—

za mr.nexnet GmbH P. Wassermann, odvetnik,

—

za Evropsko komisijo F. Wilman in F. Bulst, agenta,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 6(2) in (5) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514).

2

Ta predlog je bil vložen v okviru spora med družbo mr.nexnet GmbH (v nadaljevanju: nexnet), odstopnikom terjatev, ki se nanašajo na zagotavljanje storitev dostopa do interneta, ki ga zagotavlja družba Verizon Deutschland GmbH (v nadaljevanju: Verizon), in J. Probstom, prejemnikom storitev.

3

Člen 16 Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) določa:

„Nobena oseba, ki odgovarja upravljavcu ali obdelovalcu, vključno s samim obdelovalcem, ki ima dostop do osebnih podatkov, teh ne sme obdelovati brez navodil upravljavca, razen če to od nje zahteva zakon.“

4

Člen 17 Direktive 95/46 določa:

„1.   Države članice določijo, da mora upravljavec izvajati ustrezne tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov pred slučajnim ali nezakonitim uničenjem ali slučajno izgubo, predelavo, nepooblaščenim posredovanjem ali dostopom, predvsem kadar obdelava vključuje prenos podatkov po omrežju, ter proti vsem drugim nezakonitim oblikam obdelave.

Taki ukrepi ob upoštevanju stanja tehnologije in stroškov za njihovo izvajanje zagotavljajo raven zaščite, ustrezno tveganju, ki ga predstavljata obdelava in narava podatkov, ki jih je potrebno varovati.

2.   Države članice določijo, da mora upravljavec, kadar se obdelava izvaja v njegovem imenu, izbrati obdelovalca, ki zagotavlja zadostne garancije glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba opraviti, ter mora zagotoviti skladnost s temi ukrepi.

3.   Izvajanje obdelave prek obdelovalca mora urejati pogodba ali pravni akt, ki obdelovalca zavezuje nasproti upravljavcu in ki določa predvsem, da:

4.   Zaradi dokazovanja morajo biti deli pogodbe ali pravnega akta, ki se nanaša na varstvo podatkov, in zahteve v zvezi z ukrepi iz odstavka 1 v pisni ali drugi enakovredni obliki.“

5

Člen 1(1) in (2) Direktive 2002/58 določa:

„1.   Ta direktiva usklajuje določbe držav članic, ki so potrebne za zagotovitev enakovredne ravni varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij in za zagotovitev prostega pretoka takih podatkov ter elektronske komunikacijske opreme in storitev v [Evropski uniji].

2.   Določbe te direktive podrobno opredeljujejo in dopolnjujejo Direktivo 95/46/ES za namene, navedene v odstavku 1. […]“

6

V skladu s členom 2, drugi odstavek, točka (b), te direktive „podatki o prometu“ pomenijo „katere koli podatke, obdelane za namen prenosa sporočila po elektronskem komunikacijskem omrežju ali zaradi zaračunavanja tega sporočila“.

7

Člen 5(1) Direktive 2002/58 določa:

„Države članice s svojo nacionalno zakonodajo zagotovijo zaupnost sporočil in s tem povezanih podatkov o prometu, ki se pošiljajo prek javnega komunikacijskega omrežja in javno razpoložljivih elektronskih komunikacijskih storitev. […]“

8

Člen 6 te direktive določa:

„1.   Podatki o prometu, ki se nanašajo na naročnike in uporabnike in ki jih je ponudnik javnega komunikacijskega omrežja ali javno razpoložljive elektronske komunikacijske storitve obdelal in shranil, morajo biti izbrisani ali predelani v anonimne, potem ko niso več potrebni za namen prenosa sporočila, kar ne vpliva na odstavke 2, 3 in 5 tega člena […].

2.   Podatki o prometu, potrebni za namene zaračunavanja naročnikom in o plačilih za medsebojne povezave, se lahko obdelujejo. Taka obdelava je dovoljena samo do poteka obdobja, med katerim se lahko obračun zakonito izpodbija ali sprožijo postopki za pridobitev plačila.

