Language of document : ECLI:EU:C:2015:426

ĢENERĀLADVOKĀTA PEDRO KRUSA VILJALONA [PEDRO CRUZ VILLALÓN]

SECINĀJUMI,

sniegti 2015. gada 25. jūnijā (1)

Lieta C‑230/14

Weltimmo s.r.o.

pret

Nemzeti Adatvédelmi és Információszabadság Hatóság

(Kúria (Ungārija) lūgums sniegt prejudiciālu nolēmumu)

Personas datu aizsardzība – Direktīva 95/46/EK – 4. panta 1. punkts un 28. panta 1., 3. un 6. punkts – Citas dalībvalsts teritorijā iedibināts datu apstrādātājs – Piemērojamo tiesību un kompetentās uzraudzības iestādes noteikšana – Uzraudzības iestādes pilnvaras – Sodīšanas pilnvaras – Jēdziens “datu apstrāde”





1.        Prejudiciālie jautājumi, ko uzdevusi Kúria (Ungārijas Augstākā tiesa), ir raušies strīdā starp Magyar Adatvédelmi és Információszabadság Hatóság (turpmāk tekstā – “Ungārijas Datu aizsardzības iestāde”) un kādu Slovākijā reģistrētu uzņēmumu, kas pārvalda nekustamo īpašumu darījumu starpniecības “tīmekļa vietni”, kura tiek ievietoti sludinājumi par Ungārijā esošiem nekustamajiem īpašumiem.

2.        Šādi izklāstīta, šī lieta Tiesai no jauna paver iespēju spriest par to, kā nosakāms, kādas tiesības piemērojamas datu apstrādei saskaņā ar Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (2) 4. panta 1. punkta a) apakšpunktu, kas jau interpretēts spriedumā Google Spain un Google (3). Piedevām šajā lietā rodas vēl nebijuši jautājumi gan par to, kā nosakāma kompetentā uzraudzības iestāde, gan par to, kuras valsts tiesības minētajai iestādei ir jāpiemēro un kādas ir tās rīcības pilnvaras, konkrēti, attiecībā uz sodu uzlikšanu.

I –    Atbilstošās tiesību normas

A –    Savienības tiesības

3.        Direktīvā 95/46 ir noteikti dažādi kritēriji, pēc kuriem nosakāmi personas datu apstrādei piemērojamie tiesību akti. Tās preambulas 18. apsvērumā ir teikts, ka “[..] lai nodrošinātu, ka personas nezaudē aizsardzību, uz kuru viņām ir tiesības saskaņā ar šo direktīvu, jebkura personas datu apstrāde Kopienā jāveic saskaņā ar kādas dalībvalsts likumiem; [..] šajā sakarā dalībvalstī reģistrēta personas datu apstrādātāja veiktu apstrādi būtu jāreglamentē ar šīs dalībvalsts likumiem”.

4.        Savukārt Direktīvas 95/46 preambulas 19. apsvērumā ir uzsvērts, ka “[..] nodibinājums dalībvalsts teritorijā paredz efektīvu un reālu darbības veikšanu ar stabilu pasākumu starpniecību; [..] šāda nodibinājuma juridiskā forma, vienalga, vai tā būtu vienkārši nodaļa vai filiāle kā juridiska persona, šajā sakarā nav noteicošais faktors [..]”. Šajā pašā preambulas apsvērumā ir teikts, ka “gadījumos, kad vairāku dalībvalstu teritorijās ir noteikta viena datu apstrādes iestāde, jo īpaši kā filiāles, tai, lai izvairītos no jebkādas valsts noteikumu apiešanas, jānodrošina, ka katra iestāde pilda tās darbībai piemērojamās attiecīgās valsts tiesību uzliktās saistības”.

5.        Šajā strīdā interesējošais Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts ir tiesību norma par datu apstrādei piemērojamajām tiesībām, un tajā ir noteikts, ka:

“1.      Katra dalībvalsts piemēro savas valsts noteikumus personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja:

a)      apstrādi veic saistībā ar personas datu apstrādātāja pasākumiem dalībvalsts teritorijā; ja viens un tas pats personas datu apstrādātājs ir reģistrēts vairāku dalībvalstu teritorijā, tam jāveic nepieciešamie pasākumi, lai nodrošinātu katras šīs iestādes atbilstību šīs valsts piemērojamo tiesību noteiktajām saistībām;

[..].”

6.        Datu aizsardzības uzraudzības iestādes reglamentējošā 28. panta 1., 3., 4. un 6. punktā ir noteikts:

“1.      Katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā.

Šīs iestādes tām uzticēto pienākumu izpildē darbojas pilnīgi neatkarīgi.

[..]

3.      Katrai iestādei ir piešķirtas:

–        izmeklēšanas pilnvaras, tādas kā datu, kuri veido apstrādes darbību priekšmetu, piekļuves pilnvaras un pilnvaras ievākt tās uzraudzības pienākumu izpildei visu vajadzīgo informāciju;

–        efektīvas iejaukšanās pilnvaras, tādas kā, piemēram, saskaņā ar 20. pantu atzinumu sniegšana pirms datu apstrādes darbību veikšanas un pilnvaras nodrošināt šādu atzinumu atbilstīgu nodošanu atklātībai, likt noslēgt piekļuvi, dzēst vai iznīcināt datus, noteikt pagaidu vai galīgu aizliegumu datu apstrādei, brīdināt vai izteikt aizrādījumu personas datu apstrādātājam vai nodot jautājumu izskatīšanai valstu parlamentiem vai citām politiskām institūcijām;

–        pilnvaras uzsākt procesuālas darbības, ja pārkāpti saskaņā ar šo direktīvu pieņemtie attiecīgās valsts noteikumi, vai darīt zināmus šos pārkāpumus tiesu iestādēm.

Uzraudzības iestādes lēmumus, kuri dod tiesības uz sūdzību procedūru, var pārsūdzēt tiesā.

4.      Katra uzraudzības iestāde uzklausa jebkuras personas vai šo personu pārstāvošas apvienības iesniegtu prasību, kas saistīta ar šīs personas tiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi. Ieinteresēto personu jāinformē par prasības rezultātu.

Katra uzraudzības iestāde uzklausa jebkuras personas iesniegtās prasības par datu apstrādes likumības pārbaudēm, ja piemērojami saskaņā ar šīs direktīvas 13. pantu pieņemtie attiecīgās valsts noteikumi. Attiecīgo personu katrā ziņā jāinformē, ka pārbaude ir notikusi.

[..]

6.      Katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras. Katru uzraudzības iestādi var lūgt citas dalībvalsts iestāde realizēt tās pilnvaras.

Uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei, jo īpaši apmainoties ar visu lietderīgo informāciju.

[..]”

B –    Ungārijas tiesības

7.        2011. gada Likuma CXII par tiesībām uz pašnoteikšanos informācijas jomā un informācijas brīvību (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, turpmāk tekstā – “Informācijas likums”) ir Direktīvu 95/46 transponējošais valsts tiesību akts.

8.        Informācijas likuma 2. pantā ir noteikts:

“1)      Šā likuma piemērošanas jomā ietilpst Ungārijas teritorijā veiktā visa veida datu apstrāde un datu apstrādes tehniskās darbības attiecībā uz fizisko personu datiem, kā arī vispārējo interešu datiem vai datiem, kuri ir publiski pieejami vispārējo interešu dēļ.

2)      Šis likums ir piemērojams datu apstrādei un datu apstrādes tehniskām darbībām neatkarīgi no tā, vai tās tiek pilnībā vai daļēji veiktas vai nu izmantojot tehniskus līdzekļus, vai manuāli.

3)      Šā likuma noteikumi ir jāpiemēro, ja datu apstrādātājs, kurš veic personas datu apstrādi ārpus Eiropas Savienības teritorijas, datu apstrādes tehnisko darbību veikšanai norīko apakšuzņēmēju, kura juridiskā adrese, nodibinājums, filiāle vai arī domicils vai pastāvīgā dzīvesvieta ir Ungārijas teritorijā, vai arī ja tas izmanto līdzekļus, kas atrodas šajā teritorijā, ja vien šie līdzekļi Eiropas Savienības teritorijā netiek izmantoti tikai tranzītam. Šādam datu apstrādātājam ir jāieceļ Ungārijas teritorijā iedibināts pārstāvis.”

9.        Savukārt Informācijas likuma 3. pantā ir noteikts, ka šā likuma piemērošanas vajadzībām šādiem jēdzieniem ir šāda nozīme:

“9)      “datu apstrādātājs” (“adatkezelő”): fiziska vai juridiska persona vai jebkāda struktūra bez juridiskas personas statusa, kura viena pati vai kopīgi ar citām nosaka datu apstrādes nolūkus, pieņem un izpilda lēmumus par datu apstrādi (tostarp izmantotajiem līdzekļiem) vai arī liek tos izpildīt apakšuzņēmējam (“adatfeldolgozó”);

10)      “datu apstrāde” (“adatkezelés”): jebkura ar datiem veikta darbība vai darbību kopums – neatkarīgi no izmantotajiem līdzekļiem – kā, piemēram, vākšana, reģistrēšana, organizēšana, uzglabāšana, pārveidošana, izmantošana, konsultēšana, pārsūtīšana, atklāšana, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana, kā arī datu atkārtotas izmantošanas novēršana, fotogrāfiska vai audiovizuāla reģistrācija, kā arī fizisku īpašību reģistrēšana, kas ļauj identificēt personu (piemēram, pirkstu vai plaukstu nospiedumi, DNS paraugi, acs zīlītes skenēšana);

11)      “datu nosūtīšana”: datu padarīšana par pieejamiem kādai konkrētai personai;

[..]

17)      “tehniska datu manipulācija” (“adatfeldolgozás”): ar datu apstrādi saistītas tehniskas darbības neatkarīgi no tālab izmantotās metodes un līdzekļiem, kā arī norises vietas, ja vien šādas tehniskās darbības tiek veiktas ar datiem;

18)      “apakšuzņēmējs” (“adatfeldolgozó”): fiziska vai juridiska persona vai jebkāda struktūra bez juridiskas personas statusa, kas saskaņā ar līgumu – tostarp likumiskā kārtībā noslēgtu līgumu – veic tehniskas datu manipulācijas darbības;

[..].”

