A Bíróság (nagytanács) 2018. június 5-i ítélete (a Bundesverwaltungsgericht [Németország] előzetes döntéshozatal iránti kérelme) – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein kontra Wirtschaftsakademie Schleswig-Holstein GmbH

(C-210/16. sz. ügy)¹

(Előzetes döntéshozatal – 95/46/EK irányelv – Személyes adatok – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Egy olyan Facebook oldal (rajongói oldal) felfüggesztésére irányuló határozat, amely lehetővé teszi ezen oldal látogatói bizonyos adatainak gyűjtését és kezelését – A 2. cikk d) pontja – Személyes adatok kezelője – 4. cikk – Alkalmazandó nemzeti jog – 28. cikk – Nemzeti felügyelő hatóságok – E hatóságok beavatkozási jogköre)

Az eljárás nyelve: német

A kérdést előterjesztő bíróság

Bundesverwaltungsgericht

Az alapeljárás felei

Felperes: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Alperes: Wirtschaftsakademie Schleswig-Holstein GmbH

Az eljárásban részt vesz: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Rendelkező rész

A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 2. cikkének d) pontját úgy kell értelmezni, hogy az „adatkezelő” e rendelkezés értelmében vett fogalma kiterjed a valamely közösségi hálózaton fenntartott rajongói oldal adminisztrátorára.

A 95/46 irányelv 4. és 28. cikkét úgy kell értelmezni, hogy amennyiben valamely, az Unión kívül letelepedett vállalkozás különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja az ezen irányelv 28. cikkének (3) bekezdése értelmében ráruházott jogosultságokat e vállalkozásnak az e tagállam területén található telephelyével szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e telephely az említett tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az Unió egész területén egy másik tagállamban letelepedett szervezetre hárul.

A 95/46 irányelv 4. cikke (1) bekezdésének a) pontját, valamint 28. cikkének (3) és (6) bekezdését úgy kell értelmezni, hogy amennyiben valamely tagállam felügyelő hatósága a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy általi megsértése miatt az e tagállam területén található telephellyel szemben kívánja gyakorolni az ezen irányelv 28. cikkének (3) bekezdésében szereplő beavatkozási jogköreit, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén található telephellyel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.

____________