CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

GENERALINIO ADVOKATO

PEDRO CRUZ VILLALÓN IŠVADA,

pateikta 2015 m. birželio 25 d.(1)

Byla C‑230/14

Weltimmo s.r.o.

prieš

Nemzeti Adatvédelmi és Információszabadság Hatóság

(Kúria (Vengrija) pateiktas prašymas priimti prejudicinį sprendimą)

„Asmens duomenų apsauga – Direktyva 95/46/EB – 4 straipsnio 1 dalis ir 28 straipsnio 1, 3 ir 6 dalys – Kitos valstybės narės teritorijoje įsisteigęs duomenų valdytojas – Taikytinos teisės ir kompetentingos priežiūros institucijos nustatymas – Priežiūros institucijos įgaliojimai – Įgaliojimai taikyti sankcijas – „Duomenų tvarkymo“ sąvoka“

1. Kúria (Vengrijos Aukščiausiasis Teismas) pateikti prejudiciniai klausimai susiję su ginču, kilusiu tarp Magyar Adatvédelmi és Információszabadság Hatóság (toliau – Vengrijos duomenų apsaugos tarnyba) ir Slovakijoje įsteigtos įmonės, administruojančios interneto puslapį, kuriame talpinami Vengrijoje esančio nekilnojamojo turto skelbimai.

2. Šioje byloje Teisingumo Teismas vėl turi galimybę spręsti dėl tvarkant duomenis taikytinos teisės nustatymo pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo(2) 4 straipsnio 1 dalies a punktą, kurį jis jau aiškino Sprendime Google Spain ir Google(3). Tačiau šioje byloje pateikiami dar nenagrinėti klausimai tiek dėl kompetentingos priežiūros institucijos, tiek dėl nacionalinės teisės, kurią turi taikyti ši institucija, nustatymo ir jos įgaliojimų, ypač teisės taikyti sankcijas.

I – Teisinis pagrindas

A – Sąjungos teisė

3. Direktyvoje 95/46 įtvirtinti įvairūs kriterijai tvarkant asmens duomenis taikytinam įstatymui nustatyti. Jos 18 konstatuojamojoje dalyje nurodyta, jog „norint užtikrinti, kad asmenims suteikiama visa apsauga, kurią jiems numato ši direktyva, bet kokie asmens duomenys Bendrijoje turi būti tvarkomi laikantis vienos iš valstybių narių įstatymų; <...> jeigu atsakomybę už duomenų tvarkymą prisiima kurioje nors valstybėje narėje įsisteigęs duomenų valdytojas, kadangi, jeigu atsakomybę už duomenų tvarkymą prisiima kurioje nors valstybėje narėje įsisteigęs duomenų valdytojas, [kadangi svarbu, kad kai duomenis tvarko bet kuris asmuo, veikiantis valstybėje narėje įsteigto duomenų valdytojo nurodymu,] tai turėtų reglamentuoti būtent tos valstybės įstatymai“.

4. Pagal Direktyvos 95/46 19 konstatuojamąją dalį „<...> duomenų valdytojas, įsisteigęs kurioje nors valstybėje narėje, gali veiksmingai ir realiai užsiimti savo veikla pagal nusistovėjusią tvarką [padalinys kurioje nors valstybėje narėje reiškia, kad jis veiksmingai ir realiai joje užsiima savo veikla per nuolatinį vienetą]; kadangi įmonės [tokio padalinio] teisinė forma nėra lemiamas veiksnys: tai gali būti paprastas skyrius ar dukterinė įmonė su juridinio asmens teisėmis [tai gali būti paprastas filialas ar dukterinė įmonė, turinti teisinį subjektiškumą] <...>“. Toje pačioje konstatuojamojoje dalyje numatyta, kad „kai kelių valstybių narių teritorijoje steigiamas vienas duomenų valdytojas, ypač filialas [dukterinė įmonė], norėdamas išvengti bet kokio nacionalinių taisyklių apėjimo, jis privalo užtikrinti, kad kiekvienas įsteigtas padalinys vykdys nacionalinės teisės aktų nustatytas jo veiklai taikomas prievoles“.

5. Direktyvos 95/46 4 straipsnio 1 dalyje, reglamentuojančioje tvarkant duomenis taikytiną teisę (jos a punktas reikšmingas nagrinėjamoje byloje), numatyta:

„1. Kiekviena valstybė narė taiko nacionalines nuostatas, kurias ji priima pagal šią direktyvą, kai tvarkomi asmens duomenys, jeigu:

a) tvarkoma, duomenų valdytojo padaliniui veikiant [duomenys tvarkomi duomenų valdytojo padaliniui vykdant veiklą] valstybės narės teritorijoje; jeigu tas pats duomenų valdytojas steigiamas kelių valstybių narių teritorijoje, jis privalo imtis reikalingų priemonių, kad kiekvienas jo padalinys vykdytų taikytinų nacionalinių įstatymų nustatytas prievoles;

<...>.“

6. 28 straipsnyje įtvirtintos nuostatos dėl duomenų apsaugos priežiūros institucijų; remiantis šio straipsnio 1, 3, 4 ir 6 dalimis:

„1. Kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos.

Šios valdžios institucijos veikia visiškai nepriklausomai, vykdydamos joms patikėtas funkcijas.

<...>

3. Kiekvienai valdžios institucijai suteikiami:

– įgaliojimai tirti, kaip antai: įgaliojimai sužinoti tvarkymo operacijų turinį ar įgaliojimai surinkti visą informaciją, reikalingą priežiūros funkcijoms atlikti,

– įgaliojimai veiksmingai įsikišti, pavyzdžiui, įgaliojimai pareikšti nuomonę, iš anksto įvertinus tvarkymo operacijas pagal 20 straipsnį, ir užtikrinti, kad tokios nuomonės būtų tinkamu būdu skelbiamos viešai, taip pat įgaliojimai nurodyti blokuoti, ištrinti arba sunaikinti duomenis, laikinai arba visiškai uždrausti tvarkyti duomenis, įspėti arba papeikti duomenų valdytoją arba įgaliojimai perduoti klausimą nacionaliniams parlamentams ar kitoms politinėms institucijoms svarstyti,

– galiojimai dalyvauti teismo procesuose, kai pažeidžiamos pagal šią direktyvą priimtos nacionalinės nuostatos, arba atkreipti teismo institucijų dėmesį į tokius pažeidimus.

Priežiūros institucijų priimti sprendimai, sukėlę nusiskundimų, gali būti skundžiami teismuose.

4. Kiekviena priežiūros institucija nagrinėja bet kurio asmens ar tam asmeniui atstovaujančios asociacijos iškeltus ieškinius [pateiktus skundus] dėl jo teisių ir laisvių apsaugos tvarkant asmens duomenis. Suinteresuotam asmeniui pranešama apie ieškinio [skundo] baigtį.

Kiekviena priežiūros institucija taip pat nagrinėja bet kurio asmens iškeltus ieškinius [skundus], reikalaujant patikrinti duomenų tvarkymo teisėtumą tais atvejais, kai taikomos pagal šios direktyvos 13 straipsnį priimtos nacionalinės nuostatos. Bet kuriuo atveju asmeniui pranešama, kad patikra buvo atlikta.

<...>

6. Kad ir kokie nacionaliniai įstatymai būtų taikomi tvarkant aptariamus duomenis, kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudotis pagal šio straipsnio 3 dalį jai suteiktais įgaliojimais. Kiekviena valdžios institucija gali būti kitos valstybės narės valdžios institucijos paprašyta pasinaudoti savo įgaliojimais.

Priežiūros institucijos tarpusavyje bendradarbiauja tiek, kiek tai reikalinga jų pareigoms vykdyti, ypač keisdamosi visa naudinga informacija.

<...>“

B – Vengrijos teisė

7. 2011 m. Įstatymu Nr. CXII dėl su informacija siejamos teisės apsispręsti ir informacijos laisvės (2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról szóló; toliau – Informacijos laisvės įstatymas) į nacionalinę teisę perkelta Direktyva 95/46.

8. Informacijos laisvės įstatymo 2 straipsnyje numatyta:

„1. Šis įstatymas taikomas Vengrijos teritorijoje bet kokiam duomenų tvarkymui ir bet kokioms duomenų apdorojimo operacijoms, kai tai susiję su fizinių asmenų ar visuomeninės reikšmės duomenimis arba tais, kurie atskleistini dėl viešojo intereso priežasčių.

2. Šis įstatymas taikomas visiškai ar iš dalies automatiniais arba neautomatiniais būdais tvarkant duomenis ar duomenų apdorojimo operacijoms.

3. Šis įstatymas taikomas, kai duomenų valdytojas, kuris tvarko asmens duomenis ne Europos Sąjungos teritorijoje, duomenų apdorojimo operacijoms atlikti pasitelkia duomenų apdorotoją, kuris turi Vengrijoje įsteigtą buveinę, padalinį, filialą ar dukterinę bendrovę arba nuolat ar paprastai ten gyvena arba naudojasi Vengrijos teritorijoje esančiomis priemonėmis, išskyrus atvejus, kai tokios priemonės naudojamos tik duomenims persiųsti tranzitu per Europos Sąjungos teritoriją. Tas duomenų valdytojas privalo turėti atstovą Vengrijos teritorijoje.“

9. Informacijos laisvės įstatymo 3 straipsnyje nustatyta, kad šiame įstatyme:

„9) duomenų tvarkytojas („adatkezelő“): fizinis ar juridinis asmuo arba teisinio subjektiškumo neturintis darinys, kuris vienas ar kartu su kitais nustato duomenų tvarkymo tikslus, priima sprendimus dėl šio tvarkymo (įskaitant tvarkymo priemones) ir juos įgyvendina pats ar pasitelkdamas duomenų apdorotoją („adatfeldolgozó“);

10) duomenų tvarkymas („adatkezelés“): bet kuriuo būdu su duomenimis atliekama operacija arba operacijos, kaip antai: duomenų rinkimas, registravimas, kaupimas, rūšiavimas, saugojimas, keitimas, naudojimas, paieška, perdavimas, paskelbimas, palyginimas ar sujungimas, blokavimas, ištrynimas, sunaikinimas, padarymas negalimų naudoti kitais tikslais, nuotraukų, garso ar vaizdo įrašų darymas, asmenis leidžiančių identifikuoti fizinių charakteristikų fiksavimas (pavyzdžiui, pirštų ar plaštakos atspaudų, DNR pavyzdžių ėmimas ar rainelės vaizdo fotografavimas);