II – Fakti un tiesvedība pamatlietā

10.      Šis lūgums sniegt prejudiciālu nolēmumu tiek izteikts saistībā ar kasācijas sūdzību, kas Kúria iesniegta par Fővárosi Közigazgatási és Munkaügyi Bíróság (Budapeštas Administratīvā un darba tiesa) spriedumu administratīvajā lietā par datu aizsardzību starp sabiedrību Weltimmo s.r.o. (turpmāk tekstā – “Weltimmo”) un Ungārijas Datu aizsardzības iestādi.

11.      Weltimmo ir sabiedrība, kas pārvalda kādu tīmekļa vietni starpniecībai darījumos ar nekustamo īpašumu un kuras juridiskā adrese ir Slovākijā. Tā pārvalda šo tīmekļa vietni, kurā tiek publicēti sludinājumi par Ungārijā esošiem nekustamajiem īpašumiem. Pirmajā mēnesī šos sludinājumus var ievietot bez maksas, taču vēlāk par šo pakalpojumu tiek iekasēta maksa. Liels skaits sludinājumu ievietotāju pa elektronisko pastu lūdza dzēst savus attiecīgos sludinājumus, kā arī viņu personas datus, jo nevēlējās pēc pirmā mēneša pāriet uz maksas pakalpojumu. Taču Weltimmo šos lūgumus atstāja bez ievērības, līdz ar to izrakstot rēķinus par saviem pakalpojumiem. Tā kā minētie rēķini netika samaksāti, Weltimmo sludinājumu ievietotāju personas datus nosūtīja parādu piedziņas iestādēm.

12.      Reaģējot uz sludinājumu ievietotāju sūdzībām, Ungārijas Datu aizsardzības iestāde atzina, ka šis jautājums ir tās kompetencē un ka ir piemērojami [Ungārijas] tiesību akti (jo saskaņā ar Informācijas likuma 3. panta 10. punktu datu vākšana ir datu apstrāde), un uzlika sodu desmit miljonu Ungārijas forintu (HUF) apmērā. Šo nolēmumu Weltimmo pārsūdzēja Budapeštas Administratīvajā un darba tiesā, kura, lai arī neapstrīdot nedz šā jautājuma esamību datu aizsardzības iestādes kompetencē, nedz piemērojamos tiesību aktus, atcēla administratīvo nolēmumu vairāku apgalvoto faktu nepietiekama izskaidrojuma dēļ.

13.      Kasācijas sūdzībā Weltimmo lūdz tostarp atzīt, ka nav vajadzības sīkāk paskaidrot faktus, jo atbilstoši Direktīvas 95/46 4. panta 1. punkta a) apakšpunktam Ungārijas Datu aizsardzības iestādes kompetencē nav veikt procedūru un piemērot Ungārijas tiesības kādā citā dalībvalstī iedibinātam pakalpojumu sniedzējam, īpaši šajā ziņā piebilzdama, ka atbilstoši Direktīvas 95/46 28. panta 6. punktam minētajai iestādei būtu bijis jālūdz pret prasītāju rīkoties savai slovāku līdziniecei.

14.      Pamatlietā, lai pamatotu savu kompetenci un Ungārijas tiesību aktu piemērojamību, Ungārijas Datu aizsardzības iestāde apgalvo, ka Weltimmo ir “ungāru kontaktpersona” – viens no šā uzņēmuma ungāru izcelsmes līdzīpašniekiem –, kurš to pārstāvējis šajā valstī gan administratīvajā lietā, gan tiesvedībā. Tāpat tā apgalvo, ka Weltimmo īpašnieku dzīvesvieta ir Ungārijā. Lai kā arī nebūtu, pēc šīs iestādes domām, tās kompetence no Direktīvas 95/46 28. panta 6. punkta izriet pat neatkarīgi no piemērojamajām tiesībām.

III – Prejudiciālie jautājumi un tiesvedība Tiesā

15.      Šajā kontekstā, uzskatīdama atbilstīgās Direktīvas 95/46 tiesību normas par nepietiekami skaidrām, 2014. gada 22. aprīļa nolēmumā, kas [Tiesas kancelejā] reģistrēts 2014. gada 12. maijā, Kúria tai uzdod šādus prejudiciālos jautājumus:

“1)      Vai [..] Direktīvas 95/46[..] 28. panta 1. punkts var tikt interpretēts tādējādi, ka dalībvalsts tiesiskais regulējums ir tās teritorijā piemērojams attiecībā uz tikai un vienīgi kādā citā dalībvalstī iedibinātu personas datu apstrādātāju, kas pārvalda nekustamā īpašuma sludinājumu tīmekļa vietni, kurā tas publicē sludinājumus, tostarp arī par nekustamajiem īpašumiem, kas atrodas šīs pirmās dalībvalsts teritorijā un kuru īpašnieki savus personas datus ir nodevuši šīs tīmekļa vietnes pārvaldītājam piederošajai datu uzglabāšanas un apstrādes iekārtai (serverim), kas atrodas otrajā dalībvalstī?

2)      Vai Datu aizsardzības direktīvas 4. panta 1. punkta a) apakšpunkts, to lasot šīs direktīvas preambulas 18.–20. apsvēruma, 1. panta 2. punkta un 28. panta 1. punkta gaismā, var tikt interpretēts tādējādi, ka [Ungārijas Datu aizsardzības iestāde] nevar kā valsts tiesības piemērot Ungārijas tiesību aktus par datu aizsardzību attiecībā uz nekustamā īpašuma sludinājumu tīmekļa vietnes pārvaldītāju, kas iedibināts tikai un vienīgi kādā citā dalībvalstī, pat ja tajā tiek publicēti sludinājumi, tostarp arī par Ungārijā esošajiem nekustamajiem īpašumiem, kuru īpašnieki datus par saviem nekustamajiem īpašumiem, visticamāk, no Ungārijas teritorijas nosūtījuši šīs tīmekļa vietnes pārvaldītājam piederošajai datu uzglabāšanas un apstrādes iekārtai (serverim), kas atrodas otrajā dalībvalstī?

3)      Vai interpretācijā ir nozīme tam, ka tīmekļa vietni pārvaldošā personas datu apstrādātāja pakalpojumi ir vērsti uz šo otro dalībvalsti?

4)      Vai interpretācijā ir nozīme tam, ka dati par šīs citas dalībvalsts teritorijā esošajiem nekustamajiem īpašumiem un to īpašnieku personas dati patiesībā ir augšupielādēti no šīs citas dalībvalsts teritorijas?

5)      Vai interpretācijā ir nozīme tam, ka ar šiem nekustamajiem īpašumiem saistītie personas dati ir citas dalībvalsts pilsoņu personas dati?

6)      Vai interpretācijā ir nozīme tam, ka Slovākijā iedibinātā uzņēmuma īpašnieku dzīvesvieta ir Ungārijā?

7)      Ja no atbildēm uz iepriekš izklāstītajiem jautājumiem izriet, ka Ungārijas Datu aizsardzības iestāde var rīkoties, bet tai ir jāpiemēro nevis savas valsts tiesības, bet gan nodibinājuma dalībvalsts tiesības, vai Datu aizsardzības direktīvas 28. panta 6. punkts var tikt interpretēts tādējādi, ka Ungārijas Datu aizsardzības iestāde Datu aizsardzības direktīvas 28. panta 3. punktā paredzētās pilnvaras drīkst īstenot tikai atbilstīgi nodibinājuma dalībvalsts tiesiskajā regulējumā noteiktajam un līdz ar to tai nav pilnvaru uzlikt naudas sodu?

8)      Vai Datu aizsardzības direktīvas terminoloģijas kontekstā jēdziens “adatfeldolgozás” [tehniskas datu apstrādes darbības] šīs direktīvas [ungāru valodas redakcijas] 4. panta 1. punkta a) apakšpunkta un 28. panta 6) punkta izpratnē ir uzskatāms par identisku jēdzienam “adatkezelés” [datu apstrāde]?

16.      Rakstveida apsvērumus iesniedza Ungārijas valdība, Slovākijas valdība, Apvienotās Karalistes valdība, Ungārijas Datu aizsardzības iestāde un Eiropas Komisija. 2015. gada 12. martā rīkotajā tiesas sēdē piedalījās Ungārijas valdība, Slovākijas valdība, Polijas valdība, Ungārijas Datu aizsardzības iestāde un Eiropas Komisija.

IV – Vērtējums

17.      Daudzējādie Kúria uzdotie prejudiciālie jautājumi attiecas uz divām problēmām, kas, lai arī izklāstā tiek sasaistītas, ir iztirzājamas šķirti – kā izriet arī no šajā Tiesā notiekošajā tiesvedībā sniegtajiem rakstveida un mutvārdu apsvērumiem –, proti, jautājumu par datu apstrādei piemērojamajiem tiesību aktiem nošķirot no jautājuma par kompetentās uzraudzības iestādes noteikšanu. Tāpēc savu domu izklāstu būtībā sadalīšu divās daļās. Pirmām kārtām, iztirzāšu jautājumu par datu apstrādei piemērojamajiem tiesību aktiem un, īsumā sakot, jautājumu par “nodibinājumu”, tādējādi kopīgi aplūkojot pirmos sešus jautājumus. Otrām kārtām, izvērtēšu jautājumu par kompetentās uzraudzības iestādes noteikšanu un tās pilnvarām – analizējot arīdzan jautājumu par kompetentās uzraudzības iestādes iespējamo nošķiršanu no piemērojamajiem tiesību aktiem – (septītais jautājums). Noslēgumā pievērsīšos astotajā prejudiciālajā jautājumā iztirzātajam terminoloģiskajam jautājumam.

A –    Par datu apstrādei piemērojamajiem tiesību aktiem un nodibinājuma jēdzienu (pirmais līdz sestais prejudiciālais jautājums)

18.      Ar kopīgi iztirzājamajiem pirmajiem sešiem prejudiciālajiem jautājumiem Kúria būtībā vēlas noskaidrot, vai Direktīvas 95/46 4. panta 1. punkta a) apakšpunkts un 28. panta 1. punkts var tikt interpretēti tādējādi, ka tādos apstākļos kā pamatlietā esošie tie ļauj piemērot Ungārijas tiesību aktus par datu aizsardzību, kā arī, ka Ungārijas Datu aizsardzības iestāde šos tiesību aktus piemēro attiecībā uz tīmekļa vietnes pārvaldītāju, kas iedibināts tikai un vienīgi citā dalībvalstī. Šajā ziņā Kúria vaicā arī par to, kāda nozīme ir virknei tādu īpašu faktoru kā, piemēram, apstāklim, ka minētā uzņēmuma pakalpojumi ir vērsti uz šīs otrās dalībvalsts teritoriju, no kuras augšupielādēti dati par šiem nekustamajiem īpašumiem, ieinteresēto personu valstspiederībai vai tam, ka uzņēmuma īpašnieku dzīvesvieta ir Ungārijā.

