Language of document : ECLI:EU:C:2018:388

Ediție provizorie

HOTĂRÂREA CURȚII (Marea Cameră)

5 iunie 2018(*)

„Trimitere preliminară – Directiva 95/46/CE – Date cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea acestor date – Somație care vizează dezactivarea unei pagini Facebook (fan page) care permite colectarea și prelucrarea anumitor date legate de vizitatorii acestei pagini – Articolul 2 litera (d) – Operator de date cu caracter personal – Articolul 4 – Dreptul național aplicabil – Articolul 28 – Autorități naționale de supraveghere – Competențele de intervenție ale acestor autorități”

În cauza C‑210/16,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania), prin decizia din 25 februarie 2016, primită de Curte la 14 aprilie 2016, în procedura

Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein

împotriva

Wirtschaftsakademie SchleswigHolstein GmbH,

cu participarea:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, domnul A. Tizzano (raportor), vicepreședinte, domnii M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský și E. Levits, președinți de cameră, domnii E. Juhász, A. Borg Barthet și F. Biltgen, doamna K. Jürimäe și domnii C. Lycourgos, M. Vilaras și E. Regan, judecători,

avocat general: domnul Y. Bot,

grefier: doamna C. Strömholm, administrator,

având în vedere procedura scrisă și în urma ședinței din 27 iunie 2017,

luând în considerare observațiile prezentate:

–        pentru Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, de U. Karpenstein și de M. Kottmann, Rechtsanwälte;

–        pentru Wirtschaftsakademie Schleswig‑Holstein GmbH, de C. Wolff, Rechtsanwalt;

–        pentru Facebook Ireland Ltd, de C. Eggers, de H.‑G. Kamann și de M. Braun, Rechtsanwälte, precum și de I. Perego, avvocato;

–        pentru guvernul german, de J. Möller, în calitate de agent;

–        pentru guvernul belgian, de L. Van den Broeck, de C. Pochet, de P. Cottin și de J.‑C. Halleux, în calitate de agenți;

–        pentru guvernul ceh, de M. Smolek, de J. Vláčil și de L. Březinová, în calitate de agenți;

–        pentru Irlanda, de M. Browne, de L. Williams, de E. Creedon, de G. Gilmore și de A. Joyce, în calitate de agenți;

–        pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de P. Gentili, avvocato dello Stato;

–        pentru guvernul neerlandez, de C. S. Schillemans și de M. K. Bulterman, în calitate de agenți;

–        pentru guvernul finlandez, de J. Heliskoski, în calitate de agent;

–        pentru Comisia Europeană, de H. Krämer și de D. Nardi, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 24 octombrie 2017,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

2        Această cerere a fost formulată în cadrul unui litigiu între Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (autoritate regională independentă de protecție a datelor din Schleswig‑Holstein, Germania) (denumită în continuare „ULD”), pe de o parte, și Wirtschaftsakademie Schleswig‑Holstein GmbH, societate de drept privat specializată în domeniul educației (denumită în continuare „Wirtschaftsakademie”), pe de altă parte, cu privire la legalitatea unei somații adresate ULD de aceasta din urmă prin care i se solicita dezactivarea paginii sale pentru fani găzduite de site‑ul rețelei sociale Facebook (denumită în continuare „Facebook”).

 Cadrul juridic

 Dreptul Uniunii

3        Considerentele (10), (18), (19) și (26) ale Directivei 95/46 sunt formulate după cum urmează:

„(10)      întrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția Europeană pentru apărarea drepturilor omului și a libertăților fundamentale, cât și în principiile generale ale dreptului [Uniunii]; întrucât, din acest motiv, apropierea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în [Uniune];

[…]

(18)      întrucât, pentru a garanta că persoanele nu sunt private de protecția la care au dreptul în conformitate cu prezenta directivă, orice prelucrare a datelor cu caracter personal în [Uniune] trebuie efectuată în conformitate cu legislația unuia dintre statele membre; întrucât, în acest sens, prelucrarea efectuată sub responsabilitatea unui operator stabilit într‑un stat membru se supune legislației statului respectiv;

(19)      întrucât stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă și reală a unei activități într‑o formă de instalare stabilă; întrucât forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant în această privință; întrucât, dacă un singur operator are sediul pe teritoriul mai multor state membre, în special prin intermediul filialelor, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplinește obligațiile prevăzute de dreptul intern aplicabil activităților sale;

[…]

(26)      întrucât principiile protecției trebuie să se aplice oricărei informații privind o persoană identificată sau identificabilă; întrucât, pentru a determina dacă o persoană este identificabilă, este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată; întrucât principiile protecției nu se aplică datelor anonime astfel încât persoana vizată să nu mai fie identificabilă; […]”

4        Articolul 1 din Directiva 95/46, intitulat „Obiectul directivei”, prevede:

„(1)      Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(2)      Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).”

5        Articolul 2 din această directivă, intitulat „Definiții”, are următorul cuprins:

„În sensul prezentei directive, se aplică următoarele definiții:

[…]

(b)      «prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

[…]

(d)      «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin acte cu putere de lege sau norme administrative interne sau [ale Uniunii], operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul intern sau [al Uniunii];

(e)      «persoana împuternicită de către operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal pe seama operatorului;

(f)      «terț» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;

[…]”

6        Articolul 4 din directiva menționată, intitulat „Dreptul intern aplicabil”, prevede la alineatul (1):

„Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:

(a)      prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru; dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil;

(b)      operatorul nu este stabilit pe teritoriul statului membru, ci într‑un loc în care se aplică dreptul intern al acestuia, în temeiul dreptului internațional public;

(c)      operatorul nu este stabilit pe teritoriul [Uniunii], dar în scopul prelucrării datelor cu caracter personal recurge la mijloace automate sau neautomate, situate pe teritoriul statului membru respectiv, cu excepția cazului în care aceste mijloace sunt folosite numai în vederea tranzitului pe teritoriul [Uniunii].”

7        Articolul 17 din Directiva 95/46, intitulat „Securitatea prelucrărilor”, prevede la alineatele (1) și (2):

„(1)      Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice de protecție adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într‑o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală.

Având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat.

(2)      Statele membre prevăd ca operatorul, dacă prelucrarea este efectuată pe seama sa, să aleagă o persoană care să prezinte suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată și să vegheze la respectarea acestor măsuri.”

