РЕШЕНИЕ НА СЪДА (голям състав)
15 юни 2021 година ( *1 )
„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Харта на основните права на Европейския съюз — Членове 7, 8 и 47 — Регламент (ЕС) 2016/679 — Трансгранично обработване на лични данни — Механизъм за „обслужване на едно гише“ — Лоялно и ефективно сътрудничество между надзорните органи — Компетентност и правомощия — Правомощие за иницииране на съдебно производство“
По дело C‑645/19
с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия) с акт от 8 май 2019 г., постъпил в Съда на 30 август 2019 г., в рамките на производство по дело
Facebook Ireland Ltd,
Facebook Inc.,
Facebook Belgium BVBA,
срещу
Gegevensbeschermingsautoriteit,
СЪДЪТ (голям състав),
състоящ се от: K. Lenaerts, председател, R. Silva de Lapuerta, заместник-председател, Aл. Арабаджиев, A. Prechal, M. Vilaras, M. Ilešič и N. Wahl, председатели на състави, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb и L. S. Rossi (докладчик), съдии,
генерален адвокат: M. Bobek,
секретар: M. Ferreira, главен администратор,
предвид изложеното в писмената фаза на производството и в съдебното заседание от 5 октомври 2020 г.,
като има предвид становищата, представени:
– |
за Facebook Ireland Ltd, Facebook Inc. и Facebook Belgium BVBA, от S. Raes, P. Lefebvre и D. Van Liedekerke, advocaten, |
– |
за Gegevensbeschermingsautoriteit, от F. Debusseré и R. Roex, advocaten, |
– |
за белгийското правителство, от J.‑C. Halleux и P. Cottin, както и от C. Pochet, в качеството на представители, подпомагани от P. Paepe, advocaat, |
– |
за чешкото правителство, от M. Smolek, O. Serdula и J. Vláčil, в качеството на представители, |
– |
за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от G. Natale, avvocato dello Stato, |
– |
за полското правителство, от B. Majczyna, в качеството на представител, |
– |
за португалското правителство, от L. Inez Fernandes, A. C. Guerra, P. Barros da Costa и L. Medeiros, в качеството на представители, |
– |
за финландското правителство, от A. Laine и M. Pere, в качеството на представители, |
– |
за Европейската комисия, от H. Kranenborg, D. Nardi и P. J.O. Van Nuffel, в качеството на представители, |
след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 13 януари 2021 г.,
постанови настоящото
Решение
1 |
Преюдициалното запитване се отнася до тълкуването на член 55, параграф 1, членове 56—58 и 60—66 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2) във връзка с членове 7, 8 и 47 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“). |
2 |
Запитването е отправено в рамките на спор между Facebook Ireland Ltd, Facebook Inc. и Facebook Belgium BVBA, от една страна, и Gegevensbeschermingsautoriteit (Орган за защита на личните данни, Белгия, наричан по-нататък „APD“), правоприемник на Commissie ter bescherming van de persoonlijke levenssfeer (Комисия за защита на личния живот, Белгия, наричана по-нататък „CPVP“), от друга страна, по повод на иск, предявен от председателя на последната, с предмет да се преустанови обработването на лични данни на интернет потребителите на белгийска територия, извършвано онлайн от социалната мрежа Facebook чрез cookies (бисквитки), социални модули (social plug-ins) и пиксели (pixels). |
Правна уредба
Правото на Съюза
3 |
Съображения 1, 4, 10, 11, 13, 22, 123, 141 и 145 от Регламент 2016/679 гласят:
[…]
[…]
[…]
[…]
[…]
[…]
[…]
|
4 |
Член 3 от този регламент, озаглавен „Териториален обхват“, предвижда в параграф 1: „Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не“. |
5 |
Член 4 от посочения регламент определя в точка 16 понятието „основно място на установяване“, а в точка 23 — понятието „трансгранично обработване“, както следва: „16) „основно място на установяване“ означава:
[…] 23) „трансгранично обработване“ означава или:
|
6 |
Член 51 от същия регламент, озаглавен „Надзорен орган“, предвижда: „1. Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза […]. 2. Всеки надзорен орган допринася за последователното прилагане на настоящия регламент в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с Комисията в съответствие с глава VII. […]“. |
7 |
Член 55 от Регламент 2016/679, озаглавен „Компетентност“, който се намира в глава VI, на свой ред озаглавена „Независими надзорни органи“, предвижда: „1. Всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка. 2. Когато обработването се извършва от публични органи или частни организации на основание член 6, параграф 1, буква в) или д), компетентен е надзорният орган на съответната държава членка. В тези случаи член 56 не се прилага“. |
8 |
Член 56 от посочения регламент, озаглавен „Компетентност на водещия надзорен орган“, гласи: „1. Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60. 2. Чрез дерогация от параграф 1 всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на настоящия регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка. 3. В посочените в параграф 2 от настоящия член случаи надзорният орган незабавно уведомява за тях водещия надзорен орган. В срок от три седмици след като е бил уведомен, водещият надзорен орган взема решение за това дали той самият ще разгледа или не случая в съответствие с процедурата, предвидена в член 60, като отчита дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е уведомил. 4. Когато водещият надзорен орган реши да разгледа случая, се прилага процедурата по член 60. Надзорният орган, уведомил водещия надзорен орган, може да му предостави проект за решение. Водещият надзорен орган отчита в максимална степен този проект при изготвянето на проекта за решение, посочен в член 60, параграф 3. 5. Ако водещият надзорен орган реши да не разгледа случая, надзорният орган, уведомил водещия надзорен орган, го разглежда в съответствие с членове 61 и 62. 6. За трансграничното обработване, което извършва, администраторът или обработващият лични данни комуникира единствено с водещия надзорен орган“. |
9 |
Член 57 от Регламент 2016/679, озаглавен „Задачи“, предвижда в параграф 1: „Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:
[…]
[…]“. |
10 |
Член 58 от същия регламент, озаглавен „Правомощия“, предвижда в параграфи 1, 4 и 5: „1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:
[…]
[…] 4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата. 5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент“. |
11 |
В глава VII от Регламент 2016/679, озаглавена „Сътрудничество и съгласуваност“, раздел I, озаглавен „Сътрудничество“, включва членове 60—62. Член 60, озаглавен „Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи“, гласи: „1. Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си. 2. Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка. 3. Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им. 4. Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63. 5. Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици. 6. Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него. 7. Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и [Европейския комитет за защита на данните] за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението. 8. Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора. 9. Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. […] 10. След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи. 11. Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66. […]“. |
12 |
Член 61 от посочения регламент, озаглавен „Взаимопомощ“, гласи в параграф 1: „Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания“. |
13 |
Член 62 от същия регламент, озаглавен „Съвместни операции на надзорни органи“, предвижда: „1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки. 2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. […] […]“. |
14 |
Глава VII, раздел 2, озаглавен „Съгласуваност“, от Регламент 2016/679, включва членове 63—67. Член 63, озаглавен „Механизъм за съгласуваност“, гласи следното: „С цел да допринесат за съгласуваното прилагане на настоящия регламент в целия Съюз, надзорните органи си сътрудничат помежду си и, ако е целесъобразно, с Комисията чрез механизъм за съгласуваност, както е определено в настоящия раздел“. |
15 |