11) duomenų perdavimas: duomenų padarymas prieinamų konkrečiam trečiajam asmeniui;

<...>

17) duomenų apdorojimo operacija („adatfeldolgozás“): su duomenų tvarkymo operacijomis susiję techniniai veiksmai, nepaisant jų atlikimo būdo ir priemonių, taip pat atlikimo vietos, jei šie techniniai veiksmai atliekami su duomenimis;

18) duomenų apdorotojas („adatfeldolgozó“): fizinis ar juridinis asmuo arba teisinio subjektiškumo neturintis darinys, kuris pagal sutartį, įskaitant sudarytą vykdant teisės akte įtvirtintus reikalavimus, atlieka duomenų apdorojimo operacijas;

<...>.“

II – Faktinės aplinkybės ir procesas pagrindinėje byloje

10. Prašymas priimti prejudicinį sprendimą pateiktas Kúria nagrinėjant kasacinį skundą dėl Fővárosi Közigazgatási és Munkaügyi Bíróság (Sostinės administracinių ir darbo bylų teismas) sprendimo, priimto su asmens duomenų apsauga susijusioje administracinėje byloje tarp Weltimmo s.r.o. (toliau – Weltimmo) ir Vengrijos duomenų apsaugos tarnybos.

11. Weltimmo – tai Slovakijoje buveinę turinti bendrovė, eksploatuojanti su nekilnojamuoju turtu susijusiam tarpininkavimui skirtą interneto svetainę. Ji administruoja minėtą interneto svetainę, kurioje talpinami skelbimai apie Vengrijoje esantį nekilnojamąjį turtą. Tokie skelbimai vieną mėnesį talpinami nemokamai, o vėliau už šias paslaugas reikia mokėti. Pasibaigus pirmajam mėnesiui, daug skelbėjų, nepageidaujantys gauti mokamos paslaugos, elektroniniu paštu prašė pašalinti iš svetainės skelbimus ir sunaikinti jų asmens duomenis. Tačiau Weltimmo neįvykdė šių prašymų ir už savo paslaugas išrašė sąskaitas faktūras. Asmenų, kurie neapmokėjo sąskaitų, duomenis Weltimmo perdavė skolų išieškojimo įmonėms.

12. Skelbimų teikėjams pareiškus skundus, Vengrijos duomenų apsaugos tarnyba nusprendė, kad ji kompetentinga juos nagrinėti, pripažino, kad turi būti taikomas Vengrijos įstatymas (nes pagal Informacijos laisvės įstatymo 3 straipsnio 10 dalį duomenų rinkimas yra duomenų tvarkymas) ir skyrė Weltimmo dešimties milijonų Vengrijos forintų (HUF) baudą. Pastaroji šį sprendimą apskundė Sostinės administracinių ir darbo bylų teisme, kuris sutiko, kad nekyla abejonių dėl kompetencijos ar taikytino įstatymo, tačiau panaikino administracinį sprendimą dėl to, kad jame nepakankamai atskleistos tam tikros faktinės aplinkybės.

13. Weltimmo savo kasaciniame skunde, be kita ko, reikalauja pripažinti, kad nereikia išsamiau tirti faktinių aplinkybių, nes, atsižvelgiant į Direktyvos 95/46 4 straipsnio 1 dalies a punktą, Vengrijos duomenų apsaugos tarnyba neturi kompetencijos nagrinėti bylos ir negali taikyti Vengrijos teisės kitoje valstybėje narėje įsisteigusiam paslaugų teikėjui, visų pirma nurodydama, kad pagal Direktyvos 95/46 28 straipsnio 6 dalį minėta tarnyba privalėjo kreiptis į atitinkamą Slovakijos instituciją, kad ši imtųsi priemonių Weltimmo atžvilgiu.

14. Siekdama pagrįsti savo kompetenciją ir tai, kad taikytina Vengrijos teisė, Vengrijos duomenų apsaugos tarnyba tvirtina, kad Weltimmo turi „kaip kontaktinį asmenį vengrą“ – vieną iš jos savininkų, Vengrijos piliečių – kuris jai atstovavo tiek per administracinį procesą, tiek vykstant procesui nacionaliniame teisme. Be to, ji nurodo, kad Weltimmo savininkai reziduoja Vengrijoje. Bet kuriuo atveju, šios tarnybos manymu, remiantis Direktyvos 95/46 28 straipsnio 6 dalimi, būtent ji yra kompetentinga, nesvarbu, kokios valstybės teisė taikytina.

III – Prejudiciniai klausimai ir procesas Teisingumo Teisme

15. Manydamas, kad reikšmingos Direktyvos 95/46 nuostatos nėra aiškios, Kúria 2014 m. balandžio 22 d. sprendimu pateikė prašymą priimti prejudicinį sprendimą, jis Teisingumo Teismo kanceliarijoje užregistruotas 2014 m. gegužės 12 d. Jame Kúria suformulavo tokius prejudicinius klausimus:

„1. Ar [Direktyvos 95/46] 28 straipsnio 1 dalį reikia aiškinti taip, kad valstybės narės teisės aktai jos teritorijoje gali būti taikomi tik kitoje valstybėje narėje įsisteigusiam duomenų valdytojui, administruojančiam nekilnojamojo turto skelbimų interneto svetainę, kurioje, be kita ko, jis talpina pirmosios valstybės narės teritorijoje esančio nekilnojamojo turto skelbimus, o šio nekilnojamojo turto savininkai perduoda savo asmens duomenis į šios svetainės administratoriui priklausantį kitoje valstybėje narėje esantį duomenų saugojimo ir tvarkymo įrenginį (serverį)?

2. Ar [Direktyvos 95/46] 4 straipsnio 1 dalies a punktą, siejamą su jos 18–20 konstatuojamosiomis dalimis, 1 straipsnio 2 dalimi ir 28 straipsnio 1 dalimi, reikia aiškinti taip, kad [Vengrijos duomenų apsaugos tarnyba] negali taikyti Vengrijos informacijos laisvės įstatymo, kaip nacionalinės teisės akto, tik kitoje valstybėje narėje įsteigtam nekilnojamojo turto skelbimų interneto svetainės administratoriui, net jei šis svetainėje talpina skelbimus apie, be kita ko, Vengrijoje esantį nekilnojamąjį turtą, kurio savininkai, atrodo, iš Vengrijos teritorijos perduoda duomenis apie savo nekilnojamąjį turtą į šios svetainės administratoriui priklausantį kitoje valstybėje narėje esantį duomenų saugojimo ir tvarkymo įrenginį (serverį)?

3. Ar aiškinant svarbu tai, kad duomenų valdytojo, kuris administruoja interneto svetainę, teikiama paslauga yra skirta teikti kitos valstybės narės teritorijoje?

4. Ar aiškinant svarbu tai, kad duomenys apie kitos valstybės narės teritorijoje esantį nekilnojamąjį turtą ir jų savininkų asmens duomenys iš tiesų suvedami šios kitos valstybės narės teritorijoje?

5. Ar aiškinant svarbu tai, kad su šiuo nekilnojamuoju turtu susiję asmens duomenys yra kitos valstybės narės piliečio asmens duomenys?

6. Ar aiškinant svarbu tai, kad Slovakijoje įsteigtos įmonės savininkai turi gyvenamąją vietą Vengrijoje?

7. Jei į pirma pateiktus klausimus būtų atsakyta, kad Vengrijos duomenų apsaugos tarnyba gali imtis veiksmų, tačiau turi taikyti ne nacionalinę, bet padalinio valstybės narės teisę, ar [Direktyvos 95/46] 28 straipsnio 6 dalį reikia aiškinti taip, kad ta tarnyba turi tik [Direktyvos 95/46] 28 straipsnio 3 dalyje nustatytus įgaliojimus, kaip tai numatyta padalinio valstybės narės teisės aktuose, todėl neturi teisės skirti baudos?

8. Ar [Direktyvos 95/46] 4 straipsnio 1 dalies a punkto ir 28 straipsnio 6 dalies versijoje vengrų kalba vartojama sąvoka „adatfeldolgozás“ („duomenų apdorojimo operacijos“) yra tapati šios direktyvos sąvokai „adatkezelés“ („duomenų tvarkymas“)?“

16. Rašytines pastabas pateikė Vengrijos vyriausybė, Slovakijos vyriausybė, Jungtinės Karalystės vyriausybė, Vengrijos duomenų apsaugos tarnyba ir Europos Komisija. 2015 m. kovo 12 d. vykusiame teismo posėdyje dalyvavo Vengrijos vyriausybė, Slovakijos vyriausybė, Lenkijos vyriausybė, Vengrijos duomenų apsaugos tarnyba ir Europos Komisija.

IV – Analizė

17. Kúria pateikti prejudiciniai klausimai, susiję su dviem problemomis, kurios, nors pateiktos kaip tarpusavyje susijusios, vis dėlto turėtų būti apžvelgiamos atskirai – tai matyti ir iš per procesą Teisingumo Teisme pateiktų rašytinių ir žodinių pastabų: viena problema susijusi su tvarkant duomenis taikytinu įstatymu, o kita – su kompetentingos priežiūros institucijos nustatymu. Dėl šios priežasties savo argumentus iš esmės sugrupuosiu į dvi dalis. Pirmiausia nagrinėsiu klausimą dėl tvarkant duomenis taikytino įstatymo, paskui „padalinio“ klausimą, tad analizuosiu kartu pirmąjį–šeštąjį klausimus. Tada nagrinėsiu kompetentingos priežiūros institucijos nustatymo ir jos įgaliojimų klausimą ir kartu tai, ar yra galimybė nesieti kompetentingos priežiūros institucijos ir taikytino įstatymo (septintasis klausimas). Galiausiai atsakysiu į aštuntąjį prejudicinį klausimą, susijusį su terminologijos problema.