8        Articolul 24 din această directivă, intitulat „Sancțiuni”, prevede:

„Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor prezentei directive și, în special, stabilesc sancțiunile care urmează să fie aplicate în caz de încălcare a dispozițiilor adoptate în temeiul prezentei directive.”

9        Articolul 28 din directiva menționată, intitulat „Autoritatea de supraveghere”, are următorul cuprins:

„(1)      Fiecare stat membru prevede ca una sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive.

Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite.

(2)      Fiecare stat membru prevede ca autoritățile de supraveghere să fie consultate la elaborarea normelor și actelor administrative referitoare la protecția drepturilor și libertăților persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.

(3)      Fiecare autoritate este, în special, învestită cu:

–        competențe de investigare, cum ar fi cea de acces la datele care fac obiectul unei prelucrări și cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere;

–        competențe efective de intervenție, cum ar fi, de exemplu, competența de a emite avize înainte de începerea prelucrării, în conformitate cu articolul 20, și de a asigura publicarea adecvată a acestor avize sau de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naționale sau alte instituții politice;

–        competența de a acționa în justiție, în cazul încălcării dispozițiilor de drept intern adoptate în temeiul prezentei directive sau de a sesiza autoritățile judecătorești asupra acestor încălcări.

Deciziile autorităților de supraveghere care dau naștere unor plângeri pot face obiectul unei acțiuni în justiție.

[…]

(6)      Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru.

Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.

[…]”

 Dreptul german

10      Articolul 3 alineatul (7) din Bundesdatenschutzgesetz (Legea federală privind protecția datelor), în versiunea sa aplicabilă faptelor din litigiul principal (denumită în continuare „BDSG”), are următorul cuprins:

„Organism responsabil înseamnă orice persoană sau orice organism care colectează, prelucrează sau utilizează date cu caracter personal pe seama sa sau prin intermediul altei persoane împuternicite.”

11      Articolul 11 din BDSG, intitulat „Colectarea, prelucrarea sau utilizarea unor date cu caracter personal prin intermediul altei persoane împuternicite”, este redactat după cum urmează:

„(1)      Dacă datele cu caracter personal sunt colectate, prelucrate sau utilizate prin intermediul altor organisme împuternicite, operatorul împuternicit este răspunzător pentru respectarea dispozițiilor prezentei legi și a altor dispoziții referitoare la protecția datelor. […]

(2)      Persoana împuternicită trebuie aleasă în mod riguros, ținând în special seama de caracterul adecvat al măsurilor tehnice și organizaționale pe care le‑a luat. Împuternicirea se dă în formă scrisă, fiind necesar în special să se determine în detaliu: […]

Operatorul împuternicit trebuie să se asigure de respectarea măsurilor tehnice și organizaționale luate de persoana împuternicită înainte de începerea prelucrării datelor, apoi în mod regulat. Rezultatul trebuie să fie consemnat.

[…]”

12      Articolul 38 alineatul (5) din BDSG prevede:

„Pentru a garanta respectarea prezentei legi și a altor dispoziții cu privire la protecția datelor, autoritatea de supraveghere poate dispune măsuri prin care să urmărească remedierea încălcărilor constatate în ceea ce privește colectarea, prelucrarea sau utilizarea datelor cu caracter personal sau a încălcărilor de natură tehnică sau organizațională. În cazul unor încălcări sau neîndepliniri grave ale obligațiilor, în special atunci când acestea reprezintă un risc specific de atingere adusă dreptului la viața privată, aceasta poate interzice colectarea, prelucrarea sau utilizarea, chiar recurgerea la anumite proceduri, atunci când nu s‑au remediat încălcările sau neîndeplinirea obligațiilor în timp util, cu încălcarea somației prevăzute în prima teză și în pofida aplicării unei penalități cu titlu cominatoriu. Aceasta poate solicita înlăturarea agentului pentru protecția datelor, în cazul în care nu are expertiza și fiabilitatea necesare pentru a‑și îndeplini atribuțiile.”

13      Articolul 12 din Telemediengesetz (Legea germană privind comunicațiile electronice) din 26 februarie 2007 (BGBl. 2007 I, p. 179, denumită în continuare „TMG”) are următorul cuprins:

„(1)      Furnizorul de servicii poate colecta și utiliza datele cu caracter personal pentru furnizarea serviciilor de comunicații electronice numai dacă acest lucru este permis în temeiul prezentei legi sau al altor dispoziții care fac referire în mod expres la serviciile respective sau dacă utilizatorul și‑a dat consimțământul în acest sens.

[…]

(3)      În lipsa unor dispoziții contrare, legislația în vigoare în materia protecției datelor cu caracter personal se aplică chiar dacă datele nu sunt prelucrate în mod automat.”

 Litigiul principal și întrebările preliminare

14      Wirtschaftsakademie oferă servicii de formare prin intermediul unei pagini pentru fani găzduite de Facebook.

15      Paginile pentru fani sunt conturi de utilizatori care pot fi configurate pe Facebook de particulari sau de întreprinderi. În acest scop, autorul paginii pentru fani, odată înregistrat la Facebook, poate să utilizeze platforma amenajată de acesta din urmă pentru a se prezenta utilizatorilor acestei rețele sociale, precum și persoanelor care vizitează pagina pentru fani și să difuzeze comunicări de orice natură pe piața mediei și a opiniei. Administratorii paginilor pentru fani pot obține date statistice anonime privind vizitatorii acestor pagini cu ajutorul unei funcții intitulate „Facebook Insight” puse în mod gratuit la dispoziția lor de Facebook potrivit condițiilor de utilizare care nu pot fi modificate. Aceste date sunt colectate cu ajutorul unor fișiere‑martori (denumite în continuare „cookies”) care conțin, fiecare, câte un cod de utilizator unic, active timp de doi ani și salvate de Facebook pe discul dur al calculatorului sau pe orice alt suport al vizitatorilor paginii pentru fani. Codul de utilizator, care poate stabili o legătură cu datele de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor pentru fani. În această privință, reiese din decizia de trimitere că nici Wirtschaftsakademie, nici Facebook Ireland Ltd nu au evocat operațiunea de salvare și funcționarea acestui cookie sau prelucrarea consecutivă a datelor, cel puțin în cursul perioadei relevante pentru procedura principală.