19.      Pirmajos divos jautājumos Kúria atsaucas gan uz direktīvas 28. panta 1. punktu, gan uz tās 4. panta 1. punkta a) apakšpunktu. Tomēr, manuprāt, uz šiem jautājumiem var atbildēt pat bez vajadzības analizēt pirmās no šīm tiesību normām tvērumu. Proti, 28. panta 1. punktā ir noteikts vien tas, ka “katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā”. Uzskatu, ka šai tiesību normai nav izšķirošas nozīmes, lai noskaidrotu piemērojamos tiesību aktus. Pirmām kārtām, sistēmiski 28. pants atrodas direktīvas VI nodaļā, kurā paredzēts reglamentēt uzraudzības iestādi un darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, nevis jautājumu par piemērojamajiem tiesību aktiem. Otrām kārtām, pašā šā direktīvas 28. panta 1. punkta formulējumā nav rodams neviens papildu kritērijs, pēc kura varētu noteikt datu apstrādei piemērojamos tiesību aktus. Īsumā sakot, minētajā tiesību normā nav neviena elementa, ko interpretējot, būtu citādi atbildams uz jautājumu par to, kā nosakāmi piemērojamie tiesību akti, izmantojot kritērijus, kas noteikti šo jautājumu par piemērojamajiem tiesību aktiem īpaši reglamentējošajā minētās direktīvas 4. pantā.

20.      Pievēršoties šim direktīvas 4. panta 1. punkta a) apakšpunktam, uzreiz jānorāda, ka gan tiesas sēdē izklāstītajos, gan rakstveida procedūrā sniegtajos apsvērumos ir vienprātīgi atzīts, ka, lai atbildētu uz jautājumiem par piemērojamajiem tiesību aktiem, nozīme ir šai tiesību normai, kā arī it īpaši svarīgi ir noskaidrot, kur Weltimmo ir iedibināta.

21.      Par datu apstrādes pārrobežu situācijās piemērojamo tiesību aktu problemātiku starptautiskajās tiesībās tiek polemizēts jau desmitgadēm ilgi (4). Piemērojamo valsts tiesību noteikšanai paredzētais direktīvas 4. pants ir pirmā tiesību norma, ar kuru ir izdevies noteikt, kuras tiesības šajā ziņā ir piemērojamas (5). Šajā tiesību normā ir izklāstīti vairāki kritēriji, pēc kuriem nosakāms, vai ir piemērojami direktīvas transponēšanai pieņemtie valsts tiesību akti, tādējādi netieši (ar noteikumu par šo valsts tiesību normu piemērojamību) nosakot pašas direktīvas teritoriālās piemērošanas jomu.

22.      Tādējādi situācijās, kad rodas jautājums par to, kuras Savienības dalībvalsts tiesību akti ir jāpiemēro, īpaša nozīme ir Direktīvas 95/46 4. panta 1. punkta a) apakšpunktam, kurā noteikts, ka “katra dalībvalsts piemēro savas valsts noteikumus (6) personas datu apstrādei, ko tā pieņem saskaņā ar šo direktīvu, ja: a) apstrādi veic saistībā ar personas datu apstrādātāja pasākumiem dalībvalsts teritorijā”.

23.      Tādējādi 4. panta 1. punkta a) apakšpunktam ir divējāda funkcija. No vienas puses, tas paver iespēju piemērot Savienības tiesības caur kādas tās dalībvalsts tiesībām, kad datu apstrāde notiek tikai un vienīgi tajā esoša nodibinājuma darbības “ietvaros”, lai arī datu apstrāde, “stingri ņemot”, tiek veikta kādā trešajā valstī (kā tas bija noticis lietā Google Spain un Google (7)). No otras puses, šī tiesību norma darbojas kā norma, kas nosaka dalībvalstu starpā piemērojamos tiesību aktus (par ko tiek diskutēts šeit). Šajā otrajā situācijā direktīvas 4. panta 1. punkta a) apakšpunkts ir tiesību norma, kas piemērojamos tiesību aktus nosaka kā norma, kas reglamentē kolīziju starp dažādu dalībvalstu tiesību aktiem.

24.      Šajā ziņā uzmanība jāvērš uz to, ka valsts tiesa savus jautājumus uzdod attiecībā uz nekustamo īpašumu sludinājumiem veltītas tīmekļa vietnes pārvaldītāju, kas ir iedibināts tikai un vienīgi citā dalībvalstī, ko gan apstrīd Ungārijas uzraudzības iestāde. Apvienotās Karalistes ieskatā, ir acīmredzami, ka par šajā lietā piemērojamiem uzskatāmi nodibinājuma dalībvalsts, proti, šoreiz Slovākijas, tiesību akti un ka Ungārijas [uzraudzības] iestāde nedrīkst piemērot savas valsts tiesību normas. Šajā pašā domu gājiena ievirzē Komisija uzsver apstākli, ka neatkarīgi no tā, ka Ungārijas tiesību aktus varētu atzīt par piemērojamiem, ja prasītāja tiktu uzskatīta par iedibinājušos arī Ungārijas teritorijā, Kúria ir norādījusi, ka šajā gadījumā šis uzņēmums ir iedibinājies tikai un vienīgi citā dalībvalstī.

25.      Šajā ziņā papildus prejudiciālo jautājumu formulējumā esošajam faktu vērtējumam par nodibinājuma faktisko atrašanās vietu Kúria uzdotie trešais līdz sestais jautājums liecina par zināmu iesniedzējtiesas nedrošību jautājumā par nodibinājuma jēdzienu direktīvas izpratnē, kas var izrādīties ne tikai gluži formāls. Tāpēc uzskatu, ka, lai lietderīgi atbildētu uz pirmajiem sešiem jautājumiem, ir jānosaka kritēriji, pēc kuriem var secināt, vai ir datu apstrāde, kas veikta “saistībā ar personas datu apstrādātāja pasākumiem [personas datu apstrādātāja darbības ietvaros]” Ungārijas teritorijā direktīvas 4. panta 1. punkta a) apakšpunkta izpratnē.

26.      Tādējādi tālab, lai šajā lietā noskaidrotu, vai piemērojami ir Ungārijas vai, gluži pretēji, Slovākijas tiesību akti, vērtējums būtu jāveic divos posmos, sekojot tam, kā darīts spriedumā Google Spain un Google (8). Tādējādi, pirmām kārtām, būtu jānoskaidro, vai Weltimmo ir nodibinājums Ungārijas teritorijā, un, otrām kārtām, vai datu apstrāde notikusi minētā nodibinājuma darbības ietvaros. Tomēr jānorāda, ka atšķirībā no lietas Google Spain un Google šīs lietas apstākļos nav strīda jautājumā par to, vai datu apstrāde ir notikusi “nodibinājuma darbības ietvaros”. Izšķirošā nozīme ir tieši jautājumam par nodibinājuma esamību vai neesamību Ungārijā un/vai Slovākijā. Tāpēc sava izvērtējuma uzmanības centrā galvenokārt būs šis pirmais analīzes posms.

27.      Par šo jautājumu Ungārijas valdība rakstveida apsvērumos apgalvo, ka šīs tiesību normas dažādo valodu redakcijas mudina nodibinājuma jēdzienu interpretēt tādējādi, ka tas varētu arī neaprobežoties ar nodibinājumu vien sabiedrību tiesību izpratnē. Slovākijas valdība, kas arī atbalsta neformālistisku nodibinājuma jēdziena izpratni, uzskata, ka šajā kontekstā ir jāatsaucas uz Tiesas judikatūru par brīvību veikt uzņēmējdarbību. Tāpat Ungārijas Datu aizsardzības iestāde atbalsta tādu nodibinājuma jēdziena izpratni, kurā juridiskā forma nav noteicošā, un uzskata, ka nodibinājums var būt Weltimmo pārstāvis Ungārijā, proti, šajā gadījumā – Benkö k‑gs. Proti, šī persona minēto uzņēmumu pārstāvējusi gan administratīvajā procesā, gan tiesvedībā pirmajā instancē, sazinājusies ar sūdzību iesniedzējiem un ir reģistrēta Slovākijas uzņēmumu reģistrā ar Ungārijā esošu adresi. Tiesas sēdē šī iestāde arī norādīja, ka Weltimmo Ungārijā ir pastkastīte tās esošo darījumu pārvaldībai un ka Slovākijas Datu aizsardzības iestāde neformālas saziņas gaitā tai apstiprinājusi, ka šis uzņēmums Slovākijā faktiski darbību neveic. Vienīgi Polijas valdība tiesas sēdē sniegtajos apsvērumos uzsvēra nepieciešamību kā vienīgo objektīvo un pārbaudāmo faktoru ņemt vērā tikai un vienīgi sabiedrības reģistrāciju dalībvalstī.

28.      Tādējādi noteikti ir jāatsaucas uz Direktīvas 95/46 preambulas 19. apsvērumu, kas ir fundamentāls interpretācijas elements, lai noskaidrotu nodibinājuma jēdziena būtību šīs direktīvas izpratnē. Proti, minētajā preambulas apsvērumā ir jaušama elastīga šā jēdziena izpratne, kas atkāpjas no formālistiskas pieejas, ka uzņēmums būtu iedibinājies vienīgi tur, kur tas ir reģistrēts. Tādējādi, pirmām kārtām, šajā preambulas apsvērumā ir ietverts efektivitātes un pastāvīguma kritērijs, nosakot, ka “nodibinājums dalībvalsts teritorijā paredz efektīvu un reālu darbības veikšanu ar stabilu pasākumu starpniecību [..]”. Otrām kārtām, tajā ir manāms izteikts elastīgums, nosakot, ka “šāda nodibinājuma juridiskā forma, vienalga, vai tā būtu vienkārši nodaļa vai filiāle kā juridiska persona, šajā sakarā nav noteicošais faktors”.

