РЕШЕНИЕ НА СЪДА (голям състав)

5 юни 2018 година ( *1 )

„Преюдициално запитване — Директива 95/46/ЕО — Лични данни — Защита на физическите лица при обработването на тези данни — Разпореждане за деактивиране на страница във Фейсбук (фен страница), позволяваща събирането и обработването на някои данни, свързани с посетителите на същата — Член 2, буква г) — Администратор на лични данни — Член 4 — Приложимо национално право — Член 28 — Национални надзорни органи — Правомощия за намеса на тези органи“

По дело C‑210/16

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesverwaltungsgericht (Федерален административен съд, Германия) с акт от 25 февруари 2016 г., постъпил в Съда на 14 април 2016 г., в рамките на производство по дело

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

срещу

Wirtschaftsakademie Schleswig-Holstein GmbH,

в присъствието на:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

СЪДЪТ (голям състав),

състоящ се от: K. Lenaerts, председател, A. Tizzano (докладчик), заместник-председател, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský и E. Levits, председатели на състави, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras и E. Regan, съдии,

генерален адвокат: Y. Bot,

секретар: С. Strömholm, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 27 юни 2017 г.,

като има предвид становищата, представени:

за Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, от U. Karpenstein и M. Kottmann, Rechtsanwälte,

за Wirtschaftsakademie Schleswig-Holstein GmbH, от C. Wolff, Rechtsanwalt,

за Facebook Ireland Ltd, от C. Eggers, H.‑G. Kamann и M. Braun, Rechtsanwälte, както и от I. Perego, avvocato,

за германското правителство, от J. Möller, в качеството на представител,

за белгийското правителство, от L. Van den Broeck, C. Pochet, P. Cottin и J.‑C. Halleux, в качеството на представители,

за чешкото правителство, от M. Smolek, J. Vláčil и L. Březinová, в качеството на представители,

за Ирландия, от M. Browne, L. Williams, E. Creedon, G. Gilmore и A. Joyce, в качеството на представители,

за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от P. Gentili, avvocato dello Stato,

за нидерландското правителство, от C. S. Schillemans и K. Bulterman, в качеството на представители,

за финландското правителство, от J. Heliskoski, в качеството на представител,

за Европейската комисия, от H. Krämer и D. Nardi, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 24 октомври 2017 г.,

постанови настоящото

Решение

1

Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).

2

Запитването е отправено в рамките на спор на Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Независим регионален орган за защита на данните на провинция Шлезвиг-Холщайн, Германия) (наричан по-нататък „ULD“) с Wirtschaftsakademie Schleswig-Holstein GmbH, частноправно дружество, специализирано в областта на образованието (наричано по-нататък „Wirtschaftsakademie“) относно законосъобразността на разпореждането на ULD до Wirtschaftsakademie да деактивира своята фен страница, хоствана на сайта на социалната мрежа Фейсбук (наричана по-нататък „Facebook“).

Правна уредба

Правото на Съюза

3

Съображения 10, 18, 19 и 26 от Директива 95/46 гласят:

„(10)

като имат предвид, че предмет на националните законодателства, отнасящи се до обработването на данни, е осигуряване спазването на основните права и свободи и по-конкретно правото на личен живот, което се признава както в член 8 на Европейската конвенция за защита на правата на човека и основните свободи, така и от общите принципи на правото на [Съюза]; като имат предвид, че поради тази причина сближаването на тези законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в [Съюза];

[…]

(18)

като имат предвид, че с оглед да се гарантира, че лицата няма да бъдат лишени от защитата, която им се полага по силата на настоящата директива, всяко обработване на лични данни в [Съюза] се извършва в съответствие със законодателството на една от държавите членки; като имат предвид, в тази връзка, че обработването, извършено под ръководството на администратор, установен в дадена държава членка, се урежда от законодателството на тази държава;

(19)

като имат предвид, че установяването на територията на държава членка предполага ефективно и действително упражняване на дейност [посредством постоянен обект]; като имат предвид, че правната форма на подобно установяване, независимо дали става дума за обикновен клон или дъщерно дружество с правосубектност, не е решаващ фактор в това отношение; като имат предвид, че когато на територията на няколко държави членки е установен един-единствен администратор, по-конкретно чрез дъщерни дружества, той трябва да гарантира, за да избегне всякакво заобикаляне на националните правила, че всеки от [обектите] изпълнява задълженията, наложени му от националното законодателство по отношение на неговата дейност;

[…]

(26)

като имат предвид, че принципите на защита трябва да се прилагат за всяка информация, отнасяща се до идентифицирано лице или подлежащо на идентификация лице; като имат предвид, че за да се определи дали едно лице подлежи на идентификация, следва да се разглежда съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице с цел идентифицирането на даденото лице; като имат предвид, че принципите на защита не се отнасят до данни, които са направени анонимни по начин, който прави невъзможно идентифицирането на съответното физическо лице; […]“.

4

Член 1 от Директива 95/46, озаглавен „Предмет на директивата“, предвижда:

„1.   В съответствие с настоящата директива държавите членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.

2.   Държавите членки не могат нито да ограничават, нито да забраняват свободното движение на лични данни между държавите членки по съображения, свързани със защитата, предоставяна съгласно параграф 1“.

5

Член 2 от тази директива, озаглавен „Определения“, има следния текст:

„По смисъла на настоящата директива:

[…]

б)

„обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, [съпоставяне] или комбиниране, блокиране, изтриване или унищожаване;

[…]

г)

„администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или [съюзни] законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на [Съюза];

д)

„обработващ лични данни“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който обработва личните данни от името на администратора;

е)

„трето лице“ означава всяко физическо или юридическо лице, държавен орган, агенция или друг орган, различни от съответното физическо лице, администратора, обработващия данните и лицата, които под прякото ръководство на администратора или обработващия данните, имат право да обработват данните;

[…]“.

