Language of document :

Преюдициално запитване от Bundesverwaltungsgericht (Германия), постъпило на 14 април 2016 г. — Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH

(Дело C-210/16)

Език на производството: немски

Запитваща юрисдикция

Bundesverwaltungsgericht

Страни в главното производство

Ответник, въззивник и жалбоподател в ревизионното производство: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Жалбоподател, въззиваем и ответник в ревизионното производство: Wirtschaftsakademie Schleswig-Holstein GmbH

Встъпила страна: Facebook Ireland Limited

Заинтересована страна: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Преюдициални въпроси

Трябва ли член 2, буква г) от Директива 95/46/ЕО1 да се тълкува в смисъл, че урежда окончателно и изчерпателно задълженията и отговорността за нарушения на правилата за защита на данните, или — в хипотеза на многостепенни отношения между доставчик и клиент на информация — в рамките на „подходящите мерки“ по член 24 от Директива 95/46/ЕО и на „ефективните правомощия за намеса“ по член 28, параграф 3, второ тире от Директива 95/46/ЕО е възможно структура, която не е „администратор“ по смисъла на член 2, буква г) от Директива 95/46/ЕО, да носи отговорност за избора на оператор за предлаганата от нея информация?

От задължението на държавите членки по член 17, параграф 2 от Директива 95/46/ЕО да предвидят, че когато обработването се извършва от негово име, администраторът трябва да избере обработващо данните лице, което осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки“, следва ли a contrario, че при друг вид отношения между доставчик и ползвател, които не са свързани с обработка на лични данни от името на администратора по смисъла на член 2, буква д) от Директива 95/46/ЕО, не съществува задължение за полагане на дължимата грижа при избора и такова не може да се обоснове и по националното право?

В хипотези, в които установено извън Европейския съюз дружество майка поддържа юридически самостоятелни клонове (дъщерни дружества) в различни държави членки, има ли право съгласно член 4 и член 28, параграф 6 от Директива 95/46/ЕО надзорният орган на дадена държава членка (в настоящия случай: Германия) да упражни правомощията си по член 28, параграф 3 от Директива 95/46/ЕО спрямо установеното на негова територия дъщерно дружество, включително в случаите, когато това дъщерно дружество отговаря единствено за насърчаването на продажбата на реклама и за други маркетингови мерки, насочени към жителите на тази държава членка, докато съгласно вътрешнокорпоративното разпределение на дейностите за събирането и обработването на лични данни на цялата територия на Европейския съюз и следователно и на територията на другата държава членка (в настоящия случай: Германия) отговаря изключително установеният в друга държава членка (в настоящия случай: Ирландия) самостоятелен клон (дъщерно дружество), при положение че в действителност решението относно обработката на данни се взема от дружеството майка?

Трябва ли член 4, параграф 1, буква a) и член 28, параграф 3 от Директива 95/46/ЕО да се тълкуват в смисъл, че в хипотези, в които администраторът има клон на територията на държава членка (в настоящия случай: Ирландия) и съществува друг, юридически самостоятелен клон на територията на друга държава членка (в настоящия случай: Германия), който по-специално отговаря за продажбата на рекламни пространства и чиято дейност е насочена към жителите на тази държава членка, компетентният надзорен орган в тази друга държава членка (в настоящия случай: Германия) може да предприеме мерки и да издаде разпореждания, отнасящи се до прилагането на законодателството за защита на данните, включително срещу този друг клон (в настоящия случай: в Германия), който според вътрешнокорпоративното разпределение на дейностите и отговорностите не отговаря за обработката на данни, или в такава хипотеза мерките и разпорежданията са в компетентността само на надзорния орган на държавата членка (в настоящия случай: Ирландия), на чиято територия се намира седалището на структурата, която в рамките на групата отговаря за обработката на данните?

Трябва ли член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46/ЕО да се тълкуват в смисъл, че в хипотези, в които надзорният орган на държава членка (в настоящия случай: Германия) предприема мерки по член 28, параграф 3 от Директива 95/46/ЕО спрямо лице или структура, извършващи дейност на нейна територия, на основание, че не е положена дължимата грижа при избора на участващо в процеса на обработката на данни трето лице (в настоящия случай: Facebook), тъй като това трето лице нарушавало законодателството за защита на данните, предприемащият мерки надзорен орган (в настоящия случай: Германия) е обвързан с правната преценка относно спазването на правилата на защитата на данните на надзорния орган на другата държава членка, в която е установено отговорното за обработването на данните трето лице (в настоящия случай: Ирландия), така че той не може да се отклонява от тази правна преценка, или пък предприемащият мерки надзорен орган (в настоящия случай: Германия) може самостоятелно да проверява законосъобразността на обработката на данни от страна на установеното в друга държава членка (в настоящия случай: Ирландия) трето лице като предварителен въпрос с оглед на предприемане на неговите собствени действия?

Доколкото предприемащият мерки надзорен орган (в настоящия случай: Германия) може да извършва самостоятелна проверка: трябва ли член 28, параграф 6, второ изречение от Директива 95/46/ЕО да се тълкува в смисъл, че надзорният орган може да упражнява предоставените му по член 28, параграф 3 от Директива 95/46/ЕО ефективни правомощия за намеса спрямо установени на неговата територия лице или структура на основание съвместна отговорност за нарушения на правилата за защита на данните, извършени от установеното в друга държава членка трето лице, само и едва когато предварително е поискал от надзорния орган на тази друга държава членка (в настоящия случай: Ирландия) да упражни своите правомощия?

____________

1 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).