Language of document : ECLI:EU:C:2015:426

ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

PEDRO CRUZ VILLALÓN

της 25ης Ιουνίου 2015 (1)

Υπόθεση C‑230/14

Weltimmo s.r.o.

κατά

Nemzeti Adatvédelmi és Információszabadság Hatóság

[αίτηση του Kúria (Ουγγαρία)
για την έκδοση προδικαστικής αποφάσεως]

«Προστασία δεδομένων προσωπικού χαρακτήρα — Οδηγία 95/46/EK — Άρθρα 4, παράγραφος 1, και 28, παράγραφοι 1, 3 και 6 — Υπεύθυνος για την επεξεργασία δεδομένων εγκατεστημένος σε άλλο κράτος μέλος — Προσδιορισμός του εφαρμοστέου δικαίου και της αρμόδιας αρχής ελέγχου — Εξουσίες της αρχής ελέγχου — Εξουσία επιβολής κυρώσεων — Έννοια της “επεξεργασίας δεδομένων”»





1.        Τα προδικαστικά ερωτήματα που υποβάλλονται από το Kúria (ανώτατο δικαστήριο της Ουγγαρίας) ανέκυψαν στο πλαίσιο διαφοράς μεταξύ της Magyar Adatvédelmi és Információszabadság Hatóság (στο εξής: ουγγρική αρχή προστασίας δεδομένων) και μιας επιχειρήσεως καταχωρισμένης στο μητρώο της Σλοβακίας, η οποία διαχειρίζεται έναν διαδικτυακό τόπο μεσιτείας ακινήτων με αγγελίες για ακίνητα που βρίσκονται στην Ουγγαρία.

2.        Η κρινόμενη υπόθεση παρέχει, έτσι, εκ νέου στο Δικαστήριο την ευκαιρία να αποφανθεί σχετικά με τον προσδιορισμό του εφαρμοστέου δικαίου στην επεξεργασία δεδομένων, σύμφωνα με το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (2), όπως έχει ήδη αποτελέσει αντικείμενο ερμηνείας στην υπόθεση Google Spain και Google (3). Επιπλέον, η κρινόμενη υπόθεση θέτει για πρώτη φορά ερωτήματα σχετικά με τον προσδιορισμό της αρμόδιας εθνικής αρχής ελέγχου, καθώς και με το εφαρμοστέο από την αρχή αυτή εθνικό δίκαιο και με τις εξουσίες της, ιδίως όσον αφορά την επιβολή κυρώσεων.

I –    Κανονιστικό πλαίσιο

 Α —      Δίκαιο της Ένωσης

3.        Η οδηγία 95/46 προβλέπει διάφορα κριτήρια για τον προσδιορισμό του εφαρμοστέου νόμου στην επεξεργασία προσωπικών δεδομένων. Στην αιτιολογική της σκέψη 18 αναφέρεται ότι, «[…] προκειμένου να αποφευχθεί ο αποκλεισμός ενός προσώπου από την δυνάμει της παρούσας οδηγίας προστασία, είναι απαραίτητο κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στην Κοινότητα να τηρεί τη νομοθεσία ενός από τα κράτη μέλη· […] είναι σκόπιμο οι επεξεργασίες που εκτελούνται από πρόσωπα ενεργούντα υπό τον έλεγχο του υπευθύνου της επεξεργασίας ο οποίος είναι εγκατεστημένος σε κράτος μέλος να υπόκεινται στη νομοθεσία του κράτους αυτού».

4.        Εξάλλου, στην αιτιολογική σκέψη 19 της οδηγίας 95/46 επισημαίνεται ότι «[…] η εγκατάσταση στο έδαφος κράτους μέλους περιλαμβάνει την πραγματική άσκηση δραστηριότητας βάσει μονίμου καταστήματος· ότι η νομική μορφή ενός τέτοιου καταστήματος, είτε πρόκειται για απλό υποκατάστημα είτε για θυγατρική με νομική προσωπικότητα, δεν συνιστά καθοριστικό παράγοντα εν προκειμένω». Η ίδια αιτιολογική σκέψη αναφέρει ότι, «όταν ένας μόνον υπεύθυνος επεξεργασίας είναι εγκατεστημένος στο έδαφος πλειόνων κρατών μελών, ιδίως μέσω θυγατρικής, πρέπει να εξασφαλίζει, κυρίως για να αποφεύγονται οι καταστρατηγήσεις, ότι κάθε κατάστημά του πληροί τις απαιτήσεις τις οποίες προβλέπει η οικεία εθνική νομοθεσία».

5.        Το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το οποίο έχει εφαρμογή στην κρινόμενη διαφορά, αποτελεί τον κανόνα για το εφαρμοστέο δίκαιο στην επεξεργασία δεδομένων και ορίζει ότι:

«1.      Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον:

α)      η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Όταν ο ίδιος υπεύθυνος είναι εγκατεστημένος στο έδαφος περισσοτέρων του ενός κρατών μελών, πρέπει να λαμβάνει τα αναγκαία μέτρα ώστε να εξασφαλίζεται ότι κάθε εγκατάστασή του πληροί τις απαιτήσεις που προβλέπει η εφαρμοστέα εθνική νομοθεσία·

[…]».

6.        Το άρθρο 28, το οποίο αφορά τις αρχές ελέγχου για την προστασία δεδομένων, ορίζει, στις παραγράφους του 1, 3, 4 και 6, τα εξής:

«1.      Κάθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογή της παρούσας οδηγίας.

Οι εν λόγω αρχές ασκούν τα καθήκοντα που τους ανατίθενται με πλήρη ανεξαρτησία.

[…]

3.      Κάθε αρχή ελέγχου διαθέτει συγκεκριμένα:

–        μέσα για τη διεξαγωγή έρευνας, όπως το δικαίωμα να έχει πρόσβαση στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας και το δικαίωμα να συλλέγει κάθε αναγκαία πληροφορία για την εκπλήρωση της αποστολής ελέγχου,

–        αποτελεσματικές εξουσίες παρέμβασης, όπως για παράδειγμα την εξουσία να διατυπώνει γνώμες πριν από την εκτέλεση των επεξεργασιών, σύμφωνα με το άρθρο 20, και να διασφαλίζει την κατάλληλη δημοσιότητα των γνωμών αυτών, την εξουσία να επιτάσσει τη δέσμευση, διαγραφή ή την καταστροφή δεδομένων, να απαγορεύει επίσης προσωρινά ή οριστικά την επεξεργασία, να απευθύνει προειδοποίηση ή επίπληξη προς τον υπεύθυνο για την επεξεργασία ή να προσφεύγει στα εθνικά κοινοβούλια ή άλλα εθνικά πολιτικά όργανα,

–        την εξουσία να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης των εθνικών διατάξεων που έχουν θεσπισθεί κατ’ εφαρμογή της παρούσας οδηγίας, ή να επισημαίνει τις παραβάσεις αυτές στις δικαστικές αρχές.

Κατά των αποφάσεων της αρχής ελέγχου μπορούν να ασκηθούν ένδικα μέσα.

4.      Κάθε πρόσωπο ή κάθε ένωση που το εκπροσωπεί μπορεί να υποβάλει σε κάθε αρχή ελέγχου αίτηση σχετικά με την προστασία των δικαιωμάτων και ελευθεριών του έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο αιτών ενημερώνεται σχετικά με τη συνέχεια που δίδεται στην αίτησή του.

Κάθε πρόσωπο μπορεί ιδίως να υποβάλει σε κάθε αρχή ελέγχου αίτηση εξακρίβωσης της νομιμότητας μιας επεξεργασίας, εφόσον εφαρμόζονται οι εθνικές διατάξεις που έχουν θεσπισθεί δυνάμει του άρθρου 13 της παρούσας οδηγίας. Ο αιτών ενημερώνεται εν πάση περιπτώσει για τη διενέργεια ελέγχου.

[…]

6.     Κάθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του παρόντος άρθρου. Κάθε αρχή μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους.

Οι αρχές ελέγχου διατηρούν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους, ιδίως με την ανταλλαγή όλων των χρήσιμων πληροφοριών.

[…]»

 Β —      Ουγγρικό δίκαιο

7.        Ο νόμος CXII του 2011, σχετικά με το δικαίωμα αυτοπροσδιορισμού σε θέματα πληροφοριών και την ελευθερία των πληροφοριών (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, στο εξής: νόμος για τις πληροφορίες), είναι ο εθνικός νόμος για τη μεταφορά στο εσωτερικό δίκαιο της οδηγίας 95/46.

8.        Το άρθρο 2 του νόμου για τις πληροφορίες ορίζει τα εξής:

«(1)      Στο πεδίο εφαρμογής του παρόντος νόμου εμπίπτει κάθε επεξεργασία ή τεχνική εργασία επεξεργασίας δεδομένων που διενεργείται στο έδαφος της Ουγγαρίας σε σχέση με δεδομένα φυσικών προσώπων, καθώς και με δεδομένα δημόσιου ενδιαφέροντος ή δεδομένα προσπελάσιμα για λόγους δημόσιου συμφέροντος.

(2)      Ο παρών νόμος εφαρμόζεται τόσο στην επεξεργασία όσο και στην τεχνική εργασία επεξεργασίας δεδομένων που διενεργούνται είτε με μέσα πλήρως ή μερικώς αυτοματοποιημένα είτε με μέσα μη αυτοματοποιημένα.

(3)      Οι διατάξεις του παρόντος νόμου εφαρμόζονται όταν ο υπεύθυνος επεξεργασίας δεδομένων ο οποίος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκτός του εδάφους της Ευρωπαϊκής Ένωσης αναθέτει την τεχνική επεξεργασία δεδομένων σε εκτελούντα τεχνικές επεξεργασίες δεδομένων, ο οποίος έχει στην Ουγγαρία την έδρα του ή εγκατάσταση, υποκατάστημα, ιδιωτική κατοικία ή τόπο διαμονής, ή χρησιμοποιεί κάποιο μέσο το οποίο βρίσκεται στο εν λόγω έδαφος, εκτός εάν το μέσο αυτό χρησιμοποιείται μόνο με σκοπό τη διέλευση από το έδαφος της Ευρωπαϊκής Ένωσης. Ο εν λόγω υπεύθυνος τεχνικής επεξεργασίας δεδομένων πρέπει να ορίζει εκπρόσωπο στο έδαφος της Ουγγαρίας.»

9.        Εξάλλου, το άρθρο 3 του νόμου για τις πληροφορίες ορίζει ότι, για τους σκοπούς της εφαρμογής του εν λόγω νόμου, νοείται ως:

«(9)      υπεύθυνος επεξεργασίας δεδομένων (“adatkezelő”): φυσικό ή νομικό πρόσωπο ή οντότητα άνευ νομικής προσωπικότητας, το οποίο, μόνο ή από κοινού με άλλους, καθορίζει τον σκοπό της επεξεργασίας δεδομένων, λαμβάνει αποφάσεις σχετικά με την εν λόγω επεξεργασία (μεταξύ άλλων σχετικά με τα μέσα που χρησιμοποιούνται για αυτήν) και τις εκτελεί το ίδιο ή μέσω του εκτελούντος την τεχνική επεξεργασία δεδομένων (“adatfeldolgozó”)·

(10)      επεξεργασία των δεδομένων (“adatkezelés”): κάθε εργασία ή σύνολο εργασιών που πραγματοποιούνται σε σχέση με τα δεδομένα, ανεξαρτήτως της χρησιμοποιούμενης διαδικασίας, και ιδίως η συλλογή, η αποτύπωση, η καταχώρηση, η οργάνωση, η αποθήκευση, η τροποποίηση, η χρήση, η αίτηση, η διαβίβαση, η δημοσίευση, η εναρμόνιση ή ο συνδυασμός, το κλείδωμα, η διαγραφή ή η καταστροφή, καθώς και η απαγόρευση άλλης χρήσεως των δεδομένων, η φωτογράφιση, ηχογράφηση ή εικονογράφηση ή η καταχώριση των φυσικών χαρακτηριστικών που χρησιμοποιούνται για την αναγνώριση της ταυτότητας των προσώπων (για παράδειγμα, δακτυλικά αποτυπώματα ή αποτύπωμα της παλάμης του χεριού, δείγματα DNA ή εικόνα της ίριδας)·

(11)      διαβίβαση δεδομένων: η διάθεση των δεδομένων σε καθορισμένο τρίτο·

[…]

(17)      τεχνική επεξεργασία δεδομένων (“adatfeldolgozás”): η άσκηση τεχνικών καθηκόντων σε σχέση με τις εργασίες επεξεργασίας δεδομένων, ανεξαρτήτως της μεθόδου και του μέσου που χρησιμοποιούνται για την εκτέλεση των εργασιών, καθώς και του τόπου στον οποίο ασκούνται, εφόσον τα τεχνικά καθήκοντα ασκούνται επί των δεδομένων·

(18)      εκτελών την τεχνική επεξεργασία δεδομένων (“adatfeldolgozó”): φυσικό ή νομικό πρόσωπο ή οντότητα άνευ νομικής προσωπικότητας το οποίο εκτελεί τον χειρισμό δεδομένων βάσει συμβάσεως, περιλαμβανομένων συμβάσεων που συνάπτονται κατ’ επιταγήν του νόμου·

[…]».