6

Член 4 от посочената директива, озаглавен „Приложимо национално право“, предвижда в параграф 1:

„Всяка държава членка прилага националните разпоредби, които приема в съответствие с настоящата директива, по отношение на обработването на лични данни, когато:

а)

обработването се извършва в контекста на дейностите на [обект] на администратора на територията на държавата членка; когато същият администратор е установен на територията на няколко държави членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези [обекти] спазва задълженията, установени от националното право;

б)

администраторът не е установен на територията на държава членка, но се намира на място, в което националното право е приложимо по силата на международното публично право;

в)

администраторът не е установен на територията на [Съюза], и за целите на обработването на лични данни използва автоматизирано или друго оборудване, намиращо се на територията на дадената държава членка, освен ако оборудването се използва само за целите на транзитното преминаване през територията на [Съюза]“.

7

Член 17 от Директива 95/46, озаглавен „Надеждност на обработването“, предвижда в параграфи 1 и 2:

„1.   Държавите членки предвиждат, че администраторът трябва да прилага подходящи технически и организационни мерки за защита на личните данни срещу случайно или неправомерно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, в частност, когато обработването включва предаване на данните по мрежа, както и срещу всякакви други незаконни форми на обработка.

Като се взима под внимание съвременното ниво на развитие и разходите за осъществяването им, тези мерки гарантират такова ниво на сигурност, което съответства на рисковете, свързани с обработването и с естеството на данните, които следва да бъдат защитени.

2.   Държавите членки предвиждат, че администраторът трябва, когато обработването се извършва от негово име, да избере обработващ данните, който осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки, регулиращи обработването, което следва да се извърши[,] и да осигури спазването на тези мерки“.

8

Член 24 от тази директива, озаглавен „Санкции“, предвижда:

„Държавите членки вземат подходящи мерки, за да гарантират пълното прилагане на разпоредбите на настоящата директива и в частност определят санкциите, които се налагат в случай на нарушаване на разпоредбите, приети в съответствие с настоящата директива“.

9

Текстът на член 28 от посочената директива, озаглавен „Надзорен орган“, е следният:

„1.   Всяка държава членка предвижда, че на нейната територия един или повече държавни органи отговарят за контрола на прилагането на разпоредбите, приети от държавите членки, съгласно настоящата директива.

Тези органи се ползват с пълна независимост при упражняване на функциите, които са им възложени.

2.   Всяка държава членка предвижда, че надзорните органи се консултират при разработването на административни мерки или разпоредби, отнасящи се до защитата на правата и свободите на лицата, по отношение на обработването на лични данни.

3.   В частност, на всеки орган са предоставени:

правомощия по разследване, като право на достъп до данните, съставляващи предмет на операциите по обработка, както и право на събиране на цялата информация, необходима за изпълнението на функциите по надзора,

ефективни правомощия на намеса, като например право на предоставяне на становища, преди извършването на операции по обработка на данни съгласно член 20, и гарантиране на подходяща публичност на подобни становища; право на разпореждане на блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването, на отправяне на предупреждение или строга забележка към администратора, както и право да сезира националния парламент или други политически институции,

правомощие да води съдебни дела, когато са нарушени националните разпоредби, приети в съответствие с настоящата директива, или свеждане на тези нарушения до знанието на съдебните власти.

Решенията на надзорния орган, предмет на жалби, могат да бъдат обжалвани по съдебен ред.

[…]

6.   Независимо от националното право, приложимо към въпросната обработка, всеки надзорен орган може да упражнява на територията на своята държава членка правомощията, предоставени в съответствие с параграф 3. От всеки орган може да бъде поискано да упражни своите правомощия от страна на орган от друга държава членка.

Надзорните органи си сътрудничат, доколкото е необходимо за изпълнението на техните функции, в частност, чрез обмен на полезна информация.

[…]“.

Германското право

10

Член 3, параграф 7 от Bundesdatenschutzgesetz (Федерален закон за защита на данните) в редакцията, приложима към фактите, предмет на главното производство (наричан по-нататък „BDSG“), има следния текст:

„Под отговорна структура се разбира всяко лице или структура, която събира, обработва или използва лични данни за собствена сметка или чрез посредничеството на друго обработващо личните данни лице“.

11

Член 11 от BDSG, озаглавен „Събиране, обработване или използване на лични данни чрез посредничеството на друго обработващо личните данни лице“, гласи следното:

„(1)   Ако лични данни се събират, обработват или използват чрез посредничеството на други обработващи личните данни лица, администраторът, отговарящ за обработването, осъществявано от обработващо личните данни лице, отговаря за спазването на разпоредбите на настоящия закон и на останалите разпоредби относно защитата на данните. […]

(2)   Обработващото личните данни лице трябва да бъде щателно подбирано при отчитане специално на подходящия характер на взетите от него технически и организационни мерки. Възлагането на обработването на друго обработващо личните данни лице се прави в писмен вид, като по-специално следва подробно да се уреди: […]

Администраторът, отговарящ за обработването, осъществявано от друго обработващо личните данни лице, трябва да се уверява в спазването на техническите и организационни мерки, взети от това лице преди започване на обработването на данните, както и редовно след това. Резултатът се отразява в писмен вид.

[…]“.

12

Член 38, параграф 5 от BDSG гласи следното:

„За да се гарантира спазването на настоящия закон и на други разпоредби относно защитата на данните, надзорният орган може да разпореди мерки, целящи отстраняване на констатираните нарушения във връзка със събирането, обработването или използването на лични данни или във връзка с технически и организационни нередности. В случай на сериозни нарушения или нередности, по-специално когато те представляват конкретна опасност да бъде нарушено правото на личен живот, органът може да забрани събирането, обработването или използването на данните, както и прибягването до определени процедури, когато нарушенията или нередностите не са своевременно отстранени в нарушение на разпореждането, посочено в първото изречение, и въпреки налагането на периодична имуществена санкция. Той може да поиска отстраняване на лицето, отговарящо за защитата на данните, ако последното не притежава необходимите експертни знания и надеждност за изпълнение на задачите му“.

13

Член 12 от Telemediengesetz (Закон за електронните медии) от 26 февруари 2007 г. (BGBl. 2007 I, стр. 179, наричан по-нататък „TMG“), гласи следното:

„(1)   Доставчикът на услуги може да събира и използва лични данни с цел предоставяне на достъп до електронни медии само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, разрешава това или ако ползвателят е дал своето съгласие.

