CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA

PEDRA CRUZA VILLALÓNA,

predstavljeni 25. junija 2015(1)

Zadeva C‑230/14

Weltimmo s.r.o.

proti

Nemzeti Adatvédelmi és Információszabadság Hatóság

(Predlog za sprejetje predhodne odločbe,
ki ga je vložilo Kúria (Madžarska))

„Varstvo osebnih podatkov – Direktiva 95/46/ES – Člena 4(1) in 28(1), (3) in (6) – Upravljavec podatkov, ki ima poslovno enoto na ozemlju druge države članice – Določitev prava, ki se uporabi, in pristojnega nadzornega organa – Pooblastila nadzornega organa – Pristojnost za sankcioniranje – Pojem ‚obdelava podatkov‘“

1. Povod za vprašanja za predhodno odločanje, ki jih je postavilo Kúria (madžarsko vrhovno sodišče), je spor med Magyar Adatvédelmi és Információszabadság Hatóság (v nadaljevanju: madžarski organ za varstvo podatkov) in podjetjem, registriranim na Slovaškem, ki upravlja spletno stran za nepremičninsko posredovanje, na kateri se oglašujejo nepremičnine na Madžarskem.

2. Tako predstavljena zadeva ponovno omogoča Sodišču, da se izreče o določitvi prava, ki se uporabi za obdelavo podatkov v skladu s členom 4(1)(a) Direktive 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov,(2) ki ga je že razlagalo v sodbi Google Spain in Google.(3) Poleg tega se v tej zadevi postavljajo nova vprašanja tako o določitvi pristojnega nadzornega organa kot o nacionalnem pravu, ki ga mora navedeni organ uporabiti, ter o njegovih pooblastilih, zlasti v zvezi z njegovo možnostjo, da v zvezi s tem naloži sankcije.

I – Pravni okvir

A – Pravo Unije

3. Direktiva 95/46 določa različna merila za določitev prava, ki se uporabi za obdelavo osebnih podatkov. V njeni uvodni izjavi 18 je navedeno, da „[…] se mora vsaka obdelava osebnih podatkov v Skupnosti izvajati v skladu z zakonodajo ene izmed držav članic, zaradi zagotovitve, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te direktive; […] v tej zvezi [bi morala] obdelavo, ki se izvaja pod odgovornostjo upravljavca, ustanovljenega v določeni državi članici, […] urejati zakonodaja te države.“

4. V uvodni izjavi 19 Direktive 95/46 pa je poudarjeno, da „[…] ustanovitev [poslovne enote] na ozemlju države članice pomeni učinkovito in dejansko izvajanje dejavnosti prek [stalnih poslovnih enot]; ker pravna oblika take ustanovitve [poslovne enote], bodisi da je preprosto izpostava [podružnica] bodisi podružnica [hčerinska družba], ki je pravna oseba, v tem pogledu ni odločilen dejavnik […].“ V tej isti uvodni izjavi je navedeno, da „[…] kadar je ustanovljen en sam upravljavec na ozemlju več držav članic predvsem prek podružnic [hčerinskih družb], mora zato da bi preprečil vsakršno izogibanje nacionalnim predpisom, zagotoviti, da vsaka izmed ustanovitev [poslovnih enot] izpolnjuje obveznosti, ki jih nalaga nacionalna zakonodaja na področju njenih dejavnosti.“

5. Člen 4(1) Direktive 95/46, katerega točka (a) je pomembna za ta spor, je pravilo o zakonodaji, ki se uporabi za obdelavo podatkov, in določa:

„1. Vsaka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme v skladu s to direktivo, kadar:

a) se obdelava izvaja v okviru dejavnosti ustanovitve [poslovne enote] upravljavca na ozemlju države članice; kadar je isti upravljavec ustanovljen na ozemlju več držav članic, mora sprejeti potrebne ukrepe za zagotovitev, da vsaka od teh ustanovitev [poslovnih enot] izpolnjuje obveznosti, ki jih določa veljavno nacionalno pravo;

[…].“

6. Člen 28, ki je določba o nadzornih organih na področju varstva podatkov, v odstavkih 1, 3, 4 in 6, določa:

„1. Vsaka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo.

Ti organi pri izvajanju nalog, ki so jim zaupane, delujejo popolnoma samostojno.

[…]

3. Vsakemu organu se podeli predvsem:

– preiskovalna pooblastila, kakršna so pooblastila za dostop do podatkov, ki sestavljajo vsebino postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog,

– učinkovita pooblastila za posredovanje, kakšna so npr. dajanje mnenj pred izvajanjem postopkov obdelave v skladu s členom 20 in zagotavljanje ustrezne objave takih mnenj, odrejanje blokiranja, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca ali napotitev zadeve v nacionalne parlamente ali druge politične institucije,

– pooblastila za sodelovanje v sodnih postopkih, kadar so kršene nacionalne določbe, sprejete v skladu s to direktivo, ali za seznanitev sodnih organov s temi kršitvami.

Zoper odločitve nadzornega organa je zagotovljeno sodno pravno sredstvo.

4. Vsak nadzorni organ obravnava zahtevke, ki jih je vložila katera koli oseba ali združenje, ki predstavlja to osebo, v zvezi z varstvom svojih pravic in svoboščin glede obdelave osebnih podatkov. Zadevna oseba je obveščena o odločitvah o zahtevkih.

Vsak nadzorni organ obravnava predvsem zahtevke za preverjanje zakonitosti obdelave podatkov, ki jih vloži katera koli oseba, kadar se uporabljajo nacionalne določbe, sprejete v skladu s členom 13 te direktive. Oseba mora biti v vsakem primeru obveščena, da je bilo opravljeno preverjanje.

[…]

6. Vsak nadzorni organ je pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo. Od vsakega nadzornega organa je mogoče zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice.

Nadzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij.

[…]“

B – Madžarsko pravo

7. Zakon CXII iz leta 2011 o informacijskem samoodločanju in svobodi obveščanja (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, v nadaljevanju: informacijski zakon) je nacionalni predpis, s katerim je bila prenesena Direktiva 95/46.

8. Člen 2 informacijskega zakona določa:

„1. Področje uporabe tega zakona zajema vsakršno obdelavo in procesiranje podatkov, ki se na ozemlju Madžarske opravi v zvezi s podatki fizičnih oseb in podatki v javnem interesu ali podatki, dostopnimi iz razlogov javnega interesa.

2. Ta zakon se uporabi tako za obdelavo kot za procesiranje podatkov, ki se opravita bodisi prek popolnoma ali delno avtomatskih sredstev bodisi ročno.

3. Določbe tega zakona se uporabijo, kadar upravljavec podatkov, ki osebne podatke obdeluje zunaj ozemlja Evropske unije, procesiranje podatkov zaupa osebi, zadolženi za procesiranje podatkov, ki ima na ozemlju Madžarske sedež, poslovno enoto, poslovalnico, zasebno ali stalno prebivališče, ali uporablja kakšno opremo, ki je na tem ozemlju, razen če se taka oprema uporablja samo za prehod prek ozemlja Evropske unije. Ta upravljavec določi predstavnika na ozemlju Madžarske.“

9. Člen 3 informacijskega zakona pa določa, da za namene uporabe tega zakona:

„9. upravljavec podatkov (‚adatkezelő‘): pomeni fizično ali pravno osebo ali subjekt brez pravne osebnosti, ki sam ali skupaj z drugimi določa cilje obdelave podatkov, sprejema odločitve v zvezi z navedeno obdelavo (vključno glede opreme, ki se za to obdelavo uporablja) in jih izvršuje sam ali preko osebe, zadolžene za procesiranje podatkov (‚adatfeldolgozó‘);

10. obdelava podatkov (‚adatkezelés‘): pomeni kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi s podatki, zlasti zbiranje, zajetje, beleženje, urejanje, shranjevanje, prilagajanje, uporaba, iskanje, posredovanje s prenosom, objava, prilagajanje ali kombiniranje, blokiranje, izbris ali uničenje, in tudi preprečevanje druge uporabe podatkov, snemanje fotografij, zvokov ali slik, ali beleženja fizičnih značilnosti, ki služijo identifikaciji oseb (na primer, prstni odtisi ali odtis dlani, vzorci DNA ali šarenica);

11. prenos podatkov: pomeni dajanje podatkov na voljo tretji osebi;

[…]

17. procesiranje podatkov (‚adatfeldolgozás‘): pomeni izvajanje tehničnih nalog v zvezi s postopki obdelave podatkov, ne glede na način ali opremo, ki se uporabi za izvajanje postopkov, ter kraj, v katerem se izvajajo, kadar se tehnične naloge izvajajo na podatkih;

18. oseba, zadolžena za procesiranje podatkov (‚adatfeldolgozó‘): pomeni fizično ali pravno osebo ali subjekt brez pravne osebnosti, ki na podlagi pogodbe – vključno s pogodbami, h katerim sklenitvi zavezuje zakon – izvaja procesiranje podatkov;

[…]“.

