2016 m. balandžio 14 d. Bundesverwaltungsgericht (Vokietija) pateiktas prašymas priimti prejudicinį sprendimą byloje Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH
(Byla C-210/16)
Proceso kalba: vokiečių
Prašymą priimti prejudicinį sprendimą pateikęs teismas
Bundesverwaltungsgericht
Šalys pagrindinėje byloje
Atsakovas, pareiškėjas apeliaciniame procese ir pareiškėjas kasaciniame procese: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Pareiškėja, atsakovė apeliaciniame procese ir atsakovė kasaciniame procese: Wirtschaftsakademie Schleswig-Holstein GmbH
Trečiasis asmuo: Facebook Ireland Limited
Proceso dalyvis: Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
Prejudiciniai klausimai
1. Ar Direktyvos 95/46/EB1 2 straipsnio d punktas aiškintinas taip, kad juo išsamiai ir galutinai reglamentuojama atsakomybė už duomenų saugumo pažeidimus, ar vis dėlto taikant „tinkamas priemones“ pagal Direktyvos 95/46/EB 24 straipsnį ir „įgaliojimus veiksmingai įsikišti“ pagal Direktyvos 95/46/EB 28 straipsnio 3 dalies antrą įtrauką daugiapakopėje informacijos teikėjų struktūroje galima įžvelgti institucijos, kuri nėra atsakinga už duomenų tvarkymą pagal Direktyvos 95/46/EB 2 straipsnio d dalį, atsakomybę už savo siūlomos informacijos valdytojo pasirinkimą?
2. Ar vis dėlto valstybių narių pareiga pagal Direktyvos 95/46/EB 17 straipsnio 2 dalį tais atvejais, kai duomenys tvarkomi duomenų valdytojo vardu, numatyti, kad duomenų valdytojas turi „parinkti <…> duomenų tvarkytoją, kuris garantuotų reikiamas techninio saugumo ir organizacines priemones, taikomas tvarkant numatytus duomenis“, aiškintina taip, kad kitų su naudojimu susijusių santykių atveju, kurie nėra susiję su duomenų tvarkymu duomenų valdytojo vardu pagal Direktyvos 95/46/EB 2 straipsnio e punktą, nėra pareigos rūpestingai pasirinkti tokį tvarkytoją ir jos negalima pagrįsti pagal nacionalinę teisę?
3. Ar tais atvejais, kai už Europos Sąjungos ribų įsisteigusi patronuojančioji bendrovė įvairiose valstybėse narėse turi teisiškai nepriklausomus padalinius (dukterines bendroves), pagal Direktyvos 95/46/EB 4 straipsnį, 28 straipsnio 6 dalį valstybės narės (šiuo atveju Vokietijos) priežiūros institucija turi teisę įgyvendinti jai pagal Direktyvos 95/46/EB 28 straipsnio 3 dalį suteiktus įgaliojimus jos teritorijoje esančio padalinio atžvilgiu net tuomet, kai tas padalinys yra atsakingas tik už reklamos pardavimo skatinimą ir kitas rinkodaros priemones, skirtas tos valstybės narės gyventojams, o kitas kitoje valstybėje narėje (šiuo atveju Airijoje) esantis nepriklausomas padalinys (dukterinė bendrovė) remiantis vidiniu koncerno užduočių paskirstymu yra atsakingas tik už asmens duomenų rinkimą ir tvarkymą visoje Europos Sąjungoje, t. y. ir kitoje valstybėje narėje (šiuo atveju Vokietijoje), jei iš tiesų sprendimą dėl duomenų tvarkymo priima patronuojančioji bendrovė?
4. Ar Direktyvos 95/46/EB 4 straipsnio 1 dalies a punktas, 28 straipsnio 3 dalis yra aiškintini taip, kad tais atvejais, kai duomenų valdytojas turi padalinį vienos valstybės narės teritorijoje (šiuo atveju Airijoje), o kitos valstybės narės teritorijoje (šiuo atveju Vokietijoje) turi dar vieną teisiškai nepriklausomą padalinį, kuris, be kita ko, yra atsakingas už reklaminio ploto pardavimą ir jo veikla skirta tos valstybės gyventojams, toje kitoje valstybėje narėje (šiuo atveju Vokietijoje) kompetentinga priežiūros institucija gali taikyti priemones ir nurodyti įgyvendinti duomenų apsaugą reglamentuojančius teisės aktus kito padalinio (šiuo atveju Vokietijoje) atžvilgiu, kuris, remiantis vidiniu koncerno užduočių ir atsakomybės paskirstymu, nėra atsakingas už duomenų tvarkymą, ar vis dėlto tokiu atveju taikyti priemones ir teikti nurodymus gali tik valstybės narės (šiuo atveju Airijos), kurios teritorijoje yra pagal vidinę koncerno tvarką atsakingas padalinys, priežiūros institucija?
5. Ar Direktyvos 95/46/EB 4 straipsnio 1 dalies a punktas, 28 straipsnio 3 ir 6 dalys aiškintini taip, kad tais atvejais, kai vienos valstybės narės (šiuo atveju Vokietijos) priežiūros institucija pagal Direktyvos 95/46/EB 28 straipsnio 3 dalį reiškia pretenzijas jos teritorijoje dirbančiam asmeniui ar veikiančiai institucijai dėl nerūpestingai pasirinkto į duomenų tvarkymo procesą įtraukto trečiojo asmens (šiuo atveju Facebook), nes tas trečiasis asmuo pažeidžia duomenų apsaugos teisės nuostatas, tai priežiūros institucijai, kuri imasi veiksmų (šiuo atveju Vokietijoje), yra privalomas kitos valstybės narės, kurioje už duomenų tvarkymą atsakingas trečiasis asmuo turi savo padalinį (šiuo atveju Airijoje), priežiūros institucijos atliktas su duomenų apsauga susijęs vertinimas ta prasme, kad pirmoji priežiūros institucija negali atlikti tokio teisinio vertinimo, kuris nukryptų nuo antrosios priežiūros institucijos vertinimo, ar vis dėlto priežiūros institucija, kuri imasi veiksmų (šiuo atveju Vokietijoje), gali savarankiškai prieš imdamasi veiksmų preliminariai tikrinti, ar kitoje valstybėje narėje (šiuo atveju Airijoje) įsisteigęs trečiasis asmuo teisėtai tvarko duomenis?
6. Jei priežiūros institucijai, kuri imasi veiksmų, (šiuo atveju Vokietijoje) leidžiama atlikti savarankišką tyrimą, ar Direktyvos 95/46/EB 28 straipsnio 6 dalies antras sakinys aiškintinas taip, kad ši priežiūros institucija gali įgyvendinti jai pagal Direktyvos 95/46/EB 28 straipsnio 3 dalį suteiktus įgaliojimus veiksmingai įsikišti jos teritorijoje įsisteigusio asmens ar institucijos atžvilgiu nagrinėdama bendrą atsakomybę už duomenų saugumo pažeidimus, kuriuos daro kitoje valstybėje narėje įsisteigęs trečiasis asmuo, tik tokiu atveju, jei ji prieš tai kreipėsi į tos kitos valstybės narės (šiuo atveju Airijos) priežiūros instituciją prašydama leisti įgyvendinti šiuos įgaliojimus?
____________1 Direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 255).