Language of document : ECLI:EU:C:2015:639

HOTĂRÂREA CURȚII (Camera a treia)

1 octombrie 2015(*)

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46/CE – Articolul 4 alineatul (1) și articolul 28 alineatele (1), (3) și (6) – Operator stabilit în mod formal într‑un stat membru – Atingere adusă dreptului la protecția datelor cu caracter personal privind persoanele fizice dintr‑un alt stat membru – Stabilirea dreptului aplicabil și a autorității de supraveghere competente – Exercitarea competențelor autorității de supraveghere – Competență de sancționare”

În cauza C‑230/14,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Kúria (Ungaria), prin decizia din 22 aprilie 2014, primită de Curte la 12 mai 2014, în procedura

Weltimmo s. r. o.

împotriva

Nemzeti Adatvédelmi és Információszabadság Hatóság,

CURTEA (Camera a treia),

compusă din domnul M. Ilešič, președinte de cameră, domnul A. Ó Caoimh, doamna C. Toader și domnii E. Jarašiūnas și C. G. Fernlund (raportor), judecători,

avocat general: domnul P. Cruz Villalón,

grefier: domnul I. Illessy, administrator,

având în vedere procedura scrisă și în urma ședinței din 12 martie 2015,

luând în considerare observațiile prezentate:

–        pentru Nemzeti Adatvédelmi és Információszabadság Hatóság, de A. Péterfalvi, în calitate de agent, asistat de G. Dudás, ügyvéd;

–        pentru guvernul maghiar, de M. Z. Fehér, de G. Koós și de A. Pálfy, în calitate de agenți;

–        pentru guvernul polonez, de B. Majczyna, de M. Kamejsza și de M. Pawlicka, în calitate de agenți;

–        pentru guvernul slovac, de B. Ricziová, în calitate de agent;

–        pentru guvernul Regatului Unit, de M. Holt, în calitate de agent, asistat de J. Holmes, barrister;

–        pentru Comisia Europeană, de A. Tokár, de B. Martenczuk și de J. Vondung, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 25 iunie 2015,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea articolului 4 alineatul (1) litera (a) și a articolului 28 alineatele (1), (3) și (6) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

2        Această cerere a fost formulată în cadrul unui litigiu între Weltimmo s. r. o. (denumită în continuare „Weltimmo”), societate al cărei sediu este situat în Slovacia, pe de o parte, și Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea națională însărcinată cu protecția datelor și cu libertatea informației, denumită în continuare și „autoritatea de supraveghere maghiară” sau „autoritatea maghiară pentru protecția datelor”), pe de altă parte, în legătură cu o amendă aplicată de aceasta din urmă pentru încălcarea Legii nr. CXII din 2011 privind autodeterminarea în materie de informare și libertatea informației (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, denumită în continuare „Legea informației”), care a transpus Directiva 95/46 în dreptul maghiar.

 Cadrul juridic

 Dreptul Uniunii

3        Considerentele (3), (18) și (19) ale Directivei 95/46 au următorul cuprins:

„(3)      întrucât instituirea și funcționarea unei piețe interne în care este asigurată, în conformitate cu articolul [26 TFUE], libera circulație a bunurilor, persoanelor, serviciilor și capitalurilor necesită nu numai libera circulație a datelor cu caracter personal de la un stat membru la altul, ci și garantarea drepturilor fundamentale ale persoanei;

[…]

(18)      întrucât, pentru a garanta că persoanele nu sunt private de protecția la care au dreptul în conformitate cu prezenta directivă, orice prelucrare a datelor cu caracter personal în Comunitate trebuie efectuată în conformitate cu legislația unuia dintre statele membre; întrucât, în acest sens, prelucrarea efectuată sub responsabilitatea unui operator stabilit într‑un stat membru se supune legislației statului respectiv;

(19)      întrucât stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă și reală a unei activități într‑o formă de instalare stabilă; întrucât forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant în această privință; întrucât, dacă un singur operator are sediul pe teritoriul mai multor state membre, în special prin intermediul filialelor, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplinește obligațiile prevăzute de dreptul intern aplicabil activităților sale”.

4        Articolul 2 din Directiva 95/46 prevede:

„În sensul prezentei directive:

[…]

(b)      «prelucrarea datelor cu caracter personal» [«feldolgozása»]” (prelucrare [«feldolgozás»]) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

[…]”

5        Articolul 4 alineatul (1) litera (a) din Directiva 95/46 prevede:

„(1)      Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:

(a)      prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru; dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil.”

6        Potrivit articolului 28 alineatele (1), (3) și (6) din Directiva 95/46:

„(1)      Fiecare stat membru prevede una sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive.

Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite.