II – Dejansko stanje in postopek v glavni stvari

10. Ta predlog za sprejetje predhodne odločbe je bil predložen v okviru kasacijske pritožbe, vložene pri Kúria zoper sodbo Fővárosi Közigazgatási és Munkaügyi Bíróság (upravno in socialno sodišče v glavnem mestu) v upravnem sporu v zvezi z varstvom podatkov med družbo Weltimmo s.r.o. (v nadaljevanju: Weltimmo) in madžarskim organom za varstvo podatkov.

11. Weltimmo je družba, ki upravlja spletno stran za nepremičninsko posredovanje, s sedežem na Slovaškem. Njena edina dejavnost je upravljanje navedene spletne strani, ki objavlja oglase za nepremičnine na Madžarskem. Navedeni oglasi so za oglaševalce brezplačni prvo leto, po izteku katerega postane storitev plačljiva. Številni oglaševalci so prek elektronske pošte zaprosili, naj se njihovi oglasi ter osebni podatki izbrišejo, ker po prvem mesecu niso želeli preiti na plačljivo storitev. Vendar družba Weltimmo teh zahtev ni upoštevala ter je svoje storitve nato zaračunala. Ker navedeni računi niso bili plačani, je družba Weltimmo njihove osebne podatke posredovala podjetjem za izterjavo dolgov.

12. Madžarski organ za varstvo podatkov se je na podlagi pritožb, ki so jih vložili oglaševalci, razglasil za pristojnega in ugotovil, da se za zadevo uporabi nacionalni zakon (na podlagi člena 3(10) informacijskega zakona zbiranje podatkov pomeni obdelavo podatkov) ter naložil kazen v višini deset milijonov madžarskih forintov (HUF). Družba Weltimmo je navedeno odločbo izpodbijala pred upravnim in socialnim sodiščem glavnega mesta, ki je – čeprav ni podvomilo o pristojnosti organa za varstvo podatkov niti o zakonu, ki se uporabi – upravno odločbo razglasilo za nično, ker nekatera zatrjevana dejstva niso bila dovolj razjasnjena.

13. Družba Weltimmo v kasacijski pritožbi med drugim predlaga, naj se ugotovi, da nadaljnja razjasnitev dejstev ni potrebna, saj organ za varstvo podatkov v skladu s členom 4(1)(a) Direktive 95/46 ni pristojen za vodenje postopka in uporabo madžarskega prava za ponudnika storitev s sedežem v drugi državi članici, pri čemer je v zvezi s tem zlasti opozorila, da bi moral navedeni organ v skladu s členom 28(6) Direktive 95/46 primerljivi slovaški organ pozvati, naj ukrepa proti tožeči stranki.

14. Da bi utemeljil svojo pristojnost in uporabljivost madžarske zakonodaje, je madžarski organ za varstvo podatkov v postopku v glavni stvari trdil, da ima družba Weltimmo „madžarsko kontaktno osebo“ – enega od njenih družbenikov, ki je madžarski državljan – ki jo je zastopal tako v upravnem postopku kot v nacionalnem sodnem postopku. Prav tako navaja, da imajo lastniki družbe Weltimmo stalno prebivališče na Madžarskem. V vsakem primeru ta organ meni, da člen 28(6) Direktive 95/46 določa pristojnost v njegovo korist ne glede na pravo, ki se uporabi.

III – Vprašanja za predhodno odločanje in postopek pred Sodiščem

15. V tem okviru in ker je menilo, da upoštevne določbe Direktive 95/46 niso dovolj jasne, je Kúria s svojo odločbo z dne 22. aprila 2014, ki je v sodno tajništvo Sodišča prispela 12. maja 2014, Sodišču v predhodno odločanje predložilo ta vprašanja:

„1. Ali je treba člen 28(1) Direktive […] 95/46 […] razlagati tako, da lahko nacionalna zakonodaja države članice na njenem ozemlju velja za upravljavca podatkov, ki je ustanovljen izključno v drugi državi članici in upravlja spletno stran za posredovanje pri prodaji nepremičnin in med drugim oglašuje nepremičnine, ki so na ozemlju prvonavedene države članice, lastniki nepremičnin pa so svoje osebne podatke prenesli na sredstvo (strežnik) za shranjevanje in procesiranje podatkov, ki je v lasti upravljavca spletne strani, ki je v drugi državi članici?

2. Ali je treba člen 4(1)(a) Direktive o varstvu podatkov glede na uvodne izjave od 18 do 20 ter člena 1(2) in 28(1) te direktive razlagati tako, da [madžarski organ za varstvo podatkov] kot nacionalno pravo ne more uporabiti madžarskega zakona o varstvu podatkov za upravljavca spletne strani za posredovanje pri prodaji nepremičnin, ki je ustanovljen izključno v drugi državi članici, niti tedaj, kadar ta med drugim oglašuje madžarske nepremičnine, katerih lastniki so – najverjetneje z ozemlja Madžarske – podatke v zvezi s svojimi nepremičninami prenesli na sredstvo (strežnik) za shranjevanje in procesiranje podatkov, ki je v lasti tega upravljavca spletne strani, ki je v drugi državi članici?

3. Ali je za razlago pomembno, da se storitev upravljavca podatkov, ki upravlja spletno stran, opravlja za ozemlje druge države članice?

4. Ali je za razlago pomembno, da so bili podatki v zvezi z nepremičninami, ki so na ozemlju druge države članice, in osebni podatki lastnikov dejansko naloženi z ozemlja te druge države članice?

5. Ali je za razlago pomembno, da so osebni podatki v zvezi z navedenimi nepremičninami osebni podatki državljanov druge države članice?

6. Ali je za razlago pomembno, da imajo lastniki podjetja, ki ima sedež na Slovaškem, stalno prebivališče na Madžarskem?

7. Ali je treba – če iz odgovorov na zgornja vprašanja izhaja, da madžarski organ za varstvo podatkov lahko vodi postopek, vendar ne more uporabiti nacionalnega prava, temveč mora uporabiti pravo države članice, v kateri ima zadevno podjetje sedež – člen 28(6) Direktive o varstvu podatkov razlagati tako, da lahko madžarski organ za varstvo podatkov v skladu z zakonodajo države članice, v kateri ima zadevno podjetje sedež, izvaja le pooblastila, določena v členu 28(3) Direktive o varstvu podatkov, in da torej ni pooblaščen za naložitev globe?

8. Ali je mogoče za pojem ‚adatfeldolgozás‘ (procesiranje podatkov), uporabljen v členu 4(1)(a) in členu 28(6) [madžarske različice] Direktive o varstvu podatkov, šteti, da je popolnoma enak pojmu ‚adatkezelés‘ (obdelava podatkov), ki je uporabljen v terminologiji navedene direktive?“

16. Madžarska in slovaška vlada ter vlada Združenega kraljestva, madžarski organ za varstvo podatkov ter Evropska komisija so predložili pisna stališča. Madžarska, slovaška in poljska vlada, madžarski organ za varstvo podatkov ter Evropska komisija so se udeležili obravnave 12. marca 2015.

IV – Analiza

17. Različna vprašanja za predhodno odločanje, ki jih je zastavilo Kúria, se nanašajo na dve vprašanji, ki si, čeprav sta predstavljeni kot medsebojno povezani, zaslužita ločeno obravnavo – kakor se tudi odraža v pisnih in ustnih stališčih, predstavljenih v postopku pred Sodiščem – namreč vprašanje zakona, ki se uporabi za obdelavo podatkov, in vprašanje določitve pristojnega nadzornega organa. Zato bom svoje razlogovanje v bistvu razdelil na dva dela. Najprej bom obravnaval vprašanje zakona, ki se uporabi za obdelavo podatkov, in nato vprašanje „poslovne enote“, pri čemer bom skupaj preučil prvo, drugo, tretje, četrto, peto in šesto vprašanje. Nato bom preučil vprašanje določitve pristojnega nadzornega organa in njegovih pristojnosti, pri čemer bom prav tako analiziral vprašanje morebitnega ločevanja pristojnega nadzornega organa in zakona, ki se uporabi (sedmo vprašanje). Nazadnje se bom lotil terminološkega vprašanja, ki je bilo zastavljeno v osmem vprašanju za predhodno odločanje.

A – Zakon, ki se uporabi za obdelavo podatkov in pojem poslovne enote (prvo, drugo, tretje, četrto, peto in šesto vprašanje za predhodno odločanje)

18. S svojimi vprašanji za predhodno odločanje, od prvega do šestega, ki jih je treba obravnavati skupaj, želi Kúria v bistvu izvedeti, ali je mogoče člena 4(1)(a) in 28(1) Direktive 95/46 razlagati tako, da okoliščine, kot so te v sporu o glavni stvari, omogočajo, da se uporabi madžarski zakon o varstvu podatkov, in sicer, da bi madžarski organ za varstvo podatkov uporabil navedeni zakon za upravljavca spletne strani, ki ima poslovno enoto izključno v drugi državi članici. Kúria v zvezi s tem poleg tega sprašuje o učinku vrste posebnih dejavnikov, kot je ta, da se storitve navedenega podjetja nadzirajo z ozemlja druge države članice, od koder so bili podatki v zvezi z nepremičninami naloženi, ali pa državljanstvo zadevnih oseb ali dejstvo, da imajo lastniki podjetja stalno prebivališče na Madžarskem.