II – Τα πραγματικά περιστατικά και η διαδικασία της κύριας δίκης

10.      Η κρινόμενη αίτηση προδικαστικής αποφάσεως υποβάλλεται στο πλαίσιο αιτήσεως αναιρέσεως η οποία ασκήθηκε ενώπιον του Kúria κατά της αποφάσεως του Fővárosi Közigazgatási és Munkaügyi Bíróság (δικαστηρίου διοικητικών και εργατικών διαφορών της πρωτεύουσας) σε διοικητική δίκη με αντικείμενο την προστασία δεδομένων μεταξύ της εταιρίας Weltimmo s.r.o. (στο εξής: Weltimmo) και της ουγγρικής αρχής προστασίας δεδομένων.

11.      Η Weltimmo είναι εταιρία η οποία διαχειρίζεται διαδικτυακό τόπο μεσιτικών υπηρεσιών για ακίνητα, με έδρα τη Σλοβακία. Η δραστηριότητά της συνίσταται στη διαχείριση του εν λόγω διαδικτυακού ιστότοπου, στον οποίον δημοσιεύει αγγελίες για ακίνητα στην Ουγγαρία. Οι εν λόγω αγγελίες δημοσιεύονται δωρεάν για τον διαφημιζόμενο τον πρώτο μήνα και έναντι αμοιβής στη συνέχεια. Πολλοί διαφημιζόμενοι ζήτησαν μέσω ηλεκτρονικού ταχυδρομείου την αφαίρεση από τον ιστότοπο των αγγελιών τους, καθώς και των δεδομένων προσωπικού χαρακτήρα που τους αφορούσαν, καθώς δεν επιθυμούσαν, μετά τον πρώτο μήνα, να κάνουν χρήση της υπηρεσίας επί πληρωμή. Ωστόσο, η Weltimmo δεν ανταποκρίθηκε στα αιτήματα αυτά και, ως εκ τούτου, χρέωσε τις υπηρεσίες της. Λόγω της μη πληρωμής των σχετικών τιμολογίων, η Weltimmo διαβίβασε τα προσωπικά δεδομένα των διαφημιζομένων σε επιχειρήσεις εισπράξεως οφειλών.

12.      Μετά από καταγγελίες των διαφημιζομένων, η ουγγρική αρχή προστασίας δεδομένων έκρινε εαυτήν αρμόδια, αποφάσισε ότι έχει εφαρμογή ο εθνικός νόμος (δυνάμει του άρθρου 3, παράγραφος 10, του νόμου για τις πληροφορίες, η συλλογή δεδομένων συνιστά επεξεργασία δεδομένων) και επέβαλε πρόστιμο ύψους δέκα εκατομμυρίων ουγγρικών φιορινίων (HUF). Η Weltimmo προσέβαλε την απόφαση αυτή ενώπιον του διοικητικού δικαστηρίου της πρωτεύουσας, το οποίο, μολονότι δεν αμφισβήτησε την αρμοδιότητα της αρχής προστασίας δεδομένων ούτε τον εφαρμοστέο νόμο, ακύρωσε τη διοικητική απόφαση με το σκεπτικό ότι ορισμένα από τα προβληθέντα πραγματικά περιστατικά δεν είχαν αποσαφηνιστεί επαρκώς.

13.      Με την αίτησή της αναιρέσεως, η Weltimmo ζητεί, μεταξύ άλλων, να αναγνωριστεί ότι δεν συντρέχει λόγος περαιτέρω αποσαφηνίσεως των πραγματικών περιστατικών, καθώς, σύμφωνα με το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, η ουγγρική αρχή προστασίας δεδομένων δεν έχει αρμοδιότητα να κινήσει τη διαδικασία και να εφαρμόσει το ουγγρικό δίκαιο στην περίπτωση παρόχου υπηρεσιών που είναι εγκατεστημένος σε άλλο κράτος μέλος, επισημαίνοντας ειδικότερα συναφώς ότι, σύμφωνα με το άρθρο 28, παράγραφος 6, της οδηγίας 95/46, η εν λόγω αρχή έπρεπε να είχε ζητήσει από την αντίστοιχη σλοβακική αρχή να κινήσει τη διαδικασία κατά της αναιρεσείουσας.

14.      Η ουγγρική αρχή προστασίας δεδομένων ισχυρίζεται στην κύρια δίκη, προς υποστήριξη της αρμοδιότητάς της και της εφαρμογής της ουγγρικής νομοθεσίας, ότι η Weltimmo διαθέτει «πρόσωπο επικοινωνίας» —έναν από τους ιδιοκτήτες, ο οποίος έχει την ουγγρική ιθαγένεια—, ο οποίος εκπροσώπησε την αναιρεσείουσα τόσο στη διοικητική όσο και στην εθνική ένδικη διαδικασία. Επισημαίνει επίσης ότι οι ιδιοκτήτες της Weltimmo είναι κάτοικοι Ουγγαρίας. Εν πάση περιπτώσει, η εν λόγω αρχή εκτιμά ότι η αρμοδιότητά της προκύπτει από το άρθρο 28, παράγραφος 6, της οδηγίας 95/46, ανεξαρτήτως του εφαρμοστέου δικαίου.

III – Τα προδικαστικά ερωτήματα και η διαδικασία ενώπιον του Δικαστηρίου

15.      Στο πλαίσιο αυτό, κρίνοντας ότι οι σχετικές διατάξεις της οδηγίας 95/46 δεν είναι αρκούντως σαφείς, το Kúria, με αίτησή του της 22ας Απριλίου 2014, η οποία κατατέθηκε στο Δικαστήριο στις 12 Μαΐου 2014, υπέβαλε τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Έχει το άρθρο 28, παράγραφος 1, της οδηγίας 95/46 […] την έννοια ότι η εθνική νομοθεσία κράτους μέλους μπορεί να εφαρμοσθεί, εντός του εδάφους του κράτους μέλους αυτού, στην περίπτωση υπευθύνου επεξεργασίας δεδομένων αποκλειστικώς εγκατεστημένου σε άλλο κράτος μέλος, ο οποίος διαχειρίζεται ιστοσελίδα μεσιτείας ακινήτων και προωθεί, μεταξύ άλλων, ακίνητα ευρισκόμενα στο έδαφος του πρώτου κράτους μέλους, των οποίων οι ιδιοκτήτες έχουν διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν σε μέσο αποθηκεύσεως (διακομιστή) και επεξεργασίας δεδομένων που ανήκει στον διαχειριστή της ιστοσελίδας και βρίσκεται σε άλλο κράτος μέλος;

2)      Έχει το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας [95/46], υπό το πρίσμα των αιτιολογικών σκέψεων 18 έως 20 και των άρθρων 1, παράγραφος 2, και 28, παράγραφος 1, την έννοια ότι η ουγγρική αρχή προστασίας δεδομένων δεν μπορεί να εφαρμόσει το ουγγρικό δίκαιο περί προστασίας δεδομένων, ως εθνικό δίκαιο, σε περίπτωση διαχειριστή ιστοσελίδας μεσιτείας ακινήτων εγκαταστημένου αποκλειστικώς σε άλλο κράτος μέλος ούτε καν όταν αυτός προωθεί, μεταξύ άλλων, ουγγρικά ακίνητα των οποίων οι ιδιοκτήτες διαβίβασαν, κατά πάσα πιθανότητα από την Ουγγαρία, τα δεδομένα που αφορούν τα ακίνητά τους σε μέσο αποθηκεύσεως (διακομιστή) και επεξεργασίας δεδομένων που ανήκει στον διαχειριστή της ιστοσελίδας και βρίσκεται σε άλλο κράτος μέλος;

3)      Έχει σημασία για τη σχετική ερμηνεία το γεγονός ότι η υπηρεσία την οποία παρέχει ο υπεύθυνος επεξεργασίας δεδομένων, ο οποίος διαχειρίζεται την ιστοσελίδα, αφορά το έδαφος άλλου κράτους μέλους;

4)      Έχει σημασία για τη σχετική ερμηνεία το γεγονός ότι τα δεδομένα που αφορούν τα ακίνητα που βρίσκονται στο έδαφος του άλλου κράτους μέλους και τα δεδομένα προσωπικού χαρακτήρα των ιδιοκτητών των ακινήτων απεστάλησαν ηλεκτρονικά από το έδαφος του εν λόγω άλλου κράτους μέλους;

5)      Έχει σημασία για τη σχετική ερμηνεία το γεγονός ότι τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα εν λόγω ακίνητα είναι δεδομένα προσωπικού χαρακτήρα πολιτών άλλου κράτους μέλους;

6)      Έχει σημασία για τη σχετική ερμηνεία το γεγονός ότι οι ιδιοκτήτες της εγκαταστημένης στη Σλοβακία επιχειρήσεως κατοικούν στην Ουγγαρία;

7)      Εάν από τις απαντήσεις στα προηγούμενα ερωτήματα προκύπτει ότι η ουγγρική αρχή προστασίας δεδομένων μπορεί να κινήσει σχετική διαδικασία, αλλά δεν μπορεί να εφαρμόσει το εθνικό δίκαιο και πρέπει να εφαρμόσει το δίκαιο του κράτους μέλους εγκαταστάσεως, έχει το άρθρο 28, παράγραφος 6, της οδηγίας για την προστασία των δεδομένων την έννοια ότι η ουγγρική αρχή προστασίας δεδομένων μπορεί να ασκήσει μόνον τις εξουσίες που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας [95/46] σύμφωνα με τα οριζόμενα στη νομοθεσία του κράτους μέλους εγκαταστάσεως και ότι, για τον λόγο αυτό, δεν έχει εξουσία επιβολής προστίμου;

8)      Μπορεί να γίνει δεκτό ότι ο όρος “adatfeldolgozás” (τεχνικές εργασίες επεξεργασίας) ο οποίος χρησιμοποιείται τόσο στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, όσο και στο άρθρο 28, παράγραφος 6, [του ουγγρικού κειμένου] της οδηγίας για την προστασία των δεδομένων είναι ταυτόσημος με τον όρο “adatkezelés” (επεξεργασία δεδομένων), ο οποίος χρησιμοποιείται στην εν λόγω οδηγία;»

16.      Γραπτές παρατηρήσεις υπέβαλαν η Ουγγρική Κυβέρνηση, η Σλοβακική Κυβέρνηση και η Κυβέρνηση του Ηνωμένου Βασιλείου, η ουγγρική αρχή προστασίας δεδομένων και η Ευρωπαϊκή Επιτροπή. Στην επ’ ακροατηρίου συζήτηση της 12ης Μαρτίου 2015 παρέστησαν η Ουγγρική, η Σλοβακική και η Πολωνική Κυβέρνηση, η ουγγρική αρχή προστασίας δεδομένων και η Ευρωπαϊκή Επιτροπή.

IV – Ανάλυση

17.      Τα προδικαστικά ερωτήματα που υποβάλλει το Kúria αφορούν δύο ζητήματα τα οποία, καίτοι παρουσιάζονται ως αλληλένδετα, χρήζουν διαφορετικής αντιμετωπίσεως —όπως φαίνεται και από τις γραπτές και προφορικές παρατηρήσεις που διατυπώθηκαν κατά τη διαδικασία ενώπιον του Δικαστηρίου—, αυτό του εφαρμοστέου νόμου στην επεξεργασία δεδομένων και εκείνο του προσδιορισμού της αρμόδιας αρχής ελέγχου. Για τον λόγο αυτόν, θα εκθέσω τη συλλογιστική μου σε δύο κατ’ ουσίαν μέρη. Θα ασχοληθώ κατ’ αρχάς με το ζήτημα του εφαρμοστέου νόμου στην επεξεργασία δεδομένων και, ουσιαστικά, με το ζήτημα της «εγκαταστάσεως», εξετάζοντας από κοινού τα ερωτήματα πρώτο έως έκτο. Στη συνέχεια, θα εξετάσω το ζήτημα του προσδιορισμού της αρμόδιας αρχής ελέγχου και των αρμοδιοτήτων της —καθώς και το ζήτημα της δυνατότητας αποσυνδέσεως της αρμόδιας αρχής ελέγχου από τον εφαρμοστέο νόμο— (έβδομο ερώτημα). Τέλος, θα ασχοληθώ με το ζήτημα ορολογίας που τίθεται με το όγδοο προδικαστικό ερώτημα.

 Α —      Επί του εφαρμοστέου νόμου στην επεξεργασία προσωπικών δεδομένων και επί της έννοιας της εγκαταστάσεως (προδικαστικά ερωτήματα πρώτο έως έκτο)

18.      Με τα προδικαστικά του ερωτήματα πρώτο έως έκτο, τα οποία είναι σκόπιμο να εξεταστούν από κοινού, το Kúria ερωτά κατ’ ουσίαν εάν τα άρθρα 4, παράγραφος 1, στοιχείο αʹ, και 28, παράγραφος 1, της οδηγίας 95/46 μπορούν να ερμηνευθούν υπό την έννοια ότι, υπό περιστάσεις όπως αυτές της διαφοράς της κύριας δίκης, επιτρέπουν να εφαρμοστεί ο ουγγρικός νόμος για την προστασία δεδομένων, καθώς και να εφαρμόσει η ουγγρική αρχή για την προστασία δεδομένων τον νόμο αυτόν στην περίπτωση διαχειριστή ιστοτόπου ο οποίος είναι εγκατεστημένος αποκλειστικά σε άλλο κράτος μέλος. Επιπλέον, το Kúria ερωτά συναφώς αν ασκούν επιρροή ορισμένοι συγκεκριμένοι παράγοντες, όπως το γεγονός ότι οι υπηρεσίες της εταιρίας αυτής απευθύνονται σε άλλο κράτος μέλος, ο τόπος από τον οποίον μεταφορτώθηκαν στον ιστότοπο τα σχετικά με τα ακίνητα δεδομένα, η εθνικότητα των θιγομένων ή το γεγονός ότι οι ιδιοκτήτες της εταιρίας έχουν κατοικία στην Ουγγαρία.