29.      Šī nodibinājuma jēdziena izpratne ir atbilstīga tam, kā šis jēdziens ir ticis interpretēts Tiesas judikatūrā citās Savienības tiesību sfērās. Proti, pastāvīgajā judikatūrā ir teikts, ka “nodibinājuma jēdziens, Līguma normu par brīvību veikt uzņēmējdarbību izpratnē, nozīmē, ka ar citā dalībvalstī esoša pastāvīga veidojuma palīdzību faktiski uz nenoteiktu laiku tiek veikta saimnieciskā darbība” (9), un tas “paredz reālu attiecīgās sabiedrības nodibināšanos uzņemošajā dalībvalstī un efektīvu saimnieciskās darbības veikšanu tajā” (10).

30.      No otras puses, Darba grupas personu aizsardzībai attiecībā uz personas datu apstrādi (turpmāk tekstā – “29. panta grupa”) Atzinumā 8/2010 (11) ir izdarīta atsauce uz nodibinājuma jēdziena interpretāciju kā piesaistes kritēriju PVN iekasēšanas jomā (12). Tiesas judikatūra šajā jautājumā ir visnotaļ interesanta – jo tajā nodibinājuma jēdziens ir padarīts par piesaistes kritēriju, lai noteiktu pakļautību valsts tiesību aktiem nodokļu jomā, un tajā ir padziļināts pastāvīgā nodibinājuma jēdziens, nosakot, ka to “[..] raksturo pietiekama pastāvības pakāpe un piemērota struktūra cilvēkresursu un tehnisko resursu ziņā, kas tai ļauj saņemt un izmantot pakalpojumus, kuri sniegti tās pašas vajadzībām” (13). Šā nodibinājuma jēdziena esamība gan Romas konvencijā (14), gan Briseles konvencijā (15) arīdzan mudina to izprast neformālistiski (16).

31.      Neatkarīgi no konteksta un mērķu ziņā manāmās atšķirības starp jomām, kurās rodama Tiesas judikatūra par nupat minētajiem jautājumiem, un šo lietu zīmīgi tik un tā ir tas, ka Savienības tiesībās dažādās jomās ir uzsvērts, ka nodibinājuma jēdziens izprotams, balstoties uz saimnieciskās darbības veikšanas faktiskumu un zināmu pastāvīguma pakāpi, kas tādējādi ir saskanīgi arī ar Direktīvas 95/46 preambulas 19. apsvērumā teikto.

32.      No otras puses, ņemot vērā Direktīvas 95/46 konkrēto mērķi, kas, kā teikts tās 1. panta 1. punktā, ir “aizsargā[t] fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privātās dzīves neaizskaramību attiecībā uz personas datu apstrādi”, uzskatu, ka gan veidojuma pastāvīguma pakāpe, gan tā darbības veikšanas faktiskums ir jāvērtē, ievērojot attiecīgās saimnieciskās darbības un attiecīgo pakalpojumu īpatnējumu.

33.      Tādējādi, kā norāda gan Ungārijas Datu aizsardzības iestāde, gan Slovākijas valdība, atbilstoši 29. panta grupas kritērijiem (17) ar vienu pārstāvi vien jau būtu pietiekami, lai varētu uzskatīt, ka ir pastāvīgs veidojums, ja vien viņš darbojas pietiekami pastāvīgi, izmantojot konkrēto pakalpojumu sniegšanai attiecīgajā dalībvalstī vajadzīgos līdzekļus.

34.      Proti, kā savos secinājumos lietā Google Spain un Google norādījis ģenerāladvokāts N. Jēskinens [N. Jääskinen], tālab, lai novērtētu, vai ir izpildīti Direktīvas 95/46 4. panta nosacījumi, jāņem vērā attiecīgā subjekta komercdarbības modelis (18). Tālab tagad ir jānovērtē īpatnējums, kas piemīt tikai un vienīgi ar interneta starpniecību strādājošajiem uzņēmumiem, kuru komercdarbības modelis pastāvīga fiziska veidojuma jēdzienu padara relatīvu, no kā ir atkarīgs arī tas, cik intensīvi tiek izmantoti gan cilvēkresursi, gan materiālie resursi. Proti, noteiktos apstākļos pastāvīgi klātesošais pārstāvis, kura rīcībā ir šis tas vairāk par portatīvo datoru, var būt pietiekams veidojums, lai spētu veikt faktisku, reālu un pietiekami pastāvīgu darbību. Šo apsvērumu dēļ šo tehnisko un cilvēkresursu vērtējumā ir rūpīgi jāizvērtē īpatnības, kas piemīt šiem uzņēmumiem, kas nodarbojas ar pakalpojumu sniegšanu internetā, ņemot vērā katras konkrētās situācijas īpatnības.

35.      Internetā veiktās saimnieciskās darbības īpatnības jau ir ņemtas vērā, lai noskaidrotu nodibinājuma jēdziena saturu citos Savienības tiesību dokumentos. Konkrēti, Direktīvas par elektronisko tirdzniecību (19) preambulas 19. apsvērumā ir teikts, ka “[..] tāda uzņēmuma reģistrācijas vieta, kas piedāvā pakalpojumus caur interneta mājas lapu, nav tā, kur atrodas mājas lapas atbalsta tehnoloģija vai vieta, kur tās mājas lapa ir pieejama, bet gan vieta, kur tas veic savu saimniecisko darbību”. 29. panta grupa šo definīciju ir atzinusi par trāpīgu, lai interpretētu Direktīvas 95/46 4. pantu (20).

36.      Ievērojot šos apsvērumus, var secināt, ka neapstrīdot, ka Weltimmo ir formāli Slovākijā reģistrēta sabiedrība, nav izslēdzams, ka šī sabiedrība faktiski un reāli savu darbību veic citas valsts, šajā gadījumā – Ungārijas, teritorijā ar pastāvīga nodibinājuma – kas var būt tās vienīgā pārstāvja personā – starpniecību. Ja tā tas būtu, Weltimmo būtu nodibinājums Ungārijā Direktīvas 95/46 4. panta 1. punkta a) apakšpunkta izpratnē.

37.      Piemērojamo tiesību noteikšanā tiešas un izšķirošas nozīmes nav dažādajiem Kúria prejudiciālajos jautājumos norādītajiem papildu faktoriem, proti, vietai, no kuras augšupielādēti dati, dalībvalstij, uz kuru vērsti pakalpojumi, sūdzību iesniedzēju valstspiederībai vai uzņēmuma īpašnieku dzīvesvietai (21). Proti, minētie elementi direktīvā nav norādīti kā būtiskie kritēriji, kas ļautu atkāpties no 4. panta 1. punkta a) apakšpunktā noteiktā kritērija (22).

38.      Neraugoties uz iepriekš izklāstīto, vairāki no šiem faktoriem noteiktos apstākļos varētu liecināt par darbības reālumu un faktiskumu – tālab, lai noskaidrotu nodibinājuma vietu, – un konkrēti, lai noteiktu, vai datu apstrāde notikusi datu apstrādātāja nodibinājuma darbības ietvaros.

39.      Tādējādi konkrēti attiecībā uz otro no šiem elementiem, proti, ka datu apstrāde tiek veikta dalībvalstī esošā nodibinājuma darbības ietvaros, jāatsaucas uz spriedumā Google Spain un Google (23) veikto interpretāciju. Saskaņā ar šo interpretāciju Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā “nav prasīts, lai attiecīgo personas datu apstrādi būtu veicis pats attiecīgais nodibinājums, bet ir vienīgi prasīts, lai šī apstrāde būtu veikta tā “darbības ietvaros” (24). Turklāt – piebilst Tiesa –, ņemot vērā direktīvas mērķi, “šī pēdējā frāze nevar tikt interpretēta šauri” (25).

40.      Šā otrā kritērija piemērošana ir it īpaši nozīmīga gadījumā, ja iesniedzējtiesa uzskatītu, ka Weltimmo – atbilstoši iepriekš izklāstītajiem kritērijiem – ir iedibinājusies abās šajās dalībvalstīs. Šajā gadījumā, kā rakstveida apsvērumos norāda Slovākijas valdība un Komisija, rūpīgi jāizvērtē darbība, kuras ietvaros apstrāde ir veikta, un konkrēti, cik lielā mērā tā saistīta ar attiecīgo nodibinājumu (26). 29. panta grupa ir norādījusi arī citus šajā ziņā būtiskos elementus saistībā ar meklētājprogrammām, kas varētu izrādīties noderīgi, lai noskaidrotu, vai darbības ir saistītas ar nodibinājumu, proti, vai nodibinājums atbild par attiecībām ar lietotājiem, iesaistās mērķtiecīgas reklāmas pārdošanā šīs valsts iedzīvotājiem un vai tas atbild uz dalībvalsts kompetento iestāžu likuma izpildes nodrošināšanas pieprasījumiem attiecībā uz lietotāju datiem (27).

41.      Īsumā sakot, lai šajā lietā noskaidrotu, vai Ungārijas tiesības var būt piemērojamas Weltimmo Ungārijā veiktajai darbībai, būtu jākonstatē, vai Weltimmo šajā dalībvalstī ir kāds nodibinājums, kura darbības ietvaros ir veikta strīdīgā datu apstrāde. Tālab būtu jānoskaidro, vai iesniedzējtiesas nolēmumā norādītā pārstāvja rīcībā ir pastāvīgs veidojums neatkarīgi no tā juridiskās formas, caur kuru viņš faktiski un reāli veic darbību, kuras ietvaros notikusi strīdīgā datu apstrāde.

42.      No tā secinu, ka uz pirmajiem sešiem Kúria jautājumiem jāatbild tādējādi, ka Direktīvas 95/46 4. panta 1. punkta a) apakšpunktam ir pretrunā, ka Ungārijas Datu aizsardzības iestāde piemēro Ungārijas tiesību aktus attiecībā uz tikai un vienīgi kāda citā dalībvalstī iedibinātu personas datu apstrādātāju. Tālab ar nodibinājuma jēdzienu jāsaprot tas, ka eksistē pastāvīgs veidojums neatkarīgi no tā juridiskās formas, caur kuru tiek veikta faktiska un reāla darbība. Ar vienu pārstāvi vien var būt pietiekami, lai varētu uzskatīt, ka ir pastāvīgs veidojums, ja vien viņš ir pietiekami pastāvīgs, ņemot vērā konkrēto pakalpojumu sniegšanai vajadzīgo tehnisko un cilvēkresursu klātbūtni.