[…]

(3)   Съответните действащи разпоредби за защита на личните данни се прилагат и когато данните не се обработват автоматизирано, освен ако не е предвидено друго“.

Спорът в главното производство и преюдициалните въпроси

14

Wirtschaftsakademie предлага услуги за обучение чрез фен страница, която се хоства във Facebook.

15

Фен страниците представляват потребителски профили, които могат да бъдат конфигурирани във Facebook от частноправни субекти или от предприятия. За целта авторът на фен страницата, след като се регистрира във Facebook, може да използва поддържаната от него платформа, за да се представя на потребителите на тази социална мрежа, както и на посетителите на фен страницата, и за да прави изявления от всякакво естество на пазара на медии и мнения. Администраторите на фен страници могат да получават анонимни статистически данни за посетителите на такива страници с помощта на функция, наречена „Facebook Insight“, която им се предоставя безплатно от Facebook при условия на ползване, които не могат да бъдат променяни. Тези данни се събират с помощта на информационни файлове (наричани по-нататък „бисквитки“), всеки от които съдържа уникален код на потребителя, активен е в продължение на две години и се запазва от Facebook на твърдия диск на компютър или всякакъв друг носител на посетителите на фен страницата. Кодът на потребителя, който може да бъде комбиниран с данните за връзката на регистрираните във Facebook потребители, се събира и обработва в момента на отваряне на фен страниците. В това отношение от акта за преюдициално запитване следва, че нито Wirtschaftsakademie, нито Facebook Ireland Ltd упоменават операцията по запазване и функционирането на тази бисквитка, нито последващото обработване на данните, поне в хода на релевантния в главното производство отрязък от време.

16

С решение от 3 ноември 2011 г. (наричано по-нататък „обжалваното решение“) ULD, в качеството си на надзорен орган по смисъла на член 28 от Директива 95/46, отговарящ за надзора на прилагането на територията на Провинция Шлезвиг-Холщайн (Германия) на разпоредбите, приети от Федерална република Германия в изпълнение на тази директива, разпорежда на Wirtschaftsakademie съгласно член 38, параграф 5, първо изречение от BDSG да деактивира създадената от него фен страница във Facebook на адрес https://www.facebook.com/wirtschaftsakademie, като в случай на неизпълнение в определения срок ще му бъде наложена периодична имуществена санкция, поради това че нито Wirtschaftsakademie, нито Facebook предоставят информация на посетителите на фен страницата, че последното дружество събира личните им данни с помощта на бисквитки, и че впоследствие те обработват тези данни. Wirtschaftsakademie подава жалба по административен ред срещу това решение, като по същество твърди, че с оглед на приложимото право за защита на данните то не е отговорно нито за извършваното от Facebook обработване на данните, нито за инсталираните от последното бисквитки.

17

С решение от 16 декември 2011 г. ULD отхвърля подадената по административен ред жалба, като приема, че отговорността на Wirtschaftsakademie като доставчик на услуги е установена съгласно член 3, параграф 3, точка 4 и член 12, параграф 1 от TMG във връзка с член 3, параграф 7 от BDSG. ULD посочва, че след като е създало своята фен страница, Wirtschaftsakademie е допринасяло активно и доброволно за събирането от Facebook на лични данни на потребителите на тази фен страница, от които е извличало полза посредством предоставяните от Facebook статистически данни.

18

Wirtschaftsakademie подава жалба срещу това решение пред Verwaltungsgericht (Административен съд, Германия), в която твърди, че не може да му бъде вменена отговорност за обработването на лични данни от Facebook, както и че то не е възлагало на Facebook обработване на данни по смисъла на член 11 от BDSG, върху което би могло да осъществява надзор или да оказва влияние. Поради това Wirtschaftsakademie счита, че ULD е трябвало да предприеме действия пряко срещу Facebook, а не да постановява обжалваното решение срещу него.

19

С решение от 9 октомври 2013 г. Verwaltungsgericht (Административен съд) отменя обжалваното решение, по същество поради това, че тъй като администраторът на фен страница във Facebook не е отговорна структура по смисъла на член 3, параграф 7 от BDSG, Wirtschaftsakademie не може да бъде адресат на мярка, приета на основание член 38, параграф 5 от BDSG.

20

Oberverwaltungsgericht (Областен административен съд, Германия) отхвърля жалбата на ULD срещу това решение като неоснователна. Тази юрисдикция по същество приема, че съдържащата се в обжалваното решение забрана за обработване на данни е незаконосъобразна, доколкото в член 38, параграф 5, второ изречение от BDSG се предвижда поетапен процес, като първият етап допуска единствено да бъдат приети мерки за отстраняване на констатираните нарушения при обработването на данните. Може да се наложи незабавна забрана за обработване на данни само ако процедурата за обработване на данните е неправомерна в своята цялост и ако единствено спирането на тази процедура би позволило коригирането на това положение. Според Oberverwaltungsgericht (Областен административен съд) обаче настоящият случай не е такъв, тъй като Facebook действително е можело да прекрати твърдените от ULD нарушения.

21

Oberverwaltungsgericht (Областен административен съд) добавя, че обжалваното решение е незаконосъобразно и поради това, че разпореждане на основание член 38, параграф 5 от BDSG може да се постанови само по отношение на отговорна структура по смисъла на член 3, параграф 7 от BDSG, а що се отнася до събираните от Facebook данни, Wirtschaftsakademie не е такава. В действителност единствено Facebook решава относно целта и средствата за събиране и обработване на личните данни, които се използват от функцията Facebook Insight, а що се отнася до Wirtschaftsakademie, то получава само анонимизирана статистическа информация.

22

ULD подава ревизионна жалба пред Bundesverwaltungsgericht (Федерален административен съд, Германия), като наред с други доводи сочи нарушение на член 38, параграф 5 от BDSG, както и някои процесуални нарушения, опорочаващи решението на въззивния съд. Той счита, че извършеното от Wirtschaftsakademie нарушение се дължи на факта, че последното е възложило на неподходящ — понеже не спазва приложимото относно защитата на данните право — доставчик, в случая на Facebook Ireland, създаването, хостването и поддържането на интернет сайт. Разпореждането, отправено на Wirtschaftsakademie с обжалваното решение, да деактивира своята фен страница, в този смисъл има за цел да отстрани това нарушение, тъй като с него му се забранява да продължава да използва инфраструктурата на Facebook като техническа база за своя интернет сайт.