19.      Με τα δύο του πρώτα προδικαστικά ερωτήματα, το Kúria αναφέρθηκε τόσο στο άρθρο 28, παράγραφος 1, όσο και στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας. Ωστόσο, προκειμένου να δοθεί απάντηση στα ερωτήματά του, θεωρώ ότι είναι απολύτως δυνατόν να παραλειφθεί η εξέταση του πεδίου εφαρμογής της πρώτης από τις ως άνω διατάξεις. Πράγματι, το άρθρο 28, παράγραφος 1, ορίζει απλώς ότι «[κ]άθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογή της παρούσας οδηγίας». Θεωρώ ότι η διάταξη αυτή δεν είναι καθοριστικής σημασίας για τον προσδιορισμό του εφαρμοστέου δικαίου. Κατ’ αρχάς, από συστημικής απόψεως, το άρθρο 28 υπάγεται στο κεφάλαιο VI της οδηγίας, το οποίο έχει ως αντικείμενο τη ρύθμιση των αρχών ελέγχου, καθώς και της ομάδας προστασίας των προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, και όχι το ζήτημα του εφαρμοστέου δικαίου. Δεύτερον, το ίδιο το γράμμα του άρθρου 28, παράγραφος 1, της οδηγίας δεν προβλέπει κάποιο επιπλέον κριτήριο για τον προσδιορισμό του εφαρμοστέου δικαίου στην προστασία προσωπικών δεδομένων. Εν ολίγοις, η εν λόγω διάταξη δεν περιέχει κανένα στοιχείο του οποίου η ερμηνεία να οδηγεί σε διαφορετική απάντηση στο ζήτημα του προσδιορισμού του εφαρμοστέου δικαίου, όπως αυτό προκύπτει από τα κριτήρια του άρθρου 4 της εν λόγω οδηγίας, το οποίο ρυθμίζει συγκεκριμένα το ζήτημα του εφαρμοστέου δικαίου.

20.      Επικεντρώνοντας την ανάλυση στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας, είναι σκόπιμο να επισημάνουμε εξ αρχής ότι οι παρατηρήσεις που διατυπώθηκαν τόσο κατά την προφορική όσο και κατά την έγγραφη διαδικασία επισημαίνουν τη σημασία της διατάξεως αυτής προκειμένου να δοθεί απάντηση στα προδικαστικά ερωτήματα που αφορούν το εφαρμοστέο δίκαιο, καθώς και το ότι είναι ιδιαιτέρως σημαντικό να προσδιοριστεί ο τόπος εγκαταστάσεως της Weltimmo.

21.      Η προβληματική του εφαρμοστέου νόμου σε διασυνοριακές υποθέσεις επεξεργασίας προσωπικών δεδομένων αποτελεί για δεκαετίες αμφιλεγόμενο ζήτημα διεθνώς (4). Το άρθρο 4 της οδηγίας, το οποίο έχει ως αντικείμενο τον καθορισμό του εφαρμοστέου εθνικού δικαίου, ήταν η πρώτη διάταξη με την οποία κατέστη δυνατή η θέσπιση ενός κανόνα καθορισμού του εφαρμοστέου δικαίου στον τομέα αυτόν (5). Η εν λόγω διάταξη προβλέπει διάφορα κριτήρια προκειμένου να διαπιστώνεται αν έχει εφαρμογή το εθνικό δίκαιο που θεσπίστηκε για τη μεταφορά της οδηγίας, προβλέποντας έτσι εμμέσως (με την κατάδειξη της δυνατότητας εφαρμογής των εν λόγω εθνικών κανόνων) το κατά τόπον πεδίο εφαρμογής της ίδιας της οδηγίας.

22.      Επομένως, ιδιαίτερα σημαντικό για τις περιπτώσεις στις οποίες τίθεται το ζήτημα του εφαρμοστέου νόμου μεταξύ κρατών μελών της Ένωσης είναι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το οποίο ορίζει ότι «[κ]άθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει [(6)] δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον: α) η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους».

23.      Το άρθρο 4, παράγραφος 1, στοιχείο αʹ, έχει, έτσι, διπλή λειτουργία. Αφενός, καθιστά δυνατή την εφαρμογή του δικαίου της Ένωσης μέσω του δικαίου ενός από τα κράτη μέλη της όταν η επεξεργασία δεδομένων πραγματοποιείται αποκλειστικά «στα πλαίσια» των δραστηριοτήτων μιας εγκαταστάσεως ευρισκόμενης σε αυτά, έστω και αν η «υπό στενή έννοια» επεξεργασία δεδομένων πραγματοποιείται σε τρίτο κράτος (όπως συνέβαινε στην υπόθεση Google Spain και Google (7)). Αφετέρου, η εν λόγω διάταξη λειτουργεί ως κανόνας καθορισμού του εφαρμοστέου δικαίου μεταξύ κρατών μελών (που είναι και το ζήτημα που μας απασχολεί εν προκειμένω). Στη δεύτερη αυτή περίπτωση, το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας είναι η διάταξη που καθορίζει το εφαρμοστέο δίκαιο ως κανόνας συγκρούσεως μεταξύ των νομοθεσιών των διαφόρων κρατών μελών.

24.      Πρέπει να επισημανθεί συναφώς ότι το εθνικό δικαστήριο διατυπώνει τα ερωτήματά του σε σχέση με διαχειριστή διαδικτυακού ιστοτόπου με αγγελίες ακινήτων, ο οποίος είναι εγκατεστημένος αποκλειστικά σε άλλο κράτος μέλος —γεγονός το οποίο αμφισβητείται από την ουγγρική αρχή ελέγχου. Το Ηνωμένο Βασίλειο θεωρεί πρόδηλο ότι πρέπει να γίνει δεκτό ότι το εφαρμοστέο δίκαιο στην κρινόμενη υπόθεση είναι αυτό του κράτους μέλους εγκαταστάσεως, εν προκειμένω της Σλοβακίας, και ότι η ουγγρική αρχή δεν δύναται να εφαρμόσει τις διατάξεις του δικού της εθνικού δικαίου. Στο ίδιο πνεύμα, η Επιτροπή επισημαίνει το γεγονός ότι, ανεξαρτήτως του αν μπορεί να γίνει δεκτή η εφαρμογή του ουγγρικού δικαίου σε περίπτωση που θεωρηθεί ότι η αναιρεσείουσα είναι εγκατεστημένη και σε ουγγρικό έδαφος, το Kúria αναφέρει ότι η εταιρία είναι εν προκειμένω εγκατεστημένη αποκλειστικά σε άλλο κράτος μέλος.

25.      Ως προς το ζήτημα αυτό, και πέρα από την επαλήθευση του στοιχείου στο οποίο αναφέρονται τα προδικαστικά ερωτήματα του σχετικού με τον πραγματικό τόπο εγκαταστάσεως, τα ερωτήματα τρίτο έως έκτο του Kúria αφήνουν να εννοηθεί κάποια αμφιβολία του αιτούντος δικαστηρίου σε σχέση με την έννοια της εγκαταστάσεως κατά την οδηγία, ως έννοια που δεν είναι κατ’ ανάγκην αμιγώς τυπική. Για τον λόγο αυτόν, θεωρώ ότι μια χρήσιμη απάντηση στα ερωτήματα πρώτο έως έκτο επιβάλλει τον καθορισμό των κριτηρίων βάσει των οποίων θα κριθεί αν συντρέχει επεξεργασία δεδομένων η οποία πραγματοποιήθηκε «στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου» στο ουγγρικό έδαφος, κατά την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας.

26.      Για να διαπιστωθεί, επομένως, στην παρούσα υπόθεση αν η εφαρμοστέα νομοθεσία είναι η ουγγρική ή η σλοβακική, θα ήταν αναγκαία μια εξέταση σε δύο στάδια, κατά τη μέθοδο που ακολουθήθηκε στην απόφαση Google Spain και Google (8). Έτσι, θα μπορούσε να διευκρινιστεί, κατ’ αρχάς, αν η Weltimmo διέθετε εγκατάσταση στο ουγγρικό έδαφος και, στη συνέχεια, αν η επεξεργασία δεδομένων πραγματοποιήθηκε στα πλαίσιο των δραστηριοτήτων της εν λόγω εγκαταστάσεως. Εντούτοις, επισημαίνεται ότι, υπό τις περιστάσεις της παρούσας υποθέσεως και σε αντίθεση με εκείνες της υποθέσεως Google Spain και Google, δεν αμφισβητείται ότι η επεξεργασία δεδομένων διενεργήθηκε «στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους». Το αποφασιστικό ζήτημα καθεαυτό είναι αν υφίσταται εγκατάσταση στην Ουγγαρία ή/και στη Σλοβακία. Ως εκ τούτου, η ανάλυσή μου θα επικεντρωθεί κυρίως στο πρώτο αυτό στάδιο.

27.      Επί του ζητήματος αυτού, η Ουγγρική Κυβέρνηση επισήμανε με τις γραπτές της παρατηρήσεις ότι η απόδοση της εν λόγω διατάξεως στις διάφορες γλώσσες στηρίζει ερμηνεία της έννοιας της εγκαταστάσεως η οποία θα μπορούσε να μην περιορίζεται στην απλή αναφορά στην εγκατάσταση κατά την έννοια του δικαίου των εταιριών. Η Σλοβακική Κυβέρνηση, η οποία επίσης τάσσεται υπέρ μιας ευρείας ερμηνείας της έννοιας της εγκαταστάσεως, επισημαίνει ότι είναι χρήσιμη, στο πλαίσιο αυτό, η αναφορά στη νομολογία του Δικαστηρίου για την ελεύθερη εγκατάσταση. Ομοίως, η ουγγρική αρχή προστασίας δεδομένων υποστηρίζει ερμηνεία της έννοιας της εγκαταστάσεως στην οποία να μην έχει αποφασιστική σημασία η νομική μορφή και επισημαίνει ότι η εγκατάσταση μπορεί να συνίσταται στον εκπρόσωπο της Weltimmo στην Ουγγαρία, στην προκειμένη περίπτωση ονόματι Benkö. Πράγματι, το πρόσωπο αυτό εκπροσώπησε την εν λόγω εταιρία στη διοικητική διαδικασία και στον πρώτο βαθμό της ένδικης διαδικασίας, ήταν σε επαφή με τους θιγέντες που υπέβαλαν τις καταγγελίες και είναι εγγεγραμμένος στο σλοβακικό μητρώο εταιριών με διεύθυνση στην Ουγγαρία. Επιπλέον, η αρχή επισήμανε στην επ’ ακροατηρίου συζήτηση ότι η Weltimmo διαθέτει ταχυδρομική θυρίδα στην Ουγγαρία για τη διαχείριση των τρεχουσών υποθέσεών της και ότι, απαντώντας σε ανεπίσημη ερώτησή της προς τη σλοβακική αρχή προστασίας δεδομένων, η τελευταία της επιβεβαίωσε ότι η εταιρία δεν ασκούσε πραγματική δραστηριότητα στη Σλοβακία. Μόνον η Πολωνική Κυβέρνηση επέμεινε με τις παρατηρήσεις της κατά την επ’ ακροατηρίου συζήτηση στην ανάγκη να λαμβάνεται υπόψη αποκλειστικά η εγγραφή της εταιρίας στο μητρώο ενός κράτους μέλους ως μοναδικό αντικειμενικό και επαληθεύσιμο στοιχείο.

28.      Κατόπιν τούτου, επιβάλλεται η παραπομπή στην αιτιολογική σκέψη 19 της οδηγίας 95/46, η οποία συνιστά θεμελιώδες ερμηνευτικό κριτήριο για τον προσδιορισμό του περιεχομένου της έννοιας της εγκαταστάσεως [καταστήματος], κατά την έννοια της ίδιας οδηγίας. Πράγματι, η εν λόγω αιτιολογική σκέψη συνηγορεί υπέρ μιας ευέλικτης ερμηνείας της έννοιας, διαφοροποιούμενης από την τυπολατρική προσέγγιση κατά την οποίαν μια εταιρία θεωρείται εγκατεστημένη αποκλειστικά στον τόπο στο μητρώο του οποίου είναι εγγεγραμμένη. Έτσι, κατ’ αρχάς, η εν λόγω αιτιολογική σκέψη εισάγει το στοιχείο του πραγματικού και το στοιχείο της μονιμότητας, αναφέροντας ότι «η εγκατάσταση στο έδαφος κράτους μέλους περιλαμβάνει την πραγματική άσκηση δραστηριότητας βάσει μονίμου καταστήματος […]». Δεύτερον, προσφέρει σημαντική ευελιξία, καθώς ορίζει ότι «η νομική μορφή ενός τέτοιου καταστήματος, είτε πρόκειται για απλό υποκατάστημα είτε για θυγατρική με νομική προσωπικότητα, δεν συνιστά καθοριστικό παράγοντα εν προκειμένω».