16      Prin decizia din 3 noiembrie 2011 (denumită în continuare „decizia atacată”), ULD, în calitatea sa de autoritate de supraveghere, în sensul articolului 28 din Directiva 95/46, responsabilă cu supravegherea aplicării pe teritoriul landului Schleswig‑Holstein (Germania) a dispozițiilor adoptate de Republica Federală Germania în temeiul acestei directive, a somat Wirtschaftsakademie, în conformitate cu articolul 38 alineatul (5) prima teză din BDSG, să dezactiveze pagina pentru fani pe care a creat‑o pe Facebook la adresa www.facebook.com/wirtschaftsakademie, sub sancțiunea unei penalități cu titlu cominatoriu în cazul neexecutării în termenul stabilit, pentru motivul că nici Wirtschaftsakademie, nici Facebook nu informau vizitatorii paginii pentru fani că acesta din urmă colecta, cu ajutorul unor cookies, informații cu caracter personal care îi vizau și că acestea prelucrau apoi respectivele informații. Wirtschaftsakademie a introdus o reclamație împotriva acestei decizii, arătând în esență că ea nu răspundea, în raport cu dreptul aplicabil protecției datelor, nici de prelucrarea datelor efectuată de Facebook, nici de cookie‑urile instalate de acesta din urmă.

17      Prin decizia din 16 decembrie 2011, ULD a respins această reclamație, considerând că răspunderea Wirtschaftsakademie în calitate de furnizor de servicii era dovedită în temeiul articolului 3 alineatul (3) punctul 4 și al articolului 12 alineatul (1) din TMG coroborate cu articolul 3 alineatul (7) din BDSG. ULD a arătat că, prin faptul că a creat pagina sa pentru fani, Wirtschaftsakademie aducea o contribuție activă și voluntară colectării de către Facebook a unor date cu caracter personal privind vizitatorii acestei pagini pentru fani, date de care ea profita prin intermediul statisticilor puse la dispoziție de acesta din urmă.

18      Wirtschaftsakademie a introdus o acțiune împotriva acestei decizii la Verwaltungsgericht (Tribunalul Administrativ, Germania), susținând că prelucrarea datelor cu caracter personal efectuată de Facebook nu poate să îi fie imputată și că ea nu a însărcinat nicidecum Facebook să procedeze, în sensul articolului 11 din BDSG, la prelucrarea unor date pe care le‑ar controla sau pe care le‑ar putea influența. Wirtschaftsakademie deducea din aceasta că ULD ar fi trebuit să se îndrepte direct împotriva Facebook, iar nu să adopte împotriva sa decizia atacată.

19      Prin hotărârea din 9 octombrie 2013, Verwaltungsgericht (Tribunalul Administrativ) a anulat decizia atacată pentru motivul, în esență, că administratorul unei pagini pentru fani pe Facebook nefiind un organism responsabil în sensul articolului 3 alineatul (7) din BDSG, Wirtschaftsakademie nu putea fi destinatara unei măsuri luate în temeiul articolului 38 alineatul (5) din BDSG.

20      Oberverwaltungsgericht (Tribunalul Administrativ Superior, Germania) a respins ca nefondat apelul introdus de ULD împotriva acestei hotărâri. Această instanță a considerat în esență că interzicerea prelucrării datelor, enunțată în decizia atacată, era ilegală, în măsura în care articolul 38 alineatul (5) a doua teză din BDSG prevede un proces progresiv, a cărui primă etapă permite doar adoptarea unor măsuri care urmăresc remedierea încălcărilor constatate cu ocazia prelucrării datelor. O interdicție imediată a prelucrării datelor ar fi de luat în considerare numai în cazul în care o procedură de prelucrare a datelor este ilicită în ansamblul său, iar unicul remediu posibil este suspendarea respectivei proceduri. Or, potrivit Oberverwaltungsgericht (Tribunalul Administrativ Superior), nu aceasta ar fi fost situația în speță, din moment ce Facebook ar fi avut posibilitatea de încetare a încălcărilor invocate de ULD.

21      Oberverwaltungsgericht (Tribunalul Administrativ Superior) a adăugat că decizia atacată era ilegală și pentru motivul că o somație în temeiul articolului 38 alineatul (5) din BDSG nu poate fi pronunțată decât împotriva organismului responsabil, în sensul articolului 3 alineatul (7) din BDSG, Wirtschaftsakademie nefiind un astfel de organism responsabil în ceea ce privește datele colectate de Facebook. Astfel, doar Facebook ar decide cu privire la finalitatea și la mijloacele referitoare la colectarea și la prelucrarea datelor cu caracter personal utilizate în cadrul funcției „Facebook Insight”, Wirtschaftsakademie neprimind decât informații statistice anonimizate.

22      ULD a introdus un recurs la Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania), invocând, printre alte argumente, încălcarea articolului 38 alineatul (5) din BDSG, precum și mai multe erori procedurale care viciază decizia instanței de apel. Ea consideră că încălcarea săvârșită de Wirtschaftsakademie se referă la faptul că aceasta a încredințat unui furnizor necorespunzător, întrucât acesta nu respectă dreptul aplicabil protecției datelor – în cazul de față, Facebook Ireland –, realizarea, găzduirea și întreținerea unui site internet. Somația adresată Wirtschaftsakademie prin decizia atacată, de a proceda la dezactivarea paginii sale pentru fani, ar viza astfel remedierea acestei încălcări, de vreme ce i‑ar interzice să continue utilizarea infrastructurii Facebook ca bază tehnică a site‑ului său internet.

23      La fel ca Oberverwaltungsgericht (Tribunalul Administrativ Superior), Bundesverwaltungsgericht (Curtea Administrativă Federală) este de părere că Wirtschaftsakademie nu poate fi considerată ea însăși ca fiind operator al datelor, în sensul articolului 3 alineatul (7) din BDSG sau al articolului 2 litera (d) din Directiva 95/46. Această din urmă instanță apreciază totuși că noțiunea amintită trebuie să fie, în principiu, interpretată în mod extensiv în interesul unei protecții eficiente a dreptului la viață privată, astfel cum ar fi admis Curtea în jurisprudența sa recentă în materie. Pe de altă parte, instanța menționată are îndoieli cu privire la competențele de care dispune ULD în cazul de față în raport cu Facebook Germany, având în vedere că responsabil pentru colectarea și pentru prelucrarea datelor personale în cadrul grupului Facebook este, la nivelul Uniunii, Facebook Ireland. În sfârșit, instanța menționată are îndoieli cu privire la incidența, în vederea exercitării competențelor de intervenție ale ULD, a aprecierilor făcute de autoritatea de supraveghere de care ține Facebook Ireland în legătură cu legalitatea prelucrării datelor personale în discuție.

