnio 1 dalies c punkte, kuriame įtvirtintas vadinamas „duomenų kiekio mažinimo“ principas, numatyta, kad asmens duomenys turi būti „adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi“ (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 109 punktas ir jame nurodyta jurisprudencija).

50

Šis principas, kaip Teisingumo Teismas jau yra nusprendęs, yra proporcingumo principo išraiška (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 98 punktą ir jame nurodytą jurisprudenciją ir 2024 m. sausio 30 d. Sprendimo Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, 41 punktą).

51

Pagal BDAR 5 straipsnio 2 dalyje nustatytą atsakomybės principą duomenų valdytojas turi galėti įrodyti, kad asmens duomenys renkami ir tvarkomi laikantis šio straipsnio 1 dalyje nustatytų principų (šiuo klausimu žr. 2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 24 punktą). Be to, pagal šio reglamento 13 straipsnio 1 dalies c punktą, kai asmens duomenys renkami iš duomenų subjekto, duomenų valdytojas turi jį informuoti apie duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti šiuos duomenis, ir tokio tvarkymo teisinį pagrindą (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 95 punktas).

52

Antra, kalbant apie asmens duomenų tvarkymo apribojimą laiko atžvilgiu, kaip antai nagrinėjamą pagrindinėje byloje, reikia priminti, jog Teisingumo Teismas jau yra nusprendęs, kad, atsižvelgdamas į duomenų kiekio mažinimo principą, duomenų valdytojas privalo apriboti nagrinėjamų asmens duomenų rinkimo laikotarpį iki to, kas, atsižvelgiant į siūlomo tvarkymo tikslą, yra griežtai būtina (2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 79 punktas).

53

Kuo ilgesnis šių duomenų saugojimas, tuo didesnis poveikis duomenų subjekto interesams ir privačiam gyvenimui ir tuo didesni reikalavimai, susiję su šių duomenų saugojimo teisėtumu (šiuo klausimu žr. 2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 95 punktą).

54

Be to, reikia pažymėti, kad pagal BDAR 5 straipsnio 1 dalies e punktą asmens duomenys turi būti saugomi tokios formos, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

55

Taigi iš šio straipsnio teksto aiškiai matyti, kad pagal jame įtvirtintą „saugojimo trukmės apribojimo“ principą reikalaujama, kad duomenų valdytojas, paisydamas šio sprendimo 51 punkte priminto atskaitomybės principo, galėtų įrodyti, kad asmens duomenys saugomi tiek ilgai, kiek būtina tikslams, dėl kurių jie buvo surinkti arba vėliau tvarkomi, pasiekti (šiuo klausimu žr. 2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 53 punktą).

56

Iš to matyti, kad, kaip jau yra nusprendęs Teisingumo Teismas, net iš pradžių teisėtas duomenų tvarkymas laikui bėgant gali prieštarauti BDAR nuostatoms, jeigu šie duomenys nebereikalingi tikslams, dėl kurių jie renkami ar vėliau tvarkomi, pasiekti, ir kad šie duomenys turi būti pašalinti, kai tie tikslai pasiekti (šiuo klausimu žr. 2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 54 punktą ir jame nurodytą jurisprudenciją).

57

Šiomis aplinkybėmis, kaip savo išvados 22 punkte iš esmės pažymėjo generalinis advokatas, nacionalinis teismas, atsižvelgdamas į visas reikšmingas aplinkybes ir taikydamas proporcingumo principą, primintą BDAR 5 straipsnio 1 dalies c punkte, turi įvertinti, ar duomenų valdytojo atliekamo asmens duomenų saugojimo trukmė yra pagrįstai pateisinama atsižvelgiant į tikslą leisti platinti suasmenintą reklamą.

58

Bet kuriuo atveju socialinio tinklo platformos naudotojų asmens duomenų saugojimas neribotą laiką tikslinės reklamos tikslais turi būti laikomas neproporcingu kišimusi į pagal BDAR šiems naudotojams garantuojamas teises.

59

Trečia, dėl aplinkybės, kad pagrindinėje byloje nagrinėjami asmens duomenys renkami, kaupiami, analizuojami ir tvarkomi tikslinės reklamos tikslais, nedarant skirtumo pagal šių duomenų pobūdį, reikia priminti, jog Teisingumo Teismas jau yra nusprendęs, kad, atsižvelgiant į BDAR 5 straipsnio 1 dalies c punkte numatytą duomenų kiekio mažinimo principą, duomenų valdytojas negali bendrai ir nediferencijuotai rinkti asmens duomenų; jis neturi rinkti duomenų, kurie nėra tikrai būtini duomenų tvarkymo tikslams pasiekti (2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests (Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 74 punktas).