29.      Η ερμηνεία αυτή της έννοιας της εγκαταστάσεως [καταστήματος] συνάδει με την ερμηνεία της εν λόγω έννοιας από το Δικαστήριο σε άλλους τομείς του δικαίου της Ένωσης. Ειδικότερα, κατά πάγια νομολογία, «η έννοια της εγκαταστάσεως[, όπως χρησιμοποιείται στις διατάξεις της Συνθήκης για την ελεύθερη εγκατάσταση,] ενέχει την πραγματική άσκηση μιας οικονομικής δραστηριότητας με τη δημιουργία μιας μόνιμης εγκατάστασης σε άλλο κράτος μέλος για αόριστο χρονικό διάστημα» (9), γεγονός το οποίο «προϋποθέτει πραγματική εγκατάσταση της ενδιαφερομένης εταιρίας στο κράτος μέλος υποδοχής και την άσκηση ουσιαστικής οικονομικής δραστηριότητας εντός αυτού» (10).

30.      Εξάλλου, η γνώμη 8/2010 της ομάδας προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων του άρθρου 29 (στο εξής: ομάδα του άρθρου 29) (11) αναφέρεται στην ερμηνεία της έννοιας της εγκαταστάσεως ως κριτηρίου συνδέσεως για φορολογικούς σκοπούς σε υποθέσεις ΦΠΑ (12). Η σχετική νομολογία του Δικαστηρίου παρουσιάζει ιδιαίτερο ενδιαφέρον —καθώς χρησιμοποιεί την έννοια της εγκαταστάσεως ως κριτήριο συνδέσεως για την υπαγωγή σε εθνική φορολογική νομοθεσία— και εμβαθύνει στην έννοια της μόνιμης εγκαταστάσεως, η οποία «[…] πρέπει να χαρακτηρίζεται από το στοιχείο της μονιμότητας σε επαρκή βαθμό και από κατάλληλη υποδομή σε ανθρώπινους και τεχνικούς πόρους που να της επιτρέπουν να λαμβάνει και να χρησιμοποιεί τις υπηρεσίες που της παρέχονται για την κάλυψη των αναγκών της εν λόγω εγκαταστάσεως» (13). Επιπλέον, η έννοια της εγκαταστάσεως όπως απαντά τόσο στη Σύμβαση της Ρώμης (14) όσο και στη Σύμβαση των Βρυξελλών (15) συνηγορεί επίσης υπέρ μιας ευρείας ερμηνείας (16).

31.      Πέραν του ότι τα πλαίσια και οι σκοποί των διαφόρων τομέων τους οποίους αφορά η νομολογία του Δικαστηρίου στις προαναφερθείσες υποθέσεις είναι προδήλως διαφορετικά από εκείνα της υποθέσεως που μας απασχολεί, είναι, πάντως, χαρακτηριστικό ότι κατά το δίκαιο της Ένωσης, σε περισσότερους του ενός τομείς, η ερμηνεία της έννοιας της εγκαταστάσεως στηρίζεται κυρίως στον πραγματικό χαρακτήρα της ασκήσεως των οικονομικών δραστηριοτήτων και στην, κατά έναν ορισμένο βαθμό, μονιμότητα, όπως προκύπτει και από τις κατευθυντήριες γραμμές που διατυπώνονται και στην αιτιολογική σκέψη 19 της οδηγίας 95/46.

32.      Εξάλλου, λαμβανομένου υπόψη του συγκεκριμένου σκοπού της οδηγίας 95/46, όπως αναφέρεται στο άρθρο της 1, παράγραφος 1, ο οποίος είναι να «εξασφαλίζουν [τα κράτη μέλη] […] την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα», θεωρώ ότι πρέπει να αποτελέσουν αντικείμενο ερμηνείας τόσο ο βαθμός μονιμότητας της εγκαταστάσεως [καταστήματος] όσο και ο πραγματικός χαρακτήρας της ασκήσεως των δραστηριοτήτων, λαμβανομένης υπόψη της συγκεκριμένης φύσεως των οικονομικών δραστηριοτήτων και της επίμαχης παροχής υπηρεσιών.

33.      Έτσι, όπως επισημαίνουν η ουγγρική αρχή προστασίας δεδομένων και η Σλοβακική Κυβέρνηση και όπως προκύπτει και από τα κριτήρια που παρέχει η ομάδα του άρθρου 29 (17), ένας και μόνον εκπρόσωπος θα αρκούσε προκειμένου να θεωρηθεί ότι υπάρχει μόνιμη εγκατάσταση, εφόσον ασκεί δραστηριότητα κατά τρόπο αρκούντως μόνιμο και έχοντας στη διάθεσή του τα αναγκαία μέσα για την παροχή στο συγκεκριμένο κράτος μέλος των συγκεκριμένων υπηρεσιών για τις οποίες πρόκειται.

34.      Πράγματι, όπως επισήμανε ο γενικός εισαγγελέας Ν. Jääskinen με τις προτάσεις του στην υπόθεση Google Spain και Google, το επιχειρηματικό μοντέλο του εν λόγω παρόχου υπηρεσίας πρέπει να λαμβάνεται υπόψη κατά την εκτίμηση των προϋποθέσεων του άρθρου 4 της οδηγίας 95/46 (18). Για τον λόγο αυτόν, είναι αναγκαίο, εν προκειμένω, να συνεκτιμηθεί η ιδιαιτερότητα των εταιριών που δραστηριοποιούνται αποκλειστικά μέσω Διαδικτύου, το επιχειρηματικό μοντέλο των οποίων καθιστά σχετική την έννοια της μόνιμης φυσικής εγκαταστάσεως, καθώς και τον βαθμό επάρκειας τόσο των ανθρώπινων όσο και των υλικών πόρων. Πράγματι, υπό ορισμένες συνθήκες, ένας εκπρόσωπος με διαρκή παρουσία, εξοπλισμένος μόνον με έναν φορητό ηλεκτρονικό υπολογιστή, μπορεί να αποτελέσει επαρκή υποδομή για την άσκηση αρκούντως μόνιμης πραγματικής δραστηριότητας. Υπό το πρίσμα των ανωτέρω, είναι αναγκαίο, κατά την εκτίμηση των εν λόγω ανθρώπινων και τεχνικών πόρων, να εξετάζονται με προσοχή τα ειδικά χαρακτηριστικά των επιχειρήσεων που παρέχουν υπηρεσίες μέσω Διαδικτύου, λαμβανομένων υπόψη των ιδιαιτεροτήτων κάθε συγκεκριμένης περιπτώσεως.

35.      Στην πραγματικότητα, τα ειδικά χαρακτηριστικά των οικονομικών δραστηριοτήτων που ασκούνται μέσω του Διαδικτύου έχουν ήδη ληφθεί υπόψη προκειμένου να προσδιοριστεί το περιεχόμενο της έννοιας της εγκαταστάσεως σε άλλα νομοθετικά κείμενα της Ένωσης. Ειδικότερα, η οδηγία για το ηλεκτρονικό εμπόριο (19) ορίζει, στην αιτιολογική της σκέψη 19, ότι «[ο] τόπος εγκατάστασης εταιρείας που παρέχει υπηρεσίες μέσω διεύθυνσης (site) Internet, δεν βρίσκεται εκεί που είναι η τεχνολογία που υποστηρίζει την εν λόγω διεύθυνση ούτε εκεί που παρέχεται πρόσβαση στην εν λόγω διεύθυνση, αλλά εκεί που ασκεί την οικονομική της δραστηριότητα». Ο ορισμός αυτός έχει θεωρηθεί από την ομάδα του άρθρου 29 χρήσιμος για την ερμηνεία του άρθρου 4 της οδηγίας 95/46 (20).

36.      Κατόπιν των ανωτέρω, μπορεί να συναχθεί το συμπέρασμα ότι, χωρίς να αμφισβητείται ότι η Weltimmo είναι εταιρία εγγεγραμμένη τυπικώς στο μητρώο της Σλοβακίας, δεν μπορεί να αποκλειστεί το ενδεχόμενο η εταιρία αυτή να ασκεί πραγματικά τη δραστηριότητά της σε άλλο κράτος μέλος, εν προκειμένω στην Ουγγαρία, μέσω μόνιμης εγκαταστάσεως —η οποία ενδέχεται να συνίσταται σε έναν και μόνο εκπρόσωπο. Αν ισχύει κάτι τέτοιο, τότε η Weltimmo διαθέτει εγκατάσταση στην Ουγγαρία κατά την έννοια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46.

37.      Οι διάφοροι επιπλέον παράγοντες στους οποίους αναφέρεται το Kúria στα προδικαστικά του ερωτήματα —ο τόπος από τον οποίον μεταφορτώθηκαν τα δεδομένα, το κράτος μέλος στο οποίο απευθύνονται οι υπηρεσίες, η εθνικότητα των θιγομένων ή ο τόπος κατοικίας των ιδιοκτητών της εταιρίας—, δεν ασκούν συναφώς άμεση και αποφασιστική επιρροή για τον προσδιορισμό του εφαρμοστέου δικαίου (21). Πράγματι, τα στοιχεία αυτά δεν εμφανίζονται στην οδηγία ως κριτήρια που ασκούν επιρροή και που θα επέτρεπαν απόκλιση από το κριτήριο του άρθρου 4, παράγραφος 1, στοιχείο αʹ (22).

38.      Παρά ταύτα, υπάρχουν διάφοροι παράγοντες που θα μπορούσαν, υπό ορισμένες περιστάσεις, να αποτελούν ενδείξεις του πραγματικού χαρακτήρα της δραστηριότητας —προκειμένου να προσδιοριστεί ο τόπος εγκαταστάσεως—, ειδικά κατά την εκτίμηση του αν η επεξεργασία δεδομένων έλαβε χώρα στο πλαίσιο των δραστηριοτήτων μιας εγκαταστάσεως του υπεύθυνου της επεξεργασίας.

39.      Έτσι, σε σχέση, συγκεκριμένα, με το δεύτερο στοιχείο —την πραγματοποίηση της επεξεργασίας δεδομένων στο πλαίσιο των δραστηριοτήτων της εγκαταστάσεως που βρίσκεται στο κράτος μέλος—, είναι σκόπιμη η αναφορά στην ερμηνεία που διατυπώθηκε στην απόφαση Google Spain και Google (23). Σύμφωνα με αυτήν, το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 «δεν απαιτεί η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα να γίνεται “από” την οικεία εγκατάσταση, αλλά απλώς να γίνεται “στα πλαίσια των δραστηριοτήτων” της εγκατάστασης αυτής» (24). Επιπλέον, —συνεχίζει το Δικαστήριο, παραπέμποντας στον σκοπό της οδηγίας— «η τελευταία αυτή φράση δεν μπορεί να ερμηνεύεται υπό στενή έννοια» (25).

40.      Η εφαρμογή του δεύτερου αυτού κριτηρίου είναι ιδιαιτέρως σημαντική για την περίπτωση στην οποία το αιτούν δικαστήριο εκτιμήσει —κατ’ εφαρμογήν των προαναφερθέντων κριτηρίων— ότι η Weltimmo είναι εγκατεστημένη και στα δύο κράτη μέλη. Στην περίπτωση αυτή, όπως επισημαίνουν με τις γραπτές τους παρατηρήσεις η Σλοβακική Κυβέρνηση και η Επιτροπή, θα πρέπει να εξεταστούν συγκεκριμένα οι δραστηριότητες στο πλαίσιο των οποίων πραγματοποιήθηκε η επεξεργασία και, ειδικότερα, ο βαθμός συνδέσεώς τους με μια συγκεκριμένη εγκατάσταση (26). Ομοίως, η ομάδα του άρθρου 29 υπέδειξε και άλλα καθοριστικά συναφώς στοιχεία σχετικά με τις μηχανές αναζήτησης, τα οποία θα ήταν ενδεχομένως χρήσιμα για να διαπιστωθεί αν οι δραστηριότητες ασκούνται στο πλαίσιο της εγκαταστάσεως: το γεγονός ότι η εγκατάσταση είναι υπεύθυνη για τις σχέσεις με τους χρήστες, ότι συμμετέχει στην πώληση διαφημίσεων προς τους κατοίκους του κράτους αυτού ή ότι είναι υπόλογη απέναντι στις αρμόδιες αρχές ενός κράτους μέλους σε σχέση με τα δεδομένα των χρηστών (27).

41.      Τέλος, προκειμένου να κριθεί στην παρούσα υπόθεση αν το ουγγρικό δίκαιο μπορεί να εφαρμοστεί στη δραστηριότητα της Weltimmo στην Ουγγαρία, θα πρέπει να διαπιστωθεί αν η Weltimmo διαθέτει στο εν λόγω κράτος μέλος εγκατάσταση, στο πλαίσιο της οποίας πραγματοποιήθηκε η επίμαχη επεξεργασία δεδομένων. Για τον λόγο αυτόν, θα πρέπει να διαπιστωθεί αν ο εκπρόσωπος στον οποίον αναφέρεται η απόφαση περί παραπομπής διαθέτει μόνιμη εγκατάσταση, ανεξαρτήτως νομικής μορφής, μέσω της οποίας ασκεί κατά τρόπο πραγματικό δραστηριότητα, στο πλαίσιο της οποίας πραγματοποιήθηκε η επίμαχη επεξεργασία δεδομένων.