[…]

(3)      Fiecare autoritate este, în special, învestită cu:

–        competențe de investigare, cum ar fi cea de acces la datele care fac obiectul unei prelucrări și cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere;

–        competențe efective de intervenție, cum ar fi, de exemplu, competența de a emite avize înainte de începerea prelucrării, în conformitate cu articolul 20, și de a asigura publicarea adecvată a acestor avize sau de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naționale sau alte instituții politice;

–        competența de a acționa în justiție, în cazul încălcării dispozițiilor de drept intern adoptate în temeiul prezentei directive sau de a sesiza autoritățile judecătorești asupra acestor încălcări.

Deciziile autorităților de supraveghere care dau naștere unor plângeri pot face obiectul unei acțiuni în justiție.

[…]

(6)      Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru.

Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.”

 Dreptul maghiar

7        Articolul 2 alineatul 1 din Legea informației prevede:

„Domeniul de aplicare al acestei legi cuprinde atât prelucrarea, cât și operațiunile tehnice de prelucrare pe teritoriul Ungariei a datelor referitoare la persoane fizice, precum și a datelor de interes public sau care sunt accesibile din motive de interes public.”

8        Articolul 3 punctele 10 și 17 din Legea informației conține următoarele definiții:

„10.      «prelucrarea datelor cu caracter personal» înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor, indiferent de mijlocul utilizat, cum ar fi colectarea, înregistrarea, organizarea, stocarea, modificarea, utilizarea, solicitarea, transmiterea, publicarea, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea, precum și împiedicarea utilizării cu alt scop a datelor, captarea fotografiilor, a sunetelor și a imaginilor sau înregistrarea caracteristicilor fizice folosite pentru identificarea persoanelor (de exemplu, amprente digitale sau ale palmei, mostre de ADN sau imagini ale irisului);

[…]

17.      «operațiuni tehnice de prelucrare » [«adatfeldolgozás»] înseamnă executarea de sarcini tehnice referitoare la operațiunile de prelucrare a datelor, indiferent de metoda și de mijlocul utilizate pentru efectuarea respectivelor operațiuni, precum și indiferent de locul în care se desfășoară, cu condiția ca sarcinile tehnice să fie executate pe baza datelor.”

 Litigiul principal și întrebările preliminare

9        Weltimmo, societate înmatriculată în Slovacia, administrează o pagină de internet pe care publică anunțuri privind imobile situate în Ungaria. În cadrul acestei activități prelucrează datele cu caracter personal ale autorilor anunțurilor. Anunțurile sunt publicate gratuit timp de o lună, ulterior serviciul fiind contra cost. După expirarea perioadei de gratuitate, mulți dintre autorii anunțurilor au solicitat, pe cale electronică, eliminarea respectivelor anunțuri, precum și a datelor lor cu caracter personal. Weltimmo nu a eliminat însă datele respective și a facturat contravaloarea serviciilor. Ca urmare a neachitării facturilor, această societate a transmis datele cu caracter personal ale autorilor anunțurilor către societăți de recuperare a creanțelor.

10      Autorii anunțurilor au formulat plângeri în fața Nemzeti Adatvédelmi és Információszabadság Hatóság. Aceasta s‑a declarat competentă în temeiul articolului 2 alineatul 1 din Legea informației, considerând că colectarea datelor respective avusese loc pe teritoriul maghiar și că aceasta constituia o prelucrare de date sau o procesare de date în legătură cu persoane fizice. Considerând că Weltimmo încălcase Legea informației, Nemzeti Adatvédelmi és Információszabadság Hatóság a aplicat societății menționate o amendă în cuantum de 10 milioane de forinți maghiari (HUF) (aproximativ 32 000 euro).

11      Weltimmo a sesizat atunci Fővárosi Közigazgatási és Munkaügyi Bíróság (Tribunalul administrativ și de litigii de muncă din Budapesta), care a considerat că faptul că această societate nu dispunea de un sediu social sau de o unitate în Ungaria nu constituia o apărare valabilă, având în vedere că atât furnizarea datelor referitoare la bunurile imobile maghiare în cauză, cât și prelucrarea datelor referitoare la bunurile respective avuseseră lor în Ungaria. Acest tribunal a anulat totuși decizia Nemzeti Adatvédelmi és Információszabadság Hatóság pentru alte motive, legate de faptul că unele elemente privind situația de fapt nu fuseseră suficient clarificate.

12      Weltimmo a declarat recurs în fața instanței de trimitere susținând că nu se impune clarificarea suplimentară a situației de fapt, deoarece, conform articolului 4 alineatul (1) litera (a) din Directiva 95/46, Nemzeti Adatvédelmi és Információszabadság Hatóság, în speță, nu era competentă și nu putea aplica dreptul maghiar unui prestator de servicii stabilit într‑un alt stat membru. Weltimmo a susținut că, în conformitate cu articolul 28 alineatul (6) din Directiva 95/46, această autoritate ar fi trebuit să solicite autorității slovace competente în materie să acționeze în locul său.