60

Taip pat reikia pažymėti, kad pagal šio reglamento 25 straipsnio 2 dalį reikalaujama, kad duomenų valdytojas įgyvendintų tinkamas priemones, užtikrinančias, kad pagal nutylėjimą būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienu konkrečiu duomenų tvarkymo tikslu. Pagal šią nuostatą toks reikalavimas taikomas, be kita ko, surinktų asmens duomenų kiekiui ir jų tvarkymo apimčiai, taip pat jų saugojimo trukmei.

61

Nagrinėjamu atveju iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad Meta Platforms Ireland renka Facebook naudotojų, įskaitant M. Schrems, asmens duomenis, susijusius su šių naudotojų veikla tiek šiame socialiniame tinkle, tiek už jo ribų, įskaitant, be kita ko, duomenis, susijusius su lankymusi internetinėje platformoje ir su trečiųjų asmenų interneto tinklalapiais bei taikomosiomis programėlėmis, taip pat stebi naudotojų naršymą šiuose tinklalapiuose, naudodama į atitinkamus interneto tinklalapius įdiegtus socialinius papildinius ir „pixels“.

62

Vis dėlto, kaip jau yra nusprendęs Teisingumo Teismas, toks duomenų tvarkymas yra ypač platus, nes susijęs su potencialiai neribotais duomenimis ir daro didelį poveikį naudotojui, kurio didžiąją dalį veiklos ar beveik visą veiklą internete stebi Meta Platforms Ireland, o tai gali jam sukelti pojūtį apie nuolatinį jo privataus gyvenimo stebėjimą (2023 m. liepos 4 d. Sprendimas Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 118 punktas).

63

Šiomis aplinkybėmis pagrindinėje byloje nagrinėjamas duomenų tvarkymas pasižymi dideliu duomenų subjektų pagrindinių teisių, ypač teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą, garantuojamų Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniuose, suvaržymu, kuris nėra pagrįstai pateisinamas, atsižvelgiant į tikslą leisti platinti tikslinę reklamą, su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas.

64

Bet kuriuo atveju visų socialinio tinklo platformos turimų asmens duomenų nediferencijuotas naudojimas reklamos tikslais, neatsižvelgiant į šių duomenų neskelbtinumo lygį, pagal BDAR neatrodo proporcingas šios platformos naudotojams garantuojamų teisių suvaržymas.

65

Atsižvelgiant į tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti: BDAR 5 straipsnio 1 dalies c punktas turi būti aiškinamas taip, kad pagal jame numatytą „duomenų kiekio mažinimo“ principą draudžiama visus asmens duomenis, kuriuos toks duomenų valdytojas, kaip internetinio socialinio tinklo platformos valdytojas, gavo iš duomenų subjekto ar trečiųjų asmenų ir kurie buvo surinkti tiek šioje platformoje, tiek už jos ribų, kaupti, analizuoti ir tvarkyti tikslinės reklamos tikslais, netaikant jokių laiko apribojimų ir nedarant skirtumo pagal šių duomenų pobūdį.

66

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 9 straipsnio 2 dalies e punktas turi būti aiškinamas taip, jog aplinkybė, kad viešai prieinamoje podiumo diskusijoje asmuo pareiškė nuomonę apie savo lytinę orientaciją, leidžia internetinės socialinio tinklo platformos valdytojui tvarkyti kitus su to asmens lytine orientacija susijusius duomenis, gautus prireikus už šios platformos ribų iš trečiųjų asmenų partnerių taikomųjų programėlių ir interneto svetainių, siekiant juos kaupti ir analizuoti, kad galėtų tam asmeniui pasiūlyti suasmenintą reklamą.

67

Konkrečiau kalbant, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar dėl M. Schrems pareiškimo podiumo diskusijoje jis nebeturi teisės į BDAR 9 straipsnio 1 dalyje numatytą apsaugą ir ar todėl Facebook turėjo teisę tvarkyti kitus duomenis, susijusius su jo lytine orientacija.