23

Подобно на Oberverwaltungsgericht (Областен административен съд), Bundesverwaltungsgericht (Федерален административен съд) счита, че самото Wirtschaftsakademie не може да се счита за администратор, отговарящ за обработването на данни, по смисъла на член 3, параграф 7 от BDSG или на член 2, буква г) от Директива 95/46. Последната юрисдикция обаче счита, че по принцип това понятие трябва да се тълкува разширително в интерес на ефикасната защита на правото на личен живот, както приема Съдът в неотдавнашната си практика в тази област. Тя освен това изпитва съмнения относно правомощията, с които в случая разполага ULD по отношение на Facebook Germany, тъй като в рамките на групата Facebook за събирането и обработването на лични данни на равнище Съюз като администратор отговаря Facebook Ireland. Накрая, тя иска да установи какво — с оглед на упражняването на правомощията за намеса на ULD — е значението на преценката, направена от компетентния по отношение на Facebook Ireland надзорен орган за законосъобразността на обработването на разглежданите лични данни.

24

При тези обстоятелства Bundesverwaltungsgericht (Федерален административен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)

Трябва ли член 2, буква г) от Директива [95/46] да се тълкува в смисъл, че урежда окончателно и изчерпателно задълженията и отговорността за нарушения на правилата за защита на данните, или — в хипотеза на многостепенни отношения между доставчик и клиент на информация — в рамките на „подходящите мерки“ по член 24 от [тази директива] и на „ефективните правомощия на намеса“ по член 28, параграф 3, второ тире от [същата] е възможно структура, която не е „администратор“ по смисъла на член 2, буква г) от [посочената директива], да носи отговорност за избора на оператор за предлаганата от нея информация?

2)

От задължението на държавите членки по член 17, параграф 2 от Директива [95/46] да предвидят, че когато обработването се извършва от негово име, администраторът трябва „да избере обработващ данните, който осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки, регулиращи обработването, което следва да се извърши“, следва ли a contrario, че при друг вид отношения между доставчик и ползвател, които не са свързани с обработка на лични данни от името на администратора по смисъла на член 2, буква д) от [тази директива], не съществува задължение за полагане на дължимата грижа при избора и такова не [би могло] да се обоснове и по националното право?

3)

В хипотези, в които установено извън Европейския съюз дружество майка поддържа юридически самостоятелни обекти (дъщерни дружества) в различни държави членки, има ли право съгласно член 4 и член 28, параграф 6 от Директива [95/46] надзорният орган на дадена държава членка (в настоящия случай Германия) да упражни правомощията си по член 28, параграф 3 от [същата] спрямо установен на негова територия обект, включително в случаите, когато този обект отговаря единствено за рекламирането и продажбата на рекламни пространства и за други маркетингови мерки, насочени към жителите на тази държава членка, докато съгласно вътрешнокорпоративното разпределение на дейностите за събирането и обработването на лични данни на цялата територия на Европейския съюз и следователно и на територията на другата държава членка (в настоящия случай Германия) отговаря изключително установеният в друга държава членка (в настоящия случай Ирландия) самостоятелен обект (дъщерно дружество), при положение че в действителност решението относно обработката на данни се взема от дружеството майка?

4)

Трябва ли член 4, параграф 1 и член 28, параграф 3 от Директива [95/46] да се тълкуват в смисъл, че в хипотези, в които администраторът има обект на територията на държава членка (в настоящия случай Ирландия) и съществува друг, юридически самостоятелен обект на територията на друга държава членка (в настоящия случай Германия), който по-специално отговаря за продажбата на рекламни пространства и чиято дейност е насочена към жителите на тази държава членка, компетентният надзорен орган в тази друга държава членка (в настоящия случай Германия) може да предприеме мерки и да издаде разпореждания с цел прилагането на законодателството за защита на данните, включително срещу този друг обект (в настоящия случай в Германия), който според вътрешнокорпоративното разпределение на дейностите и отговорностите не отговаря за обработката на данни, или в такава хипотеза мерките и разпорежданията са в компетентността само на надзорния орган на държавата членка (в настоящия случай Ирландия), на чиято територия се намира седалището на структурата, която в рамките на групата отговаря за обработката на данните?

5)

Трябва ли член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива [95/46] да се тълкуват в смисъл, че в хипотези, в които надзорният орган на държава членка (в настоящия случай Германия) предприема мерки по член 28, параграф 3 от [тази директива] спрямо лице или структура, извършващи дейност на нейна територия, на основание, че не е положена дължимата грижа при избора на участващо в процеса на обработката на данни трето лице (в настоящия случай Facebook), тъй като това трето лице нарушавало законодателството за защита на данните, предприемащият мерки надзорен орган (в настоящия случай Германия) е обвързан с правната преценка относно спазването на правилата на защитата на данните на надзорния орган на другата държава членка, в която е установено отговорното за обработването на данните трето лице (в настоящия случай Ирландия), така че той не може да се отклонява от тази правна преценка, или пък предприемащият мерки надзорен орган (в настоящия случай Германия) може самостоятелно да проверява законосъобразността на обработката на данни от страна на установеното в друга държава членка (в настоящия случай Ирландия) трето лице като предварителен въпрос с оглед на предприемане на неговите собствени действия?

6)

Доколкото предприемащият мерки надзорен орган (в настоящия случай Германия) [би могъл] да извършва самостоятелна проверка: трябва ли член 28, параграф 6, второ изречение от Директива [95/46] да се тълкува в смисъл, че надзорният орган може да упражнява предоставените му по член 28, параграф 3 от [тази директива] ефективни правомощия за намеса спрямо установени на неговата територия лице или структура на основание съвместна отговорност за нарушения на правилата за защита на данните, извършени от установеното в друга държава членка трето лице, само и едва когато предварително е поискал от надзорния орган на тази друга държава членка (в настоящия случай Ирландия) да упражни своите правомощия?“.

