Preliminär utgåva
DOMSTOLENS DOM (fjärde avdelningen)
den 4 oktober 2024 (*)
” Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Sociala onlinenätverk – Allmänna användarvillkor för avtal mellan en digital plattform och en användare – Individanpassad reklam – Artikel 5.1 b – Principen om ändamålsbegränsning – Artikel 5.1 c – Principen om uppgiftsminimering – Artikel 9.1 och 9.2 – Behandling av särskilda kategorier av personuppgifter – Uppgifter som rör sexuell läggning – Uppgifter som har offentliggjorts av den registrerade ”
I mål C‑446/21,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Oberster Gerichtshof (Högsta domstolen, Österrike) genom beslut av den 23 juni 2021, som inkom till domstolen den 20 juli 2021, i målet
Maximilian Schrems
mot
Meta Platforms Ireland Ltd, tidigare Facebook Ireland Ltd,
meddelar
DOMSTOLEN (fjärde avdelningen)
sammansatt av avdelningsordföranden C. Lycourgos samt domarna O. Spineanu-Matei, J.-C. Bonichot, S. Rodin och L.S. Rossi (referent),
generaladvokat: A. Rantos,
justitiesekreterare: handläggaren N. Mundhenke,
efter det skriftliga förfarandet och förhandlingen den 8 februari 2024,
med beaktande av de yttranden som avgetts av:
– Maximilian Schrems, genom K. Raabe-Stuppnig, Rechtsanwältin,
– Meta Platforms Ireland Ltd, genom K. Hanschitz, H.-G. Kamann, S. Khalil, B. Knötzl och A. Natterer, Rechtsanwälte,
– Österrikes regering, genom A. Posch, J. Schmoll, C. Gabauer, G. Kunnert och E. Riedl, samtliga i egenskap av ombud,
– Frankrikes regering, genom R. Bénard och A.-L. Desjonquères, båda i egenskap av ombud,
– Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av E. De Bonis, avvocato dello stato,
– Portugals regering, genom P. Barros da Costa, A. Pimenta, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,
– Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,
och efter att den 25 april 2024 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser tolkningen av artiklarna 5.1 b och c, 6.1 a och b, 9.1 och 9.2 e i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).
2 Begäran har framställts i ett mål mellan Maximilian Schrems, som är användare av det sociala nätverket Facebook, och Meta Platforms Ireland Ltd, tidigare Facebook Ireland Ltd, med säte i Irland, angående detta bolags påstått olagliga behandling av denna användares personuppgifter.
Tillämpliga bestämmelser
Unionsrätt
3 Skälen 1, 4, 39, 42, 43, 50 och 51 i dataskyddsförordningen lyder enligt följande:
”(1) Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 [FEUF] föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
…
(4) Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.
…
(39) Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. … Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. …
…
(42) När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. … För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.
(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant genomförande.
…
(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. …
(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. … Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som fastställs i denna förordning … Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov … .”
4 I artikel 4 i denna förordning föreskrivs följande:
”I denna förordning avses med
1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …
2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
…
7. personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,
…
11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,
…
23. gränsöverskridande behandling:
a) behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller
b) behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,
…”
5 Artikel 5 i nämnda förordning har rubriken ”Principer för behandling av personuppgifter”. I punkterna 1 och 2 i den artikeln föreskrivs följande:
”1. Vid behandling av personuppgifter ska följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. … (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
…
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. … (lagringsminimering).
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”
6 Artikel 6 i samma förordning, vilken har rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
…
4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”
7 I artikel 7 i dataskyddsförordningen, vilken har rubriken ”Villkor för samtycke”, föreskrivs följande:
”1. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.
…
3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.
4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.”
8 I artikel 9 i förordningen, vilken har rubriken ”Behandling av särskilda kategorier av personuppgifter”, föreskrivs följande:
”1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
2. Punkt 1 ska inte tillämpas om något av följande gäller:
a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.
…
e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
…”
9 Artikel 13 i dataskyddsförordningen har rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”. I den artikeln föreskrivs följande:
”1. Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:
…
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
…
3. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.
…”
10 I artikel 25.2 i samma förordning föreskrivs följande:
”Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.”
Målet vid den nationella domstolen och tolkningsfrågorna
11 Meta Platforms Ireland, som ansvarar för utbudet av tjänster inom det sociala onlinenätverket Facebook i unionen, är ansvarigt för behandlingen av personuppgifter som rör användare av detta sociala nätverk i unionen. Bolaget har ingen filial i Österrike. Meta Platforms Ireland marknadsför, bland annat på adressen www.facebook.com, tjänster som fram till den 5 november 2023 tillhandahölls privata användare utan kostnad. Från och med den 6 november 2023 var dessa tjänster dock kostnadsfria endast för de användare som hade samtyckt till att deras personuppgifter skulle samlas in och användas för att visa individanpassad reklam för dem. Användarna hade emellertid möjlighet att teckna ett abonnemang mot betalning för att få tillgång till en version av tjänsterna utan att få riktad reklam.
12 Det sociala onlinenätverket Facebooks ekonomiska modell bygger på finansiering genom onlinereklam som är individuellt anpassad till det sociala nätverkets användare utifrån bland annat deras konsumtionsmönster, intressen och personliga situation. Denna reklam möjliggörs tekniskt genom det automatiserade skapandet av detaljerade användarprofiler för alla som använder nätverket och Metakoncernens onlinetjänster.