68

Pirmiausia reikia pažymėti, kad 2019 m. vasario 12 d. įvyko prašymą priimti prejudicinį sprendimą pateikusio teismo nurodyta podiumo diskusija, per kurią M. Schrems padarė pareiškimą dėl savo lytinės orientacijos, ir kad, kaip matyti iš nutarties dėl prašymo priimti prejudicinį sprendimą, tą dieną Meta Platforms Ireland jau tvarkė asmens duomenis, susijusius su M. Schrems lytine orientacija, todėl šis pareiškimas buvo padarytas vėliau nei tokio duomenų tvarkymo pradžia.

69

Darytina išvada, kad prašymą priimti prejudicinį sprendimą pateikusio teismo ketvirtasis klausimas turi būti suprantamas kaip susijęs tik su galimu M. Schrems duomenų apie jo lytinę orientaciją tvarkymu, kurį po 2019 m. vasario 12 d. vykdė Meta Platforms Ireland. Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas, remdamasis šio sprendimo 42 punkte priminta jurisprudencija, turi patikrinti, ar toks tvarkymas iš tikrųjų buvo vykdomas po šios dienos.

70

Siekiant atsakyti į šį klausimą, svarbu priminti, jog BDAR 51 konstatuojamojoje dalyje nurodyta, kad asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini, remiantis pagrindinėmis teisėmis ir laisvėmis, turi būti užtikrinta ypatinga apsauga, nes atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. Šioje konstatuojamojoje dalyje patikslinta, kad tokie asmens duomenys neturėtų būti tvarkomi, išskyrus tada, kai tai leidžiama konkrečiais šiame reglamente numatytais atvejais.

71

Šiomis aplinkybėmis BDAR 9 straipsnio 1 dalyje įtvirtintas joje nurodytų specialių kategorijų asmens duomenų tvarkymo draudimo principas. Tai, be kita ko, apima duomenis, kurie atskleidžia rasinę ar etninę kilmę, politines pažiūras, religinius įsitikinimus, taip pat duomenis apie fizinio asmens sveikatą, lytinį gyvenimą ar lytinę orientaciją.

72

Siekiant taikyti BDAR 9 straipsnio 1 dalį, svarbu patikrinti, ar, asmens duomenis tvarkant internetinio socialinio tinklo operatoriui, gali būti atskleista informacija, priskiriama vienai iš šioje nuostatoje nurodytų kategorijų, nepriklausomai, ar ši informacija susijusi su šio tinklo naudotoju arba bet kuriuo kitu fiziniu asmeniu. Jeigu taip, toks asmens duomenų tvarkymas draudžiamas, išskyrus BDAR 9 straipsnio 2 dalyje numatytas išimtis.

73

Kaip jau yra nusprendęs Teisingumo Teismas, šis BDAR 9 straipsnio 1 dalyje numatytas principinis draudimas nepriklauso nuo to, ar atliekant nagrinėjamą duomenų tvarkymą nustatyta informacija yra tiksli ir ar duomenų valdytojas veikia siekdamas gauti informacijos, patenkančios į vieną iš šioje nuostatoje nurodytų specialių kategorijų. Iš tiesų atsižvelgiant į didelę riziką duomenų subjektų pagrindinėms laisvėms ir teisėms, kylančią dėl bet kokio BDAR 9 straipsnio 1 dalyje nurodytų kategorijų asmens duomenų tvarkymo, juo siekiama uždrausti tokį duomenų tvarkymą, neatsižvelgiant į tikslą, dėl kurio jie tvarkomi (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 69 ir 70 punktai).

74

Atsižvelgiant į tai, pažymėtina, kad nors pagal 9 straipsnio 1 dalį iš principo draudžiama tvarkyti asmens duomenis, susijusius, be kita ko, su lytine orientacija, minėto straipsnio 2 dalies a–j punktuose numatyta dešimt išimčių, kurios nepriklauso viena nuo kitos, todėl turi būti vertinamos savarankiškai. Darytina išvada, kad aplinkybė, jog netenkinamos vienos iš šioje 2 dalyje numatytų išimčių taikymo sąlygos, netrukdo duomenų valdytojui remtis kita šioje nuostatoje nurodyta išimtimi (2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 47 punktas).

