Language of document : ECLI:EU:C:2015:639

DOMSTOLENS DOM (tredje avdelningen)

den 1 oktober 2015 (*)

”Begäran om förhandsavgörande – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46/EG – Artiklarna 4.1, 28.1, 28.3 och 28.6 – Registeransvarig som formellt är etablerad i en annan medlemsstat – Åsidosättande av rätten till skydd för personuppgifter avseende enskilda personer i en annan medlemsstat – Fastställande av tillämplig lag och av behörig tillsynsmyndighet – Utövande av tillsynsmyndighetens befogenheter – Befogenhet att vidta sanktionsåtgärder”

I mål C‑230/14,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Kúria (Ungern) genom beslut av den 22 april 2014, som inkom till domstolen den 12 maj 2014, i målet

Weltimmo s. r. o.

mot

Nemzeti Adatvédelmi és Információszabadság Hatóság,

meddelar

DOMSTOLEN (tredje avdelningen)

sammansatt av avdelningsordföranden M. Ilešič samt domarna A. Ó Caoimh, C. Toader, E. Jarašiūnas och C.G. Fernlund (referent),

generaladvokat: P. Cruz Villalón,

justitiesekreterare: handläggaren I. Illéssy,

efter det skriftliga förfarandet och förhandlingen den 12 mars 2015,

med beaktande av de yttranden som avgetts av:

–        Nemzeti Adatvédelmi és Információszabadság Hatóság, genom A. Péterfalvi, i egenskap av ombud, biträdd av G. Dudás, ügyvéd,

–        Ungerns regering, genom M.Z. Fehér, G. Koós och A. Pálfy, samtliga i egenskap av ombud,

–        Polens regering, genom B. Majczyna, M. Kamejsza och M. Pawlicka, samtliga i egenskap av ombud,

–        Slovakiens regering, genom B. Ricziová, i egenskap av ombud,

–        Förenade kungarikets regering, genom M. Holt i egenskap av ombud, biträdd av J. Holmes, barrister,

–        Europeiska kommissionen, genom A. Tokár, B. Martenczuk och J. Vondung, samtliga i egenskap av ombud,

och efter att den 25 juni 2015 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1        Begäran om förhandsavgörande avser tolkningen av artiklarna 4.1 a, 28.1, 28.3 och 28.6 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31).

2        Begäran har framställts i ett mål mellan Weltimmo s.r.o. (nedan kallat Weltimmo), ett bolag med säte i Slovakien, och Nemzeti Adatvédelmi és Információszabadság Hatóság (nationell myndighet med ansvar för uppgiftsskydd och informationsfrihet) (nedan kallad den ungerska tillsynsmyndigheten). Målet rör böter som den myndigheten har ålagt på grund av åsidosättande av lag nr CXII av år 2011 om självbestämmande på informationsområdet och om informationsfrihet (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII törvény) (nedan kallad informationslagen), genom vilken direktiv 95/46 införlivades med den ungerska rättsordningen.

 Tillämpliga bestämmelser

 Unionsrätt

3        Skälen 3, 18 och 19 i direktiv 95/46 har följande lydelse:

”(3)      Upprättandet av den inre marknaden och dennas funktion, som i enlighet med artikel [26 FEUF] innebär fri rörlighet för varor, personer, tjänster och kapital, förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas.

(18)      För att undvika att en enskild person förvägras det skydd som tillkommer honom enligt detta direktiv skall varje behandling av personuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandlingen av uppgifter som utförs av någon som på uppdrag av en registeransvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning.

(19)      Etablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person. Om den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna.”

4        I artikel 2 i direktiv 95/46 föreskrivs följande:

”I detta direktiv avses med

b)      behandling av personuppgifter [’feldolgozása’] (behandling [’feldolgozás’]): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,

…”

5        Artikel 4.1 a i direktiv 95/46 har följande lydelse:

”1.      Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när

a)      behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen.”

6        I artikel 28.1, 28.3 och 28.6 i direktiv 95/46 anges följande:

”1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.

Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.

3.      Varje tillsynsmyndighet skall särskilt ha

–        undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,

–        effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner,

–        befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.

6.      En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.”

 Ungersk rätt

7        2 § punkt 1 i informationslagen har följande lydelse:

”Denna lag ska tillämpas på all behandling av uppgifter och all teknisk databehandling som sker i Ungern vad gäller uppgifter om enskilda personer, allmännyttig information eller uppgifter som är offentliga av hänsyn till allmänintresset.”