По преюдициалните въпроси

По първия и втория въпрос

25

С първия и втория си въпрос, които следва да бъдат разгледани заедно, запитващата юрисдикция иска по същество да установи дали член 2, буква г), член 17, параграф 2, член 24 и член 28, параграф 3, второ тире от Директива 95/46 трябва да се тълкуват в смисъл, че допускат отговорността на структура, в качеството ѝ на администратор на фен страница, хоствана в социална мрежа, в случай на нарушаване на правилата относно защитата на личните данни заради избора да прибегне до тази социална мрежа, за да разпространява предлаганата от нея информация.

26

За да се отговори на тези въпроси, следва да се напомни, че както следва от член 1, параграф 1 и от съображение 10 от Директива 95/46, нейната цел е да се гарантира висока степен на защита на основните права и свободи на физическите лица, и в частност на правото им на личен живот при обработването на лични данни (решение от 11 декември 2014 г., Ryneš, C‑212/13, EU:C:2014:2428, т. 27 и цитираната съдебна практика.).

27

В съответствие с тази цел член 2, буква г) от Директивата определя широко понятието „администратор“ като отнасящо се до физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни.

28

Както Съдът вече е постановил, целта на тази разпоредба е да се гарантира ефикасна и пълна защита на съответните лица посредством широко по съдържанието си определение на понятието „администратор“ (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 34).

29

Освен това, след като съгласно изрично предвиденото в член 2, буква г) от Директива 95/46 понятието „администратор“ се отнася до субект, който „сам или съвместно с други“ определя целите и средствата за обработването на лични данни, това понятие не препраща непременно към само една структура, а може да се отнася до няколко субекта, участващи в обработването, за всеки от които при това положение съществува задължение да спазва приложимите разпоредби относно защитата на данните.

30

В случая Facebook Inc., а по отношение на Съюза — Facebook Ireland, трябва да се разглеждат като главните определящи целите и средствата за обработването на личните данни на потребителите на Facebook, както и на лицата, посетили фен страниците, хоствани от Facebook, поради което те попадат в понятието „администратор“ по смисъла на член 2, буква г) от Директива 95/46, което не се поставя под съмнение по настоящото дело.

31

При това положение, както и за да се отговори на поставените въпроси, следва да се провери дали и до каква степен администраторът на фен страница, хоствана от Facebook, какъвто е Wirtschaftsakademie, допринася чрез тази фен страница за определянето, съвместно с Facebook Ireland и Facebook Inc., на целите и средствата за обработването на лични данни на посетителите на тази фен страница, и следователно може също да се счита за „администратор“ по смисъла на член 2, буква г) от Директива 95/46.

32

В тази връзка е видно, че всяко лице, което желае да създаде фен страница във Facebook, сключва с Facebook Ireland специален договор относно нейното откриване, като на това основание приема условията за използването ѝ, както и свързаната с нея политика относно бисквитките, което следва да се потвърди от запитващата юрисдикция.

33

Видно от материалите по делото на разположение на Съда, в разглежданите в главното производство случаи на обработване на данни то основно се извършва чрез поставяне от Facebook на компютър или друго устройство на лицата, които са посетили фен страницата, на бисквитки, които остават активни в продължение на две години, ако не бъдат изтрити, с цел съхраняване на информация на уеб браузърите. Установява се също, че на практика Facebook получава, записва и обработва информацията, съхранявана в бисквитките, именно когато лицето посещава „услугите на Facebook, услугите, предлагани от други Facebook Компании, и услугите, предоставяни от други компании, които използват услугите на Facebook“ [свободен превод]. Освен това други образувания, например партньори на Facebook или дори трети лица, „могат да използват бисквитки в услугите на Facebook за [предоставяне на услуги направо на тази социална мрежа] и на бизнесите, които рекламират във Facebook“ [свободен превод].

34

Тези видове обработка на лични данни се правят по-специално с цел да позволят, от една страна, на Facebook да подобри системата си за реклама, която разпространява по своята мрежа, и от друга, на администратора на фен страницата да получи изготвени от Facebook статистически данни въз основа на посещенията на тази страница с цел управление на рекламата на собствената му дейност, които да му дадат възможност да се запознае например с профила на посетителите, които харесват фен страницата му или използват нейните приложения, за да може да им предложи по-подходящо съдържание и да развие функционални възможности, които могат да събудят по-голям интерес у тях.

35

Макар самият факт, че използва социална мрежа като Facebook, да не прави потребителя на Facebook съвместно отговорен като администратор за обработването на лични данни, извършвано от тази мрежа, следва все пак да се отбележи, че администраторът на фен страница, хоствана от Facebook, чрез нейното създаване дава възможност на Facebook да поставя бисквитки на компютъра или друго устройство на лицето, посетило неговата фен страница, независимо дали това лице разполага или не с профил във Facebook.

36

С оглед на това от информацията, представена пред Съда, следва, че създаването на фен страница във Facebook изисква от страна на нейния администратор извършването на действия по параметриране — с оглед най-вече на неговата целева аудитория, както и на целите, които си поставя във връзка с управлението и рекламата на своята дейност — които оказват влияние върху обработването на личните данни при изготвянето на статистическата информация за посещенията на фен страницата. С помощта на предоставени от Facebook филтри администраторът може да определя критериите, въз основа на които трябва да се изготви статистическата информация, и дори да определя категориите лица, чиито лични данни ще бъдат използвани от Facebook. Следователно администраторът на фен страница, хоствана от Facebook, допринася за обработването на личните данни на посетителите на неговата страница.

37

По-специално администраторът на фен страницата може да поиска да му бъдат предоставени — и следователно обработени — демографски данни относно неговата целева аудитория, по-конкретно относно тенденциите във връзка с възрастта, пола, сантименталния живот и професионалното положение, информация относно начина на живот и интересите на неговата целева аудитория, както и информация относно покупките и поведението при онлайн пазаруване на посетителите на неговата страница, категориите продукти или услуги, от които най-много се интересува, както и географски данни, които позволяват на оператора на фен страницата да разбере кога да прави специални намаления или да организира събития и, по-общо, как да насочи по-добре предлаганата от него информация.