13 För behandlingen av personuppgifterna om det sociala onlinenätverket Facebooks användare grundar sig Meta Platforms Ireland på det användaravtal som dessa godkänner genom att klicka på knappen ”Gå med” och genom vilket de godtar företagets allmänna villkor. Vid tidpunkten för omständigheterna i det nationella målet var användarna tvungna att godkänna dessa villkor för att kunna använda det sociala nätverket Facebook. Beträffande behandlingen av användarnas personuppgifter hänvisas det i de allmänna villkoren till det nämnda företagets integritetspolicy och cookiepolicy. Enligt dessa policyer samlar Meta Platforms Ireland in uppgifter om användarna och deras enheter som rör användarnas aktivitet på och utanför det sociala nätverket och kopplar samman dessa uppgifter med användarnas Facebookkonton. Uppgifter om aktivitet utanför det sociala nätverket (nedan även kallade off Facebookuppgifter) härrör dels från besök på webbsidor och utomstående applikationer som är kopplade till Facebook via olika programmeringsgränssnitt, dels från användningen av andra onlinetjänster som tillhör Metakoncernen, däribland Instagram och WhatsApp.
14 Innan dataskyddsförordningen trädde i kraft lämnade Facebookanvändarna sitt uttryckliga samtycke till att deras uppgifter behandlades i enlighet med motpartens användarvillkor för denna period. Mot bakgrund av att dataskyddsförordningen trädde i kraft den 25 maj 2018 antog Meta Platforms Ireland den 19 april 2018 nya användarvillkor och presenterade dem för sina användare för godkännande. Efter att Maximilian Schrems konto hade blockerats godkände han de nya användarvillkoren, för att kunna fortsätta att använda Facebook. Detta samtycke var nödvändigt för att han fortsatt skulle ha tillgång till sitt konto och kunna använda därmed sammanhängande tjänster.
15 Meta Platforms Ireland införde flera ”verktyg” (tools) för att göra det möjligt för användarna att få en överblick över och kontrollera de uppgifter som lagrats om dem. Det är inte alla behandlade uppgifter som är synliga i dessa verktyg, utan endast de som bolaget anser vara av intresse och relevans för användarna. Det är således möjligt för en användare som begär detta att exempelvis se att han eller hon har öppnat en applikation via sin Facebookprofil, besökt en webbplats, gjort en viss sökning eller ett köp eller klickat på reklam.
16 Meta Platforms Ireland använder ”cookies” (kakor), ”social plugins” (sociala insticksmoduler) och pixlar, såsom framgår av dess användarvillkor och anvisningar. Genom kakorna kan bolaget få reda på varifrån besöket har gjorts. Utan aktivering av kakorna kan många av de tjänster som Meta Platforms Ireland tillhandahåller inte användas. Facebooks sociala insticksmoduler ”läggs in” av utomstående webbplatsoperatörer på sidor på deras webbplatser. Den vanligaste insticksmodulen är Facebooks ”Gilla”-knapp. Vid varje besök på webbsidor som innehåller denna knapp skickas de kakor som installerats på den använda enheten, URL för den besökta sidan och andra uppgifter, såsom IP-adress eller klockslag, till Meta Platforms Ireland. Det är härvid inte nödvändigt att användaren har klickat på ”Gilla”-knappen, utan det räcker att en webbsida som innehåller en sådan insticksmodul visas för att uppgifterna därefter ska skickas till detta bolag.
17 Av beslutet om hänskjutande framgår att insticksmoduler även finns på webbsidor tillhörande olika politiska partier och på sidor avsedda för homosexuella besökare, vilka Maximilian Schrems har besökt. Meta Platforms Ireland kunde genom dessa insticksmoduler följa Maximilian Schrems beteende på internet, vilket ledde till att vissa känsliga personuppgifter samlades in.
18 I likhet med sociala insticksmoduler kan även pixlar integreras i olika webbsidor. De gör det möjligt att samla in information om de användare som besökt dessa sidor för att bland annat avpassa och optimera reklamen på sidorna. Genom att exempelvis integrera en Facebookpixel i sina egna webbsidor kan de som driver dessa webbsidor få rapporter från Meta Platforms Ireland om hur många personer som har sett deras reklam på Facebook och som därefter har kopplat upp sig till deras egen webbsida för att besöka denna eller göra ett köp.
19 Sociala insticksmoduler och pixlar i kombination med kakor utgör således en väsentlig beståndsdel i reklamen på internet. Det innehåll som finns tillgängligt på internet finansieras till största delen genom reklam. Insticksmodulerna gör det särskilt möjligt att presentera relevanta annonser för användarna medan pixlarna kan användas av annonsörerna för att mäta reklamkampanjernas effekt och för att få information om målgrupper av användare.
20 I förevarande fall framgår det av beslutet om hänskjutande att Maximilian Schrems inte har gett Meta Platforms Ireland tillstånd att behandla hans personuppgifter, som det erhåller från annonsörer och andra partner beträffande hans verksamhet utanför Facebook, för individanpassning av reklam. Meta Platforms Ireland har emellertid erhållit vissa uppgifter om Maximilian Schrems med hjälp av kakor, sociala insticksmoduler och liknande teknik, som integrerats i tredje parts webbplatser. Bolaget har använt dessa uppgifter för att förbättra Facebookprodukterna och för att skicka individanpassad reklam till Maximilian Schrems.
21 Av beslutet om hänskjutande framgår även att Maximilian Schrems inte har lämnat några som helst känsliga uppgifter i sin Facebookprofil, att endast hans ”vänner” kan se hans aktivitet eller den information som finns i hans ”timeline” (tidslinje) och att hans ”vänlista” inte är offentlig. Maximilian Schrems har inte heller gett motparten tillstånd att, för ändamål avseende riktad reklam, använda de delar av hans profil som avser hans relationsstatus, arbetsgivare, sysselsättning eller utbildning.
