CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Byla C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

prieš

Wirtschaftsakademie Schleswig-Holstein GmbH

(Bundesverwaltungsgericht prašymas priimti prejudicinį sprendimą)

„Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – Asmens duomenys – Fizinių asmenų apsauga tvarkant šiuos duomenis – Įpareigojimas deaktyvinti socialiniame tinkle Facebook esantį (gerbėjų) tinklalapį, leidžiantį rinkti ir tvarkyti kai kuriuos šio tinklalapio lankytojų duomenis – 2 straipsnio d punktas – Asmens duomenų valdytojas – 4 straipsnis – Taikytina nacionalinė teisė – 28 straipsnis – Nacionalinės priežiūros institucijos – Šių institucijų įgaliojimai imtis veiksmų“

Santrauka – 2018 m. birželio 5 d. Teisingumo Teismo (didžioji kolegija) sprendimas

1. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Duomenų valdytojas – Sąvoka – Socialiniame tinkle esančio gerbėjų tinklalapio administratorius – Įtraukimas

(Europos Parlamento ir Tarybos direktyvos 95/46 2 straipsnio d punktas)

2. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Nacionalinės priežiūros institucijos – Įgaliojimai – Įgaliojimai tirti, imtis veiksmų ir dalyvauti teismo procese – Šių įgaliojimų suteikimas valstybės narės priežiūros institucijai dėl tos valstybės narės teritorijoje įsteigtos įmonės – Įmonės priklausymas įmonių grupei, kuri išimtinę atsakomybę už asmens duomenų rinkimą ir tvarkymą suteikė kitoje valstybėje narėje įsteigtam padaliniui – Poveikio nebuvimas

(Europos Parlamento ir Tarybos direktyvos 95/46 4 ir 28 straipsniai)

3. Teisės aktų derinimas – Fizinių asmenų apsauga tvarkant asmens duomenis – Direktyva 95/46 – Nacionalinės priežiūros institucijos – Įgaliojimai – Įgaliojimai imtis veiksmų – Įgaliojimų įgyvendinimas dėl kitoje valstybėje narėje įsteigto trečiojo asmens, atsakingo už asmens duomenų tvarkymą – Kompetencija vertinti asmens duomenų tvarkymo teisėtumą ir imtis veiksmų, nesikreipiant į kitos valstybės narės priežiūros instituciją

(Europos Parlamento ir Tarybos direktyvos 95/46 4 straipsnio 1 dalies a punktas ir 28 straipsnio 3 ir 6 dalys)

1. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 2 straipsnio d punktas turi būti aiškinamas taip, kad sąvoka „duomenų valdytojas“, kaip ji suprantama pagal šią nuostatą, apima socialiniame tinkle esančio gerbėjų tinklalapio administratorių.

Nors vien dėl to, kad naudojasi socialiniu tinklu, koks yra Facebook, jo naudotojas netampa kartu atsakingas už šio tinklo atliekamą asmens duomenų tvarkymą, vis dėlto reikia pažymėti, kad Facebook esančio gerbėjų tinklalapio administratorius, sukurdamas tokį tinklalapį, suteikia Facebook galimybę įdiegti slapukus jo gerbėjų tinklalapyje apsilankiusio asmens kompiuteryje arba bet kuriame kitame įrenginyje, neatsižvelgiant į tai, ar šis asmuo turi Facebook paskyrą, ar ne. Tokiomis aplinkybėmis manytina, kad Facebook esančio gerbėjų tinklalapio administratorius, kaip antai Wirtschaftsakademie, parinkdamas nustatymus visų pirma pagal tikslinę auditoriją ir veiklos valdymo ir skatinimo tikslus, dalyvauja gerbėjų tinklalapio lankytojų asmens duomenų tvarkymo tikslų ir priemonių nustatymo veikloje. Todėl nagrinėjamu atveju jis kartu su Facebook Ireland turi būti laikomas tokių duomenų valdytoju, kaip tai suprantama pagal Direktyvos 95/46 2 straipsnio d punktą. Iš tiesų gerbėjų tinklalapio administratorius dėl to, kad naudojasi Facebook įdiegta platforma tam, kad galėtų gauti atitinkamas paslaugas, negali būti atleistas nuo pareigų asmens duomenų apsaugos srityje vykdymo. Šiomis sąlygomis bendros socialinį tinklą eksploatuojančio subjekto ir šiame tinkle esančio gerbėjų tinklalapio administratoriaus atsakomybės dėl šio gerbėjų tinklalapio lankytojų asmens duomenų tvarkymo pripažinimas padeda užtikrinti išsamesnę gerbėjų tinklalapio lankytojų teisių apsaugą, kaip reikalaujama pagal Direktyvą 95/46.

(žr. 35, 39, 40, 42, 44 punktus, rezoliucinės dalies 1 punktą)

2. Direktyvos 95/46 4 ir 28 straipsniai turi būti aiškinami taip, kad tuo atveju, kai įmonė, įsteigta už Sąjungos ribų, turi kelis padalinius skirtingose valstybėse narėse, valstybės narės priežiūros institucija gali naudotis jai pagal šios direktyvos 28 straipsnio 3 dalį suteiktais įgaliojimais dėl tos valstybės narės teritorijoje įsteigto šios įmonės padalinio, net jei, remiantis užduočių paskirstymu grupės viduje, pirma, šis padalinys yra atsakingas tik už reklamai skirtos vietos pardavimą ir kitą rinkodaros veiklą tos valstybės narės teritorijoje ir, antra, išimtinė atsakomybė už asmens duomenų rinkimą ir tvarkymą visoje Sąjungos teritorijoje tenka kitoje valstybėje narėje įsteigtam padaliniui.

(žr. 64 punktą, rezoliucinės dalies 2 punktą)

3. Direktyvos 95/46 4 straipsnio 1 dalies a punktą ir 28 straipsnio 3 ir 6 dalis reikia aiškinti taip, kad, kai vienos valstybės narės priežiūros institucija ketina dėl šios valstybės narės teritorijoje įsteigto subjekto įgyvendinti įgaliojimus imtis priemonių, kurie nurodyti šios direktyvos 28 straipsnio 3 dalyje, dėl asmens duomenų apsaugos taisyklių pažeidimų, kuriuos padarė už šių duomenų tvarkymą atsakingas trečiasis asmuo, turintis registruotą buveinę kitoje valstybėje narėje, ši priežiūros institucija turi kompetenciją, nepriklausomai nuo kitos valstybės narės priežiūros institucijos, vertinti tokio duomenų tvarkymo teisėtumą ir gali įgyvendinti savo įgaliojimus imtis veiksmų dėl jos teritorijoje įsteigto subjekto, prieš tai nepaprašiusi tos kitos valstybės narės priežiūros institucijos imtis veiksmų.

(žr. 74 punktą, rezoliucinės dalies 3 punktą)