Lūgums sniegt prejudiciālu nolēmumu, ko 2016. gada 14. aprīlī iesniedza Bundesverwaltungsgericht (Vācija) – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH

(lieta C-210/16)

Tiesvedības valoda – vācu

Iesniedzējtiesa

Bundesverwaltungsgericht

Pamatlietas puses

Prasītāja: Wirtschaftsakademie Schleswig-Holstein GmbH

Atbildētājs: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Persona, kas iestājusies lietā: Facebook Ireland Limited

Piedaloties: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Prejudiciālie jautājumi

1.    Vai Direktīvas 95/46/EK 1 2. panta d) punkts ir interpretējams tādējādi, ka tas galīgi un izsmeļoši reglamentē atbildību par datu aizsardzības pārkāpumiem, vai tomēr Direktīvas 95/46/EK 24. pantā paredzēto “atbilstošo pasākumu” un Direktīvas 95/46/EK 28. panta 3. punkta otrajā ievilkumā paredzēto “efektīvo iejaukšanās pilnvaru” kontekstā, izvēloties pakalpojumu sniedzēju savam informācijas piedāvājumam, informācijas sniedzēju daudzpakāpju attiecībās paliek vieta tādas institūcijas atbildībai, kas nav atbildīga par datu apstrādi Direktīvas 95/46/EK 2. panta d) punkta izpratnē?

2.    Vai no Direktīvas 95/46/EK 17. panta 2. punktā noteiktā dalībvalstu pienākuma gadījumā, ja datu apstrādi veic kāda cita interesēs, paredzēt, ka personas datu apstrādātājam “jāizvēlas datu apstrādātājs, sniedzot pietiekamas garantijas attiecībā par tehniskās drošības pasākumiem un veicamo apstrādi reglamentējošiem organizatoriskajiem pasākumiem”, a contrario izriet, ka citu lietošanas attiecību gadījumā, kas nav saistītas ar datu apstrādi kāda cita interesēs Direktīvas 95/46/EK 2. panta e) punkta izpratnē, nav pienākuma rūpīgi veikt izvēli un tādu nevar paredzēt arī saskaņā ar valsts tiesībām?

3.    Vai gadījumos, kad ārpus Eiropas Savienības teritorijas izvietotam mātesuzņēmumam dažādās dalībvalstīs ir juridiski patstāvīgi uzņēmumi (meitasuzņēmumi), attiecīgās dalībvalsts (šajā gadījumā ‒ Vācija) uzraudzības iestāde saskaņā ar Direktīvas 95/46/EK 4. pantu un 28. panta 6. punktu ir tiesīga attiecībā uz dalībvalsts teritorijā esošo uzņēmumu īstenot savas pilnvaras, kas tai piešķirtas ar Direktīvas 95/46/EK 28. panta 3. punktu, arī tad, ja šis uzņēmums ir atbildīgs tikai par reklāmas tirdzniecības veicināšanu un citiem tirgvedības pasākumiem un tā mērķauditorija ir attiecīgās dalībvalsts iedzīvotāji, bet ekskluzīvā atbildība par personu datu vākšanu un apstrādi visā Eiropas Savienības teritorijā un līdz ar to arī citā dalībvalstī (šajā gadījumā ‒ Vācija) saskaņā ar uzņēmumu grupas ietvaros veikto funkciju sadali ir citā dalībvalstī (šajā gadījumā ‒ Īrija) izvietotam patstāvīgam uzņēmumam (meitasuzņēmumam), ja faktiski lēmumu par datu apstrādi pieņem mātesuzņēmums?

4.    Vai Direktīvas 95/46/EK 4. panta 1. punkta a) apakšpunkts un 28. panta 3. punkts interpretējams tādējādi, ka gadījumos, kad personas datu apstrādātājam kādas dalībvalsts (šajā gadījumā ‒ Īrija) teritorijā pieder uzņēmums un vēl cits juridiski patstāvīgs uzņēmums darbojas citas dalībvalsts (šajā gadījumā ‒ Vācija) teritorijā, kur tā kompetence, tostarp, ir reklāmas laukumu pārdošana un darbības mērķauditorija ir attiecīgās valsts iedzīvotāji, šajā citā dalībvalstī (šajā gadījumā ‒ Vācija) kompetentā uzraudzības iestāde datu aizsardzības tiesību īstenošanas nolūkā var īstenot pasākumus un izdot rīkojumus šim citam uzņēmumam (šajā gadījumā ‒ Vācijā), kurš saskaņā ar uzņēmumu grupas ietvaros veikto funkciju un atbildības sadali nav atbildīgs par datu apstrādi, vai arī šādus pasākumus var īstenot un rīkojumus izdot tikai tās dalībvalsts (šajā gadījumā ‒ Īrija) uzraudzības iestāde, kuras teritorijā atrodas uzņēmumu grupas ietvaros atbildīgā struktūra?

5.    Vai Direktīvas 95/46/EK 4. panta 1. punkta a) apakšpunkts un 28. panta 3. un 6. punkts interpretējams tādējādi, ka gadījumos, kad kādas dalībvalsts (šajā gadījumā ‒ Vācija) uzraudzības iestāde atbilstoši Direktīvas 95/46/EK 28. panta 3. punktam vēršas pret personu vai institūciju, kas darbojas tās teritorijā, par neatbilstīgi veiktu trešās personas izvēli, kas iesaistīta datu apstrādes procesā, (šajā gadījumā ‒ Facebook), jo attiecīgā trešā persona pārkāpj datu aizsardzības tiesību normas, kontrolējošai uzraudzības iestādei (šajā gadījumā ‒ Vācija) ir saistošs tās dalībvalsts uzraudzības iestādes sniegts datu aizsardzības vērtējums, kurā atrodas par datu apstrādi atbildīgās trešās personas uzņēmums (šajā gadījumā ‒ Īrija), tādā nozīmē, ka tā nevar sniegt atšķirīgu juridisku vērtējumu, vai arī kontrolējošā uzraudzības iestāde (šajā gadījumā ‒ Vācija) var patstāvīgi veikt citā dalībvalstī (šajā gadījumā ‒ Īrija) rezidējošas trešās personas datu apstrādes likumības pārbaudi kā provizorisku jautājumu par savas darbības likumību?

6.    Ja kontroli īstenojošā uzraudzības iestāde (šajā gadījumā ‒ Vācija) var patstāvīgi veikt pārbaudi, vai Direktīvas 95/46/EK 28. panta 6. punkta otrais teikums interpretējams tādējādi, ka attiecīgā uzraudzības iestāde savas efektīvas iejaukšanās pilnvaras, kas tai piešķirtas ar Direktīvas 95/46/EK 28. panta 3. punktu, pret tās teritorijā rezidējošu personu vai institūciju par līdzatbildību par datu aizsardzības pārkāpumiem var īstenot tikai un vienīgi tad, ja tā iepriekš ir lūgusi šīs citas dalībvalsts (šajā gadījumā ‒ Īrija) uzraudzības iestādi īstenot tai piešķirtās pilnvaras?

____________

1      Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 31. lpp.)