Citiem faktoriem, kā, piemēram, vietai, no kuras augšupielādēti dati, sūdzību iesniedzēju valstspiederībai, datu apstrādes uzņēmuma īpašnieku dzīvesvietai vai tam, ka šā datu apstrādātāja pakalpojums ir vērsts uz citas dalībvalsts teritoriju, piemērojamo tiesību noteikšanā nav tiešas un izšķirošas nozīmes neatkarīgi no tā, ka tie var liecināt par darbības reālumu un faktiskumu – tālab, lai noskaidrotu nodibinājuma vietu, – un konkrēti, lai noteiktu, vai datu apstrāde notikusi šā nodibinājuma darbības ietvaros.

B –    Par kompetento uzraudzības iestādi un piemērojamo tiesību iespējamo nošķiršanu no kompetentās iestādes (septītais prejudiciālais jautājums)

43.      Septītajā prejudiciālajā jautājumā Kúria Tiesai vaicā, vai, “ja no atbildēm uz iepriekš izklāstītajiem jautājumiem izriet, ka Ungārijas Datu aizsardzības iestāde var rīkoties, bet tai ir jāpiemēro nevis savas valsts tiesības, bet gan nodibinājuma dalībvalsts tiesības, Datu aizsardzības direktīvas 28. panta 6. punkts var tikt interpretēts tādējādi, ka Ungārijas Datu aizsardzības iestāde Datu aizsardzības direktīvas 28. panta 3. punktā paredzētās pilnvaras drīkst īstenot tikai atbilstīgi nodibinājuma dalībvalsts tiesiskajā regulējumā noteiktajam un līdz ar to tai nav pilnvaru uzlikt naudas sodu”.

44.      Kā redzams, šis prejudiciālais jautājums ir būtisks gadījumā, ja iesniedzējtiesa uzskatītu, ka atbilstoši iepriekš izklāstītajiem kritērijiem Weltimmo nav nodibinājuma Ungārijā, bet gan ka tā ir iedibināta tikai un vienīgi Slovākijā. Tātad, lai uz šo prejudiciālo jautājumu varētu atbildēt lietderīgi, vispirms – tā kā tas skaidri neizriet no atbildes uz iepriekš minētajiem jautājumiem – jāizvērtē iespējamība, ka dalībvalsts uzraudzības iestāde var rīkoties pat tad, ja atbilstoši direktīvas 4. panta 1. punkta a) apakšpunkta kritērijiem ir piemērojamas citas dalībvalsts tiesības. Ja uz šo jautājumu atbildams apstiprinoši, pēc tam būtu jānosaka šīs iestādes pilnvaru apjoms un saturs.

45.      Tāpēc vispirms vaicājams, vai 4. pants par piemērojamajiem tiesību aktiem ir ne vien kolīziju norma piemērojamo tiesību aktu noteikšanā, bet arī jurisdikcijas klauzula, un gadījumā, ja tā, jānoskaidro, cik būtiski ir 28. panta niansējumi jautājumā par publisko iestāžu kompetenci. Viss iepriekš minētais ir iztirzājams datu aizsardzības jomā ar vērienu veiktās Savienības tiesību reformas (28) kontekstā.

46.      Tiesai sniegtajos apsvērumos direktīvas 28. panta 1., 3. un 6. punkts ir interpretēti dažnedažādi. Proti, Ungārijas Datu aizsardzības iestāde apgalvo, ka tās kompetencē ir uzlikt naudas sodu pat tad, ja piemērojami būtu citas dalībvalsts tiesību akti. Tāpat uzskata arī Ungārijas valdība, pēc kuras domām, ir skaidrs, ka direktīvas 28. panta 3. punktā minēto uzraudzības iestāžu statusu un pilnvaru izmantošanā ievērojamo kārtību joprojām reglamentē tās valsts nacionālās tiesības, kurā atrodas šīs iestādes sēdeklis, un līdz ar to sodu uzlikšana veicama atbilstoši tās racionālajām tiesībām.

47.      Savukārt Komisija uzskata, ka, ja vien dalībvalsts uzraudzības iestādes savas direktīvas 28. panta 3. punktā uzskaitītās pilnvaras var izmantot savā teritorijā, tās ir tiesīgas šīs pilnvaras izmantot atbilstoši 28. panta 1. un 6. punktam. Turpretim, ja kādas pilnvaras ir izmantojamas vienīgi citas dalībvalsts teritorijā, šai iestādei neatliks nekas cits kā vien lūgt administratīvi sadarboties šīs citas dalībvalsts uzraudzības iestādi. Tātad pirmās dalībvalsts uzraudzības iestāde nevarētu uzlikt sodu datu apstrādātājam, kas iedibināts tikai un vienīgi citā dalībvalstī. Līdzīgi domājošā Slovākijas valdība uzskata, ka būtu piemērojamas Slovākijas tiesības, Ungārijas Datu aizsardzības iestādes kompetencē saskaņā ar 28. panta 3. un 6. punktu būtu veikt izmeklēšanu un izskatīt tai iesniegtās sūdzības, rīkojoties atbilstoši saviem procesuālajiem noteikumiem, taču tai būtu jānosūta sadarbības lūgums tās dalībvalsts iestādei, kuras tiesību akti ir piemērojami, jo par iespējamo soda uzlikšanu būtu jālemj tieši šai pēdējai minētajai uzraudzības iestādei. Polija uzsver, ka dalībvalstu iestādēm direktīvā nav paredzēta iespēja piemērot citas dalībvalsts materiālo tiesību normas, norādīdama, ka gadījumā, ja likumdevējs būtu vēlējies paredzēt tik pretenciozu iespēju, [direktīvā] būtu konkrētas tiesību normas, kurās noteikta tās piemērošana joma. Visbeidzot, Apvienotās Karalistes valdība uzskata, ka, ņemot vērā, ka piemērojamas ir Slovākijas tiesības, Ungārijas Datu aizsardzības iestādei nav kompetences.

48.      Ievērojot iepriekš izklāstīto, ievērības cienīga ir nevienprātība, kas manāma sniegtajos apsvērumos, kuros vienīgi Apvienotā Karaliste un Polija šķiet atzīstam absolūtu vajadzību, lai piemērojamās tiesības sakristu ar uzraudzības iestādes jurisdikciju – tādējādi, ka, atbilstoši direktīvas 4. panta 1. punkta b) apakšpunktam nosakot piemērojamās tiesības, tiek noteikta arī kompetentā uzraudzības iestāde (29).

49.      Kā turpinājumā argumentēšu, uzskatu, ka iztirzājamais komplicētais jautājums ir jārisina, cenšoties direktīvas īpatnējos mērķus saskaņot ar administratīvo uzraudzības iestāžu darbā valdošajiem principiem.

50.      Šajā prejudiciālajā jautājumā izklāstītās problemātikas pamatā ir ļoti nozīmīgs substanciāls jautājums, proti, vai jāpieņem, ka direktīva mīkstina vai pat atceļ noteikumu, ka valsts administratīvās iestādes principā rīkojas saskaņā ar savām nacionālajam tiesībām un tās piemēro. Proti, jautājumā par publisko iestāžu pilnvarām un tādējādi publisko tiesību pilnvaru, konkrēti, ius puniendi, izmantošanu ir obligāti jāievēro prasības, kas izriet no valsts teritoriālās suverenitātes (30), tiesiskuma principa un, galu galā, no tiesiskuma jēdziena (31) un kuras radītu vajadzību, lai uzraudzības iestādes jurisdikcija sakristu ar piemērojamajiem tiesību aktiem (32). Šajā ziņā to sodīšanas pilnvaru izmantošana – kas ir tās, kuras aplūkojamas konkrēti šajā lietā, – principā nav veicama ārpus likumā noteiktajām robežām, kurās administratīvajai iestādei ir atļauts rīkoties saskaņā ar tās nacionālajām tiesībām (33). Lai varētu atkāpties no šā noteikuma, šķiet, vajadzīgs, lai būtu vismaz specifisks tiesiskais pamats, kas ļautu piemērot citas dalībvalsts publiskās tiesības un noteiktu, cik lielā mērā tas darāms, un kas turklāt konkrēti un skaidri pavērtu iespēju tiesību subjektiem paredzēt, kuras tiesības ir piemērojamas viņu rīcībai, kā arī tās sekām (34).

51.      Saskanīgi ar iepriekš teikto neuzskatu, ka 28. panta 6. punkta pirmais teikums, kurā burtiski teikts, ka “katra uzraudzības iestāde ir kompetenta, lai kādas valsts tiesības tiktu piemērotas konkrētajai datu apstrādei, pati savas dalībvalsts teritorijā realizēt tai saskaņā ar 3. punktu piešķirtās pilnvaras”, ir tiesību norma, kas būtu pietiekama, lai no tās izrietētu tik nozīmīgas sekas (35). Proti, šajā tiesību normā nav nekas sīkāk noteikts par piemērošanas jomu, tvērumu un garantijām, kas varētu pavērt iespēju kādas dalībvalsts administratīvajām iestādēm piemērot citas dalībvalsts tiesību normas – konkrēti, par sodu uzlikšanu.

52.      Direktīvas 28. panta 1. punktā, manuprāt, nav arī rodams pietiekams juridiskais pamats uz to pretendēt, pamatojoties uz to vien, kā apgalvo Ungārijas valdība un Ungārijas Datu aizsardzības iestāde, ka šajā tiesību normā ir lietots daudzskaitlis, nosakot, ka “katra dalībvalsts paredz to, ka viena vai vairākas valsts iestādes ir atbildīgas par noteikumu, ko dalībvalstis pieņēmušas saskaņā ar šo direktīvu, piemērošanas pastāvīgu kontroli tās teritorijā” (36).

53.      Neraugoties uz iepriekš izklāstīto, šīs tiesību normas liecina par iespēju zināmā mērā nošķirt kompetento iestādi no piemērojamajām tiesībām. Lai kā arī nebūtu, tajās ir pieļauta iespēja, ka dalībvalsts iestāde uzrauga darbības, kas veiktas to teritorijā, pat tad, ja piemērojami ir citas dalībvalsts tiesību akti.