Съгласно член 64, параграф 2 от посочения регламент: „Всеки надзорен орган, председателят на [Европейския комитет за защита на данните] или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от [Европейския комитет за защита на данните] с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62“. |
16 |
Член 65 от същия регламент, озаглавен „Разрешаване на спорове от Комитета“, предвижда в параграф 1: „С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, [Европейският комитет за защита на данните] приема решение със задължителен характер в следните случаи:
[…]“. |
17 |
Член 66 от Регламент 2016/679, озаглавен „Процедура по спешност“, гласи в параграфи 1 и 2: „1. При извънредни обстоятелства, когато засегнат надзорен орган счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, той може чрез дерогация от механизма за съгласуваност, предвиден в членове 63, 64 и 65, или процедурата, предвидена в член 60, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца. Надзорният орган съобщава незабавно тези мерки и мотивите за приемането им на другите засегнати надзорни органи, на [Европейския комитет за защита на данните] и на Комисията. 2. Когато надзорен орган е предприел мярка съгласно параграф 1 и счита, че е необходимо спешно да бъдат приети окончателни мерки, той може да поиска от [Европейския комитет за защита на данните] спешно становище или спешно решение със задължителен характер, като изтъкне причини за искането на такова становище или решение“. |
18 |
Член 77 от посочения регламент, озаглавен „Право на подаване на жалба до надзорен орган“, предвижда: „1. Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент. 2. Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78“. |
19 |
Член 78 от посочения регламент, озаглавен „Право на ефективна съдебна защита срещу надзорен орган“, предвижда: „1. Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган. 2. Без да се засягат които и да било други административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, който е компетентен съгласно членове 55 и 56 не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77, или за резултата от нея. 3. Производствата срещу надзорен орган се образуват пред съдилищата на държавата членка, в която е установен надзорният орган. 4. Когато се образува производство срещу решението на надзорен орган, което е било предхождано от становище или решение на [Европейския комитет за защита на данните] в съответствие с механизма за съгласуваност, надзорният орган предава това становище или решение на съда“. |
20 |
Член 79 от същия регламент, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, гласи: „1. Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент. 2. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган на държава членка, действащ в изпълнение на публичните си правомощия“. |
Белгийското право
21 |
Wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (Закон за защита на личния живот при обработването на лични данни) от 8 декември 1992 г. (Belgisch Staatsblad, 18 март 1993 г., стр. 5801), изменен със Закона от 11 декември 1998 г. (Belgisch Staatsblad, 3 февруари 1999 г., стр. 3049) (наричан по-нататък „Законът от 8 декември 1992 г.“), транспонира в белгийското право Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, глава 13, том 17, стр. 10). |
22 |
Законът от 8 декември 1992 г. създава CPVP — независим орган, чиято задача е да следи личните данни да се обработват при спазване на този закон, така че да бъде защитен личният живот на гражданите. |
23 |
Член 32, параграф 3 от Закона от 8 декември 1992 г. гласи следното: „Без да се засяга компетентността на общите съдилища за прилагане на общите принципи за защита на личния живот, председателят на [CPVP] може да сезира първоинстанционния съд с всеки спор относно прилагането на настоящия закон и на мерките по прилагането му“. |
24 |
Wet tot oprichting van de Gegevensbeschermingsautoriteit (Закон за създаване на орган за защита на личните данни) от 3 декември 2017 г. (Belgisch Staatsblad, 10 януари 2018 г., стр. 989, наричан по-нататък „Законът от 3 декември 2017 г.“), влязъл в сила на 25 май 2018 г., създава APD като надзорен орган по смисъла на Регламент 2016/679. |
25 |
Член 3 от Закона от 3 декември 2017 г. предвижда: „В Камарата на представителите се създава „Орган за защита на личните данни“. Той е правоприемник на [CPVP]“. |
26 |
Член 6 от Закона от 3 декември 2017 г. гласи: „[APD] е оправомощен да довежда всяко нарушение на основните принципи за защита на личните данни в рамките на този закон и законите, които съдържат разпоредби относно защитата при обработването на лични данни, до знанието на съдебните органи и по целесъобразност да предяви иск с цел прилагането на тези основни принципи“. |
27 |
Не е предвидена никаква особена разпоредба за съдебните производства, които вече са били образувани по инициатива на председателя на CPVP към 25 май 2018 г. на основание на член 32, параграф 3 от Закона от 8 декември 1992 г. Що се отнася единствено до жалбите или исканията, подадени до самия APD, член 112 от Закона от 3 декември 2017 г. гласи: „Глава VI не се прилага за жалбите или исканията, които все още са висящи пред [APD] към момента на влизане в сила на настоящия закон. Жалбите или исканията, посочени в алинея 1, се разглеждат от [APD] като правоприемник на [CPVP] съгласно процедурата, приложима преди влизането в сила на настоящия закон“. |
28 |
Законът от 8 декември 1992 г. е отменен с Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Закон за защита на физическите лица при обработването на лични данни) от 30 юли 2018 г. (Belgisch Staatsblad, 5 септември 2018 г., стр. 68616, наричан по-нататък „Законът от 30 юли 2018 г.“). Последният закон има за цел да въведе в белгийското право разпоредбите на Регламент 2016/679, които налагат или позволяват на държавите членки да приемат по-подробни правила в допълнение към този регламент. |
Спорът в главното производство и преюдициалните въпроси
29 |
На 11 септември 2015 г. председателят на CPVP предявява пред Nederlandstalige rechtbank van eerste aanleg Brussel (Първоинстанционен нидерландскоезичен съд Брюксел, Белгия) иск за преустановяване на нарушение срещу Facebook Ireland, Facebook Inc. и Facebook Belgium. Тъй като CPVP не е юридическо лице, нейният председател е трябвало да подаде искове, за да гарантира спазването на законодателството в областта на защитата на личните данни. Самата CPVP обаче иска доброволно да встъпи в производството, образувано от нейния председател. |
30 |
Целта на този иск за преустановяване на нарушение е да прекрати това, което CPVP описва по-специално като „тежко и широкомащабно нарушение от Facebook на законодателството в областта на защитата на личния живот“, състоящо се в онлайн събирането от тази социална мрежа на информация относно поведението при сърфиране както на притежателите на профил във Facebook, така и на тези, които не използват услугите на Facebook, чрез различни технологии, като „cookies (бисквитки)“, социални модули (например бутоните „Харесвам“ или „Споделям“) или още пиксели (pixels). Тези елементи позволяват на съответната социална мрежа да получи определени данни на интернет потребител, посещаващ даден сайт в интернет, в който те се съдържат, като адреса на тази страница, „IP адреса“ на посетителя на посочената страница, както и датата и часа на съответното посещение. |
31 |
С решение от 16 февруари 2018 г. Nederlandstalige rechtbank van eerste aanleg Brussel (Първоинстанционен нидерландскоезичен съд Брюксел) приема, че е компетентен да се произнесе по посочения иск за преустановяване на нарушение, доколкото той е насочен срещу Facebook Ireland, Facebook Inc. и Facebook Belgium и обявява за недопустима молбата за доброволно встъпване, подадена от CPVP. |
32 |