22 Mot bakgrund av de uppgifter som Meta Platforms Ireland förfogar över kan bolaget emellertid även identifiera Maximilian Schrems intresse avseende olika känsliga ämnen, såsom hälsa, sexuell läggning, etniska grupper och politiska partier, vilket gör det möjligt att till exempel rikta reklam till honom som anpassats efter en sådan sexuell läggning eller en sådan politisk övertygelse.
23 Maximilian Schrems fick således reklam rörande en österrikisk kvinnlig politiker, vilken grundade sig på Meta Platforms Irelands analys, enligt vilken det fanns gemensamma beröringspunkter mellan Maximilian Schrems och andra användare som hade använt ”Gilla”-knappen med avseende på denna politiker. Maximilian Schrems har även regelbundet fått reklam som riktar sig till en homosexuell målgrupp och inbjudningar till motsvarande evenemang, trots att han aldrig tidigare visat intresse för sådana evenemang och trots att han inte kände till var dessa ägde rum. Reklamen och inbjudningarna baserades inte direkt på den sexuella läggningen hos klaganden i det nationella målet och hans ”vänner”, utan på en analys av deras huvudsakliga intressen, i förevarande fall på den omständigheten att en av Maximilian Schrems vänner hade klickat på ”Gilla”-knappen beträffande en produkt.
24 Maximilian Schrems lät göra en analys av vilka slutsatser som kunde dras av hans vänlista. Analysen visade att han hade gjort vapenfri tjänst vid Röda korset i Salzburg och att han var homosexuell. I den förteckning över hans aktiviteter utanför Facebook som Meta Platforms Ireland innehar återfinns bland annat applikationer och webbplatser för möten för homosexuella och ett österrikiskt politiskt partis webbplats. Bland de lagrade uppgifterna om Maximilian Schrems finns även en e‑postadress som inte hade angetts i hans Facebookprofil, men som han hade använt för att göra förfrågningar hos Meta Platforms Ireland.
25 Det framgår även av beslutet om hänskjutande att Maximilian Schrems offentligt uppger att han är homosexuell. Han har emellertid aldrig nämnt sin sexuella läggning i sin Facebookprofil.
26 Maximilian Schrems gjorde vid Landesgericht für Zivilrechtssachen Wien (Regionala tvistemålsdomstolen i Wien, Österrike) gällande att Meta Platforms Irelands behandling av hans personuppgifter strider mot flera bestämmelser i dataskyddsförordningen. Han ansåg att hans samtycke till användarvillkoren för motpartens digitala plattform inte uppfyllde kraven i artiklarna 6.1 och 7 i denna förordning. Meta Platforms Ireland behandlar dessutom sådana känsliga uppgifter om honom som avses i artikel 9 i förordningen, utan att ha det samtycke som krävs för detta ändamål enligt artikel 7 i samma förordning. Det finns inte heller något giltigt samtycke till behandling av de personuppgifter om Maximilian Schrems som Meta Platforms Ireland erhåller från tredje man. Maximilian Schrems yrkade mot denna bakgrund bland annat att motparten skulle föreläggas att upphöra med behandlingen av hans personuppgifter för individanpassning av reklam, liksom användningen av personuppgifter om honom som härrör från besök på tredje parts webbplatser och som samlats in av tredje man.
27 Meta Platforms Ireland ansåg däremot att behandlingen av Maximilian Schrems uppgifter hade utförts i enlighet med det sociala onlinenätverkets användarvillkor och att dessa uppfyllde kraven i dataskyddsförordningen. Denna behandling var enligt bolaget laglig och grundade sig inte på klagandens samtycke, vilket krävs enligt artikel 6.1 a i förordningen, utan på andra skäl, däribland huvudsakligen den omständigheten att behandlingen är nödvändig för att fullgöra det avtal som ingåtts mellan klaganden och motparten i det nationella målet i den mening som avses i artikel 6.1 b i förordningen.
28 En begäran om förhandsavgörande har redan framställts till EU-domstolen beträffande denna tvist i det nationella målet, och har gett upphov till domen av den 25 januari 2018, Schrems, C‑498/16, EU:C:2018:37. Med anledning av denna dom ogillade Landesgericht für Zivilrectssachen Wien (Regionala tvistemålsdomstolen i Wien, Österrike) i dom av den 30 juni 2020 Maximilian Schrems yrkanden. Maximilian Schrems överklagade denna dom till Oberlandesgericht Wien (Regionala överdomstolen i Wien, Österrike), som avslog överklagandet av bland annat det skälet att behandlingen av personuppgifter rörande honom, i egenskap av användare av onlineplattformen, inbegripet individanpassad reklam, utgjorde en integrerad del av det avtal om användning av plattformen som ingåtts mellan parterna. Behandlingen av dessa uppgifter är således nödvändig för att fullgöra avtalet i den mening som avses i artikel 6.1 b i dataskyddsförordningen.
29 Maximilian Schrems överklagade domen till Oberster Gerichtshof (Högsta domstolen, Österrike), som konstaterade att Meta Platforms Irelands affärsmodell består i att generera intäkter genom riktad reklam och kommersiellt innehåll som baseras på Facebookanvändarnas preferenser och intressen genom behandling av dessa användares personuppgifter. Eftersom denna behandling gör det möjligt för Facebook att kostnadsfritt erbjuda tjänster till sina användare, skulle den emellertid kunna anses vara nödvändig för att fullgöra det avtal som ingåtts med användarna, i den mening som avses i artikel 6.1 b i dataskyddsförordningen.
