2018 m. birželio 5 d. Teisingumo Teismo (didžioji kolegija) sprendimas byloje (Bundesverwaltungsgericht (Vokietija) prašymas priimti prejudicinį sprendimą) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH

(Byla C-210/16)¹

(Prašymas priimti prejudicinį sprendimą – Direktyva 95/46/EB – Asmens duomenys – Fizinių asmenų apsauga tvarkant šiuos duomenis – Įpareigojimas deaktyvinti socialiniame tinkle „Facebook“ esantį (gerbėjų) tinklalapį, leidžiantį rinkti ir tvarkyti kai kuriuos šio tinklalapio lankytojų duomenis – 2 straipsnio d punktas – Asmens duomenų valdytojas –  4 straipsnis – Taikytina nacionalinė teisė – 28 straipsnis – Nacionalinės priežiūros institucijos – Šių institucijų įgaliojimai imtis veiksmų)

Proceso kalba: vokiečių

Prašymą priimti prejudicinį sprendimą pateikęs teismas

Bundesverwaltungsgericht

Šalys pagrindinėje byloje

Pareiškėja: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Atsakovas: Wirtschaftsakademie Schleswig-Holstein GmbH

dalyvaujant: Facebook Ireland Ltd, Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Rezoliucinė dalis

1.    1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 2 straipsnio d punktas turi būti aiškinamas taip, kad sąvoka „duomenų valdytojas“, kaip ji suprantama pagal šią nuostatą, apima socialiniame tinkle esančio gerbėjų tinklalapio administratorių.

2.    Direktyvos 95/46 4 ir 28 straipsniai turi būti aiškinami taip, kad tuo atveju, kai įmonė, įsteigta už Sąjungos ribų, turi kelis padalinius skirtingose valstybėse narėse, valstybės narės priežiūros institucija gali naudotis jai pagal šios direktyvos 28 straipsnio 3 dalį suteiktais įgaliojimais dėl tos valstybės narės teritorijoje įsteigto šios įmonės padalinio, net jei, remiantis užduočių paskirstymu grupės viduje, pirma, šis padalinys yra atsakingas tik už reklamai skirtos vietos pardavimą ir kitą rinkodaros veiklą tos valstybės narės teritorijoje ir, antra, išimtinė atsakomybė už asmens duomenų rinkimą ir tvarkymą visoje Sąjungos teritorijoje tenka kitoje valstybėje narėje įsteigtam padaliniui.

3.    Direktyvos 95/46 4 straipsnio 1 dalies a punktą ir 28 straipsnio 3 ir 6 dalis reikia aiškinti taip, kad, kai vienos valstybės narės priežiūros institucija ketina dėl šios valstybės narės teritorijoje įsteigto subjekto įgyvendinti įgaliojimus imtis priemonių, kurie nurodyti šios direktyvos 28 straipsnio 3 dalyje, dėl asmens duomenų apsaugos taisyklių pažeidimų, kuriuos padarė už šių duomenų tvarkymą atsakingas trečiasis asmuo, turintis registruotą buveinę kitoje valstybėje narėje, ši priežiūros institucija turi kompetenciją, nepriklausomai nuo kitos valstybės narės priežiūros institucijos, vertinti tokio duomenų tvarkymo teisėtumą ir gali įgyvendinti savo įgaliojimus imtis veiksmų dėl jos teritorijoje įsteigto subjekto, prieš tai nepaprašiusi tos kitos valstybės narės priežiūros institucijos imtis veiksmų.

____________