24      În aceste condiții, Bundesverwaltungsgericht (Curtea Administrativă Federală) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Articolul 2 litera (d) din Directiva [95/46] trebuie interpretat în sensul că reglementează în mod definitiv și exhaustiv răspunderea pentru încălcările normelor în materie de protecție a datelor sau în sensul că, în cadrul unor raporturi etapizate cu furnizorii de informații, «măsurile adecvate» vizate la articolul 24 din [această directivă] și «competențele efective de intervenție» vizate la articolul 28 alineatul (3) a doua liniuță din [aceasta] permit ca, în cadrul selecției unui operator al ofertei sale de informații, să răspundă și o autoritate care nu este responsabilă de prelucrarea datelor în sensul articolului 2 litera (d) din [directiva menționată]?

2)      Din obligația care incumbă statelor membre potrivit articolului 17 alineatul (2) din Directiva [95/46], mai precis de a prevedea ca operatorul, dacă prelucrarea este efectuată pe seama sa, «să aleagă o persoană care să prezinte suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată», rezultă per a contrario că în alte condiții de utilizare, în care prelucrarea datelor nu este efectuată pe seama operatorului în sensul articolului 2 litera (e) din [această directivă], nu există obligația unei alegeri atente, iar o asemenea obligație nu poate fi întemeiată nici pe dreptul național?

3)      În temeiul articolului 4 și al articolului 28 alineatul (6) din Directiva [95/46], în situațiile în care o societate‑mamă stabilită în afara Uniunii Europene are filiale cu personalitate juridică proprie în mai multe state membre (societăți‑fiică), autoritatea de supraveghere dintr‑un stat membru (în speță Germania) este competentă să exercite competențele care i‑au fost transferate în temeiul articolului 28 alineatul (3) din [aceasta] împotriva unei filiale stabilite pe teritoriul acestui stat membru, atunci când această filială răspunde numai de promovarea și de vânzarea de spații publicitare și de alte măsuri de marketing adresate locuitorilor acestui stat membru, iar în conformitate cu repartizarea îndatoririlor în cadrul grupului, de colectarea și de prelucrarea datelor cu caracter personal pe întregul teritoriu al Uniunii Europene și, astfel, inclusiv în acest stat membru (în speță Germania) răspunde exclusiv filiala autonomă (societatea‑fiică) din alt stat membru (în speță Irlanda), atunci când decizia efectivă privind prelucrarea datelor este adoptată în fapt de societatea‑mamă?

4)      Articolul 4 alineatul (1) și articolul 28 alineatul (3) din Directiva [95/46] trebuie interpretate în sensul că, în cazurile în care operatorul deține o filială pe teritoriul unui stat membru (în speță Irlanda) și o altă filială cu personalitate juridică proprie pe teritoriul altui stat membru (în speță Germania), iar aceasta din urmă răspunde printre altele de vânzarea de spațiu de publicitate, activitatea sa fiind orientată către locuitorii acestui stat, autoritatea de supraveghere competentă din acest alt stat membru (în speță Germania) poate lua măsuri și adopta decizii privind punerea în aplicare a normelor de protecție a datelor și împotriva filialei (din Germania) care, potrivit repartizării îndatoririlor și responsabilităților în cadrul grupului, nu răspunde de prelucrarea datelor sau numai autoritatea de supraveghere din statul membru pe teritoriul căruia este stabilită filiala care răspunde de acest domeniu în cadrul grupului (în speță Irlanda) poate lua asemenea măsuri și adopta asemenea decizii?

5)      Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva [95/46] trebuie interpretate în sensul că, în cazurile în care autoritatea de supraveghere dintr‑un stat membru (în speță Germania) se îndreaptă împotriva unei persoane sau a unui organism care își exercită activitatea pe teritoriul său în temeiul articolului 28 alineatul (3) din [această directivă], din cauza lipsei de atenție la alegerea unui terț implicat în procesul de prelucrare a datelor (în speță Facebook), pentru motivul că acest terț a încălcat normele de protecție a datelor, autoritatea de supraveghere care ia această măsură (în speță Germania) este obligată să respecte aprecierea referitoare la legislația privind protecția datelor efectuată de autoritatea de supraveghere din celălalt stat membru în care se află sediul filialei terțului operator (în speță Irlanda), în sensul că, în cadrul aprecierii sale juridice, nu poate deroga de la aprecierea acestei autorități sau autoritatea de supraveghere implicată (în speță Germania) poate verifica în mod independent legalitatea prelucrării datelor de către un terț stabilit în alt stat membru (în speță Irlanda), ca un aspect cu titlu preliminar?

6)      În ipoteza în care autoritatea de supraveghere interesată (în speță Germania) [ar putea] efectua o verificare independentă: articolul 28 alineatul (6) a doua teză din Directiva [95/46] trebuie interpretat în sensul că această autoritate de supraveghere poate exercita competențele efective de intervenție conferite în conformitate cu articolul 28 alineatul (3) din [această] directivă împotriva unei persoane sau a unui organism de pe teritoriul său în temeiul răspunderii lor pentru încălcarea normelor de protecție a datelor săvârșită de terțul stabilit pe teritoriul altui stat membru numai atunci când a solicitat anterior autorității de supraveghere din celălalt stat membru (în speță Irlanda) să își exercite competențele?”

 Cu privire la întrebările preliminare

 Cu privire la prima și la a doua întrebare

25      Prin intermediul primei și al celei de a doua întrebări preliminare, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 2 litera (d), articolul 17 alineatul (2), articolul 24 și articolul 28 alineatul (3) a doua liniuță din Directiva 95/46 trebuie interpretate în sensul că permit să se rețină răspunderea unui organism, în calitatea sa de administrator al unei pagini pentru fani găzduite pe o rețea socială, în cazul unei atingeri aduse normelor privitoare la protecția datelor cu caracter personal, ca urmare a alegerii de a recurge la această rețea socială pentru a difuza oferta sa de informații.