30 Enligt den hänskjutande domstolen finns det dock skäl för att denna bestämmelse, som ska tolkas restriktivt, ska förstås så, att den inte tillåter en sådan behandling av uppgifter utan den registrerades samtycke.
31 Den hänskjutande domstolen har dessutom påpekat att Meta Platforms Ireland behandlar personuppgifter som kan klassificeras som ”känsliga” enligt artikel 9.1 i dataskyddsförordningen.
32 I förevarande fall behandlar Meta Platforms Ireland uppgifter om Maximilian Schrems politiska övertygelse och sexuella läggning. Oberster Gerichtshof (Högsta domstolen, Österrike) har konstaterat att Maximilian Schrems offentligt anger vilken sexuell läggning som han har. I samband med en paneldiskussion i vilken Maximilian Schrems deltog i Wien den 12 februari 2019, på inbjudan av Europeiska kommissionens representation i Österrike, hänvisade Maximilian Schrems till sin sexuella läggning för att kritisera Facebooks behandling av personuppgifter, däribland behandlingen av hans egna uppgifter. Maximilian Schrems nämnde emellertid aldrig denna aspekt av sitt privatliv i sin Facebookprofil, vilket han också upplyste vid detta tillfälle.
33 Enligt den hänskjutande domstolen uppkommer således frågan huruvida den berörda användaren på ett tydligt sätt har offentliggjort känsliga personuppgifter som rör honom och således har tillåtit behandling av dessa enligt artikel 9.2 e i dataskyddsförordningen.
34 Mot denna bakgrund beslutade Oberster Gerichtshof (Högsta domstolen, Österrike) att vilandeförklara målet och att ställa följande frågor till EU-domstolen:
”1. Ska bestämmelserna i artikel 6.1 a och b i dataskyddsförordningen tolkas så, att lagenligheten av avtalsbestämmelser i sådana allmänna användarvillkor i avtal för onlineplattformar som dem i det nationella målet – särskilt avtalsbestämmelser med följande innebörd: ’Istället för att betala [för tjänsten] … godkänner du, genom att använda de Facebookprodukter som omfattas av föreliggande villkor, att vi kan visa dig annonser … Vi använder personuppgifter … för att visa dig annonser som är mer relevanta för dig.’) – enligt vilka personuppgifter kommer att behandlas för att sammanställas och analyseras för att visa individanpassad reklam, ska bedömas utifrån villkoren i artikel 6.1 a jämförd med artikel 7 i dataskyddsförordningen, som inte kan ersättas genom åberopande av artikel 6.1 b i dataskyddsförordningen?
2. Ska artikel 5.1 c i dataskyddsförordningen (uppgiftsminimering) tolkas så, att samtliga personuppgifter som en plattform likt den i det nationella målet förfogar över (vilka erhållits bland annat från den registrerade eller från tredje part, på eller utanför plattformen) kan sammanställas, analyseras och behandlas för att visa riktad reklam utan någon begränsning i tiden eller beroende på uppgifternas art?
3. Ska artikel 9.1 i dataskyddsförordningen tolkas så, att den är tillämplig på behandling av personuppgifter som möjliggör en målinriktad filtrering av särskilda kategorier av personuppgifter såsom politisk övertygelse eller sexuell läggning (i reklamsyfte) även när den personuppgiftsansvarige inte skiljer mellan dessa personuppgifter?
4. Ska artikel 5.1 b jämförd med artikel 9.2 e i dataskyddsförordningen tolkas så, att ett uttalande om den egna sexuella läggningen inom ramen för en paneldiskussion möjliggör behandling av andra uppgifter angående den sexuella läggningen i syfte att sammanställa och analysera personuppgifter för individanpassad reklam?”
Förfarandet vid domstolen
35 Genom beslut av den 7 april 2022 vilandeförklarade domstolens ordförande förevarande mål i avvaktan på det slutliga avgörandet i mål C‑252/21, Meta Platforms m.fl.
36 Genom beslut av den 7 juli 2023 delgav domstolens ordförande den hänskjutande domstolen i förevarande mål domen av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor) (C‑252/21, EU:C:2023:537), och frågade den om den mot bakgrund av denna dom önskade vidhålla hela eller delar av sin begäran om förhandsavgörande och, för det fall begäran delvis återkallades, ange skälen till att en del av begäran vidhölls.
37 Genom beslut av den 19 juli 2023, som inkom till EU-domstolens kansli den 9 augusti 2023, återkallade den hänskjutande domstolen den första och den tredje tolkningsfrågan och förklarade att dessa frågor hade besvarats genom nämnda dom. Nämnda domstol vidhöll däremot den andra och den fjärde tolkningsfrågan och förklarade att samma dom inte hade gett ett fullständigt svar på dessa frågor.
Prövning av den andra frågan
38 Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 5.1 c i dataskyddsförordningen ska tolkas så, att den princip om ”uppgiftsminimering” som föreskrivs i denna bestämmelse utgör hinder för att samtliga personuppgifter som en personuppgiftsansvarig, såsom en operatör av en plattform för ett socialt onlinenätverk, erhåller, från den registrerade eller från tredje parter och som har samlats in såväl på denna plattform som utanför denna, sammanställs, analyseras och behandlas för ändamål avseende riktad reklam, utan begränsning i tiden och utan att det görs någon åtskillnad beroende på uppgifternas art.
