CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Cauza C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein

împotriva

Wirtschaftsakademie Schleswig‑Holstein GmbH

(cerere de decizie preliminară formulată de Bundesverwaltungsgericht)

„Trimitere preliminară – Directiva 95/46/CE – Date cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea acestor date – Somație care vizează dezactivarea unei pagini Facebook (fan page) care permite colectarea și prelucrarea anumitor date legate de vizitatorii acestei pagini – Articolul 2 litera (d) – Operator de date cu caracter personal – Articolul 4 – Dreptul național aplicabil – Articolul 28 – Autorități naționale de supraveghere – Competențele de intervenție ale acestor autorități”

Sumar – Hotărârea Curții (Marea Cameră) din 5 iunie 2018

1. Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Operator – Noțiune – Administrator al unei pagini pentru fani găzduite pe o rețea socială – Includere

[Directiva 95/46 a Parlamentului European și a Consiliului, art. 2 lit. (d)]

2. Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Autorități naționale de supraveghere – Competențe – Competențe de investigare, de intervenție și de a acționa în justiție – Abilitarea autorității de supraveghere dintr‑un stat membru de a exercita aceste competențe în privința unei întreprinderi situate pe teritoriul acestui stat membru – Apartenența întreprinderii la un grup care a încredințat răspunderea colectării și a prelucrării datelor cu caracter personal unui sediu situat într‑un alt stat membru – Lipsa incidenței

(Directiva 95/46 a Parlamentului European și a Consiliului, art. 4 și 28)

3. Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46 – Autorități naționale de supraveghere – Competențe – Competențe de intervenție – Exercitare în privința unui terț răspunzător pentru prelucrarea datelor cu caracter personal situat într‑un alt stat membru – Competență pentru a aprecia legalitatea prelucrării și pentru a interveni fără a recurge la asistența autorității de supraveghere a altui stat membru

[Directiva 95/46 a Parlamentului European și a Consiliului, art. 4 alin. (1) lit. (a) și art. 28 alin. (3) și (6)]

1. Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie să fie interpretat în sensul că noțiunea „operator”, în sensul acestei dispoziții, înglobează administratorul unei pagini pentru fani găzduite pe o rețea socială.

Or, deși, prin simplul fapt de a utiliza o rețea socială precum Facebook, un utilizator al Facebook nu devine, la rândul său, operator al datelor cu caracter personal în cadrul acestei rețele, trebuie, în schimb, să se arate că administratorul unei pagini pentru fani găzduite pe Facebook, prin crearea unei astfel de pagini, oferă Facebook posibilitatea de a plasa cookies pe calculatorul sau pe orice alt aparat al persoanei care a vizitat pagina sa pentru fani, indiferent dacă această persoană dispune sau nu dispune de un cont Facebook. În aceste împrejurări, trebuie să se considere că administratorul unei pagini pentru fani găzduite pe Facebook, precum Wirtschaftsakademie, participă, prin acțiunea sa de stabilire a unor parametri, în funcție, printre altele, de audiența sa țintă, precum și de obiective de gestionare sau de promovare a activităților sale, la stabilirea scopurilor și a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. Pentru acest motiv, acest administrator trebuie să fie, în cazul de față, calificat drept operator, în cadrul Uniunii, împreună cu Facebook Ireland, în sensul articolului 2 litera (d) din Directiva 95/46. Astfel, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook pentru a beneficia de serviciile aferente acesteia nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal. În aceste condiții, recunoașterea unei răspunderi solidare a operatorului rețelei sociale și a administratorului unei pagini pentru fani găzduite pe această rețea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecții mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani, în conformitate cu cerințele Directivei 95/46.

(a se vedea punctele 35, 39, 40, 42 și 44 și dispozitiv 1)

2. Articolele 4 și 28 din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când o întreprindere stabilită în afara Uniunii Europene dispune de mai multe sedii în diferite state membre, autoritatea de supraveghere a unui stat membru este abilitată să exercite competențele pe care i le conferă articolul 28 alineatul (3) din această directivă în privința unui sediu al acestei întreprinderi situat pe teritoriul acestui stat membru, deși, potrivit repartizării misiunilor în cadrul grupului, pe de o parte, acest sediu răspunde doar de vânzarea de spații publicitare și de alte activități de marketing pe teritoriul statului membru menționat și, pe de altă parte, răspunderea exclusivă a colectării și a prelucrării datelor cu caracter personal incumbă, pentru întregul teritoriu al Uniunii Europene, unui sediu situat într‑un alt stat membru.

(a se vedea punctul 64 și dispozitiv 2)

3. Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie să fie interpretate în sensul că, atunci când autoritatea de supraveghere a unui stat membru intenționează să exercite în privința unui organism stabilit pe teritoriul acestui stat membru competențele de intervenție prevăzute la articolul 28 alineatul (3) din această directivă ca urmare a unor atingeri aduse normelor referitoare la protecția datelor cu caracter personal, săvârșite de un terț operator al acestor date care are sediul în alt stat membru, această autoritate de supraveghere este competentă să aprecieze, în mod autonom în raport cu autoritatea de supraveghere a acestui din urmă stat membru, legalitatea unei astfel de prelucrări de date și își poate exercita competențele de intervenție în privința organismului stabilit pe teritoriul său fără a solicita în prealabil autorității de supraveghere a celuilalt stat membru să intervină.

(a se vedea punctul 74 și dispozitiv 3)