8        I 3 § punkterna 10 och 17 i informationslagen finns följande definitioner:

”10.      ’behandling av uppgifter’: varje åtgärd eller serie av åtgärder som vidtas beträffande uppgifter, oberoende av vilket förfarande som används, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, användning, inhämtande, översändande, spridning, sammanställning eller samkörning, blockering, utplåning eller förstöring, samt hindrande från återanvändning av uppgifterna, fotografering, ljud- och videoinspelning samt registrering av fysiska kännetecken i identifikationssyfte (såsom finger‑ eller handavtryck, DNA-prover och näthinnebilder).

17.      ’teknisk databehandling’ [’adatfeldolgozás’]: tekniskt arbete i samband med behandling av uppgifter oberoende av vilket förfarande som används, hur det sker och var det tillämpas, så snart som det tekniska arbetet avser uppgifterna.”

 Målet vid den nationella domstolen och tolkningsfrågorna

9        Weltimmo är ett företag som är registrerat i Slovakien och som driver en webbplats för fastighetsannonser avseende egendom belägen i Ungern. I den egenskapen behandlar företaget annonsörernas personuppgifter. Annonserna är gratis i en månad och därefter måste annonsörerna betala för dem. Många annonsörer begärde genom e‑postmeddelande att deras annonser skulle dras tillbaka efter den tiden och att personuppgifterna om dem samtidigt skulle raderas. Weltimmo raderade emellertid inte uppgifterna och fakturerade de berörda för tjänsterna. När de fakturerade beloppen inte betalades lämnade företaget ut de berörda annonsörernas personuppgifter till inkassobyråer.

10      Annonsörerna ingav klagomål till den ungerska tillsynsmyndigheten som förklarade sig vara behörig med stöd av 2 § punkt 1 i informationslagen, eftersom uppgifterna hade samlats in i Ungern och eftersom insamlingen utgjorde behandling av uppgifter eller teknisk behandling av uppgifter om enskilda personer. Med hänsyn till att Weltimmo hade åsidosatt informationslagen, ålade den myndigheten företaget böter med 10 miljoner ungerska forinter (HUF) (ungefär 32 000 euro).

11      Weltimmo överklagade därvid beslutet till Fővárosi Közigazgatási és Munkaügyi Bíróság (förvaltnings- och arbetsdomstol i Budapest), som fann att den omständigheten att företaget inte hade sitt säte eller något etableringsställe i Ungern inte utgjorde ett giltigt argument för försvar, eftersom tillhandahållandet av uppgifter om den aktuella fasta egendomen i Ungern och behandlingen av dessa uppgifter hade ägt rum i Ungern. Den domstolen upphävde emellertid den ungerska tillsynsmyndighetens beslut av andra skäl, eftersom vissa faktiska omständigheter var otydliga.

12      Weltimmo har överklagat till Kúria (Ungerns högsta domstol) och har härvid hävdat att något ytterligare klargörande av omständigheterna inte var nödvändigt, eftersom den ungerska tillsynsmyndigheten enligt artikel 4.1 a i direktiv 95/46 inte var behörig i det aktuella fallet och inte kunde tillämpa ungersk rätt på en tjänsteleverantör etablerad i en annan medlemsstat. Weltimmo har gjort gällande att den myndigheten, enligt artikel 28.6 i direktiv 95/46, borde ha anmodat den behöriga slovakiska myndigheten att vidta åtgärder i dess ställe.

13      Den ungerska tillsynsmyndigheten har hävdat att Weltimmo hade en ungersk företrädare i Ungern, nämligen en av företagets ägare, som har företrätt företaget i det ovannämnda administrativa förfarandet och i det ovannämnda domstolsförfarandet i Ungern. Den ungerska tillsynsmyndigheten har tillagt att Weltimmos internetservrar förmodligen var installerade i Tyskland eller Österrike, men att företagets ägare var bosatta i Ungern. Enligt den ungerska tillsynsmyndigheten följer det slutligen av artikel 28.6 i direktiv 95/46 att den myndigheten i vart fall var behörig, oberoende av vilken rättsordning som var tillämplig.

14      Eftersom Kúria anser att det är oklart hur tillämplig lag ska fastställas och hur det ska fastställas vilken behörighet den ungerska tillsynsmyndigheten har mot bakgrund av artiklarna 4.1 och 28 i direktiv 95/46, har nämnda domstol beslutat att vilandeförklara målet och ställa följande frågor till domstolen:

”1)      Ska artikel 28.1 i direktiv 95/46 tolkas så, att en medlemsstats nationella lagstiftning kan tillämpas på denna stats territorium vad gäller en registeransvarig som uteslutande är etablerad i en annan medlemsstat och driver en webbplats för fastighetsannonser på vilken det bland annat finns annonser för fastigheter som är belägna i den första medlemsstaten, till vilken webbplats fastighetsägarna översänt sina personuppgifter med hjälp av ett medium för lagring och behandling av uppgifter (en server) som innehas av webbplatsförvaltaren och som befinner sig i den andra medlemsstaten?