26      Pentru a răspunde la aceste întrebări, trebuie amintit că, astfel cum rezultă din articolul 1 alineatul (1) din Directiva 95/46 și din considerentul (10) al acesteia, directiva menționată urmărește să garanteze un nivel ridicat de protecție a drepturilor și a libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață privată, în privința prelucrării datelor cu caracter personal (Hotărârea din 11 decembrie 2014, Ryneš, C‑212/13, EU:C:2014:2428, punctul 27 și jurisprudența citată).

27      În conformitate cu acest obiectiv, articolul 2 litera (d) din această directivă definește în mod larg noțiunea „operator” ca vizând persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

28      Astfel, după cum Curtea a apreciat deja, obiectivul acestei dispoziții este asigurarea, printr‑o definiție largă a noțiunii „operator”, a unei protecții eficiente și complete a persoanelor în cauză (Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 34).

29      În plus, de vreme ce, astfel cum prevede expres articolul 2 litera (d) din Directiva 95/46, noțiunea „operator” vizează organismul care, „singur sau împreună cu altele”, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, această noțiune nu face trimitere în mod necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare, fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor.

30      În cazul de față, Facebook Inc. și, în ceea ce privește Uniunea, Facebook Ireland trebuie să fie considerate ca stabilind, cu titlu principal, scopurile și mijloacele de prelucrare a datelor cu caracter personal ale utilizatorilor Facebook, precum și ale persoanelor care au vizitat paginile pentru fani găzduite pe Facebook, intrând astfel sub incidența noțiunii „operator”, în sensul articolului 2 litera (d) din Directiva 95/46, aspect care nu este pus la îndoială în prezenta cauză.

31      În aceste condiții și pentru a răspunde la întrebările adresate, trebuie să se examineze dacă și în ce măsură administratorul unei pagini pentru fani găzduite pe Facebook, precum Wirtschaftsakademie, contribuie, în cadrul acestei pagini pentru fani, la stabilirea, împreună cu Facebook Ireland și cu Facebook Inc., a scopurilor și a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii pentru fani menționate și poate, așadar, să fie considerat ca fiind „operator” în sensul articolului 2 litera (d) din Directiva 95/46.

32      În această privință, rezultă că orice persoană care dorește să creeze o pagină pentru fani pe Facebook încheie cu Facebook Ireland un contract specific referitor la deschiderea unei astfel de pagini și subscrie, în acest sens, la condițiile de utilizare a acestei pagini, inclusiv la politica în materie de cookies aferentă acesteia, aspect care trebuie verificat de instanța națională.

33      Astfel cum reiese din dosarul prezentat Curții, prelucrările de date în discuție în litigiul principal sunt efectuate în principal prin plasarea, de către Facebook, pe calculatorul sau pe orice alte aparat al persoanelor care au vizitat pagina pentru fani a unor cookies care urmăresc stocarea unor informații pe navigatoarele web și care rămân active timp de doi ani dacă nu sunt șterse. Reiese de asemenea că, în practică, Facebook primește, înregistrează și prelucrează informațiile stocate în cookies în special atunci când o persoană vizitează„serviciile Facebook, serviciile furnizate de alte companii Facebook și serviciile furnizate de alte întreprinderi care folosesc serviciile Facebook”. În plus, alte entități, precum partenerii Facebook sau chiar terți, „este posibil să folosească module cookie în cadrul serviciilor Facebook pentru [a furniza servicii direct acestei rețele sociale], precum și întreprinderilor care își fac reclamă pe Facebook”.

34      Aceste prelucrări de date cu caracter personal vizează în special să permită, pe de o parte, Facebook să își amelioreze sistemul de publicitate pe care îl difuzează prin intermediul rețelei sale și, pe de altă parte, administratorului paginii pentru fani să obțină statistici întocmite de Facebook pe baza vizitelor acestei pagini, în vederea gestionării promovării activității sale, permițându‑i să cunoască, de exemplu, profilul vizitatorilor care apreciază pagina sa pentru fani sau care utilizează aplicațiile sale, în scopul de a putea să le propună un conținut mai pertinent și de a dezvolta funcționalități susceptibile să îi intereseze mai mult.

35      Or, deși, prin simplul fapt de a utiliza o rețea socială precum Facebook, un utilizator al Facebook nu devine, la rândul său, operator al datelor cu caracter personal în cadrul acestei rețele, trebuie, în schimb, să se arate că administratorul unei pagini pentru fani găzduite pe Facebook, prin crearea unei astfel de pagini, oferă Facebook posibilitatea de a plasa cookies pe calculatorul sau pe orice alt aparat al persoanei care a vizitat pagina sa pentru fani, indiferent dacă această persoană dispune sau nu dispune de un cont Facebook.

36      În acest cadru, reiese din indicațiile prezentate Curții că crearea unei pagini pentru fani pe Facebook implică din partea administratorului său o acțiune de stabilire a unor parametri, în funcție, printre altele, de audiența sa țintă, precum și de obiective de gestionare sau de promovare a activităților sale, care influențează prelucrarea datelor cu caracter personal în vederea realizării statisticilor stabilite pe baza vizitelor paginii pentru fani. Acest administrator poate, cu ajutorul unor filtre puse la dispoziția sa de către Facebook, să definească criteriile pe baza cărora trebuie să fie întocmite aceste statistici și chiar să desemneze categoriile de persoane care urmează să facă obiectul exploatării datelor lor cu caracter personal de către Facebook. În consecință, administratorul unei pagini pentru fani găzduite pe Facebook contribuie la prelucrarea datelor cu caracter personal ale vizitatorilor paginii sale.

37      În special, administratorul paginii pentru fani poate solicita obținerea – și deci prelucrarea – de date demografice privind audiența sa țintă, în special tendințe în materie de vârstă, de sex, de situație amoroasă și de profesie, de informații privind stilul de viață și centrele de interes ale audienței sale țintă, precum și de informații privind cumpărăturile și comportamentul de cumpărare online ale vizitatorilor paginii sale, categoriile de produse sau servicii care îi interesează cel mai mult, precum și de date geografice care permit administratorului paginii pentru fani să știe unde să efectueze promoții speciale sau să organizeze evenimente și, în manieră mai generală, să își direcționeze mai bine oferta de informații.