По същество този съд постановява, че съответната социална мрежа не информира в достатъчна степен белгийските интернет потребители за събирането на съответната информация и за използването на тази информация. От друга страна, даденото от интернет потребителите съгласие за събирането и обработването на посочената информация е прието за невалидно. Поради това на Facebook Ireland, Facebook Inc. и Facebook Belgium е разпоредено, първо, да преустановят да поставят по отношение на всеки установен на белгийска територия интернет потребител, без негово съгласие, бисквитки, които остават активни върху използваното от него устройство в продължение на две години, когато той сърфира на интернет страница с името на домейн Facebook.com или когато посещава сайта на трето лице, както и да поставят бисквитки и да събират данни чрез използването на социални модули, на пиксели или посредством подобни технологии на интернет сайтовете на трети лица, по прекомерен начин с оглед на така преследваните от социалната мрежа Facebook цели, второ, да преустановят да предоставят информация, която разумно би могла да въведе в заблуждение съответните лица по отношение на действителния обхват на предоставените от тази социална мрежа механизми за използването на бисквитки, и трето, да унищожи всички лични данни, получени чрез бисквитки и социални модули. |
33 |
На 2 март 2018 г. Facebook Ireland, Facebook Inc. и Facebook Belgium подават въззивна жалба срещу това съдебно решение пред Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия). Пред тази юрисдикция APD действа като правоприемник както на председателя на CPVP, който е предявил иска за преустановяване на нарушението, така и на самата CPVP. |
34 |
Запитващата юрисдикция приема, че е компетентна да се произнесе по въззивната жалба само доколкото се отнася до Facebook Belgium. За разлика от това, тя смята, че няма компетентност да разгледа въззивната жалба, доколкото тя се отнася до Facebook Ireland и Facebook Inc. |
35 |
Преди да се произнесе по съществото на спора в главното производство запитващата юрисдикция поставя въпроса дали APD притежава необходимата процесуална легитимация и правен интерес. Според Facebook Belgium предявеният иск за преустановяване на нарушение е недопустим, що се отнася до фактите, настъпили преди 25 май 2018 г., доколкото след влизане в сила на Закона от 3 декември 2017 г. и на Регламент 2016/679, член 32, параграф 3 от Закона от 8 декември 1992 г., който е правното основание за предявяване на такъв иск, е отменен. Що се отнася до фактите, настъпили след 25 май 2018 г., Facebook Belgium твърди, че APD няма компетентност и не разполага с право да предяви такъв иск с оглед на механизма за „обслужване на едно гише“, предвиден вече в приложение на разпоредбите на Регламент 2016/679. Всъщност въз основа на тези разпоредби единствено Data Protection Commissioner (Комисар за защита на личните данни, Ирландия) бил компетентен да предяви иск за преустановяване на нарушение срещу Facebook Ireland, тъй като последното дружество е единственият администратор на личните данни на ползвателите на съответната социална мрежа в Съюза. |
36 |
Запитващата юрисдикция приема, че APD не доказва необходимия правен интерес от предявяването на този иск за преустановяване на нарушение, доколкото искът се отнася до факти, настъпили преди 25 май 2018 г. Що се отнася до фактите, настъпили след тази дата, запитващата юрисдикция все пак има съмнения относно последиците от влизането в сила на Регламент 2016/679, по-специално от прилагането на предвидения в този регламент механизъм за „обслужване на едно гише“, спрямо компетентността на APD, както и спрямо правомощието на последния орган да предяви такъв иск за преустановяване на нарушение. |
37 |
По-специално според запитващата юрисдикция въпросът, който възниква понастоящем, е дали за фактите, настъпили след 25 май 2018 г., APD може да предяви иск срещу Facebook Belgium, при положение че Facebook Ireland е идентифицирано като администратор на съответните данни. От тази дата и по силата на принципа за „обслужване на едно гише“ изглеждало, че съгласно член 56 от Регламент 2016/679 компетентен е единствено Комисарят за защита на личните данни под контрола само на ирландските съдилища. |
38 |
Запитващата юрисдикция припомня, че в решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), Съдът е постановил, че „германският надзорен орган“ е компетентен да се произнесе по спор в областта на защитата на личните данни, въпреки че седалището на администратора на съответните данни е в Ирландия и въпреки че дъщерното му дружество със седалище в Германия, а именно Facebook Germany GmbH, се занимава само с продажбата на рекламни пространства и на други маркетингови дейности на германска територия. |
39 |
В делото, по което е постановено това решение, Съдът обаче е бил сезиран с преюдициално запитване относно тълкуването на разпоредбите на Директива 95/46, отменена с Регламент 2016/679. Запитващата юрисдикция иска да установи в каква степен даденото от Съда тълкуване в същото решение е все още релевантно, що се отнася до прилагането на Регламент 2016/679. |
40 |
Запитващата юрисдикция споменава и решение на Bundeskartellamt (Федерален орган за защита на конкуренцията, Германия) от 6 февруари 2019 г. (решение, известно като „Facebook“), в което по същество този орган за защита на конкуренцията приема, че съответното предприятие злоупотребява със своето положение, като съсредоточава данни от различни източници, което занапред трябвало да може да се извършва само с изричното съгласие на ползвателите, като се има предвид, че ползвателят, който не е съгласен с това, не може да бъде изключен от услугите на Facebook. Запитващата юрисдикция отбелязва, че очевидно посоченият орган за защита на конкуренцията е приел, че е компетентен да се произнесе по спора въпреки механизма за „обслужване на едно гише“. |
41 |
Освен това запитващата юрисдикция смята, че член 6 от Закона от 3 декември 2017 г., който по принцип позволява на APD при необходимост да предяви иск, не означава, че при всички обстоятелства искът на APD може да бъде предявен пред белгийските съдилища, тъй като механизмът за „обслужване на едно гише“, изглежда, налага такъв иск да бъде предявен пред съда по мястото, където се извършва обработването на данните. |
42 |
При тези обстоятелства Hof van beroep te Brussel (Апелативен съд Брюксел) решава да спре производството и да постави на Съда следните преюдициални въпроси:
|
По преюдициалните въпроси
По първия въпрос
43 |
С първия си въпрос по същество запитващата юрисдикция иска да се установи дали член 55, параграф 1 и членове 56—58, както и 60—66 от Регламент 2016/679 във връзка с членове 7, 8 и 47 от Хартата трябва да се тълкуват в смисъл, че надзорен орган на държава членка, който по силата на националното законодателство, прието в изпълнение на член 58, параграф 5 от този регламент, има правомощието да довежда всички твърдени нарушения на посочения регламент до знанието на юрисдикция на тази държава членка и по целесъобразност да инициира съдебни производства, може да упражни това правомощие във връзка с трансгранично обработване на лични данни, при положение че по отношение на такова обработване на данни той не е „водещият надзорен орган“ по смисъла на член 56, параграф 1 от същия регламент. |
44 |
В това отношение е важно да се припомни най-напред, че от една страна, за разлика от Директива 95/46, приета на основание на член 100 А от Договора за ЕО относно хармонизирането на общия пазар, правното основание на Регламент 2016/679 е член 16 ДФЕС, който прогласява правото на всяко лице на защита на личните данни и оправомощава Европейския парламент и Съвета на Европейския съюз да определят правилата за защита на физическите лица по отношение на обработката на тези данни от страна на институциите, органите, службите и агенциите на Съюза, както и от държавите членки при извършване на дейности, които попадат в обхвата на правото на Съюза, както и по отношение на свободното движение на посочените данни. От друга страна, в съображение 1 от този регламент се посочва, че „[з]ащитата на физическите лица във връзка с обработването на лични данни е основно право“, и се припомня, че член 8, параграф 1 от Хартата, както и член 16, параграф 1 ДФЕС предвиждат, че всеки има право на защита на личните му данни. |
45 |
Ето защо, както следва от член 1, параграф 2 от Регламент 2016/679 във връзка със съображения 10, 11 и 13 от този регламент, последният налага на институциите, органите, службите и агенциите на Съюза, както и на компетентните органи на държавите членки задачата да осигурят високо ниво на защита на правата, гарантирани в член 16 ДФЕС и член 8 от Хартата. |
46 |
Освен това, както се посочва в съображение 4 от този регламент, той е съобразен с всички основни права и в него се спазват свободите и принципите, признати в Хартата. |