2)      Ska artikel 4.1 a i direktiv 95/46, mot bakgrund av skälen 18–20 och artiklarna 1.2 och 28.1 i det direktivet, tolkas så, att den ungerska tillsynsmyndigheten inte kan tillämpa den ungerska dataskyddslagen, i egenskap av nationell rätt, på ett företag som driver en webbplats för fastighetsannonser som uteslutande är etablerat i en annan medlemsstat, ens om det på denna webbplats publiceras annonser för ungerska fastigheter vars ägare översänder, sannolikt från Ungern, uppgifter angående sina fastigheter till webbplatsförvaltarens medium för lagring och behandling av uppgifter (server) som är belägen i den andra medlemsstaten?

3)      Är det av betydelse för tolkningen att den tjänst som tillhandahålls av den registeransvarige som driver webbplatsen är riktad till en annan medlemsstat?

4)      Är det av betydelse för tolkningen huruvida uppgifterna om fastigheter belägna i den andra medlemsstaten eller personuppgifterna om fastighetsägarna verkligen har laddats ned från denna andra medlemsstat?

5)      Är det av betydelse för tolkningen att de personuppgifter som är knutna till dessa fastigheter är personuppgifter som avser medborgare i en annan medlemsstat?

6)      Är det av betydelse för tolkningen att ägarna till det företag som är etablerat i Slovakien är bosatta i Ungern?

7)      Om svaren på föregående frågor innebär att den ungerska tillsynsmyndigheten kan genomföra ett förfarande, men inte kan tillämpa den nationella lagstiftningen utan måste tillämpa den lagstiftning som gäller i den medlemsstat där den registeransvarige är etablerad, ska artikel 28.6 i direktiv 95/46 tillämpas så, att den ungerska tillsynsmyndigheten endast kan utöva de befogenheter som slås fast i artikel 28.3 i det direktivet i enlighet med lagstiftningen i den medlemsstat som den registreringsansvarige är etablerad i, och därmed inte kan ålägga böter?

8)      Kan begreppet ’adatfeldolgozás’ (teknisk databehandling) i den mening som avses i artikel 4.1 a och artikel 28.6 i direktiv 95/46 anses vara identiskt med begreppet ’adatkezelés’ (behandling av uppgifter) i direktivets terminologi?”

 Prövning av tolkningsfrågorna

 Inledande anmärkningar

15      Vad först och främst beträffar de faktiska omständigheterna i det nationella målet, ska ett antal ytterligare uppgifter nämnas som den ungerska tillsynsmyndigheten har angett i sitt skriftliga yttrande och under förhandlingen vid domstolen.

16      Det framgår av dessa omständigheter, för det första att den ungerska tillsynsmyndigheten av sin slovakiska motsvarighet informellt fick kännedom om att Weltimmo inte bedrev verksamhet där företaget hade sitt säte, i Slovakien. Weltimmo har dessutom flyttat sitt säte mellan olika stater vid ett flertal tillfällen. För det andra har Weltimmo utvecklat två webbplatser för fastighetsannonser som är skrivna endast på ungerska. Företaget har öppnat ett bankkonto i Ungern för att driva in sina fordringar och hade en brevlåda i den medlemsstaten för sina löpande affärer. Posten hämtades regelbundet och översändes elektroniskt till Weltimmo. För det tredje var annonsörerna inte bara tvungna att själva skriva in uppgifter om sin fasta egendom på Weltimmos webbplats, de var även tvungna att radera uppgifterna från webbplatsen om de inte ville att uppgifterna skulle anges efter den frist på en månad som angetts ovan. Weltimmo angav ett datorproblem för att förklara att uppgifterna inte hade kunnat raderas. För det fjärde är Weltimmo ett företag som består av endast en eller två personer. Dess representant i Ungern försökte att förhandla med annonsörerna om betalningen av de obetalda fordringarna.

17      Vad därefter avser de ställda frågornas lydelse, framgår det av beslutet om hänskjutande och yttrandena från den ungerska tillsynsmyndigheten att det – trots att den hänskjutande domstolen använder orden ”uteslutande är etablerad” i den första och den andra frågan – föreligger tvivel om huruvida Weltimmo är etablerat endast i Slovakien i den mening som avses i artikel 4.1 a i direktiv 95/46, även om Weltimmo är registrerat i Slovakien och därmed etablerat i den medlemsstaten i den mening som avses i bolagsrätten. När den hänskjutande domstolen frågar domstolen om tolkningen av den bestämmelsen, vill den i realiteten få klarhet i vad som omfattas av begreppet etablering i den bestämmelsen.