Huruvida tolkningsfrågan kan tas upp till prövning
39 Motparten i det nationella målet har gjort gällande att denna fråga inte kan tas upp till prövning, dels på grund av att den hänskjutande domstolen inte har förklarat varför ett svar på denna fråga skulle vara till hjälp för den när den avgör det nationella målet, dels på grund av att den hänskjutande domstolen har utgått från en felaktig premiss avseende de faktiska omständigheterna genom att felaktigt anse att motparten i det nationella målet i reklamsyfte använder alla personuppgifter som den förfogar över, utan någon begränsning i tiden och utan att göra någon åtskillnad beroende på uppgifternas art.
40 För det första, vad gäller argumentet att den hänskjutande domstolen inte har angett varför den anser att ett svar på den andra frågan skulle vara till hjälp för den när den avgör det nationella målet, ska det understrykas att det är viktigt att den nationella domstolen anger de närmare skälen till att den anser det vara oklart hur unionsrätten ska tolkas och till att den anser det nödvändigt att ställa tolknings- eller giltighetsfrågor till EU-domstolen (dom av den 6 december 2005, ABNA m.fl., C‑453/03, C‑11/04, C‑12/04 och C‑194/04, EU:C:2005:741, punkt 46, och dom av den 29 februari 2024, Staatssecretaris van Justitie en Veiligheid (Ömsesidigt förtroende vid överföring), C‑392/22, EU:C:2024:195, punkt 85). I förevarande fall framgår det emellertid av redogörelsen i begäran om förhandsavgörande att den hänskjutande domstolen – om den behandling i reklamsyfte som är aktuell i det nationella målet skulle anses vara motiverad enligt artikel 6.1 första stycket b i dataskyddsförordningen – vill få klarhet i huruvida omfattningen av de uppgifter som motparten i det nationella målet har behandlat är förenlig med principen om uppgiftsminimering eller huruvida en sådan omfattande behandling tvärtom strider mot de skyldigheter som åligger den personuppgiftsansvarige enligt artikel 5 i dataskyddsförordningen. Skälen till att svaret på denna fråga är relevant för att avgöra det nationella målet framgår således tillräckligt tydligt av begäran om förhandsavgörande.
41 För det andra, vad gäller argumentet att den hänskjutande domstolen har utgått från en felaktig premiss avseende de faktiska omständigheterna, är det riktigt att den andra tolkningsfrågan vilar på premissen, dels att Meta Platforms Ireland, trots att Maximilian Schrems inte har gett tillstånd att behandla personuppgifter om honom rörande hans aktiviteter utanför Facebook, likväl har behandlat vissa sådana uppgifter, vilka det har erhållit från partnerföretag, på grundval av Maximilian Schrems godkännande av det sociala nätverkets allmänna användarvillkor, bland annat genom Facebooks kakor och sociala insticksmoduler som är integrerade på dessa partnerföretags webbplatser, dels att dessa personuppgifter behandlas av Meta Platforms Ireland utan någon begränsning i tiden och utan att det görs någon åtskillnad beroende på uppgifternas art.
42 Av fast rättspraxis följer att det genom artikel 267 FEUF införs ett förfarande för direkt samarbete mellan EU-domstolen och domstolarna i medlemsstaterna. I detta förfarande, som grundar sig på en tydlig funktionsfördelning mellan de nationella domstolarna och EU-domstolen, är det endast den nationella domstolen som är behörig att bedöma de faktiska omständigheterna i målet. Det ankommer också uteslutande på den nationella domstolen att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken, som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är endast behörig att tolka eller pröva giltigheten av en unionsrättsakt på grundval av de uppgifter om de faktiska omständigheterna som har lämnats av den nationella domstolen (dom av den 25 oktober 2017, Polbud – Wykonawstwo, C‑106/16, EU:C:2017:804, punkt 27 och där angiven rättspraxis).
43 Tolkningsfrågorna ska följaktligen besvaras utifrån denna premiss, som det dock ankommer på den hänskjutande domstolen att kontrollera riktigheten av.
44 Den andra tolkningsfrågan kan således tas upp till prövning.
Prövning i sak
45 För det första erinrar EU-domstolen om att syftet med dataskyddsförordningen, såsom det framgår av artikel 1 samt skälen 1 och 10 i förordningen, bland annat består i att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privat- och familjelivet med avseende på behandling av personuppgifter, vilken är stadfäst i artikel 8.1 i stadgan och i artikel 16.1 FEUF (dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 53 och där angiven rättspraxis).
46 I detta syfte föreskrivs i kapitlen II och III i förordningen principer för behandlingen av personuppgifter respektive rättigheter för registrerade personer, vilka ska iakttas vid all behandling av personuppgifter. Med förbehåll för de undantag som föreskrivs i artikel 23 i förordningen ska all behandling av personuppgifter dels vara förenlig med de principer för sådan behandling som föreskrivs i artikel 5 i samma förordning och uppfylla de laglighetsvillkor som räknas upp i artikel 6 i förordningen, dels vara förenlig med de registrerades rättigheter enligt artiklarna 12–22 i dataskyddsförordningen (dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan), C‑757/22, EU:C:2024:598, punkt 49 och där angiven rättspraxis).
47 Såsom domstolen redan har slagit fast är de principer om behandling av personuppgifter som föreskrivs i artikel 5 i dataskyddsförordningen kumulativa (dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 47).