47 |
Именно на тази основа член 55, параграф 1 от Регламент 2016/679 установява принципната компетентност на всеки надзорен орган да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с този регламент, на територията на своята собствена държава членка (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 147). |
48 |
Сред задачите, които са възложени на тези надзорни органи, са по-специално: да наблюдават и осигуряват прилагането на Регламент 2016/679, която задача е предвидена в член 57, параграф 1, буква а) от този регламент, както и да си сътрудничат с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на посочения регламент, която задача е предвидена в член 57, параграф 1, буква ж) от същия регламент. Сред предоставените на посочените надзорни органи правомощия за изпълнение на тези задачи са различни правомощия за разследване, предвидени в член 58, параграф 1 от Регламент 2016/679, както и предвиденото в член 58, параграф 5 правомощие да довеждат нарушенията на регламента до знанието на съдебните органи и по целесъобразност да инициират съдебни производства, с цел осигуряване на изпълнението на посочения регламент. |
49 |
Упражняването на тези задачи и правомощия обаче предполага, че надзорният орган разполага с компетентност по отношение на определено обработване на данни. |
50 |
В това отношение, без да се засяга правилото за компетентност, посочено в член 55, параграф 1 от Регламент 2016/679, член 56, параграф 1 от този регламент предвижда за „трансграничното обработване“ по смисъла на член 4, точка 23 механизма за „обслужване на едно гише“, основан на разпределението на правомощията между „водещия надзорен орган“ и другите засегнати надзорни органи. По силата на този механизъм надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60 от посочения регламент. |
51 |
Последният член установява процедурата на сътрудничество между водещия надзорен орган и другите засегнати надзорни органи. В рамките на тази процедура водещият надзорен орган е длъжен по-специално да се стреми да търси консенсус. За тази цел в съответствие с член 60, параграф 3 от Регламент 2016/679 водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им. |
52 |
По-специално от членове 56 и 60 от Регламент 2016/679 следва, че що се отнася до „трансграничното обработване“ по смисъла на член 4, точка 23 и при спазване на член 56, параграф 2, различните национални надзорни органи трябва да си сътрудничат съгласно предвидената в тези разпоредби процедура, за да постигнат консенсус и единно решение, което обвързва всички тези органи, а администраторът трябва да осигури неговото спазване по отношение на дейностите по обработването на всички места, на които е установен в Съюза. От друга страна, член 61, параграф 1 от посочения регламент задължава надзорните органи по-специално да си предоставят взаимно значима информация, както и помощ, за да изпълняват и прилагат същия регламент по съгласуван начин в целия Съюз. В член 63 от Регламент 2016/679 е уточнено, че механизмът за съгласуваност, установен в членове 64 и 65, е предвиден именно с тази цел (решение от 24 септември 2019 г., Google (Териториален обхват на премахването от резултатите при търсене), C‑507/17, EU:C:2019:772, т. 68). |
53 |
Следователно, както се потвърждава от съображение 13 от Регламент 2016/679, прилагането на механизма за „обслужване на едно гише“ изисква лоялно и ефективно сътрудничество между водещия надзорен орган и другите засегнати надзорни органи. Поради това, както отбелязва генералният адвокат в точка 111 от заключението си, водещият надзорен орган не може да пренебрегне становищата на другите засегнати надзорни органи, като всяко относимо и обосновано възражение, изразено от някой от тези органи, води до блокиране, поне временно, на приемането на проекторешението на водещия надзорен орган. |
54 |
Така в съответствие с член 60, параграф 4 от Регламент 2016/679, ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му, водещият надзорен орган, в случай че не приеме относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63, с цел да получи от Европейския комитет за защита на данните решение със задължителен характер, прието на основание член 65, параграф 1, буква а). |
55 |
По силата на член 60, параграф 5 от Регламент 2016/679, ако за разлика от това водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в член 60, параграф 4 от Регламента, за срок от две седмици. |
56 |
В съответствие с член 60, параграф 7 от посочения регламент по принцип именно водещият надзорен орган трябва да приеме решение, що се отнася до съответното трансгранично обработване, да уведоми за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и да информира другите засегнати надзорни органи и Европейския комитет за защита на данните за въпросното решение, като включи резюме на съответните факти и основания. |
57 |
След това уточнение е важно да се подчертае, че Регламент 2016/679 предвижда изключения от принципа за оправомощаването на водещия надзорен орган да взема решения в рамките на механизма за „обслужване на едно гише“, предвиден в член 56, параграф 1 от посочения регламент. |
58 |
Сред тези изключения е, на първо място, член 56, параграф 2 от Регламент 2016/679, който предвижда, че надзорен орган, който не е водещият надзорен орган, е компетентен да разглежда внесена при него жалба, която се отнася до трансгранично обработване на лични данни, или евентуално нарушение на този регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка. |
59 |
На второ място, член 66 от Регламент 2016/679 предвижда, чрез дерогация от механизмите за съгласуваност, посочени в членове 60 и 63—65 от този регламент, процедура по спешност. Тази процедура по спешност позволява при извънредни обстоятелства, когато засегнат надзорен орган счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца, като член 66, параграф 2 от Регламент 2016/679 предвижда освен това, че когато надзорен орган е предприел мярка съгласно параграф 1 и счита, че е необходимо спешно да бъдат приети окончателни мерки, той може да поиска от Европейския комитет за защита на данните спешно становище или спешно решение със задължителен характер, като изтъкне причини за искането на такова становище или решение. |
60 |
Тази компетентност на надзорните органи обаче трябва да се упражнява при спазване на лоялно и ефективно сътрудничество с водещия надзорен орган в съответствие с процедурата по член 56, параграфи 3—5 от Регламент 2016/679. Всъщност в тази хипотеза, в приложение на член 56, параграф 3 от този регламент, съответният надзорен орган незабавно уведомява водещия надзорен орган, който в срок от три седмици след като е бил уведомен взема решение за това дали той самият ще разгледа или не случая. |
61 |
По силата на член 56, параграф 4 от Регламент 2016/679 обаче, когато водещият надзорен орган реши да разгледа случая, се прилага процедурата за сътрудничество по член 60. В този смисъл надзорният орган, уведомил водещия надзорен орган, може да му предостави проект за решение, а последният трябва да отчита в максимална степен този проект при изготвянето на проекта за решение, посочен в член 60, параграф 3. |
62 |
За разлика от това в приложение на член 56, параграф 5 от Регламент 2016/679, ако водещият надзорен орган реши да не разгледа случая, надзорният орган, уведомил водещия надзорен орган, го разглежда в съответствие с членове 61 и 62, които изискват надзорните органи да спазват правилата за взаимопомощ и сътрудничество в рамките на съвместни операции, за да се осигури ефективно сътрудничество между съответните органи. |
63 |
От изложеното по-горе следва, от една страна, че в областта на трансграничното обработване на лични данни компетентността на водещия надзорен орган да приеме решение, с което се установява, че такова обработване нарушава съдържащите се в Регламент 2016/679 правила за защитата на правата на физическите лица във връзка с обработването на лични данни, представлява правилото, докато компетентността на другите засегнати надзорни органи да приемат такова решение, дори и временно, представлява изключението. От друга страна, макар принципната компетентност на водещия надзорен орган да е потвърдена в член 56, параграф 6 от Регламент 2016/679, според който за трансграничното обработване, което извършва, администраторът или обработващият лични данни „комуникира единствено“ с водещия надзорен орган, този орган трябва да упражнява подобна компетентност в рамките на тясно сътрудничество с другите засегнати надзорни органи. По-специално при упражняване на правомощията си водещият надзорен орган не може да се освободи, както бе отбелязано в точка 53 от настоящото решение, от задължителен диалог, както и от лоялно и ефективно сътрудничество с другите засегнати надзорни органи. |
64 |
В това отношение от съображение 10 от Регламент 2016/679 следва, че той цели по-специално да гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни в целия Съюз, както и да се премахнат препятствията пред движението на лични данни в него. |
65 |
Такава цел обаче, както и полезното действие на механизма за „обслужване на едно гише“, биха могли да бъдат осуетени, ако надзорен орган, който, що се отнася до трансгранично обработване на данни, не е водещ надзорен орган, може да упражни правомощието, предвидено в член 58, параграф 5 от Регламент 2016/679, извън случаите, в които е компетентен да приеме решение като посоченото в точка 63 от настоящото решение. Всъщност упражняването на такова правомощие има за цел да доведе до задължително съдебно решение, което може да засегне тази цел и този механизъм, както и решение, взето от надзорен орган, който не е водещият надзорен орган. |
66 |
Противно на твърденията на APD, обстоятелството, че надзорен орган на държава членка, който не е водещият надзорен орган, може да упражнява правомощието, предвидено в член 58, параграф 5 от Регламент 2016/679, само при спазване на правилата за разпределяне на правомощията за вземане на решения, предвидени по-специално в членове 55 и 56 от Регламента във връзка с член 60, е в съответствие с членове 7, 8 и 47 от Хартата. |
67 |
От една страна, що се отнася до доводите, изведени от твърдяно нарушение на членове 7 и 8 от Хартата, следва да се припомни, че член 7 гарантира на всяко лице правото на зачитане на неговия личен и семеен живот, на неговото жилище и тайната на неговите съобщения, докато член 8, параграф 1 от Хартата, също както член 16, параграф 1 ДФЕС, изрично признава на всяко лице правото на защита на личните му данни. От член 51, параграф 1 от Регламент 2016/679 обаче следва по-специално че надзорните органи са отговорни за наблюдението на прилагането на този регламент по-специално за да се защитят основните права на физическите лица във връзка с обработването на техните лични данни. От това следва, че в съответствие с изложеното в точка 45 от настоящото решение, предвидените в Регламента правила за разпределяне на правомощията за вземане на решения между водещия надзорен орган и другите надзорни органи, не засягат отговорността на всеки от тези органи да допринася за високо ниво на защита на тези права при спазване на тези правила, както и на изискванията за сътрудничество и взаимопомощ, припомнени в точка 52 от настоящото решение. |
68 |
В частност това означава, че механизмът за „обслужване на едно гише“ в никакъв случай не може да доведе до това национален надзорен орган, и по-специално водещият надзорен орган, да не поеме възложената му по силата на Регламент 2016/679 отговорност да допринася за ефективна защита на физическите лица спрямо посегателствата на техните основни права, припомнени в предходната точка на настоящото решение, тъй като в противен случай би се насърчила практиката, известна като forum shopping, по-специално от страна на администраторите, целяща да се заобиколят тези основни права и ефективното прилагане на разпоредбите на Регламента за изпълнение на тези права. |
69 |
От друга страна, по отношение на доводите, изведени от твърдяно нарушение на гарантираното в член 47 от Хартата право на ефективни правни средства за защита, те също не могат да бъдат приети. Всъщност рамкирането в точки 64 и 65 от настоящото решение на възможността надзорен орган, различен от водещия надзорен орган, да упражни правомощието, предвидено в член 58, параграф 5 от Регламент 2016/679, що се отнася до трансграничното обработване на лични данни, не засяга правото, признато на всяко лице в член 78, параграфи 1 и 2 от този регламент, на ефективна съдебна защита по-специално срещу отнасящо се до него решение със задължителен характер на надзорен орган или срещу неразглеждането на жалба, подадена от него, от страна на надзорния орган, който е компетентен да взема решения по силата на членове 55 и 56 от посочения регламент във връзка с член 60. |
70 |
Такава по-специално е хипотезата по член 56, параграф 5 от Регламент 2016/679, по силата на която, както бе посочено в точка 62 от настоящото решение, надзорният орган, който е уведомил на основание член 56, параграф 3 от този регламент, може да разгледа случая в съответствие с членове 61 и 62, ако водещият надзорен орган вземе решение, след като е бил уведомен, че той самият няма да го разгледа. При такова обработване освен това не може да се изключи възможността съответният надзорен орган да може евентуално да реши да упражни правомощието, предоставено му с член 58, параграф 5 от Регламент 2016/679. |
71 |
След това уточнение е важно да се подчертае, че упражняването на правомощието на надзорен орган на държава членка да се обърне към юрисдикциите на своята държава не може да бъде изключено, когато, след като е поискал взаимопомощ от водещия надзорен орган по силата на член 61 от Регламент 2016/679, последният не му предоставя исканата информация. В този случай по силата на член 61, параграф 8 от този регламент съответният надзорен орган може да приеме временна мярка на територията на своята държава членка и ако сметне, че е необходимо спешно да бъдат приети окончателни мерки, този орган може, в съответствие с член 66, параграф 2 от посочения регламент, да поиска от Европейския комитет по защита на данните спешно становище или спешно решение със задължителен характер. Освен това по силата на член 64, параграф 2 от същия регламент надзорен орган може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Европейския комитет за защита на данните с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ, възложени му в член 61. След приемането на такова становище или на такова решение обаче и доколкото Европейският комитет по защита на личните данни е съгласен, след като е взел предвид всички релевантни обстоятелства, съответният надзорен орган трябва да може да предприеме необходимите мерки, за да гарантира спазването на съдържащите се в Регламент 2016/679 правила относно защитата на правата на физическите лица във връзка с обработването на лични данни, и на това основание да упражни правомощието, което му предоставя член 58, параграф 5 от този регламент. |
72 |
Всъщност разпределянето на правомощията и отговорностите между надзорните органи по необходимост се основава на предпоставката за лоялно и ефективно сътрудничество между тези органи, както и с Комисията, за да се осигури правилното и последователно прилагане на този регламент, както потвърждава член 51, параграф 2. |
73 |
В случая запитващата юрисдикция следва да определи дали правилата за разпределяне на правомощията, както и релевантните производства и механизми, предвидени в Регламент 2016/679, са приложени правилно в рамките на делото по главното производство. По-специално тя ще трябва да провери дали, макар по това дело APD да не е водещият надзорен орган, съответното обработване, доколкото се отнася до онлайн действия на социалната мрежа Facebook, настъпили след 25 май 2018 г., попада по-специално в положението, посочено в точка 71 от настоящото решение. |
74 |
В това отношение Съдът отбелязва, че в своето становище 5/2019 от 12 март 2019 г. относно взаимодействието между Директивата за правото на неприкосновеност на личния живот и електронни комуникации и [Общия регламент за защита на данните], по-специално що се отнася до компетентността, задачите и правомощията на органите за защита на данните, Европейският комитет за защита на данните е заявил, че записването и четенето на лични данни посредством бисквитки попадат в приложното поле на Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, глава 13, том 36, стр. 63), а не на механизма за „обслужване на едно гише“. За разлика от това всички предходни операции и последващи дейности по обработване на тези лични данни чрез други технологии действително попадат в приложното поле на Регламент 2016/679, а следователно и на механизма за „обслужване на едно гише“. Като се има предвид, че искането му за взаимопомощ се отнася до тези последващи операции по обработване на лични данни, през април 2019 г. APD иска от Комисаря за защита на данните да уважи искането му възможно най-бързо, на което той не отговорил. |