54.      Šajā posmā uzskatu, ka ir iespējams saskaņot 28. panta 1., 3. un 6. punkta interpretāciju ar administrācijas sodu uzlikšanas pilnvaru izmantošanā ievērojamajiem pamatprincipiem. To izdarīt būtu vieglāk, ja 28. panta 6. punkta pirmās daļas pirmo teikumu aplūkotu kopā ar šīs daļas otro teikumu – kurā teikts, ka savas dalībvalsts teritorijā pilnvaras īstenojošo iestādi var “lūgt citas dalībvalsts iestāde realizēt tās pilnvaras” –, un ar šīs pašas tiesību normas otro daļu – kurā noteikts, ka “uzraudzības iestādes sadarbojas savā starpā, ciktāl tas nepieciešams to pienākumu izpildei [..]”.

55.      Šajā ziņā iespēja rīkoties, kas 28. panta 6. punktā pavērta uzraudzības iestādēm pat tad, ja to dalībvalsts tiesības nav piemērojamas, ir jāinterpretē sistēmiski, ņemot vērā gan administratīvo iestāžu sadarbības pienākuma esamību, gan apstākli, ka iestādei var tikt lūgts savas pilnvaras izmantot citas iestādes uzdevumā. Proti, visaptverošs šīs tiesību normas vērtējums liecina, ka sadarbības un savstarpējās palīdzības ietvaros uzdevumi var tikt sadalīti dažādu uzraudzības iestāžu starpā.

56.      Tas, ka piemērojami ir kādas vienas dalībvalsts tiesību akti, neliedz citu dalībvalstu uzraudzības iestādēm iespējas rīkoties, konkrēti, ņemot vērā, ka noteiktās situācijās, lai arī atbilstoši direktīvas 4. panta 1. punkta a) apakšpunkta kritērijam piemērojamas ir citas dalībvalsts tiesības, var būt daudzi citi teritoriālās piesaistes elementi, kā, piemēram, tehniskie līdzekļi vai, konkrēti, datu apstrādes skartās personas. Visu šo iemeslu dēļ efektīvai direktīvas piemērošanai ir vajadzīgs, lai vietējā iestāde varētu veikt izmeklēšanu un noteiktus pasākumus pat tad, kamēr vēl nevar noskaidrot, kuras tiesības ir piemērojamas.

57.      Konkrētāk izsakoties, uzraudzības iestādei, kura tiek aicināta rīkoties tai iesniegtā sūdzībā vai individuālā lūgumā, ir jāvar izmantot savas izmeklēšanas pilnvaras savā teritorijā. Tas nešaubīgi izriet no direktīvas 28. panta 4. punkta, kurā noteikts uzraudzības iestāžu pienākums izskatīt pieteikumus, ko kāds tai iesniedz jautājumā par savu tiesību un brīvību aizsardzību personas datu apstrādes ziņā. Šis vērtējums vienlaikus ir saskanīgs arīdzan ar noteikumiem Eiropas Padomes 1981. gada Konvencijā Nr. 108 “Par personu aizsardzību attiecībā uz personas datu automātisko apstrādi” (37), kuras 14. pantā ir paredzēts, ka gadījumā, ja kāda persona dzīvo kādas citas puses teritorijā, tai ir jādod “iespēja iesniegt savu lūgumu ar šīs Puses nozīmētās institūcijas starpniecību”.

58.      Jau ar šo rīcību vien ir pietiekami, lai atbildētu uz raizēm, ko tiesas sēdē pauda Ungārijas valdība, teikdama, ka gadījumā, ja Ungārijas Datu aizsardzības iestādei nebūtu kompetences, direktīvā paredzēto līdzekļu iedarbīgums būtu mazināts, ja ieinteresētajām personām nāktos vērsties ārvalstu iestādēs valodās, kuras viņi neprot.

59.      Īsumā sakot, uzraudzības iestādes neatkarīgi no tā, kādas materiālās tiesības attiecīgajā gadījumā ir piemērojamas, ir apveltītas ar direktīvas 28. panta 3. punktā minētajām pilnvarām izmeklēt un iejaukties, taču to rīcība savā teritorijā ir veicama vienīgi atbilstoši savas valsts tiesībām (38) un ievērojot šo secinājumu 50. punktā noteiktos principus.

60.      Tādējādi ir acīmredzami, ka dalībvalsts uzraudzības iestādes spēja rīkoties gadījumā, kad piemērojami ir citas dalībvalsts materiālo tiesību akti, nav neierobežota. Šajā ziņā jānorāda, ka joprojām ir spēkā princips, ka savu pilnvaru izmantošanā uzraudzības iestādei ir saistoši ierobežojumi, kas izriet no apstākļa, ka tā ir publisko tiesību subjekts, kuram jāievēro savas dalībvalsts tiesību akti un kas savas pilnvaras var izmantot vienīgi savā teritorijā. Konkrēti, datu apstrādes nelikumīguma iespējamā konstatēšana un tikpat iespējamā soda uzlikšana par pārkāpumiem, kas no šīs nelikumības izriet, ir neizbēgami jāveic tieši tās dalībvalsts iestādei, kuras materiālās tiesības ir piemērojamas datu apstrādei atbilstoši direktīvas 4. panta 1. punkta a) apakšpunkta kritērijam.

61.      Tāpēc, lai arī nekas neliedz sodu uzlikšanas pilnvaras uzskatīt par vienām no pilnvarām, kas paredzētas direktīvas 28. panta 3. punktā (kuras trešajā ievilkumā ir minētas uzraudzības iestāžu “pilnvaras uzsākt procesuālas darbības [pārkāpumu gadījumā]”), uzraudzības iestādei, pildot direktīvas 28. panta 6. punktā noteikto sadarbības pienākumu, būs jālūdz tās dalībvalsts iestādei, kuras tiesības ir piemērojamas datu apstrādei, konstatēt iespējamo pārkāpumu atbilstoši piemērojamajiem tiesību aktiem, kā arī uzlikt iespējamo sodu, pamatojoties uz ievākto un vajadzības gadījumā pirmās dalībvalsts iestādes nosūtīto informāciju.

62.      Šī interpretācija nav pretrunā viedoklim, ko dažādos dokumentos paudusi 29. panta grupa. Pirmām kārtām, Atzinumā 8/2010 par piemērojamajiem tiesību aktiem ir uzsvērts, ka 28. panta 6. punkta mērķis ir tieši “mazināt iespējamo plaisu starp piemērojamiem tiesību aktiem un uzraudzības jurisdikciju datu aizsardzības jomā iekšējā tirgū” (39). Tādējādi, lai arī minētajā atzinumā patiešām skaidri teikts, ka, “[..] ja ir piemērojami citas dalībvalsts datu aizsardzības tiesību akti, uzraudzības iestādei ir visas tiesības tās teritorijā pilnā mērā īstenot pilnvaras, ko tai piešķīrusi tās valsts tiesiskā sistēma”, tajā turpretim ir paustas nopietnas šaubas jautājumā par uzraudzības iestāžu pilnvaru apjomu šajā jomā (40). Proti, izklāstīto apsvērumu rezultātā Komisijas lūgta savu nostāju jautājumā par piemērojamo tiesību nošķiršanu no jurisdikcijas 29. panta grupa vēlāk konkretizēja savā ziņojumā par 28. panta 6. punkta praktisko īstenošanu (41). Šī grupa secināja, ka faktiskas nošķiršanas gadījumā iestādei būs jāpiemēro savas tiesību sistēmas procesuālās un administratīvās normas, savukārt datu aizsardzības materiāltiesiskos aspektus reglamentēt būs tās dalībvalsts ziņā, kuras tiesību akti ir piemērojami (42).

63.      Iepriekš izklāstītie apsvērumi iekļaujas īpatnējā juridiskajā kontekstā, kurā Savienības tiesību iejaukšanās instruments ir direktīva, tādējādi ļaujot saglabāt manāmu brīvību dalībvalstu tiesību aktos attiecībā konkrēti uz uzraudzības iestāžu veicamo regulējumu un iespējām uzlikt sodus (43). Tādējādi bez skaidra juridiskā pamata un garantijām, ar ko nodrošināta cieša sadarbība pārkāpumu interpretācijā un sodu līdzvērtīgums (44), ar teritoriālās suverenitātes un tiesiskuma principu prasībām būtu grūti saskaņot, ka, nošķirot kompetento iestādi no piemērojamajām tiesībām, vai nu vietējā uzraudzības iestāde atbilstoši valsts tiesībām uzliktu sodus – kas var arī nebūt paredzēti tās valsts tiesību sistēmā, kuras tiesību akti ir piemērojami datu apstrādi –, vai vietējā iestāde piemērotu citas dalībvalsts krimināltiesības.

64.      Visbeidzot, citāds secinājums neizriet arī tad, ja pēc analoģijas tiktu piemērots Tiesas spriedums lietā UPC DTH (45), kā to piedāvā Ungārijas valdība un Ungārijas uzraudzības iestāde, lai pamatotu šīs pēdējās minētās iestādes pilnvaras uzlikt sodus izskatāmajā lietā. Minētajā spriedumā par to, kā interpretējami vairāki elektronisko komunikāciju tiesiskā pamatregulējuma dokumenti (46), Tiesa nosprieda, ka “uzraudzības procedūras attiecībā uz elektronisko komunikāciju pakalpojumiem ir tās dalībvalsts iestāžu kompetencē, kurā dzīvo minēto pakalpojumu saņēmēji” (47).

65.      Lai atbildētu uz minēto argumentu, pietiek vien norādīt, ka neatkarīgi no tā, ka minētā interpretācija attiecās uz pakalpojumu sniegšanas brīvības situāciju un aprobežojās ar tiesisko regulējumu, kas mērķu un uzbūves ziņā jūtami atšķiras no šajā lietā aplūkotā, svarīgāk ir tas, ka šādi nospriests tika situācijā, kurā netika iztirzāts jautājums par to, kuras tiesības ir piemērojamas (48).