38      Deși statisticile de audiență stabilite de Facebook sunt transmise doar administratorului paginii pentru fani într‑o formă anonimizată, nu este mai puțin adevărat că realizarea acestor statistici se bazează pe colectarea prealabilă, prin intermediul cookie‑urilor instalate de Facebook pe calculatorul sau pe orice alt aparat al persoanelor care au vizitat această pagină, și pe prelucrarea datelor personale ale acestor vizitatori în astfel de scopuri statistice. În orice caz, Directiva 95/46 nu impune, atunci când există o responsabilitate solidară a mai multor operatori pentru aceeași prelucrare, ca fiecare să aibă acces la datele cu caracter personal vizate.

39      În aceste împrejurări, trebuie să se considere că administratorul unei pagini pentru fani găzduite pe Facebook, precum Wirtschaftsakademie, participă, prin acțiunea sa de stabilire a unor parametri, în funcție, printre altele, de audiența sa țintă, precum și de obiective de gestionare sau de promovare a activităților sale, la stabilirea scopurilor și a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. Pentru acest motiv, acest administrator trebuie să fie, în cazul de față, calificat drept operator, în cadrul Uniunii, împreună cu Facebook Ireland, în sensul articolului 2 litera (d) din Directiva 95/46.

40      Astfel, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook pentru a beneficia de serviciile aferente acesteia nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal.

41      În fond, trebuie să se sublinieze că paginile pentru fani găzduite pe Facebook pot fi vizitate și de persoane care nu sunt utilizatori ai Facebook și care nu dispun, așadar, de un cont de utilizator pe această rețea socială. În acest caz, răspunderea administratorului paginii pentru fani în privința prelucrării datelor cu caracter personal ale acestor persoane este și mai importantă, întrucât simpla consultare a paginii pentru fani de către vizitatori declanșează automat prelucrarea datelor lor cu caracter personal.

42      În aceste condiții, recunoașterea unei răspunderi solidare a operatorului rețelei sociale și a administratorului unei pagini pentru fani găzduite pe această rețea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecții mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani, în conformitate cu cerințele Directivei 95/46.

43      Acestea fiind spuse, trebuie să se precizeze, astfel cum a arătat avocatul general la punctele 75 și 76 din concluzii, că existența unei răspunderi solidare nu înseamnă în mod necesar o răspundere echivalentă a diferitor operatori vizați de o prelucrare a datelor cu caracter personal. Dimpotrivă, acești operatori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței.

44      Având în vedere considerațiile care precedă, trebuie să se răspundă la prima și la a doua întrebare că articolul 2 litera (d) din Directiva 95/46 trebuie să fie interpretat în sensul că noțiunea „operator”, în sensul acestei dispoziții, înglobează administratorul unei pagini pentru fani găzduite pe o rețea socială.

 Cu privire la a treia și la a patra întrebare

45      Prin intermediul celei de a treia și al celei de a patra întrebări, care trebuie analizate împreună, instanța de trimitere urmărește în esență să afle dacă articolele 4 și 28 din Directiva 95/46 trebuie să fie interpretate în sensul că, în cazul în care o întreprindere stabilită în afara Uniunii dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competențele pe care i le conferă articolul 28 alineatul (3) din această directivă, în privința unui sediu situat pe teritoriul acestui stat membru, deși, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu răspunde doar de vânzarea de spații publicitare și de alte activități de marketing pe teritoriul statului membru menționat și, pe de altă parte, răspunderea exclusivă a colectării și a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii, unui sediu situat într‑un alt stat membru sau dacă revine autorității de supraveghere a acestui din urmă stat membru sarcina de a exercita aceste competențe în privința celui de al doilea sediu.

46      ULD și guvernul italian au îndoieli cu privire la admisibilitatea acestor întrebări pentru motivul că nu ar fi pertinente pentru soluționarea litigiului principal. Astfel, decizia atacată ar avea ca destinatar Wirtschaftsakademie și nu ar viza, așadar, nici Facebook Inc., nici una dintre filialele acesteia stabilite pe teritoriul Uniunii.

47      În această privință, trebuie amintit că, în cadrul cooperării dintre Curte și instanțele naționale, instituită la articolul 267 TFUE, numai instanța națională sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea dreptului Uniunii, Curtea este, în principiu, obligată să se pronunțe (Hotărârea din 6 septembrie 2016, Petruhhin, C‑182/15, EU:C:2016:630, punctul 19 și jurisprudența citată).

48      În cazul de față, trebuie să se arate că instanța de trimitere susține că un răspuns al Curții la a treia și la a patra întrebare preliminară îi este necesar pentru a se pronunța asupra litigiului principal. Instanța de trimitere explică astfel că, în cazul în care s‑ar constata, în lumina acestui răspuns, că ULD putea remedia pretinsele atingeri aduse dreptului la protecția datelor cu caracter personal luând o măsură împotriva Facebook Germania, o asemenea împrejurare ar fi susceptibilă să stabilească existența unei erori de apreciere care afectează decizia atacată, în măsura în care ar fi fost luată eronat împotriva Wirtschaftsakademie.

49      În aceste condiții, a treia și a patra întrebare sunt admisibile.

50      Pentru a răspunde la aceste întrebări, trebuie amintit cu titlu introductiv că, potrivit articolului 28 alineatele (1) și (3) din Directiva 95/46, fiecare autoritate de supraveghere exercită ansamblul competențelor care i‑au fost conferite de dreptul intern pe teritoriul statului membru din care provine, pentru a asigura pe acest teritoriu respectarea normelor în materie de protecție a datelor (a se vedea în acest sens Hotărârea din 1 octombrie 2015, Weltimmo, C‑230/14, EU:C:2015:639, punctul 51).

51      Chestiunea referitoare la care drept național se aplică prelucrării datelor cu caracter personal este guvernată de articolul 4 din Directiva 95/46. Potrivit alineatului (1) litera (a) al acestui articol, fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul acestei directive pentru prelucrarea datelor cu caracter personal atunci când prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru. Această dispoziție precizează că, dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare dintre sedii respectă obligațiile prevăzute în dreptul intern.

52      Rezultă astfel din coroborarea acestei dispoziții cu articolul 28 alineatele (1) și (3) din Directiva 95/46 că, atunci când dreptul național al statului membru din care provine autoritatea de supraveghere este aplicabil potrivit articolului 4 alineatul (1) litera (a) din aceasta, ca urmare a faptului că prelucrarea în cauză este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul acestui stat membru, această autoritate de supraveghere poate exercita ansamblul competențelor care îi sunt conferite de acest drept în privința acestui sediu, independent de aspectul dacă operatorul dispune de sedii și în alte state membre.