13      Nemzeti Adatvédelmi és Információszabadság Hatóság a arătat că Weltimmo avea în Ungaria un reprezentant de cetățenie maghiară, respectiv unul dintre proprietarii acestei societăți, care a reprezentat‑o pe aceasta atât în cursul procedurii administrative, cât și în cursul procedurii judiciare desfășurate în acest stat membru. Această autoritate a adăugat că serverele internet ale Weltimmo erau probabil instalate în Germania sau în Austria, dar că proprietarii acestei societăți locuiau în Ungaria. În sfârșit, potrivit autorității menționate, rezultă din articolul 28 alineatul (6) din Directiva 95/46 că aceasta este competentă în toate cazurile, indiferent de dreptul aplicabil.

14      Având îndoieli în ceea ce privește determinarea dreptului aplicabil și competențele de care dispune autoritatea de supraveghere maghiară din perspectiva articolului 4 alineatul (1) și a articolului 28 din Directiva 95/46, Kúria (Curtea Supremă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Articolul 28 alineatul (1) din Directiva 95/46 trebuie interpretat în sensul că legislația națională a unui stat membru se poate aplica pe teritoriul unui prim stat membru în privința unui operator de date stabilit exclusiv în al doilea stat membru, care administrează o pagină de internet de anunțuri imobiliare privind, printre altele, bunuri imobile situate pe teritoriul primului stat membru, ai căror proprietari comunică datele lor cu caracter personal către un instrument (server) de stocare și procesare de date care aparține administratorului paginii de internet și care se află în al doilea stat membru?

2)      În lumina considerentelor (18)-(20), a articolului 1 alineatul (2) și a articolului 28 alineatul (1) din Directiva 95/46, articolul 4 alineatul (1) litera (a) din această directivă poate fi interpretat în sensul că autoritatea de supraveghere maghiară nu poate aplica legislația maghiară referitoare la protecția datelor, în calitatea sa de drept național, în privința administratorului unei pagini de internet de anunțuri imobiliare care este stabilit exclusiv în alt stat membru nici în cazul în care acesta publică anunțuri imobiliare privind, printre altele, bunuri imobile situate în Ungaria, ai căror proprietari, după toate probabilitățile, comunică datele de pe teritoriul maghiar către un instrument (server) de stocare și procesare de date care aparține administratorului paginii de internet și care se află în al doilea stat membru?

3)      Este relevant în scopul interpretării articolului menționat anterior faptul că serviciul prestat de operatorul de date care administrează pagina de internet se adresează teritoriului altui stat membru?

4)      Este relevant în scopul interpretării articolului menționat anterior faptul că datele referitoare la bunurile imobile situate pe teritoriul altui stat membru și datele cu caracter personal ale proprietarilor respectivelor imobile au fost descărcate efectiv de pe teritoriul respectivului stat membru?

5)      Este relevant în scopul interpretării articolului menționat anterior faptul că datele cu caracter personal referitoare la respectivele bunuri imobile reprezintă date cu caracter personal ale cetățenilor unui alt stat membru?

6)      Este relevant în scopul interpretării articolului menționat anterior faptul că proprietarii întreprinderii cu sediul în Slovacia locuiesc în Ungaria?

7)      Dacă răspunsurile la întrebările anterioare sunt în sensul că autoritatea maghiară pentru protecția datelor este competentă, însă nu poate aplica dreptul național, ci este obligată să aplice dreptul statului membru în care este stabilită societatea, articolul 28 alineatul (6) din Directiva 95/46 trebuie interpretat în sensul că autoritatea maghiară pentru protecția datelor poate să exercite doar competențele prevăzute la articolul 28 alineatul (3) din această directivă, în conformitate cu legislația statului membru în care este stabilită societatea, și că, prin urmare, nu este competentă să aplice o amendă?

8)      Noțiunea «adatfeldolgozás» [operațiuni tehnice de prelucrare de date], utilizată atât la articolul 4 alineatul (1) litera (a), cât și la articolul 28 alineatul (6) din Directiva 95/46, poate fi considerată identică cu noțiunea «adatkezelés» [prelucrare de date], folosită în terminologia directivei?”

 Cu privire la întrebările preliminare

 Observații introductive

15      În ceea ce privește, mai întâi, cadrul factual din litigiul principal, este necesară menționarea anumitor informații suplimentare, prezentate de Nemzeti Adatvédelmi és Információszabadság Hatóság în observațiile sale scrise și în ședința în fața Curții.

16      Rezultă din aceste informații, în primul rând, că această autoritate ar fi aflat de la omoloaga sa slovacă, în mod informal, că Weltimmo nu exercita nicio activitate la locul sediului său social, în Slovacia. Pe de altă parte, Weltimmo ar fi deplasat de mai multe ori acest sediu dintr‑un stat în altul. În al doilea rând, Weltimmo ar fi dezvoltat două site‑uri de anunțuri imobiliare, redactate exclusiv în limba maghiară. Ea ar fi deschis un cont bancar în Ungaria, destinat recuperării creanțelor sale, și ar fi dispus de o cutie poștală în acest stat membru, pentru afacerile sale curente. Curierul ar fi fost în mod regulat ridicat și transmis Weltimmo pe cale electronică. În al treilea rând, autorii anunțurilor trebuiau ei înșiși nu doar să înscrie datele referitoare la bunurile lor imobile pe site‑ul Weltimmo, dar și să șteargă aceste date de pe site dacă doreau ca acestea să nu mai figureze acolo dincolo de termenul de o lună evocat anterior. Weltimmo ar fi invocat o problemă de gestiune informatică pentru a explica faptul că această ștergere nu putuse fi efectuată. În al patrulea rând, Weltimmo ar fi o societate compusă doar din una sau două persoane. Reprezentantul său în Ungaria ar fi încercat să negocieze cu autorii anunțurilor reglarea creanțelor neplătite.

17      În ceea ce privește, apoi, textul întrebărilor adresate, deși instanța de trimitere utilizează termenii „stabilit exclusiv” în prima și în a doua întrebare, reiese din decizia de trimitere și din observațiile scrise și orale prezentate de Nemzeti Adatvédelmi és Információszabadság Hatóság că, deși Weltimmo este înmatriculată în Slovacia și este, în consecință, stabilită în acest stat membru în sensul dreptului societăților, există o îndoială cu privire la aspectul dacă ea este „stabilită” doar în acest stat membru, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46. Întrebând Curtea cu privire la interpretarea acestei dispoziții, instanța de trimitere încearcă, astfel, să afle ce acoperă noțiunea „sediu” utilizată de această dispoziție.

18      În sfârșit, trebuie arătat că în prima și în a doua întrebare, instanța de trimitere arată că serverul utilizat de Weltimmo este instalat în Slovacia, în timp ce, într‑un alt pasaj din decizia de trimitere, ea menționează posibilitatea ca serverele acestei societăți să se afle în Germania sau în Austria. În aceste condiții, este oportun să se considere că aspectul referitor la statul membru în care sunt instalate serverele utilizate de societatea menționată nu este tranșat.

 Cu privire la primele șase întrebări

19      Prin intermediul primelor șase întrebări, care trebuie examinate împreună, instanța de trimitere solicită să se stabilească în esență dacă articolul 4 alineatul (1) litera (a) și articolul 28 alineatul (1) din Directiva 95/46 trebuie interpretate în sensul că, în împrejurări precum cele în discuție în litigiul principal, permit autorității de supraveghere dintr‑un stat membru să aplice legislația sa națională privind protecția datelor în privința unui operator de date a cărui societate este înmatriculată într‑un alt stat membru și care exploatează un site internet de anunțuri imobiliare privind bunuri imobile situate pe teritoriul primului dintre aceste două state. Ea întreabă în special dacă este pertinent faptul că acest stat membru este cel:

–        către care este orientată activitatea operatorului de date cu caracter personal,

–        în care sunt situate bunurile imobile,

–        dinspre care sunt comunicate datele referitoare la proprietarii acestor bunuri,

–        ai cărui resortisanți sunt aceștia și

–        în care locuiesc proprietarii acestei societăți.

20      În ceea ce privește dreptul aplicabil, instanța de trimitere menționează îndeosebi dreptul slovac și dreptul maghiar, primul dintre acestea fiind cel al statului membru în care este înmatriculat operatorul datelor cu caracter personal în discuție, iar cel de al doilea fiind cel al statului membru vizat de site‑urile internet în discuție în litigiul principal, pe al cărui teritoriu sunt situate bunurile imobile care fac obiectul anunțurilor publicate.

21      În această privință, trebuie constatat că articolul 4 din Directiva 95/46, intitulat „Dreptul național aplicabil”, care figurează în capitolul I din această directivă, intitulat „Dispoziții generale”, guvernează tocmai întrebarea adresată.

22      Articolul 28 din Directiva 95/46, intitulat „Autoritatea de supraveghere”, este, în schimb, consacrat rolului și competențelor acestei autorități. În temeiul articolului 28 alineatul (1), aceasta este responsabilă de supravegherea aplicării pe teritoriul statului membru din care provine a dispozițiilor adoptate de statele membre în temeiul directivei amintite. Conform articolului 28 alineatul (6) din directiva menționată, autoritatea de supraveghere exercită competențele conferite, indiferent de dreptul intern aplicabil prelucrării de date cu caracter personal.

23      Prin urmare, dreptul național aplicabil operatorului trebuie determinat nu prin raportare la articolul 28 din Directiva 95/46, ci la articolul 4 din aceasta din urmă.

24      Potrivit articolului 4 alineatul (1) litera (a) din Directiva 95/46, fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul acestei directive pentru prelucrarea datelor cu caracter personal atunci când prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru.

25      Având în vedere obiectivul urmărit de Directiva 95/46, constând în a asigura protejarea eficientă și completă a drepturilor și a libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal, expresia „în cadrul activităților unui sediu” nu poate primi o interpretare restrictivă (a se vedea în acest sens Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 53).

26      Pentru a atinge acest obiectiv și pentru a garanta că persoanele nu sunt private de protecția la care au dreptul conform acestei directive, considerentul (18) al directivei menționate enunță că orice prelucrare a datelor cu caracter personal în Uniunea Europeană trebuie efectuată în conformitate cu legislația unuia dintre statele membre și că prelucrarea efectuată sub responsabilitatea unui operator stabilit într‑un stat membru se supune legislației statului respectiv.

27      Legiuitorul Uniunii a prevăzut astfel un domeniu de aplicare teritorial al Directivei 95/46 deosebit de larg, pe care l‑a înscris la articolul 4 din aceasta (a se vedea în acest sens Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 54).

28      În ceea ce privește, în primul rând, noțiunea „stabilire”, trebuie amintit că considerentul (19) al Directivei 95/46 enunță că stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă și reală a unei activități într‑o formă de instalare stabilă și că forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant (Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 48). Acest considerent precizează, pe de altă parte, că dacă un singur operator are sediul pe teritoriul mai multor state membre, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplinește obligațiile prevăzute de dreptul intern aplicabil activităților sale.

29      Rezultă de aici, așa cum a arătat în esență avocatul general la punctele 28 și 32-34 din concluzii, o concepție suplă a noțiunii de sediu, care înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată. Astfel, pentru a determina dacă o societate, operator de date, dispune de un sediu, în sensul Directivei 95/46, într‑un alt stat membru decât statul membru sau țara terță unde este înmatriculată, se impune evaluarea atât a gradului de stabilitate a formei de instalare, cât și a efectivității desfășurării de activități în acest alt stat membru, ținând seama de natura specifică a activităților economice și a prestărilor de servicii în cauză. Această afirmație este valabilă îndeosebi pentru întreprinderile care oferă servicii exclusiv pe internet.

30      În această privință, este necesar mai ales să se considere, în lumina obiectivului urmărit de această directivă, care constă în asigurarea unei protecții eficiente și complete a dreptului la viața privată și în evitarea oricărei eludări, că prezența unui singur reprezentant poate, în anumite împrejurări, să fie suficientă pentru a constitui o formă de instalare stabilă dacă acesta acționează cu un grad suficient de stabilitate cu ajutorul mijloacelor necesare prestării serviciilor concrete respective în statul membru în discuție.

31      În plus, pentru realizarea obiectivului menționat, este necesar să se considere că noțiunea „sediu” în sensul Directivei 95/46 se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într‑o formă de instalare stabilă.

32      În speță, activitatea exercitată de Weltimmo constă, cel puțin, în exploatarea unuia sau a mai multe site‑uri internet de anunțuri imobiliare privind bunuri situate în Ungaria, care sunt redactate în limba maghiară, anunțuri care devin cu plată după trecerea unui termen de o lună. Prin urmare, este necesar să se constate că această societate desfășoară o activitate reală și efectivă în Ungaria.

33      În plus, reiese îndeosebi din precizările aduse de Nemzeti Adatvédelmi és Információszabadság Hatóság că Weltimmo dispune de un reprezentant în Ungaria, care este menționat în registrul slovac al societăților cu o adresă situată în Ungaria și care a încercat să negocieze cu autorii anunțurilor reglarea creanțelor neplătite. Acest reprezentant a servit drept contact între societate și persoanele care au formulat plângerile și a reprezentat societatea în cadrul procedurii administrative și a celei judiciare. În plus, această societate a deschis un cont bancar în Ungaria, destinat recuperării creanțelor sale, și utilizează o cutie poștală pe teritoriul acestui stat membru, pentru gestionarea afacerilor sale curente. Aceste elemente, care trebuie verificate de instanța de trimitere, sunt susceptibile să dovedească, într‑o situație precum cea în discuție în litigiul principal, existența unui „sediu” în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46.

34      În al doilea rând, trebuie stabilit dacă prelucrarea datelor cu caracter personal în cauză este efectuată „în cadrul activităților” acestui sediu.

35      Curtea a considerat deja că articolul 4 alineatul (1) litera (a) din Directiva 95/46 nu impune ca prelucrarea datelor cu caracter personal în discuție să fie efectuată „de” însuși sediul în cauză, ci doar ca ea să fie efectuată „în cadrul activităților” acestuia (Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 52).

36      În speță, prelucrarea în discuție în litigiul principal constă îndeosebi în publicarea, pe site‑urile internet de anunțuri imobiliare ale Weltimmo, de date cu caracter personal referitoare la proprietarii acestor bunuri, precum și, eventual, în utilizarea acestor date în scopul facturării anunțurilor la capătul unui termen de o lună.

37      În această privință, trebuie amintit că, în ceea ce privește în special internetul, Curtea a avut deja ocazia să constate că operațiunea care constă în a încărca date cu caracter personal pe o pagină de internet trebuie considerată o „prelucrare” în sensul articolului 2 litera (b) din Directiva 95/46 (Hotărârea Lindqvist, C‑101/01, EU:C:2003:596, punctul 25, precum și Hotărârea Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 26).