48 Det ska i detta sammanhang erinras om att personuppgifter enligt artikel 5.1 a i dataskyddsförordningen ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade och att dessa uppgifter enligt artikel 5.1 b ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
49 I artikel 5.1 c i denna förordning, i vilken principen om ”uppgiftsminimering” slås fast, föreskrivs dessutom att personuppgifter ska vara ”adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas” (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor) (C‑252/21, EU:C:2023:537, punkt 109 och där angiven rättspraxis).
50 Denna princip är, såsom domstolen redan har slagit fast, ett uttryck för proportionalitetsprincipen (se, för ett motsvarande synsätt, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 98 och där angiven rättspraxis, och dom av den 30 januari 2024, Direktor na Glavna direktsia ”Natsionalna politsia” pri MVR – Sofia, C‑118/22, EU:C:2024:97, punkt 41).
51 Enligt ansvarsprincipen i artikel 5.2 i dataskyddsförordningen ska den personuppgiftsansvarige kunna visa att personuppgifterna samlas in och behandlas i enlighet med principerna i punkt 1 i den artikeln (se, för ett liknande resonemang, dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 24). Enligt artikel 13.1 c i dataskyddsförordningen ska den personuppgiftsansvarige dessutom, i samband med att personuppgifterna samlas in från den registrerade, informera vederbörande om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 95).
52 För det andra, vad gäller tidsbegränsningen av en sådan behandling av personuppgifter som den som är aktuell i det nationella målet, ska det erinras om att domstolen redan har slagit fast att den personuppgiftsansvarige i enlighet med principen om uppgiftsminimering är skyldig att, mot bakgrund av ändamålet med den planerade behandlingen, begränsa perioden för insamling av de aktuella personuppgifterna till vad som är absolut nödvändigt (dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 79).
53 Ju längre sådana uppgifter lagras, desto större blir nämligen konsekvenserna för den registrerades intressen och privatliv, och desto större blir kraven på att lagringen av denna information är laglig (se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 95).
54 Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
55 Det framgår således klart av ordalydelsen i denna bestämmelse att principen om lagringsminimering kräver att den personuppgiftsansvarige, i enlighet med den ansvarsprincip det erinrats om i punkt 51 ovan, kan visa att personuppgifterna endast lagras under den tid som är nödvändig för att uppnå de ändamål för vilka uppgifterna samlats in eller senare behandlats (se, för ett liknande resonemang, dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 53).
56 Av detta följer, såsom domstolen redan har slagit fast, att även en ursprungligen laglig uppgiftsbehandling med tiden kan komma att strida mot bestämmelserna i dataskyddsförordningen när uppgifterna i fråga inte längre är nödvändiga i förhållande till de ändamål för vilka de samlades in eller senare behandlades och att uppgifterna ska raderas när dessa ändamål har uppnåtts (se, för ett liknande resonemang, dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 54 och där angiven rättspraxis).
57 Såsom generaladvokaten har påpekat i punkt 22 i sitt förslag till avgörande ankommer det under dessa omständigheter på den nationella domstolen att, med beaktande av samtliga relevanta omständigheter och med tillämpning av proportionalitetsprincipen, som det erinras om i artikel 5.1 c i dataskyddsförordningen, bedöma huruvida den personuppgiftsansvariges lagring av personuppgifterna rimligen är motiverad i förhållande till ändamålet att möjliggöra individanpassad reklam.
58 Under alla omständigheter ska en lagring under obegränsad tid av personuppgifter, som rör användarna av en plattform för ett socialt nätverk, för ändamål avseende riktad reklam anses utgöra ett oproportionerligt ingrepp i de rättigheter som dessa användare garanteras genom dataskyddsförordningen.
59 För det tredje, vad gäller den omständigheten att de i det nationella målet aktuella personuppgifterna samlas in, sammanställs, analyseras och behandlas för ändamål avseende riktad reklam, utan att det görs någon åtskillnad beroende på uppgifternas art, ska det erinras om att domstolen redan har slagit fast att den personuppgiftsansvarige, i enlighet med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen, inte generellt och utan åtskillnad kan samla in personuppgifter, och måste avstå från att samla in uppgifter som inte är absolut nödvändiga för ändamålen med behandlingen (dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål), C‑175/20, EU:C:2022:124, punkt 74).
60 Det ska även påpekas att det i artikel 25.2 i förordningen föreskrivs att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Enligt denna bestämmelse gäller denna skyldighet bland annat mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.
61 Det framgår av beslutet om hänskjutande att Meta Platforms Ireland i förevarande fall samlar in personuppgifter om Facebooks användare, däribland Maximilian Schrems, vilka avser dessa användares aktiviteter såväl på som utanför detta sociala nätverk, däribland uppgifter om besök på onlineplattformen och på externa webbsidor och om användning av tredje parts applikationer. Det framgår även att Meta Platforms Ireland följer användarnas navigeringsbeteende på dessa sidor med hjälp av sociala insticksmoduler och pixlar som lagts in på de berörda webbsidorna.
62 Såsom domstolen redan har slagit fast är en sådan behandling synnerligen omfattande, eftersom den avser ett potentiellt obegränsat antal uppgifter och den har en väsentlig inverkan på användaren, vars aktiviteter på internet till stor del, eller nästan helt och hållet, registreras av Meta Platforms Ireland. Detta kan leda till att det uppstår en känsla hos användaren att hans eller hennes privatliv står under ständig övervakning (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 118).
