CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Návrh na začatie prejudiciálneho konania, ktorý podal Bundesverwaltungsgericht (Nemecko) 14. apríla 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH

(vec C-210/16)

Jazyk konania: nemčina

Vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania

Bundesverwaltungsgericht

Účastníci konania pred vnútroštátnym súdom

Žalovaný, odvolateľ a navrhovateľ v konaní o opravnom prostriedku „Revision“: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Žalobkyňa, odporkyňa v odvolacom konaní a odporkyňa v konaní o opravnom prostriedku „Revision“: Wirtschaftsakademie Schleswig-Holstein GmbH

Vedľajší účastníci konania: Facebook Ireland Limited a Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Prejudiciálne otázky

Má sa článok 2 písm. d) smernice 95/46/EHS¹ vykladať v tom zmysle, že taxatívne a podrobne upravuje zodpovednosť za porušenie ochrany osobných údajov, alebo v rámci „vhodných opatrení“ podľa článku 24 smernice 95/46/EHS a „efektívnych právomocí intervencie“ podľa článku 28 ods. 3 druhej zarážky smernice 95/46/EHS v prípade niekoľkostupňových vzťahov s poskytovateľmi informácií existuje pri výbere prevádzkovateľa informačnej ponuky priestor na zodpovednosť orgánu, ktorý nie je zodpovedný za spracovanie osobných údajov v zmysle článku 2 písm. d) smernice 95/46/EHS?

Vyplýva a contrario z povinnosti členských štátov podľa článku 17 ods. 2 smernice 95/46/EHS, že tam, kde sa spracovanie vykonáva v mene kontrolóra, musí kontrolór vybrať „spracovateľa, ktorý poskytne dostatočné záruky vzhľadom na technické bezpečnostné opatrenia a organizačné opatrenia“, že pri inom využívaní, ktoré nie je spojené so spracovaním v mene kontrolóra v zmysle článku 2 písm. e) smernice 95/46/EHS, neexistuje povinnosť starostlivého výberu a nemožno ju vyvodiť ani z vnútroštátneho práva?

Je v prípadoch, keď materská spoločnosť so sídlom mimo Európskej únie zriaďuje v rôznych členských štátoch pobočky, ktoré majú vlastnú právnu subjektivitu (dcérske spoločnosti), dozorný orgán členského štátu (v tomto prípade Nemecko) oprávnený podľa článku 4 a článku 28 ods. 6 smernice 95/46/EHS vykonávať právomoci, ktoré sa naň preniesli podľa článku 28 ods. 3 smernice 95/46/EHS, voči pobočke nachádzajúcej sa na jeho území aj vtedy, keď je táto pobočka zodpovedná výlučne za podporu predaja reklamy a ostatné marketingové opatrenia zamerané na obyvateľov daného členského štátu, kým samostatná pobočka (dcérska spoločnosť) nachádzajúca sa v inom členskom štáte (v tomto prípade v Írsku) je podľa rozdelenia úloh v rámci skupiny zodpovedná výlučne za zber a spracovanie osobných údajov na celom území Európskej únie, a teda aj v druhom členskom štáte (v tomto prípade v Nemecku), keď rozhodnutie o spracovaní osobných údajov v skutočnosti prijíma materská spoločnosť?

Majú sa článok 4 ods. 1 písm. a) a článok 28 ods. 3 smernice 95/46/EHS vykladať v tom zmysle, že v prípadoch, keď má kontrolór pobočku na území jedného členského štátu (v tomto prípade v Írsku) a ďalšia pobočka s vlastnou právnou subjektivitou existuje na území druhého členského štátu (v tomto prípade v Nemecku) a okrem iného zabezpečuje predaj reklamných plôch, pričom jej činnosť sa zameriava na obyvateľov tohto štátu, môže príslušný dozorný orgán v uvedenom druhom členskom štáte (v tomto prípade v Nemecku) adresovať opatrenia a nariadenia na presadzovanie právnej úpravy v oblasti ochrany osobných údajov aj voči ďalšej pobočke (v tomto prípade v Nemecku), ktorá podľa rozdelenia úloh a zodpovednosti v rámci skupiny nie je zodpovedná za spracovanie osobných údajov, alebo sú opatrenia a nariadenia potom prípustné len zo strany dozorného orgánu toho členského štátu, na území ktorého má svoje sídlo pracovisko zodpovedné v rámci skupiny (v tomto prípade Írska)?

Majú sa článok 4 ods. 1 písm. a) a článok 28 ods. 3 a 6 smernice 95/46/EHS vykladať v tom zmysle, že v prípadoch, keď dozorný orgán jedného členského štátu (v tomto prípade Nemecka) vyvodzuje zodpovednosť voči osobe alebo orgánu pôsobiacim na jeho území podľa článku 28 ods. 3 smernice 95/46/EHS v dôsledku nedbanlivosti pri výbere tretej osoby zapojenej do procesu spracovania osobných údajov (v tomto prípade Facebook), pretože táto tretia osoba porušuje právnu úpravu v oblasti ochrany osobných údajov, a konajúci dozorný orgán (v tomto prípade Nemecko) je viazaný posudkom podľa právnej úpravy v oblasti ochrany osobných údajov zo strany dozorného orgánu druhého členského štátu, v ktorom má tretia osoba zodpovedná za spracovanie osobných údajov svoju pobočku (v tomto prípade Írsko), a to v tom zmysle, že nemôže vykonať nijaké právne posúdenie, ktoré sa od neho odlišuje, alebo môže konajúci dozorný orgán (v tomto prípade Nemecko) samostatne skúmať zákonnosť spracovania osobných údajov treťou osobou so sídlom v inom členskom štáte (v tomto prípade v Írsku) ako predbežnú otázku predtým, ako začne konať?

Ak má konajúci dozorný orgán (v tomto prípade Nemecko) možnosť nezávislého overenia, má sa článok 28 ods. 6 druhá veta smernice 95/46/EHS vykladať v tom zmysle, že efektívne právomoci intervencie, ktoré sa tomuto dozornému orgánu udelili podľa článku 28 ods. 3 smernice 95/46/EHS, môže tento orgán vykonávať voči osobe usadenej alebo orgánu so sídlom na jeho území, pokiaľ ide o spoluzodpovednosť za porušenie ochrany osobných údajov v prípade tretej osoby so sídlom v inom členskom štáte, len vtedy, ak predtým požiadal dozorný orgán druhého členského štátu (v tomto prípade Írsko) o výkon jeho právomocí?

____________

¹ Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355)