[...]

5.   Obdelava podatkov o prometu mora biti v skladu z odstavki 1, 2, 3 in 4 omejena na osebe, ki delujejo pod nadzorom ponudnikov javnih komunikacijskih omrežij in javno razpoložljivih elektronskih komunikacijskih storitev in ki skrbijo za zaračunavanje ali upravljanje prometa, se odzivajo na povpraševanje porabnikov, odkrivajo prevare, tržijo elektronske komunikacijske storitve ali zagotavljajo storitve z dodano vrednostjo, pri čemer mora biti ta obdelava omejena na to, kar je potrebno za namene takšnih dejavnosti.

[...]“

9

Člen 97(1), tretji in četrti stavek, zakona o telekomunikacijah (Telekommunikationsgesetz) z dne 22. junija 2004 (BGBl. 2004 I, str. 1190, v nadaljevanju: TKG) določa:

„Določitev in zaračunavanje plačila izvajalca storitev

[...] Če je izvajalec storitev s tretjo osebo sklenil pogodbo o izterjavi plačila, lahko tretji osebi posreduje podatke [o prometu], če je to potrebno za izterjavo plačila in izstavitev podrobnega računa. Tretja oseba je zavezana k spoštovanju tajnosti telekomunikacijskih sporočil v skladu s členom 88 in spoštovanju varstva podatkov v skladu s členi 93, 95, 96, 97, 99 in 100.

[...]“

10

Po mnenju predložitvenega sodišča pooblastilo za prenos podatkov, določeno v členu 97(1), tretji stavek, TKG, ne zajema le pogodb o izterjavi dolga, ki ostanejo v premoženju njihovega prvotnega imetnika, temveč tudi druge pogodbe o odstopu terjatve, zlasti tiste, ki vključujejo nakup terjatev in po katerih naj bi odstopljeni zahtevek v pravnem in ekonomskem smislu dokončno pripadal prevzemniku.

11

J. Probst je imetnik telefonskega priključka družbe Deutsche Telekom AG, prek katerega tudi svoj računalnik poveže z internetom. V obdobju od 28. junija 2009 do 6. septembra 2009 je za posamezna dostopanja do interneta uporabljal številko družbe Verizon. Plačilo, ki se je za to zahtevalo, je J. Probstu družba Deutsche Telekom AG sprva zaračunala kot „zneske, dolgovane drugim ponudnikom“. Potem ko J. Probst ni izvedel nobenih plačil, je družba nexnet, na katero je bila prenesena ta terjatev na podlagi pogodbe o faktoringu, sklenjene med pravnimi predhodniki družbe Verizon in pravnimi predhodniki družbe nexnet, od njega zahtevala plačilo zaračunanih zneskov, skupaj z različnimi stroški. Na podlagi pogodbe o faktoringu nosi družba nexnet tveganje del credere.

12

Pravni predhodniki družb nexnet in Verizon so med drugim sklenili „dogovor o varstvu podatkov in zaupnosti“, ki določa:

[...]

[...]

13

J. Probst meni, da je pogodba o faktoringu nična, ker med drugim krši zlasti člen 97(1) TKG. Amtsgericht je zavrnilo tožbo za plačilo, ki jo je vložila družba nexnet, medtem ko ji je pritožbeno sodišče v bistvenem ugodilo. Pri Bundesgerichtshof je bila vložena zahteva za revizijo.