A – Dėl tvarkant duomenis taikytino įstatymo ir dėl padalinio sąvokos (pirmasis–šeštasis prejudiciniai klausimai)

18. Savo pirmuoju–šeštuoju klausimais, kuriuos reikia nagrinėti kartu, Kúria iš esmės siekia sužinoti, ar Direktyvos 95/46 4 straipsnio 1 dalies a punktą ir 28 straipsnio 1 dalį galima aiškinti taip, kad aplinkybėmis, kaip susiklosčiusios pagrindinėje byloje, pagal juos leidžiama taikyti Vengrijos duomenų apsaugos įstatymą, ir tai gali daryti Vengrijos duomenų apsaugos tarnyba taikydama jį tik kitoje valstybėje narėje įsisteigusiam interneto svetainės administratoriui. Šiuo atžvilgiu Kúria taip pat siekia sužinoti, kokią reikšmę turi įvairios konkrečios aplinkybės, pavyzdžiui, tai, kad tos įmonės paslaugos skirtos teikti kitos valstybės narės teritorijoje, vietą, kurioje buvo suvesti su nekilnojamuoju turtu susiję duomenys, asmenų, kurių duomenys buvo naudoti, pilietybė ir tai, kad įmonės savininkai reziduoja Vengrijoje.

19. Savo pirmuosiuose dviejuose klausimuose Kúria remiasi tiek direktyvos 28 straipsnio 1 dalimi, tiek 4 straipsnio 1 dalies a punktu. Vis dėlto manau, kad norint atsakyti į to teismo klausimus nėra reikalo analizuoti pirmosios nuostatos taikymo srities. Iš tiesų direktyvos 28 straipsnio 1 dalyje tik nustatyta, kad „kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos“. Mano manymu, ši nuostata nėra reikšminga nustatant taikytiną įstatymą. Pirmiausia, vertinant sistemiškai, 28 straipsnis yra įtrauktas į direktyvos VI skyrių, kuris skirtas ne taikytinam įstatymui nustatyti, bet įtvirtina nuostatas dėl priežiūros institucijų ir darbo grupės asmenų apsaugos tvarkant asmens duomenis. Antra, pačiame direktyvos 28 straipsnio 1 dalies tekste nėra pateikta jokių papildomų kriterijų, galinčių padėti nustatyti tvarkant duomenis taikytiną įstatymą. Apibendrinant pažymėtina, kad toje nuostatoje nėra jokio elemento, kurį išaiškinus būtų galima pateikti kitokį atsakymą į klausimą dėl taikytino įstatymo nustatymo, palyginti su tuo, kuris išplaukia taikant tos pačios direktyvos 4 straipsnyje, specialiai skirtame reglamentuoti taikytino įstatymo klausimams, nustatytus kriterijus.

20. Tad sutelkiant dėmesį į direktyvos 4 straipsnio 1 dalies a punktą pirmiausia reikia nurodyti, kad tiek per teismo posėdį išsakytose pastabose, tiek per rašytinę proceso dalį pateiktose pastabose vieningai sutariama dėl šios nuostatos reikšmės atsakant į klausimus dėl taikytino įstatymo, ir pabrėžiama, kad ypač svarbu nustatyti Weltimmo įsteigimo vietą.

21. Problemos dėl taikytino įstatymo atvejais, kai duomenų tvarkymas peržengia vienos valstybės sienas, jau kelis dešimtmečius kelia daug diskusijų tarptautiniu mastu(4). Direktyvos 4 straipsnis, skirtas nustatyti taikytinai nacionalinei teisei, tapo pirma norma, pagal kurią šiuo atžvilgiu įtvirtinta taikytinos teisės nustatymo taisyklė(5). Minėta nuostata numato įvairius kriterijus siekiant nustatyti, ar direktyvą perkelianti nacionalinė teisė yra taikytina: taip ja netiesiogiai nustatyta (išsprendžiant minėtų nacionalinės teisės aktų taikytinumo klausimą) pačios direktyvos teritorinė taikymo sritis.

22. Taigi, Direktyvos 95/46 4 straipsnio 1 dalies a punktas, kuriame numatyta kad „kiekviena valstybė narė taiko nacionalines nuostatas, kurias priima(6) pagal šią direktyvą, kai tvarkomi asmens duomenys, jeigu: a) tvarkoma, duomenų valdytojo padaliniui veikiant [duomenys tvarkomi duomenų valdytojo padaliniui vykdant veiklą] valstybės narės teritorijoje“, yra ypač svarbus tais atvejais, kai tarp Sąjungos valstybių narių kyla taikytino įstatymo klausimas.

23. Todėl 4 straipsnio 1 dalies a punktas turi dvejopą funkciją. Viena vertus, suteikia galimybę taikyti Sąjungos teisę per vienos iš savo valstybių narių teisę, kai duomenys tvarkomi tik Sąjungos teritorijoje esančiam padaliniui „vykdant“ savo veiklą, nors „pats“ duomenų tvarkymas atliekamas trečiosios šalies teritorijoje (taip buvo byloje Google Spain ir Google(7) nagrinėtu atveju). Kita vertus, minėta nuostata veikia kaip norma, kuri nustato tarp valstybių narių taikytiną įstatymą (būtent šis klausimas kilo nagrinėjamu atveju). Pastaruoju atveju direktyvos 4 straipsnio 1 dalies a punktas yra nuostata, pagal kurią nustatomas taikytinas įstatymas, kai kyla kolizija tarp skirtingų valstybių narių įstatymų.

24. Pažymėtina, kad nacionalinis teismas savo klausimus formuluoja dėl interneto svetainės, kurioje talpinami nekilnojamojo turto skelbimai, administratoriaus, įsisteigusio tik kitoje valstybėje narėje (su tuo nesutinka Vengrijos priežiūros institucija). Jungtinės Karalystės teigimu, akivaizdu, kad nagrinėjamu atveju reikia taikyti padalinio vietos valstybės narės įstatymus, nagrinėjamoje byloje – Slovakijos, todėl Vengrijos priežiūros institucija negali taikyti savo nacionalinės teisės normų. Komisija iš esmės pritaria šiai nuomonei ir pabrėžia, kad, net jei būtų galima sutikti, kad taikytini Vengrijos įstatymai, jeigu laikytume, kad ieškovė taip pat įsisteigusi Vengrijos teritorijoje, vis dėlto Kúria nurodė, kad nagrinėjamu atveju įmonė įsisteigusi tik kitoje valstybėje narėje.

25. Šiuo atžvilgiu, be į prejudicinius klausimus įtraukto faktinių aplinkybių, susijusių su realia padalinio vieta, vertinimo, iš Kúria trečiojo–šeštojo klausimų matyti, kad prašymą priimti prejudicinį sprendimą pateikęs teismui kyla tam tikrų abejonių dėl padalinio sąvokos, kaip ji suprantama pagal direktyvą, nes galbūt ji nėra visiškai formali. Dėl šios priežasties manau, kad, siekiant naudingai atsakyti į pirmąjį–šeštąjį klausimus, reikia nustatyti kriterijus, kuriais remiantis būtų galima nuspręsti, ar aptariamu atveju buvo tvarkomi duomenys „duomenų valdytojo padaliniui veikiant“ Vengrijos teritorijoje, kaip tai suprantama pagal Direktyvos 4 straipsnio 1 dalies a punktą.

26. Siekiant nuspręsti, ar nagrinėjamu atveju reikia taikyti Vengrijos, ar, priešingai, Slovakijos teisės aktus, tai reikės daryti dviem etapais, remiantis Sprendime Google Spain ir Google(8) įtvirtintu metodu. Taigi, pirmiausia atsakytina į klausimą, ar Weltimmo turėjo padalinį Vengrijos teritorijoje, o tada – ar duomenys tvarkyti veikiant šiam padaliniui. Vis dėlto pažymėtina, kad, priešingai, nei buvo byloje Google Spain ir Google, nagrinėjamoje byloje nekilo ginčų dėl klausimo, ar duomenys tvarkyti „padaliniui vykdant savo veiklą“. Iš tiesų lemiamas klausimas yra toks: ar padalinys yra Vengrijoje, ar Slovakijoje, ar laikytina, kad jis yra abiejose šalyse. Dėl šios priežasties savo dėmesį sutelksiu iš esmės į šį pirmąjį analizės etapą.

27. Savo rašytinėse pastabose šiuo klausimu Vengrijos vyriausybė nurodė, kad, remiantis šios nuostatos skirtingomis kalbinėmis versijomis, atrodo, kad padalinio sąvokos nereikėtų aiškinti paprasčiausiai ir vien atsižvelgiant į padalinio sąvoką, kaip ji suprantama pagal bendrovių teisę. Slovakijos vyriausybė, kuri taip pat pritaria neformalistinei padalinio sąvokos sampratai, mano, kad šiomis aplinkybėmis reikėtų remtis Teisingumo Teismo praktika įsisteigimo laisvės srityje. Vengrijos duomenų apsaugos tarnyba irgi yra už padalinio sąvokos sampratą, kai jo teisinė forma nėra lemiantis kriterijus, ir pažymi, kad padalinį gali sudaryti Weltimmo atstovas Vengrijoje, nagrinėjamoje byloje – S. Benkö. Iš tiesų šis asmuo atstovavo įmonei per administracinį procesą ir pirmosios instancijos teisme; būtent jis bendravo su skundus pateikusiais asmenimis, jis įrašytas ir į Slovakijos bendrovių registrą, nurodant adresą Vengrijoje. Per teismo posėdį priežiūros institucija taip pat nurodė, kad Weltimmo turi pašto dėžutę Vengrijoje einamiesiems reikalams tvarkyti ir kad atsakydama į užklausą Slovakijos duomenų apsaugos tarnyba patvirtino, kad įmonė nevykdo veiksmingos veiklos Slovakijoje. Tik Lenkijos vyriausybė vykstant teismo posėdžiui tvirtino, kad būtina atsižvelgti tik į bendrovės registraciją valstybėje narėje, kaip į vienintelį objektyvų elementą, kurį galima patikrinti.