19. V svojih prvih vprašanjih se je Kúria sklicevalo tako na člen 28(1) kot na člen 4(1)(a) Direktive. Vendar menim, da je za odgovor na njegova vprašanja popolnoma mogoče opustiti analizo področja uporabe prve od navedenih določb. Člen 28(1) namreč zgolj določa, da „[v]saka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo“. Menim, da ta določba ni odločilna za to, da se ugotovi, kateri zakon se uporabi. Prvič, in z vidika sistematičnosti, je člen 28 umeščen v poglavje VI Direktive, katerega namen je ureditev nadzornih organov ter delovne skupine za varstvo posameznikov pri obdelavi osebnih podatkov, in se ne nanaša na vprašanje zakona, ki se uporabi. Drugič, besedilo člena 28(1) Direktive ne ponuja nobenega dodatnega merila za določitev zakona, ki se uporabi za obdelavo podatkov. Če povzamem, navedena določba ne vsebuje nobenega elementa, katerega razlaga bi lahko pripeljala do drugačnega odgovora na vprašanje določitve zakona, ki se uporabi, ki izhaja iz uporabe meril, določenih v členu 4 navedene direktive, ki je določba, ki posebej ureja vprašanje zakona, ki se uporabi.

20. Če se zdaj osredotoči na člen 4(1)(a) Direktive, je treba začeti z ugotovitvijo, da je tako v stališčih, predstavljenih na obravnavi, kot tudi v stališčih, predloženih med pisnim postopkom, izpostavljena pomembnost te določbe za odgovor na vprašanja v zvezi z zakonom, ki se uporabi, ter posebna pomembnost določitve kraja poslovne enote družbe Weltimmo.

21. Vprašanje zakona, ki se uporabi v primerih čezmejne obdelave podatkov, je na mednarodnem področju sporno že desetletja.(4) Člen 4 Direktive, katerega namen je določiti uporabo nacionalne zakonodaje, je postal prva določba, ki je skušala uvesti pravilo o določitvi zakonodaje, ki se uporabi v zvezi s tem.(5) Navedena določba določa različna merila za ugotovitev, ali je mogoče uporabiti nacionalno zakonodajo, ki je bila sprejeta za prenos Direktive, in tako posredno določiti (prek določitve uporabljivosti navedenih nacionalnih določb) ozemeljsko področje uporabe Direktive.

22. Člen 4(1)(a) Direktive 95/46, ki določa, da „[v]saka država članica za obdelavo osebnih podatkov uporablja nacionalne predpise, ki jih sprejme^[(6)^] v skladu s to direktivo, kadar: (a) se obdelava izvaja v okviru dejavnosti ustanovitve [poslovne enote] upravljavca na ozemlju države članice“ ima torej poseben pomen v primerih, v katerih je vprašanje zakona, ki se uporabi med državami članicami Unije, pomembno.

23. Člen 4(1)(a) ima torej dvojno funkcijo. Na eni strani omogoča uporabo prava Unije prek prava ene od njenih držav članic, če se obdelava izvaja izključno „v okviru“ dejavnosti poslovne enote na ozemlju teh držav članic in to čeprav se obdelava podatkov „kot taka“ izvaja v tretji državi (za kar je šlo v zadevi Google Spain in Google).(7) Na drugi strani navedena določba deluje kot pravilo, ki določa zakon, ki se uporabi med državami članicami (kar je vprašanje, o katerem se tu razpravlja). V tem drugem primeru člen 4(1)(a) Direktive pomeni določbo, ki opredeljuje zakon, ki se uporabi kot kolizijsko pravilo med zakonodajami različnih držav članic.

24. V zvezi s tem je treba poudariti, da je nacionalno sodišče svoja vprašanja oblikovalo v zvezi z upravljavcem spletne strani, namenjene nepremičninskim oglasom, ki ima poslovno enoto izključno v drugi državi članici – trditev, ki jo madžarski nadzorni organ izpodbija. Združeno kraljestvo meni, da je očitno, da mora biti zakon, ki se uporabi v tej zadevi, zakon države članice, v kateri je poslovna enota, v tem primeru Slovaška, kar pomeni, da madžarski organ nima možnosti uporabiti pravil svojega nacionalnega prava. Komisija podobno poudarja okoliščino, da je – ne glede na to, da bi bilo mogoče sprejeti uporabo madžarskega zakona, če se ugotovi, da ima tožeča stranka poslovno enoto tudi na madžarskem ozemlju – Kúria navedlo, da ima podjetje v tem primeru poslovno enoto izključno v drugi državi članici.

25. V zvezi s tem in poleg dejanske ocene v besedilu vprašanj za predhodno odločanje v zvezi z dejanskim krajem poslovne enote, je mogoče iz tretjega, četrtega, petega in šestega vprašanja, ki jih je predložilo Kúria, razbrati neko negotovost predložitvenega sodišča v zvezi s pojmom poslovne enote v smislu Direktive kot pojmom, ki morda niti ni čisto formalen. Zato menim, da je treba za koristen odgovor na prvo, drugo, tretje, četrto, peto in šesto vprašanje določiti merila, na podlagi katerih bi bilo mogoče ugotoviti, ali gre za obdelavo podatkov, ki se izvaja „v okviru dejavnosti ustanovitve [poslovne enote] upravljavca“ na madžarskem ozemlju v smislu člena 4(1)(a) Direktive.

26. Da bi se torej v tej zadevi ugotovilo, ali je zakonodaja, ki se uporabi, madžarska zakonodaja, ali pa je to slovaška zakonodaja, bi bilo treba opraviti preizkus v dveh fazah na podlagi metode, ki je bila uporabljena v sodbi Google Spain in Google.(8) Tako bi bilo najprej treba razjasniti, ali je družba Weltimmo imela poslovno enoto na ozemlju Madžarske, in nato, ali je prišlo do obdelave podatkov v okviru dejavnosti te poslovne enote. Vendarle je treba navesti, da v okoliščinah te zadeve in drugače od okoliščin, na katerih je temeljila zadeva Google Spain in Google, vprašanje, ali je do obdelave podatkov prišlo v „okviru dejavnosti ustanovitve [poslovne enote]“, ni sporno. Odločilno vprašanje je pravzaprav vprašanje, ali obstaja poslovna enota na Madžarskem in/ali na Slovaškem ali ne. Zato se bom v svoji analizi osredotočil predvsem na to prvo fazo analize.

27. Glede tega vprašanja je madžarska vlada v svojih pisnih stališčih navedla, da različne jezikovne različice te določbe podpirajo razlago pojma poslovne enote, v okviru katere se ni mogoče zgolj sklicevati na poslovno enoto v smislu prava družb. Slovaška vlada, ki se prav tako sklicuje na neformalistično razumevanje pojma poslovne enote, poudarja, da se je v tem smislu pomembno opreti na sodno prakso Sodišča v zvezi s svobodo ustanavljanja. Madžarski organ za varstvo podatkov prav tako zagovarja tako razumevanje pojma poslovne enote, kjer ne bi bila odločilna pravna oblika, ter navaja, da gre za poslovno enoto lahko že v primeru zastopnika družbe Weltimmo na Madžarskem, ki je v tem primeru g. Benkö. Ta oseba je namreč zastopala navedeno podjetje v upravnem postopku in sodnem postopku na prvi stopnji, je bila v stiku z zadevnimi osebami, ki so vložile pritožbe, in je vpisana v slovaški register družb z naslovom na Madžarskem. Poleg tega je organ na obravnavi poudaril, da ima družba Weltimmo na Madžarskem poštni predal za upravljanje tekočih poslov in da mu je slovaški organ za varstvo podatkov na podlagi neformalnega posvetovanja potrdil, da podjetje dejansko ne opravlja dejavnosti na Slovaškem. Samo poljska vlada je v svojih stališčih, predstavljenih na obravnavi, vztrajala pri tem, da je treba upoštevati izključno register družb v državi članici kot edini objektivni in preverljiv dejavnik.