14

Predložitveno sodišče meni, da je člen 6(2) in (5) Direktive 2002/58 pomemben za razlago člena 97(1) TKG. Poudarja, da po eni strani „zaračunavanje“, ki je eden izmed ciljev, zaradi katerih se na podlagi člena 6(2) in (5) navedene direktive lahko obdelujejo podatki o prometu, ne vključuje nujno izterjave zaračunanih zneskov. Vendar meni, da ni podan noben objektiven razlog za različno obravnavanje varstva podatkov pri izračunu zneska terjatve in njeni izterjavi. Po drugi strani pa mora biti v skladu s členom 6(5) te direktive obdelava podatkov o prometu omejena na osebe, ki delujejo „pod nadzorom“ ponudnikov javnih komunikacijskih omrežij in javno razpoložljivih elektronskih komunikacijskih storitev (v nadaljevanju: ponudniki storitev). Po mnenju predložitvenega sodišča ta pojem ne določa natančno, ali mora biti ponudniku storitev med celotnim postopkom obdelave podatkov tudi v posameznem primeru pridržana konkretna možnost, da odloči o uporabi podatkov, ali pa zadošča splošno pravilo o spoštovanju tajnosti komunikacijskih sporočil in varstva podatkov, kot je določeno v tu obravnavanih dogovorih, z možnostjo, da se podatki na zahtevo izbrišejo ali vrnejo.

15

V teh okoliščinah je Bundesgerichtshof prekinilo odločanje in Sodišču v predhodno odločanje predložilo to vprašanje:

„Ali člen 6(2) in (5) Direktive 2002/58 dopušča prenos podatkov o prometu od ponudnika storitev do prevzemnika terjatve, ki se nanaša na plačilo za telekomunikacijske storitve, če odstop terjatve, ki se zgodi zaradi izterjave ponovno bremenjene terjatve, ne temelji le na splošni obveznosti glede tajnosti komunikacijskih sporočil in varstva podatkov v zvezi z veljavno zakonsko ureditvijo, ampak tudi na teh pogodbenih pogojih:

16

Predložitveno sodišče z vprašanjem v bistvu sprašuje, ali in pod katerimi pogoji člen 6(2) in (5) Direktive 2002/58 ponudniku storitev dopušča, da podatke prenese prevzemniku terjatev, zadnjemu pa, da te podatke obdela.

17

Po eni strani se v skladu s členom 6(2) Direktive 2002/58 podatki o prometu, potrebni za namene zaračunavanja plačil naročnikom, lahko obdelujejo. Kot poudarjata družba nexnet in Evropska komisija, je na podlagi te določbe te direktive mogoča obdelava podatkov o prometu ne le za namene zaračunavanja, temveč tudi za namene izterjave terjatev. Ta določba se zato, ker dopušča obdelavo podatkov o prometu „do poteka obdobja, med katerim se lahko obračun zakonito izpodbija ali se sprožijo postopki za pridobitev plačila“, ne nanaša samo na obdelavo podatkov v trenutku izstavitve računa, temveč tudi na obdelavo, potrebno za namene izterjave terjatev.

18

Po drugi strani mora biti na podlagi člena 6(5) Direktive 2002/58 obdelava podatkov o prometu, ki je dovoljena na podlagi člena 6(2), „omejena na osebe, ki delujejo pod nadzorom ponudnikov […] storitev in ki skrbijo za zaračunavanje […] prometa“, in „mora biti […] omejena na to, kar je potrebno“ za namene take dejavnosti.

19

Iz razlage teh določb Direktive 2002/58 izhaja, da lahko ponudnik storitev prenese podatke o prometu prevzemniku terjatev za namene njihove izterjave, zadnji pa te podatke lahko obdela pod pogojem, prvič, da deluje „pod nadzorom“ ponudnika storitev, kar zadeva obdelavo teh podatkov, in drugič, da je ta obdelava omejena na to, kar je potrebno za izterjavo teh dolgov.

20

V zvezi s tem je treba ugotoviti, da niti Direktiva 2002/58 niti dokumenti, ki so upoštevni za njeno razlago, kot so pripravljalni akti, ne ponujajo pojasnil glede natančnega pomena besed „pod nadzorom“. Zato je za določitev pomena teh besed treba uporabiti njun običajni pomen v vsakdanjem jeziku, pri čemer je treba v skladu s sodno prakso Sodišča upoštevati kontekst, v katerem sta uporabljeni, in cilje, ki jim sledi ureditev, katere del sta (glej v tem smislu sodbi z dne 10. marca 2005 v zadevi easyCar, C-336/03, ZOdl., str. I-1947, točki 20 in 21, in z dne 5. julija 2012 v zadevi Content Services, C-49/11, točka 32).