28. Taigi, privaloma remtis Direktyvos 95/46 19 konstatuojamąja dalimi, kuri yra esminis aiškinimo elementas, siekiant nustatyti padalinio sąvokos turinį, kaip tai suprantama pagal šią direktyvą. Iš tikrųjų šioje konstatuojamojoje dalyje įtvirtinta lanksti padalinio sąvokos samprata, nutolstanti nuo formalaus požiūrio, pagal kurį įmonė turėtų būti įsteigta tik savo registracijos vietoje. Visų pirma minėtoje konstatuojamojoje dalyje įtrauktas veiksmingumo kriterijus ir pastovumo elementas, nurodant, kad „[padalinys kurioje nors valstybėje narėje reiškia, kad jis veiksmingai ir realiai joje užsiima savo veikla per nuolatinį vienetą] <...>“. Antra, suteikiamas didelis lankstumas nustatant, kad „[tokio padalinio] teisinė forma nėra lemiamas veiksnys: [tai gali būti paprastas filialas ar dukterinė įmonė, turinti teisinį subjektiškumą]“.

29. Ši padalinio sąvokos samprata sutampa su aiškinimu, kurį pateikia Teisingumo Teismas savo praktikoje kitose Sąjungos teisės srityse. Be kita ko, iš nusistovėjusios teismo praktikos išplaukia, kad „įsisteigimo sąvoka, kaip ji suprantama pagal Sutarties nuostatas, susijusias su įsisteigimo laisve, reiškia faktinį ekonominės veiklos vykdymą neribotą laiką turint nuolatinį vienetą šioje valstybėje“(9), taigi, tai „reikalauja realaus atitinkamos bendrovės įkūrimo priimančiojoje valstybėje narėje ir veiksmingo veiklos joje vykdymo“(10).

30. Kita vertus, 29 straipsnio Duomenų apsaugos darbo grupės (toliau – 29 straipsnio grupė) nuomonėje Nr. 8/2010(11) daroma nuoroda į padalinio sąvokos, kaip sąsajos kriterijaus renkant PVM, aiškinimą(12). Teisingumo Teismo praktika šioje srityje ypač įdomi, nes ji remiasi padalinio sąvoka kaip sąsajos kriterijumi, kuris leidžia nustatyti apmokestinimą pagal nacionalinės mokesčių teisės aktus, ir pagilina nuolatinio padalinio sąvoką; taigi, tas padalinys „turi pasižymėti pakankamu pastovumo laipsniu ir tinkama žmogiškųjų ir techninių išteklių struktūra, leidžiančia jam gauti šio padalinio poreikiams tenkinti teikiamas paslaugas ir jomis naudotis“(13). Be to, Romos konvencijoje(14) ir Briuselio konvencijoje(15) esanti padalinio sąvoka irgi patvirtina neformalią sampratą(16).

31. Nepaisant to, kad sričių, su kuriomis susijusi Teisingumo Teismo praktika, kontekstas ir tikslas akivaizdžiai skiriasi, viena vertus, srityse, kurias ką tik nurodžiau, ir, kita vertus, dabar nagrinėjamoje byloje bet kuriuo atveju svarbiausia, kad skirtingose srityse Sąjungos teisėje pabrėžiama padalinio sąvokos samprata, pagrįsta veiksmingai vykdoma ekonomine veikla ir tam tikru pastovumo laipsniu; o tai sutampa su Direktyvos 95/46 19 konstatuojamojoje dalyje pateiktomis nuorodomis.

32. Kita vertus, atsižvelgiant į specifinį Direktyvos 95/46 tikslą, nustatytą jos 1 straipsnio 1 dalyje, t. y. „saug[oti] fizinių asmenų pagrindines teises ir laisves, o ypač jų privatumo teisę tvarkant asmens duomenis“, manau, kad reikia įvertinti tiek vieneto pastovumo laipsnį, tiek tai, kiek realiai vykdoma veikla atsižvelgiant į specifinį atitinkamos ekonominės veiklos ir atitinkamų paslaugų pobūdį.

33. Taigi, kaip nurodė Vengrijos duomenų apsaugos tarnyba ir Slovakijos vyriausybė, taip pat remiantis 29 straipsnio grupės pasiūlytais kriterijais(17), pakaktų vieno darbuotojo, kad būtų galima laikyti, jog tai nuolatinis padalinys: jeigu darbuotojo dalyvavimas yra pakankamai pastovus dėl to, kad jis turi visas būtinas priemones konkrečioms paslaugoms teikti, kaip antai tas, kurios nurodytos kaip egzistuojančios aptariamojoje valstybėje narėje.

34. Iš tiesų, kaip savo išvadoje byloje Google Spain ir Google nurodė generalinis advokatas N. Jääskinen, reikia atsižvelgti į atitinkamo paslaugos teikėjo verslo modelį siekiant nustatyti, ar tenkinamos Direktyvos 95/46 4 straipsnyje numatytos sąlygos(18). Todėl būtina įvertinti tik internetu veikiančių įmonių specifiką, nes dėl jų verslo modelio nuolatinę fizinę buvimo vietą turinčio vieneto sąvoka tampa reliatyvi, o tai irgi lemia žmogiškųjų ir materialinių išteklių intensyvumą. Iš tiesų tam tikromis aplinkybėmis nuolat dirbantis darbuotojas, turintis tik nešiojamąjį kompiuterį, gali sudaryti pakankamą struktūrą, kad galėtų veiksmingai ir realiai vykdyti veiklą, kuriai būdingas pakankamas pastovumas. Remiantis tuo, kas išdėstyta, norint įvertinti šiuos žmogiškuosius ir techninius išteklius, privalu nuodugniai išnagrinėti įmonės, kuri teikia savo paslaugas internetu, specifiką ir atsižvelgti į kiekvieno konkretaus atvejo aplinkybes.

35. Į internetu teikiamos ekonominės veiklos specifiką iš tiesų jau buvo atsižvelgta siekiant nustatyti padalinio sąvoką kituose Sąjungos teisės aktuose. Konkrečiai kalbant, Elektroninės komercijos direktyvos(19) 19 konstatuojamojoje dalyje numatyta, kad „<...> įmonės, teikiančios paslaugas interneto svetainėje, buveinė [įsteigimo vieta] yra ta vieta, kur ji verčiasi ekonomine veikla, buveine [įsteigimo vieta] negalima laikyti tos vietos, kurioje saugoma interneto svetainę palaikanti techninė įranga ar ta vieta, kurioje galima pasiekti interneto svetainę“. Šį apibrėžimą 29 straipsnio grupė laikė reikšmingu aiškinant Direktyvos 95/46 4 straipsnį(20).

36. Tai, kas nurodyta, leidžia daryti išvadą, kad neginčijant to, kad Weltimmo yra formaliai Slovakijoje registruota bendrovė, negalima atmesti galimybės, kad ji veiksmingai ir realiai vykdo savo veiklą kitos valstybės teritorijoje, nagrinėjamu atveju – Vengrijoje, per nuolatinį vienetą, kurį gali sudaryti vienas darbuotojas. Jeigu taip būtų, reikštų, kad Weltimmo turi padalinį Vengrijoje, kaip tai suprantama pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą.

37. Kúria prejudiciniuose klausimuose nurodyti įvairūs papildomi veiksniai, t. y. vieta, kurioje buvo suvesti duomenys, valstybė narė, kuriai skirtos paslaugos, žalą patyrusių asmenų pilietybė ar įmonės savininkų gyvenamoji vieta, šiuo atžvilgiu neturi jokios tiesioginės ir lemiamos reikšmės nustatant taikytiną teisę(21). Iš tiesų direktyvoje šie elementai nėra numatyti kaip reikšmingi kriterijai, dėl kurių būtų galima neatsižvelgti į 4 straipsnio 1 dalies punkte nurodytą kriterijų(22).

38. Vis dėlto, tokie įvairūs veiksniai tam tikromis aplinkybėmis, siekiant nustatyti padalinio vietą, ir ypač vertinant, ar duomenys buvo tvarkomi duomenų valdytojo padaliniui vykdant veiklą, galėtų būti nuorodomis apie veiksmingą ir realų veiklos pobūdį.

39. Konkrečiai dėl antrojo iš šių elementų, t. y. aplinkybės, kad duomenys buvo tvarkomi vykdant veiklą valstybėje narėje esančiam padaliniui, reikia atsižvelgti į Teisingumo Teismo aiškinimą, pateiktą Sprendime Google Spain ir Google(23). Juo remiantis, Direktyvos 95/46 4 straipsnio 1 dalies a punktu „reikalaujama ne to, kad atitinkamą duomenų tvarkymą atliktų „pats“ padalinys, o tik to, kad tvarkymas būtų atliekamas šiam padaliniui „vykdant veiklą“(24). Teisingumo Teismas priduria, kad atsižvelgiant į direktyvos tikslą „minėtos formuluotės negalima aiškinti siaurai“(25).

40. Šis antrasis kriterijus ypač svarbus tuo atveju, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas, pasirėmęs pirmiau nurodytais kriterijais, nuspręstų, kad Weltimmo yra įsteigta abejose nagrinėjamos valstybėse narėse. Jei taip būtų, kaip savo rašytinėse pastabose tai pažymėjo Slovakijos vyriausybė ir Komisija, reikėtų tiksliai išsiaiškinti, kokią veiklą vykdant buvo tvarkomi duomenys ir pirmiausia kiek jie susiję su atitinkamu padaliniu(26). 29 straipsnio grupė taip pat nurodė, kad šiuo atžvilgiu kiti lemiami elementai, susiję su programinės paieškos priemonėmis, gali būti naudingi nustatant, ar veikla vykdoma veikiant padaliniui: tai, ar padalinys atsako už ryšius su vartotojais; ar dalyvauja parduodant tikslinę reklamą tos valstybės gyventojams; ar atsako į kompetentingų valstybės narės valdžios institucijų teisėsaugos teikiamus prašymus dėl vartotojų duomenų(27).

41. Galiausiai, siekiant nustatyti, ar galima taikyti Vengrijos teisę Weltimmo veiklai Vengrijoje, reikėtų patikrinti, ar Weltimmo turi toje valstybėje narėje padalinį, kuriam vykdant veiklą buvo atliekamas ginčytinas duomenų tvarkymas. Tam reikėtų nustatyti, ar sprendime dėl prašymo priimti prejudicinį sprendimą nurodytas atstovas veikia per nuolatinį vienetą, nesvarbu, kokia jo teisinė forma, per kurį veiksmingai ir realiai užsiima veikla, kurią vykdant buvo tvarkomi duomenys.