53      Astfel, pentru a determina dacă o autoritate de supraveghere este îndreptățită, în împrejurări precum cele din litigiul principal, să exercite în privința unui sediu situat pe teritoriul statului membru din care provine competențele care îi sunt conferite de dreptul național, trebuie să se verifice dacă cele două condiții prevăzute la articolul 4 alineatul (1) litera (a) din Directiva 96/46 sunt întrunite, și anume, pe de o parte, dacă este vorba despre un „[sediu al] operatorului”, în sensul acestei dispoziții, și, pe de altă parte, dacă prelucrarea menționată este efectuată „în cadrul activităților” acestui sediu, în sensul aceleiași dispoziții.

54      În ceea ce privește, în primul rând, condiția potrivit căreia operatorul datelor cu caracter personal trebuie să dispună de un sediu pe teritoriul statului membru din care provine autoritatea de supraveghere în cauză, trebuie amintit că, potrivit considerentului (19) al Directivei 95/46, stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă și reală a unei activități într‑o formă de instalare stabilă și că forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant (Hotărârea din 1 octombrie 2015, Weltimmo, C‑230/14, EU:C:2015:639, punctul 28 și jurisprudența citată).

55      În cazul de față, este cert că Facebook Inc., ca operator care prelucrează date cu caracter personal împreună cu Facebook Ireland, dispune de un sediu stabil în Germania, și anume Facebook Germany, situat la Hamburg, și că această din urmă societate exercită în mod real și efectiv activități în statul membru menționat. În consecință, ea constituie un sediu în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46.

56      În ceea ce privește, în al doilea rând, condiția potrivit căreia prelucrarea de date cu caracter personal trebuie să fie efectuată „în cadrul activităților” sediului în discuție, trebuie amintit, mai întâi, că, având în vedere obiectivul urmărit de Directiva 95/46, constând în asigurarea unei protecții eficiente și complete a libertăților și a drepturilor fundamentale ale persoanelor fizice, în special a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal, expresia „în cadrul activităților [unui sediu]” nu poate primi o interpretare restrictivă (Hotărârea din 1 octombrie 2015, Weltimmo, C‑230/14, EU:C:2015:639, punctul 25 și jurisprudența citată).

57      În continuare, trebuie subliniat că articolul 4 alineatul (1) litera (a) din Directiva 95/46 nu impune ca o astfel de prelucrare să fie efectuată „de” însuși sediul în cauză, ci doar ca ea să fie efectuată „în cadrul activităților” acestuia (Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 52).

58      În cazul de față, reiese din decizia de trimitere, precum și din observațiile scrise depuse de Facebook Ireland că Facebook Germany este răspunzătoare de promovarea și de vânzarea unor spații publicitare și desfășoară activități destinate persoanelor care au reședința în Germania.

59      Așa cum s‑a amintit la punctele 33 și 34 din prezenta hotărâre, prelucrarea datelor cu caracter personal în discuție în litigiul principal, efectuată de Facebook Inc. împreună cu Facebook Ireland și care constă în colectarea unor astfel de date prin intermediul unor cookies instalate pe calculatoarele sau pe orice alt aparat al vizitatorilor paginilor pentru fani găzduite pe Facebook, are, printre altele, ca obiectiv să permită acestei rețele sociale să își amelioreze sistemul de publicitate pentru a orienta mai eficient comunicările pe care le difuzează.

60      Or, după cum a arătat avocatul general la punctul 94 din concluzii, dat fiind, pe de o parte, că o rețea socială precum Facebook generează o parte substanțială a veniturilor sale în special datorită publicității difuzate pe paginile de internet pe care utilizatorii le creează și la care au acces și, pe de altă parte, că sediul Facebook situat în Germania este destinat să asigure, în acest stat membru, promovarea și vânzarea de spații publicitare care servesc la rentabilizarea serviciilor oferite de Facebook, activitățile acestui sediu trebuie să fie considerate ca fiind indisociabil legate de prelucrarea datelor cu caracter personal în discuție în litigiul principal, în privința căreia Facebook Inc. este, împreună cu Facebook Ireland, operator. Prin urmare, o astfel de prelucrare trebuie să fie considerată ca fiind efectuată în cadrul activităților unui sediu al operatorului, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46 (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctele 55 și 56).

61      Rezultă că, întrucât dreptul german este, potrivit articolului 4 alineatul (1) litera (a) din Directiva 95/46, aplicabil prelucrării datelor cu caracter personal în discuție în litigiul principal, autoritatea de supraveghere germană era competentă, în conformitate cu articolul 28 alineatul (1) din această directivă, să aplice acest drept prelucrării menționate.

62      În consecință, această autoritate de supraveghere era competentă, pentru a asigura respectarea pe teritoriul german a normelor în materie de protecție a datelor cu caracter personal, să pună în aplicare, în privința Facebook Germany, ansamblul competențelor de care dispune în temeiul dispozițiilor naționale de transpunere a articolului 28 alineatul (3) din Directiva 95/46.

63      Se impune să se precizeze de asemenea că împrejurarea, evidențiată de instanța de trimitere în cea de a treia întrebare, potrivit căreia strategiile decizionale în ceea ce privește colectarea și prelucrarea de date personale referitoare la persoane care au reședința pe teritoriul Uniunii sunt adoptate de o societate‑mamă stabilită într‑o țară terță, precum, în cazul de față, Facebook Inc., nu este de natură să pună în discuție competența autorității de supraveghere supuse dreptului unui stat membru în privința unui sediu, situat pe teritoriul aceluiași stat, al operatorului datelor respective.

64      Având în vedere cele ce precedă, trebuie să se răspundă la a treia și la a patra întrebare că articolele 4 și 28 din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când o întreprindere stabilită în afara Uniunii dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competențele pe care i le conferă articolul 28 alineatul (3) din această directivă în privința unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deși, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu răspunde doar de vânzarea de spații publicitare și de alte activități de marketing pe teritoriul statului membru menționat și, pe de altă parte, răspunderea exclusivă a colectării și a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii, unui sediu situat într‑un alt stat membru.