18      I den första och den andra frågan anför den hänskjutande domstolen slutligen att den server som Weltimmo använder är installerad i Slovakien. I en annan del av beslutet om hänskjutande nämner den domstolen emellertid att det är möjligt att det företagets servrar finns i Tyskland eller Österrike. Under dessa förhållanden ska det anses att det inte är fastslaget i vilken medlemsstat den eller de servrar finns som det ovannämnda företaget använder sig av.

 Den första till och med den sjätte frågan

19      Den hänskjutande domstolen har ställt den första till och med den sjätte frågan, som ska prövas tillsammans, för att få klarhet i huruvida artiklarna 4.1 a och 28.1 i direktiv 95/46 ska tolkas så, att en tillsynsmyndighet i en medlemsstat under sådana omständigheter som i det nationella målet får tillämpa sin nationella lagstiftning om uppgiftsskydd med avseende på en registeransvarig, vars företag är registrerat i en annan medlemsstat och som driver en webbplats för fastighetsannonser avseende fast egendom som är belägen i den första av de båda staterna. Den hänskjutande domstolen vill särskilt få klarhet i huruvida det är relevant att den första medlemsstaten är den

–        till vilken den som är registeransvarig riktar sin verksamhet,

–        där den fasta egendomen är belägen,

–        från vilken uppgifterna om fastighetsägarna lämnas ut,

–        i vilken dessa är medborgare, och

–        i vilken ägarna till det företaget är bosatta.

20      I fråga om tillämplig rätt har den hänskjutande domstolen särskilt nämnt slovakisk och ungersk rätt. Den första är rättsordningen i den medlemsstat där den som är registeransvarig med avseende på de aktuella personuppgifterna är registrerad och den andra är rättsordningen i den medlemsstat som de webbplatser som är i fråga i det nationella målet är riktade till och i vilken den fasta egendom som varit föremål för de publicerade annonserna är belägen.

21      Den ställda frågan regleras just i artikel 4 i direktiv 95/46, som har rubriken ”Tillämplig nationell rätt” och återfinns i kapitel 1 i det direktivet, som har rubriken ”Allmänna bestämmelser”.

22      Artikel 28 i direktiv 95/46, som har rubriken ”Tillsynsmyndighet”, avser däremot den myndighetens roll och befogenheter. Enligt artikel 28.1 i nämnda direktiv har tillsynsmyndigheten till uppgift att inom medlemsstatens territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktiv 95/46. Enligt artikel 28.6 i samma direktiv ska tillsynsmyndigheten utöva de befogenheter som åligger den, oavsett vilken nationell lagstiftning som gäller för behandlingen av personuppgifter.

23      Vilken lag som är tillämplig nationell lag i fråga om den registeransvarige ska således bestämmas mot bakgrund av artikel 4 i direktiv 95/46 och inte mot bakgrund av artikel 28 i det direktivet.

24      Enligt artikel 4.1 a i direktiv 95/46 ska varje medlemsstat tillämpa de nationella bestämmelser som den för genomförandet av det direktivet antar för behandlingen av personuppgifter när behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium där den registeransvarige är etablerad.

25      Med beaktande av syftet med direktiv 95/46, nämligen att säkerställa ett effektivt och fullständigt skydd för enskilda personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, kan uttrycket som ett led i verksamhet vid etableringsstället inte ges en restriktiv tolkning (se, för ett liknande resonemang, dom Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 53).

26      För att uppfylla det syftet och undvika att en enskild person förvägras det skydd som tillkommer denna enligt direktiv 95/46, anges i skäl 18 i det direktivet att varje behandling av personuppgifter inom Europeiska unionen ska ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandling av uppgifter som utförs av någon på uppdrag av en registeransvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning.

27      Unionslagstiftaren har således föreskrivit ett synnerligen vidsträckt geografiskt tillämpningsområde för direktiv 95/46 och har angett detta i artikel 4 i det direktivet (se, för ett liknande resonemang, dom Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 54).

28      Beträffande begreppet etablering erinrar domstolen för det första om att det anges i skäl 19 i direktiv 95/46 att etablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur och att den berörda verksamhetens rättsliga form härvid inte har avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person (dom Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 48). I det skälet anges vidare att om den ansvarige är etablerad på flera medlemsstaters territorier, måste den för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna.