21

V zvezi z običajnim pomenom teh izrazov v vsakdanjem jeziku je treba upoštevati, da oseba deluje pod nadzorom druge osebe, če prva deluje po navodilih in pod nadzorom druge.

22

Glede konteksta, v katerega se uvršča člen 6 Direktive 2002/58, je treba spomniti, da člen 5(1) te direktive določa, da morajo države članice zagotoviti zaupnost sporočil, ki se pošiljajo po javnem komunikacijskem omrežju in prek javno razpoložljivih elektronskih komunikacijskih storitev, ter z njimi povezanih podatkov o prometu.

23

Člen 6(2) in (5) Direktive 2002/58 vsebuje izjemo od zahteve glede zaupnosti sporočil, določeno v členu 5(1), s tem da določa obdelavo podatkov o prometu glede na zahteve, vezane na dejavnosti zaračunavanja storitev (glej v tem smislu sodbo z dne 29. januarja 2008 v zadevi Promusicae, C-275/06, ZOdl., str. I-271, točka 48). To določbo te direktive in s tem izraz „pod nadzorom“ je zato treba razlagati ozko (glej sodbo z dne 17. februarja 2011 v zadevi The Number (UK) in Conduit Enterprises, C-16/10, ZOdl., str. I-691, točka 31). Taka razlaga vključuje, da ponudnik storitev razpolaga s pristojnostjo dejanskega nadzora, ki mu omogoča, da preveri, ali odstopnik terjatev spoštuje pogoje, ki so mu naloženi v zvezi z obdelavo podatkov o prometu.

24

To razlago na splošno potrjuje tudi cilj Direktive 2002/58, zlasti pa njen člen 6(5). Kot izhaja iz člena 1(1) in (2) Direktive 2002/58, ta v sektorju elektronskih komunikacij natančneje določa in dopolnjuje Direktivo 95/46, zlasti za to, da se v državah članicah zagotovi enakovredna raven varstva temeljnih pravic in svoboščin ter zlasti pravice do zasebnosti v zvezi z obdelavo osebnih podatkov na področju elektronskih komunikacij, in za zagotovitev prostega pretoka takih podatkov v sektorju elektronskih komunikacij.

25

Člen 6(5) Direktive 2002/58 je treba zato razlagati ob upoštevanju podobnih določb Direktive 95/46. Iz členov 16 in 17 te direktive, ki določata raven nadzora, ki ga mora izvrševati pristojni upravljavec nad obdelovalcem, ki ga zadnji določi, izhaja, da obdelovalec deluje samo po navodilih upravljavca za zavarovanje osebnih podatkov in da ta pristojni obdelovalec skrbi za to, da so spoštovani ukrepi, sprejeti za zaščito osebnih podatkov proti vsem nezakonitim oblikam obdelave.

26

Glede cilja, ki mu sledi zlasti člen 6(5) Direktive 2002/58, je treba ugotoviti, da so na podlagi te določbe za obdelavo podatkov o prometu upravičene nekatere druge osebe kot pa ponudnik storitev – zlasti za namene izterjave terjatev zadnjega – zaradi česar je temu ponudniku omogočeno, da se osredotoči na zagotavljanje elektronskih telekomunikacijskih storitev, vendar naj bi ta določba s tem, da določa, da smejo obdelavo podatkov o prometu izvesti le osebe, ki delujejo „pod nadzorom“ ponudnika storitev, zagotovila, da taka eksternalizacija ne vpliva na raven varstva osebnih podatkov, ki ga je deležen uporabnik.