75 |
С оглед на всички изложени по-горе съображения на първия поставен въпрос следва да се отговори, че член 55, параграф 1 и членове 56—58, както и 60—66 от Регламент 2016/679 във връзка с членове 7, 8 и 47 от Хартата трябва да се тълкуват в смисъл, че надзорен орган на държава членка, който по силата на националното законодателство, прието в изпълнение на член 58, параграф 5 от този регламент, има правомощието да довежда всички твърдени нарушения на посочения регламент до знанието на юрисдикция на тази държава членка и по целесъобразност да инициира съдебни производства, може да упражни това правомощие във връзка с трансгранично обработване на лични данни, при положение че по отношение на това обработване на данни той не е „водещият надзорен орган“ по смисъла на член 56, параграф 1 от същия регламент, доколкото става въпрос за едно от положенията, в които Регламент 2016/679 предоставя на този надзорен орган компетентност да приеме решение, в което се установява, че посоченото обработване нарушава съдържащите се в Регламента правила, както и при спазване на процедурите за сътрудничество и съгласуваност, предвидени в този регламент. |
По втория въпрос
76 |
С втория си въпрос по същество запитващата юрисдикция иска да се установи дали член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че при трансгранично обработване на данни упражняването на правомощието на надзорен орган на държава членка, различен от водещия надзорен орган, да инициира съдебни производства по смисъла на тази разпоредба, изисква администраторът за трансграничното обработване на лични данни, срещу когото е инициирано съдебното производство, да разполага с „основно място на установяване“ по смисъла на член 4, точка 16 от Регламент 2016/679 на територията на тази държава членка или с друго място на установяване на тази територия. |
77 |
В това отношение е важно да се припомни, че според член 55, параграф 1 от Регламент 2016/679 всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с този регламент, на територията на своята собствена държава членка. |
78 |
Освен това член 58, параграф 5 от Регламент 2016/679 предвижда всеки надзорен орган да има правомощието да довежда всички твърдени нарушения на регламента до знанието на юрисдикция на своята държава членка и по целесъобразност да инициира съдебни производства, с цел осигуряване на изпълнението на посочения регламент. |
79 |
Следва обаче да се отбележи, че член 58, параграф 5 от Регламент 2016/679 е формулиран общо и че законодателят на Съюза не е обусловил упражняването на това правомощие от надзорен орган на държава членка от условието съдебното производство, заведено от този орган, да бъде срещу администратор, който разполага с „основно място на установяване“ по смисъла на член 4, точка 16 от този регламент, или с друго място на установяване на територията на тази държава членка. |
80 |
Надзорният орган на държава членка обаче може да упражнява предоставеното му с член 58, параграф 5 от Регламент 2016/679 правомощие само ако се установи, че това правомощие попада в териториалния обхват на този регламент. |
81 |
Член 3 от Регламент 2016/679, който урежда териториалния обхват на Регламента, предвижда в това отношение в параграф 1, че той се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не. |
82 |
В това отношение в съображение 22 от Регламент 2016/679 се уточнява, че такова установяване предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености и че правната форма на тези договорености, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение. |
83 |
От това следва, че в съответствие с член 3, параграф 1 от Регламент 2016/679 териториалният обхват на този регламент се определя, с изключение на хипотезите, посочени в параграфи 2 и 3 от този член, от условието администраторът или обработващият лични данни за трансграничното обработване да разполага с място на установяване на територията на Съюза. |
84 |
Ето защо на втория поставен въпрос следва да се отговори, че член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че в случай на трансгранично обработване на данни упражняването на правомощието на надзорен орган на държава членка, различен от водещия надзорен орган, да инициира съдебно производство по смисъла на тази разпоредба, не изисква за трансграничното обработване на лични данни администраторът или обработващият лични данни, срещу когото е инициирано съдебното производство, да разполага с основно място на установяване или с друго място на установяване на територията на тази държава членка. |
По третия въпрос
85 |
С третия си въпрос по същество запитващата юрисдикция иска да се установи дали член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че при трансгранично обработване на данни упражняването на правомощието на надзорен орган на държава членка, различен от водещия надзорен орган, да довежда всички твърдени нарушения на този регламент до знанието на юрисдикция на тази държава и по целесъобразност да инициира съдебни производства по смисъла на тази разпоредба, изисква съответният надзорен орган да инициира съдебно производство срещу основното място на установяване на администратора или срещу мястото на установяване, което се намира в собствената му държава членка. |
86 |
От акта за преюдициално запитване става ясно, че този въпрос е повдигнат в рамките на спор между страните за това дали запитващата юрисдикция е компетентна да разгледа иска за преустановяване на нарушение, доколкото е предявен срещу Facebook Belgium, като се има предвид фактът, че от една страна, седалището на групата Facebook в рамките на Съюза е в Ирландия и Facebook Ireland отговаря изключително за събирането и обработването на личните данни на цялата територия на Съюза, а от друга страна, по силата на вътрешно разпределение в групата мястото на установяване в Белгия било създадено основно, за да позволи на посочената група да поддържа отношения с институциите на Съюза и едва след това, за да насърчи рекламните и маркетингови дейности на същата група, насочени към лицата, които пребивават в Белгия. |
87 |
Както бе посочено в точка 47 от настоящото решение, член 55, параграф 1 от Регламент 2016/679 установява принципната компетентност на всеки надзорен орган да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с този регламент, на територията на своята собствена държава членка. |
88 |
Що се отнася до правомощието на надзорен орган на държава членка да инициира съдебно производство по смисъла на член 58, параграф 5 от Регламент 2016/679, важно е да се припомни, както отбелязва генералният адвокат в точка 150 от заключението си, че тази разпоредба е формулирана широко и не уточнява образуванията, срещу които надзорните органи са длъжни или могат да предприемат действия за всяко нарушение на Регламента. |
89 |
Следователно посочената разпоредба не ограничава упражняването на правомощието да се инициира съдебно производство в смисъл, че такова производство би могло да бъде инициирано единствено срещу „основно място на установяване“ или срещу друго „място на установяване“ на администратора. Напротив, по силата на същата разпоредба, когато в приложение на членове 55 и 56 от Регламент 2016/679 надзорният орган на държава членка разполага с необходимата за тази цел компетентност, той може да упражни правомощията, които са му предоставени с този регламент на своята територия, независимо от държавата членка, в която е установен администраторът или обработващият лични данни. |
90 |
Упражняването на правомощието, предоставено на всеки надзорен орган в член 58, параграф 5 от Регламент 2016/679, обаче предполага този регламент да е приложим. В този смисъл и както беше подчертано в точка 81 от настоящото решение, член 3, параграф 1 от посочения регламент предвижда, че той се прилага за обработването на лични данни „в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не“. |