29      Härav följer, såsom generaladvokaten i huvudsak angav i punkterna 28 och 32–34 i förslaget till avgörande, en flexibel tolkning av begreppet etablering och inte ett formalistiskt synsätt som innebär att ett företag enbart ska anses vara etablerat på den plats där det är registrerat. För att avgöra om ett företag som är registeransvarigt är etablerat, i den mening som avses i direktiv 95/46, i en annan medlemsstat än den medlemsstat eller det tredjeland där det är registrerat, är det nödvändigt att beakta både graden av stabilitet hos strukturen och huruvida verksamhet verkligen bedrivs i denna andra medlemsstat med hänsyn till näringsverksamhetens och de tillhandahållna tjänsternas specifika karaktär. Detta gäller särskilt företag som tillhandahåller tjänster uteslutande via internet.

30      Mot bakgrund av det direktivets syfte att säkerställa ett effektivt och fullständigt skydd för rätten till privatliv och att undvika varje kringgående, finner domstolen härvid att en enda företrädare under vissa omständigheter kan anses utgöra en stabil struktur om företrädaren agerar med en tillräcklig grad av stabilitet med hjälp av de resurser som krävs för att tillhandahålla de berörda konkreta tjänsterna i den aktuella medlemsstaten.

31      För att förverkliga det syftet finner domstolen att begreppet etablering i den mening som avses i direktiv 95/46 omfattar all verklig och faktisk verksamhet, även om den är ytterst liten, som utövas med hjälp av en stabil struktur.

32      I målet utgörs Weltimmos verksamhet åtminstone av att driva en eller flera webbplatser för fastighetsannonser som avser egendom belägen i Ungern. Annonserna är avfattade på ungerska och blir avgiftsbelagda efter en månad. Det företaget utövar således en verklig och faktisk verksamhet i Ungern.

33      Det framgår dessutom av de förtydliganden som den ungerska tillsynsmyndigheten har lämnat att Weltimmo har en företrädare i Ungern som anges i det slovakiska bolagsregistret under en adress i Ungern och som har försökt att förhandla med annonsörerna om betalning för de obetalda fordringarna. Företrädaren har fungerat som kontakt mellan företaget och dem som framställt klagomål och han har företrätt företaget i det administrativa förfarandet och i domstolsförfarandet. Företaget har dessutom öppnat ett bankkonto i Ungern för att driva in sina fordringar och använder en brevlåda i den medlemsstaten för sina löpande affärer. Dessa omständigheter, som det ankommer på den hänskjutande domstolen att kontrollera, kan utgöra stöd för att det under sådana förhållanden som i det nationella målet föreligger en etablering i den mening som avses i artikel 4.1 a i direktiv 95/46.

34      Det är för det andra väsentligt att få kännedom om huruvida den aktuella behandlingen av personuppgifter görs ”som ett led i verksamheten” vid etableringsstället.

35      Domstolen har tidigare slagit fast att det enligt artikel 4.1 a i direktiv 95/46 krävs att behandlingen av de aktuella personuppgifterna inte utförs ”av” det berörda etableringsstället självt, utan endast att den utförs ”som ett led i verksamheten” vid etableringsstället (dom Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 52).

36      I förevarande mål består den behandling som är i fråga i det nationella målet av bland annat publicering på Weltimmos webbplatser av personuppgifter avseende ägarna till den egendomen och i förekommande fall av användning av de uppgifterna för fakturering för annonser efter en månad.

37      Särskilt vad gäller internet har domstolen tidigare konstaterat att åtgärden att på en webbsida återge personuppgifter ska anses utgöra behandling i den mening som avses i artikel 2 b i direktiv 95/46 (dom Lindqvist, C‑101/01, EU:C:2003:596, punkt 25, och dom Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 26).

38      Det föreligger inte något tvivel om att behandlingen utförs som ett led i den verksamhet som beskrivits ovan i punkt 32 och som Weltimmo utövar i Ungern.

39      Med förbehåll för de kontroller som det erinrats om ovan i punkt 33, vilka det ankommer på den hänskjutande domstolen att göra för att i förekommande fall fastställa om den registeransvarige är etablerad i Ungern, finner domstolen att behandlingen i fråga utförs som ett led i verksamheten vid det berörda etableringsstället och att artikel 4.1 a i direktiv 95/46, under sådana förhållanden som i det nationella målet, innebär att det är möjligt att tillämpa ungersk rätt om skydd för personuppgifter.