63 Under dessa omständigheter kännetecknas den behandling av uppgifter som är aktuell i det nationella målet av ett allvarligt ingrepp i de registrerades grundläggande rättigheter, i synnerhet deras rätt till respekt för privatlivet och rätt till skydd av personuppgifter, vilka garanteras i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Med förbehåll för de kontroller som det ankommer på den hänskjutande domstolen att göra förefaller detta ingrepp inte rimligen vara motiverat för att uppnå ändamålet att möjliggöra riktad reklam.
64 Under alla omständigheter framstår en odifferentierad användning för reklamändamål av samtliga personuppgifter som innehas av en plattform för ett socialt nätverk, oavsett hur känsliga dessa uppgifter är, inte som ett proportionerligt ingrepp i de rättigheter som användarna av denna plattform garanteras genom dataskyddsförordningen.
65 Av det ovan anförda följer att den andra frågan ska besvaras enligt följande: Artikel 5.1 c i dataskyddsförordningen ska tolkas så, att den princip om ”uppgiftsminimering” som föreskrivs i denna bestämmelse utgör hinder för att samtliga personuppgifter som en personuppgiftsansvarig, såsom en operatör av en plattform för ett socialt onlinenätverk, erhåller från den registrerade eller från tredje parter och som har samlats in såväl på denna plattform som utanför denna, sammanställs, analyseras och behandlas för ändamål avseende riktad reklam, utan begränsning i tiden och utan att det görs någon åtskillnad beroende på uppgifternas art.
Prövning av den fjärde frågan
66 Den hänskjutande domstolen har ställt denna fråga för att få klarhet i huruvida artikel 9.2 e i dataskyddsförordningen ska tolkas så, att den omständigheten att en person har uttalat sig om sin sexuella läggning inom ramen för en paneldiskussion, som är tillgänglig för allmänheten, ger operatören av en plattform för ett socialt onlinenätverk rätt att behandla andra uppgifter om denna persons sexuella läggning, vilka i förekommande fall har erhållits utanför denna plattform genom tredje parters applikationer och webbplatser, för att sammanställa och analysera dessa i syfte att visa individanpassad reklam för denna person.
67 Den hänskjutande domstolen vill närmare bestämt få klarhet i huruvida Maximilian Schrems, på grund av sitt uttalande i samband med en paneldiskussion, inte längre har rätt till det skydd som ges genom artikel 9.1 i dataskyddsförordningen och huruvida Facebook följaktligen hade rätt att behandla andra uppgifter om hans sexuella läggning.
68 Det ska inledningsvis påpekas att den paneldiskussion som den hänskjutande domstolen har hänvisat till, i samband med vilken Maximilian Schrems gjorde ett uttalande om sin sexuella läggning, hölls den 12 februari 2019 och att Meta Platforms Ireland, såsom framgår av beslutet om hänskjutande, vid denna tidpunkt redan behandlade personuppgifter om Maximilian Schrems sexuella läggning, vilket innebär att detta uttalande gjordes efter det att en sådan behandling av uppgifter hade inletts.
69 Härav följer att den hänskjutande domstolens fjärde fråga ska förstås så, att den endast avser eventuell behandling av uppgifter om Maximilian Schrems sexuella läggning som utförts av Meta Platforms Ireland efter den 12 februari 2019. Det ankommer emellertid på den hänskjutande domstolen att kontrollera huruvida sådan behandling faktiskt har ägt rum efter detta datum, i enlighet med den rättspraxis som det erinrats om i punkt 42 ovan.
70 För att besvara denna fråga ska det för det första erinras om att det i skäl 51 i dataskyddsförordningen anges att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. I nämnda skäl preciseras att sådana personuppgifter inte bör behandlas, såvida inte behandling medgetts i särskilda fall som fastställts i nämnda förordning.
71 I artikel 9.1 i dataskyddsförordningen uppställs i enlighet härmed huvudregeln att behandling av de särskilda kategorier av personuppgifter som anges i den bestämmelsen är förbjuden. Det rör sig bland annat om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös övertygelse samt uppgifter om en fysisk persons hälsa, sexualliv eller sexuella läggning.
72 Vid tillämpningen av artikel 9.1 i dataskyddsförordningen ska det, med avseende på behandling av personuppgifter som utförs av en operatör av ett socialt onlinenätverk, kontrolleras huruvida dessa uppgifter gör det möjligt att avslöja upplysningar hänförliga till någon av de kategorier som anges i den bestämmelsen – oavsett om upplysningarna rör användaren eller någon annan fysisk person. Om så är fallet är en sådan behandling av personuppgifter förbjuden, med förbehåll för undantagen i artikel 9.2 i dataskyddsförordningen.
73 Såsom domstolen redan har slagit fast är det principiella förbudet i artikel 9.1 i dataskyddsförordningen oberoende av huruvida den upplysning som avslöjats genom den aktuella behandlingen är korrekt eller inte och huruvida den personuppgiftsansvarige agerar i syfte att erhålla upplysningar som ingår i någon av de särskilda kategorier som avses i denna bestämmelse. Med hänsyn till de betydande risker för registrerades grundläggande fri- och rättigheter som en behandling av personuppgifter hänförliga till någon av de kategorier som avses i artikel 9.1 i dataskyddsförordningen medför, förbjuder den bestämmelsen nämligen behandling av sådana personuppgifter oavsett det angivna syftet (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkterna 69 och 70).