75

Konkrečiai kalbant apie BDAR 9 straipsnio 2 dalies e punkte numatytą išimtį, reikia priminti, kad pagal šią nuostatą šio 9 straipsnio 1 dalyje įtvirtintas principinis bet kurio specialių kategorijų asmens duomenų tvarkymo draudimas netaikomas, kai tvarkomi asmens duomenys, kuriuos „duomenų subjektas yra akivaizdžiai paskelbęs viešai“.

76

Kadangi numatyta draudimo tvarkyti specialių kategorijų asmens duomenis išimtis, BDAR 9 straipsnio 2 dalies e punktas turi būti aiškinamas siaurai (šiuo klausimu žr. 2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 76 punktą ir jame nurodytą jurisprudenciją).

77

Darytina išvada, kad, siekiant taikyti BDAR 9 straipsnio 2 dalies e punkte numatytą išimtį, reikia patikrinti, ar duomenų subjektas, atlikdamas tam tikrą veiksmą, aiškiai ir vienareikšmiais veiksmais siekė, kad nagrinėjami asmens duomenys būtų prieinami plačiajai visuomenei (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 77 punktas).

78

Nagrinėjamu atveju iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad 2019 m. vasario 12 d. Vienoje surengta podiumo diskusija, per kurią M. Schrems padarė pareiškimą dėl savo lytinės orientacijos, buvo atvira visuomenei ir, esant laisvų vietų, buvo galima gauti į ją bilietą ir dalyvauti asmeniškai, taip pat, kad ji buvo transliuojama tiesiogiai. Be to, jos įrašas vėliau buvo paskelbtas kaip tinklalaidė ir Komisijos YouTube kanale.

79

Šiomis aplinkybėmis ir su sąlyga, kad tai patikrins nacionalinis teismas, negalima atmesti galimybės, kad šis pareiškimas, nors ir yra platesnio diskurso dalis ir padarytas tik siekiant kritikuoti Facebook atliekamą asmens duomenų tvarkymą, yra veiksmas, kuriuo suinteresuotas asmuo, žinodamas visas faktines aplinkybes, akivaizdžiai paviešino savo lytinę orientaciją, kaip tai suprantama pagal RGPD 9 straipsnio 2 dalies e punktą.

80

Net jei tai, kad duomenų subjektas akivaizdžiai paviešino duomenis apie savo lytinę orientaciją, reiškia, kad tokie duomenys gali būti tvarkomi, nukrypstant nuo BDAR 9 straipsnio 1 dalyje nustatyto draudimo ir laikantis reikalavimų, kylančių iš kitų to reglamento nuostatų (šiuo klausimu žr. 2019 m. rugsėjo 24 d. Sprendimo GC ir kt. (Nuorodų į neskelbtinus duomenis pašalinimas), C‑136/17, EU:C:2019:773, 64 punktą), ši aplinkybė, priešingai, nei teigia Meta Platforms Ireland, savaime neleidžia tvarkyti kitų asmens duomenų, susijusių su šio asmens lytine orientacija.

81

Taigi, pirma, manyti, kad visiems duomenims, susijusiems su asmens lytine orientacija, netaikoma apsauga, kylanti iš BDAR 9 straipsnio 1 dalies, vien dėl to, kad duomenų subjektas akivaizdžiai paviešino asmens duomenis, susijusius su jo lytine orientacija, prieštarautų siauram BDAR 9 straipsnio 2 dalies e punkto aiškinimui.

82

Antra, tai, kad asmuo akivaizdžiai paviešino duomenis apie savo lytinę orientaciją, neleidžia manyti, kad jis davė sutikimą, kaip tai suprantama pagal BDAR 9 straipsnio 2 dalies a punktą, kad internetinio socialinio tinklo platformos valdytojas tvarkytų kitus su jo lytine orientacija susijusius duomenis.

83

Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį klausimą reikia atsakyti: BDAR 9 straipsnio 2 dalies e punktas turi būti aiškinamas taip, jog aplinkybė, kad viešai prieinamoje podiumo diskusijoje asmuo pareiškė apie savo lytinę orientaciją, neleidžia internetinės socialinio tinklo platformos valdytojui tvarkyti kitų su to asmens lytine orientacija susijusių duomenų, gautų prireikus už šios platformos ribų iš trečiųjų asmenų partnerių taikomųjų programėlių ir interneto svetainių, siekiant juos kaupti ir analizuoti, kad galėtų tam asmeniui pasiūlyti suasmenintą reklamą.

84

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (ketvirtoji kolegija) nusprendžia: