CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Υπόθεση C–210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

κατά

Wirtschaftsakademie Schleswig-Holstein GmbH

(αίτηση του Bundesverwaltungsgericht
για την έκδοση προδικαστικής αποφάσεως)

«Προδικαστική παραπομπή – Οδηγία 95/46/ΕΚ – Δεδομένα προσωπικού χαρακτήρα – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών – Διαταγή για την απενεργοποίηση σελίδας στο Facebook (fan page) μέσω της οποίας είναι δυνατή η συλλογή και η επεξεργασία ορισμένων δεδομένων που αφορούν τους επισκέπτες της σελίδας αυτής – Άρθρο 2, στοιχείο δʹ – Υπεύθυνος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Άρθρο 4 – Εφαρμοστέο εθνικό δίκαιο – Άρθρο 28 – Εθνικές αρχές ελέγχου – Εξουσίες παρεμβάσεως των αρχών αυτών»

Περίληψη – Απόφαση του Δικαστηρίου (τμήμα μείζονος συνθέσεως)
της 5ης Ιουνίου 2018

1. Προσέγγιση των νομοθεσιών – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Οδηγία 95/46 – Υπεύθυνος επεξεργασίας – Έννοια – Διαχειριστής σελίδας που φιλοξενείται σε μέσο κοινωνικής δικτυώσεως – Εμπίπτει

(Οδηγία 95/46 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρο 2, στοιχείο δʹ)

2. Προσέγγιση των νομοθεσιών – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Οδηγία 95/46 – Εθνικές αρχές ελέγχου – Εξουσίες – Εξουσίες έρευνας, παρεμβάσεως και παραστάσεως ενώπιον δικαστηρίου – Αρμοδιότητα της αρχής ελέγχου που ανήκει σε ορισμένο κράτος μέλος να ασκήσει τις εξουσίες αυτές έναντι επιχειρήσεως ευρισκόμενης στο έδαφος του κράτους μέλους αυτού – Επιχείρηση που ανήκει σε όμιλο ο οποίος έχει αναθέσει την ευθύνη της συλλογής και της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε εγκατάσταση ευρισκόμενη σε άλλο κράτος μέλος – Δεν ασκεί επιρροή

(Οδηγία 95/46 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρα 4 και 28)

3. Προσέγγιση των νομοθεσιών – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Οδηγία 95/46 – Εθνικές αρχές ελέγχου – Εξουσίες – Εξουσίες παρεμβάσεως – Άσκηση έναντι τρίτου υπευθύνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα ευρισκόμενου σε άλλο κράτος μέλος – Αρμοδιότητα προς εκτίμηση της νομιμότητας της επεξεργασίας και προς παρέμβαση χωρίς τη συνδρομή της αρχής ελέγχου του άλλου κράτους μέλους

(Οδηγία 95/46 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρα 4 § 1 και 28 §§ 3 και 6)

1. Κατ’ ορθή ερμηνεία του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, η έννοια «υπεύθυνος της επεξεργασίας», όπως ορίζεται με τη διάταξη αυτή, καλύπτει και τον διαχειριστή σελίδας που φιλοξενείται σε μέσο κοινωνικής δικτυώσεως.

Πάντως, μολονότι απλώς και μόνο η χρήση ορισμένου μέσου κοινωνικής δικτυώσεως, όπως είναι το Facebook, δεν καθιστά τον χρήστη του Facebook συνυπεύθυνο για τη διενεργούμενη από το μέσο αυτό επεξεργασία δεδομένων προσωπικού χαρακτήρα, εντούτοις, πρέπει να επισημανθεί ότι ο διαχειριστής σελίδας φιλοξενούμενης στο Facebook, με τη δημιουργία της σελίδας αυτής, παρέχει τη δυνατότητα στο Facebook να τοποθετεί cookies στον ηλεκτρονικό υπολογιστή ή σε οποιαδήποτε άλλη συσκευή του επισκέπτη της σελίδας του εν λόγω διαχειριστή, ανεξαρτήτως του αν ο επισκέπτης αυτός διαθέτει ή όχι λογαριασμό στο Facebook. Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι ο διαχειριστής σελίδας στο Facebook, όπως είναι η Wirtschaftsakademie, συμμετέχει, μέσω της επιλογής των σχετικών ρυθμίσεων, η οποία αποτελεί συνάρτηση, μεταξύ άλλων, του κοινού-στόχου, καθώς και των σκοπών διαχειρίσεως ή προωθήσεως των δραστηριοτήτων του, στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας που έχει δημιουργήσει. Για τον λόγο αυτό, ο διαχειριστής αυτός πρέπει, εν προκειμένω, να χαρακτηριστεί ως υπεύθυνος σε επίπεδο Ένωσης, από κοινού με την Facebook Ireland, για την επεξεργασία αυτή, κατά την έννοια του άρθρου 2, στοιχείο δʹ, της οδηγίας 95/46. Πράγματι, η εκ μέρους του διαχειριστή της σελίδας χρήση της πλατφόρμας που παρέχει το Facebook με σκοπό την αξιοποίηση των σχετικών υπηρεσιών δεν τον απαλλάσσει από την τήρηση των υποχρεώσεών του όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Υπό τις συνθήκες αυτές, η αναγνώριση της από κοινού ευθύνης του φορέα εκμεταλλεύσεως του μέσου κοινωνικής δικτυώσεως και του διαχειριστή σελίδας φιλοξενούμενης στο μέσο αυτό για την επεξεργασία των προσωπικών δεδομένων των επισκεπτών της σελίδας αυτής συμβάλλει στη διασφάλιση πληρέστερης προστασίας των δικαιωμάτων των προσώπων που επισκέπτονται μια τέτοια σελίδα, συμφώνως προς τις απαιτήσεις της οδηγίας 95/46.

(βλ. σκέψεις 35, 39, 40, 42, 44, διατακτ. 1)

2. Τα άρθρα 4 και 28 της οδηγίας 95/46 έχουν την έννοια ότι, όταν μια επιχείρηση εγκατεστημένη εκτός της Ευρωπαϊκής Ένωσης διαθέτει πλείονες εγκαταστάσεις εντός διαφόρων κρατών μελών, η αρχή ελέγχου ενός κράτους μέλους δύναται αρμοδίως να ασκήσει τις εξουσίες που της παρέχει το άρθρο 28, παράγραφος 3, της οδηγίας αυτής, έναντι εγκαταστάσεως της ως άνω επιχειρήσεως ευρισκόμενης στο έδαφος του κράτους μέλους αυτού, μολονότι, δυνάμει της ενδοομιλικής κατανομής δραστηριοτήτων, αφενός, η εγκατάσταση αυτή είναι επιφορτισμένη αποκλειστικώς με την πώληση διαφημιστικού χώρου και με άλλες δραστηριότητες μάρκετινγκ στο έδαφος του εν λόγω κράτους μέλους και, αφετέρου, αποκλειστικώς υπεύθυνη για τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα, σε ολόκληρο το έδαφος της Ευρωπαϊκής Ένωσης, είναι εγκατάσταση ευρισκόμενη σε άλλο κράτος μέλος.

(βλ. σκέψη 64, διατακτ. 2)

3. Το άρθρο 4, παράγραφος 1, στοιχείο αʹ, και το άρθρο 28, παράγραφοι 3 και 6, της οδηγίας 95/46 έχουν την έννοια ότι, σε περίπτωση που η αρχή ελέγχου κράτους μέλους προτίθεται να ασκήσει έναντι φορέα εγκατεστημένου στο έδαφος του κράτους μέλους αυτού τις εξουσίες παρεμβάσεως που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας αυτής, λόγω παραβάσεως των κανόνων περί προστασίας των δεδομένων προσωπικού χαρακτήρα από τρίτο υπεύθυνο της επεξεργασίας των δεδομένων αυτών που έχει την έδρα του σε άλλο κράτος μέλος, η εν λόγω αρχή ελέγχου είναι αρμόδια να εκτιμήσει, αυτοτελώς σε σχέση με την αρχή ελέγχου του τελευταίου αυτού κράτους μέλους, τη νομιμότητα της προαναφερθείσας επεξεργασίας δεδομένων και δύναται να ασκήσει τις εξουσίες παρεμβάσεως που διαθέτει έναντι του φορέα που είναι εγκατεστημένος στο έδαφος της δικαιοδοσίας της χωρίς προηγουμένως να καλέσει την αρχή ελέγχου του άλλου κράτους μέλους να παρέμβει.

(βλ. σκέψη 74, διατακτ. 3)