74 Även om behandling av uppgifter om bland annat sexuell läggning i princip är förbjuden enligt artikel 9.1 i dataskyddsförordningen, föreskrivs i artikel 9.2 leden a–j emellertid tio undantag som är oberoende av varandra och som således ska prövas självständigt. Härav följer att den omständigheten att villkoren för att tillämpa ett av de undantag som föreskrivs i artikel 9.2 inte är uppfyllda inte utgör hinder för att en personuppgiftsansvarig kan åberopa ett annat av de undantag som anges i denna bestämmelse (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 47).
75 Vad särskilt gäller det undantag som föreskrivs i artikel 9.2 e i dataskyddsförordningen, erinrar domstolen om att enligt den bestämmelsen är huvudregeln i artikel 9.1 om förbud mot behandling av särskilda kategorier av personuppgifter inte tillämplig när behandlingen rör personuppgifter som ”på ett tydligt sätt har offentliggjorts av den registrerade”.
76 Eftersom det i artikel 9.2 e i dataskyddsförordningen föreskrivs ett undantag från huvudregeln om förbud mot behandling av särskilda kategorier av personuppgifter, ska den tolkas restriktivt (se, för ett liknande synsätt, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 76 och där angiven rättspraxis).
77 Av detta följer att det vid tillämpningen av undantaget i artikel 9.2 e i dataskyddsförordningen ska kontrolleras huruvida den registrerade, uttryckligen och genom en entydig aktiv handling, avsett att göra de aktuella personuppgifterna tillgängliga för allmänheten (dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 77).
78 I förevarande fall framgår det av beslutet om hänskjutande att den paneldiskussion som anordnades i Wien den 12 februari 2019, vid vilken Maximilian Schrems uttalade sig om sin sexuella läggning, var tillgänglig för allmänheten – som kunde erhålla en biljett för att närvara där i mån av lediga platser – och att den streamades. Dessutom publicerades en inspelning av paneldiskussionen i form av en podcast och på kommissionens Youtube-kanal.
79 Under dessa omständigheter kan det, med förbehåll för de kontroller som det ankommer på den nationella domstolen att göra, inte uteslutas att detta uttalande, även om det gjordes inom ramen för en bredare diskussion och endast gjordes för att kritisera Facebooks behandling av personuppgifter, utgör en handling genom vilken den registrerade, med full kännedom om omständigheterna, på ett tydligt sätt har offentliggjort sin sexuella läggning i den mening som avses i artikel 9.2 e i dataskyddsförordningen.
80 För det andra gäller att, även om den omständigheten att den registrerade på ett tydligt sätt har offentliggjort en uppgift om sin sexuella läggning får till följd att denna uppgift kan bli föremål för behandling, med avvikelse från förbudet i artikel 9.1 i dataskyddsförordningen och i enlighet med de krav som följer av andra bestämmelser i denna förordning (se, för ett liknande resonemang, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑77/21, GC:C:2022:805, punkt 24), innebär denna omständighet inte i sig, i motsats till vad Meta Platforms Ireland har gjort gällande, att bolaget får behandla andra personuppgifter som rör denna persons sexuella läggning.
81 För det första skulle det strida mot den restriktiva tolkning som ska göras av artikel 9.2 e i dataskyddsförordningen att anse att samtliga uppgifter om en persons sexuella läggning förlorar det skydd som följer av punkt 1 i denna artikel enbart av det skälet att den registrerade på ett tydligt sätt har offentliggjort en personuppgift som rör hans eller hennes sexuella läggning.
82 För det andra innebär den omständigheten att en person på ett tydligt sätt har offentliggjort en uppgift om sin sexuella läggning inte att denna person kan anses ha lämnat sitt samtycke, i den mening som avses i artikel 9.2 a i dataskyddsförordningen, till att operatören av en plattform för ett socialt onlinenätverk behandlar andra uppgifter om hans sexuella läggning.
83 Av det ovan anförda följer att den fjärde frågan ska besvaras enligt följande: Artikel 9.2 e i dataskyddsförordningen ska tolkas så, att den omständigheten att en person har uttalat sig om sin sexuella läggning inom ramen för en paneldiskussion, som är tillgänglig för allmänheten, inte ger operatören av en plattform för ett socialt onlinenätverk rätt att behandla andra uppgifter om denna persons sexuella läggning, vilka i förekommande fall har erhållits utanför denna plattform genom tredje parters applikationer och webbplatser, för att sammanställa och analysera dessa uppgifter i syfte att visa individanpassad reklam för denna person.
Rättegångskostnader
84 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (fjärde avdelningen) följande:
1) Artikel 5.1 c i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
ska tolkas så,
att den princip om ”uppgiftsminimering” som föreskrivs i denna bestämmelse utgör hinder för att samtliga personuppgifter som en personuppgiftsansvarig, såsom en operatör av en plattform för ett socialt onlinenätverk, erhåller från den registrerade eller från tredje parter och som har samlats in såväl på denna plattform som utanför denna, sammanställs, analyseras och behandlas för ändamål avseende riktad reklam, utan begränsning i tiden och utan att det görs någon åtskillnad beroende på uppgifternas art.
2) Artikel 9.2 e i förordning 2016/679
ska tolkas så,
att den omständigheten att en person har uttalat sig om sin sexuella läggning inom ramen för en paneldiskussion, som är tillgänglig för allmänheten, inte ger operatören av en plattform för ett socialt onlinenätverk rätt att behandla andra uppgifter om denna persons sexuella läggning, vilka i förekommande fall har erhållits utanför denna plattform genom tredje parters applikationer och webbplatser, för att sammanställa och analysera dessa uppgifter i syfte att visa individanpassad reklam för denna person.
Underskrifter
* Rättegångsspråk: tyska.