91 |
Предвид преследваната от Регламент 2016/679 цел да се осигури ефективна защита на свободите и основните права на физическите лица, и в частност на правото им на защита на личния живот и на защита на личните данни, условието обработването на лични данни да се извършва „в контекста на дейностите“ на съответното място на установяване не може да бъде тълкувано ограничително (вж. по аналогия решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, т. 56 и цитираната съдебна практика). |
92 |
В случая от акта за преюдициално запитване и от писмените становища, представени от Facebook Belgium, става ясно, че то е натоварено основно с поддържането на отношения с институциите на Съюза и едва след това с насърчаването на рекламните и маркетингови дейности на своята група, насочени към лицата, пребиваващи в Белгия. |
93 |
Разглежданото в главното производство обработване на лични данни, което на територията на Съюза се извършва изключително от Facebook Ireland и което се състои в събирането на информация за поведението при сърфиране както на притежателите на профил във Facebook, така и на тези, които не използват услугите на Facebook, чрез различни технологии, в частност социалните модули и пиксели, има за цел по-специално да позволи на съответната социална мрежа да направи своята рекламна система по-ефективна чрез целенасочено разпространение на съобщенията. |
94 |
Следва да се отбележи обаче, от една страна, че социална мрежа като Facebook генерира съществена част от приходите си благодарение по-специално на излъчваната там реклама и че дейността, упражнявана от намиращото се в Белгия място на установяване, е предназначена да гарантира в тази държава членка, макар и в допълнение към основната дейност, насърчаването и продажбата на рекламни пространства, чиято цел е да направят рентабилни услугите на Facebook. От друга страна, основната дейност на Facebook Belgium, състояща се в поддържане на отношения с институциите на Съюза и в създаване на звено за връзка с тях, цели именно да установи политиката за обработване на личните данни от страна на Facebook Ireland. |
95 |
При тези условия трябва да се приеме, че дейностите на намиращото се в Белгия място на установяване на групата Facebook са неразделно свързани с обработването на разглежданите в главното производство лични данни, чийто администратор е Facebook Ireland, що се отнася до територията на Съюза. Следователно такова обработване трябва да се разглежда като извършвано „в контекста на дейностите на дадено място на установяване на администратора“ по смисъла на член 3, параграф 1 от Регламент 2016/679. |
96 |
С оглед на всички изложени по-горе съображения на третия поставен въпрос следва да се отговори, че член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че правомощието на надзорен орган на държава членка, различен от водещия надзорен орган, да довежда всички твърдени нарушения на този регламент до знанието на юрисдикция на тази държава и по целесъобразност да инициира съдебни производства по смисъла на тази разпоредба, може да бъде упражнено както по отношение на основното място на установяване на администратора, което се намира в държавата членка на този орган, така и по отношение на друго място на установяване на администратора, доколкото съдебният иск има за предмет обработване на данни в контекста на дейностите на мястото на установяване и доколкото посоченият орган е компетентен да упражни това правомощие в съответствие с изложеното в отговор на първия поставен въпрос. |
По четвъртия въпрос
97 |
С четвъртия си въпрос по същество запитващата юрисдикция иска да се установи дали член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че когато надзорен орган на държава членка, който не е „водещият надзорен орган“ по смисъла на член 56, параграф 1 от този регламент, е завел преди 25 май 2018 г. съдебно производство с предмет трансгранично обработване на лични данни, а именно преди датата, на която въпросният регламент е станал приложим, това обстоятелство може да повлияе върху условията, при които този надзорен орган на държава членка може да упражни правомощието да инициира съдебни производства по член 58, параграф 5. |
98 |
Всъщност пред тази юрисдикция Facebook Ireland, Facebook Inc. и Facebook Belgium твърдят, че прилагането на Регламент 2016/679, считано от 25 май 2018 г., би довело до това, че поддържането на иск, предявен преди тази дата, е недопустимо, дори неоснователно. |
99 |
В началото следва да се отбележи, че член 99, параграф 1 от Регламент 2016/679 предвижда, че той влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз. Тъй като регламентът е публикуван в Официален вестник на 4 май 2016 г., той влиза в сила на 25 май 2016 г. Освен това член 99, параграф 2 от посочения регламент предвижда, че той се прилага от 25 май 2018 г. |
100 |
В това отношение следва да се припомни, че нова правна норма се прилага от момента на влизане в сила на акта, с който тя се въвежда, и че макар да не се прилага към правните положения, възникнали и окончателно установени при действието на стария закон, новата правна норма се прилага спрямо техните бъдещи последици, както и спрямо новите правни положения. Без да се засяга принципът на забрана на прилагането на правните актове с обратна сила, изключения са възможни единствено ако новата правна норма е придружена от особени разпоредби, които определят изрично условията за прилагането ѝ във времето. При процесуалноправните норми по-специално принципът е да се прилагат към деня на влизането им в сила, докато материалноправните норми по правило се тълкуват като отнасящи се до заварени при влизането им в сила положения само доколкото от тяхната формулировка, предназначение или систематика ясно личи, че трябва да имат именно такова правно действие (решение от 25 февруари 2021 г., Caisse pour l’avenir des enfants (Заетост при раждане на дете), C‑129/20, EU:C:2021:140, т. 31 и цитираната съдебна практика) |
101 |
Регламент 2016/679 не съдържа никакво преходно правило или друго правило, уреждащо статута на съдебните производства, образувани преди неговото прилагане и които са все още висящи към датата, на която той става приложим. По-специално, нито една разпоредба от този регламент не предвижда, че правната му последица е да прекрати всички висящи към 25 май 2018 г. съдебни производства с предмет твърдени нарушения на правилата, уреждащи обработването на лични данни, предвидени в Директива 95/46, дори ако действията, представляващи такива твърдени нарушения, продължават да се извършват и след тази дата. |
102 |
В случая член 58, параграф 5 от Регламент 2016/679 предвижда правила, които уреждат правомощието на надзорен орган да довежда нарушенията на този регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на въпросния регламент. |
103 |
При тези условия следва да се направи разграничение между съдебните производства, инициирани от надзорен орган на държава членка за нарушения на правилата за защита на личните данни, които нарушения са извършени от администраторите или обработващите лични данни, преди датата, на която Регламент 2016/679 е станал приложим, и съдебните производства, образувани за нарушения, извършени след тази дата. |
104 |
В първата хипотеза, от гледна точка на правото на Съюза, иск като разглеждания в главното производство може да бъде поддържан въз основа на разпоредбите на Директива 95/46, която остава приложима по отношение на нарушенията, извършени до датата на отмяната ѝ, а именно 25 май 2018 г. Във втория случай такъв иск може да бъде предявен по силата на член 58, параграф 5 от Регламент 2016/679 единствено при условие че, както бе подчертано в отговора на първия поставен въпрос, този иск попада в обхвата на положение, при което по изключение Регламентът предоставя на надзорен орган на държава членка, който не е „водещият надзорен орган“, компетентност да приеме решение, с което се установява, че съответното обработване на данни нарушава съдържащите се във въпросния регламент правила за защитата на правата на физическите лица във връзка с обработването на лични данни и при спазване на процедурите, предвидени в същия регламент. |