38

Макар действително статистическите данни за аудиторията, изготвени от Facebook, да се предоставят само на администратора на фен страницата в анонимен вид, това не променя факта, че изготвянето на тези статистически данни се основава на предварителното събиране с помощта на бисквитки, инсталирани от Facebook на компютъра или друго устройство на лицата, които са посетили тази страница, както и на обработването на личните данни на тези посетители за подобни статистически цели. При всички положения Директива 95/46 не изисква при наличие на съвместна отговорност на няколко оператора за една и съща обработка всеки от тях да има достъп до съответните лични данни.

39

При тези обстоятелства следва да се приеме, че администраторът на фен страница, хоствана от Facebook, какъвто е Wirtschaftsakademie, чрез действията си по параметриране с оглед най-вече на неговата целева аудитория, както и на целите, които си поставя във връзка с управлението и рекламата на своята дейност, участва при определянето на целите и средствата за обработването на личните данни на посетителите на своята фен страница. Поради това в случая такъв администратор на страница следва да се квалифицира като администратор по смисъла на член 2, буква г) от Директива 95/46 в рамките на Съюза, отговарящ за тази обработка съвместно с Facebook Ireland.

40

Действително, фактът, че даден администратор на фен страница използва създадената от Facebook платформа, за да се ползва от свързаните с нея услуги, не би могъл да го освободи от задълженията му в областта на защитата на личните данни.

41

Освен това трябва да се подчертае, че хостваните от Facebook фен страници могат да се посещават и от лица, които не са потребители на Facebook и следователно нямат потребителски профил в тази социална мрежа. В този случай отговорността на администратора на фен страницата във връзка с обработването на личните данни на такива лица е още по-голяма, тъй като просто разглеждането на фен страницата от посетители автоматично задейства обработването на техните лични данни.

42

При това положение установяването на съвместна отговорност на управляващия социалната мрежа субект и на администратора на хоствана от тази мрежа фен страница във връзка с обработването на личните данни на посетителите на тази страница способства, в съответствие с изискванията на Директива 95/46, за гарантиране на по-пълна защита на правата, с които разполагат лицата, които посещават фен страница.

43

При все това следва да се уточни, както отбелязва генералният адвокат в точки 75 и 76 от своето заключение, че наличието на съвместна отговорност не се изразява непременно в равна отговорност на различните оператори, свързани с определено обработване на лични данни. Тъкмо обратното, тези оператори могат да участват на различни етапи от обработването и в различна степен, поради което размерът на отговорността на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства по случая.

44

С оглед на изложените съображения на първия и втория въпрос следва да се отговори, че член 2, буква г) от Директива 95/46 трябва да се тълкува в смисъл, че понятието „администратор“ по смисъла на тази разпоредба включва администратора на хоствана от социална мрежа фен страница.

По третия и четвъртия въпрос

45

С трети и четвърти въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да установи дали членове 4 и 28 от Директива 95/46 трябва да се тълкуват в смисъл, че когато установено извън Съюза предприятие има няколко обекта в различни държави членки, надзорният орган на държава членка има право да упражни правомощията си по член 28, параграф 3 от тази директива по отношение на разположен на територията на тази държава членка обект, въпреки че съгласно разпределението на дейностите в рамките на групата, от една страна, обектът отговаря единствено за продажбата на рекламни пространства и за други маркетингови дейности на територията на посочената държава членка, а от друга страна, изключителна отговорност за събирането и обработването на лични данни за цялата територия на Съюза се носи от обект, разположен в друга държава членка, или пък надзорният орган на последната държава членка е компетентен да упражни правомощията си по отношение на втория обект.

46

ULD и италианското правителство изразяват съмнения относно допустимостта на тези въпроси поради това, че не били релевантни за разрешаването на спора, предмет на главното производство. Всъщност адресат на обжалваното решение било Wirtschaftsakademie и следователно това решение не се отнасяло нито до Facebook Inc., нито до което и да било от установените на територията на Съюза негови дъщерни дружества.

47

В това отношение следва да се напомни, че в рамките на сътрудничеството между Съда и националните юрисдикции, въведено с член 267 ДФЕС, само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда. Следователно, след като отправените въпроси се отнасят до тълкуването на правото на Съюза, Съдът по принцип е длъжен да се произнесе (решение от 6 септември 2016 г., Petruhhin, C‑182/15, EU:C:2016:630, т. 19 и цитираната съдебна практика).

48

В случая следва да се отбележи, че запитващата юрисдикция твърди, че за да се произнесе по спора, предмет на главното производство, ѝ е нужен отговора на Съда на трети и четвърти преюдициален въпрос. Всъщност тя изяснява, че ако с оглед на този отговор се установи, че ULD е можел да отстрани твърдените нарушения на правото на защита на личните данни, предприемайки действия срещу Facebook Germany, това обстоятелство би могло да покаже наличието на грешка в преценката, опорочаваща обжалваното решение, което би се оказало постановено неоснователно против Wirtschaftsakademie.

49

При това положение третият и четвъртият въпрос са допустими.

50

За да се отговори на тези въпроси, трябва най-напред да се напомни, че съгласно член 28, параграфи 1 и 3 от Директива 95/46 всеки надзорен орган упражнява всички правомощия, които са му предоставени от националното право, на територията на неговата държава членка, с цел да се гарантира спазването на правилата в областта на защитата на данните в рамките на тази територия (вж. в този смисъл решение от 1 октомври 2015 г., Weltimmo, C‑230/14, EU:C:2015:639, т. 51).

51

Въпросът кое национално право се прилага за обработването на личните данни се урежда от член 4 от Директива 95/46. Съгласно параграф 1 буква а) от този член всяка държава членка прилага националните разпоредби, които приема в съответствие с тази директива, по отношение на обработването на лични данни, когато обработването се извършва в контекста на дейността на установен на територията на държавата членка обект на администратора. Тази разпоредба уточнява, че когато същият администратор е установен на територията на няколко държави членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези обекти спазва задълженията, установени от националното право.

52

Така от систематичното тълкуване на тази разпоредба и член 28, параграфи 1 и 3 от Директива 95/46 следва, че когато националното право на държавата членка, към която се числи надзорният орган, е приложимо съгласно член 4, параграф 1, буква а) от нея, тъй като разглежданата обработка се прави в контекста на дейностите на обект на администратора, намиращ се на територията на тази държава членка, посоченият надзорен орган може да упражнява всички предоставени му съгласно това национално право правомощия по отношение на обекта, независимо дали администраторът има обекти и в други държави членки.