38      Or, această prelucrare are loc neîndoielnic în cadrul activităților, descrise la punctul 32 din prezenta hotărâre, pe care le desfășoară Weltimmo în Ungaria.

39      Prin urmare, sub rezerva verificărilor amintite la punctul 33 din prezenta hotărâre, care trebuie efectuate de instanța de trimitere pentru a stabili, dacă este cazul, existența unui sediu al operatorului în Ungaria, este necesar să se considere că prelucrarea respectivă este realizată în cadrul activităților acestui sediu și că articolul 4 alineatul (1) litera (a) din Directiva 96/46 permite, într‑o situație precum cea în discuție în litigiul principal, aplicarea dreptului maghiar privind protecția datelor cu caracter personal.

40      Împrejurarea că proprietarii bunurilor care fac obiectul anunțurilor imobiliare au cetățenie maghiară nu este în schimb nicidecum pertinentă pentru determinarea dreptului național aplicabil prelucrării datelor în discuție în litigiul principal.

41      Având în vedere ansamblul considerațiilor care precedă trebuie să se răspundă la primele șase întrebări după cum urmează:

–        articolul 4 alineatul (1) litera (a) din Directiva 95/46 trebuie interpretat în sensul că permite aplicarea legislației privind protecția datelor cu caracter personal a unui alt stat membru decât cel în care este înmatriculat operatorul acestor date, în măsura în care acesta exercită, într‑o formă de instalare stabilă pe teritoriul acestui stat membru, o activitate efectivă și reală, chiar minimă, în cadrul căreia este efectuată prelucrarea în discuție;

–        pentru a determina, în împrejurări precum cele în discuție în litigiul principal, dacă aceste condiții sunt îndeplinite, instanța de trimitere poate îndeosebi să țină cont de faptul, pe de o parte, că activitatea operatorului de date, în cadrul căreia are loc prelucrarea, constă în exploatarea unor site‑uri internet de anunțuri imobiliare privind bunuri imobile situate pe teritoriul statului membru menționat și redactate în limba acestuia și că ea este, în consecință, în principal sau chiar în întregime orientată către acest stat membru și, pe de altă parte, că acest operator dispune de un reprezentant în statul membru menționat, care este însărcinat să recupereze creanțele care rezultă din această activitate, precum și să îl reprezinte în proceduri administrative și judiciare privind prelucrarea datelor în cauză;

–        în schimb, este lipsit de pertinență aspectul cetățeniei persoanelor vizate de această prelucrare de date.

 Cu privire la a șaptea întrebare

42      A șaptea întrebare este adresată doar pentru ipoteza în care autoritatea de supraveghere maghiară ar considera că Weltimmo dispune, nu în Ungaria, ci într‑un alt stat membru, de un sediu, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46, care exercită activități în cadrul cărora este efectuată prelucrarea datelor cu caracter personal în cauză.

43      Prin intermediul acestei întrebări, instanța de trimitere solicită să se stabilească în esență dacă, în cazul în care autoritatea de supraveghere maghiară ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal este nu dreptul maghiar, ci dreptul unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 ar trebui interpretat în sensul că această autoritate nu ar putea exercita decât competențele prevăzute la articolul 28 alineatul (3) din această directivă, în conformitate cu dreptul acestui alt stat membru, și nu ar putea aplica sancțiuni.

44      În ceea ce privește, în primul rând, competența unei autorități de supraveghere de a acționa în această situație, este necesar să se arate că, în temeiul articolului 28 alineatul (4) din Directiva 95/46, fiecare autoritate de supraveghere poate fi sesizată de orice persoană printr‑o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal.

45      În consecință, într‑o situație precum cea în discuție în litigiul principal, autoritatea de supraveghere maghiară poate fi sesizată de persoane care, precum autorii anunțurilor privind bunuri imobile în discuție în litigiul principal, se consideră victime ale unei prelucrări ilegale a datelor lor cu caracter personal în statul membru în care dețin aceste bunuri.

46      Trebuie analizat, în al doilea rând, care sunt competențele acestei autorități de supraveghere, în lumina articolului 28 alineatele (1), (3) și (6) din Directiva 95/46.

47      Rezultă din articolul 28 alineatul (1) din această directivă că fiecare autoritate de supraveghere instituită de un stat membru veghează la respectarea pe teritoriul acestui stat membru a dispozițiilor adoptate de statele membre în temeiul Directivei 95/46.

48      Pe baza articolului 28 alineatul (3) din Directiva 95/46, aceste autorități de supraveghere sunt în special, învestite cu competențe de investigare, cum ar fi cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere, și cu competențe efective de intervenție, cum ar fi cele de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul.