42.      Ως εκ τούτου, θεωρώ ότι πρέπει να δοθεί στα προδικαστικά ερωτήματα πρώτο έως έκτο του Kúria η κοινή απάντηση ότι το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 δεν επιτρέπει στην ουγγρική αρχή προστασίας δεδομένων να εφαρμόσει τον ουγγρικό νόμο στην περίπτωση υπευθύνου επεξεργασίας δεδομένων ο οποίος είναι εγκατεστημένος αποκλειστικά σε άλλο κράτος μέλος. Προς τον σκοπό αυτόν, ως εγκατάσταση πρέπει να νοείται η ύπαρξη μιας μόνιμης εγκαταστάσεως, ανεξαρτήτως νομικής μορφής, μέσω της οποίας ασκείται κατά τρόπο πραγματικό μια δραστηριότητα. Ένας και μόνον εκπρόσωπος μπορεί να θεωρηθεί ως μόνιμη εγκατάσταση αν παρουσιάζει επαρκή βαθμό μονιμότητας καθόσον διαθέτει τους ανθρώπινους και τεχνικούς πόρους που είναι αναγκαίοι για την παροχή των συγκεκριμένων υπηρεσιών για τις οποίες πρόκειται.

Άλλα στοιχεία, όπως ο τόπος από τον οποίον μεταφορτώθηκαν τα δεδομένα, η εθνικότητα των θιγομένων, ο τόπος κατοικίας των ιδιοκτητών της υπεύθυνης για την επεξεργασία εταιρίας ή το γεγονός ότι η υπηρεσία που παρέχεται από τον εν λόγω υπεύθυνο απευθύνεται σε άλλο κράτος μέλος δεν ασκούν συναφώς άμεση και αποφασιστική επιρροή για τον προσδιορισμό του εφαρμοστέου δικαίου, ανεξαρτήτως του αν συνιστούν ενδεχομένως ενδείξεις του πραγματικού χαρακτήρα της δραστηριότητας προκειμένου να διαπιστωθεί ο τόπος εγκαταστάσεως και, ειδικότερα, το αν η επεξεργασία δεδομένων πραγματοποιήθηκε στο πλαίσιο των δραστηριοτήτων της εν λόγω εγκαταστάσεως.

 Β —      Επί της αρμόδιας αρχής ελέγχου και της δυνατότητας αποσυνδέσεως του εφαρμοστέου δικαίου από την αρμόδια αρχή (έβδομο προδικαστικό ερώτημα)

43.      Με το έβδομο προδικαστικό ερώτημα, το Kúria ερωτά το Δικαστήριο αν, σε περίπτωση που «από τις απαντήσεις στα προηγούμενα ερωτήματα [προκύψει] ότι η ουγγρική αρχή προστασίας των δεδομένων μπορεί να κινήσει διαδικασία, αλλά δεν μπορεί να εφαρμόσει το εθνικό δίκαιο και πρέπει να εφαρμόσει το δίκαιο του κράτους μέλους εγκαταστάσεως, έχει το άρθρο 28, παράγραφος 6, της οδηγίας για την προστασία των δεδομένων την έννοια ότι η ουγγρική αρχή προστασίας δεδομένων μπορεί να ασκήσει μόνον τις εξουσίες που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας για την προστασία των δεδομένων σύμφωνα με τα οριζόμενα στη νομοθεσία του κράτους μέλους εγκαταστάσεως και ότι, για τον λόγο αυτό, δεν έχει εξουσία επιβολής προστίμου».

44.      Προδήλως, το προδικαστικό αυτό ερώτημα ασκεί επιρροή στην υπόθεση μόνον στην περίπτωση που το αιτούν δικαστήριο εκτιμήσει ότι, σύμφωνα με τα προαναφερθέντα κριτήρια, η Weltimmo δεν διαθέτει εγκατάσταση στην Ουγγαρία, αλλά είναι εγκατεστημένη αποκλειστικά στη Σλοβακία. Επομένως, προκειμένου να δοθεί χρήσιμη απάντηση στο ερώτημα αυτό, είναι αναγκαίο να εξεταστεί προηγουμένως —δεδομένου ότι δεν προκύπτει ρητώς από την απάντηση στα προηγούμενα προδικαστικά ερωτήματα— το ενδεχόμενο μια αρχή ελέγχου κράτους μέλους να μπορεί να κινήσει διαδικασία, ακόμη και αν, σύμφωνα με τα κριτήρια του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας, έχει εφαρμογή το δίκαιο άλλου κράτους μέλους. Καταφατική απάντηση στο ερώτημα αυτό θα οδηγούσε, ακολούθως, στην ανάγκη προσδιορισμού της εκτάσεως και του περιεχομένου των αρμοδιοτήτων της εν λόγω αρχής.

45.      Πρέπει, κατά συνέπεια, να προηγηθεί το ερώτημα αν το άρθρο 4 περί εφαρμοστέου δικαίου αποτελεί, εκτός από κανόνα προσδιορισμού του εφαρμοστέου δικαίου, και κανόνα αρμοδιότητας και τίθεται, ενδεχομένως, ζήτημα κύρους των διευκρινίσεων που παρέχει το άρθρο 28 σε σχέση με την αρμοδιότητα των δημόσιων αρχών. Και τούτο, εν όψει μιας πιθανής εκτενούς μεταρρυθμίσεως του δικαίου της Ένωσης όσον αφορά την προστασία δεδομένων (28).

46.      Με τις παρατηρήσεις που προβλήθηκαν στο Δικαστήριο προβάλλουν διάφορες ερμηνείες των παραγράφων 1, 3 και 6 του άρθρου 28 της οδηγίας. Έτσι, η ουγγρική αρχή προστασίας δεδομένων υποστήριξε ότι είναι αρμόδια να επιβάλλει πρόστιμα, έστω και αν έχει εφαρμογή η νομοθεσία άλλου κράτους. Στο ίδιο πνεύμα τοποθετείται και η Ουγγρική Κυβέρνηση, κατά την οποία είναι προφανές ότι οι κανόνες περί του καθεστώτος των αρχών ελέγχου και της διαδικασίας για την άσκηση των αρμοδιοτήτων τους, όπως προβλέπονται από το άρθρο 28, παράγραφος 3, της οδηγίας, διέπονται από το εθνικό δίκαιο του κράτους στο οποίο έχει την έδρα της η εκάστοτε αρχή και, ως εκ τούτου, η επιβολή κυρώσεων πρέπει να γίνεται σύμφωνα με το δικό της εθνικό δίκαιο.

47.      Η Επιτροπή, εξάλλου, υποστηρίζει ότι οι αρχές ελέγχου ενός κράτους μέλους έχουν δικαίωμα να ασκούν τις αρμοδιότητες που απαριθμούνται στο άρθρο 28, παράγραφος 3, της οδηγίας, καθόσον μπορούν να τις ασκούν στο έδαφός τους, σύμφωνα με το άρθρο 28, παράγραφοι 1 και 6. Αντιθέτως, αν μια αρμοδιότητα μπορεί να ασκηθεί μόνον στο έδαφος άλλου κράτους μέλους, η εν λόγω αρχή δεν έχει άλλη επιλογή από το να ζητήσει τη διοικητική συνεργασία της αρχής ελέγχου του εν λόγω κράτους μέλους. Επομένως, η αρχή ελέγχου του πρώτου κράτους μέλους δεν θα μπορούσε να επιβάλει κυρώσεις σε υπεύθυνο επεξεργασίας δεδομένων εγκατεστημένο αποκλειστικά σε άλλο κράτος μέλος. Στο ίδιο πνεύμα, κατά την Σλοβακική Κυβέρνηση, σε περίπτωση που κριθεί εφαρμοστέο το σλοβακικό δίκαιο, η ουγγρική αρχή προστασίας δεδομένων θα έχει αρμοδιότητα, κατ’ εφαρμογήν του άρθρου 28, παράγραφοι 3 και 6, να διεξαγάγει έρευνα και να εξετάσει τις καταγγελίες που της υποβλήθηκαν, ενεργώντας σύμφωνα με τους δικούς της διαδικαστικούς κανόνες, αλλά θα πρέπει να απευθύνει αίτημα συνεργασίας στην αρχή του κράτους μέλους του οποίου το δίκαιο είναι εφαρμοστέο, καθώς εκείνη θα είναι αρμόδια να αποφανθεί σχετικά με την ενδεχόμενη επιβολή κυρώσεως. Η Πολωνία επισημαίνει ότι το ενδεχόμενο εφαρμογής του ουσιαστικού δικαίου ενός κράτους μέλους από τις αρχές άλλου κράτους μέλους δεν προβλέπεται από την οδηγία και συμπεραίνει ότι, αν ο νομοθέτης ήθελε να παράσχει μια τόσο καινοτόμο δυνατότητα, η οδηγία θα περιλάμβανε ακριβείς διατάξεις για τον ορισμό του πεδίου εφαρμογής της. Τέλος, η Κυβέρνηση του Ηνωμένου Βασιλείου εκτιμά ότι, δεδομένου ότι είναι εφαρμοστέο το σλοβακικό δίκαιο, η ουγγρική αρχή προστασίας δεδομένων στερείται αρμοδιότητας.

48.      Είναι ενδιαφέρουσα, υπό το πρίσμα των ανωτέρω, η διαφορά απόψεων στις κατατεθείσες παρατηρήσεις, από τις οποίες μόνον εκείνες του Ηνωμένου Βασιλείου και της Πολωνίας φαίνεται να υποστηρίζουν ότι είναι απολύτως αναγκαίο να συμπίπτει η εθνικότητα του εφαρμοστέου δικαίου με εκείνη της αρμόδιας αρχής ελέγχου —έτσι ώστε ο καθορισμός του εφαρμοστέου δικαίου σύμφωνα με το άρθρο 4, παράγραφος 1, στοιχείο βʹ, της οδηγίας να αφορά και την αρμόδια αρχή ελέγχου (29).

49.      Όπως θα εκθέσω στη συνέχεια, θεωρώ ότι το σύνθετο ζήτημα που μας απασχολεί πρέπει να λυθεί με τον συνδυασμό των ειδικών σκοπών της οδηγίας με τις αρχές που διέπουν τη λειτουργία των διοικητικών αρχών ελέγχου.

50.      Πίσω από το ζήτημα που τίθεται με το εν λόγω προδικαστικό ερώτημα βρίσκεται ένα σημαντικό ζήτημα ουσίας, το κατά πόσον μπορεί να γίνει δεκτό ότι η οδηγία επηρεάζει ή καταργεί τον κανόνα ότι οι διοικητικές αρχές ενός κράτους μέλους ενεργούν κατ’ αρχήν σύμφωνα με το εθνικό τους δίκαιο, το οποίο και εφαρμόζουν. Ειδικότερα, σε σχέση με την αρμοδιότητα των δημόσιων αρχών και, επομένως, με την άσκηση των εξουσιών δημοσίου δικαίου, και ιδίως του ius puniendi, επιβάλλεται να αναχθούμε στις υποχρεώσεις που απορρέουν από την εδαφική κυριαρχία του κράτους (30), από την αρχή της νομιμότητας και, εν τέλει, από την έννοια του κράτους δικαίου (31), οι οποίες επιβάλλουν την ανάγκη να συνάδει η αρμοδιότητα της αρχής ελέγχου με το εφαρμοστέο δίκαιο (32). Υπ’ αυτή την έννοια, η εξουσία επιβολής κυρώσεων —η οποία μας απασχολεί συγκεκριμένα στην κρινόμενη υπόθεση— δεν μπορεί κατ’ αρχήν να ασκείται εκτός των νόμιμων ορίων εντός των οποίων μια διοικητική αρχή επιτρέπεται να ενεργεί σύμφωνα με το εθνικό της δίκαιο (33). Η διάσπαση του κανόνα αυτού φαίνεται να απαιτεί, αν μη τι άλλο, ειδική νομική βάση, η οποία να επιτρέπει και να καθορίζει την εφαρμογή του δημοσίου δικαίου άλλου κράτους μέλους —παρέχοντας, επιπλέον, με ακρίβεια και σαφήνεια τη δυνατότητα στα υποκείμενα δικαίου να προβλέπουν σε ποιο δίκαιο υπόκεινται—, καθώς επίσης και τις συνέπειες μιας τέτοιας εφαρμογής (34).

51.      Λαμβανομένων υπόψη των ανωτέρω, δεν θεωρώ ότι το άρθρο 28, παράγραφος 6, πρώτη περίοδος, το οποίο ορίζει επί λέξει ότι «[κ]άθε αρχή ελέγχου είναι αρμόδια, ανεξάρτητα από την εθνική νομοθεσία που εφαρμόζεται στη συγκεκριμένη επεξεργασία, για την άσκηση, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, των εξουσιών που διαθέτει σύμφωνα με την παράγραφο 3 του [εν λόγω] άρθρου», αρκεί για να οδηγήσει σε μια τόσο σημαντική συνέπεια (35). Πράγματι, η διάταξη αυτή δεν παρέχει καμιά διευκρίνιση σε σχέση με το πεδίο εφαρμογής, την έκταση και τις εγγυήσεις που θα καθιστούσαν δυνατή την εφαρμογή εκ μέρους των διοικητικών αρχών ενός κράτους μέλους των διατάξεων άλλου κράτους μέλους —και μάλιστα των διατάξεων εκείνων που προβλέπουν κυρώσεις.