66.      Ievērojot visus iepriekš izklāstītos iemeslus, pašreizējā Savienības tiesību attīstības posmā uzskatu, ka uz septīto Kúria uzdoto prejudiciālo jautājumu jāatbild šādi:

Gadījumā, ja valsts tiesa nospriež, ka atbilstoši Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā noteiktajam kritērijam tās valsts tiesības nav piemērojamas, minētās direktīvas 28. panta 6. punkts ir jāinterpretē tādējādi, ka uzlikt sodus par pārkāpumiem saistībā ar datu apstrādi ir tās dalībvalsts uzraudzības iestādes, kuras tiesības ir piemērojamas, ziņā neatkarīgi no tā, kura vietējā uzraudzības iestāde savā teritorijā var izmantot visas 28. panta 3. punktā uzskaitītās pilnvaras un vai tas jādara atbilstoši tās valsts tiesībās noteiktajai kārtībai.

C –    Par datu “apstrādes” jēdzienu (astotais prejudiciālais jautājums)

67.      Astotajā prejudiciālajā jautājumā iesniedzējtiesa Tiesai vaicā, “vai Datu aizsardzības direktīvas terminoloģijas kontekstā jēdziens “adatfeldolgozás” [tehniskas datu apstrādes darbības] šīs direktīvas [ungāru valodas redakcijas] 4. panta 1. punkta a) apakšpunkta un 28. panta 6) punkta izpratnē ir uzskatāms par identisku jēdzienam “adatkezelés” [datu apstrāde]?”

68.      Visos Tiesai izklāstītajos apsvērumos šajā jautājumā valda vienprātība un tiek uzskatīts, ka iesniedzējtiesas nolēmumā norādītajai terminoloģiskajai atšķirībai nav nozīmes.

69.      Direktīvas 95/46 normās sistemātiski tiek lietots vienīgi termins “[adat]feldolgozás”, lai norādītu uz datu apstrādes jēdzienu, kā tas definēts direktīvas 2. panta b) punktā. Tikai Informācijas likumā jēdziens “adatkezelés” ir nošķirts no jēdziena “adatfeldolgozás” (49), šo pēdējo terminu definējot kā “ar datu apstrādi saistītas tehniskas darbības [..]” (50).

70.      Taču jēdziena “[adat]feldolgozás” definīcija, kas rodama direktīvas 2. panta b) punktā un izmantota gan 4. panta 1. punkta a) apakšpunktā, gan 28. panta 6. punktā, ir ļoti plaša un ietver jebkuru darbību ar personas datiem neatkarīgi no tā, vai tā tiek vai netiek veikta ar automatizētu procedūru palīdzību. Tādējādi šis plašais apstrādes jēdziens ietvertu arī šaurāko jēdzienu “ar datu apstrādi saistītas tehniskas darbības”.

71.      Tāpēc ierosinu Tiesai uz astoto prejudiciālo jautājumu atbildēt šādi:

Jēdziens “adatfeldolgozás”, kas lietots Direktīvas 95/46 ungāru valodas redakcijas 4. panta 1. punkta a) apakšpunktā un 28. panta 6. punktā, ir interpretējams tādējādi, ka tas ietver gan datu apstrādi plašā izpratnē, gan ar datu apstrādi saistīto tehnisko darbību veikšanu.

V –    Secinājumi

72.      Ievērojot iepriekš izklāstītos argumentus, ierosinu Tiesai uz Kúria uzdotajiem jautājumiem atbildēt šādi:

“1)      Direktīvas 95/46 4. panta 1. punkta a) apakšpunktam ir pretrunā, ka Ungārijas Datu aizsardzības iestāde iespējami piemēro Ungārijas tiesību aktus attiecībā uz tikai un vienīgi kādā citā dalībvalstī iedibinātu personas datu apstrādātāju. Tālab ar nodibinājuma jēdzienu jāsaprot, ka eksistē pastāvīgs veidojums neatkarīgi no tā juridiskās formas, caur kuru tiek veikta faktiska un reāla darbība. Ar vienu pārstāvi vien var būt pietiekami, lai varētu uzskatīt, ka ir pastāvīgs veidojums, ja vien viņš ir pietiekami pastāvīgs, ņemot vērā konkrēto pakalpojumu sniegšanai vajadzīgo tehnisko un cilvēkresursu klātbūtni.

Citiem faktoriem, kā, piemēram, vietai, no kuras augšupielādēti dati, sūdzību iesniedzēju valstspiederībai, datu apstrādes uzņēmuma īpašnieku dzīvesvietai, vai tam, ka šā datu apstrādātāja pakalpojums ir vērsts uz citas dalībvalsts teritoriju, piemērojamo tiesību noteikšanā nav tiešas un izšķirošas nozīmes neatkarīgi no tā, ka tie var liecināt par darbības reālumu un faktiskumu – tālab, lai noskaidrotu nodibinājuma vietu, – un konkrēti, lai noteiktu, vai datu apstrāde notikusi šā nodibinājuma darbības ietvaros;

2)      Gadījumā, ja valsts tiesa nospriež, ka atbilstoši Direktīvas 95/46 4. panta 1. punkta a) apakšpunktā noteiktajam kritērijam tās valsts tiesības nav piemērojamas, minētās direktīvas 28. panta 6. punkts ir jāinterpretē tādējādi, ka uzlikt sodus par pārkāpumiem saistībā ar datu apstrādi ir tās dalībvalsts uzraudzības iestādes ziņā, kuras tiesības ir piemērojamas, neatkarīgi no tā, kura vietējā uzraudzības iestāde savā teritorijā var izmantot visas 28. panta 3. punktā uzskaitītās pilnvaras un vai tas jādara atbilstoši tās valsts tiesībās noteiktajai kārtībai;

3)      Jēdziens “adatfeldolgozás”, kas lietots Direktīvas 95/46 ungāru valodas redakcijas 4. panta 1. punkta a) apakšpunktā un 28. panta 6. punktā, ir interpretējams tādējādi, ka tas ietver gan datu apstrādi plašā izpratnē, gan ar datu apstrādi saistīto tehnisko darbību veikšanu.

1 – Oriģinālvaloda – spāņu.

2 – Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 31. lpp.; Īpašais izdevums latviešu valodā, 13. nod., 15. sēj., 355. lpp.).

3 – C‑131/12, EU:C:2014:317.

4 – Skat. tostarp Rigaux, F., “La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel”. No: Revue critique de droit international privé, 1980, 443.–478. lpp.

5 – Bygrave, L., “Determining applicable law pursuant to European Data Protection Legislation”. No: Computer Law and Security Report, Nr. 16, 2000, 252. lpp.

6 —      Šī zemsvītras piezīme uz latviešu valodas redakciju neattiecas.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, 48.–50. punkts.

9 – Skat. spriedumus Factortame u.c. (C‑221/89, EU:C:1991:320, 20. punkts), kā arī Komisija/Apvienotā Karaliste (C‑246/89, EU:C:1991:375, 21. punkts).

10 – Spriedums Cadbury Schweppes un Cadbury Schweppes Overseas (C‑196/04, EU:C:2006:544, 54. punkts).

11 – 2010. gada 16. decembrī sniegtais Atzinums 8/2010 par piemērojamiem tiesību aktiem, 0836‑02/10/LV, WP 179.

12 – Proti, minētajā atzinumā ir atsauce uz spriedumiem Berkholz (168/84, EU:C:1985:299, 18. punkts) un Lease Plan (C‑390/96, EU:C:1998:206), kas bija par to, kā interpretējams 9. panta 1. punkts Padomes 1977. gada 17. maija Sestajā direktīvā 77/388/EEK par to, kā saskaņojami dalībvalstu tiesību akti par apgrozījuma nodokļiem – Kopēja pievienotās vērtības nodokļu sistēma: vienota aprēķinu bāze (OV L 145, 1. lpp., OV Īpašais izdevums latviešu valodā, 9. nod., 1. sēj., 23. lpp.).

13 – Spriedums Welmory (C‑605/12, EU:C:2014:2298, 58. punkts) saistībā ar to, kā interpretējams 44. pants Padomes 2006. gada 28. novembra Direktīvā 2006/112/EK par kopējo pievienotās vērtības nodokļa sistēmu (OV L 347, 1. lpp.), redakcijā ar grozījumiem, kas izdarīti ar Padomes 2008. gada 12. februāra Direktīvu 2008/8/EK (OV L 44, 11. lpp.). Tāpat skat. arī spriedumu Planzer Luxembourg (C‑73/06, EU:C:2007:397, 54. punkts un tajā minētā judikatūra).

14 – Konvencija par tiesību aktiem, kas piemērojami līgumsaistībām, kura atvērta parakstīšanai Romā 1980. gada 19. jūnijā (OV L 266, 1. lpp.).

15 – 1968. gada 27. septembra Briseles Konvencija par jurisdikciju un spriedumu izpildi civillietās un komerclietās (OV 1972, L 299, 32. lpp.; konsolidētā redakcija OV 1998, C 27, 1. lpp.).

16 – Tiesa ir nospriedusi, ka “filiāles, aģentūras vai citas struktūras jēdziens ietver uzņēmējdarbības centru, kurš pastāvīgi darbojas kā mātes struktūras atzars, kuram ir vadība un kurš ir materiāli nodrošināts, lai risinātu lietišķas sarunas ar trešām personām [..]” (spriedumi Somafer, 33/78, EU:C:1978:205, 12. punkts, un Blanckaert & Willems, 139/80, EU:C:1981:70, 11. punkts), atkārtojot, ka “[..] jēdziens “uzņēmums” attiecas uz visām stabilajām sabiedrības struktūrām. Līdz ar to ne tikai sabiedrības filiāles un meitassabiedrības, bet arī citas vienības, piemēram, sabiedrības biroji, var būt uzņēmumi Romas konvencijas 6. panta 2. punkta b) apakšpunkta izpratnē, pat ja tiem nebūtu piešķirts juridiskas personas statuss” (spriedums Voogsgeerd, C‑384/10, EU:C:2011:842, 54. punkts).

17 – Atzinums 8/2010, 14. lpp.

18 – C‑131/12, EU:C:2013:424, 65. punkts.

19 – Eiropas Parlamenta un Padomes 2000. gada 8. jūnija Direktīva 2000/31/EK par dažiem informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo īpaši elektronisko tirdzniecību iekšējā tirgū (OV L 178, 1. lpp.; Īpašais izdevums latviešu valodā, 13. nod., 25. sēj., 399. lpp.).