42. Apibendrindamas manau, kad į Kúria pirmąjį–šeštąjį prejudicinius klausimus reikia atsakyti taip, kad pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą draudžiama Vengrijos duomenų apsaugos tarnybai taikyti Vengrijos teisę tik kitoje valstybėje narėje įsteigtam duomenų valdytojui. Šiuo tikslu padalinio sąvoka aiškintina kaip nuolatinio vieneto egzistavimas, nesvarbu, kokia jo teisinė forma, per kurį veiksmingai ir realiai vykdoma veikla. Vienas darbuotojas gali būti laikomas nuolatiniu vienetu, kai šis vienetas pakankamai pastovus ir pakanka žmogiškųjų ir techninių išteklių, būtinų konkrečioms aptariamoms paslaugoms teikti.

Kiti elementai, pavyzdžiui, vieta, kurioje suvesti duomenys, žalą patyrusių asmenų pilietybė, už duomenų tvarkymą atsakingos įmonės savininkų gyvenamoji vieta ar tai, kad tas duomenų valdytojas paslaugas teikia kitoje valstybėje narėje, neturi tiesioginės lemiamos reikšmės nustatant taikytiną įstatymą, nesvarbu, kad siekiant nustatyti padalinio vietą, ypač vertinant, ar duomenys buvo tvarkomi tam padaliniui vykdant savo veiklą, jie galėtų būti nuorodos apie veiksmingą ir realų veiklos pobūdį.

B – Dėl kompetentingos priežiūros institucijos ir galimybės nesieti taikytino įstatymo ir kompetentingos priežiūros institucijos (septintasis prejudicinis klausimas)

43. Septintuoju prejudiciniu klausimu Kúria siekia sužinoti, ar „jei į pirma pateiktus klausimus būtų atsakyta, kad Vengrijos duomenų apsaugos tarnyba gali imtis veiksmų, tačiau turi taikyti ne nacionalinę, bet padalinio valstybės narės teisę, ar direktyvos 28 straipsnio 6 dalį reikia aiškinti taip, kad ta tarnyba turi tik direktyvos 28 straipsnio 3 dalyje nustatytus įgaliojimus, kaip tai numatyta padalinio valstybės narės teisės aktuose, todėl neturi teisės skirti baudos?“

44. Kaip matyti, šis prejudicinis klausimas svarbus tik tada, jeigu prašymą priimti prejudicinį sprendimą pateikęs teismas manytų, kad, atsižvelgiant į pirma išdėstytus kriterijus, Weltimmo neturi padalinio Vengrijoje ir yra įsisteigusi tik Slovakijoje. Siekiant naudingai atsakyti į šį prejudicinį klausimą, pirmiausia būtina išnagrinėti (nes tai nėra aiškiai matyti iš atsakymo į pirmesnius prejudicinius klausimus), ar gali kitos valstybės narės priežiūros institucija veikti, kai, remiantis direktyvos 4 straipsnio 1 dalies a punktu, taikytina kitos valstybės narės teisė. Jeigu į šį klausimą būtų atsakyta teigiamai, tada reikėtų nustatyti šios institucijos įgaliojimų apimtį ir turinį.

45. Taigi, pirmiausia kyla klausimas, ar 4 straipsnis, reglamentuojantis taikytino įstatymo nustatymą, yra ne tik norma, pagal kurią nustatoma taikytina teisė, bet ir nuostata, pagal kurią nustatoma kompetentinga institucija; ir, jei taip, dar kyla klausimas, kiek svarbūs 28 straipsnyje įtvirtinti patikslinimai dėl valdžios institucijų įgaliojimų. Visi šie klausimai kyla didelio masto reformos aplinkybėmis Sąjungos teisės duomenų apsaugos srityje(28).

46. Teisingumo Teismui pateiktose pastabose išdėstyti direktyvos 28 straipsnio 1, 3 ir 6 dalių aiškinimo variantai skiriasi. Vengrijos duomenų apsaugos tarnybos tvirtinimu, ji turi įgaliojimus skirti piniginę sankciją, net jeigu taikytini kitos valstybės narės teisės aktai. Panašiai mano ir Vengrijos vyriausybė, kurios teigimu, akivaizdu, kad direktyvos 3 dalyje nurodytų priežiūros institucijų įgaliojimų statusas ir tų įgaliojimų įgyvendinimo procedūra reglamentuojami tos institucijos buveinės valstybės teisės, todėl ji turėtų taikyti sankcijas, kurios turėtų būti nustatytos pagal jos pačios nacionalinę teisę.

47. Savo ruožtu Komisija teigia, kad valstybės narės priežiūros institucijos turi teisę įgyvendinti direktyvos 28 straipsnio 3 dalyje išvardytus įgaliojimus pagal 28 straipsnio 1 ir 6 dalyse nustatytas taisykles, tiek, kiek tai gali daryti savo teritorijoje. Tačiau jei įgaliojimus galima įgyvendinti tik kitos valstybės narės teritorijoje, ši institucija neturės kito pasirinkimo, tik kreiptis su prašymu bendradarbiauti į tos valstybės narės priežiūros instituciją. Pirmosios valstybės narės priežiūros institucija negalės taikyti sankcijos duomenų valdytojui, kuris įsisteigęs tik kitoje valstybėje narėje. Slovakijos vyriausybė išdėsto panašią nuomonę ir nurodo, kad jeigu būtų taikytina Slovakijos teisė, pagal direktyvos 28 straipsnio 3 ir 6 dalis Vengrijos duomenų apsaugos tarnyba būtų kompetentinga tirti ir nagrinėti jai pateiktus skundus, taip pat taikyti savo procedūros taisykles, tačiau ji turėtų kreiptis į kitos valstybės narės, kurios įstatymai taikytini, instituciją su prašymu bendradarbiauti ir būtent pastaroji institucija turėtų nuspręsti dėl galimybės taikyti sankciją. Lenkijos vyriausybė pažymi, kad direktyva nenumato galimybės vienos valstybės narės institucijoms taikyti kitos valstybės narės materialinę teisę, ir priduria, kad jeigu teisės aktų leidėjas būtų pageidavęs numatyti tokią daug ambicijų turinčią galimybę, direktyvoje būtų įtvirtintos tikslios nuostatos, apibrėžiančios jos taikymo sritį. Galiausiai, Jungtinės Karalystės vyriausybės nuomone, atsižvelgiant į tai, kad taikytina Slovakijos teisė, Vengrijos duomenų apsaugos tarnyba neturi kompetencijos.

48. Kaip matyti, nuomonės labai skirtingos. Tik Jungtinės Karalystės ir Lenkijos vyriausybių pastabose, atrodytų, daroma išvada, jog absoliučiai būtina, kad taikytina teisė ir kompetentinga priežiūros institucija sutaptų, tad pagal direktyvos 4 straipsnio 1 dalies b punktą nustatyta taikytina teisė lems ir kuri priežiūros institucija kompetentinga(29).

49. Kaip pabandysiu toliau įrodyti, mano manymu, šiuo metu mūsų nagrinėjamas kompleksiškas klausimas turi būti išspręstas siekiant suderinti konkrečius direktyvos tikslus ir principus, kurie taikytini administracinių priežiūros institucijų veiksmams.

50. Šiuo prejudiciniu klausimu iškelta problema susijusi su esminiu ypatingos reikšmės klausimu: ar laikytina, kad direktyva sušvelnina taisyklę – ar netgi nuo jos nukrypsta – pagal kurią valstybės narės administracinės institucijos iš esmės veikia remdamosi savo nacionaline teise ir užtikrina jos taikymą? Iš tiesų remiantis valdžios institucijų kompetencija ir atitinkamai prie viešosios teisės priskiriamų įgaliojimų įgyvendinimu, ypač ius puniendi, privalu atsižvelgti į reikalavimus, kurie susiję su valstybės teritorijos suverenumu(30), teisėtumo principu ir galiausiai teisinės valstybės sąvoka(31), kurie įpareigoja, kad kompetentinga priežiūros institucija sutaptų su taikytinu įstatymu(32). Šiuo atžvilgiu įgaliojimų taikyti sankcijas įgyvendinimas, kuris konkrečiai domina nagrinėjamoje byloje, iš principo negali peržengti teisės aktais nustatytų ribų, kur administracinė institucija yra įgaliota veikti paisydama savo nacionalinės teisės(33). Tam, kad būtų galima nukrypti nuo šios taisyklės, atrodo, reikia, kad bent egzistuotų specialus teisinis pagrindas, leidžiantis taikyti kitos valstybės narės viešąją teisę ir tai apibrėžiantis, be to, suteikiantis galimybę ir aiškiai bei tiksliai tai nurodantis, kad teisės subjektai galėtų numatyti, kuri teisė taikytina jų veiksmams, ir pagal tą teisę numatytas pasekmes(34).

51. Remdamasis tuo, kas išdėstyta, nemanau, kad 28 straipsnio 6 dalies pirmasis sakinys, numatantis „kad ir kokie nacionaliniai įstatymai būtų taikomi tvarkant aptariamus duomenis, kiekviena priežiūros institucija yra kompetentinga savo valstybės narės teritorijoje naudotis pagal šio straipsnio 3 dalį jai suteiktais įgaliojimais“, yra pakankama nuostata, kad būtų galima padaryti tokią reikšmingą išvadą(35). Iš tiesų toje nuostatoje nepateikta jokių patikslinimų dėl jos taikymo srities, apimties ar garantijų, kurios leistų vienos valstybės narės administracinėms institucijoms taikyti kitos valstybės narės nuostatas, ypač nustatančias sankcijas.

52. Direktyvos 28 straipsnio 1 dalis, mano manymu, taip pat negali būti pakankamas teisinis pagrindas, leidžiantis joms veikti vien dėl to, kad, kaip nurodė Vengrijos vyriausybė ir Vengrijos duomenų apsaugos tarnyba, šioje nuostatoje vartojama daugiskaita, kai nurodoma: „kiekviena valstybė narė numato, kad viena ar daugiau valdžios institucijų privalo kontroliuoti, kaip jos teritorijoje yra taikomos pagal šią direktyvą valstybių narių priimtos nuostatos“(36).