49      Ținând seama de caracterul neexhaustiv al competențelor astfel enumerate și de tipul de competențe de intervenție menționate la această dispoziție, precum și de marja de manevră de care dispun statele membre pentru transpunerea Directivei 95/46, este necesar să se considere că aceste competențe de intervenție o pot cuprinde pe cea de sancționare a operatorului de date, prin aplicarea, dacă este cazul, a unei amenzi.

50      Competențele acordate autorităților de supraveghere trebuie să fie exercitate în conformitate cu dreptul procesual al statului membru din care provin.

51      Reiese din cuprinsul articolului 28 alineatele (1) și (3) din Directiva 95/46 că fiecare autoritate de supraveghere exercită ansamblul competențelor care i‑au fost conferite pe teritoriul statului membru din care provine, pentru a asigura pe acest teritoriu respectarea normelor în materie de protecție a datelor.

52      Această aplicare teritorială a competențelor fiecărei autorități de supraveghere este confirmată la articolul 28 alineatul (6) din această directivă, care enunță că fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu articolul 28 alineatul (3) din directiva menționată. Acest articol 28 alineatul (6) precizează totodată că fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru și că autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.

53      Această dispoziție este necesară pentru asigurarea liberei circulații a datelor cu caracter personal în Uniune, veghind la respectarea normelor care vizează protejarea vieții private a persoanelor fizice prevăzute de Directiva 95/46. Astfel, în absența dispoziției menționate, în cazul în care operatorul de date cu caracter personal ar fi supus legii unui stat membru, însă ar încălca dreptul la protecția vieții private al persoanelor fizice într‑un alt stat membru, îndeosebi prin orientarea activității sale către acest alt stat membru fără a fi totuși stabilit acolo în sensul acestei directive, ar fi dificil, dacă nu chiar imposibil, pentru aceste persoane să obțină respectarea dreptului lor la această protecție.

54      Rezultă astfel din cuprinsul articolului 28 alineatul (6) din Directiva 95/46 că autoritatea de supraveghere a unui stat membru, care este sesizată de persoane fizice cu o plângere referitoare la prelucrarea datelor lor cu caracter personal în temeiul articolului 28 alineatul (4) din această directivă, poate examina această plângere indiferent de dreptul aplicabil și, în consecință, chiar dacă dreptul aplicabil prelucrării datelor în cauză este cel al unui alt stat membru.

55      În această ipoteză însă, competențele acestei autorități nu cuprind în mod necesar ansamblul celor cu care este învestită în conformitate cu dreptul statului membru din care provine.

56      În acest sens, așa cum a arătat avocatul general la punctul 50 din concluzii, decurge din cerințele derivate din suveranitatea teritorială a statului membru în cauză, din principiul legalității și din noțiunea de stat de drept că exercitarea competenței sancționatorii nu poate avea loc, în principiu, în afara limitelor legale în care autoritatea administrativă este autorizată să acționeze în conformitate cu dreptul statului membru din care provine.

57      Astfel, atunci când o autoritate de supraveghere este sesizată cu o plângere, conform articolului 28 alineatul (4) din Directiva 95/46, această autoritate își poate exercita competențele de investigare indiferent de dreptul aplicabil și chiar înainte de a ști care este dreptul național care este aplicabil prelucrării în cauză. Cu toate acestea, dacă ajunge la concluzia că este aplicabil dreptul unui alt stat membru, ea nu poate impune sancțiuni în afara teritoriului statului membru din care provine. Într‑o asemenea situație, îi revine, în executarea obligației de cooperare pe care o prevede articolul 28 alineatul (6) din această directivă, să solicite autorității de supraveghere din acest alt stat membru să constate o eventuală încălcare a acestui drept și să impună sancțiuni, dacă acesta din urmă le permite, sprijinindu‑se, eventual, pe informațiile pe care ea i le va fi transmis.

58      Autoritatea de supraveghere sesizată cu o asemenea plângere poate, în cadrul acestei cooperări, să fie pusă în situația să efectueze alte investigații, potrivit instrucțiunilor autorității de supraveghere a celuilalt stat membru.

59      Rezultă că, într‑o situație precum cea în discuție în litigiul principal, în ipoteza în care dreptul aplicabil ar fi cel al unui alt stat membru decât Ungaria, autoritatea de supraveghere maghiară nu ar putea exercita competențele de sancționare pe care i le‑a încredințat dreptul maghiar.

60      Rezultă din considerațiile care precedă că trebuie să se răspundă la a șaptea întrebare că, în ipoteza în care autoritatea de supraveghere a unui stat membru sesizată cu plângeri, conform articolului 28 alineatul (4) din Directiva 95/46, ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal în cauză este nu dreptul statului membru respectiv, ci cel al unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din această directivă trebuie interpretat în sensul că această autoritate de supraveghere nu ar putea exercita competențele efective de intervenție care i‑au fost conferite în conformitate cu articolul 28 alineatul (3) din directiva menționată decât pe teritoriul statului membru din care provine. Prin urmare, ea nu poate aplica sancțiuni pe baza dreptului acestui stat membru operatorului acestor date care nu este stabilit pe acest teritoriu, ci ar trebui, în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere provenind din statul membru al cărui drept este aplicabil să intervină.