105 |
С оглед на всички изложени по-горе съображения на четвъртия поставен въпрос следва да се отговори, че член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че когато надзорен орган на държава членка, който не е „водещият надзорен орган“ по смисъла на член 56, параграф 1 от този регламент, предяви иск преди 25 май 2018 г. с предмет трансгранично обработване на лични данни, а именно преди датата, на която посоченият регламент е станал приложим, този иск може да бъде поддържан от гледна точка на правото на Съюза въз основа на разпоредбите на Директива 95/46, която продължава да се прилага по отношение на нарушенията на предвидените в нея правила, които нарушения са извършени до датата, на която тази директива е отменена. Освен това посоченият иск може да бъде предявен от този орган за нарушенията, извършени след тази дата, на основание член 58, параграф 5 от Регламент 2016/679, доколкото това е едно от положенията, при които по изключение този регламент предоставя на надзорен орган на държава членка, който не е „водещият надзорен орган“, компетентност да приеме решение, с което се установява, че съответното обработване на данни нарушава съдържащите се във въпросния регламент правила за защитата на правата на физическите лица във връзка с обработването на лични данни и при спазване на процедурите за сътрудничество и съгласуваност, предвидени в същия регламент, което запитващата юрисдикция следва да провери. |
По петия въпрос
106 |
С петия си въпрос по същество запитващата юрисдикция иска да се установи, в случай на утвърдителен отговор на първия поставен въпрос, дали член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че тази разпоредба има директен ефект, така че национален надзорен орган може да се позове на посочената разпоредба, за да инициира или продължи съдебно производство срещу частноправни субекти, дори тази разпоредба да не е била специално въведена в законодателството на съответната държава членка. |
107 |
Според член 58, параграф 5 от Регламент 2016/679 всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на този регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на въпросния регламент. |
108 |
В началото е важно да се отбележи, както поддържа белгийското правителство, че член 58, параграф 5 от Регламент 2016/679 е въведен в белгийския правен ред с член 6 от Закона от 3 декември 2017 г. Всъщност според този член 6, който по същество е формулиран почти идентично на член 58, параграф 5 от Регламент 2016/679, ARD е оправомощен да довежда всяко нарушение на основните принципи за защита на личните данни в рамките на този закон и законите, които съдържат разпоредби относно защитата при обработването на лични данни, до знанието на съдебните органи и по целесъобразност да предяви иск с цел прилагането на тези основни принципи. Ето защо може да се приеме, че APD може да се позове на разпоредба на националното право, каквато е член 6 от Закона от 3 декември 2017 г., който въвежда член 58, параграф 5 от Регламент 2016/679 в белгийското право, за да предяви иск за спазването на Регламента. |
109 |
От друга страна, от съображения за изчерпателност следва да се отбележи, че по силата на член 288, втора алинея ДФЕС регламентът е задължителен в своята цялост и се прилага пряко във всички държави членки, така че разпоредбите му по принцип не изискват никаква мярка за прилагане от държавите членки. |
110 |
В това отношение следва да се припомни, че според постоянната практика на Съда по силата на член 288 ДФЕС и с оглед на самото естество на регламентите и тяхната функция в системата от източници на правото на Съюза разпоредбите на регламентите по общо правило имат непосредствено действие в националните правни системи, без да е необходимо националните органи да приемат мерки за прилагането им. При все това някои от тези разпоредби могат да налагат приемането на национални мерки за прилагане от държавите членки (решение от 15 март 2017 г., Al Chodor, C‑528/15, EU:C:2017:213, т. 27 и цитираната съдебна практика). |
111 |
Както обаче по същество отбелязва генералният адвокат в точка 167 от заключението си, член 58, параграф 5 от Регламент 2016/679 предвижда специално и непосредствено приложимо правило, по силата на което надзорните органи трябва да са процесуално легитимирани да предявяват искове пред националните съдилища и да имат възможността да инициират съдебни производства по националното право. |
112 |
От член 58, параграф 5 от Регламент 2016/679 не следва, че държавите членки следва да определят с изрична разпоредба какви са обстоятелствата, при които националните надзорни органи могат да инициират съдебни производства по смисъла на тази разпоредба. Достатъчно е надзорният орган да има възможността в съответствие с националното законодателство да доведе до знанието на съдебните органи нарушенията на този регламент и по целесъобразност да инициира съдебни производства или да заведе по друг начин производство с цел осигуряване на изпълнението на посочения регламент. |
113 |
С оглед на всички изложени по-горе съображения на петия поставен въпрос следва да се отговори, че член 58, параграф 5 от Регламент 2016/679 трябва да се тълкува в смисъл, че тази разпоредба има директен ефект, така че национален надзорен орган може да се позове на посочената разпоредба, за да инициира или продължи съдебно производство срещу частноправни субекти, дори тази разпоредба да не е била специално въведена в законодателството на съответната държава членка. |
По шестия въпрос
114 |
С шестия си въпрос по същество запитващата юрисдикция иска да се установи — при утвърдителен отговор на поставените въпроси от първи до пети — дали изходът от съдебно производство, заведено от надзорен орган на държава членка с предмет трансгранично обработване на лични данни, може да е пречка водещият надзорен орган да приеме решение, в което стига до констатация в противоположен смисъл, в случай че същият разследва същите дейности по трансгранично обработване или сходни дейности в съответствие с механизма, предвиден в членове 56 и 60 от Регламент 2016/679. |
115 |
В това отношение следва да се припомни, че според постоянната съдебна практика въпросите относно правото на Съюза се ползват с презумпция за релевантност. Съдът може да откаже да се произнесе по отправеното от национална юрисдикция запитване само ако е съвсем очевидно, че исканото тълкуване на норма от правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, когато проблемът е от хипотетично естество или още когато Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на поставените му въпроси (решения от 16 юни 2015 г., Gauweiler и др., C‑62/14, EU:C:2015:400, т. 25 и от 7 февруари 2018 г., American Express, C‑304/16, EU:C:2018:66, т. 32). |
116 |
Освен това, пак според постоянната съдебна практика основанието за отправяне на преюдициално запитване е не формулирането на консултативни становища по общи или хипотетични въпроси, а необходимостта от отговор за ефективното решаване на даден правен спор (решение от 10 декември 2018 г., Wightman и др., C‑621/18, EU:C:2018:999, т. 28 и цитираната съдебна практика). |
117 |
В случая следва да се подчертае, както отбелязва белгийското правителство, че шестият поставен въпрос се основава на констатации, за които изобщо не е установено, че са налице в рамките на спора в главното производство, а именно че що се отнася до трансграничното обработване, предмет на този спор, следва да е налице водещ надзорен орган, който не само би разследвал същите дейности по трансгранично обработване на лични данни като тези, които са предмет на съдебното производство, заведено от надзорния орган на съответната държава членка, или подобни дейности, но освен това би възнамерявал да приеме решение, в което да направи констатация в противоположния смисъл. |
118 |
При тези условия следва да се отбележи, че шестият поставен въпрос няма никаква връзка с действителността или с предмета на спора в главното производство и засяга хипотетичен проблем. Следователно този въпрос трябва да се обяви за недопустим. |
По съдебните разноски
119 |
С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване. |
По изложените съображения Съдът (голям състав) реши: |
|
|
|
|
|
Подписи |
( *1 ) Език на производството: нидерландски.