20 – Skat. 2002. gada 30. maija Darba dokumentu par ES datu aizsardzības tiesību aktu starptautiskās piemērošanas noteikšanu personas datu apstrādei internetā, ko veic ES nereģistrētas tīmekļa vietnes, WP 56, 5035/01/LV/Final, 8. lpp.

21 – Jautājumā par šiem faktoriem Tiesā iesniegtajos apsvērumos ir domstarpības. Ungārijas Datu aizsardzības iestāde uzskata, ka šiem faktoriem ir būtiska nozīme, Apvienotā Karaliste domā, ka nozīmes nav nevienam no minētajiem faktoriem, jo direktīvas 4. panta 1. punktā nav minēts neviens no tiem. Līdzīgi domā Eiropas Komisija. Ungārijas valdības ieskatā, nozīme ir tikai apstāklim, ka pakalpojumi ir vērsti uz dalībvalsts teritoriju, un tam, kur dati ir tikuši augšupielādēti informācijas sistēmā. Slovākijas valdība uzskata, ka tālab, lai noteiktu piemērojamās valsts tiesības, nozīmes nav ne tam, no kurienes šie dati ir sniegti, ne sūdzības iesniedzēju valstspiederībai, ne uzņēmuma īpašnieku dzīvesvietai.

22 – Tāpat uzskata arī 29. panta grupa, norādot, ka “[tālab, lai noteiktu piemērojamās tiesības,] izšķirošas nozīmes nav ne datu subjektu valstspiederībai un parastajai dzīvesvietai, ne personas datu fiziskajai atrašanās vietai” Atzinums 8/2010, 8. lpp. Skat. arī ģenerāladvokāta N. Jēskinena lietā Google Spain un Google (C‑131/12, EU:C:2013:424) sniegto secinājumu 55.–58. punktu.

23 – C‑131/12, EU:C:2014:317, 48.–50. punkts.

24 – Turpat, 52. punkts.

25 – Turpat, 53. punkts.

26 – Šajā jautājumā skat. arī 29. panta grupas Atzinumu 8/2010.

27 – 2008. gada 4. aprīlī pieņemtais Atzinums 1/2008 par datu aizsardzības jautājumiem saistībā ar meklētājprogrammām, WP 148, 00737/LV.

28 – Priekšlikums Eiropas Parlamenta un Padomes Regulai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, COM (2012) 11 final.

29 – Šajā ziņā vienprātības nav arī juridiskajā literatūrā. Daļa autoru direktīvas 4. pantu uzskata par tiesību normu, pēc kuras nosakāma arī jurisdikcija (piemēram, Bing, J., “Data Protection, Jurisdiction and the Choice of Law”. No: Privacy Law & Policy Reporter, 1999), savukārt citi domā pretēji. Skat., piemēram, Swire, P. P., “Of Elephants, Mice and Privacy: International Choice of Law and the Internet”. No: The International Lawyer, 1998, 991. lpp. Par to tiek diskutēts arī Kuner, C., “Data Protection Law and International Jurisdiction on the Internet (Part 1)”. No: International Journal of Law and Information Technology, Nr. 18, 2010, 176. lpp.

30 – Direktīvas preambulas 21. apsvērumā ir skaidri teikts, ka direktīva “neierobežo krimināla rakstura jautājumos piemērojamos teritorialitātes noteikumus”. Uzskatu, ka tas pats attiecināms arī uz administratīvajiem sodiem.

31 – Kuru kvintesence varētu būt definēta tādējādi, ka visām publiskajām iestādēm visos līmeņos “must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers”, Lord Bingham, “The Rule of Law”. No: The Cambridge Law Journal, Nr. 66, 2007, 78. lpp.

32 – Juridiskajā literatūrā ir noteikts, ka, “tā kā uzraudzības regulējums pamatā ir administratīvs vai publisko tiesību, piemērojamais likums ir cieši saistīts ar iestādi, kura ir tiesīga sodīt par iespējamajiem tā pārkāpumiem”, de Miguel Asensio, P. A., Derecho Privado de Internet, 4. izd., Madride, 2011, 333. lpp. Analoģiski juridiskajā literatūrā ir prātots par uzraudzības iestāžu pilnvarām konkurences jomā, norādot, ka publiskās varas īstenošanā tiesību normas piemērojamība nosaka par tās piemērošanu atbildīgās iestādes pilnvaras. Skat., piemēram, Basedow, J., “Antitrust or Competition Law, International”. No: Wolfrum, R. (red.), Max Planck Encyclopedia of Public International Law, 2009.

33 – Šajā ziņā skat. Rigaux: “On ne conçoit guère que les autorités administratives, les commissions de contrôle [..] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori”, op. cit. 469. lpp.

34 – Ohler, C., Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, 109. un 314. lpp.

35 – Izcēlums mans.

36 – Izcēlums mans. Par šo diskusiju skat. Damman, U. un Simitis, S., EG‑Datenschutzrichtlinie, Bādenbādene: Nomos Verlagsgesellschaft, 1997, 306. lpp.

37 – (ETS 108), kuras dalībnieces ir visas dalībvalstis. Saskaņā ar direktīvas preambulas 11. apsvērumā teikto šī direktīva konkretizē un paplašina minētajā konvencijā paredzēto aizsardzību.

38 – Par šo jautājumu skat. Damman, U. un Simitis, S., op. cit., 313. lpp.

39 – Atzinums 8/2010 par piemērojamajiem tiesību aktiem, 25. lpp.

40 – Tādējādi 29. panta grupas Atzinumā 8/2010, no vienas puses, ir uzsvērts, ka uzraudzības iestāžu sadarbība saturiski neaprobežojas ar informācijas apmaiņu vien, bet gan aptver arī “pārrobežu sūdzību izskatīšanu, pierādījumu vākšanu citām datu aizsardzības iestādēm un sankciju piemērošanu” (27. lpp.). Tomēr šajā pašā atzinumā tiek paustas šaubas par to, cik plašas ir katras [uzraudzības] iestādes izmantojamās pilnvaras: “jo īpaši – cik lielā mērā atrašanās vietas datu aizsardzības iestāde īstenos savas pilnvaras attiecībā uz būtisko principu un sankciju piemērošanu? Vai tai būtu jāaprobežojas ar faktu pārbaudi, vai tā var veikt provizoriskus vai galīgus tiesību aizsardzības pasākumus? Vai tā var sniegt savu interpretāciju par piemērojamo tiesību aktu noteikumiem, vai tā ir tās dalībvalsts datu aizsardzības iestādes prerogatīva, kuras tiesību akti jāpiemēro? [..]” (26. lpp.).

41 – 2011. gada 20. aprīļa “Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC”, Ref. Ares (2011) 444105.

42 – Turpat, 26. lpp. Šajā ziņā ļoti uzskatāms ir atzinuma 10. piemērs, kurā teikts, ka hipotētiskā gadījumā, ja Vācijas tiesības ir piemērojamas datu apstrādei, kas veikta Apvienotajā Karalistē, “Apvienotās Karalistes datu aizsardzības iestādei jābūt pilnvarotai pārbaudīt telpas Apvienotajā Karalistē un pārbaužu konstatējumi jānosūta Vācijas datu aizsardzības iestādei. Vācijas datu aizsardzības iestādei būtu jāspēj piemērot sankcijas Vācijā reģistrētajam personas datu apstrādātājam, pamatojoties uz Apvienotās Karalistes datu aizsardzības iestādes konstatējumiem”.

43 – Tas atzīts direktīvas preambulas 9. apsvērumā. Šajā ziņā var skat. Eiropas Savienības Pamattiesību aģentūras sagatavoto dokumentu Data Protection in the European Union: the role of National Data Protection Authorities, 2010, kurā izceltas dažādās dalībvalstu uzraudzības iestāžu pilnvaras.

44 – Šajā ziņā nav šaubu par to, cik nozīmīgas un novatoriskas ir Savienības tiesības par datu aizsardzību Eiropas pārvaldes telpā. Ja priekšlikums nākotnē pieņemamajai vispārīgajai regulai par datu aizsardzību virzīsies tālāk, šajā jomā tiks radītas ievērojamas izmaiņas, it īpaši jautājumā par to, kā ieviešama komplicētā un rūpīgi pārdomātā sistēma sadarbībai, saskanīgumam un pienākumu sadalījumam dažādo uzraudzības iestāžu starpā.

45 – C‑475/12, EU:C:2014:285.

46 – It īpaši Eiropas Parlamenta un Padomes 2002. gada 7. marta Direktīva 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu (atļauju izsniegšanas direktīva) (OV L 108, 21. lpp.; Īpašais izdevums latviešu valodā, 13. nod., 29. sēj., 337. lpp.), redakcijā, kas izriet no Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīvas 2009/140/EK (OV L 337, 37. lpp.), un Eiropas Parlamenta un Padomes 2002. gada 7. marta Direktīva 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem (OV L 108, 33. lpp.; Īpašais izdevums latviešu valodā, 13. nod., 29. sēj., 349. lpp.), redakcijā, kas izriet no Direktīvas 2009/140.

47 – Spriedums UPC DTH (C‑475/12, EU:C:2014:285, 88. punkts).

48 – Proti, minētajā lietā aplūkotais sods tika uzlikts tāpēc, ka attiecīgā sabiedrība bija atteikusies sniegt informāciju valsts komunikāciju iestādei. Tiesa norādīja, ka, “ņemot vērā Atļauju izsniegšanas direktīvas 11. panta 1. punkta b) apakšpunktu, [..] valsts pārvaldes iestādes var pieprasīt uzņēmumiem sniegt tikai tādu informāciju, kas ir samērīga un objektīvi pamatota, lai ļautu tām pārbaudīt nosacījumu izpildi attiecībā uz patērētāju aizsardzību, ja ir saņemta sūdzība vai tās pēc savas iniciatīvas veic izmeklēšanu”. Turpat, 85. punkts.

49 – Direktīvā rodams tikai kāds no termina “adatkezelés” atvasināts vārds, ar kuru apzīmēts datu apstrādātājs.

50 – Informācijas likuma 3. panta 17. punkts. Informācijas likuma 3. panta 10. punktā jēdziena “adatkezelés” definīcija ir plaša un būtībā atbilstoša direktīvas 2. panta b) punktā definētajam datu apstrādes jēdzienam.