 Cu privire la a cincea și la a șasea întrebare

65      Prin intermediul celei de a cincea și al celei de a șasea întrebări, care trebuie examinate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când autoritatea de supraveghere a unui stat membru intenționează să exercite în privința unui organism stabilit pe teritoriul acestui stat membru competențele de intervenție prevăzute la articolul 28 alineatul (3) din această directivă ca urmare a unor atingeri aduse normelor referitoare la protecția datelor cu caracter personal, săvârșite de un terț operator al acestor date care are sediul în alt stat membru, această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru, legalitatea unei astfel de prelucrări de date și își poate exercita competențele de intervenție în privința organismului stabilit pe teritoriul său fără a solicita în prealabil autorității de supraveghere a celuilalt stat membru să intervină.

66      Pentru a răspunde la aceste întrebări, trebuie să se amintească, astfel cum rezultă din răspunsul la prima și la cea de a doua întrebare preliminară, că articolul 2 litera (d) din Directiva 95/46 trebuie să fie interpretat în sensul că permite, în împrejurări precum cele din litigiul principal, să se rețină răspunderea unui organism precum Wirtschaftsakademie, în calitatea sa de administrator al unei pagini pentru fani găzduite pe Facebook, în cazul unei atingeri aduse normelor referitoare la protecția datelor cu caracter personal.

67      Rezultă că, în temeiul articolului 4 alineatul (1) litera (a), precum și al articolului 28 alineatele (1) și (3) din Directiva 95/46, autoritatea de supraveghere a statului membru pe teritoriul căruia este stabilit acest organism este competentă să aplice dreptul său național și, astfel, să pună în aplicare, în privința organismului menționat, ansamblul competențelor care îi sunt conferite de acest drept național, în conformitate cu articolul 28 alineatul (3) din această directivă.

68      După cum prevede articolul 28 alineatul (1) al doilea paragraf din directiva menționată, autoritățile de supraveghere responsabile cu supravegherea aplicării pe teritoriul statelor membre din care provin a dispozițiilor adoptate de acestea din urmă în temeiul aceleiași directive acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite. Această cerință rezultă de asemenea din dreptul primar al Uniunii, în special din cuprinsul articolului 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene și al articolului 16 alineatul (2) TFUE (a se vedea în acest sens Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 40).

69      În plus, deși, potrivit articolului 28 alineatul (6) al doilea paragraf din Directiva 95/46, autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile, aceeași directivă nu prevede niciun criteriu de prioritate care să reglementeze intervenția acestor autorități de supraveghere unele în raport cu celelalte și nici nu prevede obligația unei autorități de supraveghere a unui stat membru de a se conforma poziției exprimate eventual de autoritatea de supraveghere a unui alt stat membru.

70      Astfel, nimic nu obligă o autoritate de supraveghere a cărei competență este recunoscută potrivit dreptului său național să își însușească soluția reținută de o altă autoritate de supraveghere într‑o situație analogă.

71      În această privință, trebuie să se amintească faptul că, întrucât autoritățile naționale de supraveghere sunt, conform articolului 8 alineatul (3) din Carta drepturilor fundamentale și articolului 28 din Directiva 95/46, responsabile de supravegherea respectării normelor Uniunii referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, fiecare dintre acestea este, așadar, învestită cu competența de a verifica dacă o prelucrare de date cu caracter personal pe teritoriul statului membru din care provine respectă cerințele stabilite de Directiva 95/46 (a se vedea în acest sens Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 47).

72      Întrucât articolul 28 din Directiva 95/46 se aplică, prin însăși natura sa, oricărei prelucrări a datelor cu caracter personal, chiar în prezența unei decizii a unei autorități de supraveghere a unui alt stat membru, o autoritate de supraveghere, sesizată de o persoană cu o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal care o privesc, trebuie să poată examina, în condiții de independență deplină, dacă prelucrarea acestor date respectă cerințele stabilite de directiva menționată (a se vedea în acest sens Hotărârea din 6 octombrie 2015, Schrems, C‑362/14, EU:C:2015:650, punctul 57).

73      Rezultă că, în cazul de față, potrivit sistemului instituit de Directiva 95/46, ULD era abilitată să aprecieze, în mod autonom în raport cu evaluările efectuate de autoritatea de supraveghere irlandeză, legalitatea prelucrării de date în discuție în litigiul principal.

74      În consecință, trebuie să se răspundă la a cincea și la a șasea întrebare că articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când autoritatea de supraveghere a unui stat membru intenționează să exercite în privința unui organism stabilit pe teritoriul acestui stat membru competențele de intervenție prevăzute la articolul 28 alineatul (3) din această directivă ca urmare a unor atingeri aduse normelor referitoare la protecția datelor cu caracter personal, săvârșite de un terț operator al acestor date care are sediul în alt stat membru, această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru, legalitatea unei astfel de prelucrări de date și își poate exercita competențele de intervenție în privința organismului stabilit pe teritoriul său fără a solicita în prealabil autorității de supraveghere a celuilalt stat membru să intervină.

 Cu privire la cheltuielile de judecată

75      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1)      Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie să fie interpretat în sensul că noțiunea „operator”, în sensul acestei dispoziții, înglobează administratorul unei pagini pentru fani găzduite pe o rețea socială.

2)      Articolele 4 și 28 din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când o întreprindere stabilită în afara Uniunii Europene dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competențele pe care i le conferă articolul 28 alineatul (3) din această directivă în privința unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deși, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu răspunde doar de vânzarea de spații publicitare și de alte activități de marketing pe teritoriul statului membru menționat și, pe de altă parte, răspunderea exclusivă a colectării și a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii Europene, unui sediu situat întrun alt stat membru.

3)      Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când autoritatea de supraveghere a unui stat membru intenționează să exercite în privința unui organism stabilit pe teritoriul acestui stat membru competențele de intervenție prevăzute la articolul 28 alineatul (3) din această directivă ca urmare a unor atingeri aduse normelor referitoare la protecția datelor cu caracter personal, săvârșite de un terț operator al acestor date care are sediul în alt stat membru, această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru, legalitatea unei astfel de prelucrări de date și își poate exercita competențele de intervenție în privința organismului stabilit pe teritoriul său fără a solicita în prealabil autorității de supraveghere a celuilalt stat membru să intervină.

Semnături


*      Limba de procedură: germana.