CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Zaak C‑210/16

Unabhangiges Landeszentrum für Datenschutz Schleswig-Holstein

tegen

Wirtschaftsakademie Schleswig-Holstein GmbH

(verzoek om een prejudiciële beslissing, ingediend door het Bundesverwaltungsgericht)

„Prejudiciële verwijzing – Richtlijn 95/46/EG – Persoonsgegevens – Bescherming van natuurlijke personen in verband met de verwerking van deze gegevens – Bevel tot deactivering van een Facebookpagina (fanpagina) waarmee bepaalde gegevens in verband met de bezoekers van deze pagina kunnen worden verkregen en verwerkt – Artikel 2, onder d) – Voor de verwerking van de persoonsgegevens verantwoordelijke – Artikel 4 – Toepasselijk nationaal recht – Artikel 28 – Nationale toezichthoudende autoriteiten – Bevoegdheden tot ingrijpen van deze autoriteiten”

Samenvatting – Arrest van het Hof (Grote kamer) van 5 juni 2018

1. Harmonisatie van de wetgevingen – Bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Verantwoordelijke voor de verwerking – Begrip – Beheerder van een fanpagina die op een sociaal netwerk is opgeslagen – Daaronder begrepen

[Richtlijn 95/46 van het Europees Parlement en de Raad, art. 2, d)]

2. Harmonisatie van de wetgevingen – Bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Nationale toezichthoudende autoriteiten – Bevoegdheden – Onderzoeksbevoegdheden, bevoegdheden om in te grijpen en bevoegdheden om in rechte op te treden – Bevoegdheid van de toezichthoudende autoriteit van een lidstaat om deze bevoegdheden uit te oefenen ten aanzien van een op het grondgebied van deze lidstaat gelegen onderneming – Het behoren van de onderneming tot een groep die de verantwoordelijkheid van het verzamelen en verwerken van persoonsgegevens heeft toevertrouwd aan een vestiging in een andere lidstaat – Geen invloed

(Richtlijn 95/46 van het Europees Parlement en de Raad, art. 4 en 28)

3. Harmonisatie van de wetgevingen – Bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens – Richtlijn 95/46 – Nationale toezichthoudende autoriteiten – Bevoegdheden – Bevoegdheden om in te grijpen – Uitoefening ten aanzien van een derde voor de verwerking van persoonsgegevens verantwoordelijke die in een andere lidstaat is gevestigd – Bevoegdheid tot toetsing van de rechtmatigheid van de behandeling en tot ingrijpen zonder gebruik te maken van de bijstand van de toezichthoudende autoriteit van de andere lidstaat

[Richtlijn 95/46 van het Europees Parlement en de Raad, art. 4, lid 1, a), en 28, leden 3 en 6]

1. Artikel 2, onder d), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat het begrip „voor de verwerking verantwoordelijke” in de zin van deze bepaling de beheerder van een op een sociaal netwerk geplaatste fanpagina omvat.

Ofschoon een Facebook-gebruiker door het loutere gebruik van een sociaal netwerk als Facebook niet medeverantwoordelijk wordt voor een verwerking van persoonsgegevens door dit netwerk, moet daarentegen wel worden opgemerkt dat de beheerder van een fanpagina op Facebook het netwerk door het aanmaken van een dergelijke pagina de mogelijkheid biedt cookies te plaatsen op de computer of op ieder ander apparaat van degene die de fanpagina heeft bezocht, ongeacht of deze persoon een Facebookaccount heeft. In deze omstandigheden moet worden geoordeeld dat de beheerder van een fanpagina op Facebook, zoals Wirtschaftsakademie, door het vastleggen van instellingen naargelang van, met name, zijn doelpubliek en van doelstellingen voor het beheer of de promotie van zijn activiteiten, deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking van de persoonsgegevens van de bezoekers van zijn fanpagina. Hiervoor moet deze beheerder, in casu, worden aangemerkt als verantwoordelijke binnen de Unie, gezamenlijk met Facebook Ireland, voor deze verwerking, in de zin van artikel 2, onder d), van richtlijn 95/46. Het feit dat een beheerder van een fanpagina gebruikmaakt van het door Facebook beschikbaar gestelde platform om van de bijbehorende diensten te profiteren kan hem namelijk niet ontslaan van de naleving van zijn verplichtingen op het gebied van bescherming van persoonsgegevens. In deze omstandigheden draagt de erkenning van een gezamenlijke verantwoordelijkheid van de exploitant van het sociale netwerk en de beheerder van een fanpagina die op dit netwerk is geplaatst in verband met de verwerking van de persoonsgegevens van de bezoekers van deze fanpagina bij aan de waarborging van een vollediger bescherming van de rechten van de personen die een fanpagina bezoeken, overeenkomstig de vereisten van richtlijn 95/46.

(zie punten 35, 39, 40, 42, 44, dictum 1)

2. De artikelen 4 en 28 van richtlijn 95/46 moeten aldus worden uitgelegd dat wanneer een buiten de Europese Unie gevestigde onderneming meerdere vestigingen in verschillende lidstaten heeft, de toezichthoudende autoriteit van een lidstaat bevoegd is tot uitoefening van haar bevoegdheden uit hoofde van artikel 28, lid 3, van deze richtlijn ten aanzien van een vestiging van deze onderneming op het grondgebied van die lidstaat, ook al is deze vestiging, ingevolge de taakverdeling binnen de groep, uitsluitend belast met de verkoop van advertentieruimte en andere marketingactiviteiten op het grondgebied van die lidstaat, en berust de exclusieve verantwoordelijkheid voor de verkrijging en de verwerking van persoonsgegevens, voor het gehele grondgebied van de Europese Unie, bij een vestiging in een andere lidstaat.

(zie punt 64, dictum 2)

3. Artikel 4, lid 1, onder a), en artikel 28, leden 3 en 6, van richtlijn 95/46 moeten aldus worden uitgelegd dat wanneer de toezichthoudende autoriteit van een lidstaat voornemens is de bevoegdheden tot ingrijpen als bedoeld in artikel 28, lid 3, van deze richtlijn uit te oefenen ten aanzien van een lichaam dat gevestigd is op het grondgebied van deze lidstaat wegens inbreuken op de regels betreffende de bescherming van persoonsgegevens die zijn begaan door een derde die voor de verwerking van deze gegevens verantwoordelijk is en waarvan de zetel zich in een andere lidstaat bevindt, deze toezichthoudende autoriteit bevoegd is de rechtmatigheid van een dergelijke verwerking van gegevens autonoom ten opzichte van de toezichthoudende autoriteit van die laatste lidstaat te beoordelen, en haar bevoegdheden tot ingrijpen ten aanzien van het op haar grondgebied gevestigde lichaam kan uitoefenen zonder eerst de toezichthoudende autoriteit van de andere lidstaat te verzoeken op te treden.

(zie punt 74, dictum 3)