28. Glede na navedeno se je treba sklicevati na uvodno izjavo 19 Direktive 95/46, ki je temeljni razlagalni element za določitev vsebine pojma poslovne enote v smislu te direktive. Navedena uvodna izjava namreč kaže na prožno razumevanje pojma, ki se odvrača od formalističnega pristopa, na podlagi katerega bi se štelo, da ima podjetje poslovno enoto samo v kraju, kjer je registrirano. Tako navedena uvodna izjava najprej vsebuje merilo učinkovitosti in element stalnosti in navaja, da „ustanovitev [poslovna enota] na ozemlju države članice pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih režimov […].“ Nato nakazuje na znatno prožnost, ko določi, da „pravna oblika take ustanovitve [poslovne enote], bodisi da je preprosto izpostava [podružnica] bodisi podružnica [hčerinska družba], ki je pravna oseba, v tem pogledu ni odločilen dejavnik“.

29. To razumevanje pojma poslovne enote je v skladu z razlago navedenega pojma v sodni praksi Sodišča na drugih področjih prava Unije. Konkretneje, v skladu z ustaljeno sodno prakso „pomeni pojem ustanavljanja v smislu določb Pogodbe o svobodi ustanavljanja dejansko opravljanje gospodarske dejavnosti za nedoločen čas prek stalne poslovne enote v navedeni državi“,(9) kar „predpostavlja resnično namestitev zadevne družbe v državi članici gostiteljici in opravljanje dejanske gospodarske dejavnosti v tej državi“.(10)

30. Po drugi strani se Mnenje 8/2010 Delovne skupine za varstvo podatkov iz člena 29 (v nadaljevanju: Delovna skupina iz člena 29)(11) nanaša na razlago pojma poslovne enote kot navezne okoliščine za davčne namene na področju DDV.(12) Sodna praksa Sodišča na tem področju je še posebej zanimiva – izpeljuje pojem poslovne enote kot navezno okoliščino za določitev, katera nacionalna davčna zakonodaja velja – in se poglobi v pojem stalne poslovne enote, ki „[…] mora imeti […] zadostno stopnjo stalnosti in ustrezno strukturo v smislu človeških in tehničnih virov, ki ji omogočajo prejemanje in uporabljanje storitev, ki se opravljajo za lastne potrebe te poslovne enote“.(13) Poleg tega pojem poslovne enote tako na področju Rimske konvencije(14) kot Bruseljske konvencije(15) prav tako zagovarja neformalistično razumevanje.(16)

31. Ne glede na očitno različnost kontekstov in ciljev področij, na katera se nanaša sodna praksa Sodišča v zadevah, ki sem jih ravnokar navedel, in obravnavane zadeve, je vsekakor pomembno, da pravo Unije v različnih kontekstih vztraja pri razumevanju pojma poslovne enote, ki temelji na dejanskem opravljanju gospodarskih dejavnosti in neki stopnji stalnosti, kar torej ustreza navedbam, ki se odražajo tudi v uvodni izjavi 19 Direktive 95/46.

32. Ob upoštevanju posebnega cilja Direktive 95/46, kot je določen v njenem členu 1(1), in sicer „[varovanje] temeljn[ih] pravic […] in svoboščin […] fizičnih oseb in predvsem njihov[e] pravic[e] do zasebnosti pri obdelavi osebnih podatkov“, menim, da je treba razložiti tako stopnjo stalnosti poslovne enote kot tudi dejanskost opravljanja dejavnosti, pri tem pa upoštevati posebno naravo obravnavanih gospodarskih dejavnosti in storitev.

33. Kot navajata madžarski organ za varstvo podatkov in slovaška vlada in upoštevajoč tudi merila, ki jih je predlagala Delovna skupina iz člena 29,(17) bi zadoščal samo en zastopnik, da bi se štelo, da gre za stalno poslovno enoto, če ta deluje z zadostno stopnjo stalnosti s sredstvi, ki so potrebna za opravljanje konkretnih storitev, za katere gre v zadevni državi članici.

34. Kot je namreč navedel generalni pravobranilec N. Jääskinen v sklepnih predlogih, predstavljenih v zadevi Google Spain in Google, je treba pri presoji pogojev iz člena 4 Direktive 95/46 upoštevati poslovni model zadevnega akterja.(18) Zato je treba tukaj presojati posebnost podjetij, ki delujejo izključno prek interneta, katerih poslovni model relativizira pojem fizične stalne poslovne enote, kar pogojuje tudi poudarek tako na človeških kot materialnih virih. V nekih okoliščinah lahko namreč zastopnik, ki je stalno prisoten in ki ima pri sebi zgolj prenosni računalnik, pomeni zadostno strukturo, da lahko opravlja dejansko, resnično in dovolj stalno dejavnost. Glede na te premisleke je treba pri presoji človeških in tehničnih virov skrbno preučiti posebnosti podjetij, ki ponujajo storitve prek interneta, pri tem pa pozornost nameniti posebnostim vsakega konkretnega primera.

35. Posebnost gospodarskih dejavnosti, ki se opravljajo prek interneta, se je namreč že upoštevala pri določanju vsebine pojma poslovne enote v drugih instrumentih prava Unije. Konkretneje, Direktiva o elektronskem poslovanju(19) navaja v uvodni izjavi 19, da „[…] sedež podjetja, ki opravlja storitve po spletni strani, ni kraj, na katerem je nameščena tehnologija v podporo njegove spletne strani, ali kraj, na katerem je dosegljiva njegova spletna stran, temveč kraj, kjer podjetje izvaja gospodarsko dejavnost.“ Delovna skupina iz člena 29 je štela to opredelitev za pomembno pri razlagi člena 4 Direktive 95/46.(20)

36. Ob upoštevanju teh premislekov je mogoče sklepati, ne da bi se razpravljalo o tem, da je družba Weltimmo družba, ki je formalno registrirana na Slovaškem, da ni mogoče izključiti, da navedena družba dejansko in resnično opravlja svojo dejavnosti na ozemlju druge države, v obravnavanem primeru, na Madžarskem, prek stalne poslovne enote – ki jo lahko predstavlja samo en zastopnik. Če bi šlo za to, bi imela družba Weltimmo poslovno enoto na Madžarskem v smislu člena 4(1)(a) Direktive 95/46.

37. Različni dodatni dejavniki, ki jih je v svojih vprašanjih za predhodno odločanje navedlo Kúria, to je kraj, od koder so bili podatki naloženi, država članica, kamor so bile usmerjene te storitve, državljanstvo zadevnih oseb ali kraj stalnega prebivališča lastnikov podjetja, s tega vidika nimajo neposrednega in odločilnega vpliva na določitev prava, ki se uporabi.(21) Navedeni dejavniki se namreč v Direktivi ne pojavijo kot pomembna merila, na podlagi katerih bi se lahko oddaljili od merila, določenega v členu 4(1)(a).(22)

38. Ne glede na zgoraj navedeno bi bili lahko nekateri od teh dejavnikov v nekih okoliščinah indici, da gre za resnično in dejansko dejavnost – za namene določitve kraja poslovne enote – in zlasti za določitev, ali je do obdelave podatkov prišlo v okviru dejavnosti navedene poslovne enote.

39. Zlasti v zvezi z drugim od dejavnikov – da se obdelava podatkov izvaja v okviru dejavnosti poslovne enote v državi članici – se je treba opreti na razlago, ki je bila podana v sodbi Google Spain in Google.(23) V skladu s to razlago člen 4(1)(a) Direktive 95/46 „ne zahteva, naj obdelavo zadevnih osebnih podatkov izvede sama zadevna poslovna enota, ampak zgolj, da se izvaja v ‚okviru dejavnosti‘, ki jo opravlja“.(24) Poleg tega Sodišče nadaljuje, da glede na cilj „tega izraza ni mogoče razlagati ozko“.(25)

40. Uporaba tega drugega merila je še posebej pomembna v primeru, če predložitveno sodišče ugotovi, da ima družba Weltimmo na podlagi zgoraj navedenih meril poslovni enoti v obeh zadevnih državah članicah. V tem primeru in kot v svojih pisnih stališčih poudarjata slovaška vlada in Komisija, bi bilo treba upoštevati ravno dejavnosti, v okviru katerih je prišlo do obdelave, in zlasti njihovo stopnjo povezanosti s poslovno enoto.(26) Podobno je Delovna skupina iz člena 29 navedla s tega vidika druge odločilne dejavnike v zvezi z brskalniki, pri čemer bi lahko bili koristni za določitev, ali se dejavnosti odvijajo v okviru poslovne enote: dejstvo, da je poslovna enota odgovorna za razmerja z uporabniki; da sodeluje pri oglaševanju, ki cilja na prebivalce te države; ali da odgovarja pred pristojnimi organi države članice v zvezi s podatki uporabnikov.(27)

41. Nazadnje, da bi se v obravnavani zadevi določilo, ali je madžarsko pravo mogoče uporabiti za dejavnosti družbe Weltimmo na Madžarskem, bi bilo treba ugotoviti, ali ima družba Weltimmo poslovno enoto v navedeni državi članici, v okviru dejavnosti katere je bila izvedena sporna obdelava podatkov. Zato bi bilo treba ugotoviti, ali ima zastopnik, ki je omenjen v predložitveni odločbi, stalno enoto, ne glede na njeno pravno obliko, prek katere dejansko in resnično opravlja dejavnost, v okviru katere je prišlo do sporne obdelave podatkov.

