Sag C-210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

mod

Wirtschaftsakademie Schleswig-Holstein GmbH

(anmodning om præjudiciel afgørelse indgivet af Bundesverwaltungsgericht)

»Præjudiciel forelæggelse – direktiv 95/46/EF – personoplysninger – beskyttelse af fysiske personer i forbindelse med behandling af disse oplysninger – påbud om deaktivering af en side på Facebook (fanside), som gør det muligt at indsamle og behandle visse oplysninger om brugerne af denne side – artikel 2, litra d) – den registeransvarlige for behandlingen af personoplysninger – artikel 4 – anvendelig national ret – artikel 28 – nationale tilsynsmyndigheder – myndighedernes beføjelser til at gribe ind«

Sammendrag – Domstolens dom (Store Afdeling) af 5. juni 2018

1.        Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – dataansvarlig – begreb – administrator af en fanside på et socialt netværk – omfattet

[Europa-Parlamentets og Rådets direktiv 95/46, art. 2, litra d)]

2.        Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – nationale tilsynsmyndigheder – beføjelser – undersøgelsesbeføjelser, indgrebsbeføjelser og partsevne – en medlemsstats tilsynsmyndighed kompetent til at udøve disse beføjelser over for en virksomhed på medlemsstatens område – virksomhed tilhørende en koncern, som har overdraget ansvaret for indsamling og behandling af personoplysninger til en virksomhed i en anden medlemsstat – ingen betydning

(Europa-Parlamentets og Rådets direktiv 95/46, art. 4 og 28)

3.        Tilnærmelse af lovgivningerne – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – direktiv 95/46 – nationale tilsynsmyndigheder – beføjelser – indgrebsbeføjelser – udøvelse i forhold til tredjemand, som har ansvaret for indsamling og behandling af personoplysninger, og som er beliggende i en anden medlemsstat – kompetence til at vurdere behandlingens lovlighed og til at gribe ind uden bistand fra tilsynsmyndigheden i den anden medlemsstat

[Europa-Parlamentets og Rådets direktiv 95/46, art. 4, stk. 1, litra a), og art. 28, stk. 3 og 6]

1.      Artikel 2, litra d), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger skal fortolkes således, at begrebet »registeransvarlig« som omhandlet i denne bestemmelse omfatter administratoren af en fanside på et socialt netværk.

Selv om den omstændighed alene at benytte et socialt netværk som Facebook ikke gør en Facebook-bruger medansvarlig for dette netværks behandling af personoplysninger, skal det imidlertid bemærkes, at administratoren af en fanside på Facebook ved at oprette en sådan side giver Facebook mulighed for at placere cookies på brugerens computer eller ethvert andet medium, når vedkommende besøger fansiden, uanset om denne person har en Facebook-konto. Under disse omstændigheder må det antages, at administratoren af en fanside på Facebook, såsom Wirtschaftsakademie, bidrager til at afgøre, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om brugerne af fansiden, ved at foretage indstillinger afhængigt af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter. Af denne grund skal administratoren sammen med Facebook Ireland i denne sag kvalificeres som registeransvarlig inden for EU som omhandlet i artikel 2, litra a), i direktiv 95/46. Den omstændighed, at administratoren af en fanside bruger Facebooks platform og anvender de tjenester, der knytter sig hertil, fritager ikke administratoren for vedkommendes forpligtelser med hensyn til beskyttelse af personoplysninger. Under disse omstændigheder bidrager anerkendelsen af, at den virksomhed, som driver et socialt netværk, og administratoren af en fanside på dette netværk har et fælles ansvar i forbindelse med behandlingen af brugerne af denne fansides personoplysninger, til at sikre en mere fuldstændig beskyttelse af de rettigheder, som brugerne af sådanne sider har, i overensstemmelse med kravene i direktiv 95/46.

(jf. præmis 35, 39, 40, 42 og 44 samt domskonkl. 1)

2.      Artikel 4 og 28 i direktiv 95/46 skal fortolkes således, at i tilfælde, hvor et selskab, som er etableret uden for Den Europæiske Union, har flere virksomheder eller organer i forskellige medlemsstater, er tilsynsmyndigheden i en medlemsstat kompetent til at udøve de beføjelser, der tillægges den i overensstemmelse med direktivets artikel 28, stk. 3, over for en af dette selskabs virksomheder eller organer, der er beliggende på denne medlemsstats område, selv om denne virksomhed eller dette organ ifølge koncernens interne opgavefordeling udelukkende har til opgave at sælge annonceplads og varetage øvrige marketingforanstaltninger på denne medlemsstats område, og eneansvaret for indsamling og behandling af personoplysninger på hele EU’s område tilkommer en virksomhed eller et organ, som er beliggende i en anden medlemsstat.

(jf. præmis 64 og domskonkl. 2)

3.      Artikel 4, stk. 1, litra a), og artikel 28, stk. 3 og 6, i direktiv 95/46 skal fortolkes således, at når tilsynsmyndigheden i en medlemsstat vil udøve sine beføjelser i direktivets artikel 28, stk. 3, til at gribe ind over for et organ, som er beliggende på denne medlemsstats område, på grund af en tilsidesættelse af bestemmelserne om beskyttelse af personoplysninger begået af en registeransvarlig tredjemand, som er etableret i en anden medlemsstat, er denne tilsynsmyndighed kompetent til – uafhængigt af tilsynsmyndigheden i sidstnævnte medlemsstat – at prøve lovligheden af en sådan databehandling og kan udøve sine beføjelser til at gribe ind over for et organ, som er beliggende på dens område, uden på forhånd at have anmodet tilsynsmyndigheden i den anden medlemsstat om at gribe ind.

(jf. præmis 74 og domskonkl. 3)