40      Det förhållandet att ägarna till den egendom som är föremål för fastighetsannonserna är ungerska medborgare saknar däremot betydelse då det ska fastställas vilken nationell rätt som är tillämplig på den behandling av uppgifter som är i fråga i det nationella målet.

41      Med hänsyn till vad ovan anförts ska den första till och med den sjätte frågan besvaras enligt följande:

–        Artikel 4.1 a i direktiv 95/46 ska tolkas så, att lagstiftning om skydd för personuppgifter i en annan medlemsstat än den där den registeransvarige är registrerad får tillämpas under förutsättning att den registeransvarige utövar verklig och faktisk verksamhet – även om verksamheten är ytterst liten – i den medlemsstaten med hjälp av en stabil struktur och att den aktuella behandlingen utförs som ett led i verksamheten.

–        För att under sådana förhållanden som i det nationella målet avgöra om detta är fallet får den nationella domstolen beakta att den registeransvariges verksamhet, i vilken behandlingen av uppgifter utförs som ett led, består i drift av webbplatser med fastighetsannonser vilka avser fast egendom belägen i den medlemsstaten och vilka är avfattade på den medlemsstatens språk och att verksamheten således huvudsakligen eller fullständigt riktar sig mot den medlemsstaten. Den nationella domstolen får även beakta att den registeransvarige har en företrädare i den medlemsstaten som har ansvar för att driva in fordringar med anledning av verksamheten och för att företräda den registeransvarige i administrativa förfaranden och domstolsförfaranden beträffande behandlingen av de aktuella uppgifterna.

–        Frågan om vilket land de personer som berörs av behandlingen av uppgifter är medborgare i saknar däremot betydelse.

 Den sjunde frågan

42      Den sjunde frågan har ställts endast för det fall den ungerska tillsynsmyndigheten skulle anse att Weltimmo inte är etablerat, i den mening som avses i artikel 4.1 a i direktiv 95/46, i Ungern, utan i en annan medlemsstat, och utför verksamhet i vilken behandlingen av personuppgifter utförs som ett led.

43      Den hänskjutande domstolen har ställt denna fråga för att få klarhet i huruvida artikel 28.1, 28.3 och 28.6 i direktiv 95/46, om den ungerska tillsynsmyndigheten skulle finna att det inte är ungersk rätt utan en annan medlemsstats rättsordning som ska tillämpas på behandlingen av personuppgifter, ska tolkas så, att den ungerska tillsynsmyndigheten då endast skulle ha de befogenheter som följer av artikel 28.3 i direktiv 95/46 i enlighet med rättsordningen i den andra medlemsstaten och inte skulle kunna vidta sanktionsåtgärder.

44      Vad först och främst beträffar en tillsynsmyndighets befogenhet att handla vid ett sådant förhållande, anger domstolen att enligt artikel 28.4 i direktiv 95/46 kan var och en vända sig till en tillsynsmyndighet med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter.

45      Under sådana förhållanden som i det nationella målet kan sådana personer som de annonsörer som är i fråga i detta mål och som anser att de har utsatts för otillåten behandling av personuppgifter om dem i den medlemsstat där deras egendom finns, således vända sig till den ungerska tillsynsmyndigheten.

46      Domstolen ska för det andra undersöka vilka befogenheter den tillsynsmyndigheten har mot bakgrund av artikel 28.1, 28.3 och 28.6 i direktiv 95/46.

47      Det följer av artikel 28.1 i direktiv 95/46 att varje tillsynsmyndighet som har tillsatts av en medlemsstat ska övervaka tillämpningen, i den medlemsstaten, av de bestämmelser som medlemsstaterna antar till följd av direktiv 95/46.

48      Enligt artikel 28.3 i direktiv 95/46 ska tillsynsmyndigheterna bland annat ha undersökningsbefogenheter, såsom befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa, som till exempel att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling eller att kunna ge den registeransvarige varning eller tillrättavisning.

49      Med beaktande av att denna förteckning över befogenheter inte är uttömmande, samt med beaktande av det slags befogenheter att ingripa som anges i bestämmelsen och medlemsstaternas utrymme för skönsmässig bedömning för att införliva direktiv 95/46, finner domstolen att dessa befogenheter att ingripa kan omfatta befogenhet att vidta sanktionsåtgärder mot den registeransvarige och i förekommande fall ålägga denna böter.

50      De befogenheter som tillsynsmyndigheterna tilldelas ska utövas i enlighet med processrätten i den medlemsstat som de tillhör.

51      Det framgår av artikel 28.1 och 28.3 i direktiv 95/46 att var och en av tillsynsmyndigheterna ska utöva de befogenheter som tilldelats den i den medlemsstat som den tillhör för att säkerställa att reglerna om uppgiftsskydd iakttas inom det området.