 Cu privire la a opta întrebare

61      Prin intermediul celei de a opta întrebări, instanța de trimitere solicită Curții să stabilească conținutul noțiunii „adatfeldolgozás” (operațiuni tehnice de prelucrare de date), utilizată în special la articolul 4 alineatul (1) litera (a) din Directiva 95/46, referitor la determinarea dreptului aplicabil, și la articolul 28 alineatul (6) din această directivă, referitor la competența autorității de supraveghere.

62      Reiese din versiunea în limba maghiară a Directivei 95/46 că aceasta utilizează sistematic termenul „adatfeldolgozás”.

63      Instanța de trimitere indică faptul că Legea informației utilizează, îndeosebi în dispozițiile sale care urmăresc transpunerea dispozițiilor Directivei 95/46 referitoare la competența autorităților de supraveghere, termenul „adatkezelés” (prelucrare de date). Or, astfel cum reiese din cuprinsul articolului 3 punctul 10 din această lege, termenul respectiv are un sens mai larg decât cel al termenului „adatfeldolgozás”, definit la articolul 3 punctul 17 din legea menționată, și înglobează acest din urmă termen.

64      Deși noțiunea „adatfeldolgozás”, potrivit accepțiunii sale obișnuite și astfel cum reiese din Legea informației, are un sens mai restrâns decât noțiunea „adatkezelés”, se impune totuși a sublinia că versiunea în limba maghiară a Directivei 95/46 definește termenul „adatfeldolgozás” la articolul 2 litera (b) într‑o manieră largă, corespunzătoare termenului „adatkezelés”.

65      Rezultă că trebuie să se răspundă la a opta întrebare că Directiva 95/46 trebuie interpretată în sensul că noțiunea „adatfeldolgozás” (operațiuni tehnice de prelucrare de date), utilizată în versiunea în limba maghiară a acestei directive, în special la articolul 4 alineatul (1) litera (a) și la articolul 28 alineatul (6) din aceasta, trebuie înțeleasă într‑un sens identic cu cel al termenului „adatkezelés” (prelucrare de date).

 Cu privire la cheltuielile de judecată

66      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a treia) declară:

1)      Articolul 4 alineatul (1) litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretat în sensul că permite aplicarea legislației privind protecția datelor cu caracter personal a unui alt stat membru decât cel în care este înmatriculat operatorul acestor date, în măsura în care acesta exercită, într‑o formă de instalare stabilă pe teritoriul acestui stat membru, o activitate efectivă și reală, chiar minimă, în cadrul căreia este efectuată prelucrarea în discuție.

Pentru a determina, în împrejurări precum cele în discuție în litigiul principal, dacă aceste condiții sunt îndeplinite, instanța de trimitere poate îndeosebi să țină cont de faptul, pe de o parte, că activitatea operatorului de date, în cadrul căreia are loc prelucrarea, constă în exploatarea unor site‑uri internet de anunțuri imobiliare privind bunuri imobile situate pe teritoriul statului membru menționat și redactate în limba acestuia și că ea este, în consecință, în principal sau chiar în întregime orientată către acest stat membru și, pe de altă parte, că acest operator dispune de un reprezentant în statul membru menționat, care este însărcinat să recupereze creanțele care rezultă din această activitate, precum și să îl reprezinte în proceduri administrative și judiciare privind prelucrarea datelor în cauză.

În schimb, este lipsit de pertinență aspectul cetățeniei persoanelor vizate de această prelucrare de date.

2)      În ipoteza în care autoritatea de supraveghere a unui stat membru sesizată cu plângeri, conform articolului 28 alineatul (4) din Directiva 95/46, ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal în cauză este nu dreptul statului membru respectiv, ci cel al unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din această directivă trebuie interpretat în sensul că această autoritate de supraveghere nu ar putea exercita competențele efective de intervenție care i‑au fost conferite în conformitate cu articolul 28 alineatul (3) din directiva menționată decât pe teritoriul statului membru din care provine. Prin urmare, ea nu poate aplica sancțiuni pe baza dreptului acestui stat membru operatorului acestor date care nu este stabilit pe acest teritoriu, ci ar trebui, în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere provenind din statul membru al cărui drept este aplicabil să intervină.

3)      Directiva 95/46 trebuie interpretată în sensul că noțiunea „adatfeldolgozás” (operațiuni tehnice de prelucrare de date), utilizată în versiunea în limba maghiară a acestei directive, în special la articolul 4 alineatul (1) litera (a) și la articolul 28 alineatul (6) din aceasta, trebuie înțeleasă într‑un sens identic cu cel al termenului „adatkezelés” (prelucrare de date).

Semnături

* Limba de procedură: maghiara.