42. Če sklenem, menim, da je treba na prvo, drugo, tretje, četrto, peto in šesto vprašanje Kúria odgovoriti skupaj v tem smislu, da člen 4(1)(a) Direktive 95/46 preprečuje, da bi madžarski organ za varstvo podatkov lahko uporabil madžarski zakon za upravljavca podatkov, ki ima poslovno enoto izključno v drugi državi članici. Za ta namen je treba pojem poslovne enote razlagati kot obstoj stalne enote, ne glede na njeno pravno obliko, prek katere se dejansko in resnično opravlja dejavnost. Samo enega zastopnika je mogoče šteti za stalno enoto, če predstavlja zadostno stalnost v smislu človeških in tehničnih virov, ki so potrebni za opravljanje konkretnih storitev, za katere gre.

Drugi dejavniki, kot je kraj, od koder so bili naloženi podatki, državljanstvo zadevnih oseb, stalno prebivališče lastnikov podjetja upravljavca, ali dejstvo, da je storitev, ki jo opravlja navedeni upravljavec, usmerjena na ozemlje druge države članice, niso neposrednega in odločilnega pomena za določitev zakona, ki se uporabi, ne glede na to, da so lahko pokazatelji, da gre za resnično in dejansko dejavnost – za namene določitve kraja poslovne enote – in zlasti za določitev, ali je do obdelave podatkov prišlo v okviru dejavnosti navedene poslovne enote.

B – Pristojni nadzorni organ in morebitno ločevanje zakona, ki se uporabi, in pristojnega organa (sedmo vprašanje za predhodno odločanje)

43. S sedmim vprašanjem za predhodno odločanje Kúria sprašuje Sodišče, „ali je treba – če iz odgovorov na zgornja vprašanja izhaja, da madžarski organ za varstvo podatkov lahko vodi postopek, vendar ne more uporabiti nacionalnega prava, temveč mora uporabiti pravo države članice, v kateri ima zadevno podjetje sedež – člen 28(6) Direktive o varstvu podatkov razlagati tako, da lahko madžarski organ za varstvo podatkov v skladu z zakonodajo države članice, v kateri ima zadevno podjetje sedež, izvaja le pooblastila, določena v členu 28(3) Direktive o varstvu podatkov, in da torej ni pooblaščen za naložitev globe“.

44. Kakor je razvidno, je to vprašanje za predhodno odločanje odločilno, samo če bo predložitveno sodišče menilo, da v skladu z zgoraj navedenimi merili družba Weltimmo nima poslovne enote na Madžarskem, temveč ima poslovno enoto izključno na Slovaškem. Za koristen odgovor na to vprašanje za predhodno odločanje je treba torej vnaprej preučiti – če to izrecno ne izhaja iz odgovora na prejšnja vprašanja – možnost, da lahko nadzorni organ države članice ukrepa, tudi če je na podlagi meril iz člena 4(1)(a) Direktive treba uporabiti pravo druge države članice. Pritrdilen odgovor na to vprašanje bi nato pripeljal do tega, da bi bilo treba ugotoviti obseg in vsebino pristojnosti navedenega organa.

45. Predhodno se torej zastavlja vprašanje, ali je člen 4 v zvezi z zakonom, ki se uporabi, poleg pravila določitve zakona, ki se uporabi, pravilo o sodni pristojnosti in, odvisno od primera, pomenu pojasnil, ki jih daje člen 28 v zvezi s pristojnostjo javnih organov. Vse to pa v duhu pomembne reforme prava Unije na področju varstva podatkov.(28)

46. V stališčih, predloženih Sodišču, se navajajo različne razlage odstavkov 1, 3 in 6 člena 28 Direktive. Tako madžarski organ za varstvo podatkov meni, da je pristojen za naložitev denarne kazni, tudi v primeru, če bi bilo treba uporabiti zakonodajo druge države članice. Podobno meni tudi madžarska vlada, in sicer, da je očitno, da so podrobna pravila v zvezi s statusom in postopkom za izvajanje pristojnosti nadzornih organov, navedenih v členu 28(3) Direktive, še vedno določena v nacionalni zakonodaji države, v kateri ima navedeni organ svoj sedež, zaradi česar bi morale biti kazni naložene v skladu z nacionalno zakonodajo te države.

47. Komisija pa meni, da imajo nadzorni organi države članice pravico izvajati pristojnosti, naštete v členu 28(3) Direktive, če jih lahko izvajajo na svojem ozemlju v skladu s členom 28(1) in (6). Nasprotno pa, če je mogoče neko pristojnost izvajati samo na ozemlju druge države članice, naj ta organ ne bi imel druge možnosti, kot da prosi nadzorni organ navedene države članice za upravno sodelovanje. Nadzorni organ prve države članice naj torej ne bi mogel naložiti sankcije upravljavcu, ki ima poslovno enoto izključno v drugi državi članici. Podobno slovaška vlada meni, da če bi se lahko uporabila slovaška zakonodaja, bi bil madžarski organ za varstvo podatkov v skladu s členom 28(3) in (6) pristojen za preiskavo in preučitev pritožb, ki so mu bile predložene, da ukrepa v skladu s svojimi postopkovnimi pravili, vendar bi moral na organ države članice, katere zakon bi se uporabil, nasloviti prošnjo za sodelovanje, saj bi bil ta nadzorni organ tisti, ki bi se moral izreči o morebitni naložitvi sankcije. Poljska poudarja, da možnost, da bi organi ene države članice uporabili materialno pravo druge države članice, v Direktivi ni določena, iz česar sklepa, da če bi zakonodajalec želel določiti tako ambiciozno možnost, bi ta vsebovala natančne določbe, ki bi opredeljevale njeno področje uporabe. Nazadnje vlada Združenega kraljestva meni, da glede na to, da se uporabi slovaško pravo, madžarski organ za varstvo podatkov ni pristojen.

48. Glede na zgoraj navedeno je treba opozoriti na deljenost mnenj v predloženih stališčih, od katerih samo Združeno kraljestvo in Poljska zagovarjata absolutno nujnost povezanosti prava, ki se uporabi, s pristojnostjo nadzornega organa – tako da bi se z določitvijo prava, ki se uporabi v skladu s členom 4(1)(b) Direktive, določil tudi pristojni nadzorni organ.(29)

49. Kot bom utemeljil v nadaljevanju, menim, da je treba zapleteno vprašanje, ki ga obravnavam, razrešiti z uskladitvijo posebnih ciljev Direktive in načel, ki urejajo pooblastila nadzornih upravnih organov.

50. Pri problematiki, ki jo izpostavlja to vprašanje za predhodno odločanje, gre za pomembno vsebinsko vprašanje, kot je vprašanje, ali je treba dopustiti, da Direktiva omili ali celo razveljavi pravilo, v skladu s katerim upravni organi države načeloma delujejo v skladu s svojo nacionalno zakonodajo in jo uporabljajo. V zvezi s pristojnostjo javnih organov, pri čemer gre torej za izvajanje javnopravnih pooblastil, zlasti ius puniendi, je namreč obvezno izhajati iz zahtev, izpeljanih iz ozemeljske suverenosti države,(30) načela zakonitosti in nazadnje iz pojma pravne države,(31) na podlagi katerih je nujno, da sta pristojnost nadzornega organa in zakon, ki se uporabi, povezana.(32) V tem smislu pristojnosti za sankcioniranje – ki je tista, ki jo posebej obravnavam v tej zadevi – ni mogoče izvajati kot načelno pravilo zunaj zakonitih meja, v katerih lahko upravni organ ukrepa upoštevajoč nacionalno zakonodajo.(33) Ločitev navedenega pravila zahteva vsaj posebno pravno podlago, ki bi pooblastila in razmejila uporabo javnega prava druge države članice in bi poleg tega omogočila, da lahko pravni subjekti natančno in jasno predvidijo, katero pravo se bo uporabilo za njihovo ravnanje in za posledice tega ravnanja.(34)

51. V skladu z zgoraj navedenim menim, da člen 28(6), prvi stavek, ki določa, da je „[v]sak nadzorni organ […] pristojen, da na ozemlju lastne države članice izvaja pooblastila, ki so mu bila podeljena v skladu z odstavkom 3, ne glede na to, kateri nacionalni zakon se uporablja za zadevno obdelavo“, ni določba, ki bi lahko imela tako pomembno posledico.(35) Navedena določba namreč ne določa nobenih podrobnosti glede področja uporabe, obsega in jamstev, ki bi lahko omogočili, da bi upravni organi ene države članice uporabili določbe – zlasti tiste, ki določajo sankcije – druge države članice.

