Sprawa C‑230/14
Weltimmo s.r.o.
przeciwko
Nemzeti Adatvédelmi és Információszabadság Hatóság
(wniosek o wydanie orzeczenia w trybie prejudycjalnym
złożony przez Kúria)
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46/WE – Artykuł 4 ust. 1 i art. 28 ust. 1, 3 i 6 – Administrator danych formalnie mający siedzibę na terytorium określonego państwa członkowskiego – Naruszenie prawa do ochrony danych osobowych dotyczące osób fizycznych w innym państwie członkowskim – Ustalenie prawa właściwego oraz właściwego organu nadzorczego – Wykonywanie uprawnień organu nadzorczego – Uprawnienie do nakładania sankcji
Streszczenie – wyrok Trybunału (trzecia izba) z dnia 1 października 2015 r.
1. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Utworzenie spółki będącej administratorem danych – Pojęcie – Szeroka wykładnia
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, motyw 19)
2. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Spółka będąca administratorem danych w państwie członkowskim innym niż miejsce jej rejestracji – Stosowanie ustawodawstwa tego innego państwa członkowskiego – Przesłanka – Prowadzenie faktycznej i rzeczywistej działalności poprzez stabilne rozwiązanie organizacyjne – Kryteria oceny
[dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 4 ust. 1 lit. a)]
3. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Skarga skierowana do organu nadzorczego państwa członkowskiego – Organ nadzorczy stwierdzający stosowanie ustawodawstwa innego państwa członkowskiego w zakresie przetwarzania danych – Uprawnienia interwencyjne tego organu – Granice
(dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 28 ust. 1, 3, 4, 6)
4. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46 – Pojęcie „adatfeldolgozás” (czynności techniczne w zakresie przetwarzania danych) użytego w węgierskiej wersji językowej – Zakres
[dyrektywa 95/46 Parlamentu Europejskiego i Rady, art. 4 ust. 1 lit. a), art. 28 ust. 6]
1. Z motywu 19 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, wyłania się elastyczna koncepcja pojęcia prowadzenia działalności gospodarczej, odbiegająca od podejścia formalistycznego, zgodnie z którym przedsiębiorstwo prowadzi działalność gospodarczą wyłącznie w miejscu, w którym jest zarejestrowane. Tym samym w celu ustalenia, czy dana spółka będąca administratorem danych prowadzi działalność gospodarczą w rozumieniu dyrektywy 95/46 w innym państwie członkowskim niż państwo członkowskie lub trzecie, w którym jest zarejestrowana, należy ocenić stopień stabilności rozwiązania organizacyjnego, jak również faktyczny charakter prowadzenia działalności w tym drugim państwie członkowskim, z uwzględnieniem szczególnego charakteru rozpatrywanej działalności gospodarczej oraz świadczenia rozpatrywanych usług. Dotyczy to w szczególności przedsiębiorstw, które zajmują się oferowaniem usług wyłącznie za pośrednictwem Internetu.
(por. pkt 29)
2. Artykuł 4 ust. 1 lit. a) dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że zezwala on na zastosowanie przepisów prawnych dotyczących ochrony danych osobowych państwa członkowskiego różnego od państwa, w którym zarejestrowany jest administrator tych danych, o ile prowadzi on poprzez stabilne rozwiązanie organizacyjne na terytorium tego państwa członkowskiego faktyczną i rzeczywistą działalność, choćby nawet drobną, w której kontekście dokonuje się rozpatrywanego przetwarzania.
W celu ustalenia czy tak jest, sąd odsyłający może w szczególności wziąć pod uwagę fakt, że, po pierwsze, działalność administratora danych, w której kontekście ma miejsce to przetwarzanie, polega na prowadzeniu stron internetowych z ogłoszeniami o nieruchomościach dotyczących nieruchomości położonych na terytorium tego państwa członkowskiego i zredagowanych w jego języku, a w związku z tym ta działalność jest w głównej mierze, a nawet w całości nakierowana na to państwo członkowskie, i po drugie, że wspomniany administrator danych ma w tym państwie członkowskim przedstawiciela odpowiedzialnego za ściąganie należności powstałych w wyniku tej działalności oraz za reprezentowanie go w postępowaniu administracyjnym i sądowym dotyczącym omawianych danych.
Kwestia przynależności państwowej osób, których dotyczy to przetwarzanie danych, nie ma natomiast znaczenia.
(por. pkt 41; pkt 1 sentencji)
3. W sytuacji gdyby organ nadzorczy państwa członkowskiego, do którego skierowano skargi na podstawie art. 28 ust. 4 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, doszedł do wniosku, że do przetwarzania określonych danych osobowych nie jest właściwe prawo tego państwa członkowskiego, lecz prawo innego państwa członkowskiego, art. 28 ust. 1, 3 i 6 dyrektywy 95/46 należy interpretować w ten sposób, że ten organ nadzorczy może wykonywać skuteczne uprawnienia interwencyjne powierzone mu zgodnie z art. 28 ust. 3 tej dyrektywy wyłącznie na terytorium państwa członkowskiego, któremu podlega. Nie może on więc nałożyć sankcji na podstawie prawa tego państwa członkowskiego na administratora danych, który nie prowadzi działalności gospodarczej na jego terytorium, tylko powinien, na podstawie art. 28 ust. 6 tej dyrektywy, wystąpić o podjęcie działań do organu nadzorczego podległego państwu członkowskiemu, którego prawo jest właściwe.
Z wymogów wynikających z suwerenności terytorialnej danego państwa członkowskiego, zasady legalizmu i pojęcia państwa prawa wynika bowiem, że wykonywanie kompetencji w zakresie nakładania sankcji nie może odbywać się co do zasady poza granicami prawnymi, w ramach których organ administracji jest upoważniony do działania zgodnie z prawem państwa członkowskiego, któremu podlega.
(por. pkt 56, 60; pkt 2 sentencji)
4. Dyrektywę 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, należy interpretować w ten sposób, że zakres pojęcia „adatfeldolgozás” (czynności techniczne w zakresie przetwarzania danych), użytego w węgierskiej wersji językowej tej dyrektywy, w szczególności w jej art. 4 ust. 1 lit. a) i art. 28 ust. 6, należy uznać za identyczny jak terminu „adatkezelés” (przetwarzanie danych).
(por. pkt 65; pkt 3 sentencji)