52.      Το άρθρο 28, παράγραφος 1, της οδηγίας επίσης δεν αποτελεί, κατά την άποψή μου, επαρκή νομική βάση προς τούτο, για τον λόγο και μόνον, τον οποίο επισημαίνουν η Ουγγρική Κυβέρνηση και η ουγγρική αρχή προστασίας δεδομένων, ότι η διάταξη αυτή χρησιμοποιεί πληθυντικό αριθμό όταν ορίζει ότι «[κ]άθε κράτος μέλος προβλέπει ότι μία ή περισσότερες δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής, στο έδαφός του, των εθνικών διατάξεων που έχουν θεσπισθεί από τα κράτη μέλη, κατ’ εφαρμογή της [εν λόγω] οδηγίας» (36).

53.      Παρά ταύτα, οι εν λόγω διατάξεις υπαινίσσονται το ενδεχόμενο αποσυνδέσεως της αρμόδιας αρχής από το εφαρμοστέο δίκαιο. Σε κάθε περίπτωση, δέχονται τη δυνατότητα της αρχής ενός κράτους μέλους να εποπτεύει τις δραστηριότητες που ασκούνται στο έδαφος του κράτους αυτού, έστω και αν είναι εφαρμοστέα η νομοθεσία άλλου κράτους μέλους.

54.      Στο σημείο αυτό, θεωρώ ότι είναι δυνατή η ερμηνεία του άρθρου 28, παράγραφοι 1, 3 και 6, σύμφωνα με τις βασικές αρχές που διέπουν την άσκηση της διοικητικής εξουσίας επιβολής κυρώσεων. Κάτι τέτοιο διευκολύνεται από την ερμηνεία του άρθρου 28, παράγραφος 6, πρώτο εδάφιο, πρώτη περίοδος, σε συνδυασμό με τη δεύτερη περίοδο του ίδιου εδαφίου —η οποία δέχεται ότι η αρχή που ασκεί τις εξουσίες στο έδαφος του δικού της κράτους μέλους «μπορεί να κληθεί να ασκήσει τις εξουσίες της από αρχή άλλου κράτους μέλους»—, και με το δεύτερο εδάφιο της ίδιας διατάξεως —το οποίο προβλέπει ότι «οι αρχές ελέγχου διατηρούν μεταξύ τους την αναγκαία συνεργασία για την εκπλήρωση της αποστολής τους […]».

55.      Υπ’ αυτή την έννοια, η δυνατότητα που παρέχει το άρθρο 28, παράγραφος 6, στις αρχές ελέγχου να ενεργούν ακόμη και όταν δεν είναι εφαρμοστέο το δίκαιο του κράτους μέλους τους πρέπει να αποτελέσει αντικείμενο συστημικής ερμηνείας, η οποία να λαμβάνει υπόψη τόσο την ύπαρξη σαφούς εντολής συνεργασίας μεταξύ διοικητικών αρχών όσο και το γεγονός ότι μια αρχή μπορεί να κληθεί από άλλη να ασκήσει τις εξουσίες της. Μάλιστα, μια συνολική εκτίμηση της διατάξεως αυτής υποδεικνύει την κατανομή εργασιών μεταξύ των διαφόρων αρχών ελέγχου, σε ένα πλαίσιο συνεργασίας και αλληλοβοήθειας.

56.      Το γεγονός ότι η εφαρμοστέα νομοθεσία είναι εκείνη ενός κράτους μέλους δεν στερεί από τις αρχές ελέγχου άλλων κρατών μελών τη δυνατότητα να ενεργήσουν, ιδίως αν ληφθεί υπόψη ότι, σε ορισμένες περιπτώσεις, παρά το γεγονός ότι είναι εφαρμοστέο το δίκαιο άλλου κράτους μέλους, σύμφωνα με το κριτήριο του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας, ενδέχεται να υπάρχουν πολλά άλλα στοιχεία συνδέσεως με το συγκεκριμένο κράτος μέλος —όπως τα τεχνικά μέσα ή, ιδίως, οι θιγόμενοι από την επεξεργασία δεδομένων. Όλα αυτά καθιστούν αναγκαία, για τους σκοπούς της πραγματικής εφαρμογής της οδηγίας, τη δυνατότητα της τοπικής αρχής να ερευνά και να λαμβάνει ορισμένα μέτρα, ακόμη και πριν προσδιοριστεί το εφαρμοστέο δίκαιο.

57.      Πιο συγκεκριμένα, μια αρχή ελέγχου η οποία καλείται να ενεργήσει μετά από ατομική καταγγελία ή αίτηση προς αυτήν, πρέπει να μπορεί να ασκεί τις δυνατότητες ελέγχου στο έδαφός της. Η δυνατότητα αυτή απορρέει αδιαμφισβήτητα από το άρθρο 28, παράγραφος 4, της οδηγίας, το οποίο εισάγει την υποχρέωση των αρχών να επιλαμβάνονται των αιτήσεων οποιουδήποτε προσώπου σε σχέση με την προστασία των δικαιωμάτων και των ελευθεριών του έναντι της επεξεργασίας προσωπικών δεδομένων. Συγχρόνως, η εκτίμηση αυτή συνάδει με τις διατάξεις της Συμβάσεως 108 του Συμβουλίου της Ευρώπης του 1981 για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα (37), το άρθρο 14 της οποίας προβλέπει ότι, αν ένα πρόσωπο κατοικεί σε άλλο συμβαλλόμενο κράτος, «πρέπει να έχει τη δυνατότητα να υποβάλει την αίτησή του μέσω της αρχής που έχει ορίσει το κράτος αυτό».

58.      Η αντιμετώπιση αυτή μπορεί να δώσει ικανοποιητική απάντηση στην ανησυχία που εξέφρασε η Ουγγρική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση σχετικά με το ότι η μη αναγνώριση αρμοδιότητας στην ουγγρική αρχή προστασίας δεδομένων διακυβεύει την αποτελεσματικότητα των μέσων που προβλέπει η οδηγία, αν οι ενδιαφερόμενοι είναι υποχρεωμένοι να απευθυνθούν σε αλλοδαπές αρχές σε γλώσσα την οποία δεν γνωρίζουν.

59.      Εν τέλει, οι αρχές ελέγχου, ανεξαρτήτως του εκάστοτε εφαρμοστέου ουσιαστικού δικαίου, έχουν τις αρμοδιότητες έρευνας και παρεμβάσεως που προβλέπονται από την παράγραφο 3 του άρθρου 28 της οδηγίας, εφαρμοζομένου, όμως, αποκλειστικά του εθνικού τους δικαίου, όσον αφορά την άσκηση αρμοδιοτήτων στο έδαφός τους (38), και τηρουμένων των αρχών που αναφέρθηκαν στο σημείο 50 των παρουσών προτάσεων.

60.      Καθίσταται, έτσι, πρόδηλο ότι η δυνατότητα που έχει η αρχή ελέγχου ενός κράτους μέλους να ενεργήσει όταν είναι εφαρμοστέο το ουσιαστικό δίκαιο άλλου κράτους μέλους δεν είναι απεριόριστη. Στο σημείο αυτό επισημαίνεται ότι εξακολουθεί να ισχύει η αρχή σύμφωνα με την οποίαν, κατά την άσκηση των αρμοδιοτήτων της, η αρχή ελέγχου δεσμεύεται από τα όρια που της επιβάλλει η ιδιότητά της ως υποκειμένου δημοσίου δικαίου το οποίο διέπεται από τον νόμο του κράτους μέλους του και μπορεί να ασκήσει τις αρμοδιότητές της αποκλειστικά στο έδαφος του κράτους μέλους αυτού. Ειδικότερα, η ενδεχόμενη αναγνώριση της παρανομίας και η επίσης ενδεχόμενη επιβολή κυρώσεων λόγω των παραβάσεων που απορρέουν από την παράνομη επεξεργασία των δεδομένων απόκεινται, κατ’ ανάγκην, στην αρχή του κράτους μέλους του οποίου το ουσιαστικό δίκαιο είναι εφαρμοστέο επί της επεξεργασίας δεδομένων, σύμφωνα με το κριτήριο του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας.

61.      Ως εκ τούτου, μολονότι τίποτε δεν μας εμποδίζει να θεωρήσουμε την εξουσία επιβολής κυρώσεων ως μια από τις εξουσίες στις οποίες αναφέρεται το άρθρο 28, παράγραφος 3, της οδηγίας (του οποίου το τρίτο σημείο αναφέρεται στην «εξουσία [της αρχής ελέγχου] να παρίσταται ενώπιον δικαστηρίου σε περίπτωση παράβασης»), προκειμένου να τηρείται η υποχρέωση συνεργασίας του άρθρου 28, παράγραφος 6, της οδηγίας, πρέπει να ζητείται από την αρχή του κράτους μέλους του οποίου το δίκαιο έχει εφαρμογή επί της επεξεργασίας των δεδομένων να διαπιστώσει την ενδεχόμενη παράβαση σύμφωνα με το εφαρμοστέο δίκαιο, καθώς και να επιβάλει ενδεχομένως κυρώσεις, βάσει των πληροφοριών που συνελέγησαν και ενδεχομένως διαβιβάστηκαν από την αρχή του πρώτου κράτους μέλους.

62.      Η ερμηνεία αυτή δεν είναι αντίθετη προς την άποψη που εκφράστηκε σε διάφορα έγγραφα από την ομάδα του άρθρου 29. Κατ’ αρχάς, όπως επισημαίνει στη γνώμη της 8/2010, για το εφαρμοστέο δίκαιο, σκοπός του άρθρου 28, παράγραφος 6, είναι ακριβώς «η γεφύρωση του πιθανού χάσματος μεταξύ του εφαρμοστέου δικαίου και της δικαιοδοσίας ελέγχου, που μπορεί να προκύψει στον τομέα της προστασίας δεδομένων εντός της εσωτερικής αγοράς» (39). Για τον λόγο αυτόν, μολονότι η εν λόγω γνώμη αναφέρει ρητώς ότι «[…] όταν εφαρμόζεται το δίκαιο προστασίας δεδομένων άλλου κράτους μέλους, η αρχή ελέγχου θα είναι σε θέση να ασκήσει πλήρως στο έδαφός της όλες τις εξουσίες που διαθέτει σύμφωνα με το εθνικό της νομικό σύστημα», διατυπώνει, ωστόσο, και σοβαρές αμφιβολίες σε σχέση με την έκταση των αρμοδιοτήτων των αρχών ελέγχου στον τομέα αυτόν (40). Πράγματι, κατόπιν των τελευταίων σκέψεων της ομάδας του άρθρου 29, μετά από αίτημα της Επιτροπής, η εν λόγω ομάδα συγκεκριμενοποίησε τη θέση της σε σχέση με το ζήτημα της αποσυνδέσεως του εφαρμοστέου δικαίου και της αρμοδιότητας στην έκθεση για την πρακτική εφαρμογή του άρθρου 28, παράγραφος 6 (41). Σε μια πρακτική περίπτωση αποσυνδέσεως των δύο αυτών παραγόντων, η ομάδα καταλήγει στο συμπέρασμα ότι η αρχή θα πρέπει να εφαρμόσει τις διαδικαστικές και διοικητικές διατάξεις του δικού της νομικού συστήματος, ενώ οι ουσιαστικές πτυχές της προστασίας δεδομένων απόκεινται στο κράτος μέλος του οποίου το δίκαιο είναι εφαρμοστέο (42).

63.      Η ως άνω συλλογιστική εντάσσεται σε ένα ιδιαίτερο νομικό πλαίσιο στο οποίο το εργαλείο παρεμβάσεως του δικαίου της Ένωσης είναι μια οδηγία, γεγονός το οποίο επέτρεψε στις νομοθεσίες των κρατών μελών να διατηρήσουν σημαντική ευελιξία αποκλειστικά όσον αφορά τη ρύθμιση και τις δυνατότητες επιβολής κυρώσεων από τις αρχές ελέγχου (43). Έτσι, είναι δύσκολα συμβατό με τις απαιτήσεις της εδαφικής κυριαρχίας και της νομιμότητας, χωρίς την ύπαρξη μιας σαφούς νομικής βάσεως και εγγυήσεων που να εξασφαλίζουν τη στενή συνεργασία κατά την ερμηνεία των παραβάσεων και την αντιστοιχία των κυρώσεων (44), το ενδεχόμενο να οδηγήσει η αποσύνδεση της αρμόδιας αρχής από το εφαρμοστέο δίκαιο, είτε πρόκειται για την επιβολή κυρώσεων σύμφωνα με το δίκαιο του κράτους της τοπικής αρχής ελέγχου —οι οποίες δεν προβλέπονται ενδεχομένως από την έννομη τάξη του κράτους του οποίου η νομοθεσία είναι εφαρμοστέα στην επεξεργασία δεδομένων— είτε πρόκειται για την εφαρμογή από μια τοπική αρχή της νομοθεσίας περί κυρώσεων άλλου κράτους.

64.      Τέλος, στο ίδιο συμπέρασμα οδηγεί η κατ’ αναλογίαν επίκληση της αποφάσεως του Δικαστηρίου στην υπόθεση UPC DTH (45) εκ μέρους της Ουγγρικής Κυβερνήσεως και της ουγγρικής αρχής προστασίας δεδομένων, προκειμένου να δικαιολογηθεί η αρμοδιότητα της τελευταίας για την επιβολή κυρώσεων στην περίπτωση που μας απασχολεί. Στην απόφαση εκείνη, η οποία αφορούσε την ερμηνεία συγκεκριμένων κειμένων του ρυθμιστικού πλαισίου των ηλεκτρονικών επικοινωνιών (46), το Δικαστήριο είχε κρίνει ότι «οι διαδικασίες επιτηρήσεως σχετικά με τις υπηρεσίες ηλεκτρονικών επικοινωνιών […] εμπίπτουν στις αρμοδιότητες των αρχών του κράτους μέλους στο οποίο διαμένουν οι αποδέκτες των εν λόγω υπηρεσιών» (47).

