Mål C210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

mot

Wirtschaftsakademie Schleswig-Holstein GmbH

(begäran om förhandsavgörande från Bundesverwaltungsgericht)

”Begäran om förhandsavgörande – Direktiv 95/46/EG – Personuppgifter – Skydd för enskilda personer med avseende på behandling av personuppgifter – Föreläggande att avaktivera en Facebook-sida (fanpage) som gör det möjligt att samla in och behandla vissa uppgifter rörande besökarna på nämnda sida – Artikel 2 d – Registeransvarig – Artikel 4 – Tillämplig nationell rätt – Artikel 28 – Nationella tillsynsmyndigheter – Tillsynsmyndigheternas befogenhet att ingripa”

Sammanfattning – Domstolens dom (stora avdelningen) av den 5 juni 2018

1.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Registeransvarig – Begrepp – Administratören av en fanpage som ett socialt nätverk hyser – Omfattas

(Europaparlamentets och rådets direktiv 95/46, artikel 2 d)

2.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Nationella tillsynsmyndigheter – Befogenhet – Befogenhet att undersöka, ingripa och inleda rättsliga förfaranden – Tillsynsmyndigheten i en medlemsstat ska ha rätt att utöva dessa befogenheter i förhållande till ett företag beläget i den medlemsstaten – Företaget ingår i en koncern som har anförtrott ansvaret för insamling och behandling av personuppgifter åt ett etableringsställe i en annan medlemsstat – Saknar betydelse

(Europaparlamentets och rådets direktiv 95/46, artiklarna 4 och 28)

3.        Tillnärmning av lagstiftning – Skydd för enskilda personer med avseende på behandling av personuppgifter – Direktiv 95/46 – Nationella tillsynsmyndigheter – Befogenhet – Befogenhet att ingripa – Utövande av befogenheten i förhållande till en tredje part som är ansvarig för behandlingen av personuppgifter och som är belägen i en annan medlemsstat – Behörighet att bedöma lagenligheten av behandlingen av uppgifterna och att ingripa utan att anmoda tillsynsmyndigheten i den andra medlemsstaten att ingripa

(Europaparlamentets och rådets direktiv 95/46 artiklarna 4.1 a, 28.3 och 28.6)

1.      Artikel 2 d i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ska tolkas så, att begreppet ”registeransvarig” i den mening som avses i denna bestämmelse, omfattar administratören av en fanpage som ett socialt nätverk hyser.

Enbart den omständigheten att någon använder sig av ett socialt nätverk som Facebook innebär inte att en användare blir medansvarig för detta nätverks behandling av personuppgifter. Däremot ska det påpekas att en administratör av en fanpage som Facebook hyser, genom att skapa denna sida, ger Facebook möjlighet att placera kakor i datorn eller annan utrustning hos den person som besöker nämnda fanpage, oavsett om denne har ett konto hos Facebook eller ej. Under dessa omständigheter konstaterar domstolen att administratören av en fanpage som Facebook hyser, såsom Wirtschaftsakademie, genom sin konfiguration, särskilt mot bakgrund av målgrupp och syftena med styrningen av marknadsföringen av dess verksamhet, medverkar till att fastställa ändamålen och medlen för behandlingen av personuppgifter från besökarna på nämnda fanpage. På grund av detta ska administratören betraktas som ansvarig i unionen, tillsammans med Facebook Ireland, för denna behandling, i den mening som avses i artikel 2 d i direktiv 95/46. Det faktum att en administratör för en fanpage använder den plattform som tillhandahålls av Facebook för att dra nytta av de tjänster som är knutna till denna, innebär nämligen inte att denne kan undgå sina skyldigheter i fråga om skydd av personuppgifter. Under dessa omständigheter bidrar ett gemensamt ansvar för operatören av ett socialt nätverk och administratören av en fanpage som detta nätverk hyser för behandlingen av personuppgifterna för besökarna på nämnda fanpage till att säkerställa ett mer komplett skydd av de rättigheter som besökarna på en fanpage har, i enlighet med kraven i direktiv 95/46.

(se punkterna 35, 39, 40, 42 och 44 samt punkt 1 i domslutet)

2.      Artiklarna 4 och 28 i direktiv 95/46 ska tolkas så, att när ett företag som är etablerat utanför Europeiska unionen har flera etableringsställen i olika medlemsstater, ska tillsynsmyndigheten i en medlemsstat ha rätt att utöva de befogenheter som den tilldelas genom artikel 28.3 i direktivet, i förhållande till ett av företagets etableringsställen beläget i den medlemsstaten, trots att enligt fördelningen av uppgifterna inom koncernen, detta etableringsställe endast ansvarar för försäljning av reklamplats och annan marknadsföring på den medlemsstatens territorium och ansvaret för insamling och behandling av personuppgifter inom hela Europeiska unionen uteslutande ankommer på ett etableringsställe beläget i en annan medlemsstat.

(se punkt 64 samt punkt 2 i domslutet)

3.      Artikel 4.1 a och artikel 28.3 och 28.6 i direktiv 95/46 ska tolkas så, att när tillsynsmyndigheten i en medlemsstat har för avsikt att med avseende på ett organ etablerat i denna medlemsstat utöva de befogenheter att ingripa som avses i artikel 28.3 i detta direktiv på grund av överträdelser av reglerna om skydd av personuppgifter som begåtts av en tredje part som är ansvarig för behandlingen av uppgifterna och som har sitt säte i en annan medlemsstat, ska denna myndighet vara behörig att fristående från tillsynsmyndigheten i den sistnämnda medlemsstaten bedöma lagenligheten av en sådan behandling av uppgifter, och får denna myndighet utöva sina befogenheter att ingripa mot det organ som är etablerat på dess territorium utan att dessförinnan anmoda tillsynsmyndigheten i den andra medlemsstaten att ingripa.

(se punkt 74 samt punkt 3 i domslutet)