52. Člen 28(1) Direktive prav tako po mojem mnenju ne pomeni zadostne pravne podlage za tako trditev, ki temelji zgolj na okoliščini, ki jo zatrjujeta madžarska vlada in madžarski organ za varstvo podatkov, da ta določba uporabi množino, ko določa, da „[v]saka država članica določi, da je eden ali več javnih organov na njenem ozemlju odgovornih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo“.(36)

53. Ne glede na zgoraj navedeno te določbe kažejo na možnost, da lahko pride do ločevanja pristojnega organa in prava, ki se uporabi. Vsekakor priznavajo možnost, da organ države članice nadzoruje dejavnosti, ki se izvajajo na njenem ozemlju, čeprav se uporabi zakonodaja druge države članice.

54. Na tej točki menim, da je mogoče razlago člena 28(1), (3) in (6) uskladiti z osnovnimi načeli, ki veljajo za izvajanje upravnega pooblastila za sankcioniranje. To bi bilo še lažje, če bi se skupaj obravnavalo prvi stavek prvega pododstavka odstavka 6 člena 28 in drugi stavek istega pododstavka, ki določa, da je mogoče od organa, ki izvaja pooblastila na ozemlju svoje države članice, „zahtevati, da izvaja svoja pooblastila na prošnjo nadzornega organa druge države članice“, ter z drugim pododstavkom iste določbe, ki določa, da „[n]adzorni organi sodelujejo drug z drugim v obsegu, ki je potreben za izvedbo njihovih dolžnosti […]“.

55. V tem smislu mora biti možnost ukrepanja, ki jo ponuja člen 28(6) nadzornim organom, čeprav ne morejo uporabiti zakonodaje svoje države članice, predmet sistematične razlage, pri kateri se upošteva tako obstoj jasnega ukaza, da upravni organi med seboj sodelujejo, kot tudi okoliščina, da lahko en organ zahteva od drugega, da izvaja svoja pooblastila. Skupna presoja te določbe namreč kaže na delitev nalog med različnimi nadzornimi organi v okviru sodelovanja in vzajemne pomoči.

56. Dejstvo, da je zakonodaja, ki se uporabi, zakonodaja države članice, nadzornim organom drugih držav članic ne odvzame možnosti, da ukrepajo, zlasti če se upošteva, da lahko v nekaterih položajih, čeprav bi se uporabila zakonodaja druge države članice v skladu s členom 4(1)(a) Direktive, obstajajo številne druge okoliščine, ki se navezujejo na ozemlje, kot so tehnična sredstva ali zlasti osebe, na katere se nanaša obdelava podatkov. Zato bi bilo nujno, da zaradi učinkovitega izvajanja Direktive lokalni organ lahko preiskuje in sprejme nekatere ukrepe, še preden bi bilo mogoče določiti, katero pravo se uporabi.

57. Še konkretneje, nadzorni organ, ki mora ukrepati na podlagi ugovora ali posamične zahteve, ki mu je bila predložena, mora biti sposoben izvajati svoje pristojnosti glede vodenja postopka na lastnem ozemlju. To nedvomno izhaja iz člena 28(4) Direktive, ki določa obveznost nadzornih organov, da obravnavajo zahtevke, ki jih je vložila katera koli oseba v zvezi z varstvom svojih pravic in svoboščin glede obdelave osebnih podatkov. Hkrati je ta presoja v skladu z določbami Konvencije 108 Sveta Evrope iz leta 1981 o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov,(37) katere člen 14 določa, da je treba osebi, ki prebiva na ozemlju druge države pogodbenice, „omogočiti, da predloži svojo zahtevo s posredovanjem pooblaščenega organa, ki ga je določila in sporočila pogodbenica“.

58. Tovrstni pristop že lahko da zadostni odgovor na zaskrbljenost madžarske vlade, ki jo je izrazila med obravnavo, in sicer, da bi se učinkovitost sredstev, določenih z Direktivo – če madžarski organ za varstvo podatkov ni pristojen – zmanjšala, če bi bile zadevne osebe zavezane obrniti se na tuje organe, katerih jezikov ne poznajo.

59. Nazadnje imajo nadzorni organi, ne glede na materialno pravo, ki se uporabi v konkretnem primeru, na voljo pooblastili za preiskovanje in posredovanje, navedeni v odstavku 3 člena 28 Direktive, vendar samo tisti, ki sta določeni v nacionalnem pravu, na območju njegovega delovanja(38) in glede na upoštevanje načel, navedenih v točki 50 teh sklepnih predlogov.

60. Tako je očitno, da pooblastilo nadzornega organa države članice, če je treba uporabiti materialno pravo druge države članice, ni neomejeno. Na tej točki je treba poudariti, da še naprej velja načelo, v skladu s katerim je nadzorni organ pri izvajanju svojih pristojnosti vezan na omejitve, ki mu jih nalaga njegov status javnopravnega subjekta, za katerega velja zakon njegove države članice, in da lahko izvaja pristojnosti samo na svojem ozemlju. Predvsem mora morebitno presojo nezakonitosti in prav tako morebitno naložitev sankcij za kršitve, ki izhajajo iz nezakonitosti obdelave podatkov, neizogibno opraviti organ države članice, katere materialno pravo se uporabi za obdelavo podatkov v skladu z merilom iz člena 4(1)(a) Direktive.

61. Torej, čeprav nič ne preprečuje, da bi se pooblastilo za sankcioniranje lahko štelo za eno od pooblastil, na katere se nanaša člen 28(3) Direktive (katerega tretja točka se nanaša na „pooblastila [nadzornega organa] za sodelovanje v sodnih postopkih [v primeru kršitev]“), ob upoštevanju obveznosti sodelovanja, določene v členu 28(6) Direktive, je treba spodbuditi organ države članice, katere zakon se uporabi za obdelavo podatkov, da ugotovi, ali gre za neskladnost z zakonom, ki se uporabi, ter po potrebi naloži sankcije na podlagi informacij, ki jih je zbral in, odvisno od primera, posredoval organ prve države članice.

62. Ta razlaga ni v nasprotju z mnenjem, ki ga je Delovna skupina iz člena 29 izrazila v različnih dokumentih. Prvič, kot poudarja v svojem Mnenju 8/2010 o pravu, ki se uporablja, je cilj člena 28(6) ravno „premostiti morebitno vrzel med pravom, ki se uporablja, in nadzorno pristojnostjo, ki lahko nastane na področju varstva podatkov na notranjem trgu“.(39) V tem smislu, čeprav je v tem mnenju izrecno navedeno, da „[k]adar se uporablja zakonodaja o varstvu podatkov druge države članice, lahko nadzorni organ na svojem ozemlju v celoti izvaja vsa pooblastila, ki so mu bila podeljena na podlagi njegovega nacionalnega pravnega sistema“, pa se tam prav tako izražajo pomembni dvomi v zvezi z razširitvijo pristojnosti nadzornih organov na tem področju.(40) Kot rezultat naknadnega premišljevanja Delovne skupine iz člena 28 je ta na prošnjo Komisije podrobno opisala svoje stališče v zvezi z vprašanjem ločevanja prava, ki se uporabi, in pristojnosti v svojem pojasnilu o praktičnem izvajanju člena 28(6).(41) V primeru dejanskega ločevanja Delovna skupina ugotovi, da mora organ uporabiti postopkovne in upravne določbe svojega pravnega sistema, medtem ko materialni vidiki varstva podatkov pripadajo državi članici, katere zakonodaja se uporabi.(42)

63. Zgornji premisleki spadajo v poseben pravni okvir, v katerem je intervencijski instrument prava Unije Direktiva, kar je omogočilo ohranitev določene širine zakonodaj držav članic, kar zadeva zlasti ureditev in možnosti nadzornih organov, da naložijo sankcije.(43) Tako bi bilo težko združljivo z zahtevami načel ozemeljske suverenosti in zakonitosti, če ne bi obstajala jasna pravna podlaga in jamstva, ki zagotavljajo tesno sodelovanje pri razlagi kršitev in enakovrednosti sankcij,(44) če bi ločevanje pristojnega organa in prava, ki se uporabi, pripeljala bodisi do naložitve sankcij v skladu z zakonodajo države lokalnega nadzornega organa – za katere se lahko zgodi, da ne bi bile določene v pravnem redu države, katere zakonodaja bi se uporabila za obdelavo podatkov – bodisi do tega, da bi lokalni organ uporabil zakonodajo druge države članice o sankcijah.