53

В този смисъл, за да се определи дали надзорният орган има основание при обстоятелства като тези по главното производство да упражнява по отношение на обект, разположен на територията на държавата членка, към която се числи, предоставените му от националното право правомощия, следва да се провери дали двете условия, поставени от член 4, параграф 1, буква а) от Директива 95/46, са изпълнени, а именно от една страна, дали е налице „обект на администратора“ по смисъла на тази разпоредба, и от друга страна, дали обработката се прави „в контекста на дейностите“ на този обект по смисъла на същата разпоредба.

54

На първо място, що се отнася до условието, че администраторът на лични данни трябва да има обект на територията на държавата членка, към която се числи съответният надзорен орган, трябва да се напомни, че съгласно съображение 19 от Директива 95/46 установяването на територията на държава членка предполага ефективно и действително упражняване на дейност чрез постоянен обект и че правната форма на подобно установяване, независимо дали става дума за обикновен клон, или дъщерно дружество с правосубектност, не е решаващ фактор (решение от 1 октомври 2015 г., Weltimmo, C‑230/14, EU:C:2015:639, т. 28 и цитираната съдебна практика).

55

В случая е безспорно, че Facebook Inc. в качеството на администратор на лични данни, отговарящ за обработката съвместно с Facebook Ireland, има постоянен обект в Германия, а именно Facebook Germany, намиращо се в Хамбург, както и че последното дружество ефективно и действително упражнява дейност в тази държава членка. Следователно то представлява „обект“ по смисъла на член 4, параграф 1, буква a) от Директива 95/46.

56

На второ място, що се отнася до условието, че обработването на лични данни трябва да се прави „в контекста на дейностите“ на съответния обект, следва да се напомни, най-напред, че предвид преследваната от Директива 95/46 цел да се осигури ефикасна и пълна защита на основните права и свободи на физическите лица, и в частност на правото им на лична неприкосновеност при обработването на лични данни, изразът „в контекста на дейностите на [обект]“ не може да бъде тълкуван ограничително (решение от 1 октомври 2015 г., Weltimmo, C‑230/14, EU:C:2015:639, т. 25 и цитираната съдебна практика).

57

На следващо място, трябва да се подчертае, че член 4, параграф 1, буква а) от Директива 95/46 изисква не въпросното обработване да се извършва „от“ самия съответен обект, а единствено то да се извършва „в контекста на дейностите“ му (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 52).

58

В случая от акта за преюдициално запитване, както и от писменото становище на Facebook Ireland е видно, че Facebook Germany е натоварено с рекламирането и продажбата на рекламни пространства и извършва други дейности, насочени към лицата, живеещи в Германия.

59

Както бе напомнено в точки 33 и 34 от настоящото решение, разглежданото в главното производство обработване на лични данни, извършвано от Facebook Inc. съвместно с Facebook Ireland, изразяващо се в събирането на тези данни посредством бисквитки, инсталирани на компютрите или други устройства на посетителите на хостваните от Facebook фен страници, има по-специално за цел да позволи на тази социална мрежа да подобри системата си за реклама, за да насочва по-добре рекламата, която разпространява.

60

Както отбелязва генералният адвокат в точка 94 от своето заключение, като се има предвид, от една страна, че социална мрежа като Facebook генерира съществена част от приходите си най-вече посредством реклами, които се появяват на уеб страниците, създавани и посещавани от потребителите, и от друга страна, че намиращият се в Германия обект на Facebook е предназначен да осигури в същата държава членка рекламирането и продажбата на рекламни пространства, чрез които се рентабилизират предоставяните от Facebook услуги, дейностите на този клон трябва да се считат за неразривно свързани с разглежданото в главното производство обработване на лични данни, за което като администратор отговаря Facebook Inc. съвместно с Facebook Ireland. Поради това подобно обработване трябва да се счита за извършено в контекста на дейностите на обект на администратора по смисъла на член 4, параграф 1, буква а) от Директива 95/46 (вж. в този смисъл решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 55 и 56).

61

От това следва, че тъй като съгласно член 4, параграф 1, буква а) от Директива 95/46 германското право е приложимо за разглежданото в главното производство обработване на лични данни, в съответствие с член 28, параграф 1 от нея германският надзорен орган е бил компетентен да го приложи по отношение на това обработване.

62

Следователно, за да гарантира на германска територия спазването на правилата относно защитата на личните данни, този надзорен орган е бил компетентен да приложи по отношение на Facebook Germany всички правомощия, с които разполага съгласно националните разпоредби, транспониращи член 28, параграф 3 от Директива 95/46.

63

Следва също да се уточни, че обстоятелството, откроено от запитващата юрисдикция в третия ѝ въпрос, че стратегиите за решенията относно събирането и обработването на лични данни за лица, пребиваващи на територията на Съюза, се вземат от установено в трета държава дружество майка, каквото в случая е Facebook Inc., не е в състояние да постави под съмнение компетентността на попадащия под действието на правото на държава членка надзорен орган във връзка с разположен на територията на същата тази държава обект на администратора, отговарящ за обработването на тези данни.

64

С оглед на изложеното на трети и четвърти въпрос следва да се отговори, че членове 4 и 28 от Директива 95/46 трябва да се тълкуват в смисъл, че когато установено извън Съюза предприятие има няколко обекта в различни държави членки, надзорният орган на държава членка има право да упражни правомощията си по член 28, параграф 3 от тази директива по отношение на разположен на територията на тази държава членка обект на това предприятие, въпреки че съгласно разпределението на дейностите в рамките на групата, от една страна, обектът отговаря единствено за продажбата на рекламни пространства и за други маркетингови дейности на територията на посочената държава членка, а от друга страна, изключителна отговорност за събирането и обработването на лични данни за цялата територия на Съюза се носи от обект, разположен в друга държава членка.