65.      Προς αντίκρουση αυτού του επιχειρήματος, αρκεί η επισήμανση ότι, πέραν του ότι η εν λόγω ερμηνεία αναφερόταν σε περίπτωση ελεύθερης παροχής υπηρεσιών και εντασσόταν σε ένα νομικό πλαίσιο του οποίου οι σκοποί και η δομή διαφέρουν σημαντικά από εκείνα του πλαισίου που μας απασχολεί στην παρούσα υπόθεση, οι σκέψεις αυτές διατυπώθηκαν σε μια υπόθεση στην οποία δεν αμφισβητούνταν το εφαρμοστέο δίκαιο (48).

66.      Για όλους αυτούς τους λόγους, στο παρόν στάδιο εξελίξεως του δικαίου της Ένωσης, φρονώ ότι στο έβδομο προδικαστικό ερώτημα του Kúria πρέπει να δοθεί η εξής απάντηση:

Σε περίπτωση που το εθνικό δικαστήριο κρίνει ότι δεν είναι εφαρμοστέο το εθνικό του δίκαιο, σύμφωνα με το κριτήριο του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το άρθρο 28, παράγραφος 6, της οδηγίας αυτής έχει την έννοια ότι η επιβολή κυρώσεων για τις παραβάσεις που συνδέονται με την επεξεργασία των δεδομένων απόκειται στην αρχή ελέγχου του κράτους μέλους του οποίου το δίκαιο είναι εφαρμοστέο, ανεξαρτήτως του ποια τοπική αρχή ελέγχου μπορεί να ασκήσει το σύνολο των εξουσιών που απαριθμούνται στο άρθρο 28, παράγραφος 3, στο έδαφός της και σύμφωνα με τους όρους που προβλέπονται από το εθνικό της δίκαιο.

 Γ —      Επί της έννοιας της «επεξεργασίας» δεδομένων (όγδοο προδικαστικό ερώτημα)

67.      Με το όγδοο προδικαστικό του ερώτημα, το αιτούν δικαστήριο ερωτά το Δικαστήριο τα εξής: «Μπορεί να γίνει δεκτό ότι ο όρος «adatfeldolgozás» [επεξεργασία δεδομένων] ο οποίος χρησιμοποιείται τόσο στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, όσο και στο άρθρο 28, παράγραφος 6, της [ουγγρικής αποδόσεως της] οδηγίας για την προστασία των δεδομένων είναι ταυτόσημος με τον όρο «adatkezelés», ο οποίος χρησιμοποιείται στην εν λόγω οδηγία;»

68.      Όλες οι παρατηρήσεις που υποβλήθηκαν ενώπιον του Δικαστηρίου δέχονται ότι δεν ασκεί επιρροή στην υπόθεση η αναφερόμενη στην απόφαση περί παραπομπής διαφορά όρων.

69.      Η οδηγία 95/46 χρησιμοποιεί συστηματικά στις διατάξεις της αποκλειστικά τον όρο «[adat]feldolgozás», όταν αναφέρεται στην έννοια της επεξεργασίας δεδομένων, όπως αυτή ορίζεται από το άρθρο 2, στοιχείο βʹ, της οδηγίας. Μόνον ο νόμος για τις πληροφορίες διακρίνει μεταξύ των εννοιών της «adatkezelés» και της «adatfeldolgozás» (49), ορίζοντας την τελευταία ως «άσκηση τεχνικών καθηκόντων σε σχέση με τις εργασίες επεξεργασίας δεδομένων […]» (50).

70.      Βεβαίως, ο ορισμός της έννοιας του «[adat]feldolgozás», ο οποίος περιέχεται στο άρθρο 2, στοιχείο βʹ, της οδηγίας και χρησιμοποιείται τόσο στο άρθρο 4, παράγραφος 1, στοιχείο αʹ, όσο και στο άρθρο 28, παράγραφος 6, είναι ευρύτατος και περιλαμβάνει οποιαδήποτε εργασία επί προσωπικών στοιχείων, ανεξαρτήτως του αν πραγματοποιείται μέσω αυτοματοποιημένων διαδικασιών. Έτσι, αυτή η υπό ευρεία έννοια επεξεργασία περιλαμβάνει την πιο περιορισμένη έννοια της ασκήσεως τεχνικών καθηκόντων σε σχέση με τις εργασίες επεξεργασίας δεδομένων.

71.      Για τον λόγο αυτόν, προτείνω στο Δικαστήριο να απαντήσει στο όγδοο προδικαστικό ερώτημα ως εξής:

Ο όρος «adatfeldolgozás», όπως χρησιμοποιείται από τα άρθρα 4, παράγραφος 1, στοιχείο αʹ, και 28, παράγραφος 6, της ουγγρικής αποδόσεως της οδηγίας 95/46, πρέπει να ερμηνευθεί υπό την έννοια ότι περιλαμβάνει τόσο την υπό ευρεία έννοια επεξεργασία δεδομένων όσο και την άσκηση τεχνικών καθηκόντων σε σχέση με τις εργασίες επεξεργασίας δεδομένων.

V –    Πρόταση

72.      Κατόπιν των ανωτέρω, προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα του Kúria ως εξής:

«1)      Το άρθρο 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46 δεν επιτρέπει στην ουγγρική αρχή προστασίας δεδομένων να εφαρμόσει τον ουγγρικό νόμο στην περίπτωση υπευθύνου επεξεργασίας δεδομένων ο οποίος είναι εγκατεστημένος αποκλειστικά σε άλλο κράτος μέλος. Προς τον σκοπό αυτόν, ως εγκατάσταση πρέπει να νοείται η ύπαρξη μιας μόνιμης εγκαταστάσεως, ανεξαρτήτως νομικής μορφής, μέσω της οποίας ασκείται κατά τρόπο πραγματικό μια δραστηριότητα. Ένας και μόνον εκπρόσωπος μπορεί να θεωρηθεί ως μόνιμη εγκατάσταση αν παρουσιάζει επαρκή βαθμό μονιμότητας καθόσον διαθέτει τους ανθρώπινους και τεχνικούς πόρους που είναι αναγκαίοι για την παροχή των συγκεκριμένων υπηρεσιών για τις οποίες πρόκειται.

Άλλα στοιχεία, όπως ο τόπος από τον οποίον μεταφορτώθηκαν τα δεδομένα, η εθνικότητα των θιγομένων, ο τόπος κατοικίας των ιδιοκτητών της υπεύθυνης για την επεξεργασία εταιρίας ή το γεγονός ότι η υπηρεσία που παρέχεται από τον εν λόγω υπεύθυνο απευθύνεται σε άλλο κράτος μέλος δεν ασκούν συναφώς άμεση και αποφασιστική επιρροή για τον προσδιορισμό του εφαρμοστέου δικαίου, ανεξαρτήτως του αν συνιστούν ενδεχομένως ενδείξεις του πραγματικού χαρακτήρα της δραστηριότητας, προκειμένου να διαπιστωθεί ο τόπος εγκαταστάσεως και, ειδικότερα, το αν η επεξεργασία δεδομένων πραγματοποιήθηκε στο πλαίσιο των δραστηριοτήτων της εν λόγω εγκαταστάσεως.

2)      Σε περίπτωση που το εθνικό δικαστήριο κρίνει ότι δεν είναι εφαρμοστέο το εθνικό του δίκαιο, σύμφωνα με το κριτήριο του άρθρου 4, παράγραφος 1, στοιχείο αʹ, της οδηγίας 95/46, το άρθρο 28, παράγραφος 6, της εν λόγω οδηγίας έχει την έννοια ότι η επιβολή κυρώσεων για τις παραβάσεις που συνδέονται με την επεξεργασία των δεδομένων απόκειται στην αρχή ελέγχου του κράτους μέλους του οποίου το δίκαιο είναι εφαρμοστέο, ανεξαρτήτως του ποια τοπική αρχή ελέγχου μπορεί να ασκήσει το σύνολο των εξουσιών που απαριθμούνται στο άρθρο 28, παράγραφος 3, στο έδαφός της και σύμφωνα με τους όρους που προβλέπονται από το εθνικό της δίκαιο.

3)      Ο όρος «adatfeldolgozás», όπως χρησιμοποιείται από τα άρθρα 4, παράγραφος 1, στοιχείο αʹ, και 28, παράγραφος 6, της ουγγρικής αποδόσεως της οδηγίας 95/46, πρέπει να ερμηνευθεί υπό την έννοια ότι περιλαμβάνει τόσο την υπό ευρεία έννοια επεξεργασία δεδομένων όσο και την άσκηση τεχνικών καθηκόντων σε σχέση με τις εργασίες επεξεργασίας δεδομένων.


1 —      Γλώσσα του πρωτοτύπου: η ισπανική.


2 —      Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995 (ΕΕ L 281, σ. 31).


3 —      C‑131/12, EU:C:2014:317.


4 —      Βλ., αντί άλλων, Rigaux, F. «La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel», Revue critique de droit international privé, 1980, σ. 443 έως 478.


5—      Bygrave, L., «Determining applicable law pursuant to European Data Protection Legislation», Computer Law and Security Report, αριθ. 16, 2000, σ. 252.


6 —      Υπάρχει ένα μικρό σφάλμα στην ισπανική μετάφραση της διατάξεως αυτής, καθώς το ρήμα εμφανίζεται στον ενικό αριθμό. Αυτό φαίνεται να επιβεβαιώνεται από την απόδοση του κειμένου σε άλλες γλώσσες: «each Member State shall apply the national provisions it adopts pursuant to this Directive (…)», «chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive», κ.λπ.


7 —      C‑131/12, EU:C:2014:317.


8 —      C‑131/12, EU:C:2014:317, σκέψεις 48 έως 50.


9 —      Βλ. τις αποφάσεις Factortame κ.λπ. (C‑221/89, EU:C:1991:320, σκέψη 20), καθώς και Επιτροπή κατά Ηνωμένου Βασιλείου (C‑246/89, EU:C:1991:375, σκέψη 21).


10 —      Απόφαση Cadbury Schweppes και Cadbury Schweppes Overseas (C‑196/04, EU:C:2006:544, σκέψη 54).


11 —      Γνώμη για το εφαρμοστέο δίκαιο, εκδοθείσα στις 16 Δεκεμβρίου 2010, 0836‑02/10/ES, WP 179.


12 —      Πράγματι, η εν λόγω Γνώμη αναφέρεται στις αποφάσεις Berkholz (168/84, EU:C:1985:299, σκέψη 18), και Lease Plan (C‑390/96, EU:C:1998:206), οι οποίες αφορούσαν την ερμηνεία του άρθρου 9, παράγραφος 1, της οδηγίας 77/388/ΕΟΚ του Συμβουλίου, της 17ης Μαΐου 1977, περί εναρμονίσεως των νομοθεσιών των κρατών μελών, των σχετικών με τους φόρους κύκλου εργασιών — Κοινό σύστημα φόρου προστιθεμένης αξίας: ομοιόμορφη φορολογική βάση (ΕΕ L 145, σ. 1, EE ειδ. έκδ. 09/001, σ. 49).


13 —      Απόφαση Welmory (C‑605/12, EU:C:2014:2298, σκέψη 58), σε συνδυασμό με την ερμηνεία του άρθρου 44 της οδηγίας 2006/112/ΕΚ του Συμβουλίου, της 28ης Νοεμβρίου 2006, σχετικά με το κοινό σύστημα φόρου προστιθέμενης αξίας (ΕΕ L 347, σ. 1), όπως τροποποιήθηκε από την οδηγία 2008/8/ΕΚ του Συμβουλίου, της 12ης Φεβρουαρίου 2008 (ΕΕ L 44, σ. 11). Βλ. ομοίως απόφαση Planzer Luxembourg (C‑73/06, EU:C:2007:397, σκέψη 54 και εκεί παρατιθέμενη νομολογία).


14 —      Σύμβαση για το εφαρμοστέο δίκαιο στις συμβατικές ενοχές, η οποία άνοιξε προς υπογραφή στις 19 Ιουνίου 1980 (ΕΕ 1984, L 146, σ. 7).


15 —      Σύμβαση των Βρυξελλών, της 27ης Σεπτεμβρίου 1968, για τη διεθνή δικαιοδοσία, την αναγνώριση και την εκτέλεση αποφάσεων σε αστικές και εμπορικές υποθέσεις (ΕΕ 1972, L 299, σ. 32, κωδικοποιημένο κείμενο στο ΕΕ 1998, C 27, σ. 1).