64. Nazadnje se madžarska vlada in madžarski nadzorni organ sklicujeta na podobno uporabo sodbe Sodišča v zadevi UPC DTH,(45) da bi utemeljila pristojnost tega organa, da naloži sankcije v obravnavani zadevi, vendar to ne pripelje do drugačnega sklepa. V tej sodbi, ki se nanaša na razlago nekaterih instrumentov regulativnega okvira elektronskih komunikacij,(46) je Sodišče odločilo, da „[p]ostopki nadzora elektronskih komunikacijskih storitev […] spadajo v pristojnost organov države članice, v kateri prebivajo naslovniki navedenih storitev“.(47)

65. V odgovor na navedeno utemeljitev je dovolj navesti, da ne glede na to, ali se navedena razlaga nanaša na primer svobodnega opravljanja storitev in spada v pravni okvir, katerega cilji in struktura se močno razlikujejo od obravnavanih v tej zadevi, je še pomembneje, da so bili ti premisleki navedeni v primeru, v katerem se ni razpravljalo o pravu, ki se uporabi.(48)

66. Iz vseh teh razlogov in glede na trenutno stanje prava Unije menim, da je treba na sedmo vprašanje za predhodno odločanje, ki ga je postavilo Kúria, odgovoriti tako:

Če nacionalno sodišče ugotovi, da ne more uporabiti svoje nacionalne zakonodaje v skladu z merilom, določenim v členu 4(1)(a) Direktive 95/46, je treba člen 28(6) navedene direktive razlagati tako, da je za naložitev sankcij za kršitve v zvezi z obdelavo podatkov pristojen nadzorni organ države članice, katere zakonodaja se uporabi, ne glede na to, da lahko lokalni nadzorni organ na svojem ozemlju izvaja vsa pooblastila, našteta v členu 28(3), v skladu s postopki, opredeljenimi v nacionalni zakonodaji.

C – Pojem „obdelava“ podatkov (osmo vprašanje za predhodno odločanje)

67. V osmem vprašanju za predhodno odločanje predložitveno sodišče Sodišče sprašuje: „Ali je mogoče za pojem ‚adatfeldolgozás‘ (procesiranje podatkov), uporabljen v členu 4(1)(a) in členu 28(6) [madžarske različice] Direktive o varstvu podatkov, šteti, da je popolnoma enak pojmu ‚adatkezelés‘ (obdelava podatkov), ki je uporabljen v terminologiji navedene direktive?“

68. Vsem stališčem, predstavljenim pred Sodiščem, je skupna ugotovitev, da terminološko razlikovanje, na katero je opozorjeno v predložitveni odločbi, nima vpliva.

69. Direktiva 95/46 v svojih določbah sistematično uporablja izraz „[adat]feldolgozás“, ko se nanaša na pojem obdelave podatkov, kakor je opredeljen v členu 2(b) Direktive. Samo v informacijskem zakonu se pojavi razlikovanje med pojmoma „adatkezelés“ in „adatfeldolgozás“,(49) ki ta zadnji izraz opredeljuje kot „izvajanje tehničnih nalog v zvezi s postopki obdelave podatkov […]“.(50)

70. Torej je opredelitev pojma „[adat]feldolgozás“, ki jo vsebuje člen 2(b) Direktive in jo uporabljata tudi člena 4(1)(a) in 28(6), veliko širša in vključuje kateri koli postopek, ki se uporablja za osebne podatke, ne glede na to, ali se izvaja z avtomatskimi sredstvi ali ne. Ta širok pojem obdelave bi tako vključeval veliko bolj omejen pojem izvajanja tehničnih nalog v zvezi s postopki obdelave podatkov.

71. Iz tega razloga Sodišču predlagam, naj na osmo vprašanje za predhodno odločanje odgovori tako:

Pojem „adatfeldolgozás“, uporabljen v členih 4(1)(a) in 28(6) madžarske različice Direktive 95/46, je treba razlagati tako, da vključuje tako obdelavo podatkov v širokem smislu kot izvajanje tehničnih nalog v zvezi s postopki obdelave podatkov.

V – Predlog

72. Glede na predstavljene argumente Sodišču predlagam, naj na vprašanja, ki jih je predložilo Kúria, odgovori tako:

1. Člen 4(1)(a) Direktive 95/46 preprečuje, da bi madžarski organ za varstvo podatkov lahko uporabil madžarski zakon za upravljavca podatkov, ki ima poslovno enoto izključno v drugi državi članici. Za ta namen je treba pojem poslovne enote razlagati kot obstoj stalne enote, ne glede na njeno pravno obliko, prek katere se dejansko in resnično opravlja dejavnost. Samo enega zastopnika je mogoče šteti za stalno enoto, če predstavlja zadostno stalnost v smislu človeških in tehničnih virov, ki so potrebni za opravljanje konkretnih storitev, za katere gre.

2. Če nacionalno sodišče ugotovi, da ne more uporabiti svoje nacionalne zakonodaje v skladu z merilom, določenim v členu 4(1)(a) Direktive 95/46, je treba člen 28(6) navedene direktive razlagati tako, da je za naložitev sankcij za kršitve v zvezi z obdelavo podatkov pristojen nadzorni organ države članice, katere zakonodaja se uporabi, ne glede na to, da lahko lokalni nadzorni organ na svojem ozemlju izvaja vsa pooblastila, našteta v členu 28(3), v skladu s postopki, opredeljenimi v nacionalni zakonodaji.

3. Pojem „adatfeldolgozás“, uporabljen v členih 4(1)(a) in 28(6) madžarske različice Direktive 95/46, je treba razlagati tako, da vključuje tako obdelavo podatkov v širokem smislu kot izvajanje tehničnih nalog v zvezi s postopki obdelave podatkov.

1 – Jezik izvirnika: španščina.

2 – Direktiva Evropskega parlamenta in Sveta z dne 24. oktobra 1995 (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

3 – C‑131/12, EU:C:2014:317.

4 – Glej za vse Rigaux, F. „La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel“, Revue critique de droit international privé, 1980, str. od 443 do 478.

5 – Bygrave, L., „Determining applicable law pursuant to European Data Protection Legislation“, Computer Law and Security Report, št. 16, 2000, str. 252.

6 – V španskem prevodu te določbe je majhna napaka, in sicer je uporabljen glagol v ednini. To potrjujejo druge jezikovne različice: „each Member State shall apply the national provisions it adopts pursuant to this Directive […]“, „chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive“, itd.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, točke od 48 do 50.

9 – Glej sodbi Factortame in drugi (C‑221/89, EU:C:1991:320, točka 20) in Komisija/Združeno kraljestvo (C‑246/89, EU:C:1991:375, točka 21).

10 – Sodba Cadbury Schweppes in Cadbury Schweppes Overseas (C‑196/04, EU:C:2006:544, točka 54).

11 – Mnenje 8/2010 o pravu, ki se uporablja, izdano 16. decembra 2010, 0836-02/10/ES, WP 179.

12 – Navedeno mnenje se namreč sklicuje na sodbi Berkholz (168/84, EU:C:1985:299, točka 18) in Lease Plan (C‑390/96, EU:C:1998:206), ki se nanašata na razlago člena 9(1) Šeste direktive Sveta z dne 17. maja 1977 o usklajevanju zakonodaje držav članic o prometnih davkih - Skupni sistem davka na dodano vrednost: enotna osnova za odmero (77/388/EGS) (UL, posebna izdaja v slovenščini, poglavje 9, zvezek 1, str. 23).

13 – Sodba Welmory (C‑605/12, EU:C:2014:2298, točka 58), v zvezi z razlago člena 44 Direktive Sveta 2006/112/ES z dne 28. novembra 2006 o skupnem sistemu davka na dodano vrednost (UL L 347, str. 1), kakor je bila spremenjena z Direktivo Sveta 2008/8/ES z dne 12. februarja 2008 (UL L 44, str. 11). Prav tako glej sodbo Planzer Luxembourg (C‑73/06, EU:C:2007:397, točka 54 in navedena sodna praksa).

14 – Konvencija o pravu, ki se uporablja za pogodbena obligacijska razmerja, na voljo za podpis 19. junija 1980 v Rimu (UL L 266, str. 1; EE 01/03, str. 36).

15 – Konvencija z dne 27. septembra 1968 o pristojnosti in izvršitvi sodb v civilnih in gospodarskih zadevah (UL 1972 L 299, str. 32; konsolidirano besedilo UL 1998, C 27, str. 1).

16 – Pri čemer je navedeno, da „pojem podružnice, predstavništva ali druge poslovne enote predpostavlja obstoj centra poslovnih dejavnosti, ki se dolgoročno odraža navzven in ki je trajna izpostava matične družbe, ki ima svojo upravo in je materialno opremljena za poslovanje s tretjimi osebami […]“ (sodbi Somafer (33/78, EU:C:1978:205, točka 12) in Blanckaert & Willems (139/80, EU:C:1981:70, točka 11)), in da „izraz „poslovna enota“ zajema vse trajne strukture podjetja. Zato bi lahko poleg hčerinskih družb in podružnic tudi druge enote, na primer pisarne podjetja, pomenile poslovne enote v smislu člena 6(2)(b) Rimske konvencije, tudi če ne bi imele pravne osebnosti.“ (sodba Voogsgeerd (C‑384/10, EU:C:2011:842, točka 54)).

17 – Mnenje 8/2010, str. 14.

18 – C‑131/12, EU:C:2013:424, točka 65.

19 – Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 25, str. 399).