52      Att varje tillsynsmyndighets befogenheter har territoriell tillämpning bekräftas i artikel 28.6 i direktiv 95/46. I den artikeln anges att varje tillsynsmyndighet, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, har behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som åligger den enligt artikel 28.3 i samma direktiv. I artikel 28.6 i samma direktiv anges vidare att varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter och att de övervakande myndigheterna i den utsträckning som det behövs ska samarbeta med varandra, särskilt genom att utbyta användbar information.

53      Den bestämmelsen är nödvändig för att säkerställa det fria flödet av personuppgifter inom unionen, och samtidigt att de regler i direktiv 95/46 som syftar till att skydda enskilda personers rätt till privatliv, iakttas. Om den bestämmelsen saknades, skulle det vara svårt eller omöjligt för dessa personer att göra gällande sina rättigheter i nämnda avseende i fall då en registeransvarig omfattas av lagen i en medlemsstat, men åsidosätter rätten till skydd av privatlivet för enskilda personer i en annan medlemsstat, bland annat genom att rikta sin verksamhet till den medlemsstaten utan att vara etablerad där, i den mening som avses i det direktivet.

54      Det följer således av artikel 28.6 i direktiv 95/46 att när enskilda personer, med stöd av artikel 28.4 i det direktivet, riktar klagomål om behandlingen av personuppgifter avseende dem till en tillsynsmyndighet i en medlemsstat, kan den tillsynsmyndigheten undersöka klagomålet oberoende av vilken rättsordning som är tillämplig och således även om den rättsordning som är tillämplig på behandlingen av de aktuella uppgifterna är en annan medlemsstats rättsordning.

55      Vid ett sådant förhållande omfattar tillsynsmyndighetens befogenheter emellertid inte med nödvändighet samtliga befogenheter som den har enligt rättsordningen i den medlemsstat som den tillhör.

56      Såsom generaladvokaten angav i punkt 50 i förslaget till avgörande, följer det av de krav som är en följd av den aktuella medlemsstatens territoriella suveränitet, legalitetsprincipen och rättsstatsbegreppet att rätten att vidta sanktioner i princip inte får utövas utanför de rättsliga gränser inom vilka en myndighet får agera enligt den nationella rätten i myndighetens egen stat.

57      När en tillsynsmyndighet tar emot ett klagomål i enlighet med artikel 28.4 i direktiv 95/46 kan den därför utöva sina undersökningsbefogenheter oavsett vilken nationell lagstiftning som är tillämplig och innan den ens vet vilken nationell lagstiftning som är tillämplig på den aktuella behandlingen. Om den emellertid finner att en annan medlemsstats rättsordning är tillämplig kan den inte vidta sanktionsåtgärder utanför sin egen medlemsstat. Under sådana förhållanden ska den i enlighet med skyldigheten att samarbeta enligt artikel 28.6 i samma direktiv, anmoda tillsynsmyndigheten i den andra medlemsstaten att fastställa en eventuell överträdelse av rättsordningen i den staten och vidta sanktionsåtgärder om den rättsordningen tillåter det, i förekommande fall med stöd av de upplysningar som den andra myndigheten har vidarebefordrat.

58      Den tillsynsmyndighet som har tagit emot ett sådant klagomål kan, i samband med det samarbetet, komma att göra andra undersökningar efter anvisningar av tillsynsmyndigheten i den andra medlemsstaten.

59      Härav följer att den ungerska tillsynsmyndigheten – under sådana förhållanden som i det nationella målet och om en annan rättsordning än den ungerska är tillämplig – inte kan utöva sina befogenheter att vidta sanktionsåtgärder enligt ungersk rätt.

60      Av vad ovan anförts följer att den sjunde frågan ska besvaras så, att att om en tillsynsmyndighet i en medlemsstat tar emot klagomål i enlighet med artikel 28.4 i direktiv 95/46 och finner att det inte är den egna rättsordningen utan en annan medlemsstats rättsordning som ska tillämpas på behandlingen av de aktuella personuppgifterna, ska artikel 28.1, 28.3 och 28.6 i direktiv 95/46 tolkas så, att den tillsynsmyndigheten endast i den egna medlemsstaten har effektiva befogenheter att ingripa enligt artikel 28.3 i det direktivet. Den får därför inte med stöd av sin nationella rättsordning vidta sanktionsåtgärder mot en registeransvarig som inte är etablerad i tillsynsmyndighetens medlemsstat. Med tillämpning av artikel 28.6 i samma direktiv bör den i stället anmoda tillsynsmyndigheten i den medlemsstat vars rättsordning är tillämplig att ingripa.

