Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesverwaltungsgericht (Niemcy) w dniu 14 kwietnia 2016 r. – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH

(Sprawa C-210/16)

Język postępowania: niemiecki

Sąd odsyłający

Bundesverwaltungsgericht

Strony w postępowaniu głównym

Strona pozwana, strona wnosząca apelację i strona wnosząca skargę rewizyjną: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Strona skarżąca, druga strona postępowania apelacyjnego i druga strona postępowania rewizyjnego: Wirtschaftsakademie Schleswig-Holstein GmbH

Przypozwany: Facebook Ireland Limited

Uczestnik: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Pytania prejudycjalne

Czy art. 2 lit. d) dyrektywy 95/46/WE¹ należy interpretować w ten sposób, że reguluje on w sposób wyczerpujący odpowiedzialność za naruszenia ochrony danych, czy też w ramach „odpowiednich środków”, o których mowa w art. 24 dyrektywy 95/46/WE, i „skutecznych uprawnień interwencyjnych”, o których mowa w art. 28 ust. 3 tiret trzecie dyrektywy 95/46/WE, w wielostopniowych stosunkach między zamieszczającymi [udostępniającymi] informacje pozostaje miejsce na odpowiedzialność podmiotu, który nie jest administratorem danych w rozumieniu art. 2 lit. d) dyrektywy 95/46/WE, w przypadku wyboru operatora udostępnianych przez ten podmiot informacji?

Czy z przewidzianego w art. 17 ust. 2 dyrektywy 95/46/WE obowiązku państw członkowskich zobowiązania administratora danych, w przypadku przetwarzania danych w jego imieniu, „do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa” wynika a contrario, że w przypadku innych stosunków użytkowania, które nie są związane z przetwarzaniem danych w imieniu administratora danych w rozumieniu art. 2 lit. e) dyrektywy 95/46/WE, nie istnieje obowiązek starannego wyboru i nie może on zostać ustanowiony również na podstawie prawa krajowego?

Czy w przypadkach, w których spółka dominująca mająca siedzibę poza Unią Europejską utrzymuje w różnych państwach członkowskich prawnie samodzielne przedsiębiorstwa (spółki zależne), organ nadzorczy państwa członkowskiego (tutaj: Niemiec) jest uprawniony zgodnie z art. 4 i art. 28 ust. 6 dyrektywy 95/46/WE do wykonywania uprawnień powierzonych mu zgodnie z art. 28 ust. 3 dyrektywy 95/46/WE wobec przedsiębiorstwa położonego na jej terytorium również wtedy, jeżeli przedsiębiorstwo to jest odpowiedzialne wyłącznie za promocję sprzedaży reklam i inne działania marketingowe skierowane do mieszkańców tego państwa członkowskiego, podczas gdy zgodnie z podziałem zadań wewnątrz koncernu wyłączna odpowiedzialność za gromadzenie i przetwarzanie danych osobowych na całym terytorium Unii Europejskiej i tym samym również w innym państwie członkowskim (tutaj: Niemczech) spoczywa na położonym w innym państwie członkowskim (tutaj: Irlandii) samodzielnym przedsiębiorstwie (spółce zależnej), jeżeli decyzja o przetwarzaniu danych jest faktycznie podejmowana przez spółkę dominującą?

Czy art. 4 ust. 1 lit. a) i art. 28 ust. 3 dyrektywy 95/46/WE należy interpretować w ten sposób, że w przypadkach, w których administrator danych prowadzi przedsiębiorstwo na terytorium jednego państwa członkowskiego (tutaj: Irlandii) i na terytorium innego państwa członkowskiego (tutaj: Niemiec) istnieje kolejne, prawnie samodzielne przedsiębiorstwo, które w szczególności jest odpowiedzialne za sprzedaż powierzchni reklamowych, i którego działalność jest skierowana do mieszkańców tego państwa, właściwy w tym innym państwie członkowskim (tutaj: Niemczech) organ nadzorczy może skierować środki i zarządzenia w celu egzekwowania ochrony danych również wobec kolejnego przedsiębiorstwa (tutaj: w Niemczech), do którego zgodnie z podziałem zadań wewnątrz koncernu nie należy administrowanie danymi, czy też rzeczone środki i zarządzenia może stosować jedynie organ nadzorczy państwa członkowskiego (tutaj: Irlandii), na terytorium którego ma swoją siedzibę przedsiębiorstwo administrujące danymi zgodnie z podziałem zadań wewnątrz koncernu?

Czy art. 4 ust. 1 lit. a) oraz art. 28 ust. 3 i 6 dyrektywy 95/46/WE należy interpretować w ten sposób, że w przypadkach, w których organ nadzorczy państwa członkowskiego (tutaj: Niemiec) występuje przeciwko działającej na jego terytorium osobie lub jednostce zgodnie z art. 28 ust. 3 dyrektywy 95/46/WE w związku niestarannym wyborem osoby trzeciej włączonej w proces przetwarzania danych (tutaj: przedsiębiorstwa Facebook) z uwagi na to, że ta osoba trzecia narusza przepisy dotyczące ochrony danych, działający organ nadzorczy (tutaj: Niemcy) jest włączony w ocenę dokonywaną przez organ nadzorczy innego państwa członkowskiego, w którym administrująca danymi osoba trzecia ma swoją siedzibę (tutaj: Irlandii) w tym znaczeniu, że nie może dokonać odmiennej oceny prawnej, czy też podejmujący działanie organ nadzorczy (tutaj: Niemcy) może samodzielnie zbadać zgodność z prawem przetwarzania danych przez mającą siedzibę w innym państwie członkowskim (tutaj: Irlandii) osobę trzecią jako kwestię wstępną, zanim organ ten podejmie działania we własnym zakresie?

Jeżeli podejmujący działanie organ nadzorczy (tutaj: w Niemczech) może dokonać samodzielnej weryfikacji: czy art. 28 ust. 6 zdanie drugie dyrektywy 95/46/WE należy interpretować w ten sposób, że organ ten może wykonywać powierzone mu zgodnie z art. 28 ust. 3 dyrektywy 95/46/WE skuteczne uprawnienia interwencyjne wobec mającej siedzibę na jego terytorium osoby lub jednostki w związku ze współodpowiedzialnością mającej siedzibę w innym państwie członkowskim osoby trzeciej za naruszenia przepisów dotyczących ochrony danych wyłącznie wtedy, jeżeli wcześniej organ nadzorczy tego innego państwa członkowskiego (tutaj: Irlandii) zwrócił się z żądaniem wykonania jego uprawnień?

____________

¹     Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).