16 —      Το Δικαστήριο επισημαίνει ότι «η έννοια του υποκαταστήματος, του πρακτορείου ή κάθε άλλης εγκαταστάσεως προϋποθέτει ένα κέντρο επιχειρηματικής δραστηριότητας που εκδηλώνεται με διαρκή τρόπο προς τα έξω ως προέκταση μητρικής επιχειρήσεως, έχει διεύθυνση και είναι ειδικά εξοπλισμένο ώστε να μπορεί να διαχειρίζεται υποθέσεις με τρίτους […]» (αποφάσεις Somafer, 33/78, EU:C:1978:205, σκέψη 12, και Blanckaert & Willems, 139/80, EU:C:1981:70, σκέψη 11) και επιμένει ότι «[…] ο όρος “εγκατάσταση” αφορά κάθε μόνιμη επιχειρηματική δομή. Κατά συνέπεια, όχι μόνον οι θυγατρικές και τα υποκαταστήματα αλλά και άλλες μονάδες, όπως τα γραφεία μιας επιχειρήσεως, μπορούν να συνιστούν εγκαταστάσεις υπό την έννοια του άρθρου 6, παράγραφος 2, στοιχείο βʹ, της Συμβάσεως της Ρώμης, ακόμη και αν στερούνται νομικής προσωπικότητας» (απόφαση Voogsgeerd, C‑384/10, EU:C:2011:842, σκέψη 54).


17 —      Γνώμη 8/2010, σ. 14.


18 —      C‑131/12, EU:C:2013:424, σημείο 65.


19 —      Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά (ΕΕ L 178, σ. 1).


20 —      Βλ. το έγγραφο εργασίας σχετικά με τη διεθνή εφαρμογή του δικαίου της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο Διαδίκτυο από ιστοχώρους με έδρα εκτός της ΕΕ, WP 56, 5035/01/EL/τελικό, της 30ής Μαΐου 2002, σ. 8.


21 —      Οι παρατηρήσεις που υποβλήθηκαν στο Δικαστήριο διίστανται όσον αφορά την εκτίμηση των παραγόντων αυτών. Ενώ η ουγγρική αρχή προστασίας δεδομένων θεωρεί ότι τα στοιχεία αυτά ασκούν επιρροή, το Ηνωμένο Βασίλειο θεωρεί ότι κανένας από τους προβαλλόμενους παράγοντες δεν ασκεί επιρροή, δεδομένου ότι το άρθρο 4, παράγραφος 1, της οδηγίας δεν αναφέρει κανέναν από αυτούς. Προς την ίδια άποψη αυτή συντάχθηκε και η Ευρωπαϊκή Επιτροπή. Κατά την Ουγγρική Κυβέρνηση, επιρροή ασκούν μόνον το γεγονός ότι οι υπηρεσίες απευθύνονται σε άλλο κράτος μέλος και ο τόπος στον οποίον μεταφορτώθηκαν τα δεδομένα στο ηλεκτρονικό σύστημα. Η Σλοβακική Κυβέρνηση θεωρεί ότι δεν ασκούν επιρροή για τον καθορισμό του εφαρμοστέου εθνικού δικαίου ούτε ο τόπος στον οποίον κοινοποιούνται τα δεδομένα ούτε η εθνικότητα των θιγομένων ούτε η κατοικία των ιδιοκτητών της εταιρίας.


22 —      Στο ίδιο πνεύμα τοποθετείται και η ομάδα του άρθρου 29, η οποία επισημαίνει ότι «ούτε η ιθαγένεια ή ο τόπος συνήθους διαμονής των προσώπων στα οποία αναφέρονται τα δεδομένα, ούτε ο φυσικός τόπος των δεδομένων προσωπικού χαρακτήρα, έχουν καθοριστική σημασία [για τον σκοπό του καθορισμού του εφαρμοστέου δικαίου]». Γνώμη 8/2010, σ. 10. Βλ. επίσης τα σημεία 55 έως 58 των προτάσεων του γενικού εισαγγελέα Ν. Jääskinen στην υπόθεση Google Spain και Google (C‑131/12, EU:C:2013:424).


23 —      C‑131/12, EU:C:2014:317, σκέψεις 48 έως 50.


24 —      Όπ.π., σκέψη 52.


25 —      Όπ.π., σκέψη 53.


26 —      Βλ. επίσης, επί του συγκεκριμένου σημείου, τη γνώμη 8/2010 της ομάδας του άρθρου 29.


27 —      Γνώμη 1/2008 σχετικά με τα θέματα προστασίας δεδομένων σε σχέση με τις μηχανές αναζήτησης, η οποία εκδόθηκε στις 4 Απριλίου 2008, WP 148, 00737/EL.


28 —      Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, COM(2012) 11 τελικό.


29 —      Κατά τα λοιπά, η θεωρία ερίζει ως προς το σημείο αυτό. Ορισμένοι συγγραφείς εκλαμβάνουν το άρθρο 4 της οδηγίας ως διάταξη που καθορίζει και τη δικαιοδοσία (για παράδειγμα, Bing, J., «Data Protection, Jurisdiction and the Choice of Law», Privacy Law & Policy Reporter, 1999), ενώ άλλοι υποστηρίζουν το αντίθετο. Βλ., για παράδειγμα, Swire, P. P., «Of Elephants, Mice and Privacy: International Choice of Law and the Internet», The International Lawyer, 1998, σ. 991. Ομοίως, σε σχέση με τη συζήτηση αυτή, Kuner, C., «Data Protection Law and International Jurisdiction on the Internet (Part 1)», International Journal of Law and Information Technology, αριθ. 18, 2010, σ. 176.


30 —      Η αιτιολογική σκέψη 21 της οδηγίας αναφέρει ρητώς ότι η οδηγία «δεν θίγει τους κανόνες της εδαφικότητας που ισχύουν στον τομέα του ποινικού δικαίου». Θεωρώ ότι το ίδιο μπορεί να εφαρμοστεί και στις διοικητικές κυρώσεις.


31 —      Ο βασικός πυρήνας του οποίου ορίζεται υπό την έννοια ότι όλες οι δημόσιες αρχές, σε όλα τα επίπεδα, «must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers», Lord Bingham, «The Rule of Law», The Cambridge Law Journal, αριθ. 66, 2007, σ. 78.


32 —      Η θεωρία έχει επισημάνει ότι, «ως συνέπεια του κυρίως διοικητικού ή δημοσίου δικαίου χαρακτήρα του καθεστώτος ελέγχου, υπάρχει στενή σχέση μεταξύ του εφαρμοστέου νόμου και της αρχής που είναι αρμόδια για την επιβολή κυρώσεων σε ενδεχόμενες παραβάσεις», Miguel Asensio, P. A., Derecho Privado de Internet, 4η έκδ., Μαδρίτη, 2011, σ. 333. Στο ίδιο πνεύμα τοποθετήθηκε η θεωρία σε σχέση με τις αρμοδιότητες των αρχών ελέγχου όσον αφορά την κατά τόπον αρμοδιότητα, επισημαίνοντας ότι, στο πεδίο δράσεως των δημόσιων αρχών, η δυνατότητα εφαρμογής μιας διατάξεως καθορίζει την αρμοδιότητα της αρχής που καλείται να την εφαρμόσει. Βλ. για παράδειγμα Basedow, J., «Antitrust or Competition Law, International», Wolfrum, R. (εκδ.), Max Planck Encyclopedia of Public International Law, 2009.


33 —      Ο Rigaux γράφει συναφώς: «On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori», όπ.π., σ. 469.


34 —      C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, σ. 109 και 314.


35 —      Η υπογράμμιση δική μου.


36 —      Η υπογράμμιση δική μου. Σχετικά με τη συζήτηση αυτή, βλ. Damman U. και Simitis S., EG-Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, σ. 306.


37 —      (ETS 108), στην οποία είναι συμβαλλόμενα μέρη όλα τα κράτη μέλη. Σύμφωνα με την αιτιολογική σκέψη 11 αυτής, η οδηγία διευκρινίζει και διευρύνει την προστασία που παρέχει η εν λόγω Σύμβαση.


38 —      Επί του ζητήματος αυτού, Damman U. και Simitis S., όπ.π., σ. 313.


39 —      Γνώμη 8/2010 για το εφαρμοστέο δίκαιο, σ. 31.


40 —      Ομοίως, από μια άποψη, η γνώμη 8/2010 της ομάδας του άρθρου 29 επισημαίνει ότι στο περιεχόμενο της συνεργασίας μεταξύ αρχών ελέγχου, όπως ορθώς αναφέρεται, δεν περιλαμβάνεται μόνον η ανταλλαγή πληροφοριών, αλλά και «[ο] χειρισμός διασυνοριακών καταγγελιών, [η] συγκέντρωση αποδεικτικών στοιχείων για άλλες αρχές προστασίας δεδομένων ή [η] επιβολή κυρώσεων» (σ. 33). Ωστόσο, με την εν λόγω γνώμη εκφράζονται αμφιβολίες σχετικά με το πεδίο των αρμοδιοτήτων που πρέπει να ασκούνται από κάθε αρχή προστασίας: «Ειδικότερα, το βαθμό στον οποίο η αρχή προστασίας δεδομένων του τόπου θα ασκεί τις εξουσίες της ως προς την εφαρμογή των βασικών αρχών και των κυρώσεων. Θα πρέπει να περιορίζει τη χρήση των εξουσιών της στην επαλήθευση των γεγονότων, μπορεί να λάβει προσωρινά μέτρα εκτέλεσης ή ακόμα και οριστικά μέτρα; Μπορεί να δίδει τη δική της ερμηνεία στις διατάξεις του εφαρμοστέου δικαίου ή αυτό αποτελεί προνόμιο της αρχής προστασίας δεδομένων του κράτους μέλους του οποίου εφαρμόζεται το δίκαιο; […]» (σ. 32).


41 —      Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011)444105, της 20ής Απριλίου 2011.


42 —      Όπ.π, σ. 31. Είναι πολύ διαφωτιστικό προς τον σκοπό αυτόν το παράδειγμα αριθ. 10 που παραθέτει η γνώμη, σύμφωνα με το οποίο μια υποθετική περίπτωση στην οποία σε μια επεξεργασία δεδομένων που πραγματοποιήθηκε στο Ηνωμένο Βασίλειο είναι εφαρμοστέο το γερμανικό δίκαιο, όπου αναφέρεται ότι «η αρχή προστασίας του ΗΒ πρέπει να έχει την εξουσία να επιθεωρεί τα κτίρια στο ΗΒ και να καταλήγει σε πορίσματα, τα οποία πρέπει να διαβιβάζει στη γερμανική αρχή προστασίας δεδομένων[, η] γερμανική αρχή προστασίας δεδομένων θα πρέπει να μπορεί να επιβάλλει κύρωση στον υπεύθυνο που είναι εγκατεστημένος στη Γερμανία με βάση τα πορίσματα της αρχής προστασίας δεδομένων του ΗΒ».


43 —      Όπως αναγνωρίζει η αιτιολογική σκέψη 9 της οδηγίας. Συναφώς, βλ. το έγγραφο που συνέταξε ο Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, το οποίο αναδεικνύει τις διάφορες εξουσίες των αρχών ελέγχου στα κράτη μέλη.


44 —      Υπ’ αυτή την έννοια, είναι αδιαμφισβήτητη η επιρροή και ο καινοτόμος χαρακτήρας του δικαίου της Ένωσης σε υποθέσεις προστασίας δεδομένων στον ευρωπαϊκό διοικητικό χώρο. Η πρόταση μελλοντικού γενικού κανονισμού προστασίας δεδομένων, αν υλοποιηθεί, θα έχει ως αποτέλεσμα ευρείας κλίμακας μεταρρύθμιση του τομέα αυτού, ιδίως όσον αφορά την εφαρμογή ενός σύνθετου και πολύπλοκου συστήματος συνεργασίας, συνοχής και κατανομής αρμοδιοτήτων μεταξύ των διαφόρων αρχών ελέγχου.


45 —      C‑475/12, EU:C:2014:285.


46 —      Συγκεκριμένα, της οδηγίας 2002/20/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, για την αδειοδότηση δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών (ΕΕ L 108, σ. 21), όπως τροποποιήθηκε από την οδηγία 2009/140/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009 (οδηγία για την αδειοδότηση) (ΕΕ L 337, σ. 37), και της οδηγίας 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών (ΕΕ L 108, σ. 33), όπως τροποποιήθηκε από την οδηγία 2009/140.


47 —      Απόφαση UPC DTH (C‑475/12, EU:C:2014:285, σκέψη 88).


48 —      Στην πραγματικότητα, η κύρωση που επιβλήθηκε στην υπόθεση εκείνη οφειλόταν στην άρνηση της εταιρίας να παράσχει πληροφορίες στην εθνική αρχή επικοινωνιών. Το Δικαστήριο επισήμανε ότι «δυνάμει του άρθρου 11, παράγραφος 1, στοιχείο βʹ, της οδηγίας για την αδειοδότηση, […] οι εθνικές αρχές μπορούν να ζητήσουν από τις επιχειρήσεις τις πληροφορίες που είναι ευλόγως αναγκαίες και δικαιολογούνται αντικειμενικώς για να μπορέσουν να εξακριβώσουν την τήρηση των όρων για την προστασία των καταναλωτών, όταν λαμβάνουν καταγγελία ή διεξάγουν έρευνα με δική τους πρωτοβουλία», όπ.π., σκέψη 85.


49 —      Στην οδηγία απαντά μόνον μία λέξη παράγωγη του όρου «adatkezelés», η οποία αναφέρεται στον υπεύθυνο της επεξεργασίας δεδομένων.


50 —      Άρθρο 3, παράγραφος 17, του νόμου για τις πληροφορίες. Η παράγραφος 10 του άρθρου 3 του νόμου για τις πληροφορίες παρέχει έναν ευρύ ορισμό της έννοιας του «adatkezelés», η οποία αντιστοιχεί ουσιαστικά σε εκείνη της επεξεργασίας δεδομένων, όπως ορίζεται στο άρθρο 2, στοιχείο βʹ, της οδηγίας.