CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Cerere de decizie preliminară introdusă de Bundesverwaltungsgericht (Germania) la 14 aprilie 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH

(Cauza C-210/16)

Limba de procedură: germana

Instanța de trimitere

Bundesverwaltungsgericht

Părțile din procedura principală

Reclamantă, intimată în apel și recurs: Wirtschaftsakademie Schleswig-Holstein GmbH

Pârât, apelant și recurent: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Intervenientă: Facebook Ireland Limited

Cu participarea: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht (Reprezentantul intereselor federale pe lângă Curtea Federală Administrativă)

Întrebările preliminare

Articolul 2 litera (d) din Directiva 95/46/CE¹ trebuie interpretat în sensul că reglementează în mod definitiv și exhaustiv răspunderea pentru încălcările normelor în materie de protecție a datelor sau în sensul că, în cadrul unor raporturi etapizate cu furnizorii de informații, „măsurile adecvate” vizate la articolul 24 din Directiva 95/46/CE și „competențele efective de intervenție” vizate la articolul 28 alineatul (3) a doua liniuță din Directiva 95/46/CE permit ca, în cadrul selecției unui operator a ofertei sale de informații, să răspundă și o autoritate care nu este responsabilă de prelucrarea datelor în sensul articolului 2 litera (d) din Directiva 95/46/CE?

Din obligația care incumbă statelor membre potrivit articolului 17 alineatul (2) din Directiva 95/46/CE, mai precis, de a prevedea ca operatorul, dacă prelucrarea este efectuată pe seama sa, „să aleagă o persoană care să prezinte suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată”, rezultă per a contrario că în alte condiții de utilizare, în care prelucrarea datelor nu este efectuată pe seama operatorului în sensul articolului 2 litera (e) din Directiva 95/46/CE, nu există obligația unei alegeri atente, iar o asemenea obligație nu poate fi întemeiată nici pe dreptul național?

În temeiul articolului 4 și al articolului 28 alineatul (6) din Directiva 95/46/CE, în situațiile în care o societate-mamă stabilită în afara Uniunii Europene are filiale cu personalitate juridică proprie în mai multe state membre (societăți-fiică), autoritatea de supraveghere dintr-un stat membru (în speță Germania) este competentă să exercite competențele care i-au fost transferate în temeiul articolului 28 alineatul (3) din Directiva 95/46/CE împotriva unei filiale stabilite pe teritoriul acestui stat membru, atunci când această filială răspunde numai de promovarea și de vânzarea de spații publicitare și de alte măsuri de marketing adresate locuitorilor acestui stat membru, iar în conformitate cu repartizarea îndatoririlor în cadrul concernului, de colectarea și prelucrarea datelor cu caracter personal pe întregul teritoriu al Uniunii Europene și astfel inclusiv în acest stat membru (în speță, Germania) răspunde exclusiv filiala autonomă (societatea-fiică) din alt stat membru (în speță, Irlanda), atunci când decizia efectivă privind prelucrarea datelor este adoptată în fapt de societatea-mamă?

Articolul 4 alineatul (1) litera (a) și articolul 28 alineatul (3) din Directiva 95/46/CE trebuie interpretate în sensul că, în cazurile în care operatorul deține o filială pe teritoriul unui stat membru (în speță, Irlanda) și o altă filială cu personalitate juridică proprie pe teritoriul altui stat membru (în speță, Germania), iar aceasta din urmă răspunde, printre altele, de vânzarea de spațiu de publicitate, activitatea sa fiind orientată către locuitorii acestui stat, autoritatea de supraveghere competentă din acest alt stat membru (în speță, Germania) poate lua măsuri și adopta decizii privind punerea în aplicare a normelor de protecție a datelor și împotriva filialei (din Germania) care, potrivit repartizării îndatoririlor și responsabilităților în cadrul concernului, nu răspunde de prelucrarea datelor, sau numai autoritatea de supraveghere din statul membru pe teritoriul căruia este stabilită filiala care răspunde de acest domeniu în cadrul concernului (în speță, Irlanda) poate lua asemenea măsuri și adopta asemenea decizii?

Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46/CE trebuie interpretate în sensul că, în cazurile în care autoritatea de supraveghere dintr-un stat membru (în speță, Germania) se îndreaptă împotriva unei persoane sau a unui organism care își exercită activitatea pe teritoriul său în temeiul articolului 28 alineatul (3) din Directiva 95/46/CE, din cauza lipsei de atenție la alegerea unui terț implicat în procesul de prelucrare a datelor (în speță, Facebook), pentru motivul că acest terț a încălcat normele de protecție a datelor, autoritatea de supraveghere care ia această măsură (în speță, Germania) este obligată să respecte aprecierea privind legislația privind protecția datelor efectuată de autoritatea de supraveghere din celălalt stat membru în care se află sediul filialei terțului operator (în speță, Irlanda), în sensul că, în cadrul aprecierii sale juridice, nu poate deroga de la aprecierea acestei autorități sau autoritatea de supraveghere implicată (în speță, Germania) poate verifica în mod independent legalitatea prelucrării datelor de către un terț stabilit în alt stat membru (în speță, Irlanda), ca un aspect cu titlu preliminar?

În ipoteza în care autoritatea de supraveghere interesată (în speță, Germania) poate efectua o verificare independentă: articolul 28 alineatul (6) a doua teză din Directiva 95/46/CE trebuie interpretat în sensul că această autoritate de supraveghere poate exercita competențele efective de intervenție conferite în conformitate cu articolul 28 alineatul (3) din Directiva 95/46/CE împotriva unei persoane sau a unui organism de pe teritoriul său în temeiul răspunderii lor pentru încălcarea normelor de protecție a datelor săvârșită de terțul stabilit pe teritoriul alt stat membru numai atunci când a solicitat anterior autorității de supraveghere din celălalt stat membru (în speță, Irlanda) să își exercite competențele?

____________

¹ Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).