 Den åttonde frågan

61      Genom den åttonde frågan vill den hänskjutande domstolen få klarhet i räckvidden av begreppet ”adatfeldolgozás” (teknisk databehandling) som används särskilt i artikel 4.1 a i direktiv 95/46 om fastställelse av tillämplig nationell rätt och i artikel 28.6 i samma direktiv om tillsynsmyndighetens behörighet.

62      Det framgår av den ungerska språkversionen av direktiv 95/46 att ordet adatfeldolgozás där används systematiskt.

63      Den hänskjutande domstolen har anfört att ordet ”adatkezelés” (behandling av uppgifter) används i informationslagen, bland annat i bestämmelserna om genomförande av de bestämmelser i direktiv 95/46 som avser tillsynsmyndigheternas behörighet. Såsom framgår av 3 § punkt 10 i nämnda lag har det ordet en vidsträcktare betydelse än ordet adatfeldolgozás som definieras i 3 § punkt 17 i samma lag och inbegriper det ordet.

64      Även om begreppet adatfeldolgozás i sin sedvanliga betydelse och såsom framgår av informationslagen har en snävare betydelse än begreppet adatkezelés, finner domstolen att ordet adatfeldolgozás, i artikel 2 b i den ungerska språkversionen av direktiv 95/46 ges en vid definition som motsvarar ordet adatkezelés.

65      Den åttonde frågan ska således besvaras med att direktiv 95/46 ska tolkas så, att begreppet adatfeldolgozás (teknisk databehandling) – som används i den ungerska språkversionen av det direktivet, särskilt i artiklarna 4.1 a och 28.6 i detsamma – ska uppfattas på samma sätt som ordet adatkezelés (behandling av uppgifter).

 Rättegångskostnader

66      Eftersom förfarandet i förhållande till parterna i målet vid den nationella domstolen utgör ett led i beredningen av samma mål, ankommer det på den nationella domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1)      Artikel 4.1 a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ska tolkas så, att lagstiftning om skydd för personuppgifter i en annan medlemsstat än den där den registeransvarige är registrerad får tillämpas under förutsättning att den registeransvarige utövar verklig och faktisk verksamhet – även om verksamheten är ytterst liten – i den medlemsstaten med hjälp av en stabil struktur och att den aktuella behandlingen utförs som ett led i verksamheten.

För att under sådana förhållanden som i det nationella målet avgöra om detta är fallet får den nationella domstolen beakta att den registeransvariges verksamhet, i vilken behandlingen av uppgifter utförs som ett led, består i drift av webbplatser med fastighetsannonser vilka avser fast egendom belägen i den medlemsstaten och vilka är avfattade på den medlemsstatens språk och att verksamheten således huvudsakligen eller fullständigt riktar sig mot den medlemsstaten. Den nationella domstolen får även beakta att den registeransvarige har en företrädare i den medlemsstaten som har ansvar för att driva in fordringar med anledning av verksamheten och för att företräda den registeransvarige i administrativa förfaranden och domstolsförfaranden beträffande behandlingen av de aktuella uppgifterna.

Frågan om vilket land de personer som berörs av behandlingen av uppgifter är medborgare i saknar däremot betydelse.

2)      Om en tillsynsmyndighet i en medlemsstat tar emot klagomål i enlighet med artikel 28.4 i direktiv 95/46 och finner att det inte är den egna rättsordningen utan en annan medlemsstats rättsordning som ska tillämpas på behandlingen av de aktuella personuppgifterna, ska artikel 28.1, 28.3 och 28.6 i direktiv 95/46 tolkas så, att den tillsynsmyndigheten endast i den egna medlemsstaten har effektiva befogenheter att ingripa enligt artikel 28.3 i det direktivet. Den får därför inte med stöd av sin nationella rättsordning vidta sanktionsåtgärder mot en registeransvarig som inte är etablerad i den tillsynsmyndighetens medlemsstat. Med tillämpning av artikel 28.6 i samma direktiv bör den i stället anmoda tillsynsmyndigheten i den medlemsstat vars rättsordning är tillämplig att ingripa.

3)      Direktiv 95/46 ska tolkas så, att begreppet ”adatfeldolgozás” (teknisk databehandling) – som används i den ungerska språkversionen av det direktivet, särskilt i artiklarna 4.1 a och 28.6 i detsamma – ska uppfattas på samma sätt som ordet ”adatkezelés” (behandling av uppgifter).

Underskrifter


* Rättegångsspråk: ungerska