27

Iz navedenega izhaja, da ne glede na opredelitev pogodbe o odstopu terjatev za namene njihove izterjave odstopnik terjatve, ki se nanaša na plačilo telekomunikacijskih storitev, deluje „pod nadzorom“ ponudnika teh storitev v smislu člena 6(5) Direktive 2002/58, če deluje zgolj po navodilih in pod nadzorom tega ponudnika. Pogodba, sklenjena med ponudnikom storitev, ki odstopi terjatve, in prevzemnikom teh terjatev, mora vsebovati zlasti določbe, ki zagotavljajo zakonito obdelavo podatkov s strani prevzemnika, ponudniku storitev pa omogočijo, da se v vsakem trenutku prepriča, ali prevzemnik te določbe spoštuje.

28

Nacionalno sodišče mora ob upoštevanju vseh okoliščin, ki izhajajo iz spisa, preučiti, ali so v zadevi v glavni stvari izpolnjeni ti pogoji. Dejstvo, da pogodba o faktoringu izkazuje značilnosti, opisane v vprašanju, govori v prid temu, da ta pogodba te pogoje izpolnjuje. Taka pogodba namreč omogoča obdelavo podatkov o prometu s strani prevzemnika terjatve samo v obsegu, ki je potreben za namene izterjave teh terjatev, in tega prevzemnika zavezuje, da podatke nemudoma in nepreklicno izbriše oziroma vrne, takoj ko njihovo poznavanje ni več potrebno za izterjavo zadevnih terjatev. Poleg tega ponudniku storitev omogoča nadzor nad tem, ali prevzemnik, ki je na podlagi zahteve za izbris lahko zavezan, da podatke izbriše oziroma vrne, spoštuje pravila o varstvu in varnosti podatkov.

29

Glede na navedeno je treba na postavljeno vprašanje odgovoriti, da je treba člen 6(2) in (5) Direktive 2002/58 razlagati tako, da ponudnik storitev lahko prenese podatke o prometu prevzemniku njegovih terjatev, ki se nanašajo na telekomunikacijske storitve, da bi te terjatve izterjal, ta prevzemnik pa navedene podatke lahko obdela pod pogojem, prvič, da deluje pod nadzorom ponudnika storitev, kar zadeva obdelavo teh istih podatkov, in drugič, da se ta prevzemnik omeji na obdelavo podatkov o prometu, ki so potrebni za izterjavo prevzetih dolgov.

30

Ne glede na opredelitev pogodbe o odstopu terjatev odstopnik terjatve deluje pod nadzorom ponudnika storitev v smislu člena 6(5) Direktive 2002/58, če deluje zgolj po navodilih in pod nadzorom tega ponudnika. Pogodba, sklenjena med njima, mora vsebovati zlasti določbe, ki zagotavljajo zakonito obdelavo podatkov o prometu s strani prevzemnika, ponudniku storitev pa omogočijo, da se v vsakem trenutku prepriča, ali prevzemnik te določbe spoštuje.

31

Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški, priglašeni za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (tretji senat) razsodilo:

Člen 6(2) in (5) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) je treba razlagati tako, da ponudnik javnih komunikacijskih omrežij in javno razpoložljivih elektronskih komunikacijskih storitev lahko prenese podatke o prometu prevzemniku njegovih terjatev, ki se nanašajo na telekomunikacijske storitve, da bi te terjatve izterjal, ta prevzemnik pa navedene podatke lahko obdela pod pogojem, prvič, da deluje pod nadzorom ponudnika storitev, kar zadeva obdelavo teh istih podatkov, in drugič, da se ta prevzemnik omeji na obdelavo podatkov o prometu, ki so potrebni za izterjavo prevzetih dolgov.

Ne glede na opredelitev pogodbe o odstopu terjatev odstopnik terjatve deluje pod nadzorom ponudnika storitev v smislu člena 6(5) Direktive 2002/58, če deluje zgolj po navodilih in pod nadzorom tega ponudnika. Pogodba, sklenjena med njima, mora vsebovati zlasti določbe, ki zagotavljajo zakonito obdelavo podatkov o prometu s strani prevzemnika, ponudniku storitev pa omogočijo, da se v vsakem trenutku prepriča, ali prevzemnik te določbe spoštuje.