20 – Glej delovni dokument o mednarodni veljavi zakonodaje Skupnosti o varstvu podatkov za obdelavo osebnih podatkov na internetu prek spletnih strani, ki so zunaj Evropske unije, WP 56, 5035/01/ES/Final, 30. maj 2002, str. 8.

21 – Stališča, predstavljena pred Sodiščem, se med seboj razlikujejo glede na to, ali upoštevajo te dejavnike. Medtem ko madžarski organ za varstvo podatkov meni, da so ti dejavniki pomembni, Združeno kraljestvo meni, da noben od navedenih dejavnikov ni pomemben, saj člen 4(1) Direktive ne omenja nobenega od njih. Evropska komisija meni podobno. Za madžarsko vlado sta pomembna samo dejstvo, da so bile storitve usmerjene na ozemlje države članice, in kraj, kjer so bili podatki naloženi v informacijski sistem. Slovaška vlada meni, da za določitev nacionalnega prava, ki se uporabi, niso pomembni niti kraj, od koder se posredujejo podatki, niti državljanstvo zadevnih oseb, niti stalno prebivališče lastnikov podjetja.

22 – V tem smislu se je prav tako izrekla Delovna skupina iz člena 29, in sicer je navedla, da „ni odločilno državljanstvo ali kraj stalnega prebivališča posameznikov, na katere se osebni podatki nanašajo, niti fizična lokacija osebnih podatkov [za določitev prava, ki se uporabi.]“ Mnenje 8/2010, str. 10. Glej tudi točke od 55 do 58 sklepnih predlogov generalnega pravobranilca N. Jääskinena v zadevi Google Spain in Google (C‑131/12, EU:C:2013:424).

23 – C‑131/12, EU:C:2014:317, točke od 48 do 50.

24 – Ibidem, točka 52.

25 – Ibidem, točka 53.

26 – Glede te podrobnosti glej tudi Mnenje 8/2010 Delovne skupine iz člena 29.

27 – Mnenje 1/2008 o vprašanjih varstva podatkov v zvezi z brskalniki, izdano 4. aprila 2008, WP 148, 00737/ES.

28 – Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, COM(2012) 11 final.

29 – Poleg tega so mnenja v pravni teoriji o tem deljena. Nekateri avtorji obravnavajo člen 4 Direktive kot pravilo, ki prav tako določa pristojnost (na primer, Bing, J., „Data Protection, Jurisdiction and the Choice of Law“, Privacy Law & Policy Reporter, 1999), medtem ko drugi menijo nasprotno. Glej, na primer, Swire, P. P., „Of Elephants, Mice and Privacy: International Choice of Law and the Internet“, The International Lawyer, 1998, str. 991. Prav tako o tej razpravi Kuner, C., „Data Protection Law and International Jurisdiction on the Internet (Part 1)“, International Journal of Law and Information Technology, št. 18, 2010, str. 176.

30 – V uvodni izjavi 21 Direktive je izrecno navedeno, da ta direktiva „ne posega v pravila teritorialnosti, ki se uporabljajo v kazenskih zadevah.“ Menim, da je mogoče to presojo uporabiti tudi za upravne sankcije.

31 – Katerega temeljno jedro je mogoče opredeliti v smislu, da vsi javni organi, na vseh ravneh, „must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers“, Lord Bingham, „The Rule of La“The Cambridge Law Journal, št. 66, 2007, str. 78.

32 – V pravni teoriji je bilo navedeno, da „kot posledica v glavnem upravne ali javnopravne narave režima nadzora obstaja tesna korelacija med zakonom, ki se uporabi, in organom, pristojnim za sankcioniranje morebitnih kršitev“, de Miguel Asensio, P. A., Derecho Privado de Internet, 4. izd., Madrid, 2011, str. 333. Podobno se je pravna teorija izrekla v zvezi s pristojnostmi nadzornih organov na področju konkurence, pri čemer je navedla, da na področju javnega delovanja, možnost uporabe pravila določa pristojnost organa, ki ga mora uporabiti. Glej, na primer, Basedow, J. „Antitrust or Competition Law, International“, v Wolfrum, R. (ur.), Max Planck Encyclopedia of Public International Law, 2009.

33 – V tem smislu Rigaux: „On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori“, op. cit. str. 469.

34 – C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, str. 109, 314.

35 – Moj poudarek.

36 – Moj poudarek. O tej razpravi glej Damman U. in Simitis S., EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, str. 306.

37 – (ETS 108), katerega del so vse države članice. V skladu z uvodno izjavo 11 Direktive ta pojasnjuje in razširi varstvo, ki ga zagotavlja navedena konvencija.

38 – O tem vprašanju Damman U. in Simitis S., op. cit., str. 313.

39 – Mnenje 8/2010 o pravu, ki se uporablja, str. 29.

40 – Tako se na eni strani z Mnenjem 8/2010 Delovne skupine iz člena 29 poudarja, da vsebina sodelovanja med nadzornimi organi, kot je dobro navedeno, ne zajema samo izmenjave informacij, temveč tudi „obravnavanje čezmejnih pritožb, zbiranje dokazov za druge organe za varstvo podatkov ali nalaganje sankcij.“ (str. 26). Vendar pa so v tem mnenju izraženi dvomi v zvezi z obsegom pristojnosti, ki jih mora izvajati vsak organ za varstvo podatkov: „[z]lasti, do kakšne mere bo organ za varstvo podatkov na lokaciji izvajal svoje pristojnosti glede uporabe bistvenih načel in sankcij? Ali naj uporabo svojih pristojnosti omeji na preverjanje dejstev, ali lahko izvaja začasne ukrepe za izvrševanje ali celo končne ukrepe? Ali lahko po svoje razlaga določbe veljavnega prava ali pa je to privilegij organa za varstvo podatkov države članice, katere pravo se uporablja? […]“ (str. 25).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011)444105, z dne 20. aprila 2011.

42 – Ibidem, str. 31. To dobro ponazarja primer št. 10 v mnenju, v katerem hipotetični primer, v katerem se nemško pravo uporabi za obdelavo podatkov, izvedeno v Združenem kraljestvu, kaže na to, da „organ za varstvo podatkov v Združenem kraljestvu mora biti pooblaščen za pregledovanje prostorov v Združenem kraljestvu, ugotovitve pa mora posredovati nemškemu organu za varstvo podatkov; nemški organ za varstvo podatkov mora naložiti sankcijo upravljavcu, ki je ustanovljen v Nemčiji, na podlagi ugotovitev organa za varstvo podatkov v Združenem kraljestvu.“

43 – Tako priznava uvodna izjava 9 Direktive. V tem smislu glej dokument, ki ga je pripravila Agencija Evropske unije za temeljne pravice, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, ki poudarja različna pooblastila nadzornih organov v državah članicah.

44 – V tem smislu je pomembnost in inovativnost prava Unije na področju varstva podatkov v evropskem upravnem prostoru nedvomna. Predlog bodoče splošne uredbe o varstvu podatkov, če bo sprejeta, predvideva pomembno spremembo na tem področju, zlasti z uvedbo zapletenega in dovršenega sistema sodelovanja, povezanosti in razdelitve odgovornosti med različnimi nadzornimi organi.

45 – C‑475/12, EU:C:2014:285.

46 – Natančneje, Direktiva 2002/20/ES Evropskega parlamenta in Sveta z dne 7. marca 2002 o odobritvi elektronskih komunikacijskih omrežij in storitev (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 337), kakor je bila spremenjena z Direktivo 2009/140/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (Direktiva o odobritvi) (UL L 337, str. 37) in Direktiva Evropskega parlamenta in Sveta 2002/21/ES z dne 7. marca 2002 o skupnem regulativnem okviru za elektronska komunikacijska omrežja in storitve (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 349), kakor je bila spremenjena z Direktivo 2009/140.

47 – Sodba UPC DTH (C‑475/12, EU:C:2014:285, točka 88).

48 – Sankcija, ki je bila naložena v navedeni zadevi, je bila namreč naložena zato, ker zadevna družba ni hotela posredovati informacij državnemu organu za komunikacije in medije. Sodišče je navedlo, da „člen 11(1)(b) Direktive o odobritvi […] določa, da lahko nacionalni regulativni organi od podjetij zahtevajo samo, naj posredujejo informacije, ki so sorazmerne in objektivno utemeljene, in jim tako omogočijo, da ko prejmejo pritožbo ali opravijo preiskavo na lastno pobudo, lahko preverijo, ali se spoštujejo predpisi o varstvu potrošnikov“, prav tam, točka 85.

49 – V Direktivi je samo ena beseda, ki je izpeljana iz izraza „adatkezelés“, in sicer ob sklicevanju na upravljavca podatkov.

50 – Člen 3(17) informacijskega zakona. Odstavek 10 člena 3 informacijskega zakona opredeljuje pojem „adatkezelés“ široko, ki v glavnem ustreza pojmu obdelave podatkov, opredeljenem v členu 2(b) Direktive.