По петия и шестия въпрос

65

С пети и шести въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да установи дали член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46 трябва да се тълкуват в смисъл, че когато надзорният орган на държава членка възнамерява да упражни по отношение на организация, установена на територията на тази държава членка, правомощията за намеса по член 28, параграф 3 от тази директива заради нарушения на правилата относно защитата на лични данни, допуснати от отговарящото за обработването на тези данни като администратор трето лице със седалище в друга държава членка, този надзорен орган е компетентен да прецени самостоятелно от надзорния орган на последната държава членка законосъобразността на такова обработване на данни и може да упражни правомощията си за намеса по отношение на установената на негова територия организация, без предварително да поиска намесата на надзорния орган на другата държава членка.

66

За да се отговори на тези въпроси, следва да се напомни, видно от отговора, даден на първия и втория преюдициален въпрос, че член 2, буква г) от Директива 95/46 трябва да се тълкува в смисъл, че допуска при обстоятелства като тези по главното производство да се установи отговорността на организация като Wirtschaftsakademie в качеството ѝ на администратор на фен страница, хоствана от Facebook, в случай на нарушение на правилата относно защитата на лични данни.

67

От това следва, че съгласно член 4, параграф 1, буква а), както и член 28, параграфи 1 и 3 от Директива 95/46 надзорният орган на държавата членка, на чиято територия е установена тази организация, е компетентен да приложи своето национално право и по този начин да упражни по отношение на тази организация всички свои правомощия, предоставени му съгласно това национално право в съответствие с член 28, параграф 3 от директивата.

68

Както предвижда член 28, параграф 1, втора алинея от тази директива, надзорните органи, натоварени с надзора на прилагането на територията на държавите членки, към които се числят, на разпоредбите, приети от тях в приложение на същата директива, се ползват с пълна независимост при упражняване на функциите, които са им възложени. Това изискване произтича и от първичното право на Съюза, по-специално от член 8, параграф 3 от Хартата на основните права на Европейския съюз и от член 16, параграф 2 ДФЕС (в този смисъл вж. решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т. 40).

69

Освен това, макар съгласно член 28, параграф 6, втора алинея от Директива 95/46 надзорните органи да си сътрудничат, доколкото е необходимо за изпълнението на техните функции, в частност чрез обмен на полезна информация, същата директива не предвижда никакъв критерий за приоритет в намесата на едни или други надзорни органи, нито пък въвежда задължение надзорният орган на държава членка да се съобразява с позицията, евентуално изразена от надзорния орган на друга държава членка.

70

В този смисъл надзорният орган с призната съгласно националното му право компетентност няма никакви задължения да възприема решението, до което е стигнал друг надзорен орган по отношение на сходно положение.

71

В това отношение трябва да се напомни, че в съответствие с член 8, параграф 3 от Хартата на основните права и член 28 от Директива 95/46 националните надзорни органи са натоварени с осъществяването на контрола по спазването на правилата на Съюза относно защитата на физическите лица при обработването на лични данни, поради което всеки от тях разполага с правомощия да проверява дали дадено обработване на лични данни на територията на държавата членка, към която спада съответният орган, отговаря на въведените с Директива 95/46 изисквания (вж. в този смисъл решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т. 47).

72

Тъй като член 28 от Директива 95/46 поради самото му естество се прилага за всяко обработване на лични данни, дори при наличие на решение на надзорен орган на друга държава членка, надзорният орган, сезиран от лице с искане, отнасящо се до защитата на неговите права и свободи при обработването на засягащи го лични данни, трябва напълно независимо да провери дали обработването на тези данни отговаря на въведените с посочената директива изисквания (вж. в този смисъл решение от 6 октомври 2015 г., Schrems, C‑362/14, EU:C:2015:650, т. 57).

73

От това следва, че в случая, съгласно установената с Директива 95/46 система, ULD е имал право да прецени самостоятелно спрямо оценките на ирландския надзорен орган законосъобразността на разглежданото в главното производство обработване на данни.

74

Следователно на пети и шести въпрос следва да се отговори, че член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46 трябва да се тълкуват в смисъл, че когато надзорният орган на държава членка възнамерява да упражни по отношение на организация, установена на територията на тази държава членка, правомощията за намеса по член 28, параграф 3 от тази директива заради нарушения на правилата относно защитата на лични данни, допуснати от отговарящото за обработването на тези данни като администратор трето лице със седалище в друга държава членка, този надзорен орган е компетентен да прецени самостоятелно от надзорния орган на последната държава членка законосъобразността на такова обработване на данни и може да упражни правомощията си за намеса по отношение на установената на негова територия организация, без предварително да поиска намесата на надзорния орган на другата държава членка.

По съдебните разноски

75

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

 

По изложените съображения Съдът (голям състав) реши:

 

1)

Член 2, буква г) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, трябва да се тълкува в смисъл, че понятието „администратор“ по смисъла на тази разпоредба включва администратора на хоствана от социална мрежа фен страница.

 

2)

Членове 4 и 28 от Директива 95/46 трябва да се тълкуват в смисъл, че когато установено извън Европейския съюз предприятие има няколко обекта в различни държави членки, надзорният орган на държава членка има право да упражни правомощията си по член 28, параграф 3 от тази директива по отношение на разположен на територията на тази държава членка обект на това предприятие, въпреки че съгласно разпределението на дейностите в рамките на групата, от една страна, обектът отговаря единствено за продажбата на рекламни пространства и за други маркетингови дейности на територията на посочената държава членка, а от друга страна, изключителна отговорност за събирането и обработването на лични данни за цялата територия на Европейския съюз се носи от обект, разположен в друга държава членка.

 

3)

Член 4, параграф 1, буква а) и член 28, параграфи 3 и 6 от Директива 95/46 трябва да се тълкуват в смисъл, че когато надзорният орган на държава членка възнамерява да упражни по отношение на организация, установена на територията на тази държава членка, правомощията за намеса по член 28, параграф 3 от тази директива заради нарушения на правилата относно защитата на лични данни, допуснати от отговарящото за обработването на тези данни като администратор трето лице със седалище в друга държава членка, този надзорен орган е компетентен да прецени самостоятелно от надзорния орган на последната държава членка законосъобразността на такова обработване на данни и може да упражни правомощията си за намеса по отношение на установената на негова територия организация, без предварително да поиска намесата на надзорния орган на другата държава членка.

 

Подписи


( *1 ) Език на производството: немски.