53. Nepaisant to, kas išdėstyta, šios nuostatos parodo egzistuojančią galimybę atsieti kompetentingą priežiūros instituciją nuo taikytinos teisės. Bet kuriuo atveju pagal jas pripažįstama, kad valstybės narės priežiūros institucija gali kontroliuoti jos teritorijoje vykdomą veiklą taip pat tada, kai taikytina kitos valstybės narės teisė.

54. Manau, kad, atlikus šią analizę, galima direktyvos 28 straipsnio 1, 3 ir 6 punktus išaiškinti su pagrindiniais principais, įtvirtinančiais administracijos įgaliojimus taikyti sankcijas, suderinamu būdu. Toks aiškinimas gali būti dar palengvintas kartu išnagrinėjus 28 straipsnio 6 dalies pirmos pastraipos pirmąjį sakinį su tos pačios pastraipos antruoju sakiniu, pagal kurį valdžios institucija, kuri įgyvendina įgaliojimus savo valstybėje narėje, „gali būti kitos valstybės narės valdžios institucijos paprašyta pasinaudoti savo įgaliojimais“, ir tos pačios 28 straipsnio 6 dalies antra pastraipa, numatančia, kad „priežiūros institucijos tarpusavyje bendradarbiauja tiek, kiek tai reikalinga jų pareigoms vykdyti <...>“.

55. Šiuo atžvilgiu direktyvos 28 straipsnio 6 dalyje priežiūros institucijoms suteikta galimybė veikti, net kai negali būti taikoma jų valstybės narės teisė, turi būti aiškinama sistemiškai atsižvelgiant į tai, ar egzistuoja aiškus administracinių institucijų bendradarbiavimo įgaliojimas, ir tai, ar institucija gali būti paprašyta pasinaudoti įgaliojimais. Iš tiesų bendrai įvertinus šią nuostatą, matyti, kad, vykstant bedradarbiavimui ir teikiant savitarpio pagalbą, užduotys gali būti paskirstytos tarp įvairių priežiūros institucijų.

56. Aplinkybė, kad taikytina valstybės narės teisė, neužkerta kelio kitos valstybės narės priežiūros institucijų galimybės veikti, ypač atsižvelgiant į tai, kad tam tikrais atvejais, nors pagal direktyvos 4 straipsnio 1 dalies a punkte nustatytą kriterijų turi būti taikoma kitos valstybės narės teisė, gali egzistuoti daug kitų sąsajos su teritorija elementų, pavyzdžiui, techninės priemonės ar dėl duomenų tvarkymo žalos patyrę asmenys. Tuo remiantis, siekiant veiksmingai taikyti direktyvą, reikėtų, kad vietos institucija galėtų vesti tyrimą ir imtis tam tikrų priemonių jau tada, kad dar nėra nustatyta, kuris įstatymas taikytinas.

57. Konkrečiau kalbant, priežiūros institucija, turinti veikti dėl gauto skundo ar individualaus prašymo, savo teritorijoje turėtų galėti pasinaudoti savo tyrimo galimybėmis. Tai aiškiai išplaukia iš direktyvos 28 straipsnio 4 dalies, pagal kurią priežiūros institucijos privalo nagrinėti visus asmenų pateiktus skundus, susijusius su jų teisių ir laisvių apsauga tvarkant asmens duomenis. Toks aiškinimas taip pat atitinka 1981 m. Europos Tarybos konvenciją Nr. 108 dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu [dėl asmenų apsaugos automatizuotai tvarkant asmens duomenis](37), kurios 14 straipsnyje numatyta, kad jeigu asmuo gyvena kitos susitariančios šalies teritorijoje, „jam suteikiama galimybė prašymą pateikti per tos šalies paskirtos institucijos tarpininką“.

58. Tai leidžia pateikti pakankamą atsakymą į per teismo posėdį Vengrijos vyriausybės išreikštą susirūpinimą dėl to, kad jeigu Vengrijos duomenų apsaugos tarnyba nebūtų kompetentinga, žalą patyrę asmenys privalėtų į užsienio institucijas kreiptis jiems nežinomomis kalbomis, tad direktyvoje įtvirtintos priemonės taptų mažiau veiksmingos.

59. Galiausiai nesvarbu, kokios valstybės materialinę teisę reikėtų taikyti; priežiūros institucijos turi direktyvos 28 straipsnio 3 dalyje numatytus įgaliojimus tirti ir imtis veiksmų, tačiau jais gali naudotis tik laikydamosi savo nacionalinės teisės, kai veikia savo teritorijoje(38), ir atsižvelgdamos į šios išvados 50 punkte išvardytus principus.

60. Taigi akivaizdu, kad galimybė vienos valstybės narės priežiūros institucijai imtis veiksmų, kai taikytina kitos valstybės narės teisė, nėra neribota. Šiuo klausimu pažymėtina, kad tebegalioja principas, pagal kurį įgyvendindama savo įgaliojimus priežiūros institucija neturi peržengti ribų, nustatytų dėl jos, kaip viešosios teisės subjekto, kuriam taikytini jo valstybės narės įstatymai, statuso; todėl savo įgaliojimus ji galės vykdyti tik savo teritorijoje. Konkrečiai kalbant, konstatuoti duomenų tvarkymo neteisėtumą, taip pat prireikus taikyti sankcijas už atitinkamus pažeidimus neišvengiamai privalės būtent valstybės narės, kurios materialinė teisė taikytina pagal direktyvos 4 straipsnio 1 dalies a punkte nustatytą kriterijų, priežiūros institucija.

61. Dėl šios priežasties, nors niekas nekliudo įgaliojimus taikyti sankcijas laikyti viena iš direktyvos 28 straipsnio 3 dalyje (jos trečioje įtraukoje nurodomi priežiūros institucijų „įgaliojimai dalyvauti teismo procesuose, kai pažeidžiamos“) nurodytų įgaliojimų rūšių, vis dėlto vykdydama direktyvos 28 straipsnio 6 dalyje nustatytą įpareigojimą bendradarbiauti priežiūros institucija privalės prašyti valstybės narės, kurios teisė taikytina tvarkant duomenis, priežiūros institucijos pagal taikytiną įstatymą nustatyti, ar padarytas pažeidimas, ir prireikus taikyti sankcijas remiantis surinkta ar pirmosios valstybės narės institucijos perduota informacija.

62. Šis aiškinimas neprieštarauja tam, ką įvairiuose dokumentuose, atrodo, nurodė 29 straipsnio grupė. Pirmiausia savo Nuomonėje 8/2010 dėl taikytinos teisės ji pažymėjo, kad pagal 28 straipsnio 6 dalį būtent siekiama „sumažinti galimą atotrūkį tarp taikytinos teisės ir priežiūros institucijos jurisdikcijos, kuri gali atsirasti vidaus rinkos duomenų apsaugos srityje“(39). Šiuo atžvilgiu, nors minėtoje nuomonėje aiškiai nurodyta, kad „<...> kai taikytina kitos valstybės narės duomenų apsaugos teisė, priežiūros institucija gali savo teritorijoje įgyvendinti visus įgaliojimus, kurie numatyti nacionalinėje teisėje“, taip pat išreikšta rimtų abejonių dėl priežiūros institucijų įgaliojimų apimties šioje srityje(40). Iš tiesų paprašyta Komisijos tęsti tyrimus, vėliau 29 straipsnio grupė detaliau paaiškino savo poziciją dėl taikytinos teisės ir kompetentingos institucijos atsiejimo savo ataskaitoje dėl 28 straipsnio 6 dalies praktinio įgyvendinimo(41). Ši grupė padarė išvadą, kad, esant realiai atsiejimo situacijai, institucija turėtų taikyti savo teisinės sistemos procesines ir administracines nuostatas, tačiau materialinius duomenų apsaugos aspektus turės taikyti valstybė narė, kurios teisė taikytina tuo atveju(42).

63. Išdėstyta pozicija susijusi su specifine teisine situacija, kai Sąjungos teisės kišimosi priemonė – direktyva, o tai valstybėms narėms suteikė galimybę išlaikyti didelę laisvę, ypač kiek tai susiję su priežiūros institucijų taikomomis taisyklėmis ir sankcijomis, kurias jos gali nustatyti(43). Nesant aiškaus teisinio pagrindo ir garantijų, užtikrinančių glaudų bendradarbiavimą aiškinant pažeidimų ir sankcijų atitiktį(44), su teritorinio suverenumo ir teisėtumo principų reikalavimais būtų sunkiai suderinama tai, kad atsiejus kompetentingą instituciją nuo taikytinos teisės galėtų susiklostyti situacijos, kai nustatomos sankcijos, kurios numatytos vietos priežiūros institucijos valstybės teisėje, tačiau kurios galbūt neįtvirtintos valstybės, kurios teisė turi būti taikytina tvarkant duomenis, teisinėje sistemoje arba kai vietos institucija taiko kitos valstybės narės administracinės teisės nuobaudas.

64. Galiausiai dėl Vengrijos vyriausybės ir Vengrijos duomenų apsaugos tarnybos argumento, pateikto pasirėmus pagal analogiją Teisingumo Teismo sprendimu byloje UPC DTH(45), siekiant pagrįsti tos tarnybos kompetenciją taikyti sankcijas tokiu atveju, kaip nagrinėjamasis, negalima padaryti kitokios išvados. Toje byloje, susijusioje su konkrečiais elektroninius ryšius reglamentuojančiais teisės aktais(46), Teisingumo Teismas nusprendė, kad „teisę taikyti <...> elektroninių ryšio paslaugų <...> priežiūros procedūras turi valstybės narės, kurioje reziduoja minėtų paslaugų gavėjai, institucijos“(47).

65. Atsakant į šį argumentą pakanka pažymėti, kad, neatsižvelgiant į aplinkybę, kad buvo aiškinama situacija, susijusi su paslaugų teikimo laisve, ir jai taikytinų teisės normų tikslai ir struktūra skyrėsi nuo šiuo metu nagrinėjamųjų, svarbiausia yra tai, kad Teisingumo Teismas sprendė dėl situacijos, kur nekilo ginčų dėl taikytinos teisės(48).

66. Dėl visų šių išdėstytų priežasčių manau, kad atsižvelgiant į šiuo metu galiojančią Sąjungos teisę į Kúria pateiktą septintąjį prejudicinį klausimą reikia atsakyti taip:

tuo atveju, kai nacionalinis teismas mano, kad atsižvelgiant į Direktyvos 95/46/EB 4 straipsnio 1 dalies a punkte nustatytą kriterijų nacionalinė teisė netaikytina, tos direktyvos 28 straipsnio 6 dalis aiškintina taip, kad būtent valstybės narės, kurios teisė taikytina, priežiūros institucija savo teritorijoje ir laikydamasi jos nacionalinėje teisėje numatytos tvarkos turi taikyti sankcijas už tvarkant duomenis padarytus pažeidimus, nesvarbu, kuri vietos priežiūros institucija gali vykdyti visus 28 straipsnio 3 dalyje išvardytus įgaliojimus.

C – Dėl duomenų „tvarkymo“ sąvokos (aštuntasis prejudicinis klausimas)

67. Prašymą priimti prejudicinį sprendimą pateikęs teismas aštuntuoju klausimu Teisingumo Teismo teiraujasi: „Ar direktyvos 4 straipsnio 1 dalies a punkto ir 28 straipsnio 6 dalies versijoje vengrų kalba vartojama sąvoka „adatfeldolgozás“ („duomenų apdorojimo operacijos“) yra tapati šios direktyvos sąvokai „adatkezelés“ („duomenų tvarkymas“)?“

68. Visos Teisingumo Teismui pateiktos pastabos šiuo klausimu sutampa; daroma išvada, kad sprendime dėl prašymo priimti prejudicinį sprendimą nurodytas terminologijos skirtumas neturi reikšmės.

69. Direktyvos 95/46 nuostatose sistemingai vartojamas tik terminas „[adat]feldolgozás“ nurodant duomenų tvarkymo sąvoką, kaip ji apibrėžta direktyvos 2 straipsnio b punkte. Tik Informacijos laisvės įstatyme daromas skirtumas tarp „adatkezelés“ ir „adatfeldolgozás“(49), pastarąjį terminą apibrėžiant kaip „su duomenų tvarkymo operacijomis susijusius techninius veiksmus <...>“(50).

70. Tačiau direktyvos 2 straipsnio b punkte pateikta sąvokos „[adat]feldolgozás“ apibrėžtis, kuri taip pat vartojama 4 straipsnio 1 dalies a punkte ir 28 straipsnio 6 dalyje, yra platesnė ir apima bet kokią su asmens duomenimis susijusią operaciją, nesvarbu, ar ji atliekama automatiniu, ar neautomatiniu būdu. Taigi, ši plati duomenų tvarkymo sąvoka apimtų siauresnę su duomenų tvarkymo operacijomis susijusių techninių veiksmų sąvoką.

71. Taigi Teisingumo Teismui į aštuntąjį prejudicinį klausimą siūlau atsakyti taip:

Direktyvos 95/46 versijoje vengrų kalba 4 straipsnio 1 dalies a punkte ir 28 straipsnio 6 dalyje vartojama sąvoka „adatfeldolgozás“ aiškintina taip, kad ji apima duomenų tvarkymą plačiąja prasme, įskaitant su duomenų tvarkymo operacijomis susijusius techninius veiksmus.

V – Išvada

72. Remdamasis tuo, kas išdėstyta, siūlau Teisingumo Teismui į Kúria pateiktus prejudicinius klausimus atsakyti taip:

1. Pagal Direktyvos 95/46 4 straipsnio 1 dalies a punktą draudžiama Vengrijos duomenų apsaugos tarnybai taikyti Vengrijos teisę tik kitoje valstybėje narėje įsteigtam duomenų valdytojui. Šiuo tikslu padalinio sąvoka aiškintina kaip nuolatinio vieneto egzistavimas, nesvarbu, kokia jo teisinė forma, per kurį veiksmingai ir realiai vykdoma veikla. Vienas darbuotojas gali būti laikomas nuolatiniu vienetu, kai šis vienetas pakankamai pastovus ir pakanka žmogiškųjų ir techninių išteklių, būtinų konkrečioms aptariamoms paslaugoms teikti.

Kiti elementai, pavyzdžiui, vieta, kurioje suvesti duomenys, žalą patyrusių asmenų pilietybė, už duomenų tvarkymą atsakingos įmonės savininkų gyvenamoji vieta ar tai, kad to duomenų valdytojo teikiamos paslaugos skirtos teikti kitos valstybės narės teritorijoje, neturi tiesioginės lemiamos reikšmės nustatant taikytiną įstatymą, nesvarbu, kad, siekiant nustatyti padalinio vietą, ypač vertinant, ar duomenys buvo tvarkomi tam padaliniui vykdant savo veiklą, jie galėtų būti nuorodos apie veiksmingą ir realų veiklos pobūdį.

2. Tuo atveju, kai nacionalinis teismas mano, kad atsižvelgiant į Direktyvos 95/46 4 straipsnio 1 dalies a punkte nustatytą kriterijų nacionalinė teisė netaikytina, tos direktyvos 28 straipsnio 6 dalis aiškintina taip, kad būtent valstybės narės, kurios teisė taikytina, priežiūros institucija savo teritorijoje ir laikydamasi jos nacionalinėje teisėje numatytos tvarkos turi taikyti sankcijas už tvarkant duomenis padarytus pažeidimus, nesvarbu, kuri vietos priežiūros institucija gali vykdyti visus 28 straipsnio 3 dalyje išvardytus įgaliojimus.

3. Direktyvos 95/46 versijoje vengrų kalba 4 straipsnio 1 dalies a punkte ir 28 straipsnio 6 dalyje vartojama sąvoka „adatfeldolgozás“ aiškintina taip, kad ji apima duomenų tvarkymą plačiąja prasme, įskaitant su duomenų tvarkymo operacijomis susijusius techninius veiksmus.

1 – Originalo kalba: ispanų.

2 – 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355, toliau – Direktyva 95/46).

3 – C‑131/12, EU:C:2014:317.

4 – Žr., pavyzdžiui, F. Rigaux „La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel“, Revue critique de droit international privé, 1980, p. 443–478.

5– L. Bygrave „Determining applicable law pursuant to European Data Protection Legislation“, Computer Law and Security Report, Nr. 16, 2000, p. 252.

6 – Šios nuostatos versijoje ispanų kalba padaryta nedidelė klaida, nes vartojama vienaskaitinė veiksmažodžio forma. Tai, atrodo, patvirtina kitos kalbinės versijos „each Member State shall apply the national provisions it adopts pursuant to this Directive <...>“, „chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive“ („kiekviena valstybė narė taiko nacionalines nuostatas, kurias ji priima pagal šią direktyvą“) ir t. t.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, 48–50 punktai.

9 – Žr. Sprendimo Factortame ir kiti, C‑221/89, EU:C:1991:320, 20 punktą ir Sprendimo Komisija / Jungtinė Karalystė, C‑246/89, EU:C:1991:375, 21 punktą.

10 – Sprendimo Cadbury Schweppes ir Cadbury Schweppes Overseas, C‑196/04, EU:C:2006:544, 54 punktas.

11 – 2010 m. gruodžio 16 d. Nuomonė dėl taikytinos teisės, 0836‑02/10/LT, WP 179.

12 – Iš tiesų šioje nuomonėje remiamasi Sprendimo Berkholz, 168/84, EU:C:1985:299, 18 punktu ir Sprendimu Lease Plan, C‑390/96, EU:C:1998:206, kuriuose aiškinta 1977 m. gegužės 17 d. Šeštosios Tarybos direktyvos 77/388/EEB dėl valstybių narių apyvartos mokesčių įstatymų derinimo – Bendra pridėtinės vertės mokesčio sistema: vienodas vertinimo pagrindas (OL L 145, p. 1; 2004 m. specialusis leidimas lietuvių k., 9 sk., 1 t., p. 23) 9 straipsnio 1 dalis.

13 – Sprendimo Welmory, C‑605/12, EU:C:2014:2298, 58 punktas, kuriame aiškintas 2006 m. lapkričio 28 d. Tarybos direktyvos 2006/112/EB dėl pridėtinės vertės mokesčio bendros sistemos (OL L 347, p. 1), iš dalies pakeistos 2008 m. vasario 12 d. Tarybos direktyva 2008/8/EB (OL L 44, p. 11), 44 straipsnis. Taip pat žr. Sprendimo Planzer Luxembourg, C‑73/06, EU:C:2007:397, 54 punktą ir nurodytą teismo praktiką.

14 – Konvencija dėl sutartinėms prievolėms taikytinos teisės, pateikta pasirašyti Romoje 1980 m. birželio 19 d. (OL L 266, p. 1).

15 – 1968 m. rugsėjo 27 d. Briuselio konvencija dėl jurisdikcijos ir teismų sprendimų civilinėse ir komercinėse bylose pripažinimo ir vykdymo (OL L 299, p. 32; konsoliduotas tekstas OL C 27, p. 1).

16 – Teisingumo Teismas yra nusprendęs, kad „filialo, agentūros ar kitokio padalinio samprata reiškia verslo vietą, kurioje nuolat vykdoma patronuojančios įmonės veikla, turinčią vadovą ir materialines priemones, kad galėtų vykdyti verslo sandorius su trečiaisiais asmenimis <...>“ (Sprendimo Somafer, 33/78, EU:C:1978:205, 12 punktas ir Sprendimo Blanckaert & Willems, 139/80, EU:C:1981:70, 11 punktas), ir pabrėžęs, kad „<...>sąvoka „verslo vieta“ susijusi su bet kokiu nuolatiniu įmonės padaliniu. Todėl verslo vieta pagal Romos konvencijos 6 straipsnio 2 dalies b punktą gali būti ne tik filialai ir atstovybės, bet ir kiti vienetai, pavyzdžiui, įmonės biuras, net jeigu jie neturi teisinio subjektiškumo.“ (Sprendimo Voogsgeerd, C‑384/10, EU:C:2011:842, 54 punktas.)

17 – Nuomonė Nr. 8/2010, p. 14.

18 – C‑131/12, EU:C:2013:424, 65 punktas.

19 – 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (OL L 178, p. 1; 2004 m. specialusis leidimas lietuvių k., 13 sk., 25 t., p. 399).

20 – Žr. Darbo dokumentą dėl tarptautinės ES duomenų apsaugos teisės dėl asmens duomenų tvarkymo internete, naudojant ne ES esančias interneto svetaines, taikymo, WP 56, 5035/01/LT / final, 2002 m. gegužės 30 d., p. 8.

21 – Teisingumo Teismui pateiktos pastabos dėl to, ar į šiuos veiksnius reikia atsižvelgti, skiriasi. Vengrijos duomenų apsaugos tarnybos manymu, šie elementai reikšmingi, tačiau Jungtinė Karalystė mano, kad nė vienas iš nurodytų veiksnių nėra svarbus, nes direktyvos 4 straipsnio 1 dalyje neminimas nė vienas jų. Panašios nuomonės ir Europos Komisija. Vengrijos vyriausybės manymu, reikšminga tik aplinkybė, kad paslaugos teikiamos valstybės narės teritorijoje, ir vieta, kur duomenys buvo suvesti į informacinę sistemą. Slovakijos vyriausybės teigimu, siekiant nustatyti taikytiną nacionalinę teisę, nėra reikšmingos nei vieta, kur duomenys perduodami, nei nukentėjusiųjų pilietybė, nei įmonės savininkų gyvenamoji vieta.

22 – Panašiai nurodo ir 29 straipsnio grupė, pažymėdama, kad „[nustatant taikytiną teisę] nei duomenų subjektų pilietybė, nei įprasta gyvenamoji vieta, nei asmens duomenų fizinio buvimo vieta nėra <...> lemiamas kriterijus“; Nuomonė 8/2010, p. 8. Taip pat žr. generalinio advokato N. Jääskinen išvados, pateiktos byloje Google Spain ir Google, C‑131/12, EU:C:2013:424, 55–58 punktus.

23 – C‑131/12, EU:C:2014:317, 48–50 punktai.

24 – Ten pat, 52 punktas.

25 – Ten pat, 53 punktas.

26 – Šiuo klausimu taip pat žr. 29 straipsnio Nuomonę 8/2010.

27 – Nuomonė 1/2008 dėl asmens duomenų apsaugos klausimų, susijusių su programinėmis paieškos priemonėmis, priimta 2008 m. balandžio 4 d., WP 148, 00737/LT.

28 – Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pasiūlymas, COM(2012) 11 final.

29 – Beje, doktrinoje šiuo klausimu pateikiamos skirtingos nuomonės. Kai kurie autoriai laiko, kad direktyvos 4 straipsnis taip pat yra jurisdikciją nustatanti norma (pavyzdžiui, J. Bing „Data Protection, Jurisdiction and the Choice of Law“, Privacy Law & Policy Reporter, 1999), kitų nuomonė priešinga. Žr., pavyzdžiui, P. P. Swire „Of Elephants, Mice and Privacy: International Choice of Law and the Internet“, The International Lawyer, 1998, p. 991. Taip pat šiuo klausimu žr. C. Kuner „Data Protection Law and International Jurisdiction on the Internet (Part 1)“, International Journal of Law and Information Technology, Nr. 18, 2010, p. 176.

30 – Direktyvos 21 konstatuojamojoje dalyje aiškiai numatyta, kad „direktyva nepažeidžia teritoriškumo principų, taikomų baudžiamosios teisės srityje“. Manyčiau, kad tas pats pasakytina ir dėl administracinių nuobaudų taikymo.

31 – Jos esmė galėtų būti apibūdinta taip: visos viešosios institucijos, visais lygiais „must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers“, Lord Bingham „The Rule of Law“, The Cambridge Law Journal, Nr. 66, 2007, p. 78.

32 – Doktrinoje nurodoma, kad „dėl priežiūros sistemos iš esmės administracinio ir viešosios teisės pobūdžio egzistuoja glaudus ryšys tarp taikytino įstatymo ir kompetentingos valdžios institucijos, kompetentingos bausti už galimus pažeidimus“, P. A. de Miguel Asensio Derecho Privado de Internet, 4‑asis leidimas, Madridas, 2011, p. 333. Analogiškai doktrinoje pažymima dėl priežiūros institucijų konkurencijos srityje įgaliojimų, nurodant, kad viešosios valdžios įgaliojimų įgyvendinimo srityje taikytina norma lemia ją taikančios institucijos. Žr., pavyzdžiui, J. Basedow „Antitrust or Competition Law, International“, R. Wolfrum (leid.), Max Planck Encyclopedia of Public International Law, 2009.

33 – Šiuo klausimu žr. Rigaux: „On ne conçoit guère que les autorités administratives, les commissions de contrôle <...>les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux‑mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori“, op. cit., p. 469.

34 – C. Ohler Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, p. 109, 314.

35 – Išskirta mano.

36 – Išskirta mano. Šiuo klausimu žr. U. Damman ir S. Simitis EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden Badenas, 1997, p. 306.

37 – Konvencija (ETS Nr. 108), kurios šalys yra visos valstybės narės. Pagal direktyvos 11 konstatuojamąją dalį šioje direktyvoje apibrėžiama ir išplečiama minėta konvencija suteikta apsauga.

38 – Šiuo klausimu žr. U. Damman ir S. Simitis, op. cit., p. 313.

39 – Nuomonė 8/2010 dėl taikytinos teisės, p. 29.

40 – 29 straipsnio grupė savo Nuomonėje 8/2010 pažymi, kad, viena vertus, priežiūros institucijų bendradarbiavimas nereiškia, kad tik keičiamasi informacija, tai yra ir „tarpvalstybinių skundų nagrinėjimas, įrodymų kitoms duomenų apsaugos institucijoms rinkimas arba sankcijų taikymas“ (p. 26). Toje nuomonėje taip pat išreiškiama abejonių dėl kiekvienos priežiūros institucijos vykdytinų įgaliojimų apimties: „Todėl turėtų būti aptarti keli klausimai, ypač: <...> kiek teritorinė duomenų apsaugos institucija įgyvendins savo įgaliojimus taikydama pagrindinius principus ir sankcijas? Ar ji turėtų taikyti savo įgaliojimus tik faktams tikrinti, ar gali imtis laikinų arba net galutinių taikymo priemonių? Ar ji gali savarankiškai aiškinti taikytinos teisės nuostatas, ar tai valstybės narės, kurios teisė yra taikytina, duomenų apsaugos institucijos prerogatyva? <...>“ (p. 30).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011) 444105, 2011 m. balandžio 20 d.

42 – Ten pat, p. 26. Nuomonėje pateikiamas pavyzdys Nr. 10 šiuo klausimu labai iliustratyvus. Jame pateikiamas atvejis, kai tvarkant duomenis Jungtinėje Karalystėje taikytina Vokietijos teisė ir nurodoma, kad „Jungtinės Karalystės duomenų apsaugos institucijai reikalingi įgaliojimai tikrinti patalpas Jungtinėje Karalystėje ir padaryti išvadas, perduotinas Vokietijos duomenų apsaugos institucijai. Vokietijos duomenų apsaugos institucijai turėtų būti suteikti įgaliojimai remiantis Jungtinės Karalystės duomenų apsaugos institucijos išvadomis taikyti sankcijas Vokietijoje įsisteigusiam duomenų valdytojui“.

43 – Taip patvirtina direktyvos 9 konstatuojamoji dalis. Šiuo klausimu žr. Europos pagrindinių teisių agentūros parengtą dokumentą „Data Protection in the European Union: the role of National Data Protection Authorities“, 2010, kuriame nurodomi valstybių narių priežiūros institucijų įgaliojimų skirtumai.

44 – Šiuo klausimu Sąjungos teisės dėl duomenų apsaugos Europos administracinėje srityje reikšmė ir novatoriškumas neginčijami. Jeigu per tą laiką bus priimtas Bendrojo reglamento dėl duomenų apsaugos pasiūlymas, įgyvendintas jis lems didelio masto pokyčius šioje srityje, ypač kiek tai susiję su sudėtingos ir išsamiai parengtos bendradarbiavimo, atitikties ir įgaliojimų pasidalijimo tarp skirtingų priežiūros institucijų sistemos sukūrimu.

45 – C-475/12, EU:C:2014:285.

46 – Konkrečiai žr. 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvą 2002/20/EB dėl elektroninių ryšių tinklų ir paslaugų leidimo (Leidimų direktyva) (OL L 108, p. 21; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 337) su pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (DO L 337, p. 37), ir 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvą 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų Direktyva) (OL L 108, p. 33; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 349) su pakeitimais, padarytais Direktyva 2009/140.

47 – Sprendimas UPC DTH, C‑475/12, EU:C:2014:285, 88 punktas.

48 – Iš tiesų šioje byloje sankcija buvo nustatyta atitinkamai įmonei atsisakius nacionalinei ryšių tarnybai pateikti tam tikrą informaciją. Teisingumo Teismas nurodė, kad „Leidimų direktyvos 11 straipsnio 1 dalies b punkte <...> numatyta, kad nacionalinės reguliavimo institucijos iš įmonių gali reikalauti tik proporcingos ir pagrįstos informacijos, kai gavus skundą ar savo iniciatyva atliekant tyrimą to reikia tikrinant, kaip laikomasi vartotojų apsaugos sąlygų“ (ten pat, 85 punktas).

49 – Direktyvoje tik galima rasti iš termino „adatkezelés“ išvestinį žodį, kai kalbama apie duomenų valdytoją.

50 – Informacijos laisvės įstatymo 3 straipsnio 17 dalis. Informacijos laisvės įstatymo 3 straipsnio 10 dalyje „adatkezelés“ sąvoka apibrėžiama plačiai, ji iš esmės atitinka direktyvos 2 straipsnio b dalyje